Организация и проектирование комплексной системы безопасности и управление этой системой

Введение
1 Безопасность банка: общие подходы, основные понятия и обоснование комплексного обеспечения безопасности
1.1 Основные понятия системы безопасности
1.2 Сущность и основные этапы развития системы безопасности банка. Обоснование необходимости комплексного подхода к обеспечению безопасности
1.3 Задачи и функции органов управления банка в регулировании системы безопасности. Взаимоотношения банка с властными структурами государства в сфере безопасности
2 Анализ состояния реальной системы безопасности в СПб филиале ОАО «Тверьуниверсалбанка»
2.1 Общая характеристика системы безопасности в СПб филиале ОАО «Тверьуниверсалбанка»
2.2 Анализ управленческой деятельности по организации системы безопасности в СПб филиале ОАО «Тверьуниверсалбанк»
2.3 Анализ взаимодействия СПб филиала ОАО«Тверьуниверсалбанк» с муниципальными и федеральными органами власти в сфере обеспечения безопасности
3 Перспективные направления развития комплексной системы безопасности управления этой системой в СПб филиала ОАО «Тверьуниверсалбанк»
3.1 Проектирование комплексной системы безопасности в СПб филиале ОАО «Тверьуниверсалбанк»
3.2 Предложения по организации комплексной системы безопасности в СПб филиале ОАО «Тверьуниверсалбанка»
3.2.1 Отсутствие организационных и технических мероприятий по обеспечению защиты речевой информации в помещениях, выделенных для ведения конфиденциальных переговоров
3.2.2 Отсутствие шлюзовой камеры для инкассаторов при входе в банк
3.2.3 Отсутствие «Оперативного плана службы безопасности по обеспечению защиты банка»
3.3 Направления реализации предложений по организации и проектированию комплексной системы безопасности в СПб филиале ОАО «Тверьуниверсалбанк»
3.3.1 Защита информации от утечки за счет побочных электромагнитных излучений и наводок (ПЭМИН)
3.3.2 Защита информации в линиях связи
3.3.3 Безопасное использование технических средств информатизации
3.3.4 Защита речевой информации при проведении конфиденциальных переговоров
3.3.5 Обеспечение качества в системе безопасности
3.3.6 Управление системой безопасности в СПб филиале ОАО «Тверьуниверсалбанка»
3.4 Организация взаимодействия в управлении системой безопасности между СПб филиалом ОАО «Тверьуниверсалбанка» и головным офисом банка
4 Реферат
Заключение
Список литературы

Организация и проектирование комплексной системы безопасности и управление этой системой

Результатом проведения комплексного обследования является аналитический отчет о текущем состоянии защищенности, в котором даются развернутые рекомендации по повышению уровня защищенности информации с помощью совершенствования комплекса организационно-технических и административных мер, применения специальных средств защиты информации (СЗИ) и использованию возможностей имеющихся программных и технических средств.
В результате проведения аудита информационной безопасности можно:
оценить необходимость и достаточность принятых мер обеспечения безопасности информации;
сформировать политику безопасности;
правильно выбрать степень защищенности информационной системы;
выработать требования к средствам и методам защиты;
добиться максимальной отдачи от инвестиций в создание и обслуживание СОБИ;
принять обоснованные управленческие решения по обеспечению необходимого уровня защищенности информационных активов организации.
Результатом аудита могут быть и рекомендации по изменению инфраструктуры сети, обусловленные экономическими соображениями при решении проблем информационной безопасности или невозможности достичь требуемого уровня защищенности при существующей инфраструктуре.
Помимо проведения полномасштабного комплексного обследования можно осуществлять ряд работ, которые могут использоваться либо как предварительные этапы при проведении аудита информационной безопасности, либо как самостоятельный вид услуг16:
Экспресс-анализ состояния безопасности информации при ее обработке в ИС организации, позволяющей оперативно и при сравнительно меньших финансовых затратах получить предварительную оценку защищенности.
Экспресс-тестирование эффективности существующей системы защиты ИС организации, предполагающее проведение тестирования ИС заказчика с помощью программ-сканеров и использующееся для подтверждения состояния безопасности.
По результатам проведенного экспресс-анализа и экспресс-тестирования представляются рекомендации по проведению первоочередных мероприятий, а также осуществляется планирование работ по комплексному обследованию информационной безопасности и оценке (тестовым испытаниям) эффективности существующей системы защиты информации.
На рис.1 представлена последовательность действий при проведении аудита системы информационной безопасности.
Рис.1 – Последовательность действий при аудите системы безопасности
2.3 Анализ взаимодействия СПб филиала ОАО «Тверьуниверсалбанк» с муниципальными и федеральными органами власти в сфере обеспечения безопасности
Какой бы совершенной ни была самоорганизация безопасности коммерческого банка, она не обеспечит предотвращение преступных посягательств без взаимодействия кредитного учреждения с соответствующими правоохранительными органами и прежде всего милицией.
Организационно-правовой основой такого взаимодействия являются:
конституционные принципы равенства защиты всех форм собственности;
законы Российской Федерации о милиции, об оперативно-розыскной деятельности, о прокуратуре и другие нормативно-правовые акты;
соглашение между Министерством внутренних дел Российской Федерации и Ассоциацией российских банков о взаимодействии в области обеспечения банковской безопасности.
Целями сотрудничества являются: предупреждение и раскрытие преступных посягательств на персонал коммерческих банков, денежные средства и ценности.
Приоритетными направлениями взаимодействия банка и территориального органа внутренних дел должны быть17:
1. Обмен информацией:
о фактах (способах) совершения хищений денежных средств в коммерческих банках с использованием подложных банковских документов, кредитных карточек, подделки иных документов;
о физических лицах, работающих в коммерческих банках, вкладчиках и других клиентах, подозреваемых в совершении правонарушений;
о юридических лицах, являющихся клиентами банка, совершающих банковские операции, имеющие подозрительный характер, в целом о банковских операциях, вызывающих обоснованные сомнения в целесообразности их проведения.
2. Разработка совместных мер:
противодействия предполагаемым (реальным) фактам общеуголовных проявлений в банковской системе, угрозам убийства, либо нанесения тяжких телесных повреждений, уничтожения имущества коммерческих банков, их руководителей, сотрудников и членов их семей;
по технической укрепленности и оборудованию средствами сигнализации объектов банка;
по созданию так называемой «горячей линии» между банковским и территориальным органом внутренних дел (милицией);
участия в формировании централизованного, регионального банка данных о предприятиях различных форм собственности, недобросовестных участниках кредитно-денежных отношений;
3. Работа по подбору, расстановке и профессиональная подготовка кадров служб банковской безопасности:
осуществление совместной проверки кандидатур на работу в службу банковской безопасности с использованием информационных возможностей органов внутренних дел, сведений о судимости и т.д.;
проведение совместной разработки и введение правил об ответственности персонала коммерческих банков за противоправное использование, либо разглашение коммерческой (банковской) тайны с учетом диспозиции ст. 183 УК РФ "Незаконное получение и разглашение сведений, составляющих коммерческую или банковскую тайну";
использование помощи милиции в обучении и повышении квалификации кадров службы безопасности банка.
Таким образом, реализация изложенных положений позволяет руководителю коммерческого банка определить основы организации безопасности кредитного учреждения с учетом местных условий и своих возможностей по затратам и ресурсам ее обеспечения.
3 Перспективные направления развития комплексной системы безопасности управления этой системой в СПб филиала ОАО «Тверьуниверсалбанк»
3.1 Проектирование комплексной системы безопасности в СПб филиале ОАО «Тверьуниверсалбанк»
Для построения системы защиты, адекватной имеющимся реальным угрозам, требуется ясное понимание того, что и кто реально угрожает безопасности банка. Анализ угроз необходим для качественной и количественной оценки как внешних, так и внутренних угроз безопасности информации, актуальных для обследуемой корпоративной системы. В результате полученной оценки можно сформулировать полный набор требований к системе, обеспечивающей необходимый уровень защиты активов. В результате анализа строится модель угроз безопасности, проводится их классификация, анализ и оценка источников угроз, уязвимостей (факторов) и методов реализации (рис.2).
Анализ угроз безопасности включает18:
Определение приоритетности целей информационной безопасности;
Анализ информационных потоков ИС, точек их пересечения, точек обработки и хранения;
Определение перечня актуальных источников угроз;
Определение перечня актуальных уязвимостей;
Оценку взаимосвязи угроз, источников угроз и уязвимостей;
Определение перечня возможных атак на объект;
Описание возможных последствий реализации угроз;
Подготовку предложений по изменению структуры информационных потоков для повышение уровня защищенности ИС (при необходимости).
Результатом проведения анализа безопасности является аналитический отчет (или соответствующий раздел о текущем состоянии защищенности корпоративной системы) с описание реальных угроз безопасности, источников этих угроз, способов реализации и уязвимости. Данные проведенного анализа и оценки используются при выборе адекватных методов парирования угроз, а также – при определении задач для разработчиков (проектировщиков, поставщиков) систем обеспечения безопасности информации. Отчет может служить основой для разработки концепции безопасности, профиля защиты, задания по безопасности, частного технического задания.

Рис.2 – Модель реализации угроз
Перед построением или модернизацией системы обеспечения безопасности информации важно оценить возможный материальный ущерб (в том числе в денежном выражении) и вероятность реализации угроз безопасности. Иначе стоимость системы защиты может превысить размер возможного материального ущерба, либо система безопасности будет готова противостоять даже самым маловероятным угрозам за счет использования весьма дорогостоящих средств. Чтобы избежать подобных ситуаций, пред началом создания СОБ целесообразно проанализировать возможные информационные риски.
Анализ информационных рисков включает:
Определение ценности ресурсов;
Оценку характеристик факторов риска;
Анализ рисков представляющий собой проведение математических расчетов величины рисков с использование программных средств.
Проведение анализа информационных рисков осуществляется на основе результатов комплексного обследования (аудита) системы безопасности. В качестве базы используются известные западные методики с применение специализированного инструментария.
Кроме того, для адекватного анализа информационных рисков необходим большой объем участия в процессе сотрудников.
Результатом работ являются разработанная методика оценки информационных рисков заказчика с учетом действующей бизнес-модели корпоративной информационной системы. Предоставляется аналитический отчет, содержащий расчет всех возможных рисков организации и прогноз их реализации. Данная информация может быть использована для составления бюджеты дальнейших работ по защите информации и построения СОБИ, адекватной возможным угрозам.
В настоящее время экономическая оценка инвестиций, направленных на создание, поддержку и/или модернизацию ИТ-инфраструктуры организации, стала общепринятой нормой. Так, при внедрении или модернизации СиЗИ возникает необходимость экономического обоснования всех материальных затрат на ее создание или модернизацию. При оценке экономических параметров используются методика определения совокупной стоимости владения (ТСО – Total Cost of Ownership).
Таблица 2 – Интегральная оценка актуальных атак для угрозы «Хищение (копирование) информации и средств ее обработки»
Источник
i
Метод
f
Уязвимость
Коэффициент опасности
Коэффициент опасности атаки
Криминальные структуры
0,28
Маскировка под авторизованного пользователя
0,62
Ошибки при использовании средств обмена информацией
0,171
1,0
Представители службы защиты информации (администраторы)
0,28
Перехват информации в линиях связи
0,50
Нарушение доступа к техническим средствам
0,137
0,80
Представители службы защиты информации (администраторы)
0,28
Чтение, копирование информации
0,48
Нарушение обработки и обмена информацией
0,132
0,80
Основной персонал (пользователи, программисты, разработчики)
0,28
Несанкционированное изменение полномочий
0,40
Инсталляция нештатного программного обеспечения
0,110
0,65
В результате, грамотно рассчитанные экономическое показатели позволят определить оптимальную стоимость (бюджет) системы безопасности, а также провести коррекцию технического проекта ее создания, чтобы избежать превышения затрачиваемых ресурсов по парированию конкретных угроз безопасности информации над возможным материальных ущербом от реализации этих угроз19.
Обеспечение безопасности возможно лишь при наличии и четком соблюдении правил защиты информации, четко регламентирующих какую информацию, где и как нужно защищать и действующих для всех без исключения сотрудников. В рамках организации эти правила превращаются в достаточно сложную иерархическую систему инструкций и регламентов, предназначенных для исполнения различными категориями сотрудников, задействованных в процессе обеспечения безопасности.

Рис.3 – Структура ТСО
Рис.4 – Графическое представление определения оптимальной стоимости системы безопасности
Совокупность взаимоувязанных документов, определяющих такой порядок обеспечения безопасности, а также выдвигающих требования по поддержанию подобного порядка, представляет собой политику безопасности.
Разработка политики безопасности – обязательный, основополагающий этап при проектировании практически любой системы обеспечения безопасности. От правильного формирования корпоративных правил и процедур обеспечения безопасности в определяющей степени зависит уровень всех дальнейших проектных решений и, в конечном итоге, - уровень безопасности.
В структуре политики безопасности выделяются три иерархических уровня, каждый из которых содержит совокупность нескольких документов, которые либо устанавливают некоторые принципы обеспечения безопасности, либо определяются как эти принципы реализовать.
Очевидно, что построить полную систему требований для создания СОБИ возможно только в том случае, если проанализированы все риски и нормативная база, регулирующая вопросы защиты.
Рис.5 – Структура политики безопасности
В документах первого уровня формулируются цели обеспечения безопасности, которые в дальнейшем определяют правила и требования по всем вопросам безопасности информации и становятся обязательными для всех структурных подразделений организации. Документы первого уровня политики безопасности включают20:
Стратегию безопасности, констатирующую понимание руководством организации проблемы безопасности информации, определяющую замысел и декларирующую необходимость осуществления мероприятия по обеспечению безопасности. Стратегия разрабатывается на основании результатов комплексного обследования;
Концепцию безопасности, формулирующую и отражающую официально принятую в организации систему взглядов на проблему обеспечения безопасности и пути ее решения с учетом современных тенденций развития. Это важнейших документ, определяющий стратегические, долгосрочные решения по организации информационной безопасности, интегрирующий все другие документы по поставленным целям и задачам. Концепция позволяет правильно организовать взаимодействие подразделений организации в вопросах обеспечения безопасности и распределить ответственность должностных лиц в решении этих вопросов. Все дальнейшие частные технические решения по развитию общей информационной и телекоммуникационной структуры организации и обеспечению ее безопасности должны опираться на выводы концепции. Концепция разрабатывается на основании результатов комплексного обследования.
Документы второго уровня являются организационно-распорядительными и регламентируют все вопросы организации и проведения работ по защите информации, а также содержат технические требования к составляющих элементам системы защиты как одной из составляющих СОБ. Документы второго уровня политики безопасности включают:
Регламент обеспечивающий безопасность, в котором излагаются: порядок обращения с защищаемым объектом, основные правила действия сотрудников и их ответственность за обеспечение безопасности в любых ситуациях. Также в нем находят отражение вопросы, раскрывающие порядок и процедуры аттестации объектов, внутреннего контроля режима защиты и аудита безопасности внешними организациями, порядок реагирования на нарушения режима безопасности, порядок реагирования на нарушения режима безопасности и ликвидации последствий при возникновении нештатных ситуаций. Регламент разрабатывается на основании концепции безопасности для организации;
Общие технические требования (ОТТ) по обеспечению безопасности при разработке и внедрении систем – документ, устанавливающий основные требования, предъявляемые к ПО и техническим средствам безопасности, для обеспечения требуемого уровня безопасности. Данный документ также является обязательным и для подрядных организаций (разработчиков), отвечающих за создание или модернизацию системы. ОТТ разрабатываются на основании концепции безопасности;
Профиль защиты для системы, содержащий требования декларированного характера к программно-аппаратным средствам защиты, в том числе и встроенным. При этом сам профиль защиты не регламентирует то, каким образом данные требования будут реализовываться, обеспечивая тем самым независимость в выборе средств защиты.
Третий уровень политики безопасности включает разработку различной исполнительной документации, включающей должностные положения и инструкции, а также эксплуатационные документы средств защиты информации. Разработка нормативной организационно-распорядительной документации – это поредение порядка обработки информации в процессе эксплуатации защищенной корпоративной системы. К документам этого уровня относятся, например:
Положение о категорировании информационных ресурсов;
Положение о подразделении обеспечения безопасности;
Положение об администраторе безопасности;
Требования к специалистам системы управления безопасностью;
Инструкция о порядке и процедуре приема и увольнения сотрудников;
Инструкция по организации парольной защиты;
Инструкция о порядке предоставления доступа к ресурсам;
Инструкция по установке, модификации и обслуживанию;
Инструкция по организации антивирусной защиты в системе;
Инструкция по делопроизводству конфиденциальной документации;
Инструкция (план) по ликвидации последствий нештатных ситуаций;
3.2 Предложения по организации комплексной системы безопасности в СПб филиале ОАО «Тверьуниверсалбанка»
Предложения по организации комплексной системы безопасности коммерческого банка представляют собой научно обоснованную систему взглядов на определение основных направлений, условий и порядка практического решения задач защиты банковского дела от противоправных действий и недобросовестной конкуренции21.
Под безопасностью коммерческого банка понимается состояние защищенности интересов владельцев, руководства и клиентов банка, материальных ценностей и информационных ресурсов от внутренних и внешних угроз.
Обеспечение безопасности является неотъемлемой составной частью деятельности коммерческого банка. Состояние защищенности представляет собой умение и способность кредитной организации надежно противостоять любым попыткам криминальных структур или недобросовестных конкурентов нанести ущерб законным интересам банка.
Объектами безопасности являются:
персонал (руководство, ответственные исполнители, сотрудники);
финансовые средства, материальные ценности, новейшие технологии;
информационные ресурсы (информация с ограниченным доступом, составляющая коммерческую тайну, иная конфиденциальная информация, предоставленная в виде документов и массивов независимо от формы и вида их представления).
Субъектами правоотношений при решении проблемы безопасности являются:
государство (Российская Федерация) как собственник ресурсов, создаваемых, приобретаемых и накапливаемых за счет средств государственных бюджетов, а также информационных ресурсов, отнесенных к категории государственной тайны;
Центральный банк Российской Федерации, осуществляющий денежно- кредитную политику страны;
коммерческий банк как юридическое лицо, являющееся собственником финансовых, а также информационных ресурсов, составляющих служебную, коммерческую и банковскую тайну;
другие юридические и физические лица, в том числе партнеры и клиенты по финансовым отношениям, задействованные в процессе функционирования коммерческого банка как внутри страны, так и во внешнефинансовых связях (органы государственной власти, исполнительные органы, организации, привлекаемые для оказания услуг в области безопасности, обслуживающий персонал, клиенты и др.);
службы безопасности коммерческих банков и частные охранно-детективные структуры.
Предложения по организации комплексной системы безопасности определяют цели и задачи системы безопасности, принципы ее организации, функционирования и правовые основы, виды угроз безопасности и ресурсы, подлежащие защите, а также основные направления разработки системы безопасности, включая правовую, организационную и инженерно-техническую защиту.
3.2.1 Отсутствие организационных и технических мероприятий по обеспечению защиты речевой информации в помещениях, выделенных для ведения конфиденциальных переговоров
Исходя из возможности перехвата речевой информации при проведении разговоров конфиденциального характера с помощью внедрения закладных устройств, акустических, виброакустических и лазерных технических средств разведки, противодействие этим угрозам должно осуществляться всеми доступными средствами и методами.
Каналы утечки информации бывают естественными и искусственно созданными. Часто возникает ситуация, когда параметры естественного канала утечки информации специальным образом дорабатываются для повышения эффективности передачи информации. Рассмотрим эти каналы, не вдаваясь в глубины их физического происхождения.