Разработка методики анализа и оценки угроз центра обработки данных ОАО "Волга-кредит банк"
Методологические основы построения системы обеспечения информационной безопасности кредитных организаций. Анализ и определение угроз защищаемым ресурсам. Метод анализа угроз информационной безопасности центра обработки данных ОАО "Волга-кредит банк".
| Рубрика | Банковское, биржевое дело и страхование |
| Вид | дипломная работа |
| Язык | русский |
| Дата добавления | 07.05.2014 |
| Размер файла | 1,6 M |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Отказ в обслуживании
Внешний
Высокий
Внутренний
Средний
Взаимозависимость от партнеров/клиентов
Внешний
Высокий
Ошибки, допущенные при заключении договоров с провайдерами внешних услуг
Внешний
Средний
Нарушение договорных обязательств с провайдерами внешних услуг
Внешний
Высокий
Разглашение данных третьим сторонам провайдером услуг
Внешний
Высокий
Ошибки передачи электронных сообщений
Внешний
Высокий
Внутренний
Средний
Выход из строя средств телекоммуникации
Внешний
Высокий
Внутренний
Средний
Нарушение технологии обработки данных
Внутренний
Средний
Нарушение персоналом организационных мер по защите ИБ
Внутренний
Средний
Ошибки кадровой работы
Внутренний
Низкий
Ошибки в организации управления доступом организации
Внутренний
Средний
Разработка и использование некачественной
Внешний
Низкий
документации
Внутренний
Средний
Проблемы, создаваемые крупными публичными событиями
Внешний
Средний
Инсайдерская деятельность
Внутренний
Средний
Шпионаж
Внешний
Очень высокий
Внутренний
Средний
Хищение
Внешний
Очень высокий
Внутренний
Средний
Саботаж
Внутренний
Средний
Халатность
Внутренний
Низкий
Использование программных средств и информации без гарантии источника
Внешний
-
Внутренний
-
Несанкционированные действия
Внутренний
Высокий
Злоупотребление
Внутренний
Средний
Обман
Внешний
Высокий
Внутренний
Средний
Воздействие вредоносного кода (компьютерные вирусы)
Внешний
Высокий
Внутренний
Средний
Нарушение функциональности криптографической системы
Внешний
Высокий
Внутренний
Средний
Нарушение функциональности архивной системы
Внешний
Низкий
Внутренний
Средний
Алгоритм расчета значимости угроз информационной безопасности ЦОД ООО "Волга-кредит" банк
Значимость события - это произведение вероятности наступления данного события на потенциал угрозы источника этого события.
Значимость события рассчитывается по абсолютной и относительной значимости события:
А=В•К•Р*; (2)
A*=Ai/ (Al+A2+. +An), (3)
где А - абсолютное значение значимости события; A* - относительное значение значимости события.
Для точных расчетов величины значимости события угроза ИБ должна являться статистической вероятностью из существующей выборки событий (из выборки совершившихся событий определяется относительная вероятность угрозы ИБ относительно других угроз). Пример: предположим, что "Сбои и отказы программно-аппаратных средств" возникают в 10 раз чаще чем "Пожар", тогда если вероятность пожара будет около 0,5%, вероятность "Сбоя и отказы программно-аппаратных средств" будет 5%.
Без статистики, имея 37 угроз ИБ, целесообразно считать их равновероятными, т.е.:
B1=B2=B3=B4=B5=B6=B7=B8. =B37; (4)
где В - вероятность наступления события, %;
37 - количество всех угроз ИБ (без учета источника возникновения);
В1 - сбои и отказы программно-аппаратных средств;
В2 - угрозы со стороны обслуживающего персонала;
ВЗ - ошибки руководства организации в связи с недостаточным уровнем осознания ИБ;
В6 - утечка информации;
В8 - нарушение функциональности и доступности персонала, и т.п. по таблице.
Суммарную вероятность наступления всех угроз принимаем 100%, т.е. если возникнет угроза ИБ, то она будет одной из списка 37 угроз. Второй вариант - берется общее число событий (нормальное функционирование и угрозы ИБ) и угрозы ИБ составляют от него какой-то процент и суммарная вероятность всех угроз будет равна этому проценту.
Bl+B2+B3+B4+B5+B6+B7+B8+. +B37=l;
В1=В2=ВЗ=В4=В5=В6=В7=В8=. =В37=1/3 7=0,027=2,7%,
В случае, если угроза имеет два типа источника возникновения, тогда вероятность на каждый из них придется по 50% от определенной вероятности события.
Для первого случая получается В1=2,7%, тогда "Сбои и отказы программно-аппаратных средств от внешних источников угрозы" (В11) и "Сбои и отказы программно-аппаратных средств от внутренних источников угрозы" (В12) будут равны
В11=В12= (В1) /2=0,027/2=0,0135=1,35%.
Для второго случая получается В2=2,7% и только один источник угрозы (внутренний), поэтому вероятность события, которое может возникнуть только от одного типа источника (не важно внешнего или внутреннего) равна вероятности этого события.
Для 3-го, 6-го и 8-го событий расчет аналогичен первому событию.
В зависимости от типа угрозы источники подразделены на внешние и внутренние, статистически не важно, откуда исходит угроза изнутри или снаружи, но предполагается, что внутренняя угроза способна нанести более значительный ущерб (к примеру, в два раза), чем внешняя, тогда имеем уравнение:
КвнешчКвнутр=1, (5)
где К - повышающий коэффициент угрозы, у. е.
Сумма внутренних и внешних угроз равна 1, т.к. внутренние и внешние угрозы описывают собой полное множество событий).
Квнутр=2 • Квнеш, (6)
2•Квнеш+Квнеш =1, (7)
Квнеш=1/3=0,333=33%;
Квнутр=1 - Квнеш =1-0,333=0,667=67%.
По таблице 10 имеем четыре источника угроз. Принимаем, что потенциал всех угроз 100% и каждый следующий уровень потенциала угрозы в два раза выше предыдущего.
Тогда имеем уравнение:
Рнизкий+ Рсредний+ Рвысокий+ Рочень высокий=1; (8)
Рнизкий+2•Рнизкий+2• (2•Рнизкий) +2• (2• (2•Рнизкий)) =1; (9)
15•Рнизкий=1. (10)
где Р - потенциал угрозы, насколько опасен потенциал источника относительно всех источников угроз, у. е.
Отсюда имеем процентное соотношении потенциалов между собой:
Рнизкий=1/15=0,067=7%;
Рсредний=2•Рнизкий=2•0,067=0,133=13%;
Рвысокий=2•Рсредний=2•0,133=0,266=27%;
Рочень высокий=2•Рвысокий=2•0,266=0,532=53%.
Потенциал угрозы, необходимый источнику для реализации угрозы (Р*) определяется, как сумма потенциалов угроз, которые больше или равны установленному уровню, потому что потенциал угроз выше необходимого уровня достаточен для нанесения ущерба и защита осуществлена, только для уровня угроз ниже уровня защиты.
Р*низкий=Рнизкий+Рсредний+Рвысокий+Рочень высокий=0,067+0,133+0, 266+0,532=1;
Р*средний=Рсредний+Рвысокий+Рочень высокий=0,133+0,266+0,532=0,93
Р*высокий=Рвысокий+ Рочень высокий=0,266+0,532=0,798;
Р*очень высокий = Рочень высокий=0,53.
где Р* - потенциал угрозы, необходимый источнику для реализации угрозы, y. e.
Определяем значимости наступления события в абсолютных единицах по формуле (примеры приведены для определенных угроз ИБ):
А11=В11•К11•Р*11=0,0135•0,333•1=0,00449;
А12=В12•К12•Р*12=0,0135•0,667•0,93=0,00838;
А2=В2•К2•Р*2=0,027•0,667•0,93=0,01676;
АЗ=ВЗ•K3•Р*3=0,027•0,667•1=0,01801;
A61=B61•K61•Р*61=0,0135•0,333•0,53=0,00239;
А62=В62•К62•Р*62=0,0135•0,667•1=0,00901;
A81=B81•K81•Р*81=0,0135•0,333•0,8=0,00360;
A82=B82•K82•Р*82=0,0135•0,667•1=0,00901;
Относительная значимость % (примеры для определенных угроз ИБ).
Определим сумму всех значимостей по формуле:
(A11+A12+A2+A3+. +A371+A372) =0,00450+0,00838+0,01676+0,01802+.
+0,00450+00838=0,4789.
Определим относительное значение значимости события, относительно полного поля (100%) значимостей остальных событий:
А*11= (А11/ (А11+А12+А2+АЗ+. +А371+А372)) •100%= (0,00450/0,4789) • 100% =0,94%;
A*12= (A12/ (А11+А12+А2+АЗ+. +А371+ A372)) •100%= (0,00838/0,4789) • 100%= 1,75%;
А*2= (А2/ (А11+А 12+А2+АЗ+. +АЗ71+ А372)) •100%= (0,01676/0,4789) • 100% =3,5%;
A*3= (A3/ (A11+А12+А2+АЗ+. +А371+A372)) •100%= (01801/0,4789) •100%= 3,76%;
А*61= (А61/ (А11+А12+А2+АЗ+. +А371+А372)) •100%= (0,00239/0,4789) • 100%= 0,5%;
А*62= (А62/ (А11+А12+А2+АЗ+. +А371+А372)) •100%= (0,00901/0,4789) • 100%= 1,88%;
А*81= (А81/ (А11+А12+А2+АЗ+. +А371+А372)) •100%= (0,00360/0,4789) • 100%= 0,75%;
А*82= (А82/ (А11+A12+A2+A3+. +A371+А372)) •100%= (0,00901/0,4789) •100% = 1,88%.
Относительное значение значимости события, относительно значимости всех событий, без учета типа угрозы (просто для отдельной угрозы):
А*1=А*11+А*12=0,94%+1,75%=2,69% - сбои и отказы программно-аппаратных средств;
А*2=3,5% - угрозы со стороны обслуживающего персонала;
А*3=3,76% - ошибки руководства организации в связи с недостаточным уровнем осознания ИБ;
А*6=А*61+А*62=0,5%+1,88%=2,38% - утечка информации;
А*8=А*81+А*82=0,75%+1,88%=2,63% - нарушение функциональности и доступности персонала [55, с.22].
В результате получаем итоговую таблицу значений:
Таблица 12 - Итоговые значения значимости угроз ИБ
|
Угроза И Б |
Вероятность события, без учета типа угрозы |
Вероятность события, с учетом типа угрозы |
Тип источника угрозы |
Коэффициент типа угрозы |
Потенциал, необходимый источнику для реализации угрозы |
Потенциал угрозы, необходимый источнику для реализации угрозы |
Значимость наступления события в абсолютных единицах |
Относительное значение значимости события, относительно значимости всех событий с учетом типа угрозы |
Относительное значение значимости события, относительно значимости всех событий, без учета типа угрозы |
|
|
1 |
2 |
3 |
4 |
5 |
6 |
7 |
8 |
9 |
10 |
|
|
Сбои и отказы программно- аппаратных средств |
2,70% |
1,35% |
Внешний |
0,33 |
Низкий |
1 |
0,00450 |
0,94% |
2,69% |
|
|
1,35% |
Внутренний |
0,667 |
Средний |
0,93 |
0,00838 |
1,75% |
||||
|
Угрозы со стороны обслуживающего персонала |
2,70% |
2,70% |
Внутренний |
0,667 |
Средний |
0,93 |
0,01676 |
3,50% |
3,50% |
|
|
Ошибки руководства организации в связи с недостаточным уровнем осознания ИБ |
2,70% |
2,70% |
Внутренний |
0,667 |
Низкий |
1 |
0,01802 |
3,76% |
3,76% |
|
|
Утечка информации |
2,70% |
1,35% |
Внешний |
0,333 |
Очень высокий |
0,53 |
0,00239 |
0,50% |
2,38% |
|
|
1,35% |
Внутренний |
0,667 |
Низкий |
1 |
0,00901 |
1,88% |
||||
|
Нарушение функциональности и доступности персонала |
2,70% |
1,35% |
Внешний |
0,333 |
Высокий |
0,8 |
0,00360 |
0,75% |
2,63% |
|
|
1,35% |
Внутренний |
0,667 |
Низкий |
1 |
0,00901 |
1,88% |
В результате расчетов становится видно, что наиболее значимой угрозой информационной безопасности (из выбранных пяти) является "Ошибки руководства организации в связи с недостаточным уровнем осознания ИБ". В свою очередь наименее значимой является "Утечка информации".
При анализе полученных данных для 37 угроз информационной безопасности (полные результаты расчетов приведены в Приложении Б), максимальной значимостью обладают следующие угрозы:
Таблица 13 - Угрозы ИБ, обладающие максимальной значимостью
|
Угроза ИБ |
Значение значимости угрозы ИБ |
|
|
Ошибки руководства организации в связи с недостаточным уровнем осознания ИБ |
3,76% |
|
|
Ошибки при использовании и администрировании систем и средств ИТ |
3,76% |
|
|
Ошибки кадровой работы |
3,76% |
|
|
Халатность |
3,76% |
Минимальной значимостью обладают следующие угрозы:
Таблица 14 - Угрозы ИБ, обладающие минимальной значимостью
|
Угроза ИБ |
Значение значимости угрозы ИБ |
|
|
Разрушительные события окружающей среды |
1,51% |
|
|
Отказы систем жизнеобеспечения |
1,51% |
|
|
Взаимозависимость от партнеров/клиентов |
1,51% |
|
|
Нарушение договорных обязательств с провайдерами внеш. услуг |
1,51% |
|
|
Разглашение данных третьим сторонам провайдером услуг |
1,51% |
Построение модели угроз активов центра обработки данных ОАО "Волга-кредит" банк. Модели угроз построены по свойствам безопасности информационных, технических и физических активов и оформлены в виде совокупности таблиц, приведенных в Приложениях Г, Д и Е соответственно. Для использования приведенных моделей кредитным организациям (организациям, эксплуатирующим центры обработки данных) необходимо сопоставить конкретные активы и свойства безопасности указанным угрозам информационной безопасности. Структура активов ЦОД ОАО "Волга-кредит" банк, включающая список активов ЦОД и степени потребности каждого актива в присущих ему свойствах безопасности была получена на основе практического и теоретического опыта работы в кредитной организации ОАО "Волга-кредит" банк. Угрозы информационной безопасности и их влияние на информацию, хранимую, обрабатывающуюся или передающуюся в центре обработки данных ОАО "Волга-кредит" банк представлены в виде модели системы обеспечения информационной безопасности центра обработки данных (см. рис.4):
Рисунок 4 - Модель системы обеспечения информационной безопасности ЦОД ОАО "Волга-кредит"
К блоку №1, 2, 3 относятся угрозы информационной безопасности ЦОД, не обладающие необходимым потенциалом и возможностями для нанесения ущерба информации. К ним относятся угрозы техногенного и организационного характера. Сдерживающим фактором является наличие современных и надежных специализированных средств обеспечения безопасности.
К блоку №4 относятся угрозы информационной безопасности ЦОД ОАО "Волга-кредит", обладающие достаточным потенциалом и возможностями для преодоления первого барьера защиты (контур защиты специализированных средств безопасности). Здесь сдерживающим фактором является система обеспечения информационной безопасности ЦОД ОАО "Волга-кредит". Подробное представление каждого из блоков, содержащих определенные угрозы ИБ, приведено в приложении Ж.
В заключении, следует отметить, что работы по созданию СОИБ должны выполняться в соответствии с государственными (ГОСТ) и международными (ISO) стандартами по проектной технологии, которая включает в себя все стадии жизненного цикла автоматизированной системы.
В соответствии с ГОСТ 34.601-90 "Автоматизированные системы. Стадии создания", СОИБ должна пройти следующие стадии этапы создания [10, с.11]:
Таблица 15 - Стадии и этапы создания АС
|
Стадии |
Этапы работ |
|
|
1 |
2 |
|
|
Формирование требований к АС |
Обследование объекта и обоснование необходимости создания АС. Формирование требований пользователя к АС. Оформление отчёта о выполненной работе и заявки на разработку - АС (тактико-технического задания) |
|
|
Разработка концепции АС. |
Изучение объекта. Проведение необходимых научно-исследовательских работ. Разработка вариантов концепции АС, удовлетворяющего требованиям пользователя Оформление отчёта о выполненной работе |
|
|
Техн. задан. |
Разработка и утверждение технического задания на создание АС. |
|
|
Эскизный проект. |
Разработка предварительных проектных решений по системе и её частям. Разработка документации на АС и её части. |
|
|
Технический проект. |
Разработка проектных решений по системе и её частям. Разработка документации на АС и её части. Разработка и оформление документации на поставку изделий для комплектования АС и (или) технических требований (технических заданий) на их разработку. Разработка заданий на проектирование в смежных частях проекта объекта автоматизации. |
|
|
Рабочая документация. |
Разработка рабочей документации на систему и её части. Разработка или адаптация программ. |
|
|
Ввод в действие. |
Подготовка объекта автоматизации к вводу АС в действие. Подготовка персонала. Комплектация АС поставляемыми изделиями (программными и техническими средствами, программно-техническими комплексами, информационными изделиями). Строительно-монтажные работы. Пусконаладочные работы. Проведение предварительных испытаний. Проведение опытной эксплуатации. Проведение приёмочных испытаний. |
|
|
Сопровождение АС |
Выполнение работ в соответствии с гарантийными обязательствами. Послегарантийное обслуживание. |
Выводы по третьей главе
Представлены метод и модель формирования системы обеспечения информационной безопасности ЦОД ОАО "Волга-кредит" банк. Для формирования наиболее полной и надежной системы обеспечения информационной безопасности ЦОД ОАО "Волга-кредит" банк сформированы модели угроз нарушения свойств безопасности:
· информационных активов ЦОД ОАО "Волга-кредит" банк;
· физических активов ЦОД ОАО "Волга-кредит" банк;
· технических активов ЦОД ОАО "Волга-кредит" банк.
Заключение
В дипломной работе представлена методика анализа и оценки угроз информационной безопасности для центра обработки данных ОАО "Волга-кредит" банк. Рассмотрены роль и место информации и информационных технологий в современной жизни, безопасность национальных интересов в информационной сфере.
Проанализированы причины возникновения угроз информационной безопасности. Рассмотрено современное состояние исследований и разработок в области определения моделей информационной безопасности, приведены примеры таких моделей.
Основную роль в методике анализа и оценки угроз информационной безопасности играет модель информационной безопасности (модель нарушителя ИБ, модель угроз нарушения свойств безопасности ресурсов кредитной организации, модель политики безопасности). Целью этой модели является выражение сути требований по безопасности к определенной системе.
В работе определено понятие центра обработки данных, сформулированы определение и основные этапы и объекты обеспечения информационной безопасности ЦОД ОАО "Волга-кредит" банк, рассмотрен вопрос формирования политики информационной безопасности кредитных организаций, ее направленность и аспекты.
В научно-исследовательской дипломной работе представлены методика анализа и оценки угроз информационной безопасности ЦОД ОАО "Волга-кредит" банк. Для формирования наиболее полной и надежной системы обеспечения информационной безопасности ЦОД ОАО "Волга-кредит" банк кредитной организации сформированы модели угроз нарушения свойств безопасности:
· информационных активов ЦОД;
· физических активов ЦОД;
· технических активов ЦОД.
В работе получены следующие основные результаты:
1. Проведено исследование в определении степени потребности актива в
свойстве безопасности.
2. Предложен метод оценки степени потребности актива в актуальном свойстве безопасности.
3. Разработана модель угроз нарушения свойств безопасности.
4. Разработан алгоритм расчета значимости угрозы ИБ.
5. Разработана методика анализа и оценки угроз информационной безопасности ЦОД ОАО "Волга-кредит" банк.
Библиографический список
1. Гражданский кодекс Российской Федерации.
2. Уголовный кодекс Российской Федерации.
3. Федеральный закон Российской Федерации "Об информации, информатизации и защите информации" № 24-ФЗ от 20.02.95 г.
4. Федеральный закон Российской Федерации "О банках и банковской деятельности" № 395 - 1 (ред. от 08.07.99 г.) от 02.12.90 г.
5. Федеральный закон Российской Федерации "О персональных данных" № 152-ФЗ (ред. От 04.06.2011 г.) от 27.07.2006 г.
6. Федеральный закон Российской Федерации "О безопасности" №2446-1 (с изменениями от 26.06.2008 г.) от 05.03.92 г.
7. Доктрина информационной безопасности Российской Федерации. Указ Президента РФ № 1895 от 09.09.2000 г. // Российская газета. - 2000.
8. Приказ Центрального банка Российской Федерации "О введении в действие Временных требований по обеспечению безопасности технологий обработки электронных платежных документов в системе Центрального банка Российской Федерации" №02-144 от 03.04.97 г.
9. Приказ Центрального банка Российской Федерации "О вводе в действие "Основных направлений политики информационной безопасности Банка России" № ОД-103 от 06.03.2006 г.
10. ГОСТ 34.601-90 Автоматизированные системы. Стадии создания. М.: ИПК Издательство стандартов, 1992.
11. ГОСТ 34.201-89 Информационная технология. Комплекс стандартов на автоматизированные системы. Виды, комплектность и обозначение документов при создании автоматизированных систем. М.: ИПК Издательство стандартов, 2002.
12. ГОСТ Р 51275-2006. Защита информации. Объект информатизации. Факторы воздействующие на информацию. М.: Издательство стандартов, 2006.
13. Стандарт Банка России. Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения СТО БР ИББС-1.0-2010", от 21.06.2010г. - М. 2010.
14. Стандарт Банка России. Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Аудит информационной безопасности СТО БР ИББС-1.1-2007", от 01.05.2017 г. - М. 2007.
15. Международный стандарт 1SO/IEC27006: 2007 "Информационные технологии. Методы обеспечения безопасности. Требования к органам аудита и сертификации систем управления информационной безопасностью".
16. Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных. ФСТЭК России 15.02.2008 г.
17. Руководящий документ. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации от 30.03.1992 г.
18. Белкин П.Ю. Программно-аппаратные средства обеспечения информационной безопасности. Защита программ и данных. Учеб. пособие для вузов / П.Ю. Белкин, О.О. Михальский, А.С. Першаков, М: Радио и связь, 2000. Бичуяров Т.А. Осовецкого Безопасность корпоративных сетей. - СПб.: СПб ГУ ИТМО, 2008.
19. Бойцев О.М. Защити свой компьютер от вирусов и хакеров. / О.М. Бойцев СПб.: Питер, 2010.
20. Веитцель Е.С., Овчаров Л.А. Теория вероятностей и ее инженерные приложения: Учебное пособие для вузов / - Зе изд., перераб. и доп. - М.: Издательский центр "Академия", 2011 г.
21. Вентцель Е.С. Теория вероятностей. Учеб. для вузов / Е.С. Вентцель - М.: Высшая школа, 2011 г.
22. Вихорев С.В. Кобцев Р.Ю. Как узнать откуда напасть, или откуда исходит угроза безопасности информации / С.В. Вихорев, Р.Ю. Кобцев - СПб.: Конфидент, 2012.
23. Гамза В.А. Безопасность коммерческого банка: Учебное пособие / В.А. Гамза, И.Б. Ткачук - М.: издатель Шумилова И.И., 2010 г.
24. Гамза В. Концепция банковской безопасности: структура и содержание / Гамза В., Ткачук И.И. // Аналитический банковский журнал, № 5 с. 2012 г.
25. Гамза В. Безопасность банковской деятельности / В. Гамза.И. Ткачук - М.: Маркет ДС, 2010 г.
26. Герасименко В.А. Основы защиты информации. / В.А. Герасименко, А.А. Малюк М.: 2009 г.
27. Губенков А.А. Информационная безопасность. / А.А. Губенков, Байбурин В.Б. - М.: ЗАО "Новый издательский дом", 2009 г.
28. Девянин П.Н., Михальский О.О., Правиков Д.И., Щербаков А.Ю. Теоретические основы компьютерной безопасности. М.: Радио и связь, 2009г.
29. Деднев М.А. Защита информации в банковском деле и электронном бизнесе. / М.А. Деднев., Д.В. Дыльнов, М.А. Иванов - М.: КУДИЦ-Образ, 2009 г.
30. Дидюк Ю.Е. Методика выбора средств защиты информации в автоматизированных системах / Радиотехника и системы связи, вып.4.3, 2008г.
31. Домарев В.В. Защита информации и безопасность компьютерных систем. / В.В. Домарев - К.: Издательство "Диа-Софт", 2009 г.
32. Ерохин С.С. Модель нарушителей для информационных систем электронной коммерции. Научная сессия ТУСУР - 2009: Материалы докладов Всероссийской научно-технической конференции студентов, аспирантов и молодых ученых, Томск 12-15 мая 2009 г.
33. Ефимов П. Концепция обеспечения безопасности информационных технологий. // Банковское дело. - № 7, 2005 г.
34. Жигулин Г.П. Прогнозирование устойчивости субъекта информационного взаимодействия. / Г.П. Жигулин - СПб.: СПбГУ ИТМО, 2009 г.
35. Жигулин Г.П. Информационная война и информационная безопасность. / Г.П. Жигулин СПб: СПб ГИТМО (ТУ), 2012 г.
36. Жигулин Г.П. Информационная безопасность. / Г.П. Жигулин, С.Г. Новосадов, А.Д. Яковлев СПб: СПб ГИТМО (ТУ), 2012 г.
37. Забелин П.В. Информационная безопасность Российского государства: социально-политические и социально-культурные проблемы. / П.В. Забелин М.: Грошев - Дизайн, 2011 г.
38. Зегжда Д.П. Как построить защищенную информационную систему. Технология создания безопасных систем. / Д.П. Зегжда, A. M. Ивашко 4.2 СПб.: Мир и семья, 2009 г.
39. Згурский А.С. Комплексное обеспечение безопасности кредитных организаций // Актуальные проблемы гуманитарных и естественных наук. Выпуск №5. - М.: 2010 г.
40. Згурский А.С., Корбаинова Е.В. Система обеспечения информационной безопасности кредитных организаций. Метод создания политики информационной безопасности // Сборник тезисов VIII Всероссийской межвузовской конференции молодых ученых. Выпуск №1. - СПб.: СПбГУ ИТМО, 2011 г.
41. Згурский А.С., Корбаинова Е.В. Определение концепции и главных целей комплексной системы обеспечения безопасности кредитных организаций // Сборник статей XI конференции "Фундаментальныеи прикладные исследования, разработка и применение высоких технологий в промышленности". Том №1 - СПб., 2011 г.
42. Згурский А.С., Корбаинова Е.В. Алгоритм оценки степени потребности информационного актива в свойствах безопасности // Научно-технический вестник Поволжья, Том №2 - К., 2011 г.
43. Згурский А.С., Корбаинова Е.В. Определение степени потребности активов центра обработки данных кредитной организации в свойствах безопасности // Научно-технический вестник Поволжья, Том №3 - К., 2011 г.
44. Згурский А.С. Требования и рекомендации к формированию политики информационной безопасности кредитных организаций Российской Федерации // Актуальные проблемы гуманитарных и естественных наук. Выпуск №6. - М., 2011 г.
45. Згурский А.С. Основные угрозы и источники-субъекты угроз информационной безопасности кредитных организаций Российской Федерации // Сборник тезисов седьмой международной научно - практической конференции "Современные проблемы гуманитарных и естественных наук". М., 2011 г.
46. Згурский А.С. Корбаинова Е.В. Определение уровня уязвимости и оценка влияния свойства безопасности актива на деятельность центра обработки данных // Проблемы информационной безопасности. Компьютерные системы. Выпуск №3, - СПб., 2011 г.
47. Зубик В.Б. и другие. Экономическая безопасность предприятия (фирмы). / В.Б. Зубик - Минск: "Вышэйшая школа", 2008 г.
48. Иванов В.П. Иванов А.В. К вопросу о выборе технических средств защиты информации от НСД / Защита информации. INSIDE. №1, 2006 г.
49. Калугин Н.М., Кудрявцев А.В., Савинская Н.А. Банковская коммерческая безопасность: Учебное пособие. - СПб.: СПбГИЭУ, 2006 г.
50. Куранов А. К вопросу о защите коммерческой тайны. // Банки и технологии. Вып. № 1, 2008 г.
51. Курило А.П. Вопросы укрепления безопасности банковской системы в современных условиях. - Материалы учебно-практической конференции "Актуальные проблемы безопасности банковского дела в условиях финансового кризиса", М., 2009 г.
52. Малюк А.А. Информационная безопасность: концептуальные и методолоические основы защиты информации. / А.А. Малюк Учеб. пособие для вузов, - М., 2004 г.
53. Малюк А.А. Введение в защиту информации в автоматизированных системах / А.А. Малюк. С.В. Пазизин, Н.С. Погожин Учебное пособие для вузов.2-е изд - М.: Горячая линия - Телеком, 2004 г.
54. Минько А.А. Статистический анализ в MSExcel / А.А. Минько М.: Издательский дом "Вильяме", 2004 г.
55. Романец Ю.В. Защита информации в компьютерных системах и сетях. / Ю.В. Романец, П.А. Тимофеев, В.Ф. Шаньгин - М.: "Радио и связь", 2011 г.
56. Стрельченко Ю.А. Обеспечение информационной безопасности банков / Ю.А. Стрельченко Методическое пособие. - М.: ИПКИР, 2004 г.
57. ЦирловB. JI. Основы информационной безопасности автоматизированных систем. / Цирлов B. JI. - Феникс, 2008 г.
58. Черенков В.Е. Современные направления и механизмы обеспечения экономической безопасности банковской системы России. / Черенков В.Е. - М.: БФ ОРАГС, 2006 г.
59. Чижиков В.Д. Эффективность функционирования информационного центра технического вуза / В.Д. Чижиков; под. ред. Е.А. Карева. Ул.: УлГТУ, 2006г.
60. Щербаков А.Ю. К вопросу о гарантированной реализации политики безопасности в компьютерной системе. Безопасность информационных технологий. Вып. № 1, 2007 г.
61. Ярочкин В.И. Безопасность банковский систем. / В.И. Ярочкин - М.: Ось-89, 2004 г.
62. Ярочкин В.И., Бузанова Я.В. Аудит безопасности фирмы: теория и практика / В.И. Ярочкин, Я.В. Бузанова: учеб. пособие для вузов. М.: Академический Проект; Королев: Парадигма, 2005 г.
63. Сайт Центрального банка Российской Федерации www.cbr.ru.
64. Сводная энциклопедия "Википедия". - (http://ru. wikipedia.org).
Приложения
Приложение А
Организационная структура ОАО "Волга-кредит" банк
Рисунок А.1 - Организационная структура ОАО "Волга-кредит" банк
Приложение Б
Угрозы информационной безопасности ЦОД
Таблица Б.1 - Угрозы информационной безопасности ЦОД
|
Наименование угрозы |
Возможные способы реализации угрозы |
Источник угрозы |
Наличие умысла |
|
|
1 |
2 |
3 |
4 |
|
|
Угрозы природного характера |
||||
|
Экстремальные климатические условия |
Внешне климатические условия (температура, ветер, влажность) на грани допустимых возможностей |
Природная физическая сила |
Случайность |
|
|
Природные явления разрушительного характера |
Сейсмические явления |
Природная физическая сила |
Случайность |
|
|
Извержения вулкана |
Природная физическая сила |
Случайность |
||
|
Метеорологические явления |
Природная физическая сила |
Случайность |
||
|
Наводнение |
Природная физическая сила |
Случайность |
||
|
Угрозы техногенного характера |
||||
|
Пожар |
Возгорание |
Технические источники Человек |
Случайность |
|
|
Поджог |
Человек |
Преднамеренность |
||
|
Затопление |
Аварии на водопроводе/ канализации |
Технические источники |
Случайность |
|
|
Повреждение Водопроводных/канализационных коммуникаций |
Технические источники |
Случайность Преднамеренность |
||
|
Загрязнение |
Наличие источников загрязнения |
Технические источники |
Случайность |
|
|
Повреждение систем |
Человек |
Случайность |
||
|
кондиционирования, установка источников загрязнения |
Преднамеренность |
|||
|
Нарушение Внутриклиматических условий |
Недопустимая температура и влажность |
Технические источники |
Случайность |
|
|
Человек |
Преднамеренность |
|||
|
Разрушительные события в окружающей среде |
Аварии на дорогах, химические выбросы |
Технические источники |
Случайность |
|
|
Действия вандалов или террористов |
Человек |
Преднамеренность |
||
|
Отказы систем жизнеобеспечения |
Отказы систем кондиционирования/ водоснабжения |
Технические источники |
Случайность |
|
|
Человек |
Случайность Преднамеренность |
|||
|
Прекращение подачи электропитания |
Технические источники |
Случайность |
||
|
Человек |
Случайность Преднамеренность |
|||
|
Сбои и отказы программно - аппаратных средств |
Сбой, обусловленный электромагнитными излучениями |
Технические источники |
Случайность |
|
|
Человек |
Преднамеренность |
|||
|
Сбой, обусловленный тепловыми излучениями |
Технические источники |
Случайность |
||
|
Человек |
Преднамеренность |
|||
|
Сбой, обусловленный электромагнитными импульсами |
Технические источники |
Случайность |
||
|
Человек |
Преднамеренность |
|||
|
Сбои технических средств и каналов связи (сбои в работе оборудования) |
Технические источники |
Случайность |
||
|
Человек |
Преднамеренность |
|||
|
Сбои и отказы программных средств, обусловленные недопустимыми |
Технические источники |
Случайность |
||
|
Человек |
Случайность |
|||
|
изменениями параметров или свойств программных средств оператором или сбоями технических средств |
Человек |
Случайность Преднамеренность |
||
|
Отказ оборудования (разрушение/повреждение технических средств и каналов связи) |
Технические источники |
Случайность |
||
|
Человек |
||||
|
Отказ в обслуживании |
Переполнение информационного ресурса |
Технические источники |
Случайность |
|
|
Человек |
Случайность Преднамеренность |
|||
|
Угрозы, связанные с потребляемыми услугами |
Превышение допустимой нагрузки на человеческие, сетевые ресурсы системы и персонал |
Технические источники |
Случайность |
|
|
Человек |
Случайность Преднамеренность |
|||
|
Взаимозависимость от партнеров/клиентов |
Несоблюдение требований ИБ |
Человек |
Случайность |
|
|
Недостаточный уровень обеспечения ИБ |
Преднамеренность |
|||
|
Ошибки, при заключении контрактов с провайдерами внешних услуг |
Неудовлетворительные договорные обязательства с провайдерами внешних услуг |
Человек |
Случайность |
|
|
Невыполнение договорных требований и требований ИБ внешними клиентами кредитной организации |
Человек |
Случайность Преднамеренность |
||
|
Разглашение данных третьим сторонам провайдером услуг |
Преднамеренное разглашение данных |
Человек |
Преднамеренность |
|
|
Разглашение данных из-за отсутствия в договоре на предоставление услуг требований по защите данных |
Человек |
Случайность |
||
|
Ошибки передачи электронных сообщений |
Неправильная маршрутизация сообщений |
Технически е средства |
Случайность |
|
|
Человек |
Случайность Преднамеренность |
|||
|
Неправильный режим отправки сообщений |
Человек |
Случайность |
||
|
Случайность |
||||
|
Перегрузка трафика |
Технически е средства |
Случайность |
||
|
Человек |
Преднамеренность |
|||
|
Выход из строя средств телекоммуникации |
Нарушение предоставления телекоммуникационных услуг, связанное со сбоем ИТ-систем провайдера услуг |
Внешние условия Человек |
Случайность |
|
|
Повреждение телекоммуникационного оборудования/саботаж |
Человек |
Преднамеренность |
||
|
Угрозы со стороны обслуживающего персонала |
Ошибки или несанкционированные действия при выполнении работ, связанных с уборкой помещений, ремонтом помещений, мебели, коммуникаций, техническим обслуживанием оборудования |
Человек |
Случайность Преднамеренность |
|
|
Ошибки руководства организации в связи с недостаточным уровнем осознания ИБ |
Изоляция функций ИБ от бизнес - процессов |
Человек |
Случайность |
|
|
Ошибки при разработке стратегии и концепции ИБ |
||||
|
Несогласованность рисков ИБ с операционными и финансовыми рисками организации |
||||
|
Ошибки при оказании административной, финансовой, кадровой поддержки процессов ИБ |
||||
|
Несогласованность действий служб обеспечения ИБ со службами информатизации |
||||
|
Недостаточное или неправильно адресуемое инвестирование |
||||
|
Ошибки менеджмента |
Отсутствие или неправильное распределение ролей ИБ и ответственности персонала |
Человек |
Случайность |
|
|
Использование новых технологий без адекватных решение по ИБ |
||||
|
Избыточность реализуемых функций обеспечения ИБ |
||||
|
Недостаток реализуемых функций обеспечения ИБ |
||||
|
Несовместимость реализуемых функций ИБ с нормативными документами |
||||
|
Отсутствие или неадекватный менеджмент инцидентов ИБ |
||||
|
Ошибки организации аудита и мониторинга ИБ |
||||
|
Неадекватная модернизация процесса обеспечения ИБ |
||||
|
Угрозы, связанные с потребляемыми услугами |
||||
|
Взаимозависимость от партнеров/клиентов |
Несоблюдение требований ИБ |
Человек |
Случайность |
|
|
Недостаточный уровень обеспечения ИБ |
Преднамеренность |
|||
|
Ошибки, допущенные при заключении контрактов с провайдерами внешних услуг |
Неудовлетворительные договорные обязательства с провайдерами внешних услуг |
Человек |
Случайность |
|
|
Нарушение договорных обязательств |
Нарушение договорных обязательств разработчиками/поставщиками программно-технических средств и услуг |
Человек |
Случайность Преднамеренность |
|
|
Невыполнение договорных требований и требований ИБ внешними клиентами кредитной организации |
Человек |
Случайность Преднамеренность |
||
|
Разглашение данных третьим сторонам провайдером услуг |
Преднамеренное разглашение данных |
Человек |
Преднамеренность Случайность |
|
|
Разглашение данных из-за отсутствия в договоре на предоставление услуг требований по защите данных |
||||
|
Ошибки передачи электронных сообщений |
Неправильная маршрутизация сообщений |
Технически е средства |
Случайность |
|
|
Человек |
Случайность Преднамеренность |
|||
|
Неправильный режим отправки сообщений |
Человек |
Случайность Преднамеренность |
||
|
Ошибки передачи электронных сообщений |
Перегрузка трафика |
Человек |
Случайность |
|
|
Технически е средства |
Преднамеренность |
|||
|
Выход из строя средств телекоммуникации |
Нарушение предоставления телекоммуникационных услуг, связанное со сбоем ИТ-систем провайдера услуг |
Внешние условия Человек |
Случайность |
|
|
Человек |
Преднамеренность |
|||
|
Повреждение телекоммуникационного оборудования/саботаж |
Человек |
Преднамеренность |
||
|
Угрозы со стороны обслужи вающего персонала |
Ошибки или несанкционированные действия при выполнении работ, связанных с уборкой помещений, ремонтом помещений, мебели, коммуникаций, техническим обслуживанием оборудования |
Человек |
Случайность Преднамеренность |
|
|
Ошибки руководства организации в связи с недостаточным уровнем осознания ИБ |
Изоляция функций ИБ от бизнес - процессов |
Человек |
Случайность |
|
|
Ошибки при разработке стратегии и концепции ИБ |
||||
|
Несогласованность рисков ИБ с операционными и финансовыми рисками организации |
||||
|
Ошибки при оказании административной, финансовой, кадровой поддержки процессов ИБ |
||||
|
Несогласованность действий служб обеспечения ИБ со службами информатизации |
||||
|
Недостаточное или неправильно адресуемое инвестирование |
||||
|
Ошибки менеджмента |
Отсутствие или неправильное распределение ролей ИБ и ответственности персонала |
Человек |
Случайность |
|
|
Использование новых технологий без адекватных решение по ИБ |
||||
|
Избыточность реализуемых функций обеспечения ИБ |
||||
|
Недостаток реализуемых функций обеспечения ИБ |
||||
|
Несовместимость реализуемых функций ИБ с нормативными документами |
||||
|
Ошибки менеджмента |
Отсутствие или неадекватный менеджмент инцидентов ИБ |
Человек |
Случайность |
|
|
Ошибки организации аудита и мониторинга ИБ |
||||
|
Неадекватная модернизация процесса обеспечения ИБ |
||||
|
Нарушение технологии обработки данных |
Выполнение недокументированных технологических операций по обработке, хранению, передаче данных |
Человек |
Случайность Преднамеренность |
|
|
Невыполнение предписанных технологических операций по обработке, хранению, передаче данных |
Человек |
Случайность Преднамеренность |
||
|
Ошибочное выполнение предписанных технологических операций по обработке, хранению |
Человек |
Случайность |
||
|
Нарушение персоналом организационных мер по защите ИБ |
Нарушение правил "Чистого стола" |
Человек |
Случайность/ Преднамеренность |
|
|
Ненадежная транспортировка носителей информации конфиденциальной информации |
||||
|
Замена компонентов во время ремонта Неправильное обращение с утилизируемыми документами |
||||
|
Нарушение требований безопасности при удаленной работе |
||||
|
Ошибки кадровой работы |
Прием на работу нелояльных/неблагонадежных сотрудников; без подписки о неразглашении конфиденциальной информации |
Человек |
Случайность |
|
|
Увольнение сотрудников без надлежащих мер ИБ |
||||
|
Игнорирование тренингов и проверок персонала |
||||
|
Ошибки в обеспечении безопасности информационных систем на стадиях жизненного цикла (ЖЦ) |
На стадии разработки На стадии эксплуатации На стадии сопровождения На стадии снятия с эксплуатации |
Человек |
Преднамеренность |
|
|
Ошибки в организации управления доступом и регистрации |
Отсутствие стратегии сетевого менеджмента и системного менеджмента |
Человек |
Случайность/ Преднамеренность |
|
|
Несогласованность требований управления доступа с требованиями бизнеса |
||||
|
Отсутствие управления или умышленно неправильное управление привилегиями |
||||
|
Отсутствие или неправильная организация доступа на сетевом уровне |
||||
|
Отсутствие или неправильная организация контроля доступа |
||||
|
Отсутствие управления или умышленно неправильное управление данными мониторинга и аудита |
||||
|
Отсутствие или умышленно неправильная организация парольной защиты |
||||
|
Разработка и использование некачественной документации |
Некачественное выполнение документированного описания технологических процессов обработки, хранения, передачи данных |
Человек |
Случайность |
|
|
Некачественная разработка руководств для персонала, участвующего в обработке, хранении, передачи данных |
||||
|
Некачественное выполнение документированного описания средств обеспечения ИБ и руководства по их пользованию |
||||
|
Угрозы, связанные с человеческим фактором |
||||
|
Проблемы, создаваемые крупными публичными событиями |
Нарушение общественного порядка |
Человек |
Случайность Преднамеренность |
|
|
Инсайдерская деятельность |
Злоупотребление полномочиями Саботаж в отношении электронных информационных систем обработки, хранения и передачи информации. Мошенничество Шпионаж Утечка информации |
|||
|
Шпионаж |
Подглядывание |
Человек |
Преднамеренность |
|
|
Прослушивание |
||||
|
Вредоносный код |
||||
|
Хищение |
Кража носителей или документов |
Человек |
Преднамеренность |
|
|
Утечка информации |
Умышленное разглашение информации |
Человек |
Преднамеренность |
|
|
Скрытые и потайные каналы |
||||
|
Перехват помеховых сигналов |
||||
|
Перехват сообщений в каналах связи |
||||
|
Потеря конфиденциальность через остаточные данные |
||||
|
Саботаж |
Повреждение оборудования или носителей информации |
Человек |
Преднамеренность |
|
|
Нанесение ущерба зданию (инфраструктуре) |
||||
|
Нанесение ущерба коммуникациям |
||||
|
Нанесение ущерба программного обеспечению |
||||
|
Вандализм |
||||
|
Халатность |
Невыполнение требований по обеспечению ИБ |
Человек |
Случайность |
|
|
Повреждение оборудования или носителей |
||||
|
Нанесение ущерба программному обеспечению |
||||
|
Использование программных средств и информации без гарантии источника |
Информация без гарантии источника |
Человек |
Случайность Преднамеренность |
|
|
Использование нелицензионного или скопированного программного обеспечения |
||||
|
Несанкционированные действия |
Несанкционированный доступ в помещения, требующие защиты |
Человек |
Случайность Преднамеренность |
|
|
Несанкционированное использование оборудования |
||||
|
Несанкционированные копирование носителей информации |
||||
|
Несанкционированное копирование программного обеспечения |
||||
|
Искажение данных |
||||
|
Несанкционированная обработка |
||||
|
Злоупотребления |
Злоупотребление правами пользователя |
Человек |
Преднамеренность |
|
|
Злоупотребление правами администратора |
||||
|
Злоупотребление правом доступа |
||||
|
Незаконное присвоение прав доступа |
||||
|
Неконтролируемая установка сменных носителей |
||||
|
Обман (ложная тревога, дезинформация) |
Ложное сообщение об угрозе |
Человек |
Преднамеренность |
|
|
Ошибки при использовании и администрировании систем и средств ИТ |
Ошибки при использовании программных или аппаратных средств |
Человек |
Случайность |
|
|
Ошибки администрирования систем и средств ИТ |
||||
|
Отсутствие или неадекватность реализации механизмов безопасности СУБД, ОС и приложений |
||||
|
Отсутствие или неадекватность процедур тестирования и поставки ПО и аппаратного обеспечения Ошибки в документации |
||||
|
Воздействие вредоносного кода |
Инфицирование ПО и разрушение информации (например, вирусами начальной загрузки, файловыми вирусами, макро-вирусами, "черви", "троянские кони") |
Человек |
Случайность Преднамеренность |
|
|
Нарушение функциональности и доступности персонала |
Потеря ресурсов персонала (болезнь, катастрофа, несчастный случай) |
Человек |
Случайность Преднамеренность |
|
|
Техногенные причины |
Случайность |
|||
|
Природные явления |
Случайность |
|||
|
Нарушение функциональности криптографической системы |
Нарушение требований нормативных документов по эксплуатации систем и средств криптографической защиты |
Человек |
Случайность Преднамеренность |
|
|
Нарушение регламента использования ключевых носителей информации |
||||
|
Физическое уничтожение и нарушение целостности ПО средств криптографической защиты информации |
||||
|
Реализация криптопротоколов на основе алгоритмов, не соответствующих стандартам РФ в области обеспечения ИБ |
||||
|
Несовместимость или недостаточная унифицированность Криптопротоколов |
||||
|
Ошибки организации мониторинга событий связанных с штатным и нештатным функционированием СКЗИ |
||||
|
Нарушение функциональности архивной системы |
Физические дефекты компонентов архивной системы и носителей |
Окружающая физическая среда |
Случайность |
|
|
Технические средства |
Случайность |
|||
|
Человек |
Случайность Преднамеренность |
|||
|
Неадекватное управление обновлением и модернизацией программно-аппаратных средств архивных систем |
Человек |
Случайность Преднамеренность |
||
|
Устаревание компонентов архивной системы |
Человек Технически е средства |
Случайность |
||
|
Устаревание криптографических мер защиты для обеспечения конфиденциальности и целостности хранящихся данных |
Человек |
Случайность |
Приложение В
Результаты расчетов угроз значимости информационной безопасности ОАО "Волга-кредит" банк
Таблица В.1 - Результаты расчетов угроз значимости информационной безопасности ОАО "Волга-кредит" банк
|
Угроза ИБ |
Вероятность события, без учета типа угрозы |
Вероятность события, с учетом типа угрозы |
Тип источника угрозы |
Коэффициент типа угрозы |
Потенциал, необходимый источнику для реализации угрозы |
Потенциал угрозы, необходимый источнику для реализации угрозы |
Значимость наступления события в абсолютных единицах |
Относительное значение значимости события, относительно значимости всех событий, с учетом типа угрозы |
Относительное значение значимости события, относительно значимости всех событий, без учета типа угрозы |
|
|
1 |
2 |
3 |
4 |
5 |
6 |
7 |
8 |
9 |
10 |
|
|
Сбои и отказы программно-аппаратных средств |
2,70% |
1,35% |
Внешний |
0,333 |
Низкий |
1 |
0,00450 |
0,94% |
2,69% |
|
|
1,35% |
Внутренний |
0,667 |
Средний |
0,93 |
0,00838 |
1,75% |
||||
|
Угрозы со стороны обслуживающего персонала |
2,70% |
2,70% |
Внутренний |
0,667 |
Средний |
0,93 |
0,01676 |
3,50% |
3,50% |
|
|
Ошибки руководства организации в связи с недостаточным уровнем осознания ИБ |
2,70% |
2,70% |
Внутренний |
0,667 |
Низкий |
1 |
0,01802 |
3,76% |
3,76% |
|
|
Ошибки менеджмента ИБ |
2,70% |
2,70% |
Внутренний |
0,667 |
Средний |
0,93 |
0,01676 |
3,50% |
3,50% |
|
|
Ошибки в обеспечении безопасности информационных систем на стадиях жизненного цикла |
2,70% |
1,35% |
Внешний |
0,333 |
Низкий |
I |
0,00450 |
0,94% |
2,82% |
|
|
1,35% |
Внутренний |
0,667 |
Низкий |
1 |
0,00901 |
1,88% |
||||
|
Утечка информации |
2,70% |
1,35% |
Внешний |
0,333 |
Очень высокий |
0,53 |
0,00239 |
0,50% |
2,38% |
|
|
и 5% |
Внутренний |
0,667 |
Низкий |
1 |
0,00901 |
1,88% |
||||
|
Ошибки при использовании и администрировании систем и средств ИТ |
2,70% |
2,70% |
Внутренний |
0,667 |
Низкий |
1 |
0,01802 |
3,76% |
3,76% |
|
|
Нарушение функциональности и доступности персонала |
1,35% |
Внешний |
0,333 |
Высокий |
0,8 |
0,00360 |
0,75% |
2,63% |
||
|
1,35% |
Внутренний |
0,667 |
Низкий |
1 |
0,00901 |
1,88% |
||||
|
Пожар |
1,35% |
Внешний |
0,333 |
Высокий |
0,8 |
0,00360 |
0,75% |
2,50% |
||
|
1,35% |
Внутренний |
0,667 |
Средний |
0,93 |
0,00838 |
1,75% |
||||
|
Нарушение внутриклиматических условий |
1,35% |
Внешний |
0,333 |
Высокий |
0,8 |
0,00360 |
0,75% |
2,50% |
||
|
1,35% |
Внутренний |
0,667 |
Средний |
0,93 |
0,00838 |
1,75% |
||||
|
Разрушительные события окружающей среды |
2,70% |
2,70% |
Внешний |
0,333 |
Высокий |
0,8 |
0,00721 |
1,51% |
1,51% |
|
|
Отказы систем жизнеобеспечения |
2,70% |
2,70% |
Внешний |
0,333 |
Высокий |
0,8 |
0,00721 |
1,51% |
1,51% |
|
|
Отказ в обслуживании |
2.70 |
2,70% |
Внешний |
0,333 |
Высокий |
0,8 |
0,00360 |
0,75% |
2,50% |
|
|
Взаимозависимость от партнеров/клиентов |
2,70% |
2,70% |
Внешний |
0,333 |
Высокий |
0,8 |
0,00721 |
1,51% |
1,51% |
|
|
Ошибки, допущенные при заключение договоров с провайдерами внешних услуг |
2,70% |
2,70% |
Внешний |
0,333 |
Средний |
0,93 |
0,00838 |
1,75% |
1,75% |
|
|
Нарушение договорных обязательств с провайдерами внешних услуг |
2,70% |
2,70% |
Внешний |
0,333 |
Высокий |
0,8 |
0,00721 |
1,51% |
1,51% |
|
|
Разглашение данных третьим сторонам провайдером услуг |
2,70% |
2,70% |
Внешний |
0,333 |
Высокий |
0,8 |
0,00721 |
1,51% |
1,51% |
|
|
Ошибки передачи электронных сообщений |
1,35% |
Внешний |
0,333 |
Высокий |
0,8 |
0,00360 |
0,75% |
2,30% |
||
|
1,35% |
Внутренний |
0,667 |
Средний |
0,93 |
0,00838 |
1,75% |
||||
|
Выход из строя средств телекоммуникации |
2,70% |
135% |
Внешний |
0,333 |
Высокий |
0,8 |
0,00360 |
0,75% |
2,50% |
|
|
135% |
Внутренний |
0,667 |
Средний |
0,93 |
0,00838 |
1,75% |
||||
|
Нарушение технологии обработки данных |
2,70% |
2,70% |
Внутренний |
0,667 |
Средний |
0,93 |
0,01676 |
3,50% |
3,50% |
|
|
Нарушение персоналом организационных мер по защите ИБ |
2,70% |
2,70% |
Внутренний |
0,667 |
Средний |
0,93 |
0,01676 |
3,50% |
3,50% |
|
|
Ошибки кадровой работы |
2,70% |
2,70% |
Внутренний |
0,667 |
Низкий |
1 |
0,01802 |
3,76% |
3,76% |
|
|
Ошибки в организации управления доступом организации |
2,70% |
2,70% |
Внутренний |
0,667 |
Средний |
0,93 |
0,01676 |
3,50% |
3,50% |
|
|
Разработка и использование некачественной документации |
2,70% |
135% |
Внешний |
0,333 |
Низкий |
1 |
0,00450 |
0,94% |
2,69% |
|
|
135% |
Внутренний |
0,667 |
Средний |
0,93 |
0,00838 |
1,75% |
||||
|
Проблемы, создаваемые крупными публичными событиями |
2,70% |
2,70% |
Внешний |
0,333 |
Средний |
0,93 |
0,00838 |
1,75% |
1,75% |
|
|
Инсайдерская деятельность |
2,70% |
2,70% |
Внутренний |
0,667 |
Средний |
0,93 |
0,01676 |
3,50% |
3,50% |
|
|
Шпионаж |
2,70% |
1,35% |
Внешний |
0,333 |
Очень высокий |
0,53 |
0,00239 |
0,50% |
2,25% |
|
|
1,35% |
Внутренний |
0,667 |
Средний |
0,93 |
0,00838 |
1,75% |
||||
|
Хищение |
2,70% |
1,35% |
Внешний |
0,333 |
Очень высокий |
0,53 |
0,00239 |
0,50% |
2,25% |
|
|
135% |
Внутренний |
0,667 |
Средний |
0,93 |
0,00838 |
1,75% |
||||
|
Саботаж |
2,70% |
2,70% |
Внутренний |
0,667 |
Средний |
0,93 |
0,01676 |
3,50% |
3,50% |
|
|
Халатность |
2,70% |
2,70% |
Внутренний |
0,667 |
Низкий |
1 |
0,01802 |
3,76% |
3,76% |
|
|
Использование программных средств и информации без гарантии источника |
2,70% |
135% |
Внешний |
0,333 |
Высокий |
0,8 |
0,00360 |
0,75% |
2,50% |
|
|
1,35% |
Внутренний |
0,667 |
Средний |
0,00838 |
1,75% |
|||||
|
Санкционированные действия |
2,70 |
2,70% |
Внутренний |
0,667 |
Высокий |
0,8 |
0,01441 |
3,01% |
3,01% |
|
|
Злоупотребление |
2,70% |
2,70% |
Внутренний |
0,667 |
Средний Высокий |
0,01676 |
3,50% |
3,50% |
||
|
Обман |
2,70% |
1,35% |
Внешний |
0,333 |
0,8 |
0,00360 |
0,75% |
2,50% |
||
|
1,35% |
Внутренний |
0,667 |
Средний |
0,93 |
0,00838 |
1,75% |
||||
|
Воздействие вредоносного кода (компьютерные вирусы) |
2,70% |
1,35% |
Внешний |
0,333 |
Высокий |
0,8 |
0,00360 |
0,75% |
2,50% |
|
|
1,35% |
Внутренний |
0,667 |
Средний |
0,93 |
0,00838 |
1,75% |
||||
|
Нарушение функциональности криптографической системы |
2,70% |
1,35% |
Внешний |
0,333 |
Высокий |
0,8 |
0,00360 |
0,75% |
2,50% |
|
|
1,35% |
Внутренний |
0,667 |
Средний |
0,93 |
0,00838 |
1,75% |
||||
|
Нарушение функциональности архивной системы |
2,70% |
1,35% |
Внешний |
0,333 |
Низкий |
1 |
0,00450 |
0,94% |
2,69% |
|
|
1,35% |
Внутренний |
0,667 |
Средний |
0,93 |
0,00838 |
1,75% |
||||
|
100,00% |
100,00% |
28 |
48 |
0,4789 |
100% |
100% |
Приложение Г
Модель угроз нарушения свойств безопасности информационных активов центра обработки данных ОАО "Волга-кредит" банк
Таблица Г.1 - Модель угроз нарушения свойств безопасности информационных активов центра обработки данных ОАО "Волга-кредит" банк
|
Наименование актива |
Степень потребности актива в свойстве безопасности |
Наименование угрозы |
Возможные последствия |
|
|
1 |
2 |
3 |
4 |
|
|
Информационный актив |
Очень высокая Высокая Средняя Низкая |
Угрозы со строны обслуживающего персонала |
Разглашение информации Искажение информации Снижение эффективности деятельности ЦОД, вплоть до полного се нарушения Нарушение требований нормативной документации Нарушение требований регулирующих и контролирующих (надзорных) органов Применение дисциплинарных и/или материальных мер наказания к ответственным сотрудникам и/или руководящему составу среднего звена |
|
|
Информационный актив |
Очень высокая Высокая Средняя Низкая |
Ошибки менеджмента информационной безопасности |
Разглашение информации Искажение информации Снижение эффективности деятельности ЦОД, вплоть до полного ее нарушения Уничтожение информации Нарушение договорных обязательств Применение дисциплинарных и/или материальных мер наказания к ответственным сотрудникам и/или руководящему составу среднего звена |
|
|
Информационный актив |
Очень высокая Низкая Высока Средняя |
Нарушение технологии обработки данных |
Разглашение информации Искажение информации Снижение эффективности деятельности ЦОД, вплоть до полного се нарушения Уничтожение информации Нарушение требований нормативной документации Нарушение требований регулирующих и контролирующих (надзорных) органов Применение дисциплинарных и/или материальных мер наказания к ответственным сотрудникам и/или руководящему составу среднего звена |
|
|
Информационный актив |
Очень высокая Низкая Высока Средняя |
Нарушение персоналом организационных мер по защите информационной безопасности |
Разглашение информации Искажение информации Снижение эффективности деятельности ЦОД, вплоть до полного ее нарушения Уничтожение информации Нарушение требований нормативной документации Нарушение договорных обязательств Применение дисциплинарных и/или материальных мер наказания к ответственным сотрудникам и/или руководящему составу среднего звена |
Подобные документы
Анализ существующих методик оценки рисков информационной безопасности и разработка собственной методики для банковской сферы. Апробирование полученной методики на примере АО "ЮниКредит Банк". Информация, необходимая для проведения анализа рисков.
дипломная работа [523,2 K], добавлен 16.06.2015Основы организации кредитного процесса в коммерческом банке. Классификация, принципы банковского кредитования. Формы обеспечения кредитов, порядок их выдачи и погашения. Предоставление кредитов предприятиям в ЗАО АКБ "Экспресс-Волга Банк" (ОАО) "Сурский".
дипломная работа [1,4 M], добавлен 26.01.2012Сущность, место и роль финансовой составляющей в системе обеспечения экономической безопасности банковской деятельности в РФ. Анализ и оценка финансовой безопасности коммерческого банка ООО "Хоум Кредит энд Финанс Банк", рекомендации по ее оптимизации.
дипломная работа [680,7 K], добавлен 27.07.2010Источники, виды и классификация угроз информационной безопасности банковской деятельности. Мошенничество с платежными картами. Стандарты информационной безопасности Банка Российской Федерации. Схема информационной защиты системы интернет-платежей.
презентация [1,5 M], добавлен 02.04.2013Организационно-экономическая характеристика ЗАО АКБ "Экспресс-Волга". Финансовые показатели деятельности. Кредитные операции. Кредит на доверии. Требование к наличию устойчивых оборотов в банке. Расчетные и депозитные операции, их характеристика.
отчет по практике [32,6 K], добавлен 11.11.2013Сущность и принципы функционирования Центрального банка РФ, правовые основы его деятельности. Содержание системы рефинансирования кредитных организаций Банком России. Современное состояние денежно-кредитной политики, ее инструменты и перспективы развития.
курсовая работа [193,8 K], добавлен 11.12.2010Понятие безопасности бизнеса и основные направления ее обеспечения, критерии и методика ее оценки, роль и место в деятельности коммерческого банка. Нормативно-правовые основы формирования системы безопасности. Анализ состояния банковского сектора.
дипломная работа [133,6 K], добавлен 17.09.2014Кредитные ресурсы коммерческого банка, основные принципы их формирования и источники. Экономический анализ деятельности ДБ АО "Хоум кредит банк". Проблемы формирования ресурсной базы коммерческого банка, пути повышения эффективности их размещения.
дипломная работа [601,9 K], добавлен 16.05.2017Основные тенденции развития банковской системы РФ. Роль и место обеспечения безопасности в деятельности коммерческого банка. Система мер сохранности ценностей и контроля. Критерии оценки и основные направления обеспечения безопасности банковской системы.
курсовая работа [403,6 K], добавлен 30.07.2009Коммерческий банк как субъект экономической деятельности государства. Особенности оценки функционирования коммерческих банков. Нормативно-правовое регулирование банковской деятельности. Анализ финансовой отчетности ООО "Хоум Кредит энд Финанс Банк".
дипломная работа [1,0 M], добавлен 30.04.2014
