- •Высшего профессионального образования
- •Оглавление
- •Введене
- •Глава 1. Анализ нормативной законодательной базы
- •Глава 2. Краткая характеристика коммерческого банка
- •2.1 Формирование режима безопасности информации
- •2.2 Оценка рисков информационных угроз безопасности защищённого документооборота
- •Глава 3. Анализ документооборота банка
- •3.1. Анализ системы защиты конфиденциальной информации
- •3.1.1 Дбо bs-Client, «Банк-Клиент»
- •3.1.2 Kaspersky Business Space Security
- •3.2 Рекомендации по улучшению защищённого документа оборота
- •3.2.1 Организационно-правовые мероприятия
- •3.2.2 Программно-аппаратный комплекс «тритон»
- •3.2.3 Идентификаторы Rutoken
- •3.2.4 Clientless Endpoint
- •3.2.5 Netdefend межсетевой экран
- •Заключение
2.2 Оценка рисков информационных угроз безопасности защищённого документооборота
Оценка рисков информационных угроз безопасности защищённого документооборота
R(риск) = P(происшествия) × C(цена потери)
В методиках, рассчитанных на более высокие требования, используется модель оценки риска с тремя факторами: угроза, уязвимость, цена потери.
P(происшествия) = T(угрозы) × V(уязвимости)
Соответственно, риск рассчитывается по формуле .
R(риск)= T(угрозы) × V(уязвимости)× C(цена потери)
Таблица - Оценка рисков информационной безопасности
|
Наименование элемента информации |
Цена информации |
Вероятность угрозы |
Вероятность уязвимости |
Риск |
|
1 |
2 |
3 |
4 |
5 |
|
Личные данные сотрудников |
58000 |
0,6 |
0,8 |
27840 |
|
Личные данные клиентов |
100000 |
0,6 |
0,8 |
48000 |
|
Приказы по личному составу |
15000 |
0,8 |
0,4 |
4800 |
|
Банковские счета |
500000 |
0,6 |
0,8 |
240000 |
|
Договора с клиентами |
300000 |
0,8 |
0,6 |
144000 |
|
Договора с банками |
500000 |
0,8 |
0,6 |
144000 |
|
Бухгалтерская отчётность |
50000 |
0,2 |
0,8 |
8000 |
|
Деловая переписка |
100000 |
0,8 |
0,4 |
32000 |
|
Сервер |
350000 |
0,4 |
0,4 |
56000 |
|
Компьютер с спец.по |
200000 |
0,4 |
0,4 |
32000 |
|
Информация об банковских картах |
100000 |
0,8 |
0,8 |
64000 |
|
Бытовой мусор (документы, вышедшие из оборота) |
5000 |
0,2 |
0.2 |
200 |
|
|
|
|
Итого: |
736640 |
Исходя из расчетоа суммарный риск составляет 800840 рублей.
Вывод:
В данной главе была описана структуры комерческого банка было проведено структурирование защищаемой информации на рассматриваемом объекте, оценены риски угроз информационной безопасности. Результатом работы являются выработанные рекомендации по совершенствованию системы защищённого документооборота для туристической фирмы. В главе нашла свое отражение структурная схема комерческого банка, на основании которой можно вырабатывать правила организации документопотока.
Глава 3. Анализ документооборота банка
Документооборот в банке - комплекс банковских норм и правил, определяющих прохождение документов по подразделениям банков, порядок их обработки и оформления при совершении банковских операций.
Конфиденциальная информация - информация с ограниченным доступом, не содержащая сведений, составляющих государственную тайну, доступ к которой ограничивается в соответствии с законодательством Российской Федерации. В соответствии с Указам Президента РФ "Об утверждении перечня сведений конфиденциального характера", к конфиденциальной информации на рассматриваемом предприятии можно отнести сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность, а также сведения, связанные с коммерческой деятельностью, доступ к которым ограничен в соответствии с Гражданским кодексом Российской Федерации и федеральными законами.
Сотрудники банка выполняют следующие операции:
приеме и выдаче расчетных чеков;
проведении операций по аккредитивам;
консультировании клиентов;
хранение, учет ценных бумаг;
Для бумажных документов целесообразно ввести на предприятии следующие грифы:
"Коммерческая тайна", для документов, содержащих сведения, отнесённые на предприятии к коммерческой тайне;
"Конфиденциально", для документов, содержащих персональные данные.
Степень конфиденциальности сведений, содержащихся в документах имеющих грифы "Коммерческая тайна" и "Конфиденциально" может быть равна, однако, в соответствии со п.5 ст.10 закона "О коммерческой тайне", на документы содержащие коммерческую тайну необходимо наносить гриф "Коммерческая тайна", а не какой-либо другой.
Движение документов, содержащих конфиденциальные сведения, внутри организации.
Средства идентификации и аутентификации пользователей
В целях предотвращения работы с ресурсами информационной системы Банка посторонних лиц необходимо обеспечить возможность распознавания каждого легального пользователя. Для идентификации могут применяться различного рода устройства: магнитные карточки, ключи, ключевые вставки, дискеты и т.п.
Средства разграничения доступа
Технические средства разграничения доступа должны по возможности быть составной частью единой системы контроля доступа:
на контролируемую территорию; в отдельные помещения;
к компонентам информационной среды Банка и элементам системы защиты информации;
к информационным ресурсам ;
к активным ресурсам;
к операционной системе, системным программам и программам защиты.
Средства обеспечения и контроля целостности
Средства контроля целостности информационных ресурсов системы предназначены для своевременного обнаружения модификации или искажения ресурсов системы. Они позволяют обеспечить правильность функционирования системы защиты и целостность хранимой и обрабатываемой информации.
Криптографические средства защиты информации
Основными элементами системы, обеспечения безопасности информации Корпоративной информационной системы банка являются криптографические методы и средства защиты. Перспективным направлением, использования криптографических методов, является создание инфраструктуры безопасности и использованием открытых ключей.
Организация в Банке системы информационной безопасности на основе инфраструктуры с открытым ключом позволит решить следующие задачи, дающие преимущества бизнесу Банка:
организация обеспечения защищенного документооборота с использованием имеющихся систем, как внутри Банка, так и при взаимоотношениях с организациями-корреспондентами и клиентами Банка. Это позволит повысить эффективность и снизить накладные расходы на администрирование системы и использовать единые стандарты защиты данных;
возможность реализации системы информационной безопасности в Банке, централизованно контролируемой из центрального офиса Банка, при этом гибкой и динамически управляемой;
универсализация методов обеспечения доступа пользователей и защиты транзакций для системы электронной почты, автоматизированной банковской системы, системы дистанционного банковского обслуживания, системы доступа в Internet и других систем с использованием уже имеющихся в этих приложениях механизмов обеспечения информационной безопасности;
создание единого распределенного каталога учетных данных всех пользователей информационных систем Банка. Организация единого централизованно управляемого каталога позволит снизить расходы на администрирование и обеспечить оперативное управление учетными данными;
использование имеющихся реализаций российских криптографических алгоритмов в операциях с сертификатами и при защите электронного документооборота.
Все средства криптографической защиты информации в Банке должны строиться на основе базисного криптографического ядра, прошедшего всесторонние исследования специализированными организациями.
Ключевая система применяемых в Банке средств криптографической защиты информации должна обеспечивать криптографическую живучесть, разделение пользователей по уровням обеспечения защиты и зонам их взаимодействия между собой и пользователями других уровней.
Конфиденциальность и защита информации при ее передаче по каналам связи должна обеспечиваться также за счет применения в системе шифросредств абонентского шифрования. В корпоративной информационной системе, являющейся структурой с распределенными информационными ресурсами, также должны использоваться средства формирования и проверки электронной цифровой подписи, обеспечивающие целостность и юридически доказательное подтверждение подлинности сообщений, а также аутентификацию пользователей, абонентских пунктов и подтверждение времени отправления сообщений.