Тема не определена, но должна быть связана с Росфинмониторингом или иметь отношение к закону об противодействие отмыванию преступных доходов и финансированию терроризма

Ложный роутер необязательно заметен всем компьютерам сети — можно создавать ложные роутеры для отдельных компьютеров сети и даже для отдельных соединений.

Навязывание пакетов компьютерный взломщик отправляет в сеть пакеты с ложным обратным адресом. С помощью этой нападения компьютерный взломщик может переключать на свой компьютер соединения, установленные между другими компьютерами. При этом права доступа компьютерного взломщика становятся равными правам того пользователя, чье соединение с сервером было переключено на компьютер компьютерного взломщика .

Нападения класса «отказ в обслуживании» компьютерный взломщик отправляет в сеть пакеты определенного вида, в результате чего один или несколько компьютеров сети полностью или частично выходят из строя.

Сетевой уровень АБС обычно наиболее уязвим для атак компьютерных взломщиков. Это обусловлено тем, что канал связи, по которому передаются сетевые пакеты, является открытым — каждый, кто имеет физический доступ к этому каналу, может отправлять в канал пакеты произвольного содержания. Для обеспечения надежной защиты сетевого уровня АБС необходимо добиться максимальной «закрытое™» сетевых каналов связи, другими словами, максимально затруднить несанкционированный информационный обмен в защищаемой сети.

2.2 Квалификация угроз актуальных для информационной системы

При проведении оценки рисков должны рассматриваться три основные категории возможных потерь, описанные в таблице 3.

Таблица 3 — Категории возможных потерь Категории возможных потерь Описание Денежная потеря Денежная потеря определяется как потеря ценностей или увеличение стоимости или расходов. В сомнительных случаях необходимо классифицировать более высокий риск денежной потери или более высокое возможное значение потери, более высокий риск функционирования бизнеса. Потеря производительности Потеря производительности происходит тогда, когда персонал не способен продолжать выполнение своих обязанностей или когда необходимо повторять служебные обязанности. Прерывания работы или дублирование усилия могут приводить к недоступности бизнес-функций или к некорректности результатов Затруднения для организаций Эта категория касается ситуаций, оказывающих влияние на установление общественного доверия. Следует учитывать также конфиденциальность, точность и согласованность

Составим матрицу оценки рисков.

Уровни риска подразделяются на:

Высокий (В): значительная денежная потеря, потеря производительности или затруднения, являющиеся результатом угрозы, вследствие соответствующей уязвимости.

Средний (С): номинальная денежная потеря, потеря производительности или случающиеся затруднения.

Низкий (Н): минимальная возможность денежной потери, потери производительности, либо затруднения, либо вообще ничего.

Таблица 4 — Матрица оценки рисков Зона уязвимости Угроза Риск денежной потери Риск потери производ-ти Риск затрудне ния Физический уровень Неавторизованное раскрытие защищаемой информации С С Н Ухудшение обслуживания Н Н Н Сетевой уровень Неавторизованное раскрытие защищаемой информации С С С Ухудшение обслуживания Н Н Н Уровень сетевых приложений Неавторизованное раскрытие защищаемой информации С Н Н Ухудшение обслуживания Н С Н Уровень ОС Неавторизованное раскрытие защищаемой информации С В В Ухудшение обслуживания Н С С Уровень СУБД Неавторизованное раскрытие защищаемой информации С С Н Ухудшение обслуживания Н С С Уровень приложений, необходимых для реализации основных функций ИС Неавторизованное раскрытие защищаемой информации В В В Ухудшение обслуживания С В С Уровень бизнес-процессов организации Неавторизованное раскрытие, защищаемой инф-ции В В В Ухудшение обслуживания С С С Таблица 5 — Оценка риска

Категория потерь Зона уязвимости Денежная потеря Потеря производительности Затруднения Общий риск Физический уровень Н С Н Н Сетевой уровень С С Н Н Уровень сетевых приложений С С С С Уровень ОС В С С В Уровень СУБД С С С С Уровень приложений, необходимых для реализации основных функций ИС В С В В Уровень бизнес-процессов организации

В С В В

Как видно из таблицы 5 и 4 актуальными угрозами, объектом нападения которых является чувствительная либо высоко чувствительная информация, для организации являются:

угроза неавторизованного раскрытия информации на уровне операционных систем, на уровне СУБД, на уровне приложений, необходимых для реализации основных функций ИС и на уровне бизнес — процессов;

угроза ухудшения обслуживания на уровне приложений, необходимых для реализации основных функций ИС и бизнес — процессов;

ГЛАВА III. РАЗРАБОТКА ПОЛИТИКИ БЕЗОПАСНОСТИ ОРГАНИЗАЦИИ Разработка и выполнение политики ИБ организации является наиболее эффективным способом минимизации рисков нарушения ИБ для организации. Политика безопасности представляет собой свод принципов и правил безопасности для наиболее важных областей деятельности и зон ответственности персонала. Политика информационной безопасности является требованием, в котором описываются цели и задачи мероприятий по обеспечению безопасности.

В процессе разработки политики безопасности формулируется свод правил информационной безопасности для противодействия угрозам информационной системы организации. На основе свода правил создается политика безопасности.

Правило № 1:

В организации должны проводиться проверки выполняемых действий персонала.

Правило № 2:

В организации следует оговаривать и периодически проверять обязанности пользователей по соблюдению мер безопасности.

Положения:

 пользователей необходимо обучать процедурам безопасности и правильному использованию средств обработки информации, чтобы свести к минимуму возможные риски безопасности. Об инцидентах, связанных с безопасностью следует немедленно сообщать администратору.

Правило № 3:

Обеспечение защиты СУБД и хранение информации.

Положения:

пользователей необходимо обучать процедурам безопасности и правильному использованию средств обработки информации, чтобы свести к минимуму возможные риски безопасности;

 администратор имеет право читать, записывать, модифицировать и удалять — только при разрешении выше стоящего руководства;

 хранение информации в БД защищенной паролем;

 один раз в сутки осуществлять резервное копирование на внешнее устройство — внешний USB «винчестер» (жесткий магнитный диск).

Правило № 4:

Обеспечение защиты бизнес-процессов филиала коммерческого банка.

Положения:

обязательное дублирование информации, хранимой в базах данных различных уровней;

периодическая (лучше ежедневная) актуализация всех баз данных в информационной системе (эта мера исключает возможность фальсификации сведений «задним числом»);

для достижения необходимого уровня защиты информации со стороны программных средств использовать средства сетевых операционных систем.

Правило № 5

Управление доступом.

Положения:

 использование уникальных паролей;

 проверка паролей администратором системы для подтверждения прав пользования системой или услугами;

 содержание пароля в секрете;

 изменение пароля в случае признаков компрометации пароля;

 выбор качественных паролей: длина пароля должна быть не менее 8 символов, в числе символов пароля обязательно должны присутствовать буквы в верхнем и нижнем регистрах, цифры и специальные символы; пароль не должен включать в себя легко вычисляемые сочетания символов (имена, фамилии, и т. д.), а также общепринятые сокращения; при смене пароля новое значение должно отличаться от предыдущего не менее, чем в 4 позициях; полная плановая смена паролей должна проводиться регулярно не реже одного раза в месяц;

идентификация, аутентификация и верификация пользователей;

 запись успешных и неудавшихся доступов к системе;

 ограничение времени доступа;

 принудительная аварийная сигнализация для защиты пользователей.

Правило № 6

Защита от вредоносного ПО.

Положения:

установка и регулярное обновление антивирусных баз и исправление ПО;

 проведение регулярного пересмотра содержимого ПО;

 проверка любых вложений электронной почты и скачиваемой информации на наличие вредоносного ПО;

 процедуры и планы по предотвращению введения вредоносного ПО;

использование только лицензированное ПО.

Правило № 7

Разработка службы внутреннего контроля в организации .

Организация службы внутреннего контроля Служба внутреннего контроля может быть создана как отдельное структурное подразделение банка, осуществляющее взаимодействие с другими контролирующими подразделениями.

Таблица 6 — Политика безопасности организации Правила ИБ Ответственные Виды защитных мер В организации должны проводиться проверки выполняемых действий персонала Администратор ИБ Организационные и технические В организации следует оговаривать и периодически проверять обязанности пользователей по соблюдению мер безопасности Администратор ИБ Организационные Обеспечение защиты СУБД и хранение информации Персонал (операторы АРМ, администраторы) Организационные и технические Обеспечение защиты бизнес-процессов филиала коммерческого банка Персонал (операторы АРМ, администраторы) Организационные и технические Управление доступом Персонал (операторы АРМ, администраторы) Организационные и технические Защита от вредоносного ПО Администраторы ИБ и СУБД Организационные и технические

ЗАКЛЮЧЕНИЕ

В связи с увеличением в последнее время компьютерных преступлений, вопросы по обеспечению информационной безопасности становятся всё более актуальными. К сожалению, нет единых правил политики безопасности, поэтому решением данной проблемы является организация комплексных мер информационной защиты, разработанных для конкретной организации.

Но использование компьютеров и автоматизированных технологий приводит к появлению ряда проблем для руководства организацией. Компьютеры, часто объединенные в сети, могут предоставлять доступ к колоссальному количеству самых разнообразных данных. Поэтому люди беспокоятся о безопасности информации и наличии рисков, связанных с автоматизацией и предоставлением гораздо большего доступа к конфиденциальным, персональным или другим критическим данным. Все увеличивается число компьютерных преступлений, что может привести, в конечном счете, к подрыву экономики. И поэтому должно быть ясно, что информация — это ресурс, который надо защищать.

В данной курсовой работе был проведен анализ высокоуровневых угроз, взятых из варианта задания в филиале коммерческого банка.

Итогом курсовой работы стало создание политики безопасности, на основе построенной информационной системы и ее структурной и инфологической модели, выявления наиболее чувствительной информации, проведенной оценки рисков нападения.

СПИСОК ЛИТЕРАТУРЫ

Абрамова М. А., Александрова Л. С. Финансы, денежное обращение и кредит: Учеб. пособие. — М.: Институт международного права и экономики, 2006.

Адаме Р. Основы аудита.

М.: Аудит, ЮНИТИ, 2005.

Алексеев В. М. Анализ угроз и разработка политики безопасности информационной системы организации: Методические указания к курсовой работе по дисциплине «Информационная безопасность». — Пенза 2007. 30 с.: ил., табл., библиогр. Назв.

.рифонов С.Е., Трифонова Л. И. Методы и средства защиты информации.

Пенза 2002 г.

Безруков Н. Н. Вирусы и методы защиты от них. — Москва 1991 год.

«Банковский операции». Москва, «Инфра», 2007 г.

«Банковское дело» под редакцией Лаврушкина О. И. Москва, «Финансы и статистика», 2008 г.

Банки и банковские операции: Учебник /Под ред. Е. Ф. Жукова. -М.: ЮНИТИ. Банки и биржи, 2007.

Банковские операции: Учеб. пособие. Части I-IV. / Под общ. ред. О.

И. Лаврушина. — М.: Инфра-М, 2009.

Банковское дело: Учебник /Под ред. проф. О. А. Лаврушина. — М.: Банковский и биржевой научноконсультативный центр, 2008

Банковское дело: Учебник /Под ред. проф. В. И. Колесникова, проф. Л. П. Кроливецкой. — М.: Финансы и статистика, 2006.

Бекренев В. Л. Внутренний контроль банка и его информационно-аналитическая система// Бизнес и банки, 2008, № 44.

Белов В. Когда кругом одни контролеры …// Бизнес и банки, 1997, № 48.

Белов В. Сколько стоят «услуги» Банка России?// Бизнес и банки, 2006, № 10.

Бурцев В. В. Организация системы внутреннего контроля коммерческой организации. — М.: ЭКЗАМЕН, 2008.

Гражданский кодекс, ч.1−2.

Голикова Ю. С. Хохленкова М.А. Банк России: организация деятельности. В 2-х кн. — М.: ДеКА, 2009, кн. 1.

Долан Э. Дж., Кэмпбелл К. Д., Кэмпбелт Р. Дж. Деньги, банковское дело и денежно;

— 5 ;

— 25 ;

— 39 ;

Аппаратный компонент Пользователь Ответственный за компонент Полномочия пользователя по отношению к компоненту АРМ обработки Оператор обработки информации Оператор обработки информации Получение, обработка и пересылка информации АРМ ввода Оператор ввода (агенты, кассиры) Оператор ввода информации Ввод информации, отправка в БД АРМ администратора БД Администратор БД Администратор БД Получение, хранение, выдача информации Почтовый сервер Администратор БД и ИБ Администраторы БД и ИБ Обеспечение электронной почты Сервер резервного копирования Администратор СУБД Администраторы БД и ИБ Определение правил безопасности доступа к данному компоненту, контроль аудита, доступ к аппаратным средствам компонента, чтение данных на компоненте АРМ отдела безопасности Администратор ИБ и БД Администратор ИБ Обеспечение ИБ Выход в Интернет

Операторы, администраторы БД и ИБ Администраторы БД и ИБ Обеспечение связи с телекоммуникационными предприятиями, прием данных от абонентов Сервер обработки информации Системный администратор Администратор БД Оператор обработки информации Системный администратор

Конфигурация сетевых настроек компонента, установка ОС и ПО, чтение, создание, модификация и удаление данных на компоненте АРМ руководства Руководство Системный администратор Получение, обработка информации АРМ бухгалтера Бухгалтер Системный администратор Получение, обработка и пересылка информации БД