диплом (1198218), страница 12
Текст из файла (страница 12)
2) Через технические средства;
3) Неправильная организация документооборота на бумажных носителях.
Все перечисленные источники относятся к категории внутренних угроз безопасности.
Утечка информации через персонал может иметь место при:
1) Нарушении правил пропускного режима;
2) Отсутствии персональной ответственности за сохранностью
конфиденциальной информации со стороны допущенных к ней лиц;
3) Доступ необоснованного круга лиц к конфиденциальным сведениям;
4) Отсутствие должного контроля за соблюдением режима конфиденциальной информации;
5) Конфликтном отношении лиц с руководством (плохой психологический климат);
6) Нарушение специального делопроизводства.
Злоумышленник использует шантаж, подкуп, подслушивание,
фотографирование, гипноз и др.
Технические средства, по которым может «уходить» информация делятся на две группы:
1) основные
2) вспомогательные
К основным относятся:
а) телефонные аппараты
б) селекторная связь
в) факсы, телетайпы, ксероксы
К вспомогательным техническим средствам относятся:
а) телевизор
б) магнитофон, радиоаппаратура и т.д.
Эта утечка осуществляется путем подключения к линии связи, копированием с магнитных носителей, перехвата побочных измерений и т.д.
Специальные инструкции банков предусматривают определенные правила делопроизводства, а для конфиденциальной информации (сведений) существуют специальные правила регистрации, учета, хранения, уничтожения такой информации. Передача документов из рук в руки, пересылка, ответы на письменные запросы тоже осуществляются в соответствии со специальными документами.
4.2 Уровни формирования ИБ.
4.2.1 Нормативно-правовой элемент защиты информации
«Защите подлежит любая документированная информация, неправомерное обращение с которой может нанести ущерб ее собственнику, владельцу, пользователю и иному лицу».
Режим защиты информации устанавливается:
1) в отношении сведений, отнесенных к государственной тайне, уполномоченными органами на основании Закона Российской Федерации «О государственной тайне»;
2) в отношении конфиденциальной документированной информации собственник информационных ресурсов или уполномоченным лицом на основании настоящего Федерального закона;
3) в отношении персональных данных - федеральным законом». Федеральный закон РФ «Об информации, информатизации и защите информации» от 20 февраля 1995 г. №24-ФЗ.
В сфере защиты информации ПАО «Сбербанк России» руководствуется следующими нормативно-правовыми актами:
4) федеральный закон РФ «Об информации, информатизации и защите информации» от 20 февраля 1995 г. №24-ФЗ.
5) закон Российской Федерации «О государственной тайне» (с изменениями от 27 марта 1996 года), принят Верховным Советом Российской Федерации 21.07.93, 5485-1.
6) закон Российской Федерации «Об информации, информатизации и защите информации», принят Государственной думой 25.01.95.
7) указ Президента Российской Федерации «О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации» от 3.04.95, 334.
8) постановление Правительства РСФСР «О перечне сведений, которые не могут составлять коммерческую тайну» от 5.12.91 35.
9) постановление Правительства Российской Федерации «Об утверждении правил отнесения сведений, составляющих Государственную тайну, к различным степеням секретности» 870 от 4.09.95.
10) указ Президента Российской Федерации «О мерах по упорядочению разработки, производства, реализации, приобретения в целях продажи, ввоза в Российскую Федерацию и вывоза за ее пределы, а также использования специальных технических средств, предназначенных для негласного получения информации» от 9.01.96.
11) закон Российской Федерации «О правовой охране программ для электронных вычислительных машин и баз данных», принят Верховным Советом РФ 23.09.92, 3523-1.
12) закон Российской Федерации «О правовой охране топологий интегральных микросхем», принят Верховным Советом РФ 23.09.92, 3526-1.
13) указ Президента Российской Федерации «Об утверждении перечня сведений конфиденциального характера» 188 от 6.03.97.
14) указ Президента Российской Федерации «Об утверждении перечня сведений, отнесенных к государственной тайне» 1203 от 30.11.95.
15) указ Президента Российской Федерации «О Межведомственной комиссии по защите государственной тайны» 1108 от 8.11.95.
16) постановление Правительства Российской Федерации «О сертификации средств защиты информации» (с изменениями от 23 апреля 1996 года) 608 от 26.06.95.
17) федеральный закон «О банках и банковской деятельности» от 25.06.1993 года
На основе перечисленных документов строится правовая защита информации, призванная обеспечить государственную законодательную базу и нормативное обоснование комплексной системы защиты информации в ОАО «Сбербанк России».
4.2.2 Организационный элемент защиты информации
«Это регламентация производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе, исключающей или существенно затрудняющей неправомерное овладение конфиденциальной информацией и проявление внутренних и внешних угроз».
Организационный элемент системы защиты информации содержит меры управленческого, ограничительного (режимного) и технологического характера, определяющие основы и содержание системы защиты, побуждающие персонал соблюдать правила защиты конфиденциальной информации фирмы. Организационная защита выполняет функции по:
1) организации охраны, режима, работу с кадрами, с документами;
2) использование технических средств безопасности и информационно-аналитическую деятельность по выявлению внутренних и внешних угроз.
Организационный элемент СЗИ включает:
3) организацию режима и охраны для исключения возможности тайного проникновения на территорию и в помещения посторонних лиц; организация и поддержание надежного пропускного режима и контроля сотрудников и посетителей;
4) организацию работы с сотрудниками по обучению правилам работы с конфиденциальной информацией, ознакомление с мерами ответственности за нарушение правил защиты информации;
5) организацию работы с документами, включая разработки и использование документов и носителей КИ, их учет, исполнение, возврат, хранение и уничтожение;
6) организацию использования технических средств сбора, обработки, накопления и хранения КИ;
7) регламентация разрешительной системы разграничения доступа персонала к защищаемой информации;
8) организация ведения всех видов аналитической работы;
9) регламентация действий персонала в экстремальных ситуациях;
10) регламентация организационных вопросов защиты персональных компьютеров, информационных систем, локальных сетей;
11) организация защиты информации - создание службы информационной безопасности или назначение ответственных сотрудников за защиту информации.
Естественно организационные мероприятия должны четко планироваться, направляться и осуществляться службой информационной безопасности, в состав которой входят специалисты по безопасности.
Таким образом, организационной защиты является основным элементом комплексной СЗИ и во многом от того, каким образом реализован организационный элемент, зависит безопасности организации.
4.2.3 Инженерно-технический элемент защиты информации
Предназначен для пассивного и активного противодействия средствам технической разведки и формирования рубежей охраны территории, здания, помещений и оборудования с помощью комплексов технических средств. По функциональному назначению средства инженерно-технической защиты можно условно разделить:
1) физические средства, включающие различные средства и сооружения, препятствующие физическому проникновению (доступу) злоумышленников на объекты защиты (территорию, в здание и помещения) и материальными носителями. Например, заборы, стальные двери, кодовые замки, сейфы и т.д.;
2) средства защиты технических каналов утечки информации, возникающих при работе ЭВМ, средств связи, копировальных аппаратов, принтеров, факсов и др. технических средств управления;
3) средства обеспечения охраны территории, здания и помещений (средства наблюдения, оповещения, сигнализации, информирования и идентификации);
4) средства обнаружения приборов и устройств технической разведки (подслушивающих и передающих устройств, тайно установленной миниатюрной звукозаписывающей и телевизионной аппаратуры и т.п.);
5) технические средства контроля, предотвращающие вынос персоналом из помещения специально маркированных предметов, документов, дискет, книг и т.п.
6) средства противопожарной охраны;
7) средства защиты помещений от визуальных способов технической разведки.
4.2.4 Программно-аппаратный элемент защиты информации.
Предназначен для защиты конфиденциальной информации, обрабатываемой и хранящейся в компьютерах, серверах и рабочих станциях ЛВС и различных информационных системах. «Аппаратные средства защиты информации представлены техническими устройствами, предназначенными для защиты информации от разглашения, утечки или несанкционированного доступа». Аппаратные средства могут быть:
1) средствами выявления;
2) средствами защиты от несанкционированного доступа.
3) программные средства защиты имеют следующие разновидности специальных программ:
4) идентификации технических средств, файлов и аутентификации пользователей;
5) регистрации и контроля работы технических средств и пользователей;
6) обслуживания режимов обработки информации ограниченного пользования;
7) защиты операционных средств ЭВМ и программ пользователей;
8) уничтожения информации в защитные устройства после использования;
9) сигнализирующих нарушения использования ресурсов;
10) вспомогательных программ защиты различного назначения.
Для реализации программного элемента защиты информации в АКСБ ОАО «Сбербанк России» используется комплексная система защиты информации «Панцирь-К».
Комплексная система защиты информации (КСЗИ) «Панцирь-К» для ОС Windows 2000/XP/Windows 7 – программный комплекс защиты конфиденциальной информации и персональных данных, предназначенная для защиты, как автономных компьютеров, так и компьютеров в составе сети предприятия.
К комплексной системе защиты КСЗИ может быть отнесена, ввиду того, что она служит для эффективного противодействия, как известным, так и потенциально возможным атакам на защищаемые ресурсы, что обеспечивается устранением архитектурных недостатков защиты современных ОС Windows, т.е. позволяет решать задачи защиты информации в общем виде (что невозможно при использовании всевозможных средств контроля); КСЗИ может применяться для защиты, как от внешних, так и от внутренних ИТ-угроз, обеспечивая эффективное противодействие атакам и со стороны хакеров, и со стороны инсайдеров (санкционированных пользователей, допущенных к обработке информации на защищаемом вычислительном средстве).
КСЗИ «Панцирь-К» предоставляет следующие возможности:
1) Использование аппаратных решений для авторизации пользователей при входе в систему и при доступе к критичным файловым объектам (смарт-карта, Aladdin eToken, ruToken, iButton);
2) Разграничения и аудит работы пользователей с локальными и сетевыми ресурсами (файловые ресурсы - FAT/NTFS/DFS/любые монтируемые ФС), ресурсы реестра ОС, сменные носители, принтеры, сервисы олицетворения, буфер обмена и т.д.);
3) Разграничения и аудит работы программ (приложений) с локальными и сетевыми ресурсами;
4) Разграничения и аудит работы пользователей с устройствами с использованием их серийных номеров (Flash-диски, CD/DVD, USB, WiFi, Bluetooth, IrDA, IEEE1394/ FireWire, PCMCIA, COM/LPT и т.д.);
5) Шифрование данных «на лету» (3DES, AES, DES, ГОСТ 28147-89), включая сетевые ресурсы, скрытие, разграничение доступа, а также гарантированное удаление остаточной информации, реализации коллективного доступа к зашифрованным данным;
6) Контроль рабочего времени пользователя, в том числе, средствами компьютерного видео наблюдения;
4.3 Пассивные и активные средства защиты ИБ
Пассивные методы защиты информации направлены на:
Ослабление побочных электромагнитных излучений (информационных сигналов) на границе контролируемой зоны до величин, обеспечивающих не-возможность их выделения средством разведки на фоне естественных шумов;
Ослабление наводок побочных электромагнитных излучений в посторон-них проводниках и соединительных линиях, выходящих за пределы контро-лируемой зоны, до величин, обеспечивающих невозможность их выделения средством разведки на фоне естественных шумов;
Исключение или ослабление просачивания информационных сигналов в цепи электропитания, выходящие за пределы контролируемой зоны, до вели-чин, обеспечивающих невозможность их выделения средством разведки на фоне естественных шумов.
Активные методы защиты информации направлены на:
Создание маскирующих пространственных электромагнитных помех с целью уменьшения отношения сигнал/шум на границе контролируемой зоны до ве-личин, обеспечивающих невозможность выделения средством разведки ин-формационного сигнала;
Создание маскирующих электромагнитных помех в посторонних проводни-ках и соединительных линиях с целью уменьшения отношения сигнал/шум на границе контролируемой зоны до величин, обеспечивающих невозмож-ность выделения средством разведки информационного сигнала.
Заключение
Проблема обеспечения экономической безопасности предприятий требует решения, которое касается абсолютно всех предприятий и организаций, ведущих свою деятельность в рыночных условиях. Обеспечивать экономическую безопасность необходимо от внешних и внутренних воздействий, нарушающих нормальное функционирование хозяйственной деятельности.
Для максимального обеспечения экономической банковской деятельности необходимо:
1) выявление нестыковок и противоречий в законодательстве с целью минимизации налогов и сборов;
2) выработка рекомендаций по достижению компромиссных решений по устранению препятствий для развития бизнеса;
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
