Разработка политики безопасности ОАО "Московский кредитный банк"

Диплом написан в соответствии с методичкой МФПУ в декабре 2013 г. Оценен комиссией на оценку "хорошо". ...

СОДЕРЖАНИЕ
Введение…………………………………………………………………………...8
I. Аналитическая часть…………………………………………………………...14
1.1 Технико-экономическая характеристика предметной области и предприятия ОАО «МКБ»………………………………………………………..14
1.1.1 Общая характеристика предметной области……………………………...14
1.1.2 Организационно-функциональная структура предприятия ОАО «МКБ»……………………………………………………………………………..18
1.2 Анализ рисков информационной безопасности…………………………….24
1.2.1 Идентификация и оценка информационных активов…………………….24
1.2.2 Оценка уязвимостей активов……………………………………………….32
1.2.3 Оценка угроз активам………………………………………………………35
1.2.4 Оценка существующих и планируемых средств защиты………………...42
1.2.5 Оценка рисков…………………………………………………………….…48
1.3 Характеристика комплекса задач, задачи и обоснование необходимости совершенствования системы обеспечения информационной безопасности и защиты информации на предприятии……………………………………………55
1.3.1 Выбор комплекса задач обеспечения информационной безопасности и защиты информации исходя из выполняемых предприятием задач и существующих рисков, характеристика существующих средств информационной безопасности………………………………………………….55
1.3.2 Определение места проектируемого комплекса задач в комплексе задач предприятия, детализация задач информационной безопасности и защиты информации………………………………………………………………………..56
1.4 Выбор защитных мер………………………………………………………....57
1.4.1 Выбор организационных мер………………………………………………57
1.4.2 Выбор инженерно-технических мер ………………………………………60
II. Проектная часть………………………………………………………………..65
2.1 Комплекс организационных мер обеспечения информационной безопасности и защиты информации предприятия……………………………..65
2.1.1 Отечественная и международная нормативно-правовая основа создания системы обеспечения информационной безопасности и защиты информации предприятия……………………………………………………………………….65
2.1.2 Организационно-административная основа создания системы обеспечения информационной безопасности и защиты информации предприятия. Политика информационной безопасности предприятия……….67
2.2 Комплекс внедряемых (разрабатываемых) программно-аппаратных средств обеспечения информационной безопасности…………………………………...69
2.2.1 Основные сведения о внедряемых программно-аппаратных средствах обеспечения информационной безопасности…………………………………...69
2.2.2 Контрольный пример реализации проекта и его описание………………72
III. Обоснование экономической эффективности проекта……………………..76
3.1 Выбор и обоснование методики расчёта экономической эффективности…………………………………………………………………….76
3.2 Расчёт показателей экономической эффективности проекта………………84
Заключение………………………………………………………………………...89
Список литературы………………………………………………………………..90
 

...(введение на 4 страницах, копировать всё не имеет смысла)
Цель дипломной работы разработка политики безопасности банка ОАО «МКБ». Исходя из поставленной цели исследования нужно решить поставленные задач:
1) Исследовать банк ОАО «МКБ»
2) Рассмотреть банк ОАО «МКБ» и провести анализ банка на предмет уязвимости угроз и рисков
3) Предложить проект мероприятий по совершенствованиию безопасности банка ОАО «МКБ»
Объект исследования – информационная безопасность в банке ОАО «МКБ»
Предмет исследования – банк ОАО «МКБ»
Источниками исследования послужили нормативно-правовые акты РФ, комментарий законодательства, учебная и специальная литература, материалы монографий и публикаций различных авторов, статьи юридических журналов, электронные ресурсы.
При исследовании использован сранительно-правов ой метод, элементы метода анализа и формально-исторического метода.
Дипломная работа состоит из введения, трех глав, заключения, списка использованной литературы.

Закрытая сеть не имеет связи с открытой сетью, что делают компьютеры, находящиеся в данной сети, абсолютно недосягаемыми из интернета, однако это не делает ее абсолютно защищенной.Рисунок SEQ Рисунок \* ARABIC 1. Основная часть технической архитектуры предприятия.На текущий момент предприятие использует системы защиты «Страж NT», которая предназначена для защиты информации от несанкционированного доступа при работе в многопользовательских автоматизированных системах (АС) и информационных системах персональных данных (ИСПДн). Имеет сертификат ФСТЭК России №1260, который удостоверяет, что система защиты информации Страж NT является программным средством защиты от несанкционированного доступа к информации и соответствует требованиям руководящих документов Гостехкомиссии России "Средства вычислительной техники. Защита информации от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации" по 3 классу защищенности, "Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств информации. Классификация по уровню контроля отсутствия недекларированных возможностей" по 2 уровню контроля.Так же на предприятии расположен собственный Web-Сервер с размещенным на нем сайтом предприятия. Этот сервер помимо сайта осуществляет раздачу интернета по средствам прокси-сервера на некоторые компьютеры в открытой сети, а так же обеспечивает работу почтового клиента MS Outlook. Сервер еще осуществляет обновление БД антивируса.Неполная программная архитектура предприятия представлена на рисунке 3.Рисунок SEQ Рисунок \* ARABIC 2. Основная часть программной архитектуры предприятия.По ней мы можем увидеть, что предприятие использует в качестве БД MS SQL Server и для совместимости со старой системой хранилище для DBF-файлов. Они установлены на сервере БД, с программной защитой системы «Страж NT», что делает возможным подключением к ней только со специального программного обеспечения установленного в той же сети. Так как Страж NT имеет свою БД пользователей и их прав на работу тех или иных программ, для нее был выделен отдельный Сервер Аутентификации. Так же для ускорения работы между сотрудниками разных отделов был организован и настроен Файловый Сервер. Другой способ передачи данных осуществляется по средством передачи данных на съемных носителях (флешках, дискетах), заранее прописанные как разрешенные на использование в системе Страж NT, однако информация с грифом «секретно» автоматически шифруются и могут в дальнейшем быть прочтены лишь данной системой. К сожалению это не уменьшает риск халатности пользователей, имеющие доступ к секретным данным, которые могут умышленно или случайно сохранить секретные данные в документе как несекретные.Устанавливать и настраивать программные обеспечение могут только сотрудники отдела «Отдел материально-технического обеспечения и технического обслуживания» имея универсальные ключи администрирования (за все ключи сотрудников для работы в системе «Страж NT», отвечает Администратор безопасности), что позволяет сотрудникам использовать лишь те программы которые нужны для их работы.В некоторых отделах закрытой сети расположен компьютер, для отправки и получения по электронной почте письма, не имеющие грифа секретности. Предприятие снимает помещения у другого предприятия, которое должно обеспечивать защищенность этажей от проникновения посторонних лиц. Однако в здании находятся и другие предприятия так же снимающие помещение, и оформляющие заявки на пропуск посторонних лиц, что не уменьшает степень угрозы. Следует принимать во внимание, что обслуживающий персонал так же является сотрудниками другого предприятия, однако в помещения с паролем они могут входить, лишь тогда когда их впускают туда сотрудники, работающие в данных отделах.Сетевые кабели предприятия проведены по специальным каналом, находящиеся в потолке коридора. Если не считать установленные камеры это делает их достаточно уязвимыми для подключения к сети. Однако на закрытую сеть одного только подключения из вне недостаточно, для этого необходимо На рисунке 4 изображен один из этажей на данном предприятии с показом размещения камер видеонаблюдения и отображением дверей с кодовыми замками на дверях. На этом рисунке мы можем видеть, что камеры охватывают весь коридор, что позволяет в любое время узнать кто входил в те или иные помещения и когда. Рисунок SEQ Рисунок \* ARABIC 3. Расположение камер охранного видеонаблюдения на одном этаже.- охранная камера видеонаблюдения- кодовый замок на двери- область, охватываемая видеокамерамиТаблица 8.Анализ выполнения основных задач по обеспечению информационной безопасностиОсновные задачи по обеспечению информационной безопасностиСтепень выполненияобеспечение безопасности производственно-торговой деятельности, защита информации и сведений, являющихся коммерческой тайной;средняяорганизация работы по правовой, организационной и инженерно-технической (физической, аппаратной, программной и математической) защите коммерческой тайны;высокаяорганизация специального делопроизводства, исключающего несанкционированное получение сведений, являющихся коммерческой тайной;высокаяпредотвращение необоснованного допуска и открытого доступа к сведениям и работам, составляющим коммерческую тайну;средняявыявление и локализация возможных каналов утечки конфиденциальной информации в процессе повседневной производственной деятельности и в экстремальных (авария, пожар и др.) ситуациях;высокаяобеспечение режима безопасности при осуществлении таких видов деятельности, как различные встречи, переговоры, совещания, заседания и другие мероприятия, связанные с деловым сотрудничеством на национальном и международном уровне;средняяобеспечение охраны территории, зданий помещений, с защищаемой информацией.средняя1.2.5 Оценка рисковПонятие информационной безопасности неразрывно связано с рисками для информационных ресурсов, под которыми (рисками) понимается возможность нанесения ущерба информационным ресурсам, снижения уровня их защищенности. Риски могут иметь различную природу и характеристики; одной из основных классификаций рисков для информационной безопасности (так же, как и многих других рисков в экономике и управлении) является их разделение: - на системные риски – неуправляемые риски, связанные с той средой и технической инфраструктурой, в которой функционируют информационные системы; - операционные риски – как правило, управляемые риски, связанные с особенностями использования определенных информационных систем, их технической реализации, применяемыми алгоритмами, аппаратными средствами и т.п. Управление рисками рассматривается на административном уровне ИБ, поскольку только руководство организации способно выделить необходимые ресурсы, инициировать и контролировать выполнение соответствующих программ. Управление рисками, равно как и выработка собственной политики безопасности, актуально только для тех организаций, информационные системы которых и/или обрабатываемые данные можно считать нестандартными. Обычную организацию вполне устроит типовой набор защитных мер, выбранный на основе представления о типичных рисках или вообще без всякого анализа рисков (особенно это верно с формальной точки зрения, в свете проанализированного нами ранее российского законодательства в области ИБ). Использование информационных систем связано с определенной совокупностью рисков. Когда возможный ущерб неприемлемо велик, необходимо принять экономически оправданные меры защиты. Периодическая оценка рисков необходима для контроля эффективности деятельности в области безопасности и для учета изменений обстановки. С количественной точки зрения уровень риска является функцией вероятности реализации определенной угрозы (использующей некоторые уязвимые места), а также величины возможного ущерба. Таким образом, суть мероприятий по управлению рисками состоит в том, чтобы оценить их размер, выработать эффективные и экономичные меры снижения рисков, а затем убедиться, что риски заключены в приемлемые рамки (и остаются таковыми). По отношению к выявленным рискам возможны следующие действия: ликвидация риска (например, за счет устранения причины); уменьшение риска (например, за счет использования дополнительных защитных средств); принятие риска (и выработка плана действия в соответствующих условиях). Процесс управления рисками можно разделить на следующие этапы: 1. Выбор анализируемых объектов и уровня детализации их рассмотрения. 2. Выбор методологии оценки рисков. 3. Идентификация активов. 4. Анализ угроз и их последствий, выявление уязвимых мест в защите. 5. Оценка рисков. 6. Выбор защитных мер. 7. Реализация и проверка выбранных мер. 8. Оценка остаточного риска. Этапы 6 и 7 относятся к выбору защитных средств (нейтрализации рисков), остальные - к оценке рисков. Риски нужно контролировать постоянно, периодически проводя их переоценку. Отметим, что добросовестно выполненная и тщательно документированная первая оценка может существенно упростить последующую деятельность. Управление рисками, как и любую другую деятельность в области информационной безопасности, необходимо интегрировать в жизненный цикл ИС. Тогда эффект оказывается наибольшим, а затраты - минимальными. Ранее мы определили пять этапов жизненного цикла. Кратко опишем, что может дать управление рисками на каждом из них. На этапе закупки (разработки) знание рисков поможет выбрать соответствующие архитектурные решения, которые играют ключевую роль в обеспечении безопасности. На этапе установки выявленные риски следует учитывать при конфигурировании, тестировании и проверке ранее сформулированных требований, а полный цикл управления рисками должен предшествовать внедрению системы в эксплуатацию. Выбор анализируемых объектов и уровня детализации их рассмотрения - первый шаг в оценке рисков. Для небольшой организации допустимо рассматривать всю информационную инфраструктуру; однако если организация крупная, всеобъемлющая оценка может потребовать неприемлемых затрат времени и сил. В таком случае следует сосредоточиться на наиболее важных сервисах, заранее соглашаясь с приближенностью итоговой оценки. Если важных сервисов все еще много, выбираются те из них, риски для которых заведомо велики или неизвестны. При идентификации активов, то есть тех ресурсов и ценностей, которые организация пытается защитить, следует, конечно, учитывать не только компоненты информационной системы, но и поддерживающую инфраструктуру, персонал, а также нематериальные ценности, такие как репутация организации. Отправной точкой здесь является представление о миссии организации, то есть об основных направлениях деятельности, которые желательно (или необходимо) сохранить в любом случае. Выражаясь объектно-ориентированным языком, следует в первую очередь описать внешний интерфейс организации, рассматриваемой как абстрактный объект. Методика оценки рисков применяется на основании ценовой шкалы оценки, где каждому риску, для каждого актива сопоставляется появление различных угроз. Методика оценки рисков применяется на основании ценовой шкалы оценки, где каждому риску, для каждого актива сопоставляется появление различных угроз. Для базовой оценки рисков достаточно трехуровневой шкалы оценки критичности - низкий, средний и высокий уровни. В этом случае оценка каждого уровня в деньгах будет выполняться на основе принципов. Пример трехуровневой шкалы с оценкой в денежных единицах представлен в таблице 9. Таблица 9. Оценка в денежных единицахНазвание уровня Оценка уровня, у.е. Низкий до 100 тыс. Средний от 100 тыс. до 3 млн. Высокий свыше 3 млн. Принципы оценки критичности каждого указанного актива:1. информационные активы (или виды информации) оцениваются с точки зрения нанесения компании ущерба от их раскрытия, модификации или недоступности в течение определенного времени; 2. программное обеспечение, материальные ресурсы и сервисы оцениваются, как правило, с точки зрения их доступности или работоспособности. Т.е. требуется определить, какой ущерб понесет компания при нарушении функционирования данных активов. Например, нарушение системы кондиционирования в течение трех суток приведет к отказу серверов компании, к ним будет нарушен доступ, и вследствие этого компания понесет убытки; 3. сотрудники компании с точки зрения конфиденциальности и целостности оцениваются, учитывая их доступ к информационным ресурсам с правами на чтение и на модификацию. Доступность сотрудников оценивается с точки зрения их отсутствия на рабочем месте. Т.е. оценивается, какой ущерб понесет компания при отсутствии сотрудника в течение определенного периода времени. Здесь важно учесть опыт сотрудника, его квалификацию, выполнение им каких-либо специфичных операций; 4. репутация компании оценивается в связи с информационными ресурсами. Т.е. оценивается, какой ущерб репутации компании будет нанесен в случае нарушения безопасности информации компании. Оценка риска представляет собой оценку соотношения потенциальных негативных воздействий на деловую деятельность в случае нежелательных инцидентов и уровня оцененных угроз и уязвимых мест. Риск фактически является мерой незащищенности системы и связанной с ней организации. Величина риска зависит от: - ценности активов; - угроз и связанной с ними вероятности возникновения опасного для активов события; - легкости реализации угроз в уязвимых местах с оказанием нежелательного воздействия; - существующих или планируемых средств защиты, снижающих степень уязвимости, угроз и нежелательных воздействий. Ценность активов определялась на основе оценок их владельцев, специалиста по ИТ. Угрозы и уязвимые места определялись ИТ-специалистами. Существует несколько методов для оценки риска. Важно, чтобы организация пользовалась наиболее удобным и внушающим доверие методом, приносящим воспроизводимые результаты. Оценивание рисков будет производиться экспертным путем на основе анализа ценности активов, возможности реализации угроз и использования уязвимостей, определенных в предыдущих пунктах. Для оценивания предлагается таблица с заранее предопределенными «штрафными баллами» для каждой комбинации ценности активов, уровня угроз и уязвимостей (таблица 10).Таблица 10Уровень угроз и уязвимостейВ случае определения уровня уязвимости из результатов аудита или самооценки для различных процессов и при наличии экспертных оценок уровня соответствующих угроз и ценности активов можно получить меру риска ИБ для каждого процесса (таблица 11).Таблица 11.Результаты оценки рисков информационным активам организацииРискАктивРанг рискаКража Сервера6Несанкционированный доступБД6Отсутствие надзора за работой лиц, приглашенных со стороны, или за работой уборщицБД6Сбои / ошибкиБД6Несанкционированный доступСервера5Сбои / ошибкиСервера5Отсутствие надзора за работой лиц, приглашенных со стороны, или за работой уборщицБД5Сбои / ошибкиПО5Отсутствие надзора за работой лиц, приглашенных со стороны, или за работой уборщицДокументы5КражаПК5Несанкционированный доступПК5Сбои / ошибкиПК5Несанкционированный доступПО4Несанкционированный доступДокументы4Сбои / ошибкиДокументы41.3 Характеристика комплекса задач, задачи и обоснование необходимости совершенствования системы обеспечения информационной безопасности и защиты информации на предприятии1.3.1 Выбор комплекса задач обеспечения информационной безопасности и защиты информации исходя из выполняемых предприятием задач и существующих рисков, характеристика существующих средств информационной безопасностиНа предприятии, как мы может увидеть в таблице 9, большинство уязвимостей связаны с недостаточным надзором за помещениями. Так как предприятие ОАО «МКБ» снимает помещение у другого предприятия, которое обеспечивает проходную систему, а так же обслуживание помещений (уборщицы, электрики и др. персонал), нет гарантии того, что сотрудники других предприятий, так же снимающих помещения в данном здании, не несут никакой угрозы. По мимо этого так же нет гарантии того, что злоумышленник не проберется через окно. Следуя из этого, одной из задач является обеспечение безопасности в помещениях.Для того что бы украсть информацию необязательно пробираться в здание, для этого можно использовать другие способы чтения данных. В современном мире существуют способы чтения данных использующих акустические, оптические и электромагнитные излучения. Акустические излучения позволяют считывать любые звуки, которые распространяются внутри комнат. С помощью оптики можно удаленно считывать информацию с мониторов, экранов, а так же прочесть документы находящиеся неподалеку от окна. Так же существуют устройства позволяющие считывать электромагнитное излучение, исходящее от всех электронных устройств включая и компьютеры, за счет чего можно получить желаемые данные. На предприятии ОАО «МКБ» получение данных с помощью оптических устройств ничтожно мала, так как все мониторы повернуты так, что информация, отображаемая на нем, не видна из окна. Акустическое излучение не представляет большой угрозой для предприятия, так как в разговорах не употребляются данные, которые могут иметь большую ценность для злоумышленника. Вследствие чего остается обеспечить защиту от чтения электромагнитных излучений, что будет являться еще одной задачей.1.3.2 Определение места проектируемого комплекса задач в комплексе задач предприятия, детализация задач информационной безопасности и защиты информацииДля выполнения определенных (в п.п. 1.3.1) задач рассмотрим помещения, и выделим те, которые являются наиболее вероятными целями для злоумышленника. Все базы данных, а так же некоторые ценные документы расположены на серверных компьютерах, находящихся в серверной комнате. Доступ к ней имеют только сотрудники отдела «материально-технического обеспечения и технического обслуживания». Так же в серверной комнате расположен сейф с ключами администраторов, для входа в систему страж под пользователем «администратор» на любом пользовательском компьютере, а так же для входа на серверные компьютеры, что может позволить прямое чтение данных, и копирование любых файлов на любые носители. Таким образом, серверная комната будет входить в помещения, в которую следует взять под постоянное наблюдение.Операторы отдела «сбора и обработки статистической и бухгалтерской отчетности» ежедневно работают с документами присылаемыми (относящиеся к отрасли, закрепленной за предприятием) другими предприятиями по различным каналам связи и имеющие различные грифы секретности. Так же в помещении, отведенном для данного отдела, расположен специальный шкаф, являющийся архивом документов, хранящиеся несколько лет. Таким образом помещения отдела, как и помещение серверной комнаты, должно быть взято под постоянное наблюдение.Остальные отделы не хранят никаких документов, которые могли бы иметь большую ценность для злоумышленника. Однако отделы, подключенные к закрытой сети, работают с конфиденциальной и секретной информацией хранящихся в базах данных предприятия. Следуя из этого, злоумышленник может воспользоваться приборами для чтения побочных электромагнитных излучений, которые будут исходить из компьютеров сотрудников и содержать интересующую его информацию, при этом оставляя злоумышленника не обнаруженным. Для того, что бы избежать это, следует обеспечить такие помещения защитой от чтения побочных электромагнитных излучений.1.4 Выбор защитных мер1.4.1 Выбор организационных мерСотрудники должны соблюдать меры по обеспечению информационной безопасности, а именно:По возможности не допускать нахождение посторонних лиц в помещениях, в которых ведутся работы с секретной и конфиденциальной информацией. Если же посторонние лица все же были допущены (уборщицы, электрики, и другие сотрудники, не относящиеся к данному предприятию, а так же сотрудники, не имеющие соответствующего уровня доступа), то следует следить за ними, во избежание утечки информации.Не передавать закрепленные за сотрудниками ключи для авторизации в закрытой сети, а так же не передавать пароли пользователей открытой сети, другим сотрудникам.