Информационнаябезопасность
На тему:
«Исследованиенормативно-правовой базы информационной безопасности предприятия отделенияЮго-Западного банка Сбербанка России №»
Структура
1 Краткие теоретические сведения о нормативно- правовой базеи классификации угроз информационной безопасности (не более 4-5 стр.)
2 Постановка задачи исследования в соответствии синдивидуальным заданием
3 Модель угроз ИБ на заданном предприятии
4 Сравнительный анализ отдельных вопросов защиты информации взарубежных и отечественных документах (по индивидуальному заданию)
5 Разработка документов по обеспечению информационнойбезопасности на предприятии
6 Выводы по результатам исследований
1. Краткиетеоретические сведения о нормативно- правовой базе и классификации угрозинформационной безопасности
Информационнаябезопасность – это весьма важный вопрос для любой компании. В серьезныхкомпаниях вопросами защиты информации и безопасности данных занимаютсяспециально обученные люди — сисадмины (системные администраторы) или обишники(инженеры по обеспечению безопасности информации). От большинства простыхпользователей они отличаются тем, что, даже разбуженные ночью или в пьяном угаре,как отче наш проговорят три принципа защиты информации на компьютере.
Принцип предотвращенияподразумевает, что лучше избежать проблемы, чем заполучить ее, героически с нейсражаться и с блеском решить.
Принцип обнаружениясводится к тому, что, если предотвратить неприятность не удалось, своевременноеее обнаружение в большинстве случаев способно свести неприятности к минимуму.Если вы ненароком подцепили вирус (компьютерный, хотя для болезнетворныхвирусов принцип также работает), то быстро начатое лечение способно пресечьразрушительные действия паразита.
Принцип восстановлениягласит, что данные, которые могут быть утеряны, обязательно должны храниться ввиде резервных копий. Что подойдет лично вам — дискетки, магнитооптика, CD-RWили “брелки” с flash-карточкой, — вам же и решать. Вариантов современнаякомпьютерная индустрия предлагает множество. Даже методы форматирования жесткихдисков развиваются согласно принципам восстановления и защиты информации.
Прошли те времена, когдахакерами были специалисты, детально знающие компьютерную технику и способныетворить чудеса с программным кодом. Сейчас любой усидчивый, любознательный, ноособо не обремененный моральными принципами подросток способен создать рядовомупользователю массу проблем. За примерами далеко ходить не надо, достаточнопочитать “Новости интернета”. По нескольку раз в месяц разгораются скандалы илицелые судебные разбирательства, связанные с молодыми людьми, запустившими новыйпочтовый червь, взломавшими сервер банка, компьютеры министерства обороныСША… Как правило, такие хулиганы попадаются из-за собственнойневнимательности или желания прославиться. При соблюдении мер предосторожностимошенников в сфере высоких технологий вычислить весьма трудно. В частности,именно поэтому преступлениями в сфере информационных технологий занимаетсяИнтерпол.
Злоумышленнику, для тогочтобы получить доступ к конфиденциальной информации, порой не требуется дажеспециальных навыков и умений. Во многих случаях срабатывает человеческийфактор, например бумажка с написанным паролем на мониторе или под стеклом возлеклавиатуры. Пароли, как правило, тоже оригинальностью не отличаются. А в недрахинтернета всегда можно найти программы, которые возьмут на себя рутинную работупо перебору наиболее очевидных паролей.
Сейчас любой, даже слаборазбирающийся в компьютерах, хулиган за 15 минут найдет в интернете с десятокпрограмм для подбора пароля из 4—6 символов и предоставляющих доступ кудаленному компьютеру. А ведь помимо хакеров есть еще и фрикеры, специализирующиесяна взломе электронных устройств, в частности, на сотовых телефонах, и кардеры,взламывающие пароли и подбирающие номера к кредиткам.
Из этого следует, что квопросу информационной безопасности следует подходить серьезно и с полнойотдачей.
2. Постановка задачиисследования
Цель этой работы наоснове оценки возможных угроз информационной безопасности и с учетомсуществующей отечественной и международной нормативно-правовой базы построитьмодель угроз, дать сравнительный анализ нормативных и правовых документов поорганизации защиты информации в Донецком отделении Юго-Западного банкаСбербанка России №7749 и разработать рабочую документацию по информационнойбезопасности банка.
3. Модель угроз на ******* отделенииЮго-Западного банка Сбербанка России №****
Совет банка, как правило, входят его учредители.Совет банка утверждает годовой отчет банка, организует ежегодные собранияучредителей и пайщиков, принимает или может принимать участие в решениистратегических вопросов банковской деятельности.
Правление (Советдиректоров) банкаотвечает за общее руководство банка, утверждает стратегическое направление егодеятельности. В состав Правления входят высшие руководители банка: председатель(президент, управляющий) банка, его заместители, руководители важнейшихподразделений банка.
Отдел управления входит организацияпланирования,прогнозирования деятельности банка, подготовка методологии, безопасность июридическая служба.
Коммерческий отдел охватывает организацию различныхбанковских услуг (кредитование, инвестирование, валютные, трастовые и другиеоперации). Сюда входит все, что связано с обслуживанием клиентов накоммерческих началах.
Финансовый отдел обеспечивает учет внутрибанковскихрасходов, учет собственной деятельности банка как коммерческого предприятия. Вфинансовый блок входят такие отделы как бухгалтерия, отдел внутрибанковскихрасчетов и корреспондентских отношений, касса.
Отдел автоматизации также является обязательнымэлементом структуры банка. Денежные потоки, которые проходят через современныйбанк, невозможно обработать вручную, нужен комплекс средств, электронных машин.
Администрация. В его состав входит отдел кадровбанка, секретариат, канцелярия, хозяйственные подразделения.
/>
Угрозы
1. Случайные угрозы (стихийные бедствия, сбои и отказы,ошибки пользователей) – Этим угрозам подвержены все отделы, т.к от стихийныхбедствий, сбоев, ошибок никто не застрахован.
2. Преднамеренные угрозы
2.1 Традиционный шпионаж идиверсии – Здесь угрозам подвержены такие отделы как: Финансовый отдел,Отдел автоматизации, Коммерческий отдел. Шпионаж поможет злоумышленнику узнатькак устроен банк для того чтобы организовать ограбление.
2.2. Несанкционированный доступ кинформации – Тут в основном угрожает Отделу автоматизации.Злоумышленник, взломав КС банка, может получить много ему полезной информации.Узнав, эту информация под угрозой могут быть и все остальные отделы.
2.3 Электромагнитные излучения инаводки – Такжеугроза для Отдела автоматизации.
2.4 Несанкционированная модификацияструктур — Такжеугроза для Отдела автоматизации.
2.5 Вредительские программы — Также угроза для Отделаавтоматизации. И из этого вытекает угроза для всех остальных отделов.
Модели злоумышленников.
1. Хакер – Это опытный пользователь ПК, который взломавКС банка может использовать юту информацию в своих целях либо продать ее иномулицу. Он представляет большую угрозу Отделу автоматизации. Он также может,взломав КС перевести деньги на свой счет.
2. Сотрудник банка – Он тоже может предоставлять большуюугрозу банку т.к он вращается в этой сфере и как никто другой знает как чтоустроено. Также это может быть бывший сотрудник потому что он тоже знаетустройство банка, особенно если это бывший сотрудник Отдела автоматизации т.кон знает как устроена КС банка.
3. Разработчик КС – т.к он знает как устроена КС которуюон разрабатывал.