Информационная безопасность: как обезопасить себя и клиентов. Реферат: Информационная безопасность в бизнесе Информационная безопасность предприятия Информационная защита бизнеса

Министерство образования и науки Российской Федерации

федеральное государственное бюджетное образовательное учреждение

высшего профессионального образования

"ПЕРМСКИЙ НАЦИОНАЛЬНЫЙ ИССЛЕДОВАТЕЛЬСКИЙ

ПОЛИТЕХНИЧЕСКИЙ УНИВЕРСИТЕТ"

Контрольная работа

по дисциплине

ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ ПРЕДПРИЯТИЯ

Тема "Информационная безопасность в бизнесе на примере ОАО "Альфа-банк"

Выполнила студентка

группа ФК-11Б:

Смышляева Мария Сергеевна

Проверил преподаватель:

Шабуров Андрей Сергеевич

Пермь - 2013

Введение

Заключение

Список литературы

Введение

Информационные ресурсы большинства компаний являются одними из наиболее ценных ресурсов. По этой причине коммерческая, конфиденциальная информация и персональные данные должны быть надежно защищены от неправомерного использования, но в то же время легко доступны субъектам, участвующим в обработке данной информации или использующим ее в процессе выполнения возложенных задач. Использование для этого специальных средств способствует устойчивости бизнеса компании и его жизнеспособности.

Как показывает практика, вопрос организации защиты бизнеса в современных условиях стал наиболее актуальным. "Вскрываются" интернет-магазины и опустошаются кредитные карточки покупателей, казино и тотализаторы подвергаются шантажу, корпоративные сети попадают под внешнее управление, компьютеры "зомбируются" и включаются в бот-сети, а мошенничество с использованием похищенных персональных данных приобретает характер бедствия национального масштаба.

Поэтому руководители компаний должны осознавать важность информационной безопасности, научиться прогнозировать тенденции в этой области и управлять ими.

Целью данной работы является выявление достоинств и недостатков системы обеспечения информационной безопасности бизнеса на примере банка "Альфа-банк".

Характеристика деятельности ОАО "Альфа-Банк"

Альфа-Банк основан в 1990 году. Альфа-Банк является универсальным банком, осуществляющим все основные виды банковских операций, представленных на рынке финансовых услуг, включая обслуживание частных и корпоративных клиентов, инвестиционный банковский бизнес, торговое финансирование и управление активами.

Головной офис Альфа-Банка располагается в Москве, всего в регионах России и за рубежом открыто 444 отделений и филиалов банка, в том числе дочерний банк в Нидерландах и финансовые дочерние компании в США, Великобритании и на Кипре. В Альфа-Банке работает около 17 тысяч сотрудников.

Альфа-Банк является крупнейшим российским частным банком по размеру совокупных активов, совокупному капиталу и размеру депозитов. В банке имеется большая клиентская база как корпоративных клиентов, так и физических лиц. Альфа-Банк развивается как универсальный банк по основным направлениям: корпоративный и инвестиционный бизнес (включая малый и средний бизнес (МСБ), торговое и структурное финансирование, лизинг и факторинг), розничный бизнес (включая систему банковских филиалов, автокредитование и ипотеку). Особое внимание оказывается развитию банковских продуктов корпоративного бизнеса в массовом и МСБ сегментах, а также развитию удаленных каналов самообслуживания и интернет-эквайринга. Стратегическими приоритетами Альфа-Банка являются поддержание статуса лидирующего частного банка в России, укрепление стабильности, повышение прибыльности, установление отраслевых стандартов технологичности, эффективности, качества обслуживания клиентов и слаженности работы.

Альфа-Банк является одним из самых активных российских банков на мировых рынках капитала. Ведущие международные рейтинговые агентства присваивают Альфа-Банку одни из самых высоких рейтингов среди российских частных банков. Четыре раза подряд он занял первое место по результатам исследования "Индекс впечатления клиента". Сектор розничных банковских услуг после финансового кризиса", проведенного компанией Senteo совместно с PricewaterhouseCoopers. Также в 2012 году Альфа-Банк был признан лучшим интернет банком по версии журнала GlobalFinance, награжден за лучшую аналитику Национальной Ассоциацией Участников Фондового Рынка (НАУФОР), стал лучшим российским частным банком по индексу доверия, рассчитанным исследовательским холдингом Ромир.

Сегодня Банк располагает сетью федерального масштаба, включающей 83 точки продаж. Альфа Банк обладает одной из самых крупных сетей среди коммерческих банков, состоящей из 55 офисов и охватывающей 23 города. В результате увеличения сети у Банка появились дополнительные возможности по увеличению клиентской базы, расширению спектра и качества банковских продуктов, реализации межрегиональных программ, комплексному обслуживанию системообразующих клиентов из числа крупнейших предприятий.

Анализ теоретической базы вопроса информационной безопасности бизнеса

Актуальность и важность проблемы обеспечения информационной безопасности обусловлена следующими факторами:

·Современные уровни и темпы развития средств информационной безопасности значительно отстают от уровней и темпов развития информационных технологий.

·Высокие темпы роста парка персональных компьютеров, применяемых в разнообразных сферах человеческой деятельности. Согласно данным исследований компании Gartner Dataquest в настоящее время в мире более миллиарда персональных компьютеров.

информационная безопасность бизнес банк

·Резкое расширение круга пользователей, имеющих непосредственный доступ к вычислительным ресурсам и массивам данных;

В настоящее время значение информации, хранимой в банках, значительно увеличилось, сосредотачивалась важная и зачастую секретная информация о финансовой и хозяйственной деятельности многих людей, компаний, организаций и даже целых государств. Банк хранит и обрабатывает ценную информацию, затрагивающую интересы большого количества людей. Банк хранит важную информацию о своих клиентах, что расширяет круг потенциальных злоумышленников, заинтересованных в краже или порче такой информации.

Свыше 90% всех преступлений связана с использованием автоматизированных систем обработки информации банка. Следовательно, при создании и модернизации АСОИБ банкам необходимо уделять пристальное внимание обеспечению ее безопасности.

Основное внимание нужно уделять компьютерной безопасности банков, т.е. безопасности автоматизированных систем обработки информации банка, как наиболее актуальной, сложной и насущной проблеме в сфере банковской информационной безопасности.

Стремительное развитие информационных технологий открыло новые возможности для бизнеса, однако привело и к появлению новых угроз. Современные программные продукты из-за конкуренции попадают в продажу с ошибками и недоработками. Разработчики, включая в свои изделия всевозможные функции, не успевают выполнить качественную отладку создаваемых программных систем. Ошибки и недоработки, оставшиеся в этих системах, приводят к случайным и преднамеренным нарушениям информационной безопасности. Например, причинами большинства случайных потерь информации являются отказы в работе программно-аппаратных средств, а большинство атак на компьютерные системы основаны на найденных ошибках и недоработках в программном обеспечении. Так, например, за первые полгода после выпуска серверной операционной системы компании Microsoft Windows было обнаружено 14 уязвимостей, 6 из которых являются критически важными. Несмотря на то, что со временем Microsoft разрабатывает пакеты обновления, устраняющие обнаруженные недоработки, пользователи уже успевают пострадать от нарушений информационной безопасности, случившихся по причине оставшихся ошибок. Пока не будут решены эти многие другие проблемы, недостаточный уровень информационной безопасности будет серьезным тормозом в развитии информационных технологий.

Под информационной безопасностью понимается защищённость информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений, в том числе владельцам и пользователям информации и поддерживающей инфраструктуры.

В современном деловом мире происходит процесс миграции материальных активов в сторону информационных. По мере развития организации усложняется ее информационная система, основной задачей которой является обеспечение максимальной эффективности ведения бизнеса в постоянно меняющихся условиях конкуренции на рынке.

Рассматривая информацию как товар, можно сказать, что обеспечение информационной безопасности в целом может привести к значительной экономии средств, в то время как ущерб, нанесенный ей, приводит к материальным затратам. Например, раскрытие технологии изготовления оригинального продукта приведет к появлению аналогичного продукта, но от другого производителя, и как следствие нарушения информационной безопасности, владелец технологии, а может быть и автор, потеряют часть рынка и т.д. С другой стороны, информация является субъектом управления, и ее изменение может привести к катастрофическим последствиям в объекте управления.

Согласно ГОСТ Р 50922-2006, обеспечение информационной безопасности - это деятельность, направленная на предотвращение утечки информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию. Информационная безопасность актуальна как для предприятий, так и для госучреждений. С целью всесторонней защиты информационных ресурсов и осуществляются работы по построению и разработке систем информационной безопасности.

Существует множество причин, которые могут серьёзно повлиять на работу локальных и глобальных сетей, привести к потере ценной информации. Среди них можно выделить следующие:

Несанкционированный доступ извне, копирование или изменение информации случайные или умышленные действия, приводящие к:

искажению либо уничтожению данных;

ознакомление посторонних лиц с информацией, составляющей банковскую, финансовую или государственную тайну.

Некорректная работа программного обеспечения, приводящая к потере или порче данных из-за:

ошибок в прикладном или сетевом ПО;

заражения систем компьютерными вирусами.

Технические сбои оборудования, вызванные:

отключением электропитания;

отказом дисковых систем и систем архивации данных;

нарушением работы серверов, рабочих станций, сетевых карт, модемов.

Ошибки обслуживающего персонала.

Конечно, универсального решения, исключающего все перечисленные причины, нет, однако во многих организациях разработаны и применяются технические и административные меры, позволяющие риск потери данных или несанкционированного доступа к ним свести к минимуму.

На сегодняшний день существует большой арсенал методов обеспечения информационной безопасности, который применяется и в "Альфа-Банке":

·средства идентификации и аутентификации пользователей (так называемый комплекс 3А);

·средства шифрования информации, хранящейся на компьютерах и передаваемой по сетям;

·межсетевые экраны;

·виртуальные частные сети;

·средства контентной фильтрации;

·инструменты проверки целостности содержимого дисков;

·средства антивирусной защиты;

·системы обнаружения уязвимостей сетей и анализаторы сетевых атак.

"Комплекс 3А" включает аутентификацию (или идентификацию), авторизацию и администрирование. Идентификация и авторизация - это ключевые элементы информационной безопасности. При попытке доступа к какой - либо программе функция идентификации дает ответ на вопрос: "Кто вы?" и "Где вы?", являетесь ли вы авторизованным пользователем программы. Функция авторизации отвечает за то, к каким ресурсам конкретный пользователь имеет доступ. Функция администрирования заключается в наделении пользователя определенными идентификационными особенностями в рамках данной сети и определении объема допустимых для него действий. В "Альфа-Банке" при открытии программ запрашивается пароль и логин каждого сотрудника, а при осуществлении каких-либо операций в некоторых случаях нужна авторизация руководителя или его заместителя в отделении.

Системы шифрования позволяют минимизировать потери в случае несанкционированного доступа к данным, хранящимся на жестком диске или ином носителе, а также перехвата информации при ее пересылке по электронной почте или передаче по сетевым протоколам. Задача данного средства защиты - обеспечение конфиденциальности. Основные требования, предъявляемые к системам шифрования - высокий уровень криптостойкости и легальность использования на территории России (или других государств).

Межсетевой экран представляет собой систему или комбинацию систем, образующую между двумя или более сетями защитный барьер, предохраняющий от несанкционированного попадания в сеть или выхода из нее пакетов данных. Основной принцип действия межсетевых экранов. проверка каждого пакета данных на соответствие входящего и исходящего IP_адреса базе разрешенных адресов. Таким образом, межсетевые экраны значительно расширяют возможности сегментирования информационных сетей и контроля за циркулированием данных.

Говоря о криптографии и межсетевых экранах, следует упомянуть о защищенных виртуальных частных сетях (Virtual Private Network - VPN). Их использование позволяет решить проблемы конфиденциальности и целостности данных при их передаче по открытым коммуникационным каналам.

Эффективное средство защиты от потери конфиденциальной информации. Фильтрация содержимого входящей и исходящей электронной почты. Проверка самих почтовых сообщений и вложений в них на основе правил, установленных в организации, позволяет также обезопасить компании от ответственности по судебным искам и защитить их сотрудников от спама. Средства контентной фильтрации позволяют проверять файлы всех распространенных форматов, в том числе сжатые и графические. При этом пропускная способность сети практически не меняется.

Современные антивирусные технологии позволяют выявить практически все уже известные вирусные программы через сравнение кода подозрительного файла с образцами, хранящимися в антивирусной базе. Кроме того, разработаны технологии моделирования поведения, позволяющие обнаруживать вновь создаваемые вирусные программы. Обнаруживаемые объекты могут подвергаться лечению, изолироваться (помещаться в карантин) или удаляться. Защита от вирусов может быть установлена на рабочие станции, файловые и почтовые сервера, межсетевые экраны, работающие под практически любой из распространенных операционных систем (Windows, Unix - и Linux_системы, Novell) на процессорах различных типов. Фильтры спама значительно уменьшают непроизводительные трудозатраты, связанные с разбором спама, снижают трафик и загрузку серверов, улучшают психологический фон в коллективе и уменьшают риск вовлечения сотрудников компании в мошеннические операции. Кроме того, фильтры спама уменьшают риск заражения новыми вирусами, поскольку сообщения, содержащие вирусы (даже еще не вошедшие в базы антивирусных программ) часто имеют признаки спама и отфильтровываются. Правда, положительный эффект от фильтрации спама может быть перечеркнут, если фильтр наряду с мусорными удаляет или маркирует как спам и полезные сообщения, деловые или личные.

Можно выделить несколько наиболее типичных видов и способов информационных угроз:

Рассекречивание и кража коммерческой тайны. Если раньше секреты хранились в потайных местах, в массивных сейфах, под надежной физической и (позднее) электронной защитой, то сегодня многие служащие имеют доступ к офисным базам данных, нередко содержащим весьма чувствительную информацию, например, те же данные о клиентах.

Распространение компрометирующих материалов. То есть умышленное или случайное использование сотрудниками в электронной переписке таких сведений, которые бросают тень на репутацию банка.

Посягательство на интеллектуальную собственность. Важно не забывать, что любой интеллектуальный продукт, производимый в банках, как и в любой организации, принадлежит ей и не может использоваться сотрудниками (в том числе генераторами и авторами интеллектуальных ценностей) иначе как в интересах организации. Между тем, в России по этому поводу часто возникают конфликты между организациями и служащими, претендующими на созданный ими интеллектуальный продукт и использующими его в личных интересах, в ущерб организации. Это нередко происходит из-за расплывчатой правовой ситуации на предприятии, когда в трудовом контракте нет четко прописанных норм и правил, очерчивающих права и обязанности служащих.

Распространение (часто неумышленное) внутренней информации, не секретной, но могущей быть полезной для конкурентов (других банках).

Посещения сайтов банков-конкурентов. Сейчас все больше компаний используют на своих открытых сайтах программы (в частности, предназначенные для CRM), которые позволяют распознавать посетителей и детально отслеживать их маршруты, фиксировать время, длительность просмотра ими страниц сайта. Сайты конкурентов были и остаются ценным источником для анализа и прогноза.

Злоупотребление офисными коммуникациями в личных целях (прослушивание, просмотр музыкального и прочего контента, не имеющего отношения к работе, загрузка офисного компьютера) не несет прямой угрозы для информационной безопасности, но создает дополнительные нагрузки на корпоративную сеть, снижает эффективность, мешает работе коллег.

И, наконец, внешние угрозы - несанкционированные вторжения и т.п.

Правила, принятые в банке, должны соответствовать как национальному, так и международно-признанным нормам защиты государственных и коммерческих тайн, персональной и приватной информации.

Организационная защита информации в "Альфа-Банке"

В ОАО "Альфа Банк" реализована политика безопасности, основанная на избирательном способе управления доступом. Такое управление в ОАО "Альфа Банк" характеризуется заданным администратором множеством разрешенных отношений доступа. Матрица доступа заполняется непосредственно системным администратором компании. Применение избирательной политики информационной безопасности соответствует требованиям руководства и требований по безопасности информации и разграничению доступа, подотчетности, а также имеет приемлемую стоимость ее организации. Реализацию политики информационной безопасности полностью возложено на системного администратора ОАО "Альфа Банк".

Наряду с существующей политикой безопасности в компании ОАО "Альфа Банк", используется специализированные аппаратные и программные средства обеспечения безопасности.

В качестве аппаратного средства обеспечения безопасности используется средство зашиты - Cisco 1605. Маршрутизатор снабжен двумя интерфейсами Ethernet (один имеет интерфейсы TP и AUI, второй - только TP) для локальной сети и одним слотом расширения для установки одного из модулей для маршрутизаторов серии Cisco 1600. В дополнение к этому программное обеспечение Cisco IOSFirewallFeatureSet делает из Cisco 1605-R идеальный гибкий маршрутизатор/систему безопасности для небольшого офиса. В зависимости от установленного модуля маршрутизатор может поддерживать соединение, как через ISDN, так и через коммутируемую линию или выделенную линию от 1200 бит/сек до 2Мбит/сек, FrameRelay, SMDS, x.25.

Для защиты информации владелец ЛВС должен обезопасить "периметр" сети, например, установив контроль в месте соединения внутренней сети с внешней сетью. Cisco IOS обеспечивает высокую гибкость и безопасность как стандартными средствами, такими как: Расширенные списки доступа (ACL), системами блокировки (динамические ACL) и авторизацией маршрутизации. Кроме того Cisco IOS FirewallFeatureSet доступный для маршрутизаторов серии 1600 и 2500 обеспечивает исчерпывающие функции системы защиты включая:

контекстное Управление Доступом (CBAC)

блокировка Java

журнал учета

обнаружение и предотвращение атак

немедленное оповещение

Кроме того, маршрутизатор поддерживает работу виртуальных наложенных сетей, туннелей, систему управления приоритетами, систему резервирования ресурсов и различные методы управления маршрутизацией.

В качестве программного средства защиты используется решение KasperskyOpenSpaceSecurity. KasperskyOpenSpaceSecurity полностью отвечает современным требованиям, предъявляемым к системам защиты корпоративных сетей:

решение для защиты всех типов узлов сети;

защита от всех видов компьютерных угроз;

эффективная техническая поддержка;

"проактивные" технологии в сочетании с традиционной сигнатурной защитой;

инновационные технологии и новое антивирусное ядро, повышающее производительность;

готовая к использованию система защиты;

централизованное управление;

полноценная защита пользователей за пределами сети;

совместимость с решениями сторонних производителей;

эффективное использование сетевых ресурсов.

Разрабатываемая система должна обеспечивать полный контроль, автоматизированный учёт и анализ защиты персональной информации, позволять уменьшить время обслуживания клиентов, получать информацию о кодах защиты информации и персональных данных.

Для формирования требования к разрабатываемой системе, необходимо сформировать требования к организации БД, информационной совместимости к разрабатываемой системе.

В основу проектирования баз данных должны быть положены представления конечных пользователей конкретной организации - концептуальные требования к системе.

В данном случае, ИС содержит данные о сотрудниках фирмы. Одной из технологий, которая существенно иллюстрирует работу информационной системы, является разработка схемы документооборота для документов.

Функции разрабатываемой системы могут быть достигнуты, за счет использования вычислительной техники и программных средств. Учитывая, что поиск информации, сведений и документов учета в деятельности специалистов банка составляют порядка 30% рабочего времени, то внедрение автоматизированной системы учета позволит существенно высвободить квалифицированных специалистов, может привести к экономии фонда заработанной платы, уменьшения штата сотрудников, однако могут привести к и введению в штат сотрудников отдела штатной единицы оператора, в обязанности которого будет входить ввод сведений о протекающих бизнес-процессах: документов учета персональных данных и кодов доступа.

Необходимо отметить, что внедрение разрабатываемой системы, позволит снизить, а в идеале, полностью исключить ошибки учета персональной и информации и кодов защиты. Таким образом, внедрение автоматизированного рабочего места менеджера приведет к значительному экономическому эффекту, сокращению штата сотрудников на 1/3, экономии фонда заработанной платы, повышению производительности труда.

В "Альфа-Банке", как и в любом другом банке разработана Политика информационной безопасности, которая определяет систему взглядов на проблему обеспечения безопасности информации и представляет собой систематизированное изложение целей и задач защиты, как одно или несколько правил, процедур, практических приемов и руководящих принципов в области информационной безопасности.

Политика учитывает современное состояние и ближайшие перспективы развития информационных технологий в Банке, цели, задачи и правовые основы их эксплуатации, режимы функционирования, а также содержит анализ угроз безопасности для объектов и субъектов информационных отношений Банка.

Основные положения и требования данного документа распространяются на все структурные подразделения Банка, включая дополнительные офисы. Основные вопросы Политика также распространяются на другие организации и учреждения, взаимодействующие с Банком в качестве поставщиков и потребителей информационных ресурсов Банка в том или ином качестве.

Законодательной основой настоящей Политики являются Конституция Российской Федерации, Гражданский и Уголовный кодексы, законы, указы, постановления, другие нормативные документы действующего законодательства Российской Федерации, документы Государственной технической комиссии при Президенте Российской Федерации, Федерального агентства правительственной связи и информации при Президенте Российской Федерации.

Политика является методологической основой для:

·формирования и проведения единой политики в области обеспечения безопасности информации в Банке;

·принятия управленческих решений и разработке практических мер по воплощению политика безопасности информации и выработки комплекса согласованных мер, направленных на выявление, отражение и ликвидацию последствий реализации различных видов угроз безопасности информации;

·координации деятельности структурных подразделений Банка при проведении работ по созданию, развитию и эксплуатации информационных технологий с соблюдением требований по обеспечению безопасности информации;

·разработки предложений по совершенствованию правового, нормативного, технического и организационного обеспечения безопасности информации в Банке.

Системный подход к построению системы защиты информации в Банке предполагает учет всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов, значимых для понимания и решения проблемы обеспечения безопасности информации Банка.

Обеспечение безопасности информации - процесс, осуществляемый Руководством Банка, подразделениями защиты информации и сотрудниками всех уровней. Это не только и не столько процедура или политика, которая осуществляется в определенный отрезок времени или совокупность средств защиты, сколько процесс, который должен постоянно идти на всех уровнях внутри Банка и каждый сотрудник Банка должен принимать участие в этом процессе. Деятельность по обеспечению информационной безопасности является составной частью повседневной деятельности Банка. И ее эффективность зависит от участия руководства Банка в обеспечении информационной безопасности.

Кроме того, большинству физических и технических средств защиты для эффективного выполнения своих функций необходима постоянная организационная (административная) поддержка (своевременная смена и обеспечение правильного хранения и применения имен, паролей, ключей шифрования, переопределение полномочий и т.п.). Перерывы в работе средств защиты могут быть использованы злоумышленниками для анализа применяемых методов и средств защиты, для внедрения специальных программных и аппаратных "закладок" и других средств преодоления защиты.

Персональная ответственность предполагает возложение ответственности за обеспечение безопасности информации и системы ее обработки на каждого сотрудника в пределах его полномочий. В соответствии с этим принципом распределение прав и обязанностей сотрудников строится таким образом, чтобы в случае любого нарушения круг виновников был четко известен или сведен к минимуму.

В "Альфа-Банке" постоянно осуществляется контроль, за деятельностью любого пользователя, каждого средства защиты и в отношении любого объекта защиты должен осуществляться на основе применения средств оперативного контроля и регистрации и должен охватывать как несанкционированные, так и санкционированные действия пользователей.

В банке разработаны следующие организационно-распорядительные документы:

·Положение о коммерческой тайне. Указанное Положение регламентирует организацию, порядок работы со сведениями, составляющими коммерческую тайну Банка, обязанности и ответственность сотрудников, допущенных к этим сведениям, порядок передачи материалов, содержащих сведения, составляющим коммерческую тайну Банка, государственным (коммерческим) учреждениям и организациям;

·Перечень сведений, составляющих служебную и коммерческую тайну. Перечень определяет сведения, отнесенные к категориям конфиденциальных, уровень и сроки обеспечения ограничений по доступу к защищаемой информации;

·Приказы и распоряжения по установлению режима безопасности информации:

·допуске сотрудников к работе с информацией ограниченного распространения;

·назначении администраторов и лиц, ответственных за работу с информацией ограниченного распространения в корпоративной информационной системе;

·Инструкции и функциональные обязанности сотрудникам:

·по организации охранно-пропускного режима;

·по организации делопроизводства;

·по администрированию информационных ресурсов корпоративной информационной системы;

·другие нормативные документы.

Заключение

Сегодня вопрос об организации информационной безопасности волнует организации любого уровня - начиная с крупных корпораций, и заканчивая предпринимателями без образования юридического лица. Конкуренция в современных рыночных отношениях далека от совершенства и часто ведется не самыми легальными способами. Процветает промышленный шпионаж. Но нередки и случаи непреднамеренного распространения информации, относящейся к коммерческой тайне организации. Как правило, здесь играет роль халатность сотрудников, непонимание ими обстановки, иными словами, "человеческий фактор".

Альфа-Банк обеспечивает защиту следующей информации:

коммерческую тайну

персональные данные (клиентов, работников банка)

банковская тайна

банковские документы (отчеты Отдела безопасности, годовая смета банка, инф. о доходах сотрудников банка и др.)

Информацию в банке защищают таких угроз, как:

·Естественные

·Искусственные угрозы (непреднамеренные (неумышленные, случайные) угрозы, вызванные ошибками в проектировании информационной системы и ее элементов, ошибками в действиях персонала и т.п.; преднамеренные (умышленные) угрозы, связанные с корыстными, идейными или иными устремлениями людей (злоумышленников).

Источники угроз по отношению к самой информационной системе могут быть как внешними, так и внутренними.

Список литературы

1. Указ Президента РФ "О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена" от 17.03.2008 №351;

Галатенко, В.А. Основы информационной безопасности. Интернет-университет информационных технологий. ИНТУИТ. ру, 2008;

Галатенко, В.А. Стандарты информационной безопасности. Интернет-университет информационных технологий. ИНТУИТ. ру, 2005;

Лопатин, В.Н. Информационная безопасность России: Человек, общество, государство. Серия: Безопасность человека и общества. М.: 2000. - 428 с;

Шаньгин, В.Ф. Защита компьютерной информации. Эффективные методы и средства. М.: ДМК Пресс, 2008. - 544 с.

Щербаков, А.Ю. Современная компьютерная безопасность. Теоретические основы. Практические аспекты. М.: Книжный мир, 2009. - 352 с.

Журнал Legal Times, издание от 21.10.2013 г.

Инструкции по работе с конфиденциальными документами в Банке

Репетиторство

Нужна помощь по изучению какой-либы темы?

Наши специалисты проконсультируют или окажут репетиторские услуги по интересующей вас тематике.
Отправь заявку с указанием темы прямо сейчас, чтобы узнать о возможности получения консультации.

Ничто не дается бизнесу столь дешево и не обходится столь дорого, как ошибки в системе защиты корпоративной информации. Лучше учиться на чужих ошибках безопасности.

Кибератаки и DLP -системы

В 2010 году сотрудник HSBC- банка, входящего в полусотню самых надежных банков мира при увольнении прихватил с собой реквизиты 15 тыс. клиентов (преимущественно из Швейцарии и Франции). Этот обошлось банку в $94 млн, потраченных на замену неэффективной системы безопасности.

Куда больший ущерб нанесли добропорядочным гражданам киберпреступники, взломавшие Twitter -аккаунт Associated Press . Взломщики кратко «прощебетали»: «Два взрыва в Белом доме, Барак Обама ранен». Индекс Dow Jones упал на 150 пунктов, а голубые фишки сократили свою суммарную капитализацию на $200 млрд. Правда, после того как появилось опровержение, паника прекратилась, и индекс вернулся к прежнему значению. Но те, кто поспешили сбросить акции по ползущим вниз ценам, изрядно прогорели. Ответственность за взлом взяла на себя некая «Сирийская электронная армия». Однако утверждать наверняка, что это была не чисто экономическая диверсия, нельзя. Уж слишком точно было выбрано время: сразу же после теракта на Бостонском марафоне.

На Всемирном экономическом форуме в числе глобальных рисков для мировой экономики, таких как коррупция, демографический кризис, истощение природных ресурсов, были впервые в истории названы и кибератаки. Угрозы, подстерегающие и компании, и государственные структуры, могут быть как внешними, так и внутренними. Собственно кибератаки - это внешняя угроза. Внутренние угрозы - необязательно результат злого умысла. Вполне лояльные, но некомпетентные в области IT сотрудники могут случайно запустить вложенную в электронное письмо вредоносную программу, по ошибке стереть нужную папку, забрести на сайт, нашпигованый троянами. В результате важная для компании информация может либо бесследно исчезнуть, либо попасть в руки конкурентов или каких-нибудь «борцов за справедливость», одержимых идеями спасения человечества от глобализма и прочих язв капитализма, тоталитаризма etc. Статистика показывает, что наибольший вред компании терпят от своего же персонала.

Проблема компьютерной безопасности возникла сразу, как только американская компания Eckert-Mauchly Computer Corporation в 1951 году выпустила первый серийный компьютер UNIVAC I . Долгое время эта проблема носила скорее теоретический характер. Все изменилось после изобретения Интернета и лавинообразного разрастания Всемирной паутины.

Для противодействия киберпреступности понадобилась целая новая индустрия. Каждый год российские и иностранные компании выпускают все новые и новые антивирусы, криптографические программы, продукты, предотвращающие фишинг и ddos-атаки и т. п. Программы постоянно совершенствуются, возникают новые их разновидности. В частности, сравнительно недавно на рынок средств информационной безопасности вышли DLP -системы (Data Leak Prevention ), предотвращающие утечку информации из корпоративных сетей.

Полноценная и полнофункциональная DLP-система обладает следующими функциями:

тотальный и постоянный контроль всех каналов потенциальной утечки информации;
анализ всего трафика, выходящего за пределы корпоративной сети на предмет наличия конфиденциальной информации;
блокирование передачи конфиденциальной информации, под которой понимаются не только корпоративные секретные данные, но и оскорбительные высказывания, непристойные видеоролики, а также почтовые рассылки, по той или иной причине негативно влияющие на корпоративный имидж;
блокирование приема нежелательной и вредоносной информации;
архивирование перехваченного несанкционированного трафика с целью расследования возникших инцидентов.

Необходимо отметить, что DLP-системы не отменяют актуальность прежних категорий продуктов, таких как антивирусы, криптографические программы, электронные замки с повышенной степенью идентификации пользователей и прочее. Однако весь этот инструментарий за последние 2-3 года стал более уязвимым. Причиной тому два глобальных IT-тренда: экспансия мобильных устройств и облачные вычисления.

Новые уязвимости

В настоящий момент на руках у россиян находится около 50 млн мобильных устройств - смартфонов, планшетов, нетбуков, ноутбуков и т. д. В этом году показатель увеличится еще на 12 млн, а к 2015-му превысит 70 млн. Согласно прогнозу аналитической компании International Data Corporation , мобильные устройства по частоте выхода в Интернет превзойдут персональные компьютеры уже в ближайшие месяцы.

И все эти устройства создают потенциальные уязвимости как для самой корпоративной сети, так и для хранящейся в ней конфиденциальной информации. У хакеров сейчас в большой моде вредоносные программы для смартфонов, работающих под управлением ОС Android . И поскольку сотрудники пользуются смартфонами и на работе, и дома, и на отдыхе, и в транспорте, вероятность инфицирования серверов, входящих в состав корпоративной сети, резко повышается.

Есть угроза и иного рода. Известны как минимум три случая, когда либо подгулявшие, либо перетрудившиеся сотрудники британской контрразведки MI-5, теряли свои ноутбуки с секретной информацией в самых неподходящих местах - в метро, такси, кафе. А смартфон, согласитесь, потерять куда легче, чем ноутбук.

Бороться с «тотальной мобилизацией» офиса бесполезно. Да и невыгодно: ведь сотрудники благодаря смартфонам и планшетам могут работать и дома или на отдыхе. По данным «Лаборатории Касперского», сейчас категорически запрещено использовать на работе мобильные устройства лишь четвертой части сотрудников всех компаний. Полный доступ к корпоративным ресурсам имеют 34% владельцев смартфонов, 38% - планшетов, 45% - ноутбуков. Для остальных введены ограничения различных уровней доступа.

Как же обеспечить информационную безопасность в эпоху мобильного Интернета и облачных вычислений? Задача непростая. Ведь рабочие станции и сервера корпоративных сетей работают под управлением одних ОС (Windows или Unix ), их безопасность поддерживается встроенными в систему средствами. А мобильные устройства мало того, что используют свои ОС, так еще и не располагают эффективными средствами защиты, потому что они задумывались как устройства индивидуального, а не корпоративного пользования. Ситуация усугубляется еще и тем, что контролировать местонахождение мобильного устройства и источник подключения, а также то, в чьих руках оно находится, организационными методами невозможно.

Как правило, эти проблемы решаются программными средствами за счет усиления защитного контура системы, адаптирования корпоративной системы безопасности ко всему многообразию мобильных устройств и установки на них необходимых защитных приложений. Однако возможен и иной способ - выдать сотрудникам корпоративные защищенные планшеты и смартфоны.

Отечественный производитель средств компьютерной безопасности «Код Безопасности» выпустил планшет «Континент Т-10» , работающий под управлением ОС Android 4 и оснащенный всеми необходимыми средствами для безопасной удаленной работы как самого планшета, так и приложений корпоративной системы, к которым он подключается через защищенный шлюз. Этот мобильный девайс полностью интегрирован в корпоративную систему безопасности и не требует никаких дополнительных адаптационных мероприятий.

Серьезные проблемы создают и облачные вычисления. Российский рынок облачных услуг уже превысил годовой оборот в $150 млн и растет ежегодно на 50%. При этом большая часть рынка приходится на частные облака, то есть создаваемые внутри корпорации. Частные облака существенно отличаются от корпоративных сетей жесткой конфигурации с точки зрения информационной безопасности. И требуют собственных средств защиты.

По линейке

Российский рынок информационной безопасности стремительно развивается и уже превысил объем в $600 млн. 15% рынка контролируют пять крупнейших игроков: «Астерос», «Крок», «Информзащита», Leta и «Инфосистемы Джет» . Что же касается мирового рынка, то при ежегодном приросте в 30%, его объем приблизился к $1 млрд. Среди международных лидеров значатся такие гиганты, как Symantec, McAffee, TrendMicro, Check Point, Cisco Systems .

И российские, и западные производители, решая общие задачи, выпускают схожие продукты. Для того чтобы гарантированно защитить информацию от всего спектра существующих угроз, необходим комплексный подход, учитывающий все аспекты функционирования корпоративных сетей, не только технические, но и психологические, связанные с человеческим фактором. Наилучшие результаты достигаются при использовании всей линейки продуктов, обеспечивающих защиту информации: антивирусов, межсетевых экранов, антиспамов, криптографических средств, систем предотвращения потери данных и т. п. Одна единственная брешь в защитном контуре системы способна привести к непредсказуемому ущербу.

Но каждый отдельный отечественный производитель предлагают не всю продуктовую линейку. Возникает ситуация, получившая название «зоопарка систем», когда использование различных продуктов, имеющих различную идеологию, требует создания сложных схем управления. В исключительных случаях это может привести к отказу системы.

Поэтому при выборе системы безопасности следует руководствоваться не только полнотой функционала и масштабируемостью, но и управляемостью, зависящей от единства концепции всех ее компонентов. Из российских вендоров, этому требованию удовлетворяет, например, компания «Код Безопасности», имеющая самую широкую продуктовую линейку. Ее продукты, инсталлированные по «бесшовной» технологии, позволяют оперативно отслеживать происходящие события из единой точки контроля всех защитных систем.

Обеспечение информационной безопасности бизнеса Андрианов В. В.

1.3. Модель информационной безопасности бизнеса

1.3.1. Мотивация

Российская и мировая практика регулирования информационной безопасности (ИБ) недавнего прошлого состояла из обязательных требований национальных уполномоченных органов, оформляемых в виде руководящих документов РД. Поэтому для топ-менеджмента и владельцев организаций существовала только одна проблема соответствия им (комплаенс) и только один способ ее решения - как с минимальными затратами выполнить предлагаемые требования. Для уполномоченных органов существовала своя проблема - как в силу невозможности охвата всех возможных видов деятельности и условий их реализации, а также существенных различий в целях деятельности предложить универсальный набор требований. Для этого проблема ИБ рассматривалась как самодостаточная сущность, инвариантная к деятельности, целям, условиям, а также существенно обуживалась в содержательности в угоду универсальности.

Оба подхода (организаций и регуляторов) неадекватны существующей реальности и представляют ее в существенно искаженном виде. Так, основные содержательные ограничения на деятельность по обеспечению ИБ связаны с традиционной моделью ИБ, предполагающей обязательное наличие злоумышленника, стремящегося нанести ущерб активам (информации), и, соответственно, ориентированной на защиту информации от действий такого субъекта (группы субъектов). При этом инциденты, связанные, например, со штатными изменениями прикладного софта, не могут быть отнесены к злоумышленнику. Их возможные причины - слабо развитый менеджмент и слабая технологическая база. Собственная неадекватность организации (менеджмента, процессов основной деятельности) сложившимся условиям вообще представляет собой очень мощный источник проблем, который игнорируется в силу невозможности его привязки к злоумышленнику.

Дальнейшая эволюция моделей ИБ была связана с усилением роли собственника (владельца) и сводилась к тому, что он сам выбирал (на свой страх и риск) из предложенного ему стандартного набора защитных мер те, которые ему необходимы, т. е. такие, которые, по его мнению, могут обеспечить приемлемый уровень безопасности. Это был существенный шаг вперед, так как он обеспечивал привязку ИБ к конкретному объекту с конкретными условиями его существования, частично разрешая противоречия, связанные с самодостаточностью проблемы ИБ. Однако конструктивного механизма для владельца предложить не удалось, кроме как создания каталога объектов с выбранными типовыми защитными мерами (профилей защиты). Сами профили создавались при этом экспертно-эвристическим методом. При этом какой все-таки риск принимал на себя владелец, оставалось неизвестным и определялось на практике.

Дальнейшая эволюция свелась к тезису о том, что ИБ может создавать (порождать) ущербы для целей деятельности и поэтому риски ИБ (которая оставалась самодостаточной) должны быть согласованы (увязаны) с рисками организации. Оставалось только указать, как их увязывать, и интегрировать систему менеджмента ИБ (СМИБ) в общекорпоративный менеджмент не как изолированную и независимую систему процессов, а как неотъемлемую, сильно связанную составную часть менеджмента. Этого не удалось сделать. Однако этот подход хорошо продвинул ряд оценочных категорий ИБ, включая риски ИБ.

Известны также прагматичные модели ИБ, основанные на оценке совокупной стоимости владения (применительно к ИБ) и «возврате» инвестиций в ИБ. В рамках этого подхода группа близких по целям и условиям деятельности организаций периодически производит оценку по направлениям реализации ИБ и формирует модель, состоящую из лучших практик по группе. Далее каждая из организаций в соответствии со своими отставаниями от лучших практик и своих условий (произошедших инцидентов) определяет направление и объем инвестиций. Эффективность инвестиций оценивается в следующем периоде по снижению ущербов от инцидентов, оказавшихся в области произведенных инвестиций и не повлекших поэтому больших ущербов.

Однако этот подход при многих своих достоинствах требует широкого обмена чувствительной информацией, а конфликт интересов участников обмена исключает создание сколько-нибудь качественных мер доверия, поэтому он не имеет широкого распространения.

Модель ИБ, предложенная в стандарте ЦБ РФ, еще более продвинула проблему как в части ее интеграции (связала с целями деятельности), так и в части расширения толкования сущности «злоумышленник». Под злоумышленником понимается лицо, способное вести противоборство с собственником и имеющее свою цель, которую он реализует, достигая контроля над активами организации.

Такой подход существенно расширяет виды и источники ущербов организации, попадающих в область рассмотрения ИБ, где их решение наиболее рационально. Он, однако, был во многом компромиссным подходом и настоятельно требует дальнейшего приближения проблем ИБ к конечному результату деятельности (производимому продукту). Нужна модель, которая реально помогает бизнесу, напрямую способствует его результативности и необходимому улучшению посредством создания и поддержания безопасной и доверенной информационной сферы, в том числе через борьбу со злоумышленником. Только такая модель может восприниматься бизнесом. Любая другая будет им отторгаться.

Данный текст является ознакомительным фрагментом. Из книги Применение технологий электронного банкинга: риск-ориентированный подход автора Лямин Л. В.

5.4. Адаптация обеспечения информационной безопасности Базовая причина усугубления проблемы ОИБ в условиях перехода к ДБО заключается в принципиальном изменении состава угроз надежности банковской деятельности в связи с формированием ИКБД, т. е. возникновении их новых

автора Андрианов В. В.

1. Философия информационной безопасности бизнеса