Разработка методики анализа и оценки угроз центра обработки данных ОАО "Волга-кредит банк"

Методологические основы построения системы обеспечения информационной безопасности кредитных организаций. Анализ и определение угроз защищаемым ресурсам. Метод анализа угроз информационной безопасности центра обработки данных ОАО "Волга-кредит банк".

Рубрика Банковское, биржевое дело и страхование
Вид дипломная работа
Язык русский
Дата добавления 07.05.2014
Размер файла 1,6 M

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

3

1 раз в год

4

1 раз в месяц (примерно 10 раз в год)

5

1-2 раза в неделю (примерно 100 раз в год)

6

3 раза в день (примерно 1000 раз в год)

7

Таблица 2 - Возможные значения коэффициента, характеризующего значение возможного ущерба при возникновении угрозы, V

Значение возможного ущерба при проявлении угрозы, руб.

Предполагаемое значение, Vi

1

0

10

1

100

2

1000

3

10000

4

100000

5

1000000

6

10000000

7

Таким образом, если бы удалось собрать достаточное количество фактических данных о проявлениях угроз и их последствиях, то рассмотренную модель можно было бы использовать для решения достаточно широкого круга задач защиты информации, что позволяет не только находить нужные решения, но и оценивать их точность.

Вывод по первой главе

В результате проведенного анализа представленных моделей информационной безопасности были выявлены следующие недостатки:

1. Недостаток модели дискреционного доступа DAC заключается в том, что субъект, имеющий право на чтение информации может передать ее другим субъектам, которые этого права не имеют, без уведомления владельца объекта. Таким образом, нет гарантии, что информация не станет доступна субъектам, не имеющим к ней доступа. Кроме того, не во всех АИС каждому объекту можно назначить владельца (во многих случаях данные принадлежат не отдельным субъектам, а всей системе).

2. Модель Белла-ЛаПадулы полностью формализована математически. Основной упор в модели делается на конфиденциальность, но кроме неё фактически больше ничего не представлено. Кроме того, в модели игнорируется проблема изменения классификации: предполагается, что все сведения относятся к соответствующему уровню секретности, который остается неизменным. Наконец, бывают случаи, когда пользователи должны работать с данными, которые они не имеют права увидеть. "Сведения о том, что самолет несет груз из некоторого количества бомб, возможно, имеют более высокий уровень секретности, чем уровень доступа диспетчера, но диспетчеру тем не менее необходимо знать вес груза".

3. Ролевая модель контроля доступа (RBAC). При назначении ролей в сложных автоматизированных системах (в состав которых входят смежные подсистемы), из-за огромного количества необходимых ролей может происходить путаница - пересечение полномочий, использование одной и той же роли для разных функциональных задач и т.д.

4. Системы разграничения доступа используют матрица доступа - таблицу, в которой строки соответствуют субъектам, столбцы - объектам доступа, а на пересечении строки и столбца содержатся правила (разрешения) доступа субъекта к объекту. Основными недостатками такой матрицы являются ее чрезмерно большая размерность и сложность администрирования: все взаимосвязи и ограничения предметной области приходится учитывать вручную. (Примеры ограничений: права доступа субъекта к файлу не могут превышать его прав доступа к устройству, на котором этот файл размещен; группа пользователей наследует одинаковые полномочия и т.д.).

5. Эмпирический метод. Для того чтобы воспользоваться данным подходом к решению проблемы, необходимо знать (или уметь определять), во-первых, ожидаемые потери при нарушении защищенности информации, а во-вторых, зависимость между уровнем защищенности и средствами, затрачиваемыми на защиту информации. Решение первого вопроса, т.е. оценки ожидаемых потерь при нарушении защищенности информации, принципиально может быть получено лишь тогда, когда речь идет о защите промышленной, коммерческой и им подобной тайны, хотя и здесь встречаются весьма серьезные трудности. Что касается оценки уровня потерь при нарушении статуса защищенности информации, содержащей государственную, военную и им подобную тайну, то здесь до настоящего времени строгие подходы к их получению не найдены. Данное обстоятельство существенно сужает возможную область использования моделей, основанных на рассматриваемых подходах.

В связи с указанными недостатками совершенно необходимым является совершенствование и улучшение существующих моделей информационной безопасности. Но прежде всего, необходимо четко представлять и осознавать возможные угрозы информационной безопасности [33, с.32].

2. Основные аспекты информационной безопасности кредитных организаций

2.1 Основные аспекты и направленность

Для того чтобы сформировать и определить политику информационной безопасности, необходимы следующие исходные данные:

· информация, которая подлежит защите и перечень сведений конфиденциального характера, в соответствии с защищаемой информацией;

· топология средств автоматизации (физическая и логическая);

· описание административной структуры и категорий зарегистрированных пользователей, технология обработки информации и потенциальные субъекты, и объекты доступа;

· возможные угрозы безопасности информации и модель нарушителя ИБ;

· описание известных угроз и уязвимостей;

· расположение угроз по убыванию уровня риска (анализ рисков);

· описание общей характеристики и специализации организации (наименование организации, специализация, род деятельности, решаемые задачи, характер и объем работ, расположение угроз по убыванию уровня риска);

· описание организационно-штатной структуры организации (отделы и отделения организации, наименования отделов, решаемые задачи, общая технологическая схема функционирования подразделений).

Также составляется общее описание рабочего процесса, технологическая схема операций при выполнении рабочего процесса, интенсивность, с которой выполняется рабочий процесс, технологические ограничения, средства контроля и критерии качества результатов рабочего процесса, перечень проблемных вопросов подразделений по обеспечению защиты информации.

Должны быть проанализированы и описаны следующие данные, представленные ниже.

Используемые на предприятии средства вычислительной техники и программное обеспечение:

· сведения об используемых СВТ (описание аппаратных средств, коммуникационного оборудования удаленного доступа);

· сведения об используемом общем ПО (наименование и назначение, фирма разработчик, аппаратные требования, размещение);

· сведения об используемом специальном ПО (наименование и назначение, фирма разработчик, аппаратные требования, функциональные возможности, размещение).

Организация и структура информационных потоков и их взаимодействие:

· топология ЛВС;

· схема коммуникационных связей;

· структура и состав потоков данных (перечень входных информационных объектов и их источники, перечень выходных информационных объектов и их получатели, перечень внутренних информационных объектов);

· организация хранения данных.

Общая характеристика автоматизированных систем организации:

· расположение ЛВС;

· технические и программные средства ЛВС (физическая среда передачи, используемые протоколы, операционные системы, серверы баз данных, места хранения конфиденциальных данных, средства защиты информации);

· технические и программные средства доступа к ЛВС из сетей общего доступа;

· принадлежность и типы каналов связи;

· сетевые протоколы удаленного доступа.

Угрозы информационной безопасности:

· сведения о распределении обязанностей и инструкциях по обработке и защите информации;

· вероятные угрозы (угроза, ее вероятность и возможный ущерб);

· применяемые меры защиты (организационные меры, средства защиты ОС, средства защиты, встроенные в ПО, специализированные средства защиты).

"Политика" кредитной организации является основополагающим документом, определяющим систему приоритетов, принципов и методов достижения целей обеспечения защищенности электронных информационных ресурсов (электронных информационных активов) кредитной организации в условиях наличия угроз, характерных и существенных для крупных (системно - значимых) банковских институтов.

"Политика" направлена на защиту интересов кредитной организации по обеспечению её финансовой стабильности путем обеспечения надёжного, бесперебойного и безопасного функционирования корпоративной информационно-телекоммуникационной системы кредитной организации в целях эффективной работы платёжной, операционной, аналитической, информационной, организационно-распорядительной и других систем.

"Политика" структурирует цели и задачи кредитной организации в сфере обеспечения его информационной безопасности, уточняет приоритеты информационной безопасности.

"Политика" исходит из того, что обеспечение информационной безопасности Банка России как системно значимой и территориально распределённой структуры представляет собой комплексную многоуровневую и многоаспектную системную задачу, включающую различные объекты защиты и цели защиты, характер угроз, способы противодействия им, а также критерии оценки эффективности систем безопасности.

Одним из важных принципов, заложенных в "Политику", является обеспечение защиты электронных информационных ресурсов кредитной организации, в том числе электронных ресурсов, находящихся в его управлении, исходя из их ценности (значимости). Ценность (значимость) электронных информационных ресурсов определяет принципы и приоритеты их защиты [9, с.68].

С целью минимизации рисков информационной безопасности в "Политику" должны быть включены принципы проведения обязательного мониторинга, внутреннего контроля и аудита, анализа используемых мер и средств и возникающих угроз.

Документ содержит основные методологические подходы, позволяющие специалистам в области информационной безопасности и информатизации, а также другим специалистам кредитных организаций определить наиболее важные объекты защиты, а также формулировать принципы и направления работ, разрабатывать необходимые меры по защите электронных информационных ресурсов [41, с.45].

Информационная безопасность кредитной организации Российской федерации строится в соответствии с законодательством Российской Федерации, Доктриной информационной безопасности Российской Федерации, утвержденной Президентом Российской Федерации, государственными нормативно-методическими документами в области информационной безопасности (государственными стандартами, руководящими документами Федеральной службы по техническому и экспортному контролю), нормативно-методическими документами Банка России, учитывающими общие принципы обеспечения информационной безопасности и предусматриваемыми международными и зарубежными национальными стандартами (такими, как ISO/IECIS 17799-2005, ISO/IEC 15408, ISO/IECIS 27001-2005, COBIT и др.), а также рекомендациями Банка международных расчетов по общим (ключевым) принципам функционирования системно-значимых платежных систем.

Стратегическими целями работ по обеспечению информационной безопасности в кредитной организации должны являться:

· предупреждение возможности реализации угроз электронным информационным активам кредитной организации;

· снижение уязвимости электронных информационных активов кредитной организации;

· минимизация ущерба и времени восстановления после реализации угроз, если это произошло.

Кредитной организации следует следовать рекомендациям международных стандартов, а также Комитета по платежным и расчетным системам Банка международных расчетов по обеспечению непрерывности бизнеса (операций), включающим:

· уменьшение до приемлемого уровня возможных разрушений, вызванных актами терроризма, катастрофами, стихийными бедствиями и неблагоприятными природными явлениями, отказами элементов систем обеспечения безопасности;

· снижение зависимости от монопольных поставщиков программных, технических средств, расходных материалов и услуг;

· проведение регулярного анализа возможных причин и последствий нарушения принципов непрерывности и безопасности операций;

· разработку и реализацию планов действий на случай чрезвычайных обстоятельств для обеспечения уверенности в том, что бизнес - процессы могут быть восстановлены в пределах приемлемого времени для надлежащего выполнения соответствующих функций;

· обеспечение наличия всех необходимых средств для уменьшения рисков, ограничения последствий разрушительных воздействий и своевременного возобновления деятельности;

· учет величины возможного ущерба от реализации рисков нарушения информационной безопасности при планировании затрат на обеспечение информационной безопасности, т.е. на их (рисков) минимизацию.

Обеспечение информационной безопасности кредитной организации включает реализацию и поддержку процессов осознания информационной безопасности и процессов руководства и управления информационной безопасностью.

Процессы осознания информационной безопасности имеют отношение, как к руководству кредитной организации, так и к сотрудникам на всех звеньях системы управления информационной безопасностью, вплоть до рядовых исполнителей. Процессы осознания определяют ответственность сотрудников кредитной организации в части реализации принципов обеспечения информационной безопасности, определенных положениями стандарта Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения" (СТО БР ИББС - 1.0 - 2010), а также требований раздела 5 "Ответственность высшего руководства организации" международного стандарта ISO/IECIS 27001-2005.

Стратегия обеспечения информационной безопасности кредитной организации, таким образом, заключается в развертывании, эксплуатации и совершенствовании системы скоординированной деятельности по руководству и управлению информационной безопасностью, стимулируемой и управляемой процессами осознания информационной безопасности. СУИБ должна обеспечивать достижение целей деятельности кредитной организации в условиях:

· штатного функционирования;

· возникновения локальных инцидентов и проблем информационной безопасности;

· возникновения широкомасштабных катастроф и аварий различной природы, последствия которых имеют или могут иметь отношение к эффективной работе кредитной организации в целом.

При этом руководство и управление информационной безопасностью есть часть общей корпоративной деятельности по руководству и управлению кредитной организацией, которая ориентирована на содействие достижению целей деятельности кредитной организации через обеспечение защищенности его информационной сферы. Деятельность по обеспечению информационной безопасности не должна рассматриваться как самостоятельный вид деятельности. Осознание информационной безопасности обеспечивает основу эффективного функционирования СУИБ кредитной организации, где под эффективностью понимается обеспечение защиты информационных ресурсов кредитной организации от идентифицированных и учтенных угроз при минимальных расходах.

Информационная безопасность кредитной организации обеспечивается на основе согласованного комплекса мер и средств, включающих:

· юридические нормы, определяющие взаимоотношения с внешними организациями;

· организационную структуру, устанавливающую задачи, ответственность и подчиненность подразделений;

· административные нормы и регламенты, устанавливающие обязанности и ответственность персонала;

· технические и программные средства защиты;

· организационно-технические нормы и регламенты, определяющие порядок создания, ввода в действие, эксплуатации, модернизации и ликвидации (стадии жизненного цикла) устройств и комплексов информационно - телекоммуникационной системы кредитной организации, включая технические и программные средства защиты;

· наличие, обучение и переподготовка необходимых специалистов;

· мониторинг, внутренний контроль и аудит систем информационной безопасности, а также возникающих угроз с целью минимизации рисков.

Информационная безопасность кредитной организации обеспечивается в условиях сочетания централизованно - распределённой инфраструктуры информационных ресурсов и исходит из взаимного воздействия следующих условий и факторов:

· подверженности катастрофам, действиям террористов и иных внешних злоумышленников;

· зависимости от внешних поставщиков аппаратно-программных средств, расходных материалов, телекоммуникационных услуг и т.п.;

· невозможности проведения операций в связи с отказом технически неправильного (нарушающего установленный регламент) администрирования аппаратно-программных и технических средств;

· ошибочных или злонамеренных действий персонала [61, с.62].

Требования к формированию политики информационной безопасности.

Для достижения целей обеспечения информационной безопасности кредитной организации необходимо стремиться к реализации тенденции централизации электронных информационных ресурсов и информационных систем с целью повышения эффективности функционирования и снижения расходов на эксплуатацию информационных комплексов кредитной организации.

Такая централизация изменяет состав и содержание рисков нарушения информационной безопасности систем, а также увеличивает размер ущерба пр. реализации угроз.

С целью нейтрализации рисков нарушения информационной безопасности для каждой системы кредитной организации, обрабатывающей идентифицированную как защищаемый ресурс информацию, необходимо:

· использовать только отказоустойчивое оборудование (способное продолжать правильное выполнение функций при наличии ограниченного числа аппаратных или программных отказов) и отказоустойчивые решения;

· идентифицировать защищаемые информационные ресурсы и составить их перечень;

· предусмотреть меры по безопасному резервному копированию и хранению защищаемых информационных ресурсов;

· использовать при создании автоматизированной системы, обрабатывающей защищаемую информацию, утрата которой может нанести ущерб, технические решения, обеспечивающие катастрофоустойчивость системы в целом [45, с.6].

Внутренние системы кредитных организаций должны быть надежно изолированы от внешних систем и сетей. Механизмы изоляции должны быть прозрачными и доказуемыми.

Платежный и информационный сегменты в сетях кредитной организации должны быть разделены на сетевом уровне.

Настройки технических и программных средств, обеспечивающих указанное разделение, должны регулярно контролироваться на соответствие внутренним документам кредитной организации, должна обеспечиваться защита информации от компьютерных вирусов.

Необходимо исключить возможность несанкционированного воздействия со стороны внешнего разработчика/поставщика программно-технических средств на приобретенные и эксплуатируемые кредитной организацией аппаратно-программные комплексы и технические средства.

Должен осуществляться регулярный контроль доступа пользователей к защищаемым информационным ресурсам на соответствие установленным правилам доступа, обеспечиваться регистрация и контроль действий, по крайней мере, всех администраторов и пользователей, обладающих максимальными полномочиями по доступу к информационным ресурсам, программным и техническим комплексам.

Должен выполняться регулярный контроль целостности программного обеспечения, а также контроль состава, состояния и настроек программных средств и оборудования.

Должен осуществляться регулярный контроль на всех стадиях жизненного цикла криптографических ключей, паролей и другой идентификационной информации.

Администрирование доступа к защищаемым информационным ресурсам должно осуществляться главным образом централизованно.

Здания и помещения, в которых размещены аппаратно-программные комплексы и технические средства, а также расположены рабочие места сотрудников, должны быть оснащены необходимыми средствами охраны и видеонаблюдения (согласно требованиям внутренних нормативных актов Банка России). Должен быть исключён доступ посторонних лиц к автоматизированным рабочим местам сотрудников, выполняющих обработку защищаемых информационных ресурсов.

Должен быть реализован "принцип эшелонированной защиты", который означает, что для реализации угрозы защищаемым ресурсам кредитной организации субъект угрозы должен преодолеть несколько (более одного) уровней защиты (контуров безопасности). При этом преодоление одного уровня защиты не должно облегчать преодоление следующих уровней, внутренний контроль защищенности, аудит информационной безопасности и минимизация рисков.

2.2 Анализ и определение угроз защищаемым ресурсам кредитной организации

Центр обработки данных кредитной организации представляет собой совокупность программных и технических средств для обработки определенной информации.

Структура информационных активов разрабатывается на основе данных о кредитной организации. В обобщенном виде описание структуры активов включает:

· тип актива (аппаратное, программное, информационное обеспечение, технологический процесс, потребляемые услуги, персонал, физическая среда, бумажный документ);

· свойства безопасности актива;

· степень потребности актива в каждом из свойств безопасности.

В результате проведения анализа и идентификации активов кредитной организации обычно выделяют следующие:

· процессы деятельности;

· информационные ресурсы;

· программные средства;

· технические средства;

· потребляемые услуги;

· физические активы;

· роли персонала.

Идентификация активов ЦОД является начальным этапом построения модели угроз ИБ и модели нарушителя ИБ.

Рассмотрим более подробно каждый из определенных нами активов:

1. Процессы деятельности - определяются в соответствии с назначением ЦОД.

2. Информационные ресурсы - в качестве информационных активов рассматривается основное информационное обеспечение ЦОД. Информационными ресурсами при таком подходе будут базы данных различных систем, представляющие собой источник исходных и приемник результирующих данных процессов обработки данных. Также к этой группе ресурсов можно отнести внутренние информационные потоки, внешние информационные потоки и т.д.

3. Программные средства - в качестве программных средств необходимо рассматривать:

· системные программные средства;

· программные средства общего назначения;

· прикладные программные средства для решения организационно - экономических задач;

· программные средства защиты.

4. Технические средства - в качестве технических средств следует рассматривать:

· вычислительную технику;

· комплексы, оборудование, аппаратуру систем передачи данных.

5. При идентификации технических средств необходимо учитывать следующие рекомендации:

· рассматривать активы данных видов необходимо с точки зрения хранения, обработки, передачи идентифицированных информационных активов, или с точки зрения участия активов данных видов в идентифицированных процессах деятельности;

· множество активов, выполняющих функции одного типа, необходимо группировать вместе и рассматривать как один актив;

· активы, выполняющие несколько различных функций, должны классифицироваться как многофункциональные активы;

· указывать местоположение активов (номера помещений, зданий и т.);

6. Физические активы - в качестве физических активов рассматриваются помещения, в которых располагаются вычислительные центры ЦОД.

7. Роли персонала - при идентификации персонала, осуществляющего эксплуатацию и обслуживание ЦОД следует рассматривать то персонал, который непосредственно участвует в процессах основной деятельности ЦОД.

8. Потребляемые услуги - два основных вида потребляемых услуг:

· внешние услуга - услуги, предоставляемые внешними организациями;

· внутренние услуги - услуги, предоставляемые одним подразделением другому (в рамках одной кредитной организации) [52, с.23].

Среди угроз защищаемым ресурсам кредитной организации следует выделять следующие:

1. Внешние:

· атаки на информационные ресурсы (платежную и иную информацию) кредитной организации, в том числе компьютерные вирусы;

· катастрофы и неблагоприятные события природного и техногенного характера;

· террористические акты;

· зависимость от монопольных поставщиков аппаратно-программных и технических средств, расходных материалов, телекоммуникационных услуг и атаки из внешних информационных сред на аппаратно-программные и технические комплексы кредитной организации.

2. Внутренние:

· невыполнение сотрудниками кредитной организации установленных технических и/или технологических регламентов;

· несанкционированная деятельность (включая ошибки) персонала и пользователей автоматизированных систем, приводящая к изменению настроек оборудования, аппаратно-программных средств и комплексов, влияющих на информационную безопасность;

· несанкционированное использование информационных ресурсов (чтение, копирование, публикация, искажение, уничтожение, ввод ложной информации и т.п.).

Основные источники-субъекты угроз кредитной организации:

1. Внешние:

· террористы;

· криминальные элементы;

· компьютерные злоумышленники;

· монопольные поставщики программно-технических средств, расходных материалов, услуг и т.п.

2. Внутренние:

· специалисты по эксплуатации автоматизированных систем (администраторы автоматизированных систем и их частей (операционных систем, систем управления базами данных, сетевого оборудования, приложений, информационной безопасности и т.д.);

· пользователи автоматизированных систем;

· разработчики банковских электронных технологий и программного обеспечения;

· руководящий и управленческий персонал [46, с.5].

Основными свойствами безопасности определим следующие свойства:

"Конфиденциальность". Свойство, позволяющее не давать права на доступ к информации или не раскрывать ее неполномочным лицам, логическим объектам или процессам;

"Целостность". Свойство сохранения точности и полноты ресурсов;

"Учетность". Свойство, обеспечивающее однозначное отслеживание собственных действий любого логического объекта;

"Доступность". Свойство быть доступным и используемым по запросу со стороны уполномоченного логического объекта;

"Аутентичность". Свойство обеспечения идентичности субъекта ресурса заявленной идентичности. Аутентичность применяется к таким субъектам как пользователи, процессы, системы и информация;

"Функциональность/Надежность". Свойство соответствия преднамеренному поведению и результатам.

Определение степени потребности актива в свойстве безопасности основывается на определении объема возможных негативных последствий для ЦОД кредитной организации в результате инцидентов информационной безопасности, приводящих к нарушению или потери одного или нескольких свойств безопасности.

Для определения объема негативных последствий от нарушения свойства безопасности актива вследствие инцидента информационной безопасности должны оцениваться:

· степень влияния нарушения свойства безопасности актива на деятельность ЦОД;

· уровень ответственности сотрудников ЦОД за нарушение свойства безопасности актива;

· объем дополнительных затрат, необходимых для восстановления свойства безопасности актива и ликвидации последствий инцидента информационной безопасности.

При оценке степени влияния нарушения свойства безопасности актива на деятельность ЦОД используются критерии, представленные в таблице 3.

Таблица 3 - Уровни степени влияния нарушении свойства безопасности актива на деятельность ЦОД

Уровень степени влияния

Критерии, определяющие уровень степени влияния

Нулевой

Свойство безопасности не актуально для актива (негативные последствия отсутствуют)

Низкий

В случае нарушения свойства безопасности актива, ущерб наносится только самому активу. При этом не происходит нарушение процессов деятельности, в которых

задействован актив.

Средний

В случае нарушения свойства безопасности актива, ущерб наносится как самому активу, так и процессам деятельности, в которых данный актив задействован. При этом не нарушаются виды основной деятельности, в рамках которых функционируют указанные процессы.

Высокий

В случае нарушения свойств безопасности актива, ущерб наносится активу, процессам деятельности, в которых данный актив задействован, а также некоторым (отдельным) видам деятельности, реализуемым данными процессами.

Критичный

В случае нарушения свойств безопасности актива, возникают нарушения и наносится ущерб для деятельности на всех уровнях, что, в свою очередь, приводит к нарушению деятельности подразделения в целом.

Применительно к кредитным организациям можно выделить три группы лиц, на которых может быть возложена ответственность за нарушение требований регулирующих деятельность подразделений нормативно-правовых документов, а именно:

· ответственность несут рядовые сотрудники;

· ответственность несут руководители среднего звена (начальники отделов, секторов, служб);

· ответственность несут руководители высшего звена (высшее руководство).

Применительно к деятельности кредитных организаций можно выделить следующие основные виды ответственности:

· "Дисциплинарная". Дисциплинарная ответственность заключается в наложении дисциплинарного взыскания на сотрудника руководством кредитной организации или вышестоящим в порядке подчиненности органом (выговор, строгий выговор, увольнение).

· "Материальная". Материальная ответственность сотрудников кредитной организации накладывается за ущерб, причиненный их неправильными служебными действиями или невыполнением служебных обязанностей. Материальная ответственность может возлагаться на сотрудников только в случаях, предусмотренных законодательством.

· "Контрактная/договорная". Договорная ответственность возникает при невыполнении обязательств по договору. Ответственность наступает при невыполнении договорных обязательств или их ненадлежащем выполнении, если должник не может доказать, что это не его вина.

· "Административная". Административная ответственность накладывается в случае совершения административного нарушения сотрудниками кредитной организации. При этом к административной ответственности привлекаются только на основании законодательства, действующего на момент совершения нарушения.

· "Уголовная". Уголовная ответственность заключается в применении к нарушителю государственного принуждения в форме наказания. Привлечение к уголовной ответственности означает возбуждение уголовного дела, последующее расследование и судебное разбирательство, с последующим наказанием. [1, с.44]

При оценке уровня ответственности сотрудников ЦОД за нарушение свойства безопасности актива, используются критерии, представленные в таблице 4.

Таблица 4 - Уровни ответственности сотрудников ЦОД за нарушение свойства безопасности актива

Уровень ответственности

Критерии, определяющие уровень ответственности

Низкий

В случае нарушения свойства безопасности актива накладывается дисциплинарная и/или материальная ответственность только на рядовых сотрудников ЦОД

Средний

В случае нарушения свойства безопасности актива накладывается дисциплинарная, материальная или договорная ответственность на руководящий состав среднего звена кредитной организации (начальники отделов, секторов) и/или административная ответственность на рядовых сотрудников ЦОД или на руководство среднего звена (начальники отделов, секторов)

Высокий

В случае нарушения свойства безопасности актива накладывается любой вид ответственности на руководство высшего звена кредитной организации и/или уголовная ответственность на руководство среднего звена (начальники отделов, секторов) или рядовых сотрудников

Негативные последствия от нарушения свойства безопасности актива, приводят к дополнительным затратам, необходимых для восстановления свойства безопасности актива и ликвидации указанных негативных последствий. Можно выделить следующие основные виды дополнительных затрат:

· людские;

· временные;

· финансовые.

При оценке уровня объема дополнительных затрат, необходимых для восстановления свойства безопасности актива используются критерии, представленные в таблице 5.

Таблица 5 - Уровни объема дополнительных затрат, необходимых для восстановления свойства безопасности актива

Уровень объема дополнительных затрат

Критерии, определяющие уровень объема дополнительных затрат

Низкий

Восстановление свойства безопасности актива и ликвидация последствий инцидента информационной безопасности осуществляется сотрудниками отдела (службы) ЦОД, в компетенцию которого входит ликвидация последствий данного инцидента информационной безопасности, (дополнительные временные затраты и/или увеличение объема работ для сотрудников этого отдела (службы))

Средний

Восстановление свойства безопасности актива и ликвидация последствий инцидента информационной

безопасности требует привлечения сотрудников нескольких отделов (служб) ЦОД, (дополнительные временные затраты и/или увеличение объема работ для сотрудников этих отделов (служб))

Высокий

Восстановление свойства безопасности актива и ликвидация последствий инцидента информационной безопасности осуществляется сотрудниками отделов (служб) ЦОД совместно с сотрудниками сторонних организаций, привлекаемых для ликвидации последствий инцидента (дополнительные временные затраты и/или увеличение объема работ для сотрудников ЦОД, возможные финансовые затраты, связанные с привлечением сторонних организаций)

Определение степени потребности информационных активов центра обработки данных кредитной организации в свойствах безопасности является основным этапом для определения алгоритма оценки степени потребности актива в свойствах безопасности. Выявление такого алгоритма, в свою очередь, позволяет приступить к созданию проекта модели угроз информационной безопасности кредитных организаций. Оценка степени потребности актива в актуальном свойстве безопасности осуществляется по совокупности оценок, присвоенных уровню влияния свойства безопасности актива на деятельность центра обработки данных кредитной организации, уровню объема дополнительных затрат, необходимых для восстановления свойства безопасности актива и уровню ответственности сотрудников ЦОД, путем их сложения. Для этого всем качественным оценкам, полученным для этих уровней, присваиваются количественные значения в соответствии с таблицей 6 в виде баллов. Неактуальные свойства безопасности актива, т.е. имеющие нулевой уровень влияния на деятельность ЦОД, не рассматриваются, и потребность в их обеспечении отсутствует.

Таблица 6 - Перевод качественных значений уровней в количественные значения

Оцениваемый уровень

Качественная оценка

Количественная оценка

Уровень влияния свойства безопасности актива на деятельность ЦОД

Низкий

1

Средний

2

Высокий

3

Критичный

4

Уровень объема дополнительных затрат, необходимых для восстановления свойства безопасности актива

Низкий

1

Средний

2

Высокий

3

Уровень ответственности сотрудников

ЦОД

Низкий

1

Средний

2

Высокий

3

Вначале по таблице 7, представляющей собой матрицу оценок, каждый элемент которой соответствует определенным значениям оценок влияния свойства безопасности актива на деятельность ЦОД и оценок объема дополнительных затрат, необходимых для восстановления свойства безопасности актива, оценивается уровень уязвимости деятельности ЦОД от нарушения свойства безопасности актива. Такая оценка проводится для каждого актуального свойства безопасности актива.

Таблица 7 - Матрица оценок уровня уязвимости деятельности ЦОД от нарушения свойства безопасности актива

Уровень влияния свойства безопасности актива на деятельность ЦОД

Уровень дополнительных затрат, необходимых для восстановления свойства безопасности актива

Низкий (1)

Средний (2)

Высокий (3)

Низкий (1)

2

3

4

Средний (2)

3

4

5

Высокий (3)

4

5

6

Критичный (4)

5

6

7

Результаты оценки уровня уязвимости деятельности ЦОД от нарушения свойства безопасности актива в виде баллов интерпретируются в соответствии с вербальной шкалой оценок (шкалой суждений) следующим образом: если количество баллов равно 2, то имеет место низкий уровень уязвимости деятельности ЦОД от нарушения свойства безопасности актива; если количество баллов равно 3, то имеет место средний уровень уязвимости деятельности ЦОД от нарушения свойства безопасности актива; если количество баллов равно 4, то имеет место высокий уровень уязвимости деятельности ЦОД от нарушения свойства безопасности актива; если количество баллов более 4, то имеет место критический (очень высокий) уровень уязвимости деятельности ЦОД от нарушения свойства безопасности актива. Качественным оценкам уровня уязвимости деятельности ЦОД от потери или нарушения свойства безопасности актива присваиваются количественные значения в соответствии с таблицей 8 в виде баллов.

Таблица 8 - Количественные значения уровня уязвимости ЦОД

Оцениваемый уровень

Качественная оценка

Количественная оценка

Уровень уязвимости деятельности ЦОД от потери или нарушения свойства безопасности актива

Низкий

1

Средний

2

Высокий

3

Критичный

4

Степень потребности актива в свойстве безопасности оценивается по таблице 9, представляющей собой матрицу оценок, каждый элемент которой соответствует определенным значениям оценок уязвимости деятельности ЦОД от потери или нарушения свойства безопасности актива и оценок ответственности сотрудников ЦОД за потерю или нарушение свойства безопасности актива. Такая оценка проводится для каждого актуального свойства безопасности актива.

Результаты оценки степени потребности актива в свойстве безопасности в виде баллов интерпретируются в соответствии с вербальной шкалой оценок (шкалой суждений) следующим образом: если количество баллов равно 2, то степень потребности актива в свойстве безопасности низкая (Н); если количество баллов равно 3, то степень потребности актива в свойстве безопасности средняя (С); если количество баллов равно 4, то степень потребности актива в свойстве безопасности высокая (В); если количество баллов более 4, то степень потребности актива в свойстве безопасности очень высокая (ОВ).

Таблица 9 - Матрица оценок степени потребности актива в свойстве безопасности

Уровень уязвимости деятельности ЦОД от нарушения свойства безопасности актива

Уровень ответственности сотрудников ЦОД за нарушение свойства безопасности актива

Низкий (1)

Средний (2)

Высокий (3)

Низкий (1)

2

1

4

Средний (2)

3

4

5

Высокий (3)

4

5

6

Критичный (4)

5

6

7

Данный подход (включая его элементы - матрицу оценок уровня уязвимости деятельности ЦОД от нарушения свойства безопасности актива, матрицу оценок степени потребности актива в свойстве безопасности, количественные и качественные значения) будет использоваться для формирования алгоритма расчета значимости угроз информационной безопасности [43, с.47].

2.3 Анализ существующих методов формирования системы обеспечения информационной безопасности ЦОД

Система обеспечения информационной безопасности центра обработки данных предназначена для обеспечения заданного состояния информационной безопасности системы ЦОД путем мониторинга информационной безопасности системы ЦОД и управления, как специальными, так и встроенными в функционал программно-техническими средствами обеспечения информационной безопасности (ПТС ИБ) на каждом уровне системы ЦОД.

Конечной целью создания системы обеспечения безопасности информационных технологий является предотвращение или минимизация ущерба (угрозы, представленные в Главе 1 и Главе 2).

Обеспечение информационной безопасности - это непрерывный процесс, основное содержание которого составляет управление, - управление людьми, рисками, ресурсами, средствами защиты информации и т.д. Люди - эксплуатирующий персонал и конечные пользователи АС, - являются неотъемлемой частью автоматизированной (человек-машина) системой.

В целом можно выделить три метода построения СОИБ:

· метод снизу-вверх;

· метод сверху-вниз;

· метод многокомпетентности.

Первый метод сводится к проектированию системы с самого "низа". Он заключается в создании в кредитной организации своих подразделений автоматизации и информатизации, специалисты которых, начиная с "белого листа", занимаются автоматизацией различных задач и процессов, рабочих мест (АРМ) и т.п.

Минусы подхода:

· разное понимание задач автоматизации у пользователей и, как следствие этого, бесконечные внесения изменений в процесс автоматизации специалистами подразделений автоматизации и информатизации;

· частые изменения инструкций, порядков, положений и т.д. как следствие - медлительность процесса автоматизации и недовольство на уровне персонала и руководителей.

Второй метод заключается в создании одной функциональной автоматизированной системы, предназначенной для решения большого спектра задач. Например, автоматизацию ведения бухгалтерского аналитического учета и технологических процессов (для кредитных организаций это, например расчетно-кассовое обслуживание). Система проектируется "сверху", т.е. в предположении, что одна программа должна удовлетворять потребности всех пользователей.

Идея создания универсальной системы ограничивает возможности разработчиков в структуре информационных множеств базы данных, использовании вариантов экранных форм, алгоритмов расчета и, следовательно, отсутствует возможность принципиально расширить круг решаемых задач - автоматизировать повседневную деятельность каждого работника. Заложенные "сверху" жесткие рамки ограничивают возможности таких систем по ведению и решению специфических задач. Как следствие - работники вынуждены проводить некоторые свои операции вручную.

Минусы подхода - выполнение трудоемких и, как следствие, время затратных задач.

Третий метод, или метод многокомпонентности, заключается в объединении указанных выше подходов, нахождении тонкого баланса между ними. Здесь появляется ряд специфических требований каждого работника кредитной организации, выполнение любых отдельных и технологических расчетов и пр. С использованием гибкой системы настроек появилась реальная возможность адаптации программного аппарата к практически любым условиям и различным требованиям структурных материалов и правилам работы, принятым либо в вышестоящей организации, либо в данной кредитной организации. Обязательным условием при использовании данного метода является наличие в самой кредитной организации квалифицированных специалистов.

Такой метод является предпочтительным и используется в большинстве случаев при проектировании и создании систем, однако и он не является совершенным.

Выводы по второй главе

1. Проанализированы стратегические цели работ по обеспечению информационной безопасности в кредитной организации.

2. Рассмотрены рекомендации международных стандартов, а также Комитета по платежным и расчетным системам Банка международных расчетов по обеспечению непрерывности бизнеса (операций).

3. Обоснована стратегия обеспечения информационной безопасности кредитной организации, комплекс мер и средств по обеспечению информационной безопасности.

4. Классифицирована структура информационных активов кредитной организации.

5. Выделены основные источники-субъекты угроз кредитной организации, угрозы защищаемым ресурсам кредитной организации.

3. Методика анализа и оценки угроз информационной безопасности для центра обработки данных ОАО "Волга-кредит" банк

3.1 Исследование организационной структуры ОАО "Волга-кредит" банк

"Волга-Кредит" банк начал свою работу 11 декабря 1990 года в городе Безенчук. С 2002 года банк прочно обосновался в Оренбурге и начал активно работать по привлечению новых партнеров и клиентов. Органами управления банка являются:

· общее собрание акционеров;

· совет директоров;

· правление банка (коллегиальный исполнительный орган);

· Председатель Правления (единоличный исполнительный орган).

Правление банка является коллегиальным исполнительным органом банка и осуществляет принятие решений по вопросам непосредственно текущего управления деятельности банка за исключением вопросов, отнесенных исключительно к полномочиям общего собрания акционеров и Совета директоров. Функции председателя коллегиального исполнительного органа осуществляет лицо, осуществляющее функции единоличного исполнительного органа.

Совет директоров избирается общим собранием акционеров. Совет директоров осуществляет общее руководство деятельностью банка, за исключением решения вопросов, отнесенных к исключительной компетенции общего собрания акционеров. Именно Совет директоров определяет приоритетных направлений деятельности банка, выносит решение об увеличении уставного капитала, об образовании исполнительных органов банка и досрочном прекращении их полномочий, о создании филиалов и открытии представительств банка и многое другое.

Организационная структура ОАО "Волга-кредит" банк представлена в приложении А. Отделы и функции отделов банка ОАО "Волга-кредит" банк:

· департамент активно-пассивных операций;

· кредитное управление;

· отдел вексельного обращения (операции с векселями);

· департамент клиентских отношений (обслуживание физических и юридических лиц, РКО, вклады, пластиковые карты, сейфовые ячейки, денежные переводы);

· отдел по обслуживанию юридических лиц (открытие расчетного счета, расчетно-кассовое обслуживание юридических лиц);

· управление по работе с физическими лицами (вклады, пластиковые карты, денежные переводы, индивидуальные сейфовые ячейки, обслуживание VIP-клиентов);

· отдел по работе с VIP-клиентами (обслуживание VIP-клиентов: прием вкладов, осуществление переводов, обмен валюты);

· отдел по обслуживанию физических лиц (прием вкладов у населения, денежные переводы);

· инвестиционный департамент;

· управление по работе на денежном рынке (международные расчеты, валютные операции, операции на межбанковском рынке);

· отдел развития межбанковкого бизнеса (покупка-продажа межбанковских кредитов, корреспондентские отношения, депозиты юридических лиц, межфилиальные расчеты);

· управление по работе с ценными бумагами (операции с ценными бумагами);

· БЭК-офис (операции с ценными бумагами);

· депозитарий (депозитарное обслуживание);

· отдел брокерских операций и доверительного управления (брокерские операции, покупка-продажа ценных бумаг, доверительное управление);

· департамент развития бизнеса (клиентские отношение, развитие новых направлений бизнеса);

· отдел сопровождения клиентских сделок;

· отдел по работе с терминальной сетью (установка терминалов, обслуживание терминальной сети);

· отдел по работе с филиалами и ВСП (сопровождение контроль деятельности филиалов и внутренних структурных подразделений);

· юридическое управление (обеспечение соблюдения законности в банке; юридическая защита прав и интересов банка; договорная, претензионная и исковая работа; консалтинг сотрудников);

· служба внутреннего контроля (проверка структурных подразделений, комплексная проверка филиалов, консалтинг сотрудников банка и филиалов, работа с аудиторами);

· отдел финансового мониторинга (противодействие легализации доходов, полученных преступным путем, и финансированию терроризма);

· управление бухгалтерской отчетности и учета (бухгалтерский учет и отчетность);

· управление финансового анализа (контроль за выполнением нормативов ЦБ, анализ результатов работы банка, банков-корреспондентов, планирование деятельности);

· отдел рекламы и общественных отношений (реклама и связи с общественностью);

· управление информационных технологий (система "Клиент-Банк", сопровождение и обслуживание системы автоматизации банковской деятельности, телекоммуникационные задачи, обмен информации с филиалами и РЦИ ГУ ЦБ);

· отдел кадров (работа с персоналом, прием новых сотрудников);

· департамент защиты бизнеса (охрана, контроль и обеспечение внутренней, экономической и технической безопасности);

· управление информационной безопасности (контроль и обеспечение информационной безопасности сотрудниками банка);

· отдел защиты бизнеса (контроль и обеспечение экономической безопасности);

· отдел инкассации (сбор и доставка наличности и материальных ценностей).

3.2 Метод анализа угроз информационной безопасности центра обработки данных ОАО "Волга-кредит" банк

Используя данные, приведенные в Главе 1 и Главе 2, учитывая опыт работы в кредитной организации и анализ информации отечественных и зарубежных литературных источников, был сформирован перечень угроз информационной безопасности ЦОД ОАО "Волга-кредит" банк.

Выявленные по результатам анализа угрозы распределены по группам:

· угрозы природного характера;

· угрозы, связанные с человеческим фактором;

· угрозы техногенного характера;

· угрозы, связанные с потребляемыми услугами;

· угрозы, порождаемыми иными возможными источниками (угрозы, связанные с руководством и управлением ИБ и угрозы организационного характера).

При выявлении угроз ИБ исследовались возможные условия функционирования ЦОД ОАО "Волга-кредит" банк, факторы, влияющие на степень актуальности угроз, предполагаемые последствия и типовые меры защиты. Данные приведены в Приложении Б.

Используя данные, полученные в результате анализа угроз информационной безопасности в Главе 2, сформирован алгоритм расчета значимости угроз информационной безопасности.

Таблица 10 - Определение потенциала источника угроз ИБ ЦОД ОАО "Волга-кредит" банк

Потенциал

Описание

Низкий

Низким потенциалом обладают источники угроз, имеющие ресурсы, эквивалентные ресурсам организации, среднюю, высокую или очень высокую квалификацию, но не имеющие мотивацию.

Пример - сторонние разработчики эксплуатируемого программного обеспечения или технологии.

Средний

Средним потенциалом обладают следующие источники угроз:

имеющие мотивацию, высокую квалификацию и ресурсы, эквивалентные ресурсам группы лиц (эксплуатационный и обслуживающий персонал, инсайдеры, криминальные структуры);

имеющие ресурсы, эквивалентные ресурсам физического лица или группы лиц, не имеющие мотивации и квалификации в области ИБ.

Высокий

Высоким потенциалом обладают следующие источники угроз:

имеющие мотивацию, очень высокую квалификацию и ресурсы, эквивалентные ресурсам группы лиц (компьютерные злоумышленники);

имеющие мотивацию, высокую квалификацию и ресурсы, эквивалентные ресурсам организации (террористические организации и внешние пользователи).

Очень высокий

Очень высоким потенциалом обладают источники угроз, имеющие мотивацию, очень высокую квалификацию, ресурсы эквивалентные ресурсам корпорации или государства (зарубежные спецслужбы и конкурирующие организации).

Модель нарушителя ИБ ЦОД ОАО "Волга-кредит" банк приведена в таблице 11. Потенциал источника угроз определяется по таблице 10, исходя из информации о мотивации, квалификации и ресурсов источника угрозы.

Таблица 11 - Модель нарушителя ИБ ЦОД ОАО "Волга-кредит" банк

Угроза ИБ

Тип источника угрозы

Потенциал, необходимый источнику для реализации угрозы.

1

2

3

Сбои и отказы программно - аппаратных средств

Внешний

Низкий

Внутренний

Средний

Угрозы со стороны обслуживающего персонала

Внутренний

Средний

Ошибки руководства организации в связи с недостаточным уровнем осознания ИБ

Внутренний

Низкий

Ошибки менеджмента ИБ

Внутренний

Средний

Ошибки в обеспечении безопасности информационных систем на стадиях жизненного цикла

Внешний

Низкий

Внутренний

Низкий

Утечка информации

Внешний

Очень высокий

Внутренний

Низкий

Ошибки при использовании и администрировании систем и средств ИТ

Внутренний

Низкий

Нарушение функциональности и доступности персонала

Внешний

Высокий

Внутренний

Низкий

Пожар

Внешний

Высокий

Внутренний

Средний

Нарушение внутриклиматических условий

Внешний

Высокий

Внутренний

Средний

Разрушительные события окружающей среды

Внешний

Высокий

Отказы систем жизнеобеспечения

Внешний

Высокий


Подобные документы

Работы в архивах красиво оформлены согласно требованиям ВУЗов и содержат рисунки, диаграммы, формулы и т.д.
PPT, PPTX и PDF-файлы представлены только в архивах.
Рекомендуем скачать работу.