Разработка частной модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных

Размещено на http://www.allbest.ru/

Разработка частной модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных

Обозначения и сокращения

персональный угроза банк информационный

АРМ - автоматизированное рабочее место

ВИ - видовая информация

ВТСС - вспомогательные технические средства и системы

ИСПДн - информационная система персональных данных

КЗ - контролируемая зона

МЭ - межсетевой экран НДВ - недекларированные возможности

НСД - несанкционированный доступ

ОБПДн - обеспечение безопасности персональных данных

ОС - операционная система

ПДн - персональные данные

ПМВ - программно-математическое воздействие

ПО - программное обеспечение

ПЭМИН - побочные электромагнитные излучения и наводки

РИ - речевая информация

СЗИ - средство защиты информации

СПИ - стеганографическое преобразование информации

СЭУПИ - специальные электронные устройства перехвата информации

ТКУИ - технический канал утечки информации

ТСОИ - технические средства обработки информации

УБПДн - угрозы безопасности персональных данных.

БИС-банковская информационная система

Термины и определения

В настоящем документе используются следующие термины и их определения:

Безопасность персональных данных - состояние защищенности персональных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке в информационных системах персональных данных.

Блокирование персональных данных - временное прекращение сбора, систематизации, накопления, использования, распространения, персональных данных, в том числе их передачи.

Вирус (компьютерный, программный) - исполняемый программный код или интерпретируемый набор инструкций, обладающий свойствами несанкционированного распространения и самовоспроизведения. Созданные дубликаты компьютерного вируса не всегда совпадают с оригиналом, но сохраняют способность к дальнейшему распространению и самовоспроизведению.

Вредоносная программа - программа, предназначенная для осуществления несанкционированного доступа и (или) воздействия на персональные данные или ресурсы информационной системы персональных данных.

Вспомогательные технические средства и системы - технические средства и системы, не предназначенные для передачи, обработки и хранения персональных данных, устанавливаемые совместно с техническими средствами и системами, предназначенными для обработки персональных данных или в помещениях, в которых установлены информационные системы персональных данных.

Доступ к информации - возможность получения информации и ее использования.

Защищаемая информация - информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации.

Идентификация - присвоение субъектам и объектам доступа идентификатора и (или) сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов.

Информационная система персональных данных - информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования так средств.

Информационные технологии - процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способ осуществления таких процессов и методов.

Несанкционированный доступ (несанкционированные действия) - доступ к информации или действия с информацией, нарушающие правила разграничения доступа с использованием штатных средств, предоставляемых информационными системами персональных данных.

Обработка персональных данных - действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.

Персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

Пользователь информационной системы персональных данных - лицо, участвующее в функционировании информационной системы персональных данных или использующее результаты ее функционирования.

Субъект доступа (субъект) - лицо или процесс, действия которого регламентируются правилами разграничения доступа.

Угрозы безопасности персональных данных - совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных.

Утечка (защищаемой) информации по техническим каналам - неконтролируемое распространение информации от носителя защищаемой информации через физическую среду до технического средства, осуществляющего перехват информации.

Целостность информации - способность средства вычислительной техники или информационной системы обеспечивать неизменность информации в условиях случайного и/или преднамеренного искажения (разрушения).

Введение

Настоящий документ подготовлен в рамках выполнения работ по построению системы защиты персональных данных (далее - СЗПДн), не содержащей сведений, составляющих государственную тайну, банковской системы (далее - БИС).

Настоящий документ содержит модель угроз для типовой БИС (далее - модель угроз).

Разработка модели угроз является необходимым условием формирования обоснованных требований к обеспечению безопасности информации БИС и проектирования СЗПДн БИС. Модель угроз - документ, использующийся для:

анализа защищенности ИСПДн от угроз безопасности ПДн в ходе организации и выполнения работ по обеспечению безопасности ПДн; разработки системы защиты ПДн, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты ПДн, предусмотренных для соответствующего класса ИСПДн; проведения мероприятий, направленных на предотвращение несанкционированного доступа к ПДн и (или) передачи их лицам, не имеющим права доступа к такой информации; недопущения воздействия на технические средства ИСПДн, в результате которого может быть нарушено их функционирование; контроля обеспечения уровня защищенности персональных данных.

Модель угроз для ИСПДн БИС разрабатывается в соответствии со следующими нормативными и методологическими документами:

Федеральный закон от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;

Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных»;

Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденное постановлением Правительства Российской Федерации от 17 ноября 2007 года № 781;

Порядок проведения классификации информационных систем персональных данных, утвержденный приказом ФСТЭК России, ФСБ России и Мининформсвязи России от 13 февраля 2008 года № 55/86/20 (зарегистрирован Минюстом России 3 апреля 2008 года, регистрационный № 11462);

Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (Утверждена

Заместителем директора ФСТЭК России 15 февраля 2008г.);

Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных (Утверждена Заместителем директора ФСТЭК России 14 февраля 2008г.). В процессе развития БИС предполагается конкретизировать и пересматривать модель угроз для БИС.

При разработке модели угроз для БИС учитывается:

БИС является специальной информационной системой т.к., в ней обрабатываются персональные данные, носящие личностный характер: фамилия, имя, отчество; год, месяц, дата и место рождения; пол; адрес; номер контактного телефона; паспортные данные (данные иных документов, удостоверяющих личность); гражданство; адрес электронной почты; данные о регистрации; данные, содержащиеся в трудовой книжке; данные страхового свидетельства обязательного пенсионного страхования, карты мигрантов/разрешения на работу, свидетельства ИНН и водительского удостоверения, документов воинского учета; данные документа об образовании, о квалификации или наличии специальных знаний; семейное положение; социальное положение; данные о жилищных условиях; имущественное положение; образование; данные о трудовой деятельности; доходы, данные о финансовых обязательствах; наличие фактов привлечения к уголовной, гражданской и административной ответственности; состояние здоровья (сведения, которые относятся к вопросу о возможности выполнения работником трудовой функции).

Общие положения

Разработка Частной модели угроз безопасности персональных данных в информационной системе персональных данных АО «Банк Интеза» (далее - ИСПДн) , проведена в соответствии с требованиями следующих документов:

ѕ Федеральный закон от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;

ѕ Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных»;

ѕ Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденное постановлением Правительства Российской Федерации от 17 ноября 2007 года № 781 (далее - Положение);

ѕ Порядок проведения классификации информационных систем персональных данных, утвержденный приказом ФСТЭК России, ФСБ России и Мининформсвязи России от 13 февраля 2008 года № 55/86/20 (зарегистрирован Минюстом России 3 апреля 2008 года, регистрационный № 11462) (далее - Порядок);

ѕ Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (Утверждена Заместителем директора ФСТЭК России 15 февраля 2008г.);

ѕ Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных (Утверждена Заместителем директора ФСТЭК России 14 февраля 2008г.).

Частная модель угроз используется при разработке системы защиты персональных данных, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты персональных данных, предусмотренных для соответствующего класса ИСПДн. данных, предусмотренных для соответствующего класса ИСПДн.

1.Описание информационной системы персональных данных

1.1Настоящее Положение об обработке и обеспечении безопасности персональных данных (далее - Положение) определяет цели и способы обработки персональных данных в АО «Банк Интеза» (далее - Банк), устанавливает порядок обработки и обеспечения безопасности персональных данных в Банке и учитывает требования 152-ФЗ «О персональных данных», и иных нормативных и правовых актов в сфере обработки и обеспечения безопасности персональных данных.

Требования настоящего Положения распространяются на все процессы и информационные системы, в которых осуществляется обработка персональных данных, в центральном офисе и региональной сети Банка.

Положение обязательно для исполнения всеми работниками Банка, внешними совместителями и лицами, являющимися стороной по договору гражданско-правового характера или договору об оказании услуг, участвующими в процессе обработки и обеспечении безопасности персональных данных в Банке.

Персональные данные относятся к сведениям конфиденциального характера. Необходимость обеспечения конфиденциальности персональных данных снимается в случаях обработки обезличенных или общедоступных персональных данных или в случаях, предусмотренных законодательством Российской Федерации (РФ).

Перечень информационных систем персональных данных Банка и перечень подразделений, использующих данные системы, определен во внутреннем регулирующем документе «Реестр информационных систем персональных данных» 205 ND. Перечень персональных данных, обрабатываемых в Банке, с указанием сроков их хранения приведен во внутреннем регулирующем документе 201 ND «Перечень обрабатываемых персональных данных». Данные документы должны учитывать любые изменения в составе информационных систем и обрабатываемых в них персональных данных и актуализироваться по мере необходимости.

Порядок обработки запросов субъектов персональных данных (или их представителей), а также уполномоченного органа по защите прав субъектов персональных данных или иных надзорных органов, осуществляющих контроль и надзор в области персональных данных, по вопросам обработки персональных данных в Банке определен во внутреннем регулирующем документе Банка «Регламент действий при получении запросов об обработке персональных данных» 381 ND.

Все лица, осуществляющие обработку и защиту персональных данных в Банке, в обязательном порядке должны быть ознакомлены с настоящим Положением, знать и соблюдать приведенные в нем требования.

Цели и способы обработки персональных данных

Банк осуществляет обработку персональных данных следующих категорий субъектов персональных данных:

-кандидаты на вакантные должности;

-работники Банка;

-работники АО «Интеза Лизинг»;

-близкие родственники работников Банка (и члены семьи);

-близкие родственники работников АО «Интеза Лизинг» (и члены семьи);

-контрагенты - физические лица, индивидуальные предприниматели, лица, с которыми заключены гражданско-правовые договоры;

-родственники, члены семьи контрагентов-физических лиц (супруги);

-члены Совета директоров Банка;

-представители контрагентов - юридических лиц (в т.ч. банков-партнеров, банковкорреспондентов);

-клиенты - физические лица (в т.ч. заемщики, залогодатели, поручители и т.д.);

-близкие родственники клиентов - физических лиц (и члены семьи);

-клиенты - ИП, лица, занимающиеся в установленном законодательством РФ порядке частной практикой;

-представители клиентов - юридических лиц (в т.ч. бенефициарных владельцев);

-косвенные участники сделок с клиентами Банка (продавцы недвижимости-объекта залога и зарегистрированные лица);

-клиенты банков - отправителей платежных документов;

-посетители сайтов Банка;

-пользователи мобильного приложения;

-практиканты.

Целями обработки персональных данных в Банке являются:

-рассмотрение резюме и подбор кандидатов на вакантные должности для дальнейшего трудоустройства в Банк;

-реализация политики Банка по управлению конфликтом интересов, содействие в трудоустройстве, обучении и продвижении по службе;

-соблюдение трудового, налогового и пенсионного законодательства РФ;

-выполнение обязательств по договорным отношениям и/или рассмотрение возможности дальнейшего взаимодействия;

-расчет и начисление заработной платы;

-контроль количества и качества выполняемой работы;

-обеспечение сохранности имущества Банка; организация деловых поездок (командировок);

-обеспечение личной безопасности;

-предоставление различного вида льгот и гарантий в соответствии с законодательством РФ и внутренними регулирующими документами Банка;

-поддержание корпоративной культуры Банка;

-предоставление банковских услуг и/или рассмотрение возможности их предоставления;

-предоставление информационных услуг для продвижения услуг Банка;

-ведение справочных и клиентских баз для повышения качества обслуживания;

-проверка любых предоставленных сведений (и получение, при необходимости, дополнительных сведений в пределах, разрешенных применимым законодательством РФ) в государственных и/или иных органах/организациях;

-защита интересов Банка при неисполнении и/или ненадлежащем исполнении обязательств по заключенным с Банком договорам/соглашениям;

-осуществление функций, возложенных на Банк законодательством РФ, нормативными актами Банка России, а также внутренними регулирующими документами Банка;

-оказание услуг по бухгалтерскому учету, кадровых услуг и делопроизводства на основании договора аутсорсинга.

-прохождение учебной или производственной практики.

Банк не имеет права получать и обрабатывать персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, за исключением случаев, предусмотренных законодательством РФ.

Перечень действий с персональными данными, которые могут осуществляться Банком при обработке персональных данных субъектов:

-сбор;

-запись;

-систематизация;

-накопление;

-хранение;

-уточнение (обновление, изменение);

-извлечение;

-использование;

-передача (распространение, предоставление, доступ);

-обезличивание;

-блокирование;

- удаление;

-уничтожение.

Банк осуществляет обработку персональных данных, как с использованием средств автоматизации, так и без использования таких средств.

Условия и принципы обработки персональных данных

Обработка персональных данных в Банке осуществляется только с соблюдением следующих условий:

-после получения согласия субъекта персональных данных, за исключением случаев, предусмотренных законодательством РФ;

-после принятия необходимых мер по защите персональных данных.

Содержание, объем и способы обработки персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

При обработке персональных данных должны быть обеспечены их точность, достаточность и актуальность по отношению к целям обработки персональных данных. Необходимо принимать меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.

Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях несовместимых между собой.

Банк не имеет права основываться на персональных данных, полученных исключительно в результате их автоматизированной обработки или электронного получения, при принятии решений, затрагивающих интересы субъекта и порождающих юридические последствия.

Работникам, получившим доступ к персональным данным, обрабатываемым в Банке, запрещается раскрывать их работникам Банка, не имеющим отношение к обработке персональных данных, а также третьим лицам (не являющимся работниками или внешними совместителями Банка) и распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законодательством РФ.

В целях организации трудового взаимодействия и поддержания корпоративной культуры в Банке могут создаваться общедоступные источники персональных данных. Сведения о работниках включаются в данные источники только после получения соответствующего согласия (см. Приложение 1 настоящего Положения).

Сроки хранения персональных данных не должны быть дольше, чем этого требуют цели обработки персональных данных, или должны определяться в соответствии с требованиями федеральных законов, сроками действия договоров стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.

Определение степени исходной защищенности

Под уровнем исходной защищенности ИСПДн понимается обобщенный показатель, зависящий от технических и эксплуатационных характеристик ИСПДн. Технические и эксплуатационные характеристики ИСПДн АО «Банк Интеза», определяющие степень исходной защищённости, приведены в Таблице 1

Таблица 1 -- Характеристики исходной защищенности ИСПДн «Республиканская клиническая больница №

Технические и эксплуатационные характеристики ИСПДн	Уровень защищенности
	высокий	средний	низкий
1. По территориальному размещению:
локальная (кампусная) ИСПДн, развернутая в пределах нескольких близко расположенных зданий		+
2. По наличию соединения с сетями общего пользования:
ИСПДн, имеющая одноточечный выход в сеть общего пользования	+
3. По встроенным (легальным) операциям с записями баз персональных данных:
модификация, передача	+
4. По разграничению доступа к персональным данным:
ИСПДн, к которой имеют доступ определенные перечнем сотрудники организации, являющейся владельцем ИСПДн, либо субъект ПДн;	+
5. По наличию соединений с другими базами ПДн иных ИСПДн:
интегрированная ИСПДн (организация использует несколько баз ПДн ИСПДн, при этом организация не является владельцем всех используемых баз ПДн)	+
6. По уровню обобщения (обезличивания) ПДн:
ИСПДн, в которой предоставляемые пользователю данные не являются обезличенными (т.е. присутствует информация, позволяющая идентифицировать субъекта ПДн)		+
7. По объему ПДн, которые предоставляются сторонним пользователям ИСПДн без предварительной обработки:
ИСПДн, предоставляющая часть ПДн	+

Для ИСПДн АО «Банк Интеза» 80% характеристик соответствуют высокому уровню защищенности. Таким образом ИСПДн АО «Банк Интеза» имеет высокую степень защищенности (числовой показатель Y₁ = 10).

2. Модель нарушителя безопасности персональных данных

2.1Методика формирования модели нарушителя

Для определения перечня актуальных нарушителей безопасности ПДн и их возможностей выполняется:

-классификация потенциальных нарушителей;

-определение перечня доверенных лиц;

-определение перечня актуальных нарушителей из числа потенциальных нарушителей;

-определение возможностей актуальных нарушителей.

Классификация потенциальных нарушителей

При определении потенциальных нарушителей безопасности все физические лица классифицируются по следующим признакам:

наличие санкционированного физического доступа к техническим средствам ИСПДн;

наличие санкционированного логического доступа к ИСПДн;

Таким образом, выделяется четыре основных типа потенциальных нарушителей (Н.1.1--Н.2.2), представленных в таблице 2.

Таблица 2 -- Основные типы потенциальных нарушителей

	Логический доступ
	санкционирован	не санкционирован
Физический доступ	санкционирован	Н.1.1 Администратор ИСПДн Администратор ИБ ИСПДн Администраторы подсистем ИСПДн Пользователь ИСПДн	Н.1.2 Охрана Персонал обслуживающих организаций Работники организации, не допущенные к ПДн
	не санкционирован	Н.2.1 Удаленный пользователь Персонал поставщика аутсорсинговых услуг	Н.2.2 Посторонние лица (имеют доступ к ССОП и внешним каналам связи) Посетитель

Сопоставление категорий и типов нарушителей данной Модели угроз методическому документу ФСТЭК России «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных» приведено в приложении А.

Доверенные лица

С целью обеспечения доверия к физическим лицам и внешним организациям, на которых возложена ответственность за сопровождение технических или программных средств, либо ответственность за обеспечение информационной или физической безопасности, проводятся дополнительные мероприятия:

-проверка благонадежности и наличия необходимой квалификации;

-непрерывный контроль деятельности;

-программы повышения лояльности;

-ознакомление с документами, регламентирующими порядок обеспечения информационной безопасности и объектового режима;

-информирование об ответственности за нарушения в области информационной безопасности;

-подписание соглашений о неразглашении информации ограниченного распространения.

Выполнение указанного комплекса мероприятий позволяет отнести к доверенным следующие категории физических лиц:

-Администраторы ИСПДн (Н.1.1.1);

-Администраторы информационной безопасности ИСПДн (Н.1.1.3);

-Сотрудники охраны (Н.1.2.2);

-Сотрудники организаций, осуществляющих техническое сопровождение и гарантийный ремонт технических средств ИСПДн (Н.1.2.4, Н.1.2.5).

Оценка актуальности нарушителей

Исходя из перечня доверенных лиц, технических особенностей ИСПДн, организационно-штатной структуры Организации и характера взаимоотношений с внешними структурами проведена оценка актуальности категорий потенциальных нарушителей. Результаты оценки приведены в таблице 3.

Таблица 3 -- Оценка актуальности категорий нарушителей

Индекс	Категория нарушителя	Оценка актуальности категории нарушителя
Н.1	Лица, имеющие санкционированный физический доступ к техническим средствам ИСПДн
Н.1.1	Лица, имеющие санкционированный логический доступ к ИСПДн
Н.1.1.1	Администраторы ИСПДн	Данная категория не является актуальной. Администратор ИСПДн относится к доверенным лицам
Н.1.1.2	Администраторы подсистем (сегментов)ИСПДн (ЛВС, СУБД и др.)	Данная категория не является актуальной. Администраторы сегментов или подсистем в ИСПДн отсутствуют
Н.1.1.3	Администраторы информационной безопасности ИСПДн	Данная категория не является актуальной. Администратор информационной безопасности ИСПДн относится к доверенным лицам
Н.1.1.4	Администраторы информационной безопасности сегментов ИСПДн	Данная категория не является актуальной. Администраторы безопасности сегментов или подсистем в ИСПДн отсутствуют
Н.1.1.5	Представители организаций, осуществляющих техническую поддержку ИСПДн на основании договора, прибывшие на объект с целью исполнения договорных обязательств	Данная категория не является актуальной.
Н.1.1.6	Сотрудники, допущенные к обработке ПДн в ИСПДн (внутренние пользователи ИСПДн)	Данная категория является актуальной. В ИСПДн имеются внутренние пользователи
Н.1.1.7	Представители внешних организаций, которым предоставлен доступ к ИСПДн на основании договора или партнёрского соглашения, прибывшие на объект в деловых целях	Данная категория не является актуальной. Сотрудникам внешних организаций не представляется доступ к ИСПДн
Н.1.2	Лица, не имеющие санкционированного логического доступа к ИСПДн
Н.1.2.1	Сотрудники учреждения, не допущенные к обработке персональных данных, технический и обслуживающий персонал, в том числе работники хозяйственных служб, сотрудники, обслуживающие системы вентиляции, электроснабжения, пожаротушения и др.	Данная категория является актуальной.
Н.1.2.2	Сотрудники внешних охранных предприятий, действующих на основании договора	Данная категория не является актуальной. Сотрудники внешних охранных предприятий, оказывающих услуги на основании договора, являются доверенными лицами
Н.1.2.3	Посетители, представители внешних организаций, частные лица, устраивающиеся на работу и др.	Данная категория не является актуальной.
Н.1.2.4	Представители внешних организаций, действующих на основании договора, прибывшие на объект для проведения регламентного обслуживания и гарантийного ремонта технических средств ИСПДн	Данная категория не является актуальной. Сотрудники внешних организаций, осуществляющих обслуживание и ремонт технических средств ИСПДн на основании договора, являются доверенными лицами
Н.1.2.5	Сотрудники организаций, осуществляющих техническое сопровождение и гарантийный ремонт технических средств ИСПДн за пределами объекта информатизации	Данная категория не является актуальной. Сотрудники организаций, осуществляющих техническое сопровождение и гарантийный ремонт технических средств ИСПДн, являются доверенными лицами
Н.1.2.6	Производители технических средств ИСПДн, имеющие полный физический доступ к разрабатываемым компонентам до момента поставки оборудования в ИСПДн	Данная категория является актуальной.
Н.2	Лица, не имеющие санкционированного физического доступа к техническим средствам ИСПДн
Н.2.1	Лица, имеющие санкционированный логический доступ к ИСПДн
Н.2.1.1	Представители организаций, выполняющих работы по технической поддержке ИСПДн на основании договора, осуществляющие удалённый доступ к ИСПДн с помощью технических средств, не входящих в состав ИСПДн	Данная категория является актуальной.
Н.2.1.2	Зарегистрированные пользователи ИСПДн, осуществляющие удалённый доступ к ИСПДн с помощью технических средств, не входящих в состав АС	Данная категория является актуальной.
Н.2.1.3	Незарегистрированные (анонимные) пользователи ИСПДн, осуществляющие удалённый доступ к не требующим аутентификации областям ИСПДн с помощью технических средств, не входящих в состав ИСПДн	Данная категория является актуальной.
Н.2.2	Лица, не имеющие санкционированного логического доступа к ИСПДн
Н.2.2.1	Представители организаций, предоставляющих услуги связи, имеющие доступ к используемым ИСПДн каналам передачи данных	Данная категория не является актуальной.
Н.2.2.2	Посторонние лица, имеющие доступ к сетям связи общего пользования и каналам передачи данных за пределами контролируемой зоны	Данная категория является актуальной.
Н.2.2.3	Посторонние лица, имеющие возможность удалённого съёма информации с технических средств ИСПДн из-за пределов контролируемой зоны	Данная категория является актуальной
Н.2.2.4	Разработчики программного обеспечения ИСПДн, имеющие полный логический доступ к разрабатываемым программным компонентам до момента поставки ПО в ИСПДн и в процессе его обновления	Данная категория не является актуальной.

3. Угрозы безопасности персональных данных

Классификация угроз

В данной Модели угроз используется классификация угроз безопасности по следующим категориям:

- угрозы несанкционированного доступа к информации, обусловленные наличием физического доступа к техническим средствам ИСПДн (У.1);

- угрозы несанкционированного доступа (несанкционированных действий) к информации, обусловленные наличием логического доступа к ИСПДн (У.2);

- угрозы, несанкционированного доступа к информации, реализуемые с использованием сетевых протоколов (У.3);

- угрозы, обусловленные наличием недекларированных возможностей в прикладном или системном ПО (У.4);

- угрозы утечки информации по техническим каналам (У.4);

- угрозы неантропогенного характера (У.6).

Перечень и описание угроз

Перечень рассматриваемых угроз безопасности персональных данных и их описание приведены в таблице 5.

Сопоставление категорий и типов угроз данной Модели угроз методическому документу ФСТЭК России «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных» приведено в приложении Б.

Таблица 5 -- Перечень угроз безопасности персональных данных

Индекс угрозы	Наименование угрозы	Описание угрозы
У.1	Угрозы несанкционированного доступа к информации, обусловленные наличием физического доступа к техническим средствам ИСПДн
У.1.1	Угрозы кражи носителей информации	Реализация угрозы обусловлена халатностью персонала, недостаточностью принятых мер физической охраны помещений ИСПДн, а также нарушениями требований организационно-распорядительной документации. Реализация угрозы может привести к нарушению конфиденциальности, целостности и доступности информации.
У.1.2	Угрозы утери носителей информации	Реализация угрозы обусловлена халатностью персонала и нарушениями требований организационно-распорядительной документации. Реализация угрозы может привести к нарушению конфиденциальности, целостности и доступности информации.
У.1.3	Угроза утери персональных идентификаторов	Реализация угрозы обусловлена халатностью персонала и нарушениями требований организационно-распорядительной документации. Реализация угрозы может привести к нарушению конфиденциальности, целостности и доступности информации.
У.1.4	Угрозы, обусловленные загрузкой АРМ/сервера с нештатного носителя	Реализация угрозы обусловлена халатностью персонала, несоблюдением требований организационно-распорядительной документации, неконтролируемым пребыванием посторонних лиц в помещения, где размещены технические средства ИСПДн. Реализация угрозы может привести к нарушению конфиденциальности, целостности и доступности информации.
У.1.5	Угроза получения логического доступа к ИСПДн ввиду оставленных без присмотра терминалов	Реализация угрозы обусловлена халатностью персонала и нарушениями требований организационно-распорядительной документации. Реализация угрозы может привести к нарушению конфиденциальности, целостности и доступности информации.
У.1.6	Угроза внедрения аппаратных закладок	Реализация угрозы обусловлена несоблюдением требований организационно-распорядительной документации, недостаточностью принятых мер по физической охране, халатностью персонала. Реализация угрозы может привести к нарушению конфиденциальности, целостности и доступности информации.
У.1.7	Угроза преднамеренного уничтожения (повреждения) технических средств и/или каналов связи ИСПДн	Реализация угрозы обусловлена недостаточностью принятых мер физической охраны помещений: неконтролируемым пребыванием посторонних лиц в помещения, где размещены технические средства ИСПДн. Реализация угрозы может привести к нарушению целостности и доступности информации.
У.1.8	Угроза непреднамеренного уничтожения (повреждения) технических средств и/или каналов связи ИСПДн	Реализация угрозы обусловлена несоблюдением требований организационно-распорядительной документации и халатностью персонала. Реализация угрозы может привести к нарушению целостности и доступности информации.
У.2	Угрозы несанкционированного доступа (несанкционированных действий) к информации, обусловленные наличием логического доступа к ИСПДн
У.2.1	Угрозы НСД к информации, ввиду отсутствия или недостаточности механизмов идентификации и аутентификации	Реализация угрозы может привести к нарушению конфиденциальности, целостности или доступности информации.
У.2.2	Угрозы подбора пароля привилегированного пользователя	Реализация угрозы может привести к нарушению конфиденциальности, целостности или доступности информации.
У.2.3	Угрозы получения доступа к данным вследствие некорректного разграничения доступа	Реализация угрозы может привести к нарушению конфиденциальности, целостности или доступности информации.
У.2.4	Угрозы несанкционированного изменения конфигурации программного обеспечения	Угрозы, обусловленные несанкционированным изменением настроек ОС и системных файлов. Реализация угрозы может привести к нарушению конфиденциальности, целостности или доступности информации.
У.2.5	Угрозы несанкционированного отключения или изменения настроек средств защиты информации	Реализация угрозы создает предпосылки к реализации других угроз
У.2.6	Угрозы внедрения вредоносных программ	Реализация угрозы может привести к нарушению конфиденциальности, целостности или доступности информации.
У.2.7	Угрозы непреднамеренного разглашения, уничтожения (модификации) информации	Реализация угрозы может привести к нарушению конфиденциальности, целостности или доступности информации.
У.2.8	Угрозы преднамеренного разглашения, уничтожения (модификации) информации	Реализация угрозы может привести к нарушению конфиденциальности, целостности или доступности информации.
У.3	Угрозы, несанкционированного доступа к информации, реализуемые с использованием сетевых протоколов
У.3.1	Угрозы перехвата сетевого трафика	Перехват и анализ информации, передаваемой или принимаемой по сетям. Реализация угрозы может привести к нарушению конфиденциальности информации.
У.3.2	Угрозы сканирования	Выявление типа или типов используемых операционных систем, сетевых адресов рабочих станций ИСПДн, топологии сети, открытых портов и активных служб, открытых соединений Реализация угрозы создает предпосылки для реализации других угроз
У.3.3	Угрозы внедрения ложного объекта	Реализация угрозы может привести к нарушению конфиденциальности информации.
У.3.4	Угрозы подмены доверенного объекта	Реализация угрозы может привести к нарушению конфиденциальности информации.
У.3.5	Угрозы навязывания ложного маршрута	Реализация угрозы может привести к нарушению конфиденциальности информации.
У.3.6	Угрозы выявления паролей	Реализация угрозы может привести к нарушению конфиденциальности, целостности или доступности информации.
У.3.7	Угрозы типа «Отказ в обслуживании»	Реализация угрозы может привести к нарушению доступности информации.
У.3.8	Угрозы удаленного запуска приложений	Реализация угрозы может привести к нарушению конфиденциальности, целостности или доступности информации.
У.3.9	Угрозы внедрения по сети вредоносных программ	Реализация угрозы может привести к нарушению конфиденциальности, целостности или доступности информации.
У.4	Угрозы, обусловленные наличием недекларированных возможностей в прикладном или системном ПО
У.4.1	Угрозы, связанные с наличием недекларированных возможностей в системном ПО	Эксплуатация недекларированных возможностей системного программного обеспечения. Реализация угрозы может привести к нарушению конфиденциальности, целостности или доступности информации.
У.4.2	Угрозы, связанные с наличием недекларированных возможностей в прикладном ПО	Эксплуатация недекларированных возможностей прикладного программного обеспечения. Реализация угрозы может привести к нарушению конфиденциальности, целостности или доступности информации.
У.5	Угрозы утечки информации по техническим каналам
У.5.1	Угрозы утечки акустической (речевой) информации	Возникновение угроз утечки акустической (речевой) информации, содержащейся непосредственно в произносимой речи пользователя ИСПДн, возможно при наличии функций голосового ввода ПДн в ИСПДн или функций воспроизведения ПДн акустическими средствами ИСПДн. Реализация угрозы может привести к нарушению конфиденциальности информации.
У.5.2	Угрозы утечки видовой информации	Реализация угрозы утечки видовой информации возможна за счет просмотра информации с помощью оптических (оптикоэлектронных) средств с экранов дисплеев и других средств отображения информации, входящих в состав ИСПДн Реализация угрозы может привести к нарушению конфиденциальности информации.
У.5.3	Угрозы утечки информации по каналу ПЭМИН	Угрозы утечки информации по каналу ПЭМИН возможны из-за наличия электромагнитных излучений, в основном, монитора и системного блока компьютера. Основную опасность представляют угрозы утечки из-за наличия электромагнитных излучений монитора Реализация угрозы может привести к нарушению конфиденциальности информации.
Угрозы утечки информации по каналу ПЭМИН	Угрозы утечки информации по каналу ПЭМИН возможны из-за наличия электромагнитных излучений, в основном, монитора и системного блока компьютера. Основную опасность представляют угрозы утечки из-за наличия электромагнитных излучений монитора Реализация угрозы может привести к нарушению конфиденциальности информации.
Угрозы неантропогенного характера
Природные угрозы	Данные угрозы обусловлены стихийными бедствиями (пожары, землетрясения, ураганы, наводнения, удары молнии и пр.). Возникновение подобных событий трудно спрогнозировать и им тяжело противодействовать. Реализация угрозы может привести к нарушению целостности и доступности информации (за счет нарушения штатного функционирование технических средств ИСПДн, в том числе средств защиты информации).
Техногенные угрозы	Угрозы выхода из строя технических средств ИСПДн в результате аварий, неприемлемых параметров питающей энергосети, взрывов и т.п. Реализация угрозы может привести к нарушению целостности и доступности информации.

4. Определение актуальных угроз безопасности персональных данных

Оценка вероятности реализации угрозы

Под вероятностью реализации угрозы понимается определяемый экспертным путем показатель, характеризующий, насколько вероятным является реализация конкретной угрозы безопасности ПДн в складывающихся условиях обстановки. Вводятся четыре вербальных градации этого показателя:

а) Маловероятно - отсутствуют объективные предпосылки для осуществления угрозы (например, угроза хищения носителей информации лицами, не имеющими легального доступа в помещение, где последние хранятся);

б) Низкая вероятность - объективные предпосылки для реализации угрозы существуют, но принятые меры существенно затрудняют ее реализацию (например, использованы соответствующие средства защиты информации);

в) Средняя вероятность- объективные предпосылки для реализации угрозы существуют, но принятые меры обеспечения безопасности ПДн недостаточны;

г) Высокая вероятность- объективные предпосылки для реализации угрозы существуют и меры по обеспечению безопасности ПДн не приняты.

Индекс	Наименование угрозы	Оценка вероятности реализации	Актуальные нарушители
У.1	Угрозы несанкционированного доступа к информации, обусловленные наличием физического доступа к техническим средствам ИСПДн
У.1.1	Угрозы кражи носителей информации	Пользователи в ИСПДн не используют съемные носители информации. Технологический процесс не предполагает хранения персональных данных на жестких дисках рабочих станций пользователей. Сервера локальной МИС располагаются в помещениях, доступ в которые ограничен и предоставляется только в сопровождении доверенных лиц. Вероятность реализации угроз определена как маловероятная в связи с тем, что отсутствуют объективные предпосылки для осуществления угрозы.	-
У.1.2	Угрозы утери носителей информации	Пользователи в ИСПДн не используют съемные носители информации. Технологический процесс не предполагает хранения персональных данных на жестких дисках рабочих станций пользователей. Сервера локальной МИС располагаются в помещениях, доступ в которые ограничен и предоставляется только в сопровождении доверенных лиц. Вероятность реализации угроз определена как маловероятная в связи с тем, что отсутствуют объективные предпосылки для осуществления угрозы.	-
У.1.3	Угроза утери персональных идентификаторов	В организации введена политика парольной защиты. Пользователям выданы персональные идентификаторы как средство двухфакторной аутентификации. Вероятность реализации угроз определена как маловероятная в связи с тем, что существуют объективные предпосылки для реализации угрозы, но принятые меры существенно затрудняют их реализацию.	-
У.1.4	Угрозы, обусловленные загрузкой АРМ/сервера с нештатного носителя	Сервера ИСПДн размещены в выделенных помещениях, доступ к которым имеют только доверенные лица. Хранение ПДн на АРМ пользователей не осуществляется, загрузка АРМ с нештатного носителя не повлечет за собой нарушения характеристик безопасности информации. Вероятность реализации угроз определена как маловероятная в связи с тем, что отсутствуют объективные предпосылки для осуществления угрозы.	Н.2.2.3
У.1.5	Угроза получения логического доступа к ИСПДн ввиду оставленных без присмотра терминалов	В организации введена политика блокировки экранов, неконтролируемое пребывание посторонних лиц на территории не допускается. Вероятность реализации угроз определена как низкая в связи с тем, что существуют объективные предпосылки для реализации угрозы, но принятые меры существенно затрудняют их реализацию.	-
У.1.6	Угроза внедрения аппаратных закладок	Вероятность реализации угроз определена как маловероятная	-
У.1.7	Угроза преднамеренного уничтожения (повреждения) технических средств и/или каналов связи ИСПДн	Сервера ИСПДн размещены в выделенных помещениях, доступ к которым имеют только доверенные лица. В организации введен внутри-объектовый и пропускной режим, неконтролируемое пребывание посторонних лиц не допускается. Вероятность реализации угроз определена как низкая в связи с тем, что существуют объективные предпосылки для реализации угрозы, но принятые меры существенно затрудняют их реализацию.	Н.1.1.5 Н.1.1.6 Н.1.2.1 Н.1.2.3 Н.2.1.1
У.1.8	Угроза непреднамеренного уничтожения (повреждения) технических средств и/или каналов связи ИСПДн	Сервера ИСПДн размещены в выделенных помещениях, доступ к которым имеют только доверенные лица. Вероятность реализации угроз определена как низкая в связи с тем, что существуют объективные предпосылки для реализации угрозы, но принятые меры существенно затрудняют их реализацию.	Н.1.1.5 Н.1.1.6 Н.1.2.1 Н.1.2.3 Н.2.1.1
У.2	Угрозы несанкционированного доступа (несанкционированных действий) к информации, обусловленные наличием логического доступа к ИСПДн
У.2.1	Угрозы НСД к информации, ввиду отсутствия или недостаточности механизмов идентификации, аутентификации и управления доступом	Вероятность реализации угроз определена как низкая в связи с тем, что существуют объективные предпосылки для реализации угрозы, но принятые меры существенно затрудняют их реализацию.	Н.1.2.1 Н.1.2.3
У.2.2	Угрозы подбора пароля привилегированного пользователя	В учреждении реализована политика парольной защиты. Вероятность реализации угроз определена как низкая в связи с тем, что существуют объективные предпосылки для реализации угрозы, но принятые меры существенно затрудняют их реализацию.	Н.1.1.6
У.2.3	Угрозы получения доступа к данным вследствие некорректного разграничения доступа	В учреждении реализована подсистема управления доступом, административный персонал обладает надлежащей квалификацией. Вероятность реализации угроз определена как низкая в связи с тем, что существуют объективные предпосылки для реализации угрозы, но принятые меры существенно затрудняют их реализацию.	Н.1.1.6
У.2.4	Угрозы несанкционированного изменения конфигурации программного обеспечения	В организации контроль целостности системного ПО реализован встроенными средствами ОС. Вероятность реализации угроз определена как низкая в связи с тем, что существуют объективные предпосылки для реализации угрозы, но принятые меры существенно затрудняют их реализацию.	Н.1.1.6
У.2.5	Угрозы несанкционированного отключения или изменения настроек средств защиты информации	Применяющиеся сертифицированные средства защиты не позволяют изменять настройки или отключать средство непривилегированным пользователям. Вероятность реализации угроз определена как низкая в связи с тем, что существуют объективные предпосылки для реализации угрозы, но принятые меры существенно затрудняют их реализацию.	Н.1.1.6
У.2.6	Угрозы внедрения вредоносных программ	В учреждении внедрена политика антивирусной защиты. Вероятность реализации угроз определена как низкая в связи с тем, что существуют объективные предпосылки для реализации угрозы.	Н.1.1.6
У.2.7	Угрозы непреднамеренного разглашения, уничтожения (модификации) информации	В Учреждении применяются процедуры резервного копирования. Пользователи и обслуживающий персонал осведомлены об ответственности за разглашение конфиденциальной информации. Вероятность реализации угроз определена как низкая в связи с тем, что существуют объективные предпосылки для реализации угрозы, но принятые меры существенно затрудняют их реализацию.	Н.1.1.5 Н.1.1.6 Н.2.1.1
У.2.8	Угрозы преднамеренного разглашения, уничтожения (модификации) информации	В Учреждении применяются процедуры резервного копирования. Пользователи и обслуживающий персонал осведомлены об ответственности за разглашение конфиденциальной информации. Вероятность реализации угроз определена как низкая в связи с тем, что существуют объективные предпосылки для реализации угрозы, но принятые меры существенно затрудняют их реализацию.	Н.1.1.5 Н.1.1.6 Н.2.1.1
У.3	Угрозы, несанкционированного доступа к информации, реализуемые с использованием сетевых протоколов
У.3.1	Угрозыперехвата сетевого трафика	За пределами контролируемой зоны персональные данные передаются по защищенным каналам связи. Вероятность реализации угроз определена как маловероятная в связи с тем, что отсутствуют объективные предпосылки для осуществления угрозы.	-
У.3.2	Угрозы сканирования	Вероятность реализации угроз определена как маловероятная в связи с тем, что существуют объективные предпосылки для реализации угрозы, но принятые меры обеспечения безопасности ПДн недостаточны.	Н.2.2.2
У.3.3	Угрозы внедрения ложного объекта	За пределами контролируемой зоны персональные данные передаются по защищенным каналам связи. Вероятность реализации угроз определена как маловероятная в связи с тем, что отсутствуют объективные предпосылки для осуществления угрозы.	-<...

Подобные документы

• Защита персональных данных в банковских он-лайн системах

  Подходы, принципы, методы и средства обеспечения безопасности. Особенности обеспечения безопасности персональных данных в банковских онлайн-системах. Разработка мероприятий по обеспечению безопасности персональных данных в банковских онлайн-системах.
  
  курсовая работа [155,9 K], добавлен 15.06.2012
  

• Разработка методики анализа и оценки угроз центра обработки данных ОАО "Волга-кредит банк"

  Методологические основы построения системы обеспечения информационной безопасности кредитных организаций. Анализ и определение угроз защищаемым ресурсам. Метод анализа угроз информационной безопасности центра обработки данных ОАО "Волга-кредит банк".
  
  дипломная работа [1,6 M], добавлен 07.05.2014
  

• Информационная безопасность банковской деятельности Российской Федерации

  Источники, виды и классификация угроз информационной безопасности банковской деятельности. Мошенничество с платежными картами. Стандарты информационной безопасности Банка Российской Федерации. Схема информационной защиты системы интернет-платежей.
  
  презентация [1,5 M], добавлен 02.04.2013
  

• Банк ВТБ24

  История и текущее состояние Банка ВТБ24 на рынке. Нормативно-правовая база регулирования деятельности банка. Кодекс корпоративного поведения работников. Порядок подготовки и проведения Общих собраний акционеров. Политика в отношении персональных данных.
  
  отчет по практике [111,9 K], добавлен 03.12.2014
  

• Деятельность ОАО КБ "Пойдем!" по обеспечению экономической безопасности банковской системы

  Понятие безопасности бизнеса и основные направления ее обеспечения, критерии и методика ее оценки, роль и место в деятельности коммерческого банка. Нормативно-правовые основы формирования системы безопасности. Анализ состояния банковского сектора.
  
  дипломная работа [133,6 K], добавлен 17.09.2014
  

• Автоматизация деятельности административно–хозяйственного отдела ОАО "Промсвязьбанк"

  Анализ технического и телекоммуникационного обеспечения расчетно–кассовых операций. Определение сущностей модели базы данных информационной подсистемы. Формирование окончательных требований на автоматизацию. Описание внедряемого программного продукта.
  
  дипломная работа [4,2 M], добавлен 09.02.2018
  

• Анализ рисков информационной безопасности в банковской сфере на примере "ЮниКредит Банк"

  Анализ существующих методик оценки рисков информационной безопасности и разработка собственной методики для банковской сферы. Апробирование полученной методики на примере АО "ЮниКредит Банк". Информация, необходимая для проведения анализа рисков.
  
  дипломная работа [523,2 K], добавлен 16.06.2015
  

• Разработка методики формирования оптимального портфеля ценных бумаг с использованием асимметричных возмущенных мер риска

  Асимметричные возмущенные меры риска. Разработка алгоритма формирования оптимального портфеля. Вычислительные эксперименты на базе статистических данных котировок ценных бумаг фондового рынка России для анализа эффективности применения данных мер риска.
  
  дипломная работа [507,9 K], добавлен 24.05.2014
  

• Стратегическое управление банком

  Оценка слабых и сильных сторон банка, угроз и возможностей для развития банка. Выбор и разработка стратегии развития предприятия. Стратегическое управление организацией. Анализ состояния внешней среды организации. Оценка привлекательности отрасли.
  
  контрольная работа [34,7 K], добавлен 24.02.2014
  

• Коррупция в Центробанке России

  Всемирный Банк. Институциональные и административные реформы. Рост уровня коррупции. Коррупция как фактор угроз современному банковскому делу. Коррупционные отношения в предпринимательстве. Система экспортных лицензий. Меры регулирования капитала.
  
  реферат [318,0 K], добавлен 27.10.2008
  

• Кредитное ценообразование

  Теоретические модели цены кредита. Обзор текущей конъюнктуры, макроэкономические и микроэкономические факторы. Формирование эмпирической модели. Описание выборки данных и переменных. Математическое построение эмпирической модели. Матрица корреляций.
  
  дипломная работа [3,3 M], добавлен 30.09.2016
  

• Миссия. Цели. SWOT-анализ ОАО НБ "Траст"

  Основные виды деятельности ОАО НБ "Траст". Инвестиционные услуги и торговые операции, которые осуществляет банк. Ключевые цели деятельности ОАО НБ "Траст" в 2012 году. Оценка возможностей и угроз, определение стратегических задач деятельности банка.
  
  контрольная работа [30,3 K], добавлен 12.02.2014
  

• Проектирование информационной системы кредитования в ОАО "Россельхозбанк"

  Описание бизнес-процессов кредитования, протекающих в банке. Построение модели предприятия "как есть". Формирование требований к автоматизированной банковской системе. Экономическое обоснование ее разработки, состав и содержание работ по созданию.
  
  отчет по практике [1,4 M], добавлен 12.06.2013
  

• Механизм обеспечения финансовой безопасности коммерческого банка на примере ООО "Хоум Кредит энд Финанс Банк" (ООО "ХКФ Банк")

  Сущность, место и роль финансовой составляющей в системе обеспечения экономической безопасности банковской деятельности в РФ. Анализ и оценка финансовой безопасности коммерческого банка ООО "Хоум Кредит энд Финанс Банк", рекомендации по ее оптимизации.
  
  дипломная работа [680,7 K], добавлен 27.07.2010
  

• Сущность кредитования населения банком

  Определение, виды, роль, функции кредита, его разработка и реализация, порядок предоставления. Эффективность банковского обслуживания физических лиц. Характеристики банков. Кредитные продукты, предлагаемые ими населению. Анализ кредитоспособности клиента.
  
  курсовая работа [36,6 K], добавлен 03.01.2015
  

• Договор банковского счета

  Понятие и признаки договора банковского счета. Условия и порядок совершения банковских операций по счету клиента. Основания и очередность списания денежных средств со счета клиента. Ответственность банка за ненадлежащее исполнение своих обязанностей.
  
  курсовая работа [47,9 K], добавлен 23.01.2014
  

• Правовые основы деятельности Центрального Банка

  Правовой статус и основы надзора ЦБ РФ за деятельностью кредитных организаций. Центральный банк как орган банковского регулирования и банковского надзора в РФ и за рубежом. Модели и схемы организации регулирования банковского надзора и их характеристика.
  
  реферат [17,7 K], добавлен 25.11.2009
  

• Анализ балансового отчета кредитной организации на примере АО "Kaspibank"

  Рассмотрение данных отчета о прибылях и убытках коммерческих банков на примере АО "Kaspibank". Определение кредитоспособности заемщиков и суммы налогов. Изучение вероятности банкротства предприятий с использованием пятифакторной модели Э. Альтмана.
  
  отчет по практике [404,0 K], добавлен 06.06.2014
  

• Разработка политики информационной безопасности в кредитных учреждениях

  Подготовительные этапы в разработке политики информационной безопасности. Проведение политики защиты информации в кредитных учреждениях, составление должностных инструкций и положений. Этапы внедрения документации, регламентирующей ее проведение.
  
  дипломная работа [611,8 K], добавлен 19.12.2012
  

• Принципы составления инвестиционного портфеля

  Исследование видов портфелей ценных бумаг. Обзор основных задач портфельного инвестирования. Методика формирования оптимальной структуры портфеля. Анализ модели Марковица. Определение кривой безразличия клиента. Управление портфелем коммерческого банка.
  
  курсовая работа [1,1 M], добавлен 08.01.2016
  

• главная
• рубрики
• по алфавиту
• вернуться в начало страницы
• вернуться к началу текста
• вернуться к подобным работам