- •Высшего профессионального образования
- •Оглавление
- •Введене
- •Глава 1. Анализ нормативной законодательной базы
- •Глава 2. Краткая характеристика коммерческого банка
- •2.1 Формирование режима безопасности информации
- •2.2 Оценка рисков информационных угроз безопасности защищённого документооборота
- •Глава 3. Анализ документооборота банка
- •3.1. Анализ системы защиты конфиденциальной информации
- •3.1.1 Дбо bs-Client, «Банк-Клиент»
- •3.1.2 Kaspersky Business Space Security
- •3.2 Рекомендации по улучшению защищённого документа оборота
- •3.2.1 Организационно-правовые мероприятия
- •3.2.2 Программно-аппаратный комплекс «тритон»
- •3.2.3 Идентификаторы Rutoken
- •3.2.4 Clientless Endpoint
- •3.2.5 Netdefend межсетевой экран
- •Заключение
3.2 Рекомендации по улучшению защищённого документа оборота
Исходя из анализа современной ситуации в области документооборота, приведенные меры защиты недостаточны. Использование ДБО BS-Client, «Банк-Клиент» и Kaspersky Business Space Security является начальным этапом защиты и не предстовляет надёжной защиты информации банка. Для лучшей защиты предлагаются следующие организационно-аппаратные средства для защиты документооборота.
3.2.1 Организационно-правовые мероприятия
Организационно-правовые нормы обеспечения безопасности и защиты информации на любом предприятии отражаются в совокупности учредительных и организационных документов.
Банк имеет право:
определять состав, объем и порядок защиты конфиденциальной информации;
требовать от сотрудников защиты конфиденциальной информации;
осуществлять контроль за соблюдением мер обеспечения экономической безопасности и защиты конфиденциальной информации.
Банк обязан :
обеспечить экономическую безопасность и сохранность конфиденциальной информации;
осуществлять действенный контроль выполнения мер экономической безопасности и защиты конфиденциальной информации.
Необходимо в также добавить раздел "Конфиденциальная информация", который будет содержать следующее:
Общество организует защиту своей конфиденциальной информации.
Состав и объем сведений конфиденциального характера, и порядок их защиты определяются генеральным директором.
Внесение перечисленных дополнений даёт администрации банка право:
создавать организационные структуры по защите коммерческой тайны или возлагать эти функции на соответствующих должностных лиц;
издавать нормативные и распорядительные документы, определяющие порядок выделения сведений, составляющих коммерческую тайну, и механизмы их защиты;
включать требования по защите коммерческой тайны в договоры;
распоряжаться информацией, являющейся собственностью Банку, в целях недопущения экономического ущерба клиентам.
Администрация обязуется в целях недопущения нанесения экономического ущерба коллективу обеспечить разработку и осуществление мероприятий по защите конфиденциальной информации.
Трудовой коллектив принимает на себя обязательства по соблюдению установленных на фирме требований по защите конфиденциальной информации.
В раздел "Кадры. Обеспечение дисциплины труда" необходимо добавить: Администрация обязуется нарушителей требований по защите конфиденциальной информации привлекать к ответственности в соответствии с законодательством РФ.
Для защиты конфиденциальной информации в организации должны быть разработаны следующие нормативно-правовые документы:
перечень сведений, составляющих банковскую тайну;
договорное обязательство о неразглашении банковской тайны;
инструкция по защите банковской тайны.
Защита информации, представленной в электронном виде, должна осуществляться в соответствии с требования РД ФСТЭК, и СТР-К .
В первую очередь следует разработать перечень сведений, составляющий коммерческую тайну
Сведения, включенные в Перечень, имеют ограниченный характер на использование. Ограничения, вводимые на использования сведений, составляющих коммерческую тайну, направлены на защиту интеллектуальной, материальной, финансовой собственности и других интересов, возникающих при организации трудовой деятельности работников её подразделений, а также при их сотрудничестве с работниками других предприятий.
Перечень должен доводиться не реже одного раза в год до всех сотрудников организации, которые используют в своей работе сведения, конфиденциального характера. Все лица принимаемы на работу в организацию, должны пройти инструктаж и ознакомиться с памяткой о сохранении конфиденциальной информации.
Сотрудник, получивший доступ к конфиденциальной информации и документам, должен подписать индивидуальное письменное договорное обязательство об их неразглашении. Обязательство составляется в одном экземпляре и хранится в личном деле сотрудника не менее 5 лет после его увольнения. При его увольнении из организации ему даётся подписка о неразглашении конфиденциальной информации организации.
Далее должна быть разработана инструкция, регламентирующая порядок доступа сотрудников к конфиденциальной информации, порядок создания, учёта, хранения и уничтожения конфиденциальной документов организации.
Аутентификация отдельных транзакций. Дополнительной мерой защиты может выступать использование многофакторной аутентификации не для получения доступа к системе web-банкинга, а для авторизации отдельных транзакций во время работы с ней. Способ обеспечивает частичную защиту от вредоносного ПО, работающего в уже открытой сессии пользователя. Для клиентов–физических лиц эта защита может считаться приемлемой ввиду удобства ее реализации: количество финансовых транзакций в рамках одной сессии в данном случае редко бывает значительным.
Оповещения о проведённых транзакциях. SMS и E-mail оповещения клиента о каждой транзакции могут также рассматриваться как средства борьбы с различными методами перехвата сессий работы с web-банкингом. Таким образом клиент всегда узнает о начале неправомерного использования его учётных данных. Кроме того, в соответствии с положениями нового закона ? ФЗ-161, отсутствие уведомления клиента о совершённой транзакции рассматривается как безусловное перенесение ущерба от мошеннических операций на сторону банка.
Использование протокола SSL. Этот протокол позволяет обеспечить проверку подлинности сервера и шифрование сессии. Он применяется повсеместно в связи с тем, что реализован во всех современных браузерах, и позволяет избежать большого количества достаточно простых атак, таких как перехват аутентификационных данных или простые решения класса Man-in-the-Middle. В то же время протокол не обеспечивает защиту при компрометации браузера или подмене сертификатов корневых удостоверяющих центров на клиентских местах. Существуют также версии протокола с определенными слабостями и уязвимостями.