Анализ угроз для идентифицированных активов

ПОЯСНИТЕЛЬНАЯ ЗАПИСКА

 

к курсовому проекту (работе) по дисциплине

Основы информационной безопасности

 

0000.3.000.000.000 ПЗ

(обозначение документа)

Группа ИБ-210	Фамилия, и., о.	Подпись	Дата	Оценка
Студент	Гилязов Р.А.
Консультант	Кудрявцева Р.Т.
Принял	Кудрявцева Р.Т.

 

Уфа 2017 г.

 

 

Реферат.

Данная курсовая работа посвящена анализу информационной безопасности отделения банка "Газпромбанк" (Акционерное общество) в г. Уфе и выработке мероприятий для повышения его защищенности. В качестве показателя защищенности предприятия берется оценка информационного риска, которая определяется на основе построения нечеткой когнитивной карты объекта защиты.

 

Введение.

Целью данной курсовой работы является:

· Дальнейшее развитие и закрепление знаний, полученных на лекционных, практических и лабораторных занятиях;

· Совершенствование практических навыков обоснованного выбора средств защиты в соответствии с требуемым уровнем защищенности информационной системы предприятия;

Задачей курсовой работы является оптимальное распределение ресурсов для обеспечения заданных функций ЗИ.

Для оценки информационного риска предприятия используется программа FCMBuilder.

 

 

Описание объекта защиты

Филиал Банка ГПБ (АО) в г. Уфе создан 03.02.1999 года. Клиентская база Газпромбанка диверсифицирована, и в Республике Башкортостан филиал работает со всеми отраслями промышленности, предлагая полный перечень банковских продуктов и услуг наивысшего качества.

Среди клиентов банка крупнейшие предприятия ВПК, нефтеперерабатывающей, химической, нефтехимической промышленности, машиностроения, транспорта и связи, дорожного строительства и энергетики, металлургической и пищевой промышленности, а также предприятия среднего и малого бизнеса. На 01.01.2015 Филиалом обслуживалось около 3 тысяч корпоративных клиентов, открыты счета более 165 тысяч граждан.

Банком ГПБ (АО) уделяется большое внимание развитию системы безналичных расчетов. На 01 января 2015 года филиалом выпущено более 82 тысяч банковских карт, в том числе кредитных. В городах и районах Республики установлено 129 банкоматов, 294 торговых терминала, 21 пункт выдачи наличных.

Бизнес процессы.

Основные бизнес-процессы:

· Обслуживание физических лиц;

· Обслуживание юридических лиц;

· Работа на финансовых и межбанковских рынках;

Бизнес-процессы управления:

· Управление финансами;

· Управление персоналом;

· Управление маркетингом;

· Управление рисками;

· Управление активами и пассивами;

· Управление качеством, СМК;

Информационные ресурсы.

Информация, содержащая коммерческую тайну:

· сведения об эмитенте и выпущенных им эмиссионных ценных бумагах;

· сведения об операциях (сделках) Банка и его клиентов на финансовых рынках;

· сведения о клиентах, деловых партнерах Банка, которые не содержатся в открытых источниках;

· информация об операциях, счетах (в том числе счетах депо), и вкладах клиентов и корреспондентов Банка;

· информация об автоматизированных базах данных, компьютерных программах, кодах, процедурах доступа к информационным ресурсам;

· сведения о содержании поручений депонентов;

Информация конфиденциального характера:

· информация о фактах, ходе, предметах и результатах ведения коммерческих переговоров с деловыми партнерами Банка;

· сведения об участии Банка в уставных капиталах других организаций, а также сведения об участии Банка в уставных капиталах организаций, не являющихся объектами прямых вложений, за исключением сведений, подлежащих раскрытию в установленных действующим законодательством случаях;

· условия сделок (договоров, соглашений), которые по договоренности сторон считаются конфиденциальными;

· инвестиционные планы, бизнес-планы;

· персональные данные физических лиц, в том числе работников;

Открытая информация:

· открыто распространяемая информация, необходимая для работы Банка, независимо от формы и вида ее представления;

· годовые отчеты

· информация, представленная на сайте

· рекламные буклеты, плакаты, брошюры

 

 

В целях выполнения задач по обеспечению информационной безопасности Банка, в соответствии с рекомендациями международных и российских стандартов по безопасности в Банке определены следующие роли:

· Куратор;

· Ответственное подразделение;

· Сотрудник банка;

Куратор - человек, курирующий вопросы безопасности Банка, в том числе вопросы информационной безопасности.

Ответственное подразделение - служба безопасности, основные функции которой: внедрение политики безопасности; разработка, внедрение и поддержка систем обеспечения информационной безопасности.

Ответственное подразделение возглавляет ведущий специалист по информационной безопасности, в обязанности которого входит:

· Внедрение и сопровождение механизмов и средств защиты информации и мониторинга информационных рисков в банковских технологиях;

· участие в разработке проектов нормативных документов по построению системы обеспечения информационной безопасности;

· проведение периодического мониторинга работы пользователей в автоматизированных системах с целью выявления непреднамеренных и умышленных нарушений безопасности сотрудниками, сбоев информационных систем и атак на них;

Основными объектами защиты системы информационной безопасности в Банке являются:

· информационные ресурсы, содержащие коммерческую тайну, банковскую тайну, персональные данные физических лиц, сведения ограниченного распространения, а также открыто распространяемая информация, необходимая для работы Банка, независимо от формы и вида ее представления;

· информационные ресурсы, содержащие конфиденциальную информацию, включая персональные данные физических лиц, а также открыто распространяемая информация, необходимая для работы Банка, независимо от формы и вида ее представления;

· сотрудники Банка, являющиеся пользователями информационных систем Банка;

· информационная инфраструктура, включающая системы обработки и анализа информации, технические и программные средства ее обработки, передачи и отображения, в том числе каналы информационного обмена и телекоммуникации, системы и средства защиты информации, объекты и помещения, в которых размещены такие системы.

Из всего вышесказанного можно выделить основную цель деятельности по обеспечению информационной безопасности банка: снижение угроз информационной безопасности до приемлемого для Банка уровня.

Основные задачи деятельности по обеспечению информационной безопасности Банка:

· выявление потенциальных угроз информационной безопасности и уязвимостей объектов защиты;

· предотвращение инцидентов информационной безопасности;

· исключение либо минимизация выявленных угроз.

 

2. Анализ информационных ресурсов (активов)

Активы банка — объекты собственности, имеющие денежную оценку и принадлежащие банку.

Активы ГПБ приведены в таблице ниже:

 

№	процесс	исполнитель	ресурс	Ценность/ конфиденциальность	Где хранится/ обрабатывается	Кто имеет доступ	Куда передается/ где используется
	Оформление кредитных и дебетовых карт	Операционно-кассовый сотрудник	Платежные карты и пин-конверты	Сами по себе не являются ценностью, но информация на картах и в пин-конвертах конфиденциальна	Карты и пин-конверты хранятся в разных сейфах двух работников банка	Операционно-кассовый сотрудник	Передается в отделение из процессингового центра и наоборот. Передается клиентам после оформления.
	Выдача кредита, открытие счета	Клиентский менеджер	Бумажные, электронные документы, база данных клиентов	Конфиденциально, так как содержит персональные данные клиента	Хранится в металлических шкафах в бумажном виде, в электронном виде хранится на сервере банка, копии договоров имеются у клиента, база данных хранится на сервере банка	Клиентский менеджер, ведущий кредитный специалист, ведущий IT-специалист, сотрудники отдела автоматизации	Передается между отделения- ми, а также во внутреннем документообороте
	Денежный оборот	Операционно-кассовый сотрудник	Материальные денежные средства	Ценный материальный ресурс	Хранится в внутреннем хранилище, на кассах	Операционно-кассовый сотрудник, заведующий кассы	Используется при денежном обороте с клиентами, в банкоматах, передается из отделения сотрудникам службы инкассации
	Безналичный денежный оборот	Операционно-кассовый сотрудник	Безналичные денежные средства	Ценный нематериальный ресурс	Сервер обработки безналичного расчета	Операционно-кассовый сотрудник, ведущий IT-специалист, сотрудники отдела автоматизации	Используется при безналичном денежном обороте с клиентами
	Деятельность банка	Персонал, клиенты	Материальное имущество банка (оборудование имеющее материальную ценность)	Общедоступно	Здание банка	Персонал, клиенты	Используется в деятельности отделения
	Оформление банковской ячейки	Операционно-кассовый сотрудник	Ячейки с материальными ценностями	Конфиденциально	Хранилище банка	Операционно-кассовый сотрудник, заведующий кассы	Находится внутри отделения
	Обслуживание банкоматов	Сотрудники отдела автоматизации	Банкоматы	Сам банкомат общедоступен, денежные средства хранятся во внутреннем сейфе	Здание банка, а также рассредоточены по городу	Сотрудники отдела автоматизации, клиенты	Стоят в определенных им точках

 

К документам относятся различные кредитные договоренности, договора на открытие счета, реквизиты клиентов, содержащие в себе персональные данные клиентов.

 

3. Анализ информационной системы ОИ:

Информационная система отделения банка представляет собой совокупность автоматизированной банковской системы и традиционных средств обработки и хранения информации.

Информация в бумажном виде хранится в архивном помещении, войти в которое можно с помощью карты-ключа, которая имеется у уполномоченных сотрудников. Документы содержащие конфиденциальную информацию (персональные данные клиентов и т.п.) хранятся в металлических шкафах, ключи к которым имеются у сотрудников, имеющих доступ к этой информации.

Для работы с особо важными документами имеется выделенное помещение.

Доступ к информации в электронном виде осуществляется с помощью автоматизированной банковской системы(АБС).

Автоматизированная банковская система (АБС) — комплекс программного и технического обеспечения, направленный на автоматизацию банковской деятельности. Автоматизированная банковская система включает в себя три основных уровня:

· система управления базами данных (СУБД);

· операционная система (ОС), обслуживающая СУБД и системы документооборота;

· сетевое программное обеспечение, обеспечивающее информационное взаимодействие рабочих станций и серверов банковской сети.

Информация хранится на серверах банка, серверная комната запирается на ключ, имеется сигнализация. Доступ к серверной комнате имеет ведущий IT-специалист, а также администраторы обслуживания серверов. Доступ персонала к информации осуществляется при помощи специального программного обеспечения только на рабочих станциях, у каждого сотрудника личный логин и пароль, присутствует система разграничения доступа и регистрации действий пользователей. Доступ к сети Интернет с рабочих станций не ограничен. На рабочих станциях установлено защитное ПО.

Существует несколько ключевых баз данных, хранящихся в электронном виде на сервере банка:

· База данных клиентов;

· База персональных данных сотрудников отделения.

Но наибольшую ценность для предприятия представляет собой база данных клиентов, поэтому в дальнейшем при упоминании базы данных будем иметь ввиду именно ее. Доступ к ним и их защита также осуществляется с помощью АБС.

Также существует система дистанционного банковского обслуживания(ДБО) «Клиент-Банк». При регистрации клиент банка выбирает пароль и логин с помощью которого может контролировать банковские счета, обмениваться электронными документами с банком, осуществлять операции со счетами. При регистрации требуется ввести номер телефона, и при начале каждого сеанса вводить, кроме обычного логина и пароля, одноразовый ключ, приходящий в СМС.

 

 

Анализ злоумышленников

По отношению к Банку нарушители могут быть разделены на внешних и внутренних нарушителей.

В качестве потенциальных внутренних нарушителей Банком рассматриваются:

• сотрудники Банка;

• персонал, обслуживающий технические средства корпоративной

информационной системы Банка;

• сотрудники самостоятельных структурных подразделений, обеспечивающие безопасность Банка;

• руководители различных уровней.

В качестве потенциальных внешних нарушителей Банком рассматриваются:

• бывшие сотрудники Банка;

• клиенты Банка;

• конкурирующие с Банком кредитные организации;

• лица, случайно или умышленно проникшие в корпоративную информационную систему Банка из внешних телекоммуникационных сетей (хакеры).

Рассмотрим нарушителей подробнее:

Хакер – имеет возможность получить доступ к информационной системе извне, с помощью сбоя в работе ПО либо через сотрудников, вероятность реализации средняя

Сотрудник, обслуживающий АБС – имеет непосредственный доступ к информационной системе предприятия, конфиденциальной информации, но так как присутствует система регистрации действий пользователей, вероятность реализации этой угрозы средняя.

Охранник – имеет доступ к системам защиты (видеокамеры, сигнализация) и может пропустить нарушителя во внутренние помещения, но не имеет доступа к конфиденциальной информации.

Руководитель отделения – имеет самый высокий уровень доступа, практически во все помещения, но редко преследует цель нарушить работу отделения, вероятность угрозы средняя.

Операционно-кассовый сотрудник – имеет доступ к кассе, может похитить денежные средства, но основная их масса находится во внутреннем хранилище куда доступа он не имеет. Вероятность высокая, но ущерб незначителен.

Бывшие сотрудники отделения – после увольнения могут иметь желание навредить либо получить личную выгоду, но ценность похищенной ими информации после их увольнения может упасть в связи с прошедшим временем. Вероятность низкая.

Клиенты – могут подделать денежные средства, платежные карты, документы с целью обогащения, но реализовать угрозу могут лишь при невнимательности сотрудников. Вероятность низкая.

№	Нарушитель/ злоумышленник	угроза	Причина (цель)	ресурс	Вероятность угрозы	последствия
	Хакер	Проникновений в информационную сеть банка(АБС) и хищение конфиденциальной информации, денежных средств, вывод из строя АБС	Материальное обогащение, самоутверждение, завладение информацией, желание нанести вред	Базы данных, денежные средства, документы	Средняя	Материальные потери, потеря репутации, нарушение нормального функционирования отделения.
	Сотрудник, обслуживающий АБС	Незаконное копирование конфиденциальной информации с целью продажи сторонним лицам (конкурентам)	Материальное обогащение	Базы данных, документы	Средняя	Материальные потери, потеря репутации, нарушение нормального функционирования отделения
	Охранник	Отключение камер видеонаблюдения, сигнализации, пропуск на территорию неавторизованного персонала	Материальное обогащение	Имущество банка, денежные средства	Средняя	Материальные потери, нарушение нормального функционирования отделения
	Руководитель отделения	Незаконное копирование конфиденциальной информации с целью продажи сторонним лицам (конкурентам), хищение денежных средств	Материальное обогащение	Базы данных, документы, имущество банка, денежные средства	Средняя	Материальные потери, потеря репутации, нарушение нормального функционирования отделения
	Операционно-кассовый сотрудник	Хищение денежных средств	Материальное обогащение	Денежные средства	Высокая	Материальные потери
	Бывшие сотрудники отделения	Незаконное копирование конфиденциальной информации с целью продажи сторонним лицам (конкурентам) после увольнения	Материальное обогащение, желание отомстить	Базы данных, документы	Низкая	Материальные потери, потеря репутации, нарушение нормального функционирования отделения
	Клиенты	Подделка носителей информации, денежных средства	Материальное обогащение	Платежные карты, денежные средства, документы	Низкая	Материальные потери

 

Модель угроз.

№	угроза	злоумышленник	уязвимость	ресурс	Вероятность реализации	ущерб
	Незаконное копирование, уничтожение базы данных клиентов с целью продажи	Сотрудник, обслуживающий АБС	Человеческий фактор	База данных клиентов	Средняя	80 000 у.е.
	Хищение денежных средств	Операционно-кассовый сотрудник	Человеческий фактор	Денежные средства	Высокая	55 000 у.е.
	Вывод из строя АБС	Хакер	Человеческий фактор, сбой в работе ПО	Документы, база данных клиентов, денежные средства	Средняя	125 000 у.е.
	Ошибки в работе персонала	Сотрудник отделения	Человеческий фактор.	Документы, база данных клиентов, денежные средства	Средняя	115 000 у.е.

 

ПОЯСНИТЕЛЬНАЯ ЗАПИСКА

 

к курсовому проекту (работе) по дисциплине

Основы информационной безопасности

 

0000.3.000.000.000 ПЗ

(обозначение документа)

Группа ИБ-210	Фамилия, и., о.	Подпись	Дата	Оценка
Студент	Гилязов Р.А.
Консультант	Кудрявцева Р.Т.
Принял	Кудрявцева Р.Т.

 

Уфа 2017 г.

 

 

Реферат.

Данная курсовая работа посвящена анализу информационной безопасности отделения банка "Газпромбанк" (Акционерное общество) в г. Уфе и выработке мероприятий для повышения его защищенности. В качестве показателя защищенности предприятия берется оценка информационного риска, которая определяется на основе построения нечеткой когнитивной карты объекта защиты.

 

Введение.

Целью данной курсовой работы является:

· Дальнейшее развитие и закрепление знаний, полученных на лекционных, практических и лабораторных занятиях;

· Совершенствование практических навыков обоснованного выбора средств защиты в соответствии с требуемым уровнем защищенности информационной системы предприятия;

Задачей курсовой работы является оптимальное распределение ресурсов для обеспечения заданных функций ЗИ.

Для оценки информационного риска предприятия используется программа FCMBuilder.

 

 

Описание объекта защиты

Филиал Банка ГПБ (АО) в г. Уфе создан 03.02.1999 года. Клиентская база Газпромбанка диверсифицирована, и в Республике Башкортостан филиал работает со всеми отраслями промышленности, предлагая полный перечень банковских продуктов и услуг наивысшего качества.

Среди клиентов банка крупнейшие предприятия ВПК, нефтеперерабатывающей, химической, нефтехимической промышленности, машиностроения, транспорта и связи, дорожного строительства и энергетики, металлургической и пищевой промышленности, а также предприятия среднего и малого бизнеса. На 01.01.2015 Филиалом обслуживалось около 3 тысяч корпоративных клиентов, открыты счета более 165 тысяч граждан.

Банком ГПБ (АО) уделяется большое внимание развитию системы безналичных расчетов. На 01 января 2015 года филиалом выпущено более 82 тысяч банковских карт, в том числе кредитных. В городах и районах Республики установлено 129 банкоматов, 294 торговых терминала, 21 пункт выдачи наличных.

Бизнес процессы.

Основные бизнес-процессы:

· Обслуживание физических лиц;

· Обслуживание юридических лиц;

· Работа на финансовых и межбанковских рынках;

Бизнес-процессы управления:

· Управление финансами;

· Управление персоналом;

· Управление маркетингом;

· Управление рисками;

· Управление активами и пассивами;

· Управление качеством, СМК;

Информационные ресурсы.

Информация, содержащая коммерческую тайну:

· сведения об эмитенте и выпущенных им эмиссионных ценных бумагах;

· сведения об операциях (сделках) Банка и его клиентов на финансовых рынках;

· сведения о клиентах, деловых партнерах Банка, которые не содержатся в открытых источниках;

· информация об операциях, счетах (в том числе счетах депо), и вкладах клиентов и корреспондентов Банка;

· информация об автоматизированных базах данных, компьютерных программах, кодах, процедурах доступа к информационным ресурсам;

· сведения о содержании поручений депонентов;

Информация конфиденциального характера:

· информация о фактах, ходе, предметах и результатах ведения коммерческих переговоров с деловыми партнерами Банка;

· сведения об участии Банка в уставных капиталах других организаций, а также сведения об участии Банка в уставных капиталах организаций, не являющихся объектами прямых вложений, за исключением сведений, подлежащих раскрытию в установленных действующим законодательством случаях;

· условия сделок (договоров, соглашений), которые по договоренности сторон считаются конфиденциальными;

· инвестиционные планы, бизнес-планы;

· персональные данные физических лиц, в том числе работников;

Открытая информация:

· открыто распространяемая информация, необходимая для работы Банка, независимо от формы и вида ее представления;

· годовые отчеты

· информация, представленная на сайте

· рекламные буклеты, плакаты, брошюры

 

 

В целях выполнения задач по обеспечению информационной безопасности Банка, в соответствии с рекомендациями международных и российских стандартов по безопасности в Банке определены следующие роли:

· Куратор;

· Ответственное подразделение;

· Сотрудник банка;

Куратор - человек, курирующий вопросы безопасности Банка, в том числе вопросы информационной безопасности.

Ответственное подразделение - служба безопасности, основные функции которой: внедрение политики безопасности; разработка, внедрение и поддержка систем обеспечения информационной безопасности.

Ответственное подразделение возглавляет ведущий специалист по информационной безопасности, в обязанности которого входит:

· Внедрение и сопровождение механизмов и средств защиты информации и мониторинга информационных рисков в банковских технологиях;

· участие в разработке проектов нормативных документов по построению системы обеспечения информационной безопасности;

· проведение периодического мониторинга работы пользователей в автоматизированных системах с целью выявления непреднамеренных и умышленных нарушений безопасности сотрудниками, сбоев информационных систем и атак на них;

Основными объектами защиты системы информационной безопасности в Банке являются:

· информационные ресурсы, содержащие коммерческую тайну, банковскую тайну, персональные данные физических лиц, сведения ограниченного распространения, а также открыто распространяемая информация, необходимая для работы Банка, независимо от формы и вида ее представления;

· информационные ресурсы, содержащие конфиденциальную информацию, включая персональные данные физических лиц, а также открыто распространяемая информация, необходимая для работы Банка, независимо от формы и вида ее представления;

· сотрудники Банка, являющиеся пользователями информационных систем Банка;

· информационная инфраструктура, включающая системы обработки и анализа информации, технические и программные средства ее обработки, передачи и отображения, в том числе каналы информационного обмена и телекоммуникации, системы и средства защиты информации, объекты и помещения, в которых размещены такие системы.

Из всего вышесказанного можно выделить основную цель деятельности по обеспечению информационной безопасности банка: снижение угроз информационной безопасности до приемлемого для Банка уровня.

Основные задачи деятельности по обеспечению информационной безопасности Банка:

· выявление потенциальных угроз информационной безопасности и уязвимостей объектов защиты;

· предотвращение инцидентов информационной безопасности;

· исключение либо минимизация выявленных угроз.

 

2. Анализ информационных ресурсов (активов)

Активы банка — объекты собственности, имеющие денежную оценку и принадлежащие банку.

Активы ГПБ приведены в таблице ниже:

 

№	процесс	исполнитель	ресурс	Ценность/ конфиденциальность	Где хранится/ обрабатывается	Кто имеет доступ	Куда передается/ где используется
	Оформление кредитных и дебетовых карт	Операционно-кассовый сотрудник	Платежные карты и пин-конверты	Сами по себе не являются ценностью, но информация на картах и в пин-конвертах конфиденциальна	Карты и пин-конверты хранятся в разных сейфах двух работников банка	Операционно-кассовый сотрудник	Передается в отделение из процессингового центра и наоборот. Передается клиентам после оформления.
	Выдача кредита, открытие счета	Клиентский менеджер	Бумажные, электронные документы, база данных клиентов	Конфиденциально, так как содержит персональные данные клиента	Хранится в металлических шкафах в бумажном виде, в электронном виде хранится на сервере банка, копии договоров имеются у клиента, база данных хранится на сервере банка	Клиентский менеджер, ведущий кредитный специалист, ведущий IT-специалист, сотрудники отдела автоматизации	Передается между отделения- ми, а также во внутреннем документообороте
	Денежный оборот	Операционно-кассовый сотрудник	Материальные денежные средства	Ценный материальный ресурс	Хранится в внутреннем хранилище, на кассах	Операционно-кассовый сотрудник, заведующий кассы	Используется при денежном обороте с клиентами, в банкоматах, передается из отделения сотрудникам службы инкассации
	Безналичный денежный оборот	Операционно-кассовый сотрудник	Безналичные денежные средства	Ценный нематериальный ресурс	Сервер обработки безналичного расчета	Операционно-кассовый сотрудник, ведущий IT-специалист, сотрудники отдела автоматизации	Используется при безналичном денежном обороте с клиентами
	Деятельность банка	Персонал, клиенты	Материальное имущество банка (оборудование имеющее материальную ценность)	Общедоступно	Здание банка	Персонал, клиенты	Используется в деятельности отделения
	Оформление банковской ячейки	Операционно-кассовый сотрудник	Ячейки с материальными ценностями	Конфиденциально	Хранилище банка	Операционно-кассовый сотрудник, заведующий кассы	Находится внутри отделения
	Обслуживание банкоматов	Сотрудники отдела автоматизации	Банкоматы	Сам банкомат общедоступен, денежные средства хранятся во внутреннем сейфе	Здание банка, а также рассредоточены по городу	Сотрудники отдела автоматизации, клиенты	Стоят в определенных им точках

 

К документам относятся различные кредитные договоренности, договора на открытие счета, реквизиты клиентов, содержащие в себе персональные данные клиентов.

 

3. Анализ информационной системы ОИ:

Информационная система отделения банка представляет собой совокупность автоматизированной банковской системы и традиционных средств обработки и хранения информации.

Информация в бумажном виде хранится в архивном помещении, войти в которое можно с помощью карты-ключа, которая имеется у уполномоченных сотрудников. Документы содержащие конфиденциальную информацию (персональные данные клиентов и т.п.) хранятся в металлических шкафах, ключи к которым имеются у сотрудников, имеющих доступ к этой информации.

Для работы с особо важными документами имеется выделенное помещение.

Доступ к информации в электронном виде осуществляется с помощью автоматизированной банковской системы(АБС).

Автоматизированная банковская система (АБС) — комплекс программного и технического обеспечения, направленный на автоматизацию банковской деятельности. Автоматизированная банковская система включает в себя три основных уровня:

· система управления базами данных (СУБД);

· операционная система (ОС), обслуживающая СУБД и системы документооборота;

· сетевое программное обеспечение, обеспечивающее информационное взаимодействие рабочих станций и серверов банковской сети.

Информация хранится на серверах банка, серверная комната запирается на ключ, имеется сигнализация. Доступ к серверной комнате имеет ведущий IT-специалист, а также администраторы обслуживания серверов. Доступ персонала к информации осуществляется при помощи специального программного обеспечения только на рабочих станциях, у каждого сотрудника личный логин и пароль, присутствует система разграничения доступа и регистрации действий пользователей. Доступ к сети Интернет с рабочих станций не ограничен. На рабочих станциях установлено защитное ПО.

Существует несколько ключевых баз данных, хранящихся в электронном виде на сервере банка:

· База данных клиентов;

· База персональных данных сотрудников отделения.

Но наибольшую ценность для предприятия представляет собой база данных клиентов, поэтому в дальнейшем при упоминании базы данных будем иметь ввиду именно ее. Доступ к ним и их защита также осуществляется с помощью АБС.

Также существует система дистанционного банковского обслуживания(ДБО) «Клиент-Банк». При регистрации клиент банка выбирает пароль и логин с помощью которого может контролировать банковские счета, обмениваться электронными документами с банком, осуществлять операции со счетами. При регистрации требуется ввести номер телефона, и при начале каждого сеанса вводить, кроме обычного логина и пароля, одноразовый ключ, приходящий в СМС.

 

 

Анализ угроз для идентифицированных активов

Все множество потенциальных угроз безопасности информации делится на три класса по природе их возникновения: антропогенные, техногенные и естественные (природные) Возникновение антропогенных угроз обусловлено деятельностью человека. Среди них можно выделить угрозы, возникающие вследствие как непреднамеренных (неумышленных) действий: угрозы, вызванные ошибками в проектировании информационной системы и ее элементов, ошибками в действиях персонала и т.п., так и угрозы, возникающие в силу умышленных действий, связанные с корыстными, идейными или иными устремлениями людей.

К антропогенным угрозам относятся угрозы, связанные с нестабильностью и противоречивостью требований регуляторов деятельности Банка и контрольных органов, с действиями в руководстве и управлении (менеджменте), неадекватными целям и сложившимся условиям, с потребляемыми услугами, с человеческим фактором.

Возникновение техногенных угроз обусловлено воздействиями на объект угрозы объективных физических процессов техногенного характера, технического состояния

окружения объекта угрозы или его самого, не обусловленных напрямую деятельностью человека. К техногенным угрозам могут быть отнесены сбои, в том числе в работе, или разрушение систем, созданных человеком.

Возникновение естественных (природных) угроз обусловлено воздействиями на объект угрозы объективных физических процессов природного характера, стихийных природных явлений, состояний физической среды, не обусловленных напрямую деятельностью

человека.

Источники угроз по отношению к инфраструктуре Банка могут быть как внешними, таки внутренними.

Рассмотрим угрозы для конкретных ресурсов; они приведены в таблице ниже

 

Угроза	Ресурс
Ошибка персонала	Документы Денежные средства Платежные карты
Ошибки в работе программного обеспечения	Базы данных Электронные документы Безналичные денежные средства Платежные карты Банкоматы
Сбои в работе аппаратного обеспечения	Базы данных Электронные документы Безналичные денежные средства Платежные карты Банкоматы
Незаконное копирование данных	Базы данных Персональные данные Документы
Подделка носителей информации	Документы Электронные денежные средства Платежные карты
Пожар (техногенного характера)	Документы Денежные средства Имущество банка Ячейки с материальными ценностями
Хищение	Базы данных Имущество банка Денежные средства Ячейки с материальными ценностями
Вандализм	Имущество банка Банкоматы