ЗАЩИТА ИНФОРМАЦИИ В ЛОКАЛЬНОЙ ВЫЧИСЛИТЕЛЬНОЙ СЕТИ КОММЕРЧЕСКОГО БАНКА

В настоящей выпускной квалификационной работе разработаны рекомендации по повышению защищенности ЛВС коммерческого банка Н.
К основным результатам выпускной работы относится:
1. Изучения принципов, понятий и методов защиты ЛВС коммерческих банков.
2. Анализ и изучение информационной системы коммерческого банка Н.: структуры подразделений банка, организации внутренней сети, комплекса методов и средств защиты информации, угроз безопасности и рисков, существующей политики информационной безопасности. Выявлен высокий риск по рассмотренным ресурсам, обоснована необходимость использования дополнительных средств по защите информации.
3. Осуществлен и обоснован выбор необходимых средств защиты, определены условия их эффективного использования. Предложено решение по внедрению средств защиты, опред ...

АННОТАЦИЯ 3
ГЛАВА 1. ТЕОРЕТИЧЕСКИЕ АСПЕКТЫ БАНКОВСКИХ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ И ЗАЩИТЫ ИНФОРМАЦИИ 3
1.1. Банковские информационные технологии 3
1.2. Информационные технологии внутренних взаимодействий коммерческого банка 3
1.3. Информационные технологии внешних взаимодействий коммерческого банка 3
1.4. Обеспечение защиты информации в ОС 3
1.5. Межсетевое экранирование 3
1.6. Защита от вредоносных программ и спама 3
1.7. Нормативно-правовое регулирование в области информационной безопасности 3
ГЛАВА 2. АНАЛИЗ ЗАЩИТЫ ИНФОРМАЦИИ В ЛОКАЛЬНОЙ ВЫЧИСЛИТЕЛЬНОЙ СЕТИ КОММЕРЧЕСКОГО БАНКА Н 3
2.2. Описание объекта ВКР 3
2.3. Анализ рисков информационной безопасности 3
ГЛАВА 3. РЕКОМЕНДАЦИИ ПО ПОВЫШЕНИЮ ЗАЩИЩЕННОСТИ ЛВС 3
3.1. Программно-аппаратные средства защиты информации 3
3.2. Организационные меры по защите информации 3
ГЛАВА 4. ЭКОНОМИЧЕСКАЯ ЭФФЕКТИВНОСТЬ ПРЕДЛОЖЕННЫХ РЕКОМЕНДАЦИЙ 3
ЗАКЛЮЧЕНИЕ 3
Список литературы 3

Актуальность темы исследования определяется интенсивным развитием информационных технологий и сетей телекоммуникаций, а, следовательно, проблема обеспечения безопасности банковских информационных систем и защиты финансовой информации принимает более острый характер.
Особенности банковской системы (БС) Российской Федерации (РФ) таковы, что негативные последствия сбоев в работе отдельных организаций могут привести к быстрому развитию системного кризиса платежной системы РФ, нанести ущерб интересам собственников и клиентов. В случаях наступления инцидентов ИБ значительно возрастают результирующий риск и возможность нанесения ущерба организациям БС РФ. Поэтому для организаций БС РФ угрозы ИБ представляют существенную опасность.
Для противостояния таким угрозам и обеспечения эффективности мероп риятий по ликвидации неблагоприятных последствий инцидентов ИБ (их влияния на операционный, репутационный, стратегический и иные риски) в организациях БС РФ следует обеспечить достаточный уровень ИБ. Необходимо также сохранить этот уровень в течение длительного времени. По этим причинам обеспечение ИБ является для организаций БС РФ одним из основополагающих аспектов их деятельности.
Проблемы безопасности усложняются в связи с развитием и распространением компьютерных сетей. Распределенные системы и системы удаленного доступа выдвинули на первый план вопрос защиты обрабатываемой и передаваемой информации.
и т.д

Основными и обязательными к исполнению являются Федеральный закон Российской Федерации от 27 июня 2011 года N 161-ФЗ г. Москва «О национальной платежной системе», Постановление Правительства России от 13 июня 2012 года №584 «Об утверждении Положения о защите информации в платежной системе» и "Положение о требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств" от 9 июня 2012 года (382-П).Постановление Правительства России №584 «Об утверждении Положения о защите информации в платежной системе» устанавливает требования к составу применяемых средств защиты информации:шифровальные (криптографические) средства;средства защиты информации от несанкционированного доступа;средства антивирусной защиты;средства межсетевого экранирования;системы обнаружения вторжения;средства контроля (анализа) защищенности.Для проведения работ по защите информации могут привлекаться на договорной основе организации, имеющие лицензии на деятельность по технической защите конфиденциальной информации (ТЗКИ) и (или) на деятельность по разработке и производству средства защиты конфиденциальной информации. Контроль соблюдения требований к защите информации осуществляется самостоятельно или с привлечением на договорной основе организации, имеющей лицензию ТЗКИ.Федеральный закон «О национальной платежной системе» устанавливает правовые и организационные основы национальной платежной системы, регулирует порядок оказания платежных услуг, в том числе осуществления перевода денежных средств, использования электронных средств платежа. Контроль и надзор за выполнением требований без права ознакомления с защищаемой информацией осуществляют Федеральная служба по техническому и экспортному контролю России (ФСТЭК) и Федеральная служба безопасности России (ФСБ). Банк России осуществляет контроль соблюдения требований в установленном порядке.Контроль соблюдения (оценки) требований к защите информации осуществляется самостоятельно или с привлечением на договорной основе организации, имеющей лицензию ТЗКИ.Согласно указанию Банка России 2831-У, результаты оценки соответствия должны направляться всеми участниками платежных систем в Банк России не реже одного раза в 2 года и не позднее 30 дней с момента завершения оценки соответствия.Выполнение требований к обеспечению защиты информации обеспечивается путем:применения организационных мер защиты информации;определения порядка применения организационных мер защиты информации;использования технических средств защиты информации;определения порядка использования технических средств защиты информации, включающего информацию о конфигурировании, определяющую параметры работы технических средств защиты информации.определения лиц, ответственных за применение организационных мер защиты информации и за использование технических средств защиты;реализации контроля применения организационных мер защиты информации и использования технических средств защиты.Требования, используемые для вычисления обобщающего показателя защищенности с использованием технических средств:защита информации при назначении и распределении ролей;защита информации на стадиях жизненного цикла объектов ИТ-инфраструктуры;защита информации при осуществлении доступа к объектам ИТ-инфраструктуры;защита информации от воздействия вредоносного кода;защита информации при использовании сети Интернет;защита информации с использованием СКЗИ;защита информации с использованием технологических мер защиты информации.Требования, используемые для вычисления обобщающего показателя защищенности с использованием организационных мер защиты информации:организация и функционирования службы ИБ;повышение осведомленности в области обеспечения защиты информации;выявления и реагирование на инциденты;определение и реализация порядка обеспечения защиты информации;оценка выполнения требований к обеспечению защиты информации;совершенствование защиты информации.Среди нормативных документов Банка России по информационной безопасности стоит выделить Стандарт Банка России по обеспечению информационной безопасности организаций банковской системы Российской Федерации (СТО БР ИББС) - комплекс документов Банка России, описывающий единый подход к построению системы обеспечения ИБ организаций банковской сферы с учётом требований российского законодательства.В настоящий момент приняты и введены в действие распоряжением Банка России следующие стандарты:СТО БР ИББС-1.0-2010. «Общие положения».СТО БР ИББС-1.1-2007. «Аудит информационной безопасности».СТО БР ИББС-1.2-2010. «Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0». Кроме того, Банком России разработаны и введены следующие рекомендации в области стандартизации:РС БР ИББС-2.0-2007. «Методические рекомендации по документации в области обеспечения информационной безопасности в соответствие с требованиями СТО БР ИББС-1.0».РС БР ИББС-2.1-2007. «Руководство по самооценке соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0».РС БР ИББС-2.2-2009. «Методика оценки рисков нарушения информационной безопасности».РС БР ИББС-2.3-2010. «Требования по обеспечению безопасности персональных данных в информационных системах персональных данных организаций банковской системы Российской Федерации».РС БР ИББС-2.4-2010. «Отраслевая частная модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных организаций банковской системы Российской Федерации».Стоит отметить, что согласно Федеральному Закону от 27.12.2002 № 184-ФЗ «О техническом регулировании» установлен рекомендательный статус стандартов и иных документов по стандартизации. Однако в соответствии с указанным Федеральным Законом стандарты и иные документы по стандартизации подлежат обязательному исполнению в организациях, если они добровольно принимают решение о присоединении.ГЛАВА 2. АНАЛИЗ ЗАЩИТЫ ИНФОРМАЦИИ В ЛОКАЛЬНОЙ ВЫЧИСЛИТЕЛЬНОЙ СЕТИ КОММЕРЧЕСКОГО БАНКА Н2.1. Техническое задание к ВКР на тему:«Разработка рекомендаций по повышению защищенности локальной вычислительной сети коммерческого банка»2.1.1. Общие сведенияВ рамках изучения структуры локальной вычислительной сети коммерческого банка Г. и разработки рекомендаций по повышению защищенности информационной системы, необходимо:изучить теоретические аспекты, понятия, методы и средства обеспечения безопасности в информационной системе коммерческого банка;ознакомиться с нормативной документацией, направленной на обеспечение информационной безопасности коммерческого банка;провести построение модели безопасности, анализ угроз и рисков информационной системы;предложить меры по повышению уровня защищенности рассматриваемой информационной системы;оценить экономическую эффективность предложенных мер.2.1.2. Цели выполнения работЦелью выполнения работы является изучение специфики банковской отрасли в сфере информационной безопасности, рассмотрение основных средств и методов защиты в информационной системе коммерческого банка Г.2.1.3. ЗадачиВ рамках работы должны быть решены следующие задачи: раскрытие теоретических аспектов, понятий и методов, специфики защиты информации в локальной вычислительной сети коммерческого банка Г.;построение модели защиты информации, анализ угроз и рисков информационной безопасности в локальной вычислительной сети коммерческого банка Г.;разработка мероприятий по защите от угроз локальной вычислительной сети коммерческого банка Г. и оценка их экономической эффективности.2.1.4. Исходные данные к работеПлан помещений организации. Топология ЛВС. Спецификация оборудования и программных средств ЛВС. Перечень бизнес-процессов коммерческого банка Г. Перечень конфиденциальной информации.2.2. Описание объекта ВКР2.2.1. Структура и описание коммерческого банка Н.Коммерческий банк Н. - коммерческий банк, являющийся многофункциональным учреждением, которое представляет своим клиентам комплекс услуг финансового обслуживания. Приоритет в обслуживании отдается юридическим лицам, однако интенсивно развивается так называемое приватное обслуживание - банковская услуга для состоятельных физических лиц, которая предполагает осуществление операций с деньгами клиента, сохраняющих и увеличивающих его состояние.Рассмотрим организационную структуру коммерческого банка Н. Во главе банка стоит правление, в состав которого входят акционеры. Во главе правления банка стоит председатель правления. Его заместители, которые владеют определенным процентом акций, также входят в состав правления банка. В рассматриваемой кредитной организации имеется 6 основных отделов: операционное управление, кредитное управление, управление внутреннего контроля, административное управление, управление корреспондентских отношений, управление информационных банковских технологий. Во главе каждого из них стоит руководитель, который подчиняется правлению банка. В каждом отделе, в свою очередь, служат сотрудники, согласно штатному расписанию. Вышеизложенное иллюстрирует рис. 4.Рис. 4. Структура коммерческого банка Н.В штате банка работают 47 человек, рабочие места которых распределены на все этажи трехэтажного здания. Коммерческий банк Н. занимает все помещения здания. Планы помещений отображены на рисунках ниже.Рис. 5. План первого этажа банкаНа первом этаже здания (рис. 4) расположены компьютеры операционного и кредитного управлений, на которых циркулирует информация, содержащая коммерческую и банковскую тайну. Во все помещения, кроме холла с лестницей, ведущей на второй этаж, имеют доступ клиенты и сотрудники банка. На ресепшене клиенты проходят регистрацию, предъявив документ удостоверяющий личность. В холл имеют доступ только сотрудники банка.Рис. 6. План второго этажа банкаНа втором этаже здания (рис. 6) расположены основные подразделения банка. В данные помещения имеют доступ только сотрудники банка. Посторонние лица (клиенты банка, представители партнеров и др.) могут подниматься выше первого этажа только в сопровождении сотрудника банка. Конфиденциальная информация обрабатывается на всех рабочих станциях этажа, банковская тайна циркулирует на определенных рабочих станциях сотрудников управления корреспондентских отношений, отдела внутреннего контроля, бухгалтерии и управления информационных банковских технологий.Рис. 7. План третьего этажа банкаНа третьем этаже располагаются кабинеты членов правления банка, а также комнаты для организации совещаний и переговоров с клиентами и партнерами. На рабочих станциях членов правления циркулирует информация, содержащая коммерческую и банковскую тайны. На рабочих станциях в переговорных комнатах не обрабатывается конфиденциальная информация: компьютеры необходимы для показа презентаций и фиксации секретарем ведения совещаний или переговоров.2.2.2. Структура локальной вычислительной сетиИнформационная банковская система представляет собой сложный комплекс разнородного аппаратного и программного обеспечения: компьютеров, операционных систем, сетевых средств, СУБД, разнообразных приложений. При помощи данного комплекса обрабатывается информация, содержащая коммерческую и банковскую тайну, которые являются критически важными для функционирования банка.Чтобы приступить к рассмотрению ЛВС необходимо определить какая информация обрабатывается с ее помощью. Особое внимание стоит уделить бизнес-процессам банка (табл. 1). Их можно разделить на основные, которые приносят банку прибыль, и обеспечивающие, которые организуют стабильную деятельность банка, но не приносят прибыль.Таблица 1 Бизнес-процессы коммерческого банка Н.1.     Обслуживание физических лицОсновные1.1.                    Расчетно-кассовое обслуживание1.1.1. Валютное регулирование1.1.1.1.     Покупка валюты1.1.1.2.     Продажа валюты1.1.1.3.     Перевод валюты1.1.2. Корреспондентские отношения1.2.                    Кредитование1.2.1. Оформление и выдача кредита1.2.2. Погашение кредита1.3.                    Вклады для частных лиц2.     Обслуживание юридических лиц2.1.                    Расчетно-кассовое обслуживание2.2.                    Инкассация2.3.                    Вклады для юридических лиц2.4.                    Удаленное управление счетом3.     ИТ-обеспечение и связьОбеспечивающие3.1.               Автоматизация банковских процессов (АБС)3.2.                    Администрирование системы ДБО3.3.                    Администрирование SWIFT3.4.                    Передача отчетности в ЦБ4.     Внутренний контроль5.     Бухгалтерский учет и отчетностьК информации конфиденциального характера относится любая информация, несанкционированное использование (в том числе разглашение) которой может нанести ущерб коммерческой деятельности или интересам Банка, партнёрам, сотрудникам и клиентам.Информация, содержащая коммерческую тайну:Данные первичных учетных документов бухгалтерского учета.Содержание регистров бухгалтерского учета.Содержание внутренней бухгалтерской отчетности, рекомендации аудиторских компаний по работе Банка.Документация по бизнес-планированию, операционные и инвестиционные бюджеты, пояснительные записки к ним.Информация и материалы по стратегическому развитию Банка.Основные задачи Банка.Документы и сведения, полученные от партнеров и клиентов на конфиденциальной основе. Совершаемые и совершенные Банком сделки, в том числе договоры, их предмет, содержание, цена и другие существенные условия, которые могут оказать существенное влияние на рыночную стоимость акций, на цены финансовых инструментов, иностранной валюты; базы данных по договорам.Сведения о компаньонах, спонсорах, посредниках, заказчиках, подрядчиках, поставщиках, потребителях, покупателях, клиентах и других партнерах Банка, за исключением сведений, которые представлены в рекламных материалах.Базы данных партнеров и ключевых клиентов.Система внутренней отчетности Банка и информация содержащаяся в ней.Протоколы заседаний и совещаний органов управления Банка (Правления, собрания акционеров, комиссий) и материалы к ним, в которых фигурирует информация, содержащая коммерческую тайну.Перечни мотиваций, бонусов и поощрений сотрудников Банка.Документы, содержащие информацию о системе охраны, о пропускном режиме, а также сведения о порядке и состоянии организации охран, системе сигнализации Банка.Тендерные списки и материалы тендеров; тендерные таблицы.Списки конкурентов Банка.Документы и материалы о рисках Банка.Информация, которая может негативно повлиять на имидж Банка и взаимоотношения с клиентами и партнерами, в т.ч. данные о судебных разбирательствах, конфликтных ситуациях с участием Банка.Схемы, планы технические спецификации и сведения о технической оснащенности принадлежащих Банку зданий и помещений, в которых осуществляется хранение ценностей (в т.ч. денежных средств).Проектные и эксплуатационные документы по инженерно-технической защите помещений Банка.Проектные и эксплуатационные документы по инженерно-технической и программной защите информации, о средствах вычислительной техники, сведения об используемом программном обеспечении.Сведения и эксплуатационная документация о СКЗИ, о построении ключевых систем, методиках встраивания СКЗИ в информационные и телекоммуникационные системы, о персонале, допущенном к проведению работ с СКЗИ.Документы управления внутреннего контроля: акты и справки с результатами внешних и внутренних проверок Банка, планы мероприятий по устранению нарушений и учету рекомендаций, отчеты о реализации этих планов (от проверяемых подразделений), отчеты СВК перед Правлением Банка.Внутренние нормативные документы.Отчеты, экспертизы, независимые оценки.Сведения о состоянии компьютерного оборудования и используемого программного обеспечения; пароли, коды, порядок доступа к электронным данным.Информация, составляющая банковскую тайну:О наличии, видах и реквизитах счетов.Об остатках денежных средств на счетах.Об открытии, закрытии, переоформлении, переводе счетов в другой банк и т.п.Об операциях по счету, в том числе: зачисление поступающих денежных средств на счет клиента, выполнение его распоряжений о перечислении соответствующих сумм или их выдаче, совершение для клиента других операций, предусмотренных для счетов данного вида законом, в соответствии с банковскими правилами и на условиях, предусмотренных договорам банковского счета.О наличии и условиях любых вкладов (депозитов): срочных, до востребования, в пользу третьих лиц и т.п.О межбанковских операциях: привлечение средств в формате депозитов, выдача кредитов, через расчетные центры, совершение других операций, предусмотренных лицензиями банков, в которых банк-контрагент является клиентом Банка.Дело (юридическое досье, кредитное досье, досье по паспорту сделки и т.п.) клиента в совокупности всех документов после их заполнения.Любые другие сведения о клиентах, ставшие известными Банку в процессе осуществления им банковских операций и иных сделок, предусмотренных ст.5 Закона РФ «О банках и банковской деятельности».Локальная вычислительная сеть коммерческого банка Н. представляет собой защищенную систему обработки информации. Топология сети представлена на рис. 7.Рис. 8. Топология ЛВС банка Н.Основными критически важными элементами сети являются сервер баз данных (БД), сервер автоматизированной банковской системы (АБС), файловый сервер и сервер дистанционного банковского обслуживания (ДБО). Приоритет по важности выставляется в первую очередь системам, которые непосредственно связаны с обслуживанием клиентов банка: сервер АБС, сервер ДБО, сервер международной межбанковской системы передачи информации и совершения платежей (SWIFT).Локальная вычислительная сеть подключена к сети Интернет по двум каналам: основному и резервному (рис. 8). Основной канал представляет собой подключение по оптоволоконному кабелю, а резервный канал – подключение по телефонной линии связи с использованием модема ADSL. В случае обрыва соединения по основному каналу, системный администратор переключает канал на резервный, для поддержания соединения с сетью Интернет критических узлов сети. Доступ в ЛВС ограничен двумя межсетевыми экранами (МСЭ). Напрямую к сети Интернет подключен аппаратный МСЭ компании Juniper. МСЭ Juniper объединяет в себе роли МСЭ, маршрутизатора, IPS(IDS)-системы. На МСЭ установлена ОС ScreenOS версии 5.4.0r16.0), которая имеет сертификат ФСТЭК №2258. Настройка производится только через интерфейс командной строки администратором безопасности.Между двумя МСЭ расположена демилитаризованная зона (ДМЗ), в которой находится постоянно подключенный к сети интернет веб-сервер системы ДБО. Доступ в ЛВС из ДМЗ ограничен сервером, выполняющим роль шлюза и прокси-сервера, с установленной ОС FreeBSD. Роль межсетевого экрана транспортного уровня на данном сервере выполняет встроенная в ОС утилита netfilter. В системе netfilter, пакеты пропускаются через цепочки. Цепочка является упорядоченным списком правил, а каждое правило может содержать критерии и действие или переход. Когда пакет проходит через цепочку, система netfilter по очереди проверяет, соответствует ли пакет всем критериям очередного правила, и если так, то выполняет действие (если критериев в правиле нет, то действие выполняется для всех пакетов проходящих через правило). Управление системой netfilter происходит при помощи утилиты командной строки iptables. Роль прокси-сервера выполняет программный пакет squid – кэширующий прокси-сервер для протоколов FTP, HTTP/HTTPS. Sqiud использует встроенный редиректор SAMS, который обеспечивает:ограничение доступа пользователей в сеть Интернет;контроль времени доступа пользователей в сеть Интернет;ограничение доступа пользователей к запрещенным ресурсам (или доступ пользователей только к разрешенным ресурсам).