Разработка системы защищенного документооборота на примере коммерческого банка

инструкция по защите банковской тайны.

Защита информации, представленной в электронном виде, должна осуществляться в соответствии с требования РД ФСТЭК, и СТР-К .

В первую очередь следует разработать перечень сведений, составляющий коммерческую тайну

Сведения, включенные в Перечень, имеют ограниченный характер на использование. Ограничения, вводимые на использования сведений, составляющих коммерческую тайну, направлены на защиту интеллектуальной, материальной, финансовой собственности и других интересов, возникающих при организации трудовой деятельности работников её подразделений, а также при их сотрудничестве с работниками других предприятий.

Перечень должен доводиться не реже одного раза в год до всех сотрудников организации, которые используют в своей работе сведения, конфиденциального характера. Все лица принимаемы на работу в организацию, должны пройти инструктаж и ознакомиться с памяткой о сохранении конфиденциальной информации.

Сотрудник, получивший доступ к конфиденциальной информации и документам, должен подписать индивидуальное письменное договорное обязательство об их неразглашении. Обязательство составляется в одном экземпляре и хранится в личном деле сотрудника не менее 5 лет после его увольнения. При его увольнении из организации ему даётся подписка о неразглашении конфиденциальной информации организации.

Далее должна быть разработана инструкция, регламентирующая порядок доступа сотрудников к конфиденциальной информации, порядок создания, учёта, хранения и уничтожения конфиденциальной документов организации.

Аутентификация отдельных транзакций. Дополнительной мерой защиты может выступать использование многофакторной аутентификации не для получения доступа к системе web-банкинга, а для авторизации отдельных транзакций во время работы с ней. Способ обеспечивает частичную защиту от вредоносного ПО, работающего в уже открытой сессии пользователя. Для клиентов-физических лиц эта защита может считаться приемлемой ввиду удобства ее реализации: количество финансовых транзакций в рамках одной сессии в данном случае редко бывает значительным.

Оповещения о проведённых транзакциях. SMS и E-mail оповещения клиента о каждой транзакции могут также рассматриваться как средства борьбы с различными методами перехвата сессий работы с web-банкингом. Таким образом клиент всегда узнает о начале неправомерного использования его учётных данных. Кроме того, в соответствии с положениями нового закона? ФЗ-161, отсутствие уведомления клиента о совершённой транзакции рассматривается как безусловное перенесение ущерба от мошеннических операций на сторону банка.

Использование протокола SSL. Этот протокол позволяет обеспечить проверку подлинности сервера и шифрование сессии. Он применяется повсеместно в связи с тем, что реализован во всех современных браузерах, и позволяет избежать большого количества достаточно простых атак, таких как перехват аутентификационных данных или простые решения класса Man-in-the-Middle. В то же время протокол не обеспечивает защиту при компрометации браузера или подмене сертификатов корневых удостоверяющих центров на клиентских местах. Существуют также версии протокола с определенными слабостями и уязвимостями.

3.2.2 Программно-аппаратный комплекс «ТРИТОН»

Программно-аппаратный комплекс «ТРИТОН» предназначен для исследования технических возможностей организации и выявления несанкционированных сеансов связи (не декларируемых возможностей) с использованием стандартных радиоинтерфейсов - GSM-900/1800, CDMA, UMTS(3G), Wi-Max(4G), Bluetooth, Wi-Fi, ZigBee, DECT в системе проверки оргтехники.

Состав комплекса:

Приемопередающий модуль с автономным питанием, блоком направленных антенн, в переносном кейсе - 2 шт.

Выносной акустический излучатель - 1 шт.

Управляющий компьютер - 1 шт.

Комплект интерфейсных проводов - 1 шт.

Экранирующая каркасная палатка из радиоткани - 1 шт.

Принцип действия прибора основан на воздействии провоцирующего шумового радиосигнала на исследуемый предмет с последующим анализом реакции на это воздействие.

Задача заключается в том, чтобы шумовым сигналом расстроить синхронизацию закладного устройства, замаскированного под стандартные радиоинтерфейсы, находящиеся под «таймированием», и тем самым заставить выйти его в эфир для поиска утраченных каналов синхронизации.

Процесс исследования происходит следующим образом:

На месте исследования развертывается палатка из радиоткани, в которой размещается один из автономных переносных модулей, считающийся основным, и исследуемый объект, располагаемый в непосредственной близости от модуля.

Второй модуль располагается на определенном расстоянии и рассматривается как элемент разнесенного приема. Его цель - отсечь ложное, фоновое излучение и дать возможность однозначно идентифицировать принадлежность излучения к исследуемому объекту. Входящие в состав каждого модуля приемо-передающие блоки настроены на частотные диапазоны, соответствующие радиоинтрефейсам - GSM-900/1800, CDMA, UMTS(3G), Wi-Max(4G), Bluetooth, Wi-Fi, ZigBee, DECT.

Базовый модуль формирует шумовой провоцирующий сигнал на соответствующих частотах, как одновременно, так и выборочно, в течение установленного промежутка времени. Затем шумовой сигнал отключается и оба модуля переходят в режим приема с накоплением полученных результатов. По окончании сеанса приема полученные данные от обоих модулей передаются на управляющую ПВЭМ, где происходит их анализ. Формирование помехового сигнала и анализ электромагнитной обстановки могут производиться как последовательно по каждому диапазону, так и параллельно для любого количества диапазонов.

Технические характеристики:

Чувствительность приемников для всех диапазонов - не хуже минус 60 dBm

Максимальная мощность передатчиков:

GSM-900/1800 - 30 dBm

CDMA - 27 dBm

UMTS(3G) - 27 dBm

Wi-Max(4G) - 27 dBm

Bluetooth, Wi-Fi, ZigBee - 27 dBm

DECT - 27 dBm

Количество градаций регулировки мощности - 8

Время приема и накопления - от 1с до 30с, с шагом 1 с

Время облучения - от 0,5с до 10с, с шагом 100 мкс

3.2.3 Идентификаторы Rutoken

Электронный идентификатор Rutoken - это компактное устройство в виде USB-брелока, которое служит для авторизации пользователя в сети или на локальном компьютере, защиты электронной переписки, безопасного удаленного доступа к информационным ресурсам, а также надежного хранения персональных данных.

Rutoken разработан компаниями «Актив» и «Анкад» с учетом современных требований к устройствам защиты информации. Главным отличием Rutoken от зарубежных аналогов является аппаратно реализованный российский стандарт шифрования - ГОСТ 28147-89.

3.2.4 Clientless Endpoint

Clientless Endpoint защита. Это наиболее сложная технология, являющаяся развитием Clientless NAC-решений. Фактически она представляет собой работающий в браузере полноценный endpoint-клиент, позволяющий без установки дополнительного ПО обеспечивать базовую защиту клиентских мест на время сессии работы с web-банкингом. Данное направление только развивается, практика использования подобных решений очень невелика, однако их недостатки уже очевидны - это зависимость от версий ПО браузера и клиентских операционных систем, а также высокая стоимость владения.

Организационные меры, побуждающие клиентов к защите. Предложение клиентам ДБО льготных программ на покупку/аренду, к примеру, антивирусного ПО также может рассматриваться как одна из мер защиты клиентских рабочих мест.

3.2.5 NETDEFEND межсетевой экран

Устройства серии NetDefend представляют собой законченное решение в области безопасности, включающее встроенную поддержку межсетевого экрана, балансировки нагрузки, функций отказоустойчивости, механизма Zone-Defense, фильтрации содержимого, аутентификации пользователей, блокировки «мгновенных» сообщений и приложений Р2Р, защиты от атак «отказ в обслуживании» DoS. Эти устройства соответствуют требованиям предприятий к безопасности и удаленному доступу, обеспечивая высокопроизводительное решение по разумной цене. В межсетевых экранах гармонично объединены расширенные функции, предоставляющие администраторам сетей решение безопасности «все в одном» business-класса.

Сертификаты:

Сертификат Соответствия № РОСС TW.АЯ46.В08155

Санитарно-эпидемиологическое заключение № 77.01.16.403.П.048486.06.08 от 19.06.2008

Вывод:

Таким образом, анализируя аспекты системы документооборота коммерческого банка с позиции сегодняшнего дня, можно сказать, что эта система представляет несомненный интерес. Результатом работы являются выработанные рекомендации по совершенствованию системы защищённого документооборота для коммерческого банка.

К наиболее важным рекомендациям можно отнести:

Разработка нормативно-правовых документов:

перечень сведений, составляющих банковскую тайну;

договорное обязательство о неразглашении банковской тайны;

инструкция по защите банковской тайны.

Программно-аппаратный комплекс «ТРИТОН». Комплекс предназначен для выявления несанкционированных сеансов связи

Электронный идентификатор Rutoken - это компактное устройство в виде USB-брелока, которое служит для авторизации пользователя в сети

Clientless Endpoint позволяющий без установки дополнительного ПО обеспечивать базовую защиту клиентских мест на время сессии работы с web-банкингом.

Механизм Zone-Defense, фильтрации содержимого, аутентификации пользователей.

Заключение

В данной курсовой работе была рассмотрена проблематика защиты документооборота в коммерческом банке. Проведен анализ защищенности, из которого было вывялено следующее:

- компьютерные системы и ЭВМ не обладают достаточной защищенностью

- отсутствуют существенные методы защиты бумажных документов

После анализа безопасности, были разработаны предписания, по улучшению безопасности, которые позволят существенно снизить риск утечки и хищения информации, за счет реорганизации рабочих мест и введения правил пользования конфиденциальной информацией. На основании этих предписаний, была составлена инструкция по работе с документами. Она содержит ряд правил, которые позволят добиться следующих целей:

увеличение безопасности документооборота

ужесточение контроля за деятельностью сотрудников

увеличение сопротивления внешним угрозам

подавление деятельности компьютерных вирусов и хакеров

создание прозрачной системы с документированием всех операций

Побочным эффектом введения новой организации работы стало некоторое снижение эффективности персонала, за счет введения новых операций, которые раньше не выполнялись.

Актуальность данных исследований не имеет большой значимости, в связи с тем, что большинство методов защиты стандартизировано и не имеют теоретической новизны, а могут сразу быть использованы в готовом применении.

Список литературы

1. Макарова Н.В. Компьютерное делопроизводство: учеб. курс / Н.В. Макарова, Г.С. Николайчук, Ю.Ф. Титова. - СПб.: Питер, 2009. - 411 с.

2. Домарев В.В. Безопасность информационных технологий. Методология создания систем защиты. - М.: ДиаСофт, 2010. - 693 с.

3. Сабанов А.А. Некоторые аспекты защиты электронного документооборота // Connect, Мир связи. - 2010. - № 7. - С. 62-64.

4. Досмухамедов Б.Р. Анализ угроз информации систем электронного документооборота //Компьютерное обеспечение и вычислительная техника. - 2009. - № 6. - С. 140-143.

5. Щеглов А.Ю. Защита компьютерной информации от несанкционированного доступа. - М.: Наука и техника, 2011. - 384 с.

6. Зайченко Ю.П. Исследование операций: учеб. - 6-е изд., перераб. и доп. - Киев: Изд. Дом «Слово», 2009. - 688 с.

7. Аскеров Т.М. Защита информации и информационная безопасность / под общ. ред. К.И. Курбакова. - М.: Российская экономическая академия, 2010. - 386 с.

8. Кузнецов И.Н. Делопроизводство. - М.: Дашков и К, 2011. - 300 с.

9. Лопатникова Е.А. Делопроизводство: образцы документов с комментариями. - М.: Омега-Л, 2009. - 312 с.

10. Храмцовская Н.А. Информационная безопасность документооборота с точки зрения специалиста ДОУ. Сайт: http://eos.ru/eos/134718

11. Федеральный закон от 10 января 2002 г. N 1-ФЗ «Об электронной цифровой подписи»

12. Постановление правительства РФ от 22.09.2009 N 754 "Об утверждении Положения о системе межведомственного электронного документооборота"

13. Основы организации защищенного электронного документооборота ПФР (О. Строев, "Деловой Орел", N 11, март 2002 г.)

14. Глик, Д.И. Национальные стандарты в области электронного документооборота . М.: Секретарское дело, 2009. - 280 с.

15. Гельман-Виноградов К.Б. О сложностях трактовки понятия «документ» и способах их преодоления. М.: Демо, 2009. - 200 с.

16. Витин Ю.Г. От документооборота классического - к электронному. М.: Омега, 2010. - 285 с.

17. Бобылева М.П. Эффективный документооборот: от традиционного к электронному. М.: Издательство МЭИ, 2010, - 49 с.

18. Бобылева М.П. Вопросы использования элементов электронного документооборота внутри организации. М.: Центр, 2011.- 158 с.

19. ГОСТ Р 51141-98

1. Федеральным законом от 21.07.2005 N 93-ФЗ

2. Федеральный закон Российской Федерации от 2 декабря 1990 г. N 395-1http://rg.ru/1996/02/10/o-bankax-dok.html

3. ФЕДЕРАЛЬНЫЙ ЗАКОН "О БАНКАХ И БАНКОВСКОЙ ДЕЯТЕЛЬНОСТИ" от 02.12.1990 N 395-1 http://www.consultant.ru/popular/bank/

4. http://www.exler.ru/expromt/23-05-2

5. Вялова Л. Б. Делопроизводство. М.: МЦФЭР, 2009. - 200 с.

6. Андреева В. Л. Делопроизводство. Организация и ведение. М.: Кнорус, 2012. - 289 с.

7. Семенихин В. Ю. Документооборот и первичные документы в бухгалтерском учете. М.: Маркет ДС, 2012. - 242 с.

8. «ГОСТ Р 34.10-2001. Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи».

9. Демин Ю. Ф. Делопроизводство. Подготовка служебных документов. СПб.: Питер, 2009. - 255 с.

10. Федеральный закон 131-ФЗ. Об общих принципах организации местного самоуправления в Российской Федерации.

11. Басаков М. В. Современное делопроизводство. М.: Феникс, 2012.-248с.

Приложение

Структура коммерческого банка.

Размещено на Allbest.ru