Методы обеспечения информационной безопасности банка на примере ПАО "Стройбанк"

Размещено на http://www.allbest.ru

Размещено на http://www.allbest.ru

Методы обеспечения информационной безопасности банка на примере ПАО «Стройбанк»



Введение

Актуальность темы - Высокие темпы развития информационного общества в России, рост влияния информационных технологий на эффективность управления, как на уровне государства, так и на уровне отдельного предприятия, требуют рассмотрения вопроса экономической безопасности хозяйствующих субъектов в тесной взаимосвязи с информатизацией всех направлений рыночного взаимодействия бизнеса.

Вопросы информационной безопасности уже давно входят в число главных приоритетов практически всех крупных российских и мировых компаний, а в последние годы все большее число руководителей среднего и мелкого отечественного бизнеса начинают осознавать реальную опасность рисков, связанных с инсайдерской информацией, системами ее обрабатывающими и сотрудниками, участвующими в этом процессе.

Цель работы - формирование общепрофессиональных компетенций и способностей студентов к самостоятельному выполнению научно-исследовательской работы, развитие творческого потенциала.

Задачи работы:

- реализовать навыки ведения научно-исследовательской работы, полученные в процессе обучения на предыдущих курсах;

- сформировать общекультурные, общепрофессиональные и профессиональные компетенции профиля по рискам и безопасности;

- развить индивидуальные творческие способности каждого студента с целью дальнейшей реализации их на практике в процессе обеспечения экономической безопасности хозяйствующих субъектов;

- формировать навыки аналитической работы с литературными источниками разных видов;

- стимулировать навыки самостоятельной аналитической работы;

- развивать умение критически оценивать и обобщать теоретические положения;

- применять современные методы научного исследования;

- систематизировать и интегрировать теоретические знания и практические навыки по направлению специальности высшего образования.

Предмет - методологические и методические проблемы информационного обеспечения экономической безопасности хозяйствующего субъекта.

Объект - экономическая безопасность хозяйствующего субъекта.



1. Теоретическая часть

1.1 Понятие информационной безопасности

Под информационной безопасностью понимается защищенность информации и поддерживающей ее инфраструктуры от любых случайных или злонамеренных воздействий, результатом которых может явиться нанесение ущерба самой информации, ее владельцам или поддерживающей инфраструктуре.

Информационная безопасность организации - состояние защищенности информационной среды организации, обеспечивающее её формирование, использование и развитие [4].

В современном социуме информационная сфера имеет две составляющие: информационно-техническую (искусственно созданный человеком мир техники, технологий и т.п.) и информационно-психологическую (естественный мир живой природы, включающий и самого человека). Соответственно, в общем случае информационную безопасность общества (государства) можно представить двумя составными частями: информационно-технической безопасностью и информационно-психологической (психофизической) безопасностью [4].

Выделяют основные принципы информационной безопасности:

1. Целостность данных - такое свойство, в соответствии с которым информация сохраняет свое содержание и структуру в процессе ее передачи и хранения. Создавать, уничтожать или изменять данные может только пользователь, имеющий право доступа.

2. Конфиденциальность -- свойство, которое указывает на необходимость ограничения доступа к конкретной информации для обозначенного круга лиц. Таким образом, конфиденциальность дает гарантию того, что в процессе передачи данных, они могут быть известны только авторизованным пользователям

3. Доступность информации - это свойство характеризует способность обеспечивать своевременный и беспрепятственный доступ полноправных пользователей к требуемой информации.

4. Достоверность - данный принцип выражается в строгой принадлежности информации субъекту, который является ее источником или от которого она принята.

Задача обеспечения информационной безопасности подразумевает реализацию многоплановых и комплексных мер по предотвращению и отслеживанию несанкционированного доступа неавторизованных лиц, а также действий, предупреждающих неправомерное использование, повреждение, искажение, копирование, блокирование информации.

Вопросы информационной безопасности становятся первоочередными в тех случаях, когда выход из строя или возникновение ошибки в конкретной компьютерной системе могут привести к тяжелым последствиям [20].

1.2 Виды угроз информационной безопасности

банк информационный безопасность конфиденциальность

Для того чтобы обеспечить эффективную защиту информации, необходимо в первую очередь рассмотреть и проанализировать все факторы, представляющие угрозу информационной безопасности.

Под угрозой информационной безопасности компьютерной системы обычно понимают потенциально возможное событие, действие, процесс или явление, которое может оказать нежелательное воздействие на систему и информацию, которая в ней хранится и обрабатывается. Такие угрозы, воздействуя на информацию через компоненты КС, могут привести к уничтожению, искажению, копированию, несанкционированному распространению информации, к ограничению или блокированию доступа к ней. В настоящее время известен достаточно обширный перечень угроз, который классифицируют по нескольким признакам [11].

По природе возникновения различают:

Естественные угрозы, вызванные воздействиями на КС объективных физических процессов или стихийных природных явлений;

Искусственные угрозы безопасности, вызванные деятельностью человека.

По степени преднамеренности проявления различают:

- Случайные;

- Преднамеренные

По непосредственному источнику угроз. Источниками угроз могут быть:

Природная среда, например, стихийные бедствия;

Человек, например, разглашение конфиденциальных данных;

Санкционированные программно-аппаратные средства, например, отказ в работе операционной системы;

Несанкционированные программно-аппаратные средства, например, заражение компьютера вирусами.

По положению источника угроз. Источник угроз может быть расположен:

Вне контролируемой зоны КС, например, перехват данных, передаваемых по каналам связи;

В пределах контролируемой зоны КС, например, хищение распечаток, носителей информации;

Непосредственно в КС, например, некорректное использование ресурсов.

По степени воздействия на КС различают:

Пассивные угрозы, которые при реализации ничего не меняют в структуре и содержании КС (угроза копирования данных);

Активные угрозы, которые при воздействии вносят изменения в структуру и содержание КС (внедрение аппаратных и программных спецвложений).

По этапам доступа пользователей или программ к ресурсам КС:

Угрозы, которые могут проявляться на этапе доступа к ресурсам КС;

Угрозы, проявляющиеся после разрешения доступа (несанкционированное использование ресурсов).

По текущему месту расположения информации в КС:

Угроза доступа к информации на внешних запоминающих устройствах (ЗУ), например, копирование данных с жесткого диска;

Угроза доступа к информации в оперативной памяти (несанкционированное обращение к памяти);

Угроза доступа к информации, циркулирующей в линиях связи (путем незаконного подключения).

По способу доступа к ресурсам КС:

Угрозы, использующие прямой стандартный путь доступа к ресурсам с помощью незаконно полученных паролей или путем несанкционированного использования терминалов законных пользователей;

Угрозы, использующие скрытый нестандартный путь доступа к ресурсам КС в обход существующих средств защиты.

По степени зависимости от активности КС различают:

Угрозы, проявляющиеся независимо от активности КС (хищение носителей информации);

Угрозы, проявляющиеся только в процессе обработки данных (распространение вирусов).

Одним из основных источников угроз безопасности является использование специальных программ, получивших общее название “вредительские программы”.

К таким программам относятся:

- “компьютерные вирусы” - небольшие программы, которые после внедрения в ЭВМ самостоятельно распространяются путем создания своих копий, а при выполнении определенных условий оказывают негативное воздействие на КС ;

- “черви” - программы, которые выполняются каждый раз при загрузке системы, обладающие способностью перемещаться в КС или сети и самовоспроизводить копии. Лавинообразное размножение программ приводит к перегрузке каналов связи, памяти, а затем к блокировке системы;

- “троянские кони” - программы, которые имеют вид полезного приложения, а на деле выполняют вредные функции (разрушение программного обеспечения, копирование и пересылка злоумышленнику файлов с конфиденциальной информацией и т.п.) [20].

Источники угроз информационной безопасности представим схематично на рисунке 1.

Рисунок 1 - Источники угроз информационной безопасности

1.3 Цели и задачи защиты информации

Формулирование целей и задач защиты информации, как любой другой деятельности, представляет начальный и значимый этап обеспечения безопасности информации. Важность этого этапа часто недооценивается и ограничивается целями и задачами, напоминающими лозунги. В то же время специалисты в области системного анализа считают, что от четкости и конкретности целей и постановок задач во многом зависит успех в их достижении и решении. Провал многих, в принципе полезных, начинаний обусловлен именно неопределенностью и расплывчатостью целей и задач, из которых не ясно, кто, что и за счет какого ресурса предполагает решать продекларированные задачи [11].

Информация необходима для принятия различных управленческих решений в процессе деятельности компаний, предприятий и организаций.

Частота возникновения атак на информационные системы (цели вторжения злоумышленников в информационное пространство предприятии):

1. Хищение коммерческой информации - 45%

2. Финансовое мошенничество - 13%

3. Несанкционированный доступ изнутри компании - 10%

4. Проникновение в систему извне- 9%

5. Нарушение целостности данных- 5%

6. Атаки с целью вызвать отказ в обслуживании - 4%

7. Вирусные атаки - 3%

8. Хищение компьютеров и носителей информации- 2 %

Согласно статье 16 Закона РФ "Об информации, информационных технологиях и о защите информации" № 149-ФЗ от 27.02.2006 г.

Защита информации представляет собой принятие правовых, организационных и технических мер, направленных на:

1) обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;

2) соблюдение конфиденциальности информации ограниченного доступа;

3) реализацию права на доступ к информации.

Защите подлежит любая документированная информация, неправомерное обращение с которой может нанести ущерб её собственнику, владельцу и иному лицу. Закон подразделяет информацию по уровню доступа на общедоступную и информацию ограниченного доступа. Конфиденциальная информация -- документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации. К конфиденциальной информации относятся сведения, определяемые общим понятием -- тайна. В законах встречается 32 вида тайн. Однако, обобщённый перечень сведений, отнесённых к разряду конфиденциальных, приводится в Указе Президента РФ №188 от 06.03.1997 г. Следует отметить, что согласно ст. 139 Гражданского Кодекса РФ к коммерческой тайне относятся сведения, представляющие потенциальную ценность для её обладателя в силу неизвестности третьим лицам.

В современной среде нельзя обеспечить физический контроль за каналами связи как внутри, так и особенно вне организации - вторжение возможно с любой точки сети, спектр потенциальных атак на конфиденциальную информацию чрезвычайно широк. В этой связи можно рассматривать следующие основные цели защиты информации:

1) предотвращение утечки, хищения, утраты, замены, искажения, подделки информации;

2) предупреждение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации;

3) предотвращение других форм незаконного вмешательства в информационные ресурсы и информационные системы;

4) обеспечение правового режима документированной информации как объекта собственности;

5) защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах;

6) обеспечение прав субъектов в информационных процессах, а также при разработке, производстве и применении информационных систем, технологий и средств их обеспечения [1].

1.4 Комплекс мероприятий по защите информации

Для достижения целей защиты должно обеспечиваться эффективное решение следующих задач:

- защита от вмешательства в процесс функционирования предприятия посторонних лиц;

- защита от несанкционированных действий с информационными ресурсами предприятия посторонних лиц и сотрудников, не имеющих соответствующих полномочий;

- обеспечение полноты, достоверности и оперативности информационной поддержки принятия управленческих решений руководством предприятия;

- обеспечение физической сохранности технических средств и программного обеспечения предприятия и защита их от действия техногенных и стихийных источников угроз;

- регистрация событий, влияющих на безопасность информации, обеспечения полной подконтрольности и подотчетности выполнения всех операций, совершаемых на предприятии;

- своевременное выявление, оценка и прогнозирование источников угроз безопасности информации, причин и условий, способствующих нанесению ущерба интересам субъектов, нарушению нормального функционирования и развития предприятия;

- анализ рисков реализации угроз безопасности информации и оценка возможного ущерба, предотвращение неприемлемых последствий нарушения безопасности информации предприятия, создание условий для минимизации и локализации наносимого ущерба;

- обеспечение возможности восстановления актуального состояния предприятия при нарушении безопасности информации и ликвидации последствий этих нарушений;

- создание и формирование целенаправленной политики безопасности информации предприятия.

Методы и средства обеспечения безопасности информации в ИС схематически можно представить (рисунок 2).

Рисунок 2 - Методы и средства защиты информации

Препятствие - метод физического преграждения пути злоумышленнику к защищаемой информации (к аппаратуре, носителям информации и т.д.)

Управление доступом - методы защиты информации регулированием использования всех ресурсов ИС и ИТ. Эти методы должны противостоять всем возможным путям несанкционированного доступа к информации.

Механизмы шифрования - криптографическое закрытие информации. При передаче информации по каналам связи большой протяженности этот метод является единственно надежным.

Регламентация - создание таких условий автоматизированной обработки, хранения и передачи защищаемой информации, при которых нормы и стандарты по защите выполняются в наибольшей степени.

Принуждение - метод защиты, при котором пользователи и персонал ИС вынуждены соблюдать правила обработки, передачи и использования защищаемой информации под угрозой материальной, административной или уголовной ответственности.

Побуждение - метод защиты, побуждающий пользователей и персонал ИС не нарушать установленные порядки за счет соблюдения сложившихся моральных и этических норм.

Вся совокупность технических средств подразделяется на аппаратные и физические.

Аппаратные средства - устройства, встраиваемые непосредственно в вычислительную технику, или устройства, которые сопрягаются с ней по стандартному интерфейсу.

Физические средства включают различные инженерные устройства и сооружения, препятствующие физическому проникновению злоумышленников на объекты защиты и осуществляющие защиту персонала, материальных средств и финансов, информации от противоправных действий (средства - замки на дверях, решетки на окнах, средства электронной охранной сигнализации и т.п.).

Программные средства - это специальные программы и программные комплексы, предназначенные для защиты информации в ИС. Из средств ПО можно выделить программные средства, реализующие механизмы шифрования (криптографии).

Организационные средства осуществляют регламентацию производственной деятельности в ИС и взаимоотношений исполнителей на нормативно-правовой основе таким образом, что разглашение, утечка и несанкционированный доступ к конфиденциальной становятся невозможными или существенно затрудняются за счет проведения организационных мероприятий.

Законодательные средства защиты определяются законодательными актами страны, которыми регламентируются правила пользования, обработки и передачи информации ограниченного доступа и устанавливаются меры ответственности за нарушение этих правил.

Морально-этические средства защиты включают всевозможные нормы поведения, которые традиционно сложились ранее, складываются по мере распространения ИС и ИТ в стране и в мире или специально разрабатываются. Эти нормы могут быть неписанными [11].



2. Аналитическая часть

2.1 Общая информация о ПАО «Стройбанк»

Банк занимает одно из ведущих мест на финансовом рынке Южного Урала, входит в число крупных банков России. В системе Стройбанка работают Головное Управление, 9 филиалов и 91 отделение в Челябинске и городах Челябинской области. Банк имеет Генеральную лицензию Банка России № 493 и входит в систему страхования вкладов.

Стройбанк активно участвует в финансировании реального сектора экономики, поддерживает диверсифицированный портфель и предлагает клиентам широкий спектр программ кредитования. Банк аккредитован Фондом содействия кредитованию малого предпринимательства Челябинской области [25].

Банк имеет лицензию профессионального участника рынка ценных бумаг на осуществление брокерской, дилерской и депозитарной деятельности, подключен к системе международных расчетов SWIFT, информационным системам Bloomberg и REUTERS, активно работает на различных финансовых рынках, совершает банковские операции с золотом, серебром, платиной и металлами палладиевой группы на основании лицензии и в соответствии с законодательством РФ.

Банк выпускает собственные векселя любых номиналов, работает с клиентами в электронных системах "Клиент-Банк", "Интернет-Банк". На технологической базе банка работает система приема платежей населения "Город".

Стройбанк выпускает международные карты VISA, MasterCard, карты национальной платежной системы "Мир", обслуживает карты "Золотая Корона", социальные карты. По данным на 1 января 2017 года банк эмитировал около 1 млн карт всех видов. В Челябинской области действуют 232 банкомата и 172 терминала самообслуживания, клиентам предлагаются новые финансовые технологии: интернет-банк InvestPay, "Мобильный банк", платежи через банкомат.

В банке оборудована собственная служба инкассации, которая является одной из крупнейших в России негосударственных инкассаторских служб [25].

2.2 Анализ и характеристика информационных ресурсов предприятия

Исследуемое предприятие содержит следующие информационные ресурсы:

- информация, относящаяся к коммерческой тайне:

- заработная плата,

- договоры с поставщиками и покупателями,

- защищаемая информация:

- личные дела работников,

- трудовые договора,

- личные карты работников,

- содержание регистров бухгалтерского учета и внутренней бухгалтерской отчетности,

- прочие разработки и документы для внутреннего пользования;

- открытая информация:

- информация на web-сайте http://www.chelinvest.ru,

- учредительный документ,

- устав,

- прайс-лист продукции.



2.3 Угрозы информационной безопасности характерные для предприятия

К основным угрозам информационной безопасности в банке можно отнести:

- несанкционированный доступ посторонних лиц, не принадлежащих к числу банковских служащих, и ознакомление с хранимой конфиденциальной информацией;

- ознакомление банковских служащих с информацией, к которой они не должны иметь доступа;

- несанкционированное копирование программ и данных;

- перехват и последующее раскрытие конфиденциальной информации, передаваемой по каналам связи;

- кража магнитных носителей, содержащих конфиденциальную информацию;

- кража распечатанных банковских документов;

- случайное или умышленное уничтожение информации;

- несанкционированная модификация банковскими служащими финансовых документов, отчетности и баз данных.

- фальсификация сообщений, передаваемых по каналам связи, в том числе и навязывание ранее переданного сообщения;

- отказ от авторства сообщения, переданного по каналам связи;

- отказ от факта получения информации;

- разрушение файловой структуры из-за некорректные работы программ или аппаратных средств;

- разрушение информации, вызванное вирусными воздействиями;

- разрушение архивной банковской информации, хранящейся на магнитных носителях;

- кража оборудования;

- ошибки в программном обеспечении;

- сбои оборудования, в том числе и за счет отключения электропитания и других факторов, препятствующих работе оборудования [24].

2.4 Методы и средства защиты информации на предприятии

Банковские информационные системы и базы данных содержат конфиденциальную информацию о клиентах банка, состоянии их счетов и проведении различных финансовых операций.

Необходимость сохранять информационную безопасность этих данных очевидна, но без быстрого и своевременного обмена и обработки информации банковская система даст сбой. Поэтому необходима целая структура, которая сможет обеспечить защиту банковской информации и конфиденциальность клиентской базы [1].

Последовательность мер по защите этих данных можно представить таким образом:

- оценка и разработка конфиденциальной информации;

- оборудование объекта для осуществления защиты;

- контроль эффективности принятых мер.

Банк может полноценно осуществлять свою деятельность лишь в случае налаженного обмена внутренними данными и надежной системой защиты. Оборудование информационной защиты банковских объектов может иметь различные формы.

Специалисты в области обеспечения информационной безопасности банка могут создавать как локальные системы, так и централизованные программы защиты.

Выбирая конкретную форму защиты, необходимо учитывать все возможные способы взлома и утечки данных. Грамотный и профессиональный подход к обеспечению безопасности подразумевает слаженную работу всех отделений банка и беспрерывное функционирование финансовых систем.

Разработка комплекса защитных мер по предотвращению нарушения конфиденциальности данных включает в себя ряд определенных действий.

- контроль обмена данных и строгая их регламентация;

- подготовка сотрудников банка и соблюдение ими требований безопасности;

- строгий учет каналов и серверов;

- анализ эффективности.

Каждое направление включает в себя несколько этапов работы. К примеру, контроль обмена данных подразумевает не только обработку скорости передачи информации, но и своевременное уничтожение остаточных сведений. Эта мера также предполагает строгий контроль обработки данных и их криптографическую защиту.

Доступ к данным банка защищается с помощью системы идентификации, то есть паролями или электронными ключам. Работа с персоналом, использующим банковскую систему, включает в себя проведение инструктажей и контроль выполнения необходимых требований.

Строгий учет каналов и серверов, а также меры, обеспечивающие техническую защиту информации и безопасность банка подразумевают защиту резервных копий, обеспечение бесперебойного питания оборудования, содержащего ценную информацию, ограниченный доступ к сейфам и защиту от утечки информации акустическим способом.

Для анализа эффективности принятых мер необходимо вести учет или запись, которые будут отмечать работоспособность и действенность примененных средств защиты информации в банке [24].



3. Практическая часть

3.1 Основные объекты защиты информации

К основным объектам защиты информации в ПАО «Стройбанк» относятся:

- информация, составляющая банковскую тайну, разглашение которой способно нанести стратегический ущерб интересам клиентов банка;

- закрытая информация о собственниках, принадлежащих им активах, механизмах коммерческого партнерства с банком, формах участия в прибылях;

- информация о стратегических планах банка по коммерческому и финансовому направлениям деятельности, вопросам перспективного регионального развития, слияния с другими кредитно-финансовыми организациями или поглощения их, о дружественных банках и иных финансовых институтах (особый характер отношений с которыми необходимо на время скрыть);

- любая информация о деятельности службы безопасности, реализуемой в рамках стратегий упреждающего противодействия и, частично, адекватного ответа;

- прикладные методы защиты информации банка (коды, пароли, программы).

Строго конфиденциальные сведения включают в себя:

- все прочие конфиденциальные сведения о клиентах банка;

- информацию маркетингового, финансового и технологического характера, составляющую коммерческую тайну;

- информацию о сотрудниках банка, содержащуюся в индивидуальных досье.

- сведения о заработной плате и индивидуальных социальных па кетах сотрудников банка, а также составе резерва на выдвижение;

- внутренние регламенты (положения, инструкции, приказы и т.п.) используемые в системе внутрибанковского менеджмента.

Содержание банковской тайны в действующем законодательстве регулируется нормами ст. 857 ГК РФ и ст. 26 Закона о банках.

Согласно пункту 1 ст. 857 ГК РФ банк гарантирует тайну банковского счета и банковского вклада, операций по счету и сведений о клиенте.

3.2 Мероприятия по защите информации на предприятии

Для защиты информации ПАО «Стройбанк» применяет концепции идентификации, характеризующие наличие прав доступа к данным. С этой целью применяют систему паролей для входа в локальную сеть банка. Они могут быть выбраны пользователем, сгенерированы системой либо присваиваться ему менеджером по безопасности. Кроме того, существуют пластиковые карты доступа с чипом. С помощью особого алгоритма система кодирует и вносит индивидуальные данные определенного пользователя. Электронные ключи действуют при контакте с механизмом на дверях, установленных в секретных помещениях, в серверных и пользовательских ПК.

Защита информации на предприятии осуществляется комплексно и включает в себя меры следующих уровней:

1. Законодательный уровень защиты информации.

Основные законодательные акты, регулирующие вопросы информационной безопасности:

- Гражданский кодекс РФ ст.139;

- Уголовный кодекс гл.28 ст.272, 273, 274, 138, 183;

- Закон Российской Федерации "Об информации, информатизации и защите информации";

- Закон Российской Федерации "О коммерческой тайне".

2. Адми???тративный уровень информационной безопасности.

3. Организационный уровень защиты информации.

4. Программно-технические меры защиты информации.

Основные мероприятия по защите информации на предприятии

- мероприятия по ограничению доступа к конфиденциальной информации (общережимные мероприятия, системы индивидуальных допусков, запрет на вынос документов из соответствующих помещений, возможность работы с соответствующей компьютерной информацией лишь с определенных терминалов и т.п.);

- мероприятия по снижению возможности случайного или умышленного разглашения информации или других форм ее утечки (правила работы с конфиденциальными документами и закрытыми базами компьютерных данных, проведения переговоров, поведения сотрудников банка на службе и вне ее );

- мероприятия по дроблению конфиденциальной информации, не позволяющие сосредоточить в одном источнике (у сотрудника, в документе, файле и т.п.) все сведения по вопросу, интересующему потенциального субъекта угроз;

- мероприятия по контролю над соблюдением установленных правил информационной безопасности;

- мероприятия при выявлении фактов утечки той или иной конфиденциальной информации.

3.3 Реализация политики информационной безопасности ПАО «Стройбанк»

Политика информационной безопасности - важный стратегический инструмент защиты критического бизнес-ресурса любого банка, его конфиденциальной информации. Для построения всеобъемлющей ПИБ, экономически эффективной и адекватной интересам банка необходим комплексный, системный подход. ПИБ должна разрабатываться профессионалами из области информационной безопасности в тесном взаимодействии с ведущими аналитиками, ИТ-специалистами и руководством банка.

В ПАО «Стройбанк» разработана Политика информационной безопасности, которая определяет систему взглядов на проблему обеспечения безопасности информации и представляет собой систематизированное изложение целей и задач защиты, как одно или несколько правил, процедур, практических приемов и руководящих принципов в области информационной безопасности.

Политика является методологической основой для:

- формирования и проведения единой политики в области обеспечения безопасности информации в Банке;

- координации деятельности структурных подразделений Банка при проведении работ по созданию, развитию и эксплуатации информационных технологий с соблюдением требований по обеспечению безопасности информации;

- разработки предложений по совершенствованию правового, нормативного, технического и организационного обеспечения безопасности информации в Банке.

В 2008 году ПАО «Стройбанк» представил новый интернет-банк InvestРay.

Интернет-банк InvestРay - новый сервис Стройбанка для управления личными счетами физических лиц - представляет собой полноценную платежно-информационную систему. Клиент InvestРay получает персональный расчетный банк с круглосуточным доступом с любого компьютера и из любого браузера, с планшета или смартфона. Помимо основных платежных операций: переводов денежных средств между своими счетами и картами, переводов на чужие счета по произвольным реквизитам, в том числе платежей в бюджет, клиент сможет погашать кредиты, открывать и пополнять вклады, безналичным способом конвертировать валюту или драгметаллы. Одна из самых востребованных возможностей в интернет-банке - создание шаблонов и автоматических регулярных переводов - также присутствует в инструментарии плательщика. Клиент может отправлять заявку на кредит, на блокировку или перевыпуск банковской карты.

Для исключения несанкционированного доступа к расчетному счету и в целях противодействия хищениям секретных ключей электронной подписи Стройбанк внедрил усовершенствованную систему защиты и рекомендует своим клиентам при работе с сервисами "Интернет-банк" вместо дискет с файлами использовать USB-токены.

USB-токены - это устройство нового поколения, гарантирующее информационную безопасность секретного ключа электронной подписи. Внешне похожие на привычную USB-флешку, USB-токены устроены так, что с них, в отличие от флешки или диска, нельзя скопировать ваш секретный ключ, они недоступны программам-шпионам и защищены от недобросовестных сотрудников.

Внутреннее устройство USB-токена не содержит файлов. В нем установлена SIM-карта, в которой происходит формирование электронной подписи под документом, и копирование или изменение секретного ключа в данном случае невозможно. Таким образом, работа в системе Интернет-банк становится гораздо более защищенной - если USB-токен находится у владельца, он может быть уверен, что ни у кого нет копии ключа.

Технология выработки электронной подписи и шифрования соответствует российским государственным стандартам криптографии и сертифицирована ФСБ РФ [25].



Заключение

Проблемы, связанные с повышением безопасности информационной сферы, являются сложными, многоплановыми и взаимосвязанными. Они требуют постоянного, неослабевающего внимания со стороны государства и общества. Развитие информационных технологий побуждает к постоянному приложению совместных усилий по совершенствованию методов и средств, позволяющих достоверно оценивать угрозы безопасности информационной сферы и адекватно реагировать на них.

Предотвращение несанкционированного доступа к конфиденциальной информации, циркулирующей в телекоммуникационных сетях государственного и военного управления, к информации национальных и международных правоохранительных организаций, ведущих борьбу с транснациональной организованной преступностью и международным терроризмом, а также в банковских сетях, является важной задачей обеспечения безопасности глобальной информации. Защите информации в последнее время уделяется все большее внимание на самых различных уровнях - и государственном, и коммерческом.



Литература

1. Галатенко, В.А. Основы информационной безопасности. - М.: /Интуит, 2013.

2. Алешин И.В. Информационно-безопасные системы. Анализ проблемы. - СПб.: Изд-во СПбГТУ, 1996.

3. Завгородний, В.И. Комплексная защита информации в компьютерных системах. - М.: Логос, 2014.

4. Гмурман А.И. Информационная безопасность.- М.: «БИТ-М», 2004. С.23-35.

5. А. Я. Приходько Информационная безопасность в событиях и фактах Издательство «Синтег», 2003. - 260с.

6. Галатенко В. А. Основы информационной безопасности издательство "Интернет-университет информационных технологий - ИНТУИТ. ру". 2003 г. - 400 стр.

7. Теория и практика обеспечения информационной безопасности, под редакцией Зегжды П. Д., Изд. Яхтсмен, 1996.

8. Клименко С., Уразметов В., Internet. Среда обитания информационного общества, Российский Центр Физико-Технической Информатики, 1995.

9. Соколов А. В. Методы информационной защиты объектов и компьютерных сетей. Издательство - "Полигон", 2000. - 272С.

10. Б. Анин. Защита компьютерной информации. Издательство - BHV - Санкт - Петербург, 2000. - 376С.

11. Г. Проскурин, Г. В. Фоменков Защита программ данных. Издательство - Радио и связь, 2000. - 188с.

12. М. Арсентьев. Экономическая безопасность. Обозреватель, №5, 1998 г.

13. С. Загашвили. Экономическая безопасность России. М., ЮристьБ 1997 г.

14. Основы экономической безопасности (государство, регион, предприятие, личность)./Под ред. Олейникова Е.А. М, ЗАО “Бизнес школа “Интел-Синтез”, 1997

15. К.Х. Ипполитов. Экономическая безопасность: стратегия возрождения России. М., Российский Союз предприятий безопасности, 1996 г.

16. Лаптев В.В. Введение в предпринимательское право.//М. Институт государства и права РАН.1994

17. Тамбовцев В.Л. Экономическая безопасность хозяйственных систем: структура, проблемы. // Вестник МГУ. Серия 6 "Экономика". 1995. №3.

18. Вечканов Г.С. Экономическая безопасность. СПб.: Питер, 2007. - 384 с.

19. Одинцов А.А. Экономическая и информационная безопасность. М.: Экзамен, 2005. - 576 с.

20. Петренко И.Н. Основы безопасности функционирования хозяйствующих субъектов. М.: Анкил, 2006. - 304 с.

21. Яскевич В.И. Секьюрити. Организационные основы безопасности фирмы. М.: Ось-89, 2008. - 368 с.

22. Есипов В.М. Экономическая безопасность хозяйствующих субъектов в России // ЭКО. - 2004. - N 7. - С.148-158.

23. Красноперова Т.Я. Экономическая безопасность банка как логической системы // Деньги и кредит. - 2007. - N 10. - С.37-41.

Размещено на Allbest.ru

...