Метод и модель формирования системы обеспечения информационной безопасности центра обработки данных кредитных организаций Российской Федерации тема диссертации и автореферата по ВАК РФ 05.13.19, кандидат технических наук Згурский, Антон Сергеевич

Актуальность темы диссертационного исследования.

На современном этапе развития российской государственности ключевое значение приобретают региональные проблемы ее безопасности. Понятие «региональная экономическая безопасность» можно трансформировать в понятие «устойчивость социально-экономической ситуации в регионе». В свою очередь, устойчивость региональной экономики в значительной мере базируется на устойчивости банковской системы и обеспечении ее безопасности.

Основной целью системы информационной безопасности кредитной организации является предотвращение ущерба интересам кредитной организации за счет хищения финансовых и материально-технических средств, уничтожения имущества и ценностей, разглашения, утраты, утечки, искажения и уничтожения информации, нарушения работы технических средств обеспечения деятельности кредитной организации, включая и средства информатизации, а также ущерба персоналу.

Деформации экономических отношений стали главной причиной роста криминальных явлений в финансово-кредитной сфере, которые стали наиболее опасными для общества из-за особого места «кровеносной системы» в экономике государства.

Криминализация банковской сферы развивается в следующих формах:

- хищение денежных средств банков с помощью различных мошеннических операций;

- использование банков в незаконных операциях представителями различных органов государственной власти;

- отмывание «грязных» капиталов через банковские операции.

Обеспечение безопасности кредитной организации включает в себя:

- физическую безопасность, под которой понимается обеспечение защиты от посягательства на жизнь персонала и клиентов банка; экономическую безопасность банка;

- экономическую безопасность банка;

- информационную безопасность банка;

- материальную безопасность банка.

Выделяют три основные составляющие проблемы обеспечения безопасности: правовая защита, организационная защита, программно-техническая. Вопрос обеспечения безопасности электронных технологий расчетов является одним из наиболее важных для финансово-платежной системы страны, так как любая дестабилизация в деятельности системы расчетов может привести к серьезному сбою работы всего государственного экономического механизма. В этой связи принимаемые меры и средства защиты должны охватывать технологический процесс совершения электронных

Г I расчетов в целом. Все подсистемы и средства автоматизации,' телекоммуникации и информационной безопасности должны устойчиво и безопасно функционировать в рамках технологического процесса совершения электронных расчетов [38].

Огромное внимание должно уделяться защите банковской информации. Банковская тайна - это особый правовой режим, не сводимый ни к одному другому правовому режиму информации, например, режиму коммерческой тайны.

Система мероприятий по обеспечению сохранения конфиденциальной информации должна предусматривать не только уровни защиты, обеспечивающие физическую сохранность документов, но также и защиту этой информации, находящейся в ЭВМ и в других технических средствах, от несанкционированного доступа, ее искажения и уничтожения.

В системе мер обеспечения безопасности банковской системы большое значение придается технической укрепленности, оснащению комплексами инженерно-технических средств охраны, включающими в себя системы контроля управления доступом, системы охранно-пожарной сигнализации, телевизионной охраны и наблюдения, защиты речевых сообщений, сбора и обработки информации, а также средства оперативной связи. Немаловажную роль в системе обеспечения безопасности кредитной организации играют сотрудники банковского сектора. По вопросам обеспечения безопасности банковского персонала дать какие-либо рекомендации не представляется возможным, так как каждая угроза в отношении сотрудника банка исходя из складывающейся обстановки требует принятия очень широкого спектра мер. В связи с этим с руководством и сотрудниками банка постоянно должна вестись работа профилактического характера под девизом «Правильное поведение - гарантия безопасности». Цель этих мероприятий - обратить их внимание на обеспечение собственной безопасности и безопасности членов их семей, подготовить их к действиям в случае возникновения экстренной ситуации (ограбления, похищения, вымогательства и др.).

Одной из наиболее важных проблем, связанных с обеспечением банковской безопасности, является противодействие легализации преступно полученных капиталов и криминализации сферы функционирования кредитно-финансовых структур.

Вхождение России в мировое экономическое сообщество потребовало уделить этой проблеме самое серьезное внимание и, прежде всего, со стороны банковских структур. Большое значение для защиты банковской системы Российской Федерации от проникновения преступных капиталов и обеспечения V ее авторитета и стабильности имели разработанные Банком России 6

Методические рекомендации по вопросам организации работы по предотвращению проникновения доходов, полученных незаконным путем, в банки и иные кредитные организации», в которых был учтен опыт ведущих стран мира и рекомендации Специальной финансовой комиссии. Одним из основных стратегических направлений является объединение усилий всех заинтересованных организаций на создание системы раннего оповещения банковского сообщества о наиболее опасных схемах финансового мошенничества и иных угрозах ресурсам банков. При этом объединение усилий негосударственного банковского сообщества и государственной правозащитной системы основано на совпадении целей их деятельности [7].

Цель диссертационной работы.

Целью диссертационной работы является разработка метода и модели формирования системы обеспечения информационной безопасности центра обработки данных кредитной организации. Задачи исследования.

Поставленная цель достигается решением следующих основных задач:

1. Анализ состояния обеспечения информационной безопасности банковских информационных ресурсов.

2. Анализ банковских объектов информационных ресурсов, подлежащих защите от потенциальных угроз.

3. Разработка общей модели угроз информационной безопасности кредитной организации.

4. Разработка метода и модели формирования системы обеспечения информационной безопасности центра обработки данных кредитной организации.

В соответствии с целями и задачами диссертационной работы определены ее предмет и объект.

Объект и предмет диссертационной работы.

Объектом диссертационной работы является система обеспечения информационной безопасности кредитных организаций. Предмет исследования - метод и модель формирования системы обеспечения информационной безопасности центра обработки данных кредитной организации.

Методологическая основа исследования.

Методологической основой исследования являются труды отечественных и зарубежных ученых и специалистов по информационной безопасности, нормативные документы Банка России, энциклопедическая и справочная литература, материалы периодической печати, а также опыт организации работы по обеспечению безопасности банковских учреждений Санкт-Петербурга.

Научная новизна.

Научная новизна результатов, полученных автором, заключается в следующем:

1. Раскрытие понятия системы обеспечения информационной безопасности кредитной организации, определения ее составных частей и элементов, исходя из анализа объектов, подлежащих защите от внешних и внутренних угроз.

2. Разработаны модели угроз информационной безопасности кредитной организации.

3. Разработан алгоритм расчета значимости угроз информационной безопасности.

4. Разработан метод формирования системы обеспечения информационной безопасности центра обработки данных кредитных организаций Российской Федерации.

5. Разработана модель системы обеспечения информационной безопасности центра обработки данных кредитных организаций Российской Федерации.

Практическая значимость работы.

Предложенные методы и результаты диссертационной работы повышают уровень безопасности и расширяют возможности по обнаружению и предотвращению угроз информационной безопасности кредитных организаций.

Практическая значимость работы состоит в возможности использования и применения кредитными организациями сформулированных в диссертационной работе понятий и результатов исследования.

Материалы диссертации используются при разработке методических материалов и нормативной документации банковскими учреждениями Санкт-Петербург, а также в учебном процессе Кафедры мониторинга и прогнозирования информационных угроз Санкт-Петербургского национального исследовательского университета информационных технологий, механики и оптики (далее - СПбНИУ ИТМО).

Апробация работы.

Основные положения диссертации докладывались на научно-практических конференциях СПбНИУ ИТМО и других научно-практических конференциях России. Отдельные теоретические и практические положения работы используются в учебном процессе кафедры «Мониторинга и прогнозирования информационных угроз» СПбНИУ ИТМО, на курсах переподготовки специалистов служб безопасности и защиты информации кредитных организаций Российской Федерации (2009, 2010, 2011) и при. разработке нормативной документации банковских учреждений Российской Федерации.

Выводы

В работе получены следующие основные результаты:

1. Проведено исследование в определении степени потребности актива в свойстве безопасности.

2. Предложен метод оценки степени потребности актива в актуальном свойстве безопасности.

3. Разработаны требования и рекомендации к формированию политики информационной безопасности кредитной организации.

4. Разработана модель угроз нарушения свойств безопасности.

5. Разработан алгоритм расчета значимости угрозы ИБ.

6. Разработан метод и модель формирования системы обеспечения информационной безопасности центра обработки данных кредитной организации кредитной организации.

Заключение

В диссертационной работе представлены методологические основы построения системы обеспечения информационной безопасности кредитных организаций. Рассмотрены роль и место информации и информационных технологий в современной жизни, безопасность национальных интересов в информационной сфере.

Проанализированы причины возникновения угроз информационной безопасности. Рассмотрено современное состояние исследований и разработок в области определения моделей информационной безопасности, приведены примеры таких моделей.

Основную роль в методе разработки системы обеспечения информационной безопасности играет модель информационной безопасности (модель нарушителя ИБ, модель угроз нарушения свойств безопасности ресурсов кредитной организации, модель политики безопасности). Целью этой модели является выражение сути требований по безопасности к определенной системе.

В работе определено понятие центра обработки данных, сформулированы определение и основные этапы и объекты обеспечения информационной безопасности ЦОД, рассмотрен вопрос формирования политики информационной безопасности кредитных организаций, ее направленность и аспекты.

В диссертационном исследовании представлены метод и модель формирования системы обеспечения информационной безопасности ЦОД кредитной организации. Для формирования наиболее полной и надежной системы обеспечения информационной безопасности ЦОД кредитной организации сформированы модели угроз нарушения свойств безопасности:

- информационных активов ЦОД;

- физических активов ЦОД;

- технических активов ЦОД.

1. Гражданский кодекс Российской Федерации.

2. Уголовный кодекс Российской Федерации.

3. Федеральный закон Российской Федерации «Об информации, информатизации и защите информации» № 24-ФЗ от 20.02.95 г.

4. Федеральный закон Российской Федерации «О банках и банковской деятельности» №395- 1 (ред. от 08.07.99 г.) от 02.12.90 г.

5. Федеральный закон Российской Федерации «О персональных данных» № 152-ФЗ (ред. От 04.06.2011 г.) от 27.07.2006 г.

6. Федеральный закон Российской Федерации «О безопасности» №2446-1 (с изменениями от 26.06.2008 г.) от 05.03.92 г.

7. Доктрина информационной безопасности Российской Федерации. Указ Президента РФ № 1895 от 09.09.2000 г. //Российская газета. 2000.

8. Приказ Центрального банка Российской Федерации «О введении в действие Временных требований по обеспечению безопасности технологий обработки электронных платежных документов в системе Центрального банка Российской Федерации» №02-144 от 03.04.97 г.

9. Приказ Центрального банка Российской Федерации «О вводе в действие «Основных направлений политики информационной безопасности Банка России» №ОД-103 от 06.03.2006 г.

10. ГОСТ 34.601-90 Автоматизированные системы. Стадии создания. М. : ИПК Издательство стандартов, 1992.

11. ГОСТ 34.201-89 Информационная технология. Комплекс стандартов на автоматизированные системы. Виды, комплектность и обозначениедокументов при создании автоматизированных систем. М. : ИПК Издательство стандартов, 2002.

12. ГОСТ Р 51275-2006. Защита информации. Объект информатизации. Факторы воздействующие на информацию. М.: Издательство стандартов, 2006.

13. Стандарт Банка России. Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения СТО БР ИББС-1.0-2010», от 21.06.2010г. -М. 2010.

14. Стандарт Банка России. Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Аудит информационной безопасности СТО БР ИББС-1.1-2007», от 01.05.2017 г. -М. 2007.

15. Международный стандарт ISO/IEC 27006:2007 «Информационные технологии. Методы обеспечения безопасности. Требования к органам аудита и сертификации систем управления информационной безопасностью».

16. Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных. ФСТЭК России 15.02.2008 г.

17. Руководящий документ. □ Средства вычислительной техники. □ Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации от 30.03.1992 г.

18. Белкин П.Ю., Михальский О.О., Першаков A.C. Программно-аппаратные средства обеспечения информационной безопасности. Защита программ и данных. Учеб. пособие для вузов, М: Радио и связь, 2000.

19. Бичуяров Т.А. / под ред. Л.Г. Осовецкого Безопасность корпоративных сетей. СПб: СПб ГУ ИТМО, 2004.

20. Бойцев О.М. Защити свой компьютер от вирусов и хакеров. СПб.: Питер, 2009.

21. Веитцель Е.С., Овчаров JI.A. Теория вероятностей и ее инженерные приложения: Учебное пособие для вузов / Зе изд., перераб. и доп. - М. : Издательский центр «Академия», 2003 г.

22. Вентцель Е.С. Теория вероятностей. Учеб. для вузов М.: Высшая школа, 1999 г.

23. Вихорев C.B., Кобцев Р.Ю. Как узнать откуда напасть, или откуда исходит угроза безопасности информации СПб. : Конфидент, 2002.

24. Гамза В.А., Ткачук И.Б. Безопасность коммерческого банка: Учебное пособие М. : издатель Шумилова И.И., 2000 г.

25. Гамза В., Ткачук И. Концепция банковской безопасности: структура и содержание // Аналитический банковский журнал, № 5 с. 2002 г.

26. Гамза В., Ткачук И. Безопасность банковской деятельности М. : Маркет ДС, 2006 г.

27. Герасименко В.А., Малюк A.A. Основы защиты информации. М.: 1997 г.

28. Губенков A.A., Байбурин В.Б. Информационная безопасность. М.: ЗАО «Новый издательский дом», 2005 г.

29. Девянин П.Н., Михальский О.О., Правиков Д.И., Щербаков А.Ю. Теоретические основы компьютерной безопасности. М.: Радио и связь, 2000г.

30. Деднев М.А., Дыльнов Д.В., Иванов М.А. Защита информации в банковском деле и электронном бизнесе. М. : КУДИЦ-Образ, 2004 г.

31. Дидюк Ю.Е. Методика выбора средств защиты информации в автоматизированных системах / Радиотехника и системы связи, вып. 4.3, 2003 г.

32. Домарев B.B. Защита информации и безопасность компьютерных систем. -К.: Издательство «Диа-Софт», 1999 г.

33. Ерохин С.С. Модель нарушителей для информационных систем электронной коммерции. Научная сессия ТУСУР — 2009: Материалы докладов Всероссийской научно-технической конференции студентов, аспирантов и молодых ученых, Томск 12-15 мая 2009 г.

34. Ефимов П. Концепция обеспечения безопасности информационных технологий. //Банковское дело. —№ 7, 1995 г.

35. Жигулин Г.П. Прогнозирование устойчивости субъекта информационного взаимодействия. -СПб.: СПбГУ ИТМО, 2006 г.

36. Жигулин Г.П. Информационная война и информационная безопасность. СПб: СПб ГИТМО (ТУ), 2002 г.

37. Жигулин Г.П., Новосадов С.Г., Яковлев А.Д. Информационная безопасность. СПб: СПб ГИТМО (ТУ), 2003 г.

38. Забелин П.В. Информационная безопасность Российского государства: социально-политические и социально-культурные проблемы. М.: Грошев-Дизайн, 2001 г.

39. Зегжда Д.П., Ивашко A.M. Как построить защищенную информационную систему. Технология создания безопасных систем. 4.2. СПб.: Мир и семья, 1998 г.

40. Згурский A.C. Комплексное обеспечение безопасности кредитных организаций // Актуальные проблемы гуманитарных и естественных наук. Выпуск №5. м.: 2010 г.

41. Згурский A.C., Корбаинова Е.В. Система обеспечения информационной безопасности кредитных организаций. Метод создания политики информационной безопасности // Сборник тезисов VIII

42. Всероссийской межвузовской конференции молодых ученых. Выпуск №1. -СПб: СПбГУ ИТМО, 2011 г.

43. Згурский A.C., Корбаинова Е.В. Алгоритм оценки степени потребности информационного актива в свойствах безопасности // Научно-технический вестник Поволжья, Том №2 К., 2011 г.

44. Згурский A.C., Корбаинова Е.В. Определение степени потребности активов центра обработки данных кредитной организации в свойствах безопасности // Научно-технический вестник Поволжья, Том №3 К., 2011 г.

45. Згурский A.C. Требования и рекомендации к формированию политики информационной безопасности кредитных организаций Российской Федерации // Актуальные проблемы гуманитарных и естественных наук. Выпуск №6. М., 2011 г.

46. Згурский A.C. Корбаинова Е.В. Определение уровня уязвимости и оценка влияния свойства безопасности актива на деятельность центра обработки данных // Проблемы информационной безопасности. Компьютерные системы. Выпуск №3, СПб., 2011 г.

47. Зубик В.Б. и другие. Экономическая безопасность предприятия (фирмы). Минск: «Вышэйшая школа», 1998 г.

48. Иванов В.П. Иванов A.B. К вопросу о выборе технических средств защиты информации от НСД / Защита информации. INSIDE. №1, 2006 г.

49. Калугин Н.М., Кудрявцев A.B., Савинская H.A. Банковская коммерческая безопасность : Учебное пособие.-СПб.:СПбГИЭУ, 1996 г.

50. Куранов А. К вопросу о защите коммерческой тайны. // Банки и технологии. Вып. № 1, 1998 г.

51. Курило А.П. Вопросы укрепления безопасности банковской системы в современных условиях.-Материалы учебно-практической конференции «Актуальные проблемы безопасности банковского дела в условиях финансового кризиса», М., 1999 г.

52. Малюк A.A. Информационная безопасность: концептуальные и методолоические основы защиты информации. Учебное пособие для вузов, М., 2004 г.

53. Малюк A.A., Пазизин C.B., Погожин Н.С. Введение в защиту информации в автоматизированных системах: Учебное пособие для вузов. 2-е изд М.: Горячая линия — Телеком, 2004 г.

54. Минько A.A. Статистический анализ в MSExcel. M. : Издательский дом «Вильяме», 2004 г.

55. Романец Ю.В., Тимофеев П.А., Шаньгин В.Ф. Защита информации в компьютерных системах и сетях. М. : «Радио и связь», 2011 г.

56. Стрельченко Ю.А. Обеспечение информационной безопасности банков: Методическое пособие. М.: ИПКИР, 2004 г.

57. Цирлов B.JI. Основы информационной безопасности автоматизированных систем. Феникс, 2008 г.

58. Черенков В.Е. Современные направления и механизмы обеспечения экономической безопасности банковской системы России. М. : БФ ОРАГС, 2006 г.

59. Чижиков В.Д. Эффективность функционирования информационного центра технического вуза / В.Д. Чижиков; под. ред: Е.А. Карева. Ул.: УлГТУ, 2006г.

60. Щербаков А.Ю. К вопросу о гарантированной реализации политики безопасности в компьютерной системе. Безопасность информационных технологий. Вып. № 1, 1997 г.

61. Ярочкин В.И. Безопасность банковский систем. -М.: Ось-89, 2004 г.

62. Ярочкин, В.И., Бузанова, Я.В. Аудит безопасности фирмы: теория и практика : учеб. пособие для вузов. М.: Академический Проект; Королев: Парадигма, 2005 г.

63. Сайт Центрального банка Российской Федерации www.cbr.ru.

64. Сводная энциклопедия «Википедия». (http://ru.wikipedia.org).