Содержание Введение ..................................................................................................................... 4 Глава I. Теоретическая часть .................................................................................... 8 I.1. Терминология предметной области на основе библиографического поиска ..................................................................................................................... 8 I.2. Исследование источников угроз безопасности информации банка ........ 12 I.3. Исследование структуры Политики Безопасности и общих принципов ее разработки ............................................................................................................ 15 I.4. Исследование целей и задач политики информационной безопасности отделения ПАО «СберБанк России» ................................................................... 20 I.5. Выводы по первой главе .............................................................................. 22 Глава II. Практическая часть .................................................................................. 24 II.1. Разработка политики информационной безопасности для отделения ПАО «СберБанк России» ............................................................................................. 24 II.2. Выводы по второй главе............................................................................... 30 Заключение ............................................................................................................... 31 Список использованной литературы ..................................................................... 34 3 Введение Уже в начале 90-х годов кредитные организации начали понимать, что банковский бизнес малоэффективен и достаточно рискован без решения задач безопасности. Любые банковские процессы находятся в прямой зависимости от того, как работает информационная инфраструктура банка, т. е. вычислительные комплексы, программные и аппаратные средства, а также персонал, их использующий. Если все это начинает давать сбои, например, за счет заражения компьютеров вирусами или атак хакеров, последствия для банков могут быть очень плачевными. Они могут утратить базы данных клиентов и другую необходимую информацию, собираемую годами, лишиться средств и потерять доверие клиентов. Столкнувшись с подобными проблемами, финансисты начали искать способы их разрешения за счет снижения информационных рисков. В результате появились первые системы защиты, разработанные второпях и собственными усилиями. Однако уже к концу 90-х, осознав важность проблемы, кредитные организации стали постепенно заменять свои устаревшие системы защиты информации (СЗИ) на современные. Построение такой СЗИ включает в себя целый комплекс мероприятий – от аудита банка в области информационной безопасности до создания межфилиальных систем защиты данных. В последние годы новые системы защиты информации в банковской системе нашей страны переживают бурное развитие. Сегодня все больше банков делает ставку на профессионализм своих сотрудников и новые технологии. Практически все задачи, возникающие в ходе работы банка, достаточно легко поддаются автоматизации. Быстрая и бесперебойная обработка значительных потоков информации является одной из главных задач любой крупной финансовой организации. В соответствии с этим обладание средствами защиты информации позволяет защитить все возрастающие информационные потоки. Кроме того, именно банки обладают достаточными финансовыми возможностями для 4 использования самой современной техники. Однако не следует считать, что средний банк готов тратить огромные суммы на системы защиты информации. Банк является прежде всего финансовой организацией, предназначенной для получения прибыли, поэтому затраты на модернизацию должны быть сопоставимы с предполагаемой пользой от ее проведения. В соответствии с общемировой практикой в среднем банке расходы на СЗИ составляют не менее 17% от общей сметы годовых расходов. Одним из важнейших направлений ИТ-расходов банков остается защита информации. Согласно требованию ЦБ РФ, с 1 января 2021 г. банки должны были обеспечить базовые требования национального стандарта безопасности проведения финансовых операций (определенных положениями 672-П и 683-П). При этом, несмотря на усилия экспертов по безопасности, объем и количество незаконных электронных транзакций продолжает расти. Число таких операций выросло на 34% (773 тыс. таких операций за 2020 г. против 577 тыс. в 2019 г.), а объем увеличился на 52,2% (₽9,8 млрд руб. и ₽6,4 млрд соответственно). Рынок информационной безопасности в банковской сфере в России показывает постоянный рост: мы видим, что год от года увеличиваются бюджеты на информационную безопасность, создаются новые подразделения, нацеленные на обеспечение информационной безопасности, видим, как в их арсенале появляются новейшие технологии, строятся центры мониторинга и реагирования на инциденты информационной безопасности (Security Operations Centers). И при всем этом общее число инцидентов, происходящих в мире (и в России, в частности), также год от года растет: они приобретают все большую массовость и все чаще оборачиваются крупномасштабными эпидемиями, ущерб от которых также становится все ощутимее – от нарушения работы отдельных сервисов до полной остановки бизнес-процессов со всеми вытекающими последствиями. Ведущим субъектом обеспечения защиты банков от противоправных посягательств является государство. Это обусловлено его конституционными 5 обязательствами (см. ст. 8,35,114 Конституции Российской Федерации). Однако своеобразие сегодняшней ситуации заключается в том, что государство взяло на себя в основном функции уголовно-правового и административного пресечения противоправных посягательств в банковской сфере. Основную работу по организации системы выявления и предупреждения криминальных посягательств такого рода законодатель возложил преимущественного на сами банки. Политика информационной безопасности необходима для того, чтобы донести до бизнеса цели и задачи информационной безопасности компании. Бизнес должен понимать, что служба безопасности – это не только инструмент для расследования фактов утечек данных, но и помощник в минимизации рисков компании, а следовательно – в повышении прибыльности компании. Политика информационной безопасности необходима для обоснования введения защитных мер в компании. Она должна быть утверждена высшим административным органом компании (генеральным директором, советом директоров и т. п.). Таким образом, разработка политики информационной безопасности любой компании, в том числе банка, становиться актуальной задачей. Цель выпускной квалификационной работы – разработать политику информационной безопасности для отделения ПАО «СберБанк России». Для достижения поставленной цели необходимо решить следующие задачи: 1. Исследовать терминологию предметной области на основе библиографического поиска. 2. Исследовать источники угроз безопасности информации банка. 3. Исследовать структуру Политики Безопасности и общие принципы ее разработки. 4. Исследовать цели и задачи политики информационной безопасности отделения ПАО «СберБанк России». 6 5. Разработать политику информационной безопасности для отделения ПАО «СберБанк России». Объектом исследования является информационная безопасность в отделении ПАО «Сбербанк России». Предметом исследования является политика информационной исследования послужили монографические, безопасности. Основными методами методологические, аналитические методы. Вывод: обоснована актуальность разрабатываемой темы, определены границы исследования (объект и предмет исследования), цель и задачи работы, а также методы исследования. 7 Глава I. Теоретическая часть I.1. Терминология предметной области на основе библиографического поиска Безопасность – специфическая совокупность внутренних и внешних условий деятельности, позволяющих субъекту контролировать процесс собственного существования и достигать намеченных целей указанной деятельности. Национальная безопасность – совокупность внутренних и внешних условий функционирования основных институтов государства и общества, позволяющих достигать установленных правом и одобряемых обществом целей в экономической, внутриполитической, социальной, международной, информационной, военной, пограничной, экологической и других сферах для удовлетворения потребностей народа России. Экономическая безопасность (государства) – совокупность внешних и внутренних условий функционирования, позволяющих основным отраслям экономики достигать законодательно установленных целей путем использования определенных прав и одобряемых обществом средств и способов для удовлетворения потребностей народа России. Банковская безопасность (безопасность банка) – совокупность внешних и внутренних условий банковской деятельности, при которых потенциально опасные для банковской системы (отдельного банка) действия или обстоятельства предупреждены, пресечены либо сведены к такому уровню, при котором не способны нанести ущерб установленному порядку банковской деятельности (функционированию банка, сохранению и воспроизводству имущества и инфраструктуры банковской системы или отдельного банка) и воспрепятствовать достижению банком уставных целей. Обеспечение безопасности банка – разработка и реализация комплекса мер по охране и защите имущества банка и его инфраструктуры от преступных и иных противоправных посягательств. 8 Защита безопасности банка – реализация мер правового, нормативного, организационно-технического и специального (детективного, криминалистического и т. д.) характера, направленных на предупреждение, выявление и пресечение противоправных деяний, представляющих угрозу интересам банка. Методика обеспечения банковской безопасности – взаимосвязанная система научно обоснованных приемов, правил и рекомендаций, применяемых в целях организации и осуществления защиты банка от противоправных посягательств. Средства обеспечения банковской безопасности – совокупность мер правового, криминалистического, организационного, инженерно-технического, программного и иного характера, осуществляемых в целях обеспечения безопасности банка, на основе рекомендаций (методов), разработанных в рамках соответствующих отраслей наук. Охрана безопасности банка – установление уголовной и иной правовой ответственности за противоправные посягательства на интересы банка. Опасность – источник потенциального ущерба инфраструктуре или имуществу банка, причинение которого может воспрепятствовать достижению банком уставных целей. Риск (банковский) – мера допустимо (или недопустимо) опасных условий деятельности банка, неблагоприятные последствия которых реализуются в связи с ошибочными действиями (решениями) или бездействием персонала банка. Основной источник правового регулирования отношений, связанных с рисками, – Гражданский Кодекс. Угроза банковской безопасности (безопасности банка) – уголовно наказуемое и иное противоправное деяние (действие, либо бездействие), посягающее на имущественные и приравненные к ним права и интересы банка либо на порядок его функционирования. Угроза – мера опасности деятельности банка, связанная с противоправными, наказуемыми действиями лиц (как правило, посторонних по отношению к банку). 9 Основной источник регулирования правовых отношений, связанных с угрозами, – Уголовный Кодекс. Объект противоправного посягательства – имущество банка и приравненные к нему объекты гражданского права вне зависимости от вида и назначения обеспечения, нематериальные активы, руководство и персонал банка, а также система создания и функционирования банка, банковские технологии и средства их технического обеспечения. Субъект противоправного посягательства – лицо, причастное к реализации угроз. Требования безопасности банка – система условий, запретов, ограничений и других обязательных требований, содержащихся в федеральных законах и иных нормативных правовых актах, а также в нормативных технических документах, внутренних (локальных) нормативных актах банка, соблюдение которых призвано обеспечить безопасность банковской деятельности. Концепция безопасности банка – научно обоснованная система взглядов на возможные угрозы банковской деятельности и рекомендаций по их предупреждению и устранению. Уязвимость банка – степень несоответствия принятых мер защиты (объекта) прогнозируемым угрозам или заданным требованиям безопасности. Эффективность системы безопасности банка – вероятность выполнения системой своей основной целевой функции по обеспечению защиты объекта от угроз, источником которых является противоправное посягательство на интересы банка. Банковская технология – упорядоченная совокупность функционально и информационно взаимосвязанных операций, действий, работ и процедур, обеспеченных необходимыми ресурсами (финансовыми, материальными, техническими, временными, информационными, программно-математическими, кадровыми и т. п.), реализуемых техническими и человеко-машинными системами и направленных на достижение эффективности банковских операций. 10 Банковская операция – составная часть банковской технологии; регулярные действия, выполняемые банком согласно его статусу для извлечения прибыли. Банковские сделки – операции банка, осуществляемые в соответствии с лицензией Банка России, а также другие действия банка, для осуществления которых лицензия не требуется, выполняемые им в рамках законодательства для извлечения прибыли. Концепция безопасности коммерческого банка (кредитной организации) – научно обоснованная система взглядов на определение основных направлений, условий и порядка практического решения задач защиты банковского дела от противоправных действий и недобросовестной конкуренции. Безопасность коммерческого банка – состояние защищенности интересов владельцев, руководства и клиентов банка, материальных ценностей и информационных ресурсов от внутренних и внешних угроз. Состояние защищенности – умение и способность кредитной организации надежно противостоять любым попыткам криминальных структур или недобросовестных конкурентов нанести ущерб законным интересам банка. Вывод: определена терминология предметной области и даны такие понятия как безопасность, национальная безопасность, экономическая безопасность (государства), банковская безопасность (безопасность банка), обеспечение безопасности банка, защита безопасности банка, методика обеспечения банковской безопасности, средства обеспечения банковской безопасности, охрана безопасности банка, опасность, риск (банковский), угроза банковской безопасности (безопасности банка), угроза, объект противоправного посягательства, субъект противоправного посягательства, требования безопасности банка, концепция безопасности банка, уязвимость банка, эффективность системы безопасности банка, банковская технология, банковская операция, банковские сделки, концепция безопасности коммерческого банка (кредитной организации), безопасность коммерческого банка, состояние защищенности. 11 I.2. Исследование источников угроз безопасности информации банка Носителями угроз безопасности информации в банке являются источники угроз, которые могут использовать уязвимости для нарушения безопасности информации, получения незаконной выгоды (нанесения ущерба собственнику, владельцу, пользователю информации). Кроме того, возможны не злонамеренные действия источников угроз по активизации тех или иных уязвимостей, наносящих вред. В качестве источников угроз могут выступать как субъекты (личность), так и объективные проявления. Причем, источники угроз могут находиться как внутри защищаемой организации – внутренние источники, так и вне ее – внешние источники. Деление источников на субъективные и объективные оправдано исходя из того, что субъективные уязвимости зависят от действий сотрудников и, в основном, устраняются организационными и программно-аппаратными методами. А объективные уязвимости зависят от особенностей построения и технических характеристик оборудования, применяемого на защищаемом объекте. Полное устранение этих уязвимостей невозможно, но они могут существенно ослабляться техническими и инженерно-техническими методами парирования угроз безопасности информации банка. Все источники угроз безопасности информации можно разделить на три основные группы: 1. Обусловленные стихийными источниками. 2. Обусловленные техническими средствами (техногенные источники). 3. Обусловленные действиями субъекта (антропогенные источники). Первая группа источников угроз объединяет обстоятельства, составляющие непреодолимую силу, т. е. такие обстоятельства, которые носят объективный и абсолютный характер, распространяющийся на всех. К непреодолимой силе в законодательстве и договорной практике относят стихийные бедствия или иные обстоятельства, которые невозможно предусмотреть или предотвратить или возможно предусмотреть, но невозможно предотвратить при современном уровне 12 человеческого знания и возможностей. Такие источники угроз совершенно не поддаются прогнозированию и поэтому меры защиты от них должны применяться всегда. Вторая группа содержит источники угроз, определяемые технократической деятельностью человека и развитием цивилизации. Однако последствия, вызванные такой деятельностью, вышли из-под контроля человека и существуют сами по себе. Эти источники угроз менее прогнозируемые, напрямую зависят от свойств техники и поэтому требуют особого внимания. Данный класс источников угроз безопасности информации особенно актуален в современных условиях, так как в сложившихся условиях эксперты ожидают резкого роста числа техногенных катастроф, вызванных физическим и моральным устареванием технического парка используемого оборудования, а также отсутствием материальных средств на его обновление. Антропогенными источниками угроз безопасности информации выступают субъекты, действия которых могут быть квалифицированы как умышленные или случайные преступления. Только в этом случае можно говорить о причинении ущерба. Эта группа наиболее обширна и представляет наибольший интерес с точки зрения организации защиты информации банка, так как действия субъекта всегда можно оценить, спрогнозировать и принять адекватные меры. В качестве источника информации недобросовестные партнёры и конкуренты используют Web-сайты, СМИ, материалы публичных выступлений. Но самым опасным для компании источником утечки конфиденциальной информации являются ее собственные сотрудники. Конкуренты могут получать информацию в ходе беседы после выступлений и на специально организованных переговорах. При соответствующей подготовке недоброжелатели могут эффективно использовать современные психотехнологии, эксплуатировать желание субъекта показать себя влиятельным, осведомлённым, компетентным, использовать вредные привычки и скрытые потребности. 13 В первую очередь объектом воздействия становятся менеджеры и высококвалифицированные специалисты, так как именно они осведомлены в наибольшей степени. Как лица, обладающие большими организационными полномочиями, наибольшую потенциальную угрозу для информационных ресурсов банка представляют менеджеры (например, к потерям могут привести распоряжения предоставить пользователю неоправданно высокие права, реализовать в информационной системе небезопасный, но удобный функционал). Значительной угрозой информационной безопасности компании является и низкая квалификация персонала, недостаточная для корректной работы с корпоративной информационной системой банка. Особо опасными являются некомпетентные сотрудники, выдающие себя за грамотных пользователей, или считающие себя таковыми. Иногда информационные угрозы возникают вследствие неудовлетворительного выполнения руководителями контролирующих функций. В ряде случаев проблемы безопасности связаны с тем, что легальные пользователи используют необходимую для работы информацию не по назначению. Причиной может быть злой умысел, халатность, непонимание последствий распространения доступных им сведений. Очевидно, что данная проблема неразрешима только технологическими мерами. Вывод: исследованы источники угроз безопасности информации банка, в результате чего был сделан вывод, что самым опасным источником утечки конфиденциальной информации для банка являются его собственные сотрудники. Поскольку невозможно обеспечить безопасность конфиденциальной информации банка только лишь технологическими мерами, необходимо разработать Политику Безопасности, обязательную для исполнения всеми сотрудниками и должностными лицами. 14 I.3. Исследование структуры Политики Безопасности и общих принципов ее разработки Основной целью политики информационной безопасности является защита субъектов информационных отношений от возможного нанесения им материального, физического, морального или иного ущерба, посредством случайного или преднамеренного воздействия на информацию, ее носители, процессы обработки и передачи, а также минимизация уровня операционного и других рисков. К основным объектам, подлежащим защите, относятся: − информационные ресурсы, представленные в виде документов и массивов информации, вне зависимости от формы и вида их представления, включающие в том числе конфиденциальную и открытую информацию; − информационные технологии, регламенты и процедуры сбора, обработки, хранения и передачи информации, персонал разработчиков и пользователей системы и ее обслуживающий персонал; − информационная инфраструктура, включающая системы обработки и анализа информации, технические и программные средства ее обработки, передачи и отображения, в том числе каналы информационного обмена и телекоммуникации, системы и средства защиты информации, объекты и помещения. Политика информационной безопасности должна быть реалистичной и выполнимой, а также не приводить к существенному снижению общей производительности бизнес-подразделений компании. Она должна содержать основные цели и задачи организации режима информационной безопасности, четко содержать описание области действия, а также указывать на контактные лица и их обязанности. При разработке политики информационной безопасности следует помнить о том, что целевая аудитория – конечные пользователи и руководство, которые 15 не понимают сложных технических выражений, однако должны быть ознакомлены с положениями политики. Политика информационной безопасности разрабатывается на основе концепции и программы информационной безопасности. Как системный документ она включает в себя общую (концептуально-программную) часть и совокупность частных политик, относящихся к различным аспектам деятельности компании. С практической точки зрения политику безопасности целесообразно рассматривать на трёх уровнях детализации. К верхнему уровню можно отнести решения, затрагивающие организацию в целом. Они носят весьма общий характер и, как правило, исходят от руководства организации. Примерный список подобных решений может включать в себя следующие элементы: − решение сформировать или пересмотреть комплексную программу обеспечения информационной безопасности, назначение ответственных за продвижение программы; − формулировку целей, которые преследует организация в области информационной безопасности, определение общих направлений в достижении этих целей; − обеспечение базы для соблюдения законов и правил; − формулировку административных решений по тем вопросам реализации программы безопасности, которые должны рассматриваться на уровне организации в целом. На верхний уровень выносится управление защитными ресурсами и координация использования этих ресурсов, выделение специального персонала для защиты критически важных систем и взаимодействие с другими организациями, обеспечивающими или контролирующими режим безопасности. Политика рассматриваемого уровня имеет дело с тремя аспектами законопослушности и исполнительской дисциплины. Во-первых, организация должна соблюдать существующие законы. Во-вторых, следует контролировать 16 действия лиц, ответственных за выработку программы безопасности. Наконец, необходимо обеспечить определенную степень исполнительности персонала, а для этого нужно выработать систему поощрений и наказаний. Британский стандарт BS 7799:1995 рекомендует включать в документ, характеризующий политику безопасности, следующие разделы: − вводный, подтверждающий озабоченность высшего руководства проблемами информационной безопасности; − организационный, содержащий описание подразделений, комиссий, групп и т. д., отвечающих за работы в области информационной безопасности; − классификационный, описывающий имеющиеся в организации материальные и информационные ресурсы и необходимый уровень их защиты; − штатный, характеризующий меры безопасности, применяемые к персоналу (описание должностей с точки зрения информационной безопасности, организация обучения и переподготовки персонала, порядок реагирования на нарушения режима безопасности и т. п.); − освещающий вопросы физической защиты; − управляющий, описывающий подход к управлению компьютерами и сетями; − описывающий правила разграничения доступа; − характеризующий порядок разработки и сопровождения систем; − описывающий меры, направленные на обеспечение непрерывной работы организации; − юридический, подтверждающий соответствие политики безопасности действующему законодательству. К среднему уровню можно отнести вопросы, касающиеся отдельных аспектов информационной безопасности, но важные для различных эксплуатируемых организацией систем. Здесь для каждого аспекта должны быть освещены следующие темы: описание, область применения, позиция организации по данному аспекту, роли и обязанности, законопослушность, точки контакта. 17 Политика безопасности нижнего уровня относится к конкретным информационным сервисам. Она включает в себя два аспекта – цели и правила их достижения, поэтому её порой трудно отделить от вопросов реализации. В отличие от двух верхних уровней, рассматриваемая политика должна быть определена более подробно. Есть много вещей, специфичных для отдельных видов услуг, которые нельзя единым образом регламентировать в рамках всей организации. В то же время, эти вещи настолько важны для обеспечения режима безопасности, что относящиеся к ним решения должны приниматься на управленческом, а не техническом уровне. При формулировке целей политики нижнего уровня можно исходить из соображений целостности, доступности и конфиденциальности, но нельзя на этом останавливаться. Её цели должны быть более конкретными: они должны связывать между собой объекты сервиса и действия с ними. Из целей выводятся правила безопасности, описывающие, кто, что и при каких условиях может делать. Чем подробнее правила, чем более формально они изложены, тем проще поддержать их выполнение программно-техническими средствами. С другой стороны, слишком жёсткие правила могут мешать работе пользователей. Вероятно, их придётся часто пересматривать. Политика безопасности должна пересматриваться не реже, чем раз в год, чтобы отразить текущие изменения в развитии, программно-аппаратном, сетевом и информационном обеспечении, поскольку любая ошибка в политике информационной безопасности повлечет за собой вал ошибок в нижестоящих документах, которые будут накапливаться. Формирование, актуализация и совершенствование политики ИБ является многоаспектным циклическим (итерационным) процессом, реализация которого сводится к следующим практическим шагам: 1. Определению используемых руководящих документов и стандартов в области ИБ, а также основных положений политики ИБ, включая: 18 − принципы администрирования системы ИБ и управление доступом к вычислительным и телекоммуникационным средствам, информационным ресурсам и программам, а также доступом в помещения, где они располагаются; − принципы контроля состояния систем защиты информации, способы информирования об инцидентах в области ИБ и выработку корректирующих мер, направленных на устранение угроз; − принципы использования информационных ресурсов персоналом компании и внешними пользователями; − антивирусную защиту и защиту против действий хакеров; − вопросы резервного копирования данных и информации; − проведение профилактически, ремонтных и восстановительных работ; − обучение и повышение квалификации персонала. 2. Разработку методологии выявления и оценки угроз и рисков их осуществления, определение подходов к управлению рисками: является ли достаточным базовый уровень защищенности или требуется проводить полный вариант анализа рисков. 3. Структуризацию контрмер по уровням требований к безопасности. 4. Порядку сертификации на соответствие стандартам в области ИБ. Должна быть определена периодичность проведения совещаний по тематике ИБ на уровне руководства, включая периодический пересмотр положений политики ИБ, а также порядок обучения всех категорий пользователей информационной системы по вопросам ИБ. Вывод: исследованы структура Политики Безопасности и общие принципы ее разработки, в результате чего был сделан вывод, что чем подробнее будут описаны правила и чем более формально они будут изложены, тем проще будет поддержать их выполнение программно-техническими средствами. Но поскольку слишком жёсткие правила могут помешать работе пользователей, Политику Безопасности необходимо пересматривать не реже раза в год. 19 I.4. Исследование целей и задач политики информационной безопасности отделения ПАО «СберБанк России» Целями информационной безопасности отделения ПАО «СберБанк России» являются: − защита экономических данных; − защита конфиденциальности информации клиентов и сотрудников; − соответствие web-сервисов, автоматизированных систем и внутренних сетей стандартам защиты информации; − защита имущества организации. Для достижения данных целей необходимо решить задачи: − своевременного выявления, оценки и прогнозирования источников угроз информационной безопасности, причин и условий, способствующих нанесению ущерба заинтересованным субъектам информационных отношений; − создания механизма оперативного реагирования на угрозы безопасности информации и негативные тенденции; − создание условий для минимизации и локализации наносимого ущерба неправомерными действиями физических и юридических лиц, ослабление негативного влияния и ликвидация последствий нарушения безопасности информации; − защиту от вмешательства в процесс функционирования информационной системы посторонних лиц (доступ к информационным ресурсам должны иметь только зарегистрированные в установленном порядке пользователи); − разграничение доступа пользователей к информационным, аппаратным, программным и иным ресурсам, то есть защиту от несанкционированного доступа; − обеспечение аутентификации пользователей, участвующих в информационном обмене (подтверждение подлинности отправителя и получателя информации); 20 − защиту программных от несанкционированной средств, а также модификации защиту системы используемых от внедрения несанкционированных программ, включая компьютерные вирусы; − защиту информации ограниченного пользования от утечки по техническим каналам при ее обработке, хранении и передаче по каналам связи; − обеспечение криптографических средств защиты информации. Решение обозначенных задач может быть достигнуто: − строгим учетом всех подлежащих защите ресурсов (информации о клиентах, автоматизированных рабочих мест сотрудников); − учетом всех действий сотрудников, осуществляющих обслуживание и модификацию программных и технических средств корпоративной информационной системы; − разграничением прав доступа к ресурсам в зависимости от решаемых задач сотрудниками; − четким знанием и строгим соблюдением всеми сотрудниками требований организационно-распорядительных документов по вопросам обеспечения безопасности информации; − персональной ответственностью за свои действия каждого сотрудника, в рамках своих функциональных обязанностей; − применением физических и технических (программно-аппаратных) средств защиты ресурсов системы и непрерывной административной поддержкой их использования. Вывод: исследованы цели и задачи политики информационной безопасности отделения ПАО «СберБанк России», в результате чего был сделан вывод, что для достижения данных целей и задач Политика Безопасности должна предусматривать: обеспечение строгого учета всех подлежащих защите ресурсов (информации о клиентах, автоматизированных рабочих мест сотрудников) и всех действий сотрудников, осуществляющих обслуживание и модификацию программных и технических средств корпоративной информационной системы; разграничение 21 прав доступа к ресурсам в зависимости от решаемых задач сотрудниками; четкое знание и строгое соблюдение всеми сотрудниками требований организационнораспорядительных документов по вопросам обеспечения безопасности информации; персональную ответственность за свои действия каждого сотрудника, в рамках своих функциональных обязанностей; применение физических и технических (программно-аппаратных) средств защиты ресурсов системы и непрерывной административной поддержкой их использования. I.5. Выводы по первой главе Определена терминология предметной области и даны такие понятия как безопасность, национальная безопасность, экономическая безопасность (государства), банковская безопасность (безопасность банка), обеспечение безопасности банка, защита безопасности банка, методика обеспечения банковской безопасности, средства обеспечения банковской безопасности, охрана безопасности банка, опасность, риск (банковский), угроза банковской безопасности (безопасности банка), угроза, объект противоправного посягательства, субъект противоправного посягательства, требования безопасности банка, концепция безопасности банка, уязвимость банка, эффективность системы безопасности банка, банковская технология, банковская операция, банковские сделки, концепция безопасности коммерческого банка (кредитной организации), безопасность коммерческого банка, состояние защищенности. Исследованы источники угроз безопасности информации банка, в результате чего был сделан вывод, что самым опасным источником утечки конфиденциальной информации для банка являются его собственные сотрудники. Поскольку невозможно обеспечить безопасность конфиденциальной информации банка только лишь технологическими мерами, необходимо разработать Политику Безопасности, обязательную для исполнения всеми сотрудниками и должностными лицами. 22 Исследованы структура Политики Безопасности и общие принципы ее разработки, в результате чего был сделан вывод, что чем подробнее будут описаны правила и чем более формально они будут изложены, тем проще будет поддержать их выполнение программно-техническими средствами. Но поскольку слишком жёсткие правила могут помешать работе пользователей, Политику Безопасности необходимо пересматривать не реже раза в год. Исследованы цели и задачи политики информационной безопасности отделения ПАО «СберБанк России», в результате чего был сделан вывод, что для достижения данных целей и задач Политика Безопасности должна предусматривать: обеспечение строгого учета всех подлежащих защите ресурсов (информации о клиентах, автоматизированных рабочих мест сотрудников) и всех действий сотрудников, осуществляющих обслуживание и модификацию программных и технических средств корпоративной информационной системы; разграничение прав доступа к ресурсам в зависимости от решаемых задач сотрудниками; четкое знание и строгое соблюдение всеми сотрудниками требований организационнораспорядительных документов по вопросам обеспечения безопасности информации; персональную ответственность за свои действия каждого сотрудника, в рамках своих функциональных обязанностей; применение физических и технических (программно-аппаратных) средств защиты ресурсов системы и непрерывной административной поддержкой их использования. 23 Глава II. Практическая часть II.1. Разработка политики информационной безопасности для отделения ПАО «СберБанк России» Для достижения целей и задач информационной безопасности отделения ПАО «СберБанк России» была разработана Политика Безопасности (Приложение А), содержащая следующие разделы: − Введение (п. 1). − Обозначения и сокращения (п. 2). − Термины и определения (п. 3). − Цель (п. 4). − Основания для разработки (п. 5). − Область действия (п. 6). − Содержание политики (п. 7). − Система управления информационной безопасностью (п. 7.1). − Объект защиты (п. 7.2). − Оценка и обработка рисков (п. 7.3). − Безопасность персонала (п. 7.4). − Физическая безопасность (п. 7.5). − Контроль доступа (п. 7.6). − Политика допустимого использования информационных ресурсов (п. 7.7). − Приобретение, Разработка и обслуживание систем (п. 7.8). − Управление инцидентами информационной безопасности (п. 7.9). − Управление непрерывностью и восстановлением (п. 7.10). − Соблюдение требований законодательства (п. 7.11). − Аудит информационной безопасности (п. 7.12). − Предоставление услуг сторонним организациям (п. 7.13). − Ответственность (п. 8). − Контроль и пересмотр (п. 9). − История изменений (п. 10). 24 В разделе «Введение» представлена общая система взглядов на проблему обеспечения информационной безопасности и необходимость внедрения политики информационной безопасности. В раздел «Обозначения и сокращения» включены основные сокращения, используемые в Политике для удобства восприятия и чтения текста. В разделе «Термины и определения» содержатся основные термины и определения, встречающиеся в тексте Политики, что позволяет пользователям быстро и просто познакомиться с ними. Раздел «Цель» описывает общие цели Политики информационной безопасности – конкретные шаги, которые в итоге реализуют правила ИБ. Раздел «Основания для разработки» описывает нормативную базу официальных взглядов на обеспечение национальной безопасности Российской Федерации в информационной сфере. Раздел «Область действия» подчеркивает, что данная Политика распространяется на все бизнес-процессы Учреждения и обязательна для применения всеми сотрудниками и руководством Учреждения, а также пользователями его информационных ресурсов. Настоящая политика распространяется на информационные системы учреждения, на всех лиц, осуществляющих разработку внутренних документов Учреждения, регламентирующих вопросы информационной безопасности. Раздел «Содержание политики» включает несколько подразделов: 1. Система управления информационной безопасностью (СУИБ). СУИБ документирована в настоящей политике, в правилах, процедурах, рабочих инструкциях, которые являются обязательными для всех работников Учреждения. Данные документы описывают иерархию разрабатываемых и обновляемых нормативных документов; ответственность за обеспечение ИБ отдела Информационной безопасности. 2. Объекты защиты. В учреждении должны быть выявлены и оценены с точки зрения их важности все ресурсы. Для всех ценных ресурсов должен быть 25 составлен реестр. Для каждого ресурса должен быть назначен владелец, который отвечает за соответствующую классификацию информации и ресурсов, связанных со средствами обработки информации, а также за назначение и периодическую проверку прав доступа и категорий, определённых политиками управления доступа. Все информационные ресурсы, подлежащие защите, должны быть классифицированы в соответствии с важностью и степенью доступа. 3. Оценка и обработка рисков. Оценка рисков предполагает системное сочетание анализа рисков и оценивания рисков. Для каждого из оцененных рисков должно приниматься одно из решений по его обработке: применение соответствующих механизмов контроля для уменьшения величины риска до приемлемого уровня или сознательное и объективное принятие риска, если он точно удовлетворяет Политике Учреждения и критериям принятия рисков. 4. Безопасность персонала. Роли и обязанности по обеспечению безопасности информационных ресурсов должны быть доведены до сотрудника при трудоустройстве и внесены в его должностные обязанности. Сюда должны входить: − условия найма (все принимаемые сотрудники должны быть ознакомлены под роспись с перечнем информации, ограниченного доступа, при предоставлении сотруднику доступа к ИС он должен ознакомиться под роспись с инструкцией пользователя ИС); − ответственность руководства (руководство должно требовать от всех сотрудников, подрядчиков и пользователей сторонних организаций принятия мер безопасности); − обучение ИБ (все сотрудники должны проходить периодическую подготовку в области политики и процедур ИБ); − завершение или изменение трудовых отношений (удаление права доступа уволенных сотрудников и изменений таковых при изменении трудовых отношений). 26 5. Физическая безопасность. Здесь описывается порядок обеспечений информационной безопасности на уровне физической защиты: особенности физической безопасности защищённых областей (где размещаются средства обработки информации, поддерживающие критически важные и уязвимые ресурсы Учреждения), области общего доступа и вспомогательных служб, а также порядок утилизации или повторного использования оборудования при перемещении имущества. 6. Контроль доступа. Описывает порядок предоставления и контроль доступа к информационным ресурсам. Это отражено в управлении привилегиями, управлении паролями, контроле прав доступа, в правилах использование паролей, в правилах, описывающих защиту оборудования, остающегося без присмотра, в политике чистого стола, в правилах использовании мобильных средств. 7. Политика допустимого использования информационных ресурсов. Описывает общие обязанности пользователя по обеспечению информационной безопасности, а именно: − при использовании ПО; − при использовании АРМ и ИС; − при использовании ресурсов локальной сети; − при обработке конфиденциальной информации; − при использовании электронной почты; − при работе в сети; − при использовании мобильных устройств; − при защите от вредоносного ПО. 8. Приобретение, Разработка и обслуживание систем. Описывает требования к безопасности и средства защиты для приобретаемых, разрабатываемых и обслуживаемых систем организации. Данные требования описывают: − требования к безопасности и средства защиты; − требования корректной обработки информации; − порядок и правила применения криптографических средств; 27 − требования к безопасности системных файлов; − требования к безопасности процесса разработки и обслуживания информационной системы. 9. Управление инцидентами информационной безопасности. Описывает процедуры уведомления о происшествиях в области ИБ, а также процедуры реагирования на такие происшествия. 10. Управление непрерывностью и восстановлением. Описывает надобность разработки и реализации планов, которые позволят продолжить или восстановить операции и обеспечить требуемый уровень доступности информации в установленные сроки после прерывания или сбоя критически важных бизнеспроцессов. 11. Соблюдение требований законодательства. Описывает необходимость внедрения в учреждении соответствующих процедур для обеспечения соблюдения законодательных ограничений, подзаконных актов и контрактных обязательств. 12. Аудит информационной безопасности. Описывает цели и задачи проведения внутренних проверок СУИБ. 13. Предоставление услуг сторонним организациям. Описывает порядок в обеспечения информационной безопасности при подготовке соглашения о предоставлении услуг, при анализе предоставленных услуг, при приёмке информационной системы. Раздел «Ответственность» описывает ответственность руководителей всех уровней за реализацию Политики и её соблюдение персоналом в соответствующих подразделениях. Раздел «Контроль и пересмотр» определят порядок контроля и пересмотра Политики информационной безопасности. Раздел «История изменений» необходим для фиксации всех внесённых изменений в настоящую политику. 28 Данная Политика Безопасности требует полного исполнения, потому должна распространяться на всех сотрудников в отделении ПАО «СберБанк России»: − генеральный директор должен отвечать за обеспечение соответствующей проработки информации во всей организации; − начальник отдела безопасности должен информировать группу руководителей высшего звена, оказывать консультативную помощь сотрудникам организации и обеспечивать доступность отчетов о состоянии информационной безопасности; − каждый начальник отдела должен отвечать за то, чтобы сотрудники, работающие под его руководством, осуществляли защиту информации в соответствии со стандартами организации; − каждый сотрудник организации должен отвечать за информационную безопасность как за часть выполнения своих должностных обязанностей. Вывод: разработана политика информационной безопасности для отделения ПАО «СберБанк России», содержащая следующие разделы: введение, обозначения и сокращения, термины и определения, цель, основания для разработки, область действия, содержание политики (система управления информационной безопасностью; объект защиты; оценка и обработка рисков; безопасность персонала; физическая безопасность; контроль доступа; политика допустимого использования информационных ресурсов; приобретение, разработка и обслуживание систем; управление инцидентами информационной безопасности; управление непрерывностью и восстановлением; соблюдение требований законодательства; аудит информационной безопасности; предоставление услуг сторонним организациям), ответственность, контроль и пересмотр, история изменений. Данная политика требует полного исполнения, потому должна распространяться на всех сотрудников в отделении ПАО «СберБанк России». 29 II.2. Выводы по второй главе Разработана политика информационной безопасности для отделения ПАО «СберБанк России», содержащая следующие разделы: введение; обозначения и сокращения; термины и определения; цель; основания для разработки; область действия; содержание политики (система управления информационной безопасностью; объект защиты; оценка и обработка рисков; безопасность персонала; физическая безопасность; контроль доступа; политика допустимого использования информационных ресурсов; приобретение, разработка и обслуживание систем; управление инцидентами информационной безопасности; управление непрерывностью и восстановлением; соблюдение требований законодательства; аудит информационной безопасности; предоставление услуг сторонним организациям); ответственность; контроль и пересмотр; история изменений. Данная политика требует полного исполнения, потому должна распространяться на всех сотрудников в отделении ПАО «СберБанк России». 30 Заключение В ходе выполнения выпускной квалификационной работы были решены следующие задачи и получены результаты: 1. Определена терминология предметной области и даны такие понятия как безопасность, национальная безопасность, экономическая безопасность (государства), банковская безопасность (безопасность банка), обеспечение безопасности банка, защита безопасности банка, методика обеспечения банковской безопасности, средства обеспечения банковской безопасности, охрана безопасности банка, опасность, риск (банковский), угроза банковской безопасности (безопасности банка), угроза, объект противоправного посягательства, субъект противоправного посягательства, требования безопасности банка, концепция безопасности банка, уязвимость банка, эффективность системы безопасности банка, банковская технология, банковская операция, банковские сделки, концепция безопасности коммерческого банка (кредитной организации), безопасность коммерческого банка, состояние защищенности. 2. Исследованы источники угроз безопасности информации банка, в результате чего был сделан вывод, что самым опасным источником утечки конфиденциальной информации для банка являются его собственные сотрудники. Поскольку невозможно обеспечить безопасность конфиденциальной информации банка только лишь технологическими мерами, необходимо разработать Политику Безопасности, обязательную для исполнения всеми сотрудниками и должностными лицами. 3. Исследованы структура Политики Безопасности и общие принципы ее разработки, в результате чего был сделан вывод, что чем подробнее будут описаны правила и чем более формально они будут изложены, тем проще будет поддержать их выполнение программно-техническими средствами. Но поскольку слишком жёсткие правила могут помешать работе пользователей, Политику Безопасности необходимо пересматривать не реже раза в год. 31 4. Исследованы цели и задачи политики информационной безопасности отделения ПАО «СберБанк России», в результате чего был сделан вывод, что для достижения данных целей и задач Политика Безопасности должна предусматривать: обеспечение строгого учета всех подлежащих защите ресурсов (информации о клиентах, автоматизированных рабочих мест сотрудников) и всех действий сотрудников, осуществляющих обслуживание и модификацию программных и технических средств корпоративной информационной системы; разграничение прав доступа к ресурсам в зависимости от решаемых задач сотрудниками; четкое знание и строгое соблюдение всеми сотрудниками требований организационнораспорядительных документов по вопросам обеспечения безопасности информации; персональную ответственность за свои действия каждого сотрудника, в рамках своих функциональных обязанностей; применение физических и технических (программно-аппаратных) средств защиты ресурсов системы и непрерывной административной поддержкой их использования. 5. Разработана политика информационной безопасности для отделения ПАО «СберБанк России», содержащая следующие разделы: введение; обозначения и сокращения; термины и определения; цель; основания для разработки; область действия; содержание политики (система управления информационной безопасностью; объект защиты; оценка и обработка рисков; безопасность персонала; физическая безопасность; контроль доступа; политика допустимого использования информационных ресурсов; приобретение, разработка и обслуживание систем; управление инцидентами информационной безопасности; управление непрерывностью и восстановлением; соблюдение требований законодательства; аудит информационной безопасности; предоставление услуг сторонним организациям); ответственность; контроль и пересмотр; история изменений. Данная политика требует полного исполнения, потому должна распространяться на всех сотрудников в отделении ПАО «СберБанк России». 32 Вывод: задачи, поставленные для достижения цели выпускной квалификационной работы выполнены. Цель выпускной квалификационной работы достигнута. 33 Список использованной литературы 1. Стрельцов А.А. Обеспечение информационной безопасности России. Теоретические и методические основы / Под ред. В.А. Садовничего и В.П. Шерстюка. – М.: МЦНМО, 2020. 2. Белов Е.Б., Лось В.П. Основы информационной безопасности / Москва, Горячая линия. – Телеком, 2019. 3. О персональных данных: ФЗ РФ от 27.07.2006 N 152-ФЗ (в ред. 02.07.02021) [Электронный ресурс]. – Доступ из информ.-правовой системы «Консультант Плюс». 4. Вихорев С.В. Информационная Безопасность Предприятий. Москва, 2019. 5. Семененко В.А. Информационная безопасность. Москва, 2018. 6. Аверченков, В. И. Аудит информационной безопасности: учеб. пособие для вузов / В.И. Аверченков. – Брянск: БГТУ, 2018. 7. Гайкович Ю.В, Першин А.С. Безопасность электронных банковских систем. – М: Единая Европа, 2019 г. 8. Демин В.С. и др. Автоматизированные банковские системы. – М: Менатеп-Информ, 2019 г. 9. Крысин В.А. Безопасность предпринимательской деятельности. – М: Финансы и статистика, 2017 г. 10. Линьков И.И. и др. Информационные подразделения в коммерческих структурах: как выжить и преуспеть. – М: НИТ, 2018 г. 11. Титоренко Г.А. и др. Компьютеризация банковской деятельности. – М: Финстатинформ, 2018 г. 12. Гайкович В, Першин А. Безопасность электронных банковских систем. – М., 2019. 13. Груздев С. «16 вариантов русской защиты» / КомпьютерПресс №392. 14. Груздев С. Электронные ключи. – М. 2019. 15. Карасик И. Программные и аппаратные средства защиты информации для персональных компьютеров / /КомпьютерПресс №3, 2020. 16. Мафтик С. Механизмы защиты в сетях ЭВМ. /пер. с англ. М.: МИР, 2018. 34 17. Петров В.А., Пискарев С.А., Шеин А.В. Информационная безопасность. Защита информации от несанкционированного доступа в автоматизированных системах. – М., 2019. 18. Спесивцев А.В. и др. Защита информации в персональных ЭВМ. – М.: Радио и связь, 2017. 19. Алексенцев, А.И. Понятие и назначение комплексной системы защиты информации/ А.И. Алексенцев // Вопросы защиты информации. – 2020. – № 2. 20. Васильевский, А. Защита коммерческой тайны: организационные и юридические аспекты / А.Васильевский [Электронный ресурс] // Valex Consult(http://www.valex.net/). 21. Мельников Ю.Н., Иванов Д.Ю. Многоуровневая безопасность в корпоративных сетях. Международный форум информатизации – 2000: Доклады международной конференции «Информационные средства и технологии». 17-19 октября 2000 г. В 3-х тт. Т. 2. – М.: Издательство «Станкин», 2017г., – 245 с. 22. Торокин А.А. Основы инженерно-технической защиты информации. – М.: Издательство «Москва». 2018. 35
