Обеспечение безопасности автоматизированных систем.

Основная работа по обеспечению безопасности АС:

1) проведение приёмо-сдаточных испытаний, обновления функциональных ядер

2) аттестация.

В банке также есть хранилище, в которое передаются исходные коды ПО, установленного в банке. Регламент определяется документов «Порядок проведения контрольной компиляции с исходных текстов программ». В нем также определяется порядок доступа к ним (в присутствии представителя производителя АС). Соглашение о передаче исходных кодов прописывается в договоре между банком и разработчиком на поставку АС.

«Положение об администрировании АС», «Требования по обеспечению ИБ в автоматизированных банковских системах СБ РФ» являются нормативной базой для обеспечения ИБ в АС. Аттестация проводится в соответствии с документом «Порядок проведения аттестации АС», аналогичную роль для приёмо-сдаточных испытаний играет «Порядок проведения приёмо-сдаточных испытаний».

Тестирование любых обновлений на корректную работу с используемым в банке ПО, в том числе антивирусных баз, производится на отдельном специально оборудованном стенде, отделённом от локальной сети банка.

Организация антивирусной безопасности.

При организации системы антивирусной защиты в банке учитываются следующие факторы риска:

* Применение антивирусных программ не дает гарантированной защиты от угрозы вирусного заражения;

* Наличие еще не известных/не устраненных критичных уязвимостей в системном ПО, единая сеть, широкое использование электронной почты - способствуют распространению массовых заражений.

* Обмен информацией с внешними организациями повышает риски занесения вирусов со стороны клиентов вследствие несоблюдения ими на должном уровне антивирусных мер.

Установка и мониторинг работы АВПО, минимизация прав пользователей АРМ, защита от вирусов при электронном документообороте, контроль использования мобильных носителей информации, организация тестирования и обновления антивирусных баз повышает эффективность защитных свойств используемого АВПО.

В банке используется антивирусное ПО трех независимых производителей – dr.Web (на «интернте-киосках», AV Kaspersky(АРМ пользователя), Symantec (сервера).

Все установленные на интернет киосках и АРМ пакеты АВПО подключены к соответствующим системам управления и мониторинга АВПО.

Администратор системы управления и мониторинга АВПО производит ежедневный мониторинг выпуска обновлений антивирусных баз АВПО на официальном ресурсе фирмы производителя или поставщика АВПО в сети интернет. База считается устаревшей по прошествии более 10 дней с ее выпуска .

Установка обновлений антивирусного и системного ПО без предварительного тестирования не производится, все обновления тестируются на специально отведенном парке машин на стабильную работу с установленным в банке ПО.

С учетом угроз безопасности информации Банка режим защиты должен формироваться как совокупность способов и мер защиты циркулирующей в информационной среде Банка информации и поддерживающей ее инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, влекущих за собой нанесение ущерба владельцам или пользователям информации.

Оценка рисков информационных угроз безопасности защищённого документооборота

R(риск) = P(происшествия) × C(цена потери)

В методиках, рассчитанных на более высокие требования, используется модель оценки риска с тремя факторами: угроза, уязвимость, цена потери.

P(происшествия) = T(угрозы) × V(уязвимости)

Соответственно, риск рассчитывается по формуле .

R(риск)= T(угрозы) × V(уязвимости)× C(цена потери)

Таблица - Оценка рисков информационной безопасности

Наименование элемента информации	Цена информации	Вероятность угрозы	Вероятность уязвимости	Риск
1	2	3	4	5
Личные данные сотрудников	58000	0,6	0,8	27840
Личные данные клиентов	100000	0,6	0,8	48000
Приказы по личному составу	15000	0,8	0,4	4800
Банковские счета	500000	0,6	0,8	240000
Договора с клиентами	300000	0,8	0,6	144000
Договора с банками	500000	0,8	0,6	144000
Бухгалтерская отчётность	50000	0,2	0,8	8000
Деловая переписка	100000	0,8	0,4	32000
Сервер	350000	0,4	0,4	56000
Компьютер с спец.по	200000	0,4	0,4	32000
Информация об банковских картах	100000	0,8	0,8	64000
Бытовой мусор (документы, вышедшие из оборота)	5000	0,2	0.2	200
			Итого:	736640

Таким образом, анализируя аспекты системы документооборота коммерческого банка с позиции сегодняшнего дня, можно сказать, что эта система представляет несомненный интерес. Результатом работы являются выработанные рекомендации по совершенствованию системы защищённого документооборота для коммерческого банка.

К наиболее важным рекомендациям можно отнести:

Разработка нормативно-правовых документов:

• перечень сведений, составляющих банковскую тайну;

• договорное обязательство о неразглашении банковской тайны;

• инструкция по защите банковской тайны.

После анализа безопасности, были разработаны предписания, по улучшению безопасности, которые позволят существенно снизить риск утечки и хищения информации, за счет реорганизации рабочих мест и введения правил пользования конфиденциальной информацией. На основании этих предписаний, была составлена инструкция по работе с документами. Она содержит ряд правил, которые позволят добиться следующих целей:

• увеличение безопасности документооборота

• ужесточение контроля за деятельностью сотрудников

• увеличение сопротивления внешним угрозам

• подавление деятельности компьютерных вирусов и хакеров

• создание прозрачной системы с документированием всех операций

Список используемой литературы

1. Политика информационной безопасности Сбербанка России.

2. Инструкция по настройке механизмов безопасности операционных систем на рабочих станциях сотрудников Средне-Русского банка.

3. Инструкция по обеспечению антивирусной безопасности в Сбербанке России.

4. СРЕДСТВО КРИПТОГРАФИЧЕСКОЙ ЗАЩИТЫ ИНФОРМАЦИИ "ТУННЕЛЬ 2.0" ПРОГРАММНО-АППАРАТНЫЙ КОМПЛЕКС ФПСУ-IP Межсетевой экран Руководство администратора.

5. ПРОГРАММНО-АППАРАТНЫЙ КОМПЛЕКС “ФПСУ-IP/КЛИЕНТ” V.2 Руководство пользователя.