диплом (1217879), страница 11
Текст из файла (страница 11)
К данному уровню обеспечения правовой защиты информации относятся ГОСТы безопасности информационных технологий и обеспечения безопасности информационных систем.
Также на третьем уровне безопасности информационных технологий присутствуют руководящие документы, нормы, методы информационной безопасности и классификаторы, разрабатывающиеся государственными органами.
Четвертый уровень стандарта информационной безопасности защиты конфиденциальной информации образуют локальные нормативные акты, инструкции, положения и методы информационной безопасности и документация по комплексной правовой защите информации.
Требования о защите информации, содержащейся в государственных информационных системах, устанавливаются федеральным органом исполнительной власти в области обеспечения безопасности и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий.
Защита информации представляет собой принятие правовых, организационных и технических мер, направленных на:
1) обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;
2) соблюдение конфиденциальности информации ограниченного доступа;
3) реализацию права на доступ к информации.
3.2 Информационная безопасность в ПАО СКБ Приморья «Примсоцбанк»
Любое предприятие располагает различными видами информации, которые представляют интерес для злоумышленников. Прежде всего к ней относятся: коммерческие данные, информация, являющаяся интеллектуальной собственностью предприятия и конфиденциальные данные.
В реальности существует два вида угроз информационной безопасности:
- внешние - несанкционированный доступ из сети Интернет; снятие информации с кабельных систем (ЛВС и электропитания) при помощи технических средств; запись разговоров на расстоянии сквозь стены (окна, двери) и т. д.;
- внутренние - несанкционированный доступ в помещение; несанкционированный и неизбирательный доступ к данным внутрикорпоративной сети; возможность записи информации на переносные устройства (флэш-накопители, CD- и DVD-диски и т.п.), пересылка фотоснимков бумажных носителей и экранов мониторов с помощью мобильных телефонов; программные вирусы и «троянские» программы, не контролируемая электронная почта и т. д.
Теоретически все угрозы информационной безопасности предприятия можно разделить на два больших блока:
1) Группа злоумышленных воздействий. Сюда относятся действия каких- либо лиц или организаций, которые имеют целью нанесение ущерба благосостоянию деятельности информационного обеспечения предприятия. В том числе, промышленный шпионаж и подрыв ситуации.
2) Группа незлоумышленных воздействий. К ним можно отнести отсутствие должного внимания или же упущение различного рода поступающей информации со стороны аналитиков. К числу причин, подрывающих информационную безопасность предприятия относятся:
- плохая организация работы информационной службы;
- недостаточное финансирование;
- нечеткое формулирование задач анализа;
- плохое взаимодействие подразделений предприятия
Безопасное состояние дел в банке способно обеспечить успешную деятельность банка, получение запланированного дохода, надежное положение и рациональное позиционирование банка на рынке, положительные результаты при сегментировании предлагаемых для клиентов услуг. Вместе с тем безопасность означает также достижение условий, позволяющих предотвращать влияние угроз и воздействие опасностей, что обеспечивает надлежащую организацию защиты банка.
Информационная безопасность и защита информации банка должны быть на достаточно высоком уровне, чтобы отражать любые атаки и попытки вторжения со стороны злоумышленников, в том числе со стороны сотрудников самой организации.
Информационная безопасность банка учитывает следующие специфические факторы:
1) Хранимая и обрабатываемая в банковских системах информация представляет собой реальные деньги. На основании информации компьютера могут производиться выплаты, открываться кредиты, переводиться значительные суммы. Вполне понятно, что незаконное манипулирование с такой информацией может привести к серьезным убыткам. Эта особенность резко расширяет круг преступников, покушающихся именно на банки (в отличие от, например, промышленных компаний, внутренняя информация которых мало кому интересна).
2) Информация в банковских системах затрагивает интересы большого количества людей и организаций — клиентов банка. Как правило, она конфиденциальна, и банк несет ответственность за обеспечение требуемой степени секретности перед своими клиентами. Естественно, клиенты вправе ожидать, что банк должен заботиться об их интересах, в противном случае он рискует своей репутацией со всеми вытекающими отсюда последствиями.
3) Конкурентоспособность банка зависит от того, насколько клиенту удобно работать с банком, а также насколько широк спектр предоставляемых услуг, включая услуги, связанные с удаленным доступом. Поэтому клиент должен иметь возможность быстро и без утомительных процедур распоряжаться своими деньгами. Но такая легкость доступа к деньгам повышает вероятность преступного проникновения в банковские системы.
4) Информационная безопасность банка (в отличие от большинства компаний) должна обеспечивать высокую надежность работы компьютерных систем даже в случае нештатных ситуаций, поскольку банк несет ответственность не только за свои средства, но и за деньги клиентов.
5) Банк хранит важную информацию о своих клиентах, что расширяет круг потенциальных злоумышленников, заинтересованных в краже или порче такой информации.
К числу угроз информационным ресурсам ПАО СКБ Приморья «Примсоцбанк» относятся:
- разглашение конфиденциальной информации;
- утечка конфиденциальной информации через технические средства обеспечения производственной деятельности различного характера и исполнения;
- несанкционированный доступ к охраняемым сведениям со стороны конкурентных организаций и преступных формирований.
В связи с этими угрозами кредитная организация выделяет следующие объекты, подлежащие защите от потенциальных угроз и противоправных посягательств:
- персонал Банка (руководящие работники, производственный персонал, имеющий непосредственный доступ к финансам, валюте, ценностям, хранилищам, осведомленные в сведениях, составляющих банковскую и коммерческую тайну, работники внешнеэкономических служб и другие);
- финансовые средства, валюта, драгоценности;
- информационные ресурсы с ограниченным доступом, составляющие служебную и коммерческую тайну, а также иная конфиденциальная информация на бумажной, магнитной, оптической основе, информационные массивы и базы данных, программное обеспечение, информативные физические поля различного характера;
- средства и системы информатизации (автоматизированные системы и вычислительные сети различного уровня и назначения, линии телеграфной, телефонной, факсимильной, радио и оптической связи, технические средства передачи информации, средства размножения и отображения информации, вспомогательные технические средства и системы);
- материальные средства (здания, сооружения, хранилища, техническое оборудование, транспорт и иные средства);
- технические средства и системы охраны и защиты материальных и информационных ресурсов.
Большинство информации содержится на компьютере, поэтому обеспечению технического аспекта информационной безопасности ПАО СКБ Приморья «Примсоцбанк» уделяется большое внимание. Оттого, насколько хорошо защищена информация, зависит эффективность безопасности банка.
Вся совокупность технических средств в кредитной организации ПАО СКБ Приморья «Примсоцбанк» подразделяется на физические и аппаратные.
Физические средства включают инженерные устройства и сооружения, препятствующие физическому проникновению злоумышленников на объекты защиты и осуществляющие защиту персонала (личные средства безопасности), материальных средств и финансов, информации от противоправных действий. К таковым относятся: замки на дверях, решетки на окнах, средства электронной охранной сигнализации и др.
Аппаратные средства – это устройства, встраиваемые непосредственно в вычислительную технику или устройства, которые сопрягаются с ней по стандартному интерфейсу. Управление доступом – это средство защиты информации регулированием использования всех ресурсов информационных систем и технологий. Оно должно противостоять всем возможным путям несанкционированного доступа к информации.
Управление доступом включает следующие функции защиты:
1) идентификацию пользователей, персонала и ресурсов системы (присвоение каждому объекту персонального идентификатора);
2) опознание (установление подлинности) объекта или субъекта по предъявленному им идентификатору;
3) разрешение и создание условий работы в пределах установленного регламента;
4) регистрация (протоколирование) обращений к защищаемым ресурсам;
5) реагирование (сигнализация, отключение, задержка работ, отказ в запросе и т.п.) при попытках несанкционированных действий.
Программные средства – это специальные программы и программные комплексы, предназначенные для защиты информации в информационной системе. Из средств программного обеспечения системы защиты выделяют программные средства, реализующие механизмы шифрования (криптографии).
К работе с криптографическими системами допускаются только сотрудники Банка, имеющие соответствующее разрешение от руководства Банка. Секретные ключи электронно-цифровых подписей и шифрования хранятся в сейфах под ответственностью лиц на то уполномоченных. Доступ неуполномоченных лиц к носителям секретных ключей и шифрования исключен.
Категорически запрещается:
- выводить секретные ключи и шифрования на дисплей компьютера или принтер;
- устанавливать в дисковод компьютера носитель секретных ключей и шифрования в непредусмотренных режимах функционирования;
- записывать на носитель секретных ключей и шифрования постороннюю информацию;
При компрометации секретных ключей, шифрования и прочей электронной информации Управлением банковских и информационных технологий принимаются меры для прекращения любых операций с использованием этих ключей и прочей информации; принимаются меры для смены ключей и шифрования, паролей. По факту компрометации организуется служебное расследование, результаты которого отражаются в акте и доводятся до сведения руководства Банка.
Противодействие атакам вредоносных программ предполагает в первую очередь использование антивирусных программ, а также комплекс разнообразных мер организационного характера. Организационные средства подразумевают регламентацию производственной деятельности в информационной системе и взаимоотношений исполнителей на правовой основе таким образом, что разглашение, утечка и несанкционированный доступ к конфиденциальной информации становятся невозможным или существенно затрудняются за счет проведения организационных мероприятий.
В целом информационная безопасность ПАО СКБ Приморья «Примсоцбанк» находится на среднем уровнем. Большинство положений основывается на Общей концепции информационной безопасности банка. Что касается сотрудников, занимающихся проблемами информационной безопасности, то их присутствует достаточное количество, из общей численности штата предприятия. Комплекс организационных мероприятий находится на должном уровне. Технические средства защиты информации являются сильным преимуществом кредитной организации, т.к. именно они обеспечивают наиболее эффективную защиту.
Заключение
Экономическая безопасность кредитной организации - это состояние защищенности финансово-кредитного института от недобросовестной конкуренции, противоправной деятельности криминальных формирований и отдельных лиц, негативного влияния внешних и внутренних угроз, дестабилизирующих факторов, при котором обеспечивается устойчивая стабильность функционирования и развития организации, реализация основных коммерческих интересов и целей уставной деятельности, а именно оказание финансовых услуг юридическим и физическим лицам с целью получения прибыли.
Главной целью системы безопасности является обеспечение устойчивого функционирования банка и предотвращение угроз его безопасности, недопущения хищения финансовых и материально-технических средств, уничтожения имущества и ценностей, разглашения, утраты, утечки, искажения и уничтожения служебной информации, нарушения работы технических средств, обеспечения производственной деятельности, включая и средства информатизации.
В аналитической части данной работы был проведен анализ и оценка уровня экономической безопасности ПАО СКБ Приморья «Примсоцбанк» за 2014-2016 гг. Анализ показал, что наблюдается устойчивый рост доходов по основной деятельности: 119,7 % за 2015 г. и 129,1 % за 2016 год.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
