«Обеспечение комплексной информационной безопасности КИИ банка»

по указу РФ. Правительство № № 1113 от 5 ноября 1995 г. «О Единой государственной системе предупреждения и ликвидации чрезвычайных ситуаций», которая представляет собой единую систему предупреждения и ликвидации чрезвычайных ситуаций (РСЧС). [17]Учитывая те цели, которые были поставлены перред МЧС, рассматриваемый центральный банк активно участвует в совместном решении ранее поставленных задач, по обеспечению безопасности труда. Поэтому в состав комиссии по разработке закона об осмотре недвижимого имущества Центробанка вошли представители государственного агентства пожарной охраны. При взаимодействии с МЧС выполняется проведение учебных мероприятий, направленных и на борьбу с огнем, и на отработку действий при выявлении фактов нарушения по тушению пожара, в том числе оснащение объекта системой пожарной сигнализации, в соответствии с действующими нормативными документами ГПС МЧС России.
Контактирование с МЧС также реализуется и в случае риска возникновения чрезвычайной ситуации. При возникновении подобной ситуации МЧС обязано уведомить должностных лиц центрального банка в установленные сроки, чтобы можно было как можно скорее принять меры по минимизаций или ликвидации последствий чрезвычайной ситуации.4. Федеральная служба безопасности (ФСБ). Совместное с ФСБ проведение мероприятий осуществляется в случае получения информации о диверсионных или планируемых и совершенных террористических актах. Помимо этого, в случае если имеет место быть участие в проектах, которые несут важное государственное и оборонное значение, возможно взаимодействие с указанными структурами по вопросам промышленной контрразведки.

3.3 Методические рекомендации по практическому внедрению предложений, направленных на совершенствование системы информационной безопасности объекта

Выше было показано, что для объекта исследования уже определены «зоны риска». Обновление системы безопасности в связи с выявлеными уязвимостями дает возможность значительно поднять уровень информационной безопасности в компании.
Применение аппаратного сетевое шифрующего устройства
SafeNet Ethernet Encryptor — представляет собой высокопроизводительное (до 10 Гбит/с) устройство шифрования уровня 2. Устройство открыто для протоколов высокого уровня (IP, TCP, UDP, HTTP, HTTPS и т. д.), потому что в типовой конфигурации в конце каждой защищенной подсети устанавливается энкодер, который затем взаимодействует и передает зашифрованные данные по каналу Ethernet небезопасны. [20]

Рисунок 3.5 – Пример работы аппаратного шифратора данных
канального уровня

Существуют два способа внедрения SЕЕ: линейный (рисунок 3.6) и множественный (рисунок 3.7).

Рисунок 3.6 Линейный вариант подключения SаfеNеt Еthеrnеt Еnсryptоr

Рисунок 3.7 – Множественный вариант подключения SаfеNеt Еthеrnеt Еnсryptоr

В случае взятия требуемого канала с второсортным обслуживанием в аренду, то наиболее простым решением является простое применение использования шифрование канала.
eToken снижает сложность проведение проверки права доступа пользователей, а также идентификации его личности на основе PKI, путем их адаптации под заданные требования реального объекта. Для каждого из ключей происходит генерация его цифровой пары, которая надежно хранится в отдельном защищенном банке-репозитории eToken. Закрытая часть ключа хранится только в памяти устройства, что исключает его утерю или доступ к нему третьих лиц. Открытая часть ключа доступна для использования приложениями после того, как пользователь пройдет идентификацию путем ввода пароля. При этом может быть использована аутентификация по одноразовому паролю (One Time Password — OTP).
Аутентификация с использованием одноразового пароля означает использование нового пароля для каждого нового сеанса доступа.
Рисунок 3.8 – Процедура идентификации

Выбор организационных мер защиты
При построении системы товарной безопасности и эксплуатации этой системы ведутся переговоры с организациями, рассмотренными в п. 3.3.
Для работы с системой безопасности было принято решение воспользоваться услугами частного охранного ЦБ. После подписания договора на контакт-центр возлагается постоянная ответственность сотрудников Центрального частного охранного банка, взаимодействующего со Службой безопасности в процессе своей деятельности. Было принято решение воспользоваться услугами специальной организации по установке охранного оборудования. Ниже приведен пример директивы доступа к редактированию и внутреннего состояния объекта.
В данной работе обеспечение информационной безопасности в банке или иной финансовой организации включает в себя не только установку систем или оборудования. Подобная задача должна решаться на всех уровнях, широко и последовательно. Это дает возможность определить какие из предписанных мер, направленных на создание или оптимизацию системы безопасность наиболее эффективны и дают хороший результат.
Интегрированные системы видеонаблюдения за состоянием периметра, а также системы контроля и ограничения доступа на территорию охраняемого объекта, устройства и системы, предназначенные для шифрования как документов, так и передаваемых данных, внедрение систем антивирусной защиты, установка правил доступа к ресурсам сети и сети интернет.

3.4 Анализ возможных вариантов атак и реализаций угрозы нарушения ИБ и методы противодействия им


Комплекс средств и технических систем, обеспечивающий соответствие заданного уровня информационной безопасности поставленным требованиям на примере какой-либо финансовой организации или банка может быть реализован различными путями, в зависимости от требований и возможностей, используемых при реализации. Так, например, для реализации требований по обеспечению ИБ возможно привлечение аутосорсиноговых компаний, используя их богатый опыт для реализации системы противодействия ИБ в организации.
Далее рассмотрим различные сценарии, по которым может быть ревизована какая-либо угроза ИБ и выполнен НСД к информации. Определение требуемого перечня защитных мер очевидно определяется перечнем возможных путей получения НСД к данным. Как правило, утечка данных, наиболее часто характерна для организаций, занимающихся в сферах финансов, телекоммуникации, а также медицинского оборудования.
В свете темы данной ВКР, определимся перечнем возможностей, которыми могут воспользоваться при попытках получения НСД к данным банковской сферы. Наиболее часто, доступ к данным реализуется за счет разглашения конфиденциальных сведений о данных клиентов, их счетов и пр.
Как было показано выше, выбор используемой системы по обеспечению ИБ, которая определяется заданным уровнем риска проведения атаки.
Также целесообразно провести анализ и современных технических решений, которые помимо традиционных средств могут оказывать значительную помощь в случае НСД.
На текущий момент в продаже представлены различные программные средства, предназначенные для перехвата данных сотрудников, переданных по каналам связи, телефонных разговоров сотрудников и т.д. Как правило, подобные средства могут быть внедрены в используемые системы защиты.
Проведем анализ различных вариантов формирования информационной безопасности финансовых учреждений, с целью отслеживания эффективности используемых средств.
Проведение проверки защиты от НСД
Одним из первых на Российском рынке вопросами проведения тестирования существующих систем обеспечения ИБ занялся Сбербанк. Была создана дочерняя компания, которая предоставляла услуги на рынке информационной безопасности. В перечне услуг входили и проверка существующих каналов связи, тестирование предложенных средств защиты от проникновения вредоносного ПО, а также все технической инфраструктуры в целом. Суть выполнения подобной проверки состоит в определении наиболее уязвимых мест, а также проверка используемого ПО на предмет обеспечение заданных требований.
Предлагаемые услуги стали актуальными и привлекательными для клиентов, находясь в составе пакета. Использование подобного сервиса позволяет производить мониторинг рынка и определять текущие потребности в данной сфере.
Аудит используемой системы обеспечения ИБ
В ходе проведения тестирования используемой системы защиты данных в Альфа-Банк выявил определенный перечень уязвимостей, которые характерны для информационных систем, имеющих разветвленную архитектуру:
• Значительное количество инцидентов, связанных с утратой информации вызвано ошибками в используемом ПО, а также отказами средств программной автоматизации действий;
• Подавляющее число происходящих внешних атак выполняется посредством использования достаточно широко известных уязвимостей, как используемого ПО, так и операционных систем.
Также, дополнительную трудность по обеспечению ИБ обеспечили частые переходы пользователей и сотрудников на сторонние сайты и формы аутентификации. Перенаправления пользователя выполнялось посредством применения специального приложения, что не давало возможности точно отслеживать и прогнозировать поведение посетителей, но и их стратегии, но и внедрять вредоносное ПО.
Для решения большинства задач информационной безопасности Альфа-Банк использовал следующие решения:
• Внедрение расширенной системы аутентификации пользователей для системы мгновенных платежей «Альфа-Клик» (коммунальные услуги, телефония) на основе технологии, продвигаемой А3. Помещения включают в себя средства аутентификации, авторизации и администрирования. авторизация осуществляется при подтверждении действий пользователя сотрудником более высокого ранга;

ЗАКЛЮЧЕНИЕ


Представленная выпускная квалификационная работа ставит своей целью исследование вопросов обеспечения информационной безопасности активов критической информационной инфраструктуры на примере филиала центрального банка РФ. Для оценки необходимых средств обеспечения ИБ в работе проведен анализ возможных уязвимостей объекта исследования и угроз, которые им соответствуют, что послужило отправной точкой для формирования моделей возможных нарушителей и определения необходимых организационных и технических средств по обеспечению ИБ.
Оценка уязвимостей объекта выполнена в соответствии с требованиями актуальных законодательных актов, в соответствии с ключевыми аспектами ФЗ № 187 сформированы основные принципы обеспечения безопасности КИИ. На основании полученных в ходе исследования результатов было принято решение о том, что требуется внесение изменений в существующую систему обеспечения ИБ с целью соответствия ее требованиям для повышения защищенности критических информационных инфраструктур.
Кроме того, на основе оценки эффективности реализации основных функций по обеспечению информационной безопасности были обследованы и проанализированы технические и программные средства подразделения, что подтвердило невыполнение части функций службы безопасности. , Комплексная система информационной безопасности не была полностью внедрена, так как она не была внедрена.
Таким образом, можно сделать вывод, что в экономической части описан эффект от внедрения системы, дана оценка качества системы, рассчитаны затраты на разработку, внедрение и эксплуатацию и показана ее экономическая эффективность. В квалификационной работе разрабатывается перечень мероприятий по организации информационной безопасности центробанка. Информация, циркулирующая в этой системе, представляет для организации определенную ценность, и поэтому она хочет эту информацию защитить. Предполагается защитить сеть передачи данных от удаленных атак, используя средства антивирусной защиты, межсетевых экранов и систем обнаружения атак. [21]
Так как в банках объектами критической информационной инфраструктуры являются специализированные банковские программные средства, то и модель угроз и нарушителя составлялась из учета возможности применения угроз информационной безопасности к этим средствам, расположенным на объектах информационной инфраструктуры.
Полученные результаты могут быть использованы в реальных условиях для построения актуальной модели угроз применительно к критической информационной инфраструктуре банка с целью проектирования и создания эффективных систем защиты информации учитывающих 187-ФЗ и другие нормативные акты применяемы в Российской Федерации.

.
Список использованных источников

Ананченко И.В., Зудилова Т.В., Хоружников С.Э. Средства резервного копирования, восстановления, защиты данных в операционных системах Windows. Учебное пособие. — СПб.: Университет ИТМО, 2019. — 50 с.
Базовая модель угроз безопасности персональных данных при их88обработке в информационных системах персональных данных (Утверждена Заместителем директора ФСТЭК России 15 февраля 2008 г.) [Электронный ресурс] : сайт Федеральной службы по техническому и экспортному контролю: https://fstec.ru/component/attachments/download/289
Баймакова И.А., Новиков А.В., Рогачев А.И. Обеспечение защиты персональных данных. Методическое пособие / И.А. Баймакова. – М.: 1С-Паблишинг, 2019. – 214 с.
Банк данных угроз безопасности информации [Электронный ресурс] : сайт Федеральной службы по техническому и экспортному контролю: http://bdu.fstec.ru/
Безкоровайный Д. Безопасность компонентов / Д. Безкоровайный. – Открытые системы. СУБД. – М: Издательство «Открытые системы», 2011. – 26 с.
Бирюков В.А., Дмитриева О.В., Степанова Г.Н. Теоретико-методологические аспекты реализации стратегии информационной безопасности медиаорганизации в современных условиях. Монография. — М.: Буки Веди, 2019. — 160 с.
Бойченко О. В. Обеспечение безопасности критически важных объектов инфраструктуры российской федерации / А. А. Аношкина // Ученые записки Крымского федерального университета имени В. И. Вернадского. Экономика и управление, 2016 – С.15-19.
ГОСТ 51241-98 - Средства и системы контроля и управления доступом. Классификация. Общие технические требования. Методы испытаний
ГОСТ Р 50922-2006. Защита информации. Основные термины и определения М.: Стандартинформ, 2008 [Электронный ресурс] : справочная правовая система: http://www.consultant.ru/cons/cgi/online.cgi?req=doc&base=EXP&n=418509#06367720451532759
ГОСТ Р 53113.2-2009 Защита информационных технологий и автоматизированных систем от угроз информационной безопасности, реализуемых с использованием скрытых каналов. - М.: Госстандарт России: Издательство стандартов, Дата введения 2009-12-01
ГОСТ Р ИСО 15489-1-2007 «Система стандартов по информации, библиотечному и издательскому делу. Управление документами. Общие требования» - М.: Госстандарт России: Издательство стандартов, 2007.
ГОСТ Р ИСО/МЭК 27002-2012. Информационная технология. Методы и средства обеспечения безопасности. Свод норм и правил менеджмента информационной безопасности [Электронный ресурс] : сайт Федерального агентства по техническому регулированию и метрологии: http://protect.gost.ru/document.aspx?control=7&id=183918
Денисов Д.В Методические указания по дипломному проектированию для специальности «Информационные системы и технологии», «Безопасность информационных систем» Денисов Д.В., Дик В.В., Емельянов А.А., Жильцов А.И.,М. МПФУ 2019 г.
Жидко Е.А. Информационные риски как аргумент безопасного и устойчивого развития организаций / Е.А. Жидко, Л.Г. Попова // Информация и безопасность, 2010. – №4. – С. 543–552.
Интегрированная система охраны «FоrtNеt» [Электронный документ] URL: http://bоlid.ru/prоduсtiоn/оriоn/
Козин И.С. Метод определения опасности угрозы персональным данным при их обработке в информационной системе. 2017. – C. 19-26.
Козлов Сергей. Защита информации. Устройства несанкционированного съема информации и борьба с ними. М.: Трикста, 2018. — 289 с.
Крысин А.В. Информационная безопасность. Практическое руководство — М.: СПАРРК, К.:ВЕК+,2019.
Кудрявцев А.М. Киберустойчивость информационно-телекоммуникационной сети / М.А. Коцыняк, И.А. Кулешов, А.М. Кудрявцев, О.С. Лаутаи. – СПб.: Бостон-спектр, 2015. – 150 с.
Куликов С.С. Метод риск–анализа информационно–телекоммуникационных систем при атаках на их ресурсы / С.С. Куликов, В.И. Белоножкин // Информация и безопасность, 2013. – Т. 16. – №1. – С. 143–144.
Масалков А.С. Особенности киберпреступлений: инструменты нападения и защиты информации. М.: ДМК Пресс, 2018. — 226 с.: ил.
Меликов У.А. Гражданско-правовая защита персональных данных / У.А. Меликов // Вестник УрФО. Безопасность в информационной сфере. 2015. № 4 (18). – С. 49-53.
Мельников П. П. Защита информации в автоматизированных системах финансовых и коммерческих организаций, М.: ФА, 2018. –76с.
Михалевич И.В. Вопросы классификации объектов критической информационной инфраструктуры по требованиям безопасности информации / И.В. Михалевич // XIII Всероссийское совещание по проблемам управления, 2019 – С. 2587 – 2590.
Нохрина Г.Л. Информационная безопасность. Курс лекций. — Екатеринбург: Уральский государственный лесотехнический университет, 2017. — 133 с.
НПБ 88-01 Установки пожаротушения и сигнализации. Нормы и правила проектирования
О безопасности критической информационной инфраструктуры Российской Федерации: Федеральный закон (от 26.07.2017 № 187-ФЗ) [Электронный ресурс] : сайт Президента Российской Федерации: http://www.kremlin.ru/acts/bank/42489
О внесении изменений в Положение о ФСТЭК: Указ Президента Российской Федерации (от 25.11.2017 г. № 569) [Электронный ресурс] : сайт Федерального агентства по техническому регулированию и метрологии: http://protect.gost.ru/document.aspx?control=7&id=183918
О внесении изменений в регламент ФСТЭК: Приказ ФСТЭК (от 26.04.2018 №72) [Электронный ресурс] : сайт Федеральной службы по техническому и экспортному контролю: https://fstec.ru/index?id=1596:prikaz-fstek-rossii-ot-26-aprelya-2018-g-n-72
О персональных данных: Федеральный Закон (от 27 июля 2006 г. №152-ФЗ) [Электронный ресурс] : справочная правовая система: http://www.consultant.ru/document/Cons_doc_LAW_61801/
Об информации, информационных технологиях и о защите информации: Федеральный Закон (от 27 июля 2006 г. № 149-ФЗ) [Электронный ресурс]: справочная правовая система: http://www.consultant.ru/document/cons_doc_LAW_61798/
Об утверждении порядка ведения реестра значимых объектов критической информационной инфраструктуры Российской Федерации: Приказ ФСТЭК России (от 06.12.2017 № 227) [Электронный ресурс] : сайт Федеральной службы по техническому и экспортному контролю: https://fstec.ru/normotvorcheskaya/akty/53-prikazy/1587-prikaz-fstek-rossii-ot-6-dekabrya-2017-g-n-227
Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений: Постановление Правительства РФ [Электронный ресурс] : информационно-правовой портал: http://www.garant.ru/products/ipo/prime/doc/71776120/
Об утверждении Правил осуществления государственного контроля в области обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации: Постановление Правительства Российской Федерации [Электронный ресурс], информационно-правовой портал: http://www.garant.ru/products/ipo/prime/doc/71783452/
Об утверждении Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования: Приказ ФСТЭК (от 21.12.2017 №235) [Электронный ресурс] : сайт Федеральной службы по техническому и экспортному контролю: https://fstec.ru/index?id=1606:prikaz-fstek-rossii-ot-21-dekabrya-2017-g-n-235
Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации: Приказ ФСТЭК (от 25.12.2017 № 239) [Электронный ресурс] : сайт Федеральной службы по техническому и экспортному контролю: https://fstec.ru/en/53-normotvorcheskaya/akty/prikazy/1592-prikaz-fstek-rossii-ot-25-dekabrya-2017-g-n-239
Об утверждении формы акта проверки, составляемого по итогам проведения государственного контроля в области обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации: Приказ ФСТЭК России (от 11.12.2017 № 229) [Электронный ресурс]: сайт Федеральной службы по техническому и экспортному контролю: https://fstec.ru/normotvorcheskaya/akty/53-prikazy/1475-prikaz-fstek-rossii-ot-11-dekabrya-2017-g-n-229
Пелешенко В.С., Говорова С.В., Лапина М.А. Менеджмент инцидентов информационной безопасности защищенных автоматизированных систем управления. Учебное пособие. — Ставрополь: Изд-во СКФУ, 2017. — 86 с.
Приказ № 154 Федеральной службы по надзору в сфере массовых коммуникаций, связи и охраны культурного наследия от 28.04.2008 «Об утверждении Положения о ведении реестра операторов, осуществляющих обработку персональных данных»;
Приказ ФСТЭК России от 5 февраля 2010 г. № 58 «Об утверждении положения о методах и способах защиты информации в информационных персональных данных»;
Сабанов А. А. Некоторые аспекты защиты электронного документооборота // Соnnесt! Мир связи. - 2019. - № 7. - С. 62-64.
Сидоренко В.Л. Защита объектов критической инфраструктуры в условиях гибридной технологии ведения войны / С.И. Азаров, Е.А. Власенко, В.А. Тищенко, 2018. – 14 с.
Соколов А. М., Степанюк О.М. Защита объектов и компьютерных сетей (Шпионские штучки). - М.: ACT, СПб.: Полигон, 2018. 272с.
Соловьев В.В. Улучшение защищенности распределенной информационной системы персональных данных на основе технологии VPN и терминального доступа / В.В. Соловьев // Информационные технологии и проблемы математического моделирования сложных систем. – 2017. – №18. – С. 39-44.
Сычев Ю.Н. Стандарты информационной безопасности. Защита и обработка конфиденциальных документов. М.: РЭУ им. Г.В. Плеханова, 2017. — 207 с.
Титоренко, Г.А. Информационные системы в экономике : учебник для студентов вузов / Г.А. Титоренко. - М. : ЮНИТИ-ДАНА, 2018. - 463 с.
Федеральный закон "О защите населения и территорий от чрезвычайных ситуаций природного и техногенного характера" от 21.12.1994 N 68-ФЗ
Цывин М.Н. Терминологические проблемы изучения дисциплины "Электронный документооборот" / М.Н. Цывин // Библиотековедение. Документоведение. Информология. - 2019. - № 1. - C. 7 - 11.
Чукарин А.В. Бизнес-процессы и информационные технологии в управлении современной инфокоммуникационной компанией / А.В. Чукарин. – М.: Альпина Паблишер. – 2016. - 512 c.
Щеглов А.Ю. Защита компьютерной информации от несанкционированного доступа. изд 2 - М.: Наука и техника, 2019. - 412 с.
National Security Law of the People's Republic of China (2015) URL: http://eng.mod.gov.cn/publications/2017- 03/03/content_4774229.htm
Стандарт Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» СТО БР ИББС-1.0-2014. Принят и введен в действие распоряжением Банка России от 17.05.2014 № Р-399 [Электронный ресурс] – Режим доступа: http://cbr.ru/credit/Gubzi_docs/st-10-14.pdf .
Банк данных угроз безопасности информации [Электронный ресурс] – Режим доступа: http://bdu.fstec.ru/.
Положение о требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств, утверждено Банком России 04.06.2020 г. № 719-П [Электронный ресурс] – Режим доступа: http://www.cbr.ru/Queries/UniDbQuery/File/90134/1119
Protect Sensitive Data in Motion with SafeNet Carrier Ethernet Encryption. [Электронный документ] URL: https://safenet.gemalto.com/












8






Студент _____________
(И.О. Фамилия) (личная подпись) Научный руководитель
ФИО
(ученая степень, звание, И.О. Фамилия)