Разработка системы защищенного документооборота на примере коммерческого банка

Размещено на http://www.allbest.ru/

НЕГОСУДАРСТВЕННОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ

ВЫСШЕГО ПРОФЕССИОНАЛЬНОГО ОБРАЗОВАНИЯ

«смоленский ГУМАНИТАРНЫЙ УНИВЕРСИТЕТ»

КУРСОВАЯ РАБОТА

Разработка системы защищенного документооборота на примере коммерческого банка

Исполнитель: Русин А.О.

Студент: 4 курса, гр. 42 ОиТЗИ

Науч. руководитель: Андреева А.В.

Смоленск

2012



Смоленский Гуманитарный Университет

Факультет компьютерных технологий, экономики и дизайна

Кафедра информационных технологий и безопасности

ЗАДАНИЕ

на курсовую работу

Русина А.О.

Тема: «Разработка системы защищенного документооборота на примере коммерческого банка» закреплена на заседании кафедры информационных технологий и безопасности, протокол № ___ от ___________2012 г.

Целевая установка: анализ и разработка системы защищённого документооборота.

Основные вопросы, подлежащие разработке:

Анализ нормативной законодательной базы.

Анализ документооборота организации и структурирование защищаемой информации.

Оценка рисков информационных угроз безопасности защищенного документооборота.

Совершенствование документационного обеспечения управления (ДОУ) системы информационной безопасности организации.

Срок предоставления законченной работы: “20” декабря 2012 г.

Дата выдачи задания: “13” сентября 2012 г.

Руководитель: Андреева А.В.

Задание получил: “13” сентября 2012 г.

законодательный документооборот информационный защищенный



Оглавление

Введение

Глава 1. Анализ нормативной законодательной базы

Глава 2. Краткая характеристика коммерческого банка

2.1 Формирование режима безопасности информации

2.2 Оценка рисков информационных угроз безопасности защищённого документооборота

Глава 3. Анализ документооборота банка

3.1 Анализ системы защиты конфиденциальной информации

3.1.1 ДБО BS-Client, «Банк-Клиент»

3.1.2 Kaspersky Business Space Security

3.2 Рекомендации по улучшению защищённого документа оборота

3.2.1 Организационно-правовые мероприятия

3.2.2 Программно-аппаратный комплекс «ТРИТОН»

3.2.3 Идентификаторы Rutoken

3.2.4 Clientless Endpoint

3.2.5 NETDEFEND межсетевой экран

Заключение

Список используемой литературы

Приложение



Введение

Целью данной работы является анализ и разработка системы защищённого документооборота.

Предметом исследования является «Разработка системы защищенного документооборота на примере коммерческого банка». Организации документооборота в системе коммерческого банка является актуальной и одной из наиболее важнейших тем. Хищение конфиденциальной информации через пробелы в делопроизводстве является наиболее простым получения информации, что не приемлемо для такой организации как коммерческий банк.

В связи с вышесказанным актуальной на сегодняшний день является задача создания системы конфиденциального документооборота составными частями которой являются: бумажный документооборот, электронный документооборот, системы взаимодействия и сопряжения бумажного и электронного документооборота.

Данная курсовая работа - попытка улучшить безопасность документооборота на примере коммерческого банка. В ходе работы будет проведен анализ защищенности ЭВМ, анализ методов защищенного документооборота.

В ходе написания курсовой работы будут разработаны предписания, по улучшению безопасности, которые позволят существенно снизить риск утечки и хищения информации.

Территориальные рамки исследования ограничены РФ. Исследования будут актуальны лишь на территориях, где действует «Доктриной информационной безопасности Российской федерации».



Глава 1. Анализ нормативной законодательной базы

В данной курсовой работе мы будем обращаться к законодательной базе РФ, связанной с защитой информации исследуемой области. Ниже указан перечень документов, которые подпадают под тематику исследования курсовой работы.

Доктрина информационной безопасности Российской Федерации Утверждена Президентом Российской Федерации 9.09.2000 г. № Пр-1895

Ф.З."О БАНКАХ И БАНКОВСКОЙ ДЕЯТЕЛЬНОСТИ" от 02.12.1990 N 395-1 статья 1. Основные понятия настоящего Федерального закона

Кредитная организация - юридическое лицо, которое для извлечения прибыли как основной цели своей деятельности на основании специального разрешения (лицензии) Центрального банка Российской Федерации (Банка России) имеет право осуществлять банковские операции, предусмотренные настоящим Федеральным законом. Кредитная организация образуется на основе любой формы собственности как хозяйственное общество.

Банк - кредитная организация, которая имеет исключительное право осуществлять в совокупности следующие банковские операции: привлечение во вклады денежных средств физических и юридических лиц, размещение указанных средств от своего имени и за свой счет на условиях возвратности, платности, срочности, открытие и ведение банковских счетов физических и юридических лиц.

Согласно ст. 26 закона «О банках и банковской деятельности» к банковской тайне относится информация об операциях, счетах и вкладах клиентов и корреспондентов. По российскому законодательству кредитная организация гарантирует тайну банковского счета и банковского вклада, операций по счету и сведений о клиенте.

Статья 40. Правила бухгалтерского учета в кредитной организации

Правила ведения бухгалтерского учета, представления финансовой и статистической отчетности, составления годовых отчетов кредитными организациями устанавливаются Банком России с учетом международной банковской практики.

Банк России устанавливает особенности ведения бухгалтерского учета государственной корпорацией "Банк развития и внешнеэкономической деятельности

Кредитная организация, Банк России, организация, осуществляющая функции по обязательному страхованию вкладов, гарантируют тайну об операциях, о счетах и вкладах своих клиентов и корреспондентов. Все служащие кредитной организации обязаны хранить тайну об операциях, о счетах и вкладах ее клиентов и корреспондентов, а также об иных сведениях, устанавливаемых кредитной организацией, если это не противоречит федеральному закону.

В соответствии со специальными требованиями и рекомендациями по технической защите конфиденциальной информации, утвержденными приказом Гостехкомиссии России от 30 августа 2002 года, конфиденциальная информация - информация с ограниченным доступом, не содержащая сведений, составляющих государственную тайну, доступ к которой ограничивается в соответствии с законодательством Российской Федерации

Перечень конфиденциальной информации утвержден Указом Президента Российской Федерации от 6 марта 1997 г. N 188. К настоящему времени принят ряд законодательных актов, в которых регулируются отношения, связанные с различными видами конфиденциальной информации:

ФЗ о национальной платёжной системе от 25.12.2012 N 267-ФЗ

Настоящий Федеральный закон устанавливает правовые и организационные основы национальной платежной системы, регулирует порядок оказания платежных услуг, в том числе осуществления перевода денежных средств, использования электронных средств платежа, деятельность субъектов национальной платежной системы, а также определяет требования к организации и функционированию платежных систем, порядок осуществления надзора и наблюдения в национальной платежной системе.

Федеральный закон от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации";

Федеральный закон от 29 июля 2004 г. N 98-ФЗ "О коммерческой тайне";

Федеральный закон от 27 июля 2006 г. N 152-ФЗ "О персональных данных".

В статье 5 Федерального закона "Об информации, информационных технологиях и защите информации" даётся классификация информации в зависимости от порядка её распространения, Законодатель разделяет информацию на следующие группы:

информацию, свободно распространяемую;

информацию, предоставляемую по соглашению лиц, участвующих в соответствующих отношениях;

информацию, которая в соответствии с федеральными законами подлежит предоставлению или распространению;

информацию, распространение которой в Российской Федерации ограничивается или запрещается.

В статье 9 говориться, что Федеральными законами устанавливаются условия отнесения информации к сведениям, составляющим коммерческую тайну, служебную тайну и иную тайну, обязательность соблюдения конфиденциальности такой информации, а также ответственность за ее разглашение. Ниже будут рассмотрены упомянутые законы.

Коммерческая тайна в соответствии с законом "О коммерческой тайне" определена как конфиденциальность информации. Данная конфиденциальность дает возможность обладателю коммерческой тайны получить при равных возможностях экономическую выгоду в виде сохранения на рынке, в виде увеличения доходов и сокращения расходов. Содержание коммерческой тайны - это экономическая, в том числе финансовая, научно-техническая, в том числе "ноу-хау", и производственная информация.

Чтобы вышеуказанная информация получила статус коммерческой тайны, в отношении этой информации обладателем должен быть введен режим коммерческой тайны. Кроме того, эта информация должна иметь действительную или потенциальную коммерческую ценность в силу того, она неизвестна никому, кроме ее обладателя. Также не должно быть свободного доступа к этой информации.

Режим коммерческой тайны определен в законе как меры, которые предпринимает ее обладатель для охраны ее конфиденциальности. Эти меры носят правовой, организационный, технический и иной характер.

В статье 4 закона содержится норма о том, кому принадлежит право решать, относится или нет информация к коммерческой тайне. Данное право принадлежит обладателю такой информации с учетом положения данного Закона.

Весьма важна для понимания совокупности норм закона статья 5, закрепляющая состав сведений, которые не могут составлять коммерческую тайну. Перечислим сведения, которые не могут составлять коммерческую тайну:

содержащихся в учредительных документах юридического лица, документах, подтверждающих факт внесения записей о юридических лицах и об индивидуальных предпринимателях в соответствующие государственные реестры;

содержащихся в документах, дающих право на осуществление предпринимательской деятельности;

о составе имущества государственного или муниципального унитарного предприятия, государственного учреждения и об использовании ими средств соответствующих бюджетов;

о загрязнении окружающей среды, состоянии противопожарной безопасности, санитарно-эпидемиологической и радиационной обстановке, безопасности пищевых продуктов и других факторах, оказывающих негативное воздействие на обеспечение безопасного функционирования производственных объектов, безопасности каждого гражданина и безопасности населения в целом;

о численности, о составе работников, о системе оплаты труда, об условиях труда, в том числе об охране труда, о показателях производственного травматизма и профессиональной заболеваемости, и о наличии свободных рабочих мест;

о задолженности работодателей по выплате заработной платы и по иным социальным выплатам;

о нарушениях законодательства Российской Федерации и фактах привлечения к ответственности за совершение этих нарушений;

об условиях конкурсов или аукционов по приватизации объектов государственной или муниципальной собственности;

о размерах и структуре доходов некоммерческих организаций, о размерах и составе их имущества, об их расходах, о численности и об оплате труда их работников, об использовании безвозмездного труда граждан в деятельности некоммерческой организации;

о перечне лиц, имеющих право действовать без доверенности от имени юридического лица;

обязательность раскрытия которых или недопустимость ограничения доступа к которым установлена иными федеральными законами.

Права обладателей коммерческой тайны закреплены в ст.7 Закона. Данные права приобретаются владельцем с момента установления режима коммерческой тайны для той или иной информации. Обладатель имеет следующие права:

устанавливать, изменять и отменять режим коммерческой тайны;

использовать информацию, составляющую коммерческую тайну, для собственных нужд;

разрешать или запрещать доступ к информации, составляющей коммерческую тайну, определять порядок и условия доступа к этой информации;

вводить в гражданский оборот информацию, составляющую коммерческую тайну, на основании договоров, предусматривающих включение в них условий об охране конфиденциальности этой информации;

требовать от юридических и физических лиц, получивших доступ к информации, составляющей коммерческую тайну, органов государственной власти, иных государственных органов, органов местного самоуправления, которым предоставлена информация, составляющая коммерческую тайну, соблюдения обязанностей по охране ее конфиденциальности;

требовать от лиц, получивших доступ к информации, составляющей коммерческую тайну, в результате действий, осуществленных случайно или по ошибке, охраны конфиденциальности этой информации;

защищать в установленном законом порядке свои права в случае разглашения, незаконного получения или незаконного использования третьими лицами информации, составляющей коммерческую тайну, в том числе требовать возмещения убытков, причиненных в связи с нарушением его прав.

Ст.10-13 Закона посвящены охране коммерческой тайны. Общими мерами обеспечения соблюдения конфиденциальности информации являются следующие:

разработка перечня информации, относящейся к коммерческой тайне;

ограничение и регламентирование доступа к носителям информации;

определение круга лиц, имеющих права доступа к информации;

разработка и закрепление правил по регулированию отношений по использованию информации, составляющей коммерческую тайну, в системе трудовых договоров, договоров с контрагентами;

нанесение на документы, договора, составляющие коммерческую тайну надписи "конфиденциальная информация", при этом необходимо указывать обладателя информации (место нахождения, наименование).

После принятия вышеуказанных мер режим коммерческой тайны считается установленным.

Кроме того, обладатель информации В статье 5 Федерального закона "Об информации, информационных технологиях и защите информации", признанной коммерческой тайной, вправе применить разрешенные, не противоречащие закону, методы и средства технической защиты носителей конфиденциальной информации.

Ст.11 Закона посвящена охране конфиденциальной информации в рамках трудовых правоотношений. Здесь работодатель для охраны коммерческой тайны обязан:

составить перечень информации, составляющей коммерческую тайну;

ознакомить с указанным перечнем под роспись всех сотрудников, доступ к коммерческой тайне которых необходим по долгу службы;

ознакомить под роспись сотрудников с режимом коммерческой тайны и мерой ответственности за его нарушение;

обеспечить условия для соблюдения режима коммерческой тайны на рабочих местах.

Получение работником сведений, составляющих коммерческую тайну, осуществляется только с его согласия, за исключением случая, когда получение таких сведений прямо предусмотрено его трудовыми обязанностями. В случае незаконного установления режима коммерческой тайны относительно информации, к которой работник получил доступ при исполнении им своих трудовых обязанностей, он может обжаловать это в суде.

Для защиты конфиденциальности информации работник должен придерживаться следующих правил. Он обязуется:

выполнять установленный в организации режим коммерческой тайны;

не разглашать сведения, составляющие коммерческую тайну, и не использовать без согласия работодателя и его контрагентов эти сведения в личных целях;

вернуть все имеющиеся у него документы, содержащие информацию, составляющую коммерческую тайну;

не разглашать вышеуказанные сведения после окончания трудового договора. Если между работником и работодателем было заключено соглашение о неразглашении коммерческой тайны с указанием срока такого неразглашения, то работник обязан хранить молчание по поводу коммерческой тайны в течение этого срока. Если данное соглашение не заключалось, то в течение трех лет с момента прекращения трудового договора.

При разглашении коммерческой тайны работник обязан возместить причиненный работодателю ущерб.

Федеральный закон от 27.07.06 № 152-ФЗ “О персональных данных” регулирует отношения по обработке информации, относящейся к физическим лицам (субъектам персональных данных), в государственных и муниципальных органах юридическими и физическими лицами (операторами). Рассмотрим положения данного Закона, касающиеся трудовых правоотношений.

К персональным данным относится любая информация о физическом лице: фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы и другая информация. Обработкой персональных данных признаются действия (операции) с ними, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в т. ч. передачу), обезличивание, блокирование, уничтожение данных.

Одной из важнейших норм Закона является обязанность оператора по обеспечению конфиденциальности персональных данных, полученных от субъекта, что подразумевает недопущение распространения такой информации без согласия на это субъекта, к которому они относятся. Есть и исключения: например, на обработку общедоступных персональных данных (т.е. уже содержащихся в открытых для общественности справочниках, адресных книгах) получения такого согласия не требуется. Также не требуется согласия субъекта и в том случае, если обработка его персональных данных осуществляется в целях исполнения договора, одной из сторон которого является данный субъект, в частности трудового договора. Что же касается хранения работодателем данных о лицах, с которыми его не связывают договорные отношения, то получение согласия на их обработку обязательно.

На обработку своих персональных данных субъект должен дать согласие, причем он имеет право его отозвать в любой момент. Согласие может быть выражено в устной или письменной форме - в зависимости от категории персональных данных, а также характера их обработки.

Согласие субъекта персональных данных в письменной форме требуется в следующих случаях:

при обработке специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни. Обрабатывать такие сведения без письменного согласия субъекта категорически запрещено (за исключением случаев, когда они являются общедоступными). Письменное согласие на подобные действия необходимо, даже если субъекта персональных данных и оператора связывают договорные отношения. В общественных объединениях или религиозных организациях обработка специальных категорий персональных данных членов (участников) осуществляется при условии, что персональные данные не будут распространяться без согласия субъектов, данного в письменной форме;

при обработке биометрических персональных данных - сведений, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность (сведения об особенностях строения папиллярных узоров пальцев рук человека, сетчатки глаз, о коде ДНК и т.д.). Это требование также должно соблюдаться независимо от наличия договорных отношений между субъектом персональных данных и оператором, кроме отношений, связанных с прохождением государственной гражданской службы;

при передаче персональных данных субъекта оператором через Государственную границу РФ органу власти иностранного государства, физическому или юридическому лицу иностранного государства, не обеспечивающему адекватную защиту прав субъекта персональных данных.

В соответствии с Законом "о персональных данных" письменное согласие субъекта на обработку его персональных данных должно включать:

фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

наименование (фамилия, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;

цель обработки персональных данных;

перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;

срок, в течение которого действует согласие, а также порядок его отзыва.

Оператор обязан предоставить субъекту персональных данных доступ к его данным в любой момент по просьбе субъекта. У субъекта есть право на получение следующей информации:

подтверждение факта обработки персональных данных оператором, а также цель такой обработки;

способы обработки персональных данных, применяемые оператором;

сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;

перечень обрабатываемых персональных данных и источник их получения;

сроки обработки персональных данных, в т. ч. сроки их хранения;

сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его данных.

В том случае, если оператор осуществляет обработку персональных данных с нарушением требований закона, субъект вправе обжаловать его действия в Федеральную службу по надзору в сфере связи, которая является уполномоченным органом по защите прав субъектов персональных данных, или в суд.

Что касается хранения персональных данных, то оно может реализовываться оператором как на материальных носителях, так и путем включения данных сведений в информационные системы персональных данных. Важно, что оператор при обработке подобной информации обязан принимать необходимые организационные и технические меры, в частности использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, от уничтожения, изменения, блокирования, копирования, распространения.

Вывод:

В ходе изучения законодательной базы в области защиты конфиденциальной информации комерчекого банка и защиты личных даных. Было расмотрена основная законодательная база каасаемая конфединцальности документобарота. На основании анализа законодательной базы были выявлены основные нормативныне документы в соответствии с которыми будет проводится реструктиризация документооборота банка.



Глава 2. Краткая характеристика коммерческого банка

Коммерческий банк -- кредитной учреждение, операции которого направлены на аккумуляцию денежных средств, на последующее их размещение на денежном рынке, а также выполнение поручений клиентов.

Коммерческие банки -- среднее звено кредитно-финансовой пирамиды. Они представляют собой своеобразные супермаркеты по торговле кредитами. Чтобы торговать кредитами нужно сначала собрать временно свободные денежные средства.

К финансовым ресурсам коммерческого банка относят уставной капитал не распределённые прибыли, привлеченные средства.

К основными функциям коммерческих банков относятся:

мобилизация временно свободных денежных средств и превращение их в капитал;

кредитование предприятий, государства и населения;

выпуск кредитных денег;

осуществление расчетов и платежей в хозяйстве;

эмиссионно-учредительская функция;

консультирование, предоставление экономической и финансовой информации.

Функции коммерческого банка -- в основном это привлечение средств на вклады за депозитный процент и их размещение в кредитах за ссудный процент. Но также существуют и другие, разносторонние функции КБ:

финансовые посредники, которые принимают средства физических и юридических лиц на условиях срочности, возвратности и платности (депозитный процент, который вкладчики банка получают по текущим, срочным и сберегательным счетам);

коммерческие банки кредитуют предприятия, организации и частных лиц, способствуют развитию экономики, структурным сдвигам в хозяйстве;

осуществляя операции с ценными бумагами, коммерческие банки способствуют развитию фондового рынка;

коммерческие банки выполняют роль консультантов своих клиентов по проведению отдельных банковских, экономических и фондовых операций.

Эффективность деятельности коммерческого банка в значительной степени зависит от его структуры. (Приложение 1)

Управленческая структура банка включает функциональные подразделения и службы, число которых определяется экономическим содержанием и объемом выполняемых банком операций, которые отражены в Лицензии на осуществление данным банком банковской деятельности.

административно-управляющие органы;

Общее собрание акционеров-высший орган управления в акционерном обществе, состоящий из акционеров--владельцев именных обыкновенных акций общества, а в некоторых случаях, предусмотренных Законом РФ «Об акционерных обществах», также из акционеров--владельцев привилегированных акций. Акционеры общества для решения вопросов, отнесенных к их компетенции Уставом общества и Законом РФ «Об акционерных обществах», собираются на свое общее собрание периодически, но не реже, чем раз в год .

Совет директоров -- это орган управления который образуется путем избрания его членов на общем собрании акционеров;

Основной функцией Совета директоров является осуществление руководства банком;

Правление банка-исполнительным органом управления, непосредственно руководящим деятельностью банка.

функциональные службы банка;

экономическое управление

Управление депозитов-финансовые инструменты, помещаемые для хранения в кредитные учреждения и подлежащие возврату внесшему их лицу на заранее оговорённых условиях

управление ценных бумаг - данное управление осуществляет прием, хранение, учет ценных бумаг, позволяя банку получать за эту работу определенное комиссионное вознаграждение.

операционные управление-основной функцией операционного управления является обслуживание клиентов, заключающееся в приеме от предприятий, организаций и отдельных лиц платежных документов на списание с их счетов денежных средств; приеме и выдаче расчетных чеков и последующем зачислении по ним денег на счета клиентов; проведении операций по аккредитивам, консультировании клиентов по вопросам правильного заполнения платежных документов, по тем или иным формам расчетов.

управление валютных операций-управление валютных операций является самостоятельным структурным подразделением банка и осуществляет свою деятельность под руководством начальника Управления.

ЗАДАЧИ УПРАВЛЕНИЯ:

Привлечение валютных средств за счет расширения клиентской базы и спектра предоставляемых услуг.

Координация и контроль за ведением операций с иностранными валютами в целом по банку.

Совершенствование обслуживания клиентов банка по валютным операциям.

Внедрение на основе собственной дилинговой базы новых перспективных направлений банковской деятельности.

Совершенствование работы на межбанковском валютном рынке.

управление кассовых операций;

управление но работе с филиальной сетью банка;

Эффективная организационная структура розничного бизнеса должна соответствовать ряду критериев. На взгляд автора, основными критериями эффективной организационной структуры розничного банка являются:

возможность выполнения задач, стоящих перед розничным банком, в том числе и получение прибыли;

ориентированность работы всех подразделений розничного банка на достижение вполне конкретных целей (доли рынка, доходности и др.);

гибкость и масштабируемость, возможность корректировки поставленных целей в зависимости от ситуации и вызовов времени без кардинальных изменений при коррекции как ситуации на рынке, так и поставленных задач;

минимизация внутренней вертикальной иерархии;

понятность и прозрачность структуры с позиции пруденциального регулирования со стороны Центрального Банка РФ и осуществления эффективного взаимодействия с ним;

отражение всех основных направлений работы банка и его специализации;

отсутствие избыточности;

отсутствие субъективной неудовлетворенности потребителей банковских услуг результатами деятельности банка;

управляемость, наличие четких параметров для оценки работы данной структуры.

внутренние службы банка;

организационно-административное управление;

управление по работе с персоналом;

обеспечивает набор сотрудников, повышение квалификации работников кредитного учреждения, прием, продвижение по службе и увольнение персонала.

отдел социально-хозяйственного обеспечения;

организация и управление офисными площадями

поддержание текущего состояния помещений и мебели в рабочем и имиджевом состоянии;

организация работы по текущему ремонту помещений, подбор подрядчиков, контроль хода выполнения работ;

управление бухучета и отчетности.

Бухгалтерский учет - это система непрерывного сплошного и взаимосвязанного наблюдения и контроля за хозяйственной деятельностью предприятия. Ведение бухучета строго документировано. Ни одна запись здесь не производится без точного оформления документа. Данные бухгалтерского учета используются для наблюдения и контроля за хозяйственной деятельностью предприятия.

Ведение бухгалтерского учета обеспечивает финансовую информацию по хозяйственным операциям, осуществляемым предприятием. Эта информация используется для принятия решения по наиболее эффективному распределению ресурсов. Ведение бухучета включает в себя регистрацию события, измерение, передачу информации.

Информаионный отдел.

Основными задачами отдела являются:

обеспечение функционирования информационных систем в установленной сфере деятельности;

автоматизация информационных технологических процессов;

обеспечение защиты информации в установленной сфере деятельности;

осуществление справочно-информационного сопровождения деятельности Управления и его структурных подразделений.

2.1 Формирование режима безопасности информации

С учетом угроз безопасности информации Банка режим защиты должен формироваться как совокупность способов и мер защиты циркулирующей в информационной среде Банка информации и поддерживающей ее инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, влекущих за собой нанесение ущерба владельцам или пользователям информации.

Комплекс мер по формированию режима обеспечения безопасности информации включает:

Установление в Банке организационно-правового режима обеспечения безопасности информации (разработку необходимых нормативных документов, работа с персоналом, правил делопроизводства);

Организационные и программно-технические мероприятия по предупреждению несанкционированных действий (доступа) к информационным ресурсам корпоративной информационной системы Банка;

Комплекс мероприятий по контролю функционирования средств и систем защиты информационных ресурсов ограниченного пользования после случайных или преднамеренных воздействий;

Комплекс оперативных мероприятий подразделений безопасности по предотвращению (выявлению) проникновения в Банк лиц, имеющих отношение к криминальным структурам.

Организационно-правовой режим предусматривает создание и поддержание правовой базы безопасности информации, в частности, разработку (введение в действие) следующих организационно-распорядительных документов:

Положение о коммерческой тайне. Указанное Положение регламентирует организацию, порядок работы со сведениями, составляющими коммерческую тайну Банка, обязанности и ответственность сотрудников, допущенных к этим сведениям, порядок передачи материалов, содержащих сведения, составляющим коммерческую тайну Банка, государственным (коммерческим) учреждениям и организациям;

Перечень сведений, составляющих служебную и коммерческую тайну. Перечень определяет сведения, отнесенные к категориям конфиденциальных, уровень и сроки обеспечения ограничений по доступу к защищаемой информации.

Приказы и распоряжения по установлению режима безопасности информации:

допуске сотрудников к работе с информацией ограниченного распространения;

назначении администраторов и лиц, ответственных за работу с информацией ограниченного распространения в корпоративной информационной системе;

Инструкции и функциональные обязанности сотрудникам:

по организации охранно-пропускного режима;

по организации делопроизводства;

по администрированию информационных ресурсов корпоративной информационной системы;

другие нормативные документы.

Организационно-технические мероприятия по защите информации ограниченного распространения от утечки по техническим каналам предусматривают:

комплекс мер и соответствующих технических средств, ослабляющих утечку речевой и сигнальной информации - пассивная защита;

комплекс мер и соответствующих технических средств, создающих помехи при съеме информации - активная защита;

комплекс мер и соответствующих технических средств, позволяющих выявлять каналы утечки информации - поиск.

Физическая охрана объектов информатизации включает:

организацию системы охранно-пропускного режима и системы контроля допуска на объект;

введение дополнительных ограничений по доступу в помещения, предназначенные для хранения информации ограниченного пользования;

визуальный и технический контроль контролируемой зоны объекта защиты; применение систем охранной и пожарной сигнализации.

Выполнение режимных требований при работе с информацией ограниченного пользования предполагает:

разграничение допуска к информационным ресурсам ограниченного пользования; разграничение допуска к ресурсам корпоративной информационной системы;

ведение учета ознакомления сотрудников с информацией ограниченного пользования;

включение в функциональные обязанности сотрудников обязательства о неразглашении и сохранности сведений ограниченного пользования;

организация уничтожения информационных отходов ;

оборудование служебных помещений сейфами, шкафами для хранения бумажных и магнитных носителей информации.

Мероприятия технического контроля предусматривают:

контроль за проведением технического обслуживания, ремонта носителей информации и средств вычислительной техники;

проверки определенной части поступающего оборудования, предназначенного для обработки информации ограниченного пользования, на наличие специально внедренных закладных программ и устройств;

оборудование компонентов и подсистем корпоративной информационной системы устройствами защиты от сбоев электропитания и помех в линиях связи;

защита выделенных помещений при проведении закрытых работ;

постоянное обновление технических и программных средств защиты от несанкционированного доступа к информации в соответствие с меняющейся оперативной обстановкой.

2.2 Оценка рисков информационных угроз безопасности защищённого документооборота

Оценка рисков информационных угроз безопасности защищённого документооборота

R(риск) = P(происшествия) Ч C(цена потери)

В методиках, рассчитанных на более высокие требования, используется модель оценки риска с тремя факторами: угроза, уязвимость, цена потери.

P(происшествия) = T(угрозы) Ч V(уязвимости)

Соответственно, риск рассчитывается по формуле .

R(риск)= T(угрозы) Ч V(уязвимости)Ч C(цена потери)

Таблица - Оценка рисков информационной безопасности

Наименование элемента информации	Цена информации	Вероятность угрозы	Вероятность уязвимости	Риск
Личные данные сотрудников	58000	0,6	0,8	27840
Личные данные клиентов	100000	0,6	0,8	48000
Приказы по личному составу	15000	0,8	0,4	4800
Банковские счета	500000	0,6	0,8	240000
Договора с клиентами	300000	0,8	0,6	144000
Договора с банками	500000	0,8	0,6	144000
Бухгалтерская отчётность	50000	0,2	0,8	8000
Деловая переписка	100000	0,8	0,4	32000
Сервер	350000	0,4	0,4	56000
Компьютер с спец.по	200000	0,4	0,4	32000
Информация об банковских картах	100000	0,8	0,8	64000
Бытовой мусор (документы, вышедшие из оборота)	5000	0,2	0.2	200
			Итого:	736640

Исходя из расчетов суммарный риск составляет 800840 рублей.

Вывод:

В данной главе была описана структуры комерческого банка было проведено структурирование защищаемой информации на рассматриваемом объекте, оценены риски угроз информационной безопасности. Результатом работы являются выработанные рекомендации по совершенствованию системы защищённого документооборота для туристической фирмы. В главе нашла свое отражение структурная схема комерческого банка, на основании которой можно вырабатывать правила организации документопотока.



Глава 3. Анализ документооборота банка

Документооборот в банке - комплекс банковских норм и правил, определяющих прохождение документов по подразделениям банков, порядок их обработки и оформления при совершении банковских операций.

Конфиденциальная информация - информация с ограниченным доступом, не содержащая сведений, составляющих государственную тайну, доступ к которой ограничивается в соответствии с законодательством Российской Федерации. В соответствии с Указам Президента РФ "Об утверждении перечня сведений конфиденциального характера", к конфиденциальной информации на рассматриваемом предприятии можно отнести сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность, а также сведения, связанные с коммерческой деятельностью, доступ к которым ограничен в соответствии с Гражданским кодексом Российской Федерации и федеральными законами.

Сотрудники банка выполняют следующие операции:

приеме и выдаче расчетных чеков;

проведении операций по аккредитивам;

консультировании клиентов;

хранение, учет ценных бумаг;

Для бумажных документов целесообразно ввести на предприятии следующие грифы:

"Коммерческая тайна", для документов, содержащих сведения, отнесённые на предприятии к коммерческой тайне;

"Конфиденциально", для документов, содержащих персональные данные.

Степень конфиденциальности сведений, содержащихся в документах имеющих грифы "Коммерческая тайна" и "Конфиденциально" может быть равна, однако, в соответствии со п.5 ст.10 закона "О коммерческой тайне", на документы содержащие коммерческую тайну необходимо наносить гриф "Коммерческая тайна", а не какой-либо другой.

Движение документов, содержащих конфиденциальные сведения, внутри организации.

Средства идентификации и аутентификации пользователей

В целях предотвращения работы с ресурсами информационной системы Банка посторонних лиц необходимо обеспечить возможность распознавания каждого легального пользователя. Для идентификации могут применяться различного рода устройства: магнитные карточки, ключи, ключевые вставки, дискеты и т.п.

Средства разграничения доступа

Технические средства разграничения доступа должны по возможности быть составной частью единой системы контроля доступа:

на контролируемую территорию; в отдельные помещения;

к компонентам информационной среды Банка и элементам системы защиты информации;

к информационным ресурсам ;

к активным ресурсам;

к операционной системе, системным программам и программам защиты.

Средства обеспечения и контроля целостности

Средства контроля целостности информационных ресурсов системы предназначены для своевременного обнаружения модификации или искажения ресурсов системы. Они позволяют обеспечить правильность функционирования системы защиты и целостность хранимой и обрабатываемой информации.

Криптографические средства защиты информации

Основными элементами системы, обеспечения безопасности информации Корпоративной информационной системы банка являются криптографические методы и средства защиты. Перспективным направлением, использования криптографических методов, является создание инфраструктуры безопасности и использованием открытых ключей.

Организация в Банке системы информационной безопасности на основе инфраструктуры с открытым ключом позволит решить следующие задачи, дающие преимущества бизнесу Банка:

организация обеспечения защищенного документооборота с использованием имеющихся систем, как внутри Банка, так и при взаимоотношениях с организациями-корреспондентами и клиентами Банка. Это позволит повысить эффективность и снизить накладные расходы на администрирование системы и использовать единые стандарты защиты данных;

возможность реализации системы информационной безопасности в Банке, централизованно контролируемой из центрального офиса Банка, при этом гибкой и динамически управляемой;

универсализация методов обеспечения доступа пользователей и защиты транзакций для системы электронной почты, автоматизированной банковской системы, системы дистанционного банковского обслуживания, системы доступа в Internet и других систем с использованием уже имеющихся в этих приложениях механизмов обеспечения информационной безопасности;

создание единого распределенного каталога учетных данных всех пользователей информационных систем Банка. Организация единого централизованно управляемого каталога позволит снизить расходы на администрирование и обеспечить оперативное управление учетными данными;

использование имеющихся реализаций российских криптографических алгоритмов в операциях с сертификатами и при защите электронного документооборота.

Все средства криптографической защиты информации в Банке должны строиться на основе базисного криптографического ядра, прошедшего всесторонние исследования специализированными организациями.

Ключевая система применяемых в Банке средств криптографической защиты информации должна обеспечивать криптографическую живучесть, разделение пользователей по уровням обеспечения защиты и зонам их взаимодействия между собой и пользователями других уровней.

Конфиденциальность и защита информации при ее передаче по каналам связи должна обеспечиваться также за счет применения в системе шифросредств абонентского шифрования. В корпоративной информационной системе, являющейся структурой с распределенными информационными ресурсами, также должны использоваться средства формирования и проверки электронной цифровой подписи, обеспечивающие целостность и юридически доказательное подтверждение подлинности сообщений, а также аутентификацию пользователей, абонентских пунктов и подтверждение времени отправления сообщений.

3.1 Анализ системы защиты конфиденциальной информации

С учетом всех требований и принципов обеспечения безопасности информации по всем направлениям защиты в состав системы защиты должны быть включены следующие средства:

средства разграничения доступа к данным;

средства криптографической защиты информации;

средства регистрации доступа к компонентам информационной системы и контроля за использованием информации;

средства реагирования на нарушения режима информационной безопасности;

средства снижения уровня и информативности побочных излучений, создаваемых компонентами информационной системы Банка, предназначенными для обработки закрытой информации;

средства снижения уровня акустических излучений;

средства маскировки от оптических средств наблюдения;

средства активного зашумления в радио и акустическом диапазонах.

На технические средства защиты возлагается решение следующих основных задач:

идентификация и аутентификация пользователей при помощи имен или специальных аппаратных средств ;

регламентация и управление доступом пользователей в помещения, к физическим и логическим устройствам;

защита от проникновения компьютерных вирусов и разрушительного воздействия вредоносных программ;

регистрация всех действий пользователя в защищенном журнале, наличие нескольких уровней регистрации;

Защита данных системы защиты на файловом сервере от доступа пользователей, в чьи должностные обязанности не входит работа с информации, находящейся на нем.

В данной работе в качестве начальных мер защиты документа оборота были выбраны следующие программно-аппаратные и инженерно-технические средства защиты информации.

3.1.1 ДБО BS-Client, «Банк-Клиент»

Отличительные особенности

ДБО - Дистанционное банковское обслуживание.

Программа использует любые системы коммуникации (в т.ч. по протоколу TCP/IP), наличие собственной транспортной подсистемы.

«Банк-Клиент» использует следующие сертификаты СКЗИ(Средства криптографической защиты информации), КриптоПро CSP R2, КриптоПро Etoken CSP, КриптоПро Рутокен CSP,Сигнал-Ком (продукты: СКЗИ Message Pro 3, Crypto Com 3.2, сервер сертификации Notary PRO).

Программа обладает удобным интерфейсом. Позволяет проводить добавление, изменение форм ввода, редактирования и печатных форм документов, вида экранов, иконок, панелей инструментов, правил ввода и редактирования, пользователей, меню, подключения справочников.

Наличие совместимости с бухгалтерскими системами, гибкость конфигурирования правил контроля документов АБО (автоматическое банковское обслуживание) и другим учетным базам данных.

Удаленное обновление клиентских частей - поддержка массовости внедрения системы.

К решаемым задачам относятся:

Доставка и обработка различных типов платежных и иных формализованных документов в обе стороны.

Обмен сообщениями произвольного формата.

Получение выписок в различных видах и форматах, а также других документов и информации из банка.

Построение расчетных и клиринговых систем в режиме реального или квазиреального времени.

Новостной сервис.

Конструктор документов.

Обмен юридически значимыми документами В2В между клиентами банка.

3.1.2 Kaspersky Business Space Security

Программа преднозначена для защиты рабочих станцй и файловые серверы от всех видов вирусов, троянских программ и червей, предотвращает вирусные эпидемии, а также обеспечивает сохранность информации и мгновенный доступ пользователей к сетевым ресурсам.

К перечню функций антивируса относятся:

Антивирусная защита ключевых узлов сети: рабочих станций, ноутбуков, файловых серверов и смартфонов

Оптимальное использование ресурсов компьютера благодаря новому антивирусному ядру

Расширенная проактивная защита рабочих станций и файловых серверов от новых вредоносных программ

Проверка электронной почты и интернет-трафика «на лету»

Персональный сетевой экран: защита при работе в сетях любого типа, включая Wi-Fi

Локальная защита от нежелательных писем и фишинга

Предотвращение кражи данных при потере смартфона

Защита файловых серверов под управлением Windows, Linux и Novell NetWare

Полноценная защита терминальных серверов и кластеров серверов

Распределение нагрузки между процессорами сервера

Полноценная поддержка 64-битных платформ

Kaspersky Business Space Security имеет сертификаты ФСБ и ФСТЭК России:

Cертификат №СФ/019-01021 Федеральной службы безопасности России удостоверяет, что Антивирус Касперского 6.0 для Windows Workstations соответствует требованиям к антивирусным средствам класса Б1с и может использоваться в органах государственной власти Российской Федерации для защиты информации, содержащей сведения, составляющие государственную тайну.

Cертификат №СФ/019-01023 Федеральной службы безопасности России удостоверяет, что Kaspersky Administration Kit 6.0 соответствует требованиям к антивирусным средствам класса А3с и может использоваться в органах государственной власти Российской Федерации для защиты информации, содержащей сведения, составляющие государственную тайну.

Cертификат №СФ/019-01022 Федеральной службы безопасности России удостоверяет, что Антивирус Касперского 6.0 для Windows Servers соответствует требованиям к антивирусным средствам класса А1с и может использоваться в органах государственной власти Российской Федерации для защиты информации, содержащей сведения, составляющие государственную тайну.

Cертификат №1385 ФСТЭК России удостоверяет, что Kaspersky Administration Kit 6.0 соответствует требованиям руководящего документа "Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей" (Гостехкомиссия России, 1999) - по 3 уровню контроля и требованиям технических условий.

Cертификат №1384 ФСТЭК России удостоверяет, что Антивирус Касперского 6.0 для Windows Workstation соответствует требованиям руководящего документа "Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей" (Гостехкомиссия России, 1999) - по 3 уровню контроля и требованиям технических условий.

Cертификат №1382 ФСТЭК России удостоверяет, что Антивирус Касперского 6.0 для Windows Servers соответствует требованиям руководящего документа "Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей" (Гостехкомиссия России, 1999) - по 3 уровню контроля и требованиям технических условий.

3.2 Рекомендации по улучшению защищённого документа оборота

Исходя из анализа современной ситуации в области документооборота, приведенные меры защиты недостаточны. Использование ДБО BS-Client, «Банк-Клиент» и Kaspersky Business Space Security является начальным этапом защиты и не предстовляет надёжной защиты информации банка. Для лучшей защиты предлагаются следующие организационно-аппаратные средства для защиты документооборота.

3.2.1 Организационно-правовые мероприятия

Организационно-правовые нормы обеспечения безопасности и защиты информации на любом предприятии отражаются в совокупности учредительных и организационных документов.

Банк имеет право:

определять состав, объем и порядок защиты конфиденциальной информации;

требовать от сотрудников защиты конфиденциальной информации;

осуществлять контроль за соблюдением мер обеспечения экономической безопасности и защиты конфиденциальной информации.

Банк обязан:

обеспечить экономическую безопасность и сохранность конфиденциальной информации;

осуществлять действенный контроль выполнения мер экономической безопасности и защиты конфиденциальной информации.

Необходимо в также добавить раздел "Конфиденциальная информация", который будет содержать следующее:

Общество организует защиту своей конфиденциальной информации.

Состав и объем сведений конфиденциального характера, и порядок их защиты определяются генеральным директором.

Внесение перечисленных дополнений даёт администрации банка право:

создавать организационные структуры по защите коммерческой тайны или возлагать эти функции на соответствующих должностных лиц;

издавать нормативные и распорядительные документы, определяющие порядок выделения сведений, составляющих коммерческую тайну, и механизмы их защиты;

включать требования по защите коммерческой тайны в договоры;

распоряжаться информацией, являющейся собственностью Банку, в целях недопущения экономического ущерба клиентам.

Администрация обязуется в целях недопущения нанесения экономического ущерба коллективу обеспечить разработку и осуществление мероприятий по защите конфиденциальной информации.

Трудовой коллектив принимает на себя обязательства по соблюдению установленных на фирме требований по защите конфиденциальной информации.

В раздел "Кадры. Обеспечение дисциплины труда" необходимо добавить: Администрация обязуется нарушителей требований по защите конфиденциальной информации привлекать к ответственности в соответствии с законодательством РФ.

Для защиты конфиденциальной информации в организации должны быть разработаны следующие нормативно-правовые документы:

перечень сведений, составляющих банковскую тайну;

договорное обязательство о неразглашении банковской тайны;

...