Un sistem de securitate a informațiilor este un ansamblu de măsuri organizatorice și tehnice menite să asigure securitatea informatieiîntreprinderilor. Obiectul principal de protecție îl constituie datele care sunt prelucrate într-un sistem automat de control (ACS) și implicate în efectuarea proceselor de muncă.
Un sistem de securitate a informațiilor (ISS) poate fi în cel mai bun caz adecvat pentru potențialele amenințări. Prin urmare, atunci când planificați protecția, este necesar să ne imaginăm cine și ce fel de informații pot fi de interes, care este valoarea acesteia și ce sacrificii financiare poate face un atacator pentru aceasta.
Sistemul de securitate a informațiilor ar trebui să fie cuprinzător, adică să utilizeze nu numai mijloace tehnice de protecție, ci și cele administrative și juridice. GIS trebuie să fie flexibil și adaptabil la condițiile în schimbare. Rolul principal în acest sens este jucat de măsuri administrative (sau organizaționale), cum ar fi, de exemplu, schimbarea regulată a parolelor și cheilor, ordinea strictă a stocării acestora, analiza jurnalelor de evenimente în sistem, distribuirea corectă a drepturilor de utilizator și multe altele. Mai Mult. Persoana responsabilă pentru toate aceste acțiuni trebuie să fie nu doar un angajat dedicat, ci și un specialist înalt calificat atât în domeniul mijloacelor tehnice de protecție, cât și în domeniul instrumentelor de calcul în general.
Se disting următoarele domenii principale de protecție și mijloacele tehnice corespunzătoare:
Protecție împotriva accesului neautorizat (UAS) la resursele computerelor autonome și conectate în rețea. Această funcție este implementată de software, firmware și hardware, care vor fi discutate mai jos cu exemple specifice.
Protejarea serverelor și a utilizatorilor individuali de internet împotriva hackerilor rău intenționați care pătrund din exterior. Pentru aceasta se folosesc firewall-uri speciale (firewall-uri), care au devenit recent mai răspândite (vezi „PC World”, nr. 11/2000, p. 82).
Protecția informațiilor secrete, confidențiale și personale împotriva citirii de către persoane neautorizate și a distorsiunii deliberate a acestora se realizează cel mai adesea cu ajutorul instrumentelor criptografice, alocate în mod tradițional unei clase separate. Aceasta include, de asemenea, confirmarea autenticității mesajelor folosind electronice semnatura digitala(EDS). Utilizarea criptosistemelor cu chei publice și EDS are perspective mari în domeniul bancar și în domeniul comerțului electronic. În acest articol, acest tip de protecție nu este luat în considerare.
În ultimii ani, protecția software-ului împotriva copierii ilegale cu ajutorul cheilor electronice a devenit destul de răspândită în ultimii ani. V această recenzie este luată în considerare și pe exemple specifice.
Protecție împotriva scurgerilor de informații prin canale laterale (prin circuite de alimentare, canalul de radiații electromagnetice de la un computer sau monitor). Aici se folosesc astfel de mijloace dovedite precum ecranarea camerei și utilizarea unui generator de zgomot, precum și o selecție specială de monitoare și componente de computer care au cea mai mică zonă de radiație în intervalul de frecvență care este cel mai convenabil pentru intruși să captureze și să captureze de la distanță. decodifica semnalul.
Protecția împotriva programelor spion instalate direct în componentele computerului, precum și măsurătorile zonei de radiații, sunt realizate de organizații speciale care au licentele necesare autoritățile competente.
Unul dintre obiectivele importante ale părții atacatoare în condițiile unui conflict informațional este reducerea indicatorilor de promptitudine, fiabilitate și securitate a schimbului de informații în sistemul oponent la un nivel care să conducă la pierderea controlului.
În lucrarea „Principii de bază ale asigurării securității informațiilor în timpul funcționării elementelor rețelelor de calculatoare” A.A. Gladkikh și V.E. Dementiev, se oferă o descriere structural-schematică a confruntării informaționale.
Autorii scriu că conținutul confruntării informaționale include două componente, care acoperă întregul set de acțiuni care permit atingerea superiorității informaționale asupra inamicului. Primul parte integrantă este contracararea la suportul informațional al controlului inamicului (contraacțiunea informațională).
Acesta include măsuri de încălcare a confidențialității informațiilor operaționale, introducerea dezinformarii, blocarea achiziției de informații, prelucrarea și schimbul de informații (inclusiv distrugerea fizică a purtătorilor de informații) și blocarea faptelor de introducere a dezinformarii în toate etapele informației. sprijin pentru controlul inamicului. Contracararea informațiilor se realizează prin realizarea unui set de măsuri, inclusiv recunoașterea tehnică a sistemelor de comunicații și control, interceptarea informațiilor operaționale transmise prin canalele de comunicare. Este dată o diagramă (Fig. 1.1.):
Orez. 1.1. Structura confruntării informaţionale
A doua parte constă în măsuri de protejare a informațiilor, a mijloacelor de stocare, prelucrare, transmitere și automatizare a acestor procese de influențele inamice (protecția informațiilor), inclusiv acțiuni de eliberare a informațiilor (inclusiv protecția purtătorilor de informații împotriva distrugerii fizice) necesare pentru rezolva controlul și blocarea dezinformației diseminate și introduse în sistemul de control.
Protecția informațiilor nu exclude măsurile de recunoaștere, de protecție împotriva captării elementelor sistemelor informatice, precum și de protecție electronică. După cum știți, atacurile pot fi efectuate atât din exteriorul rețelei (atacuri de rețea), cât și prin canale interne (atacuri fizice). Prin urmare, protecția informațiilor este împărțită și în două tipuri: externă și internă. Partea atacantă va încerca să folosească ambele tipuri de atacuri pentru a-și atinge obiectivele.
Scenariul acțiunilor sale este de a folosi atacuri fizice pentru a sechestra unele informații despre rețea și apoi de a folosi atacuri de rețea pentru a efectua acces neautorizat (UAS) la componentele întregii rețele a sistemului. Potrivit statisticilor, ponderea atacurilor fizice este de 70%. numărul total atacuri comise. Figura 1.2 oferă o evaluare a UA comise în timpul atacurilor fizice asupra rețelelor de calculatoare, în timp ce pentru claritate, datele comparative pentru diferite categorii de încălcări sunt date pe o scară de zece puncte. Se observă că poziția a 5-a la toate categoriile se impune.
Cele mai frecvente încălcări ale rețelei sunt: colectarea numelor și parolelor, ghicirea parolelor, efectuarea de acțiuni care duc la depășirea dispozitivelor tampon etc.
Orez. 1.2. Evaluarea UA în cursul atacurilor fizice asupra rețelelor de calculatoare pe un sistem în zece puncte
Într-adevăr, în cazul obținerii accesului la echipamente de birou, desktop-uri ale angajaților, sisteme informatice și dispozitive de rețea, partea atacantă crește dramatic șansele de succes pentru a studia vulnerabilitățile din sistemul de protecție și a efectua un atac eficient.
În cartea lui A.A. Gladkikh și V.E. Dementiev oferă o metodă matematică pentru calcularea factorului de protecție:
Căutarea vulnerabilităților în complexul de informații și decontare (CIS) durează un anumit interval de timp, în timp ce atacul este efectuat la interval. Aici >> , în timp ce este destul de mic, și > 0. Să-l definim ca factor de protecție. Dacă CFM este considerat invulnerabil, atunci partea atacantă folosește informații a priori pentru a depăși apărarea și pentru a efectua un atac asupra sistemului. Vom presupune că sistemul de protecție este pasiv la, la, resursa sistemului crește cu un factor de.
Valorile parametrilor sunt furnizate datorită modificărilor în timp util în configurația sau pregătirea protecției în locul parametrilor reali ai CFM, false, înșelătoare. Este recomandabil să evidențiați pregătirea unor astfel de parametri ca zonă independentă de protecție, fără a o lega cu o serie de sarcini de bază pentru a asigura siguranța CFM.
Amenintari la securitatea informatiei in sistemele informatice si clasificarea acestora.
O amenințare la securitatea informațiilor este un potențial eveniment, proces sau fenomen care poate duce la distrugerea, pierderea integrității, confidențialitatea sau disponibilitatea informațiilor.
Toate gata potenţiale ameninţări securitatea informației în sistemele informatice automatizate (AIS) sau în sistemele informatice (CS) poate fi împărțită în două clase: amenințări aleatorii și amenințări deliberate. Amenințările care nu sunt legate de acțiunile deliberate ale intrușilor și sunt realizate la momente aleatorii sunt numite aleatorii sau neintenționate.
Amenințările aleatorii includ: dezastre naturaleși accidente, defecțiuni și defecțiuni ale mijloacelor tehnice, erori în dezvoltarea AIS sau CS, erori algoritmice și software, erori ale utilizatorului și personal de serviciu.
Implementarea amenințărilor din această clasă duce la cea mai mare pierdere de informații (conform statisticilor - până la 80% din daunele cauzate resurselor informaționale ale CS de orice amenințări). În acest caz, poate apărea distrugerea, încălcarea integrității și disponibilitatea informațiilor. Confidențialitatea informațiilor este încălcată mai rar, dar acest lucru creează condițiile prealabile pentru o influență rău intenționată asupra informațiilor. Conform acelorași statistici, până la 65% dintre încălcările securității informațiilor apar doar ca urmare a erorilor utilizatorilor și ale personalului de service.
De menționat că mecanismul de implementare a amenințărilor aleatorii a fost studiat destul de bine și s-a acumulat o experiență considerabilă în combaterea acestor amenințări. Tehnologia modernă pentru dezvoltarea hardware și software, un sistem eficient de funcționare a sistemelor informatice automatizate, inclusiv redundanța obligatorie a informațiilor, poate reduce semnificativ pierderile din implementarea amenințărilor din această clasă.
Amenințările care sunt asociate cu acțiunile rău intenționate ale oamenilor, iar aceste acțiuni nu sunt doar aleatorii în natură, ci, de regulă, sunt imprevizibile, sunt numite deliberate.
Amenințările deliberate includ:
Spionajul și sabotajul tradițional sau universal,
Acces neautorizat la informații,
Radiații electromagnetice și interferențe,
modificarea neautorizată a structurilor,
Programe rău intenționate.
Metodele și mijloacele de spionaj și sabotaj sunt încă relevante ca surse de impact nedorit asupra resurselor informaționale. Metodele de spionaj și sabotaj includ: interceptarea cu urechea, supravegherea vizuală, furtul de documente și medii de mașină informare, furt de programe și atribute ale sistemelor de protecție, mită și șantaj angajaților, colectarea și analiza mediilor de depozitare a deșeurilor mașinilor, incendiere, explozii, atacuri armate de sabotaj sau grupări teroriste.
Accesul neautorizat la informații reprezintă o încălcare a regulilor de control al accesului folosind echipamente informatice standard sau sisteme automate.
Accesul neautorizat este posibil:
În lipsa unui sistem de control acces;
În caz de defecțiune sau defecțiune a sistemelor informatice;
În cazul acțiunilor eronate ale utilizatorilor sau personalului de întreținere a sistemelor informatice;
În cazul unor erori în sistemul de distribuție a accesului;
La falsificarea acreditărilor.
Procesul de procesare și transmitere a informațiilor prin mijloacele tehnice ale sistemelor informatice este însoțit de radiații electromagnetice în spațiul înconjurător și de inducția de semnale electrice în liniile de comunicație, semnalizare, împământare și alte conductori. Toate acestea au fost numite: „Radiții și interferențe electromagnetice parasite” (PEMIN). Radiațiile electromagnetice și capturile pot fi folosite de intruși atât pentru a obține informații, cât și pentru a le distruge.
O mare amenințare la adresa securității informațiilor din sistemele informatice este modificarea neautorizată a structurii algoritmice, software și tehnice a sistemului. Una dintre principalele surse de amenințări la securitatea informațiilor în CS este utilizarea programe speciale, numite „programe de distrugere”.
În funcție de mecanismul de acțiune, sabotorii sunt împărțiți în patru clase:
- „bombe logice”;
- „viermi”;
- "Cai troieni";
- „virusuri informatice”.
Bombe logice- sunt programe sau părți ale acestora care se află permanent într-un computer sau sisteme de calcul (CS) și sunt executate numai dacă anumite condiții. Exemple de astfel de condiții pot fi: debutul unei date date, trecerea COP la un anumit mod de operare, apariția anumitor evenimente de un anumit număr de ori și altele asemenea.
Viermi- sunt programe care se execută de fiecare dată când sistemul pornește, au capacitatea de a se deplasa în sisteme de calcul (CS) sau în rețea și auto-reproduce copii. Reproducerea avalanșă a programelor duce la supraîncărcarea canalelor de comunicare, blocarea memoriei și a sistemului.
cai troieni sunt programe obținute prin modificarea sau adăugarea explicită de comenzi la programele utilizatorului. Atunci când programele utilizatorului sunt executate ulterior, funcțiile neautorizate, modificate sau noi sunt executate împreună cu funcțiile specificate.
Virușii informatici- sunt mici programe care, după ce sunt introduse într-un computer, sunt distribuite independent prin crearea copiilor, iar în anumite condiții au un impact negativ asupra COP.
Toți virușii informatici sunt clasificați după următoarele criterii:
- după habitat;
- în funcție de metoda de infectare;
- în funcție de gradul de pericol al efectelor nocive;
- conform algoritmului de operare.
După habitat, virușii informatici sunt împărțiți în:
- reţea;
- fişier;
- cizma;
- combinate.
Habitat reţea virușii sunt elemente ale rețelelor de calculatoare. Fişier virușii sunt localizați în fișiere executabile. Boot virușii se află în sectoarele de pornire ale dispozitivelor de stocare externe. Combinate virusurile sunt găzduite în mai multe habitate. De exemplu, virușii de boot-file.
Virușii informatici sunt împărțiți în:
- rezident;
- non rezident.
Virușii rezidenți, după activarea lor, se mută complet sau parțial din habitatul lor în memoria RAM a computerului. Acești viruși, folosind, de regulă, moduri privilegiate de operare care sunt permise numai de sistemul de operare, infectează mediul și, în anumite condiții, implementează o funcție de distrugere.
Virușii nerezidenți intră în memoria RAM a computerului doar pe durata activității lor, timp în care efectuează funcțiile de sabotaj și infecție. Apoi părăsesc complet memoria de lucru, rămânând în habitat.
În funcție de gradul de pericol pentru resursele informaționale ale utilizatorului, virușii sunt împărțiți în:
- inofensiv;
- periculos;
- foarte periculos.
Cu toate acestea, astfel de viruși provoacă încă unele daune:
- consuma resursele sistemului informatic;
- poate conține erori care provoacă consecințe periculoase pentru resursele informaționale;
- virușii creați anterior pot duce la încălcări ale algoritmului obișnuit al sistemului în timpul upgrade-ului sistem de operare sau hardware.
Virușii periculoși provoacă o scădere semnificativă a eficienței unui sistem informatic, dar nu duc la încălcarea integrității și confidențialității informațiilor stocate în dispozitivele de stocare.
Virușii foarte periculoși au următoarele efecte nocive:
- provoca o încălcare a confidențialității informațiilor;
- distruge informațiile;
- provoca modificarea ireversibilă (inclusiv criptarea) informațiilor;
- blocarea accesului la informații;
- duce la defecțiuni hardware;
- dăunează sănătății utilizatorilor.
Conform algoritmului de funcționare, virușii sunt împărțiți în:
- nu schimba habitatul în timpul distribuției lor;
- schimbând habitatul pe măsură ce se răspândesc.
Organizația de securitate a informațiilor ar trebui să poarte natură complexăși să se bazeze pe o analiză profundă a posibilelor consecințe negative. Este important să nu ratați niciun aspect semnificativ. Analiza consecințelor negative presupune identificarea obligatorie a posibilelor surse de amenințări, factori care contribuie la manifestarea acestora și, ca urmare, identificarea amenințărilor efective la adresa securității informațiilor. În cursul unei astfel de analize, este necesar să ne asigurăm că toate sursele posibile de amenințări sunt identificate, identificate și comparate cu sursele amenințărilor, toți factorii (vulnerabilitățile) posibili inerenți obiectului protecției, toate sursele și factorii identificați. sunt comparate cu amenințările la securitatea informațiilor.
Plăți bancare fără numerar. În această parte, ne vom concentra pe formarea cerințelor pentru sistemul de securitate a informațiilor (IS) creat.
- rolul securității în viața unei organizații comerciale;
- locul serviciului de securitate a informațiilor în structura conducerii organizației;
- aspecte practice ale securității;
- aplicarea teoriei managementului riscului în securitatea informațiilor;
- principalele amenințări și daune potențiale din implementarea acestora;
- compus cerințe obligatorii prezentate sistemului IS de plăți bancare fără numerar.
Rolul securității în viața unei organizații comerciale
În mediul economic modern rusesc, există multe tipuri variate organizatii. Poate fi intreprinderi de stat(FGUP, MUP), fonduri publice și, în sfârșit, organizații comerciale obișnuite. Principala diferență dintre aceștia din urmă și toți ceilalți este că scopul lor principal este maximizarea profiturilor și tot ceea ce fac vizează tocmai acest lucru.
Câştiga organizare comercială poate fi în moduri diferite, dar profitul este întotdeauna definit în același mod - este venit minus cheltuieli. În același timp, dacă securitatea nu este principala activitate a companiei, atunci nu generează venituri, iar dacă da, atunci pentru ca această activitate să aibă sens, trebuie să reducă costurile.
Efectul economic al asigurării securității afacerii este de a minimiza sau elimina complet pierderile cauzate de amenințări. Dar trebuie avut în vedere și faptul că implementarea măsurilor de protecție costă și bani și, prin urmare, adevăratul profit din securitate va fi egal cu suma economisită din implementarea amenințărilor de securitate, redusă cu costul măsurilor de protecție.
Odată, a avut loc o conversație între proprietarul unei bănci comerciale și șeful serviciului de securitate al organizației sale pe tema efectului economic al asigurării securității. Esența acestei conversații reflectă cel mai exact rolul și locul securității în viața unei organizații:
Securitatea nu ar trebui să stea în calea afacerilor.
- Dar trebuie să plătești pentru securitate și trebuie să plătești pentru lipsa ei.
Un sistem de securitate ideal este mijlocul de aur dintre amenințările neutralizate, resursele cheltuite pentru el și profitabilitatea afacerii.
Locul serviciului de securitate a informațiilor în structura conducerii organizației
Unitatea structurală responsabilă cu asigurarea securității informațiilor poate fi numită diferit. Poate fi un departament, departament sau chiar un departament de securitate a informațiilor. Mai mult, pentru unificare, această unitate structurală va fi numită pur și simplu serviciul de securitate a informațiilor (ISS).
Motivele creării SIB pot fi diferite. Subliniem două principale:
- Frică.
Conducerea companiei este conștientă de faptul că atacurile informatice sau scurgerile de informații pot duce la consecințe catastrofale și depune eforturi pentru a le neutraliza. - Asigurarea conformității legale.
De operare cerinte legale impun obligații companiei pentru a forma INS, iar conducerea de vârf depune eforturi pentru a le îndeplini.
Din punctul de vedere al subordonării SIS, există o singură restricție prescrisă în dispozițiile de mai sus ale Băncii Centrale a Federației Ruse - „Serviciul de securitate a informațiilor și serviciul de informatizare (automatizare) nu ar trebui să aibă un curator comun” , în caz contrar libertatea de alegere rămâne a organizației. Luați în considerare opțiunile tipice.
Tabelul 1.
| Subordonare | Particularități |
|---|---|
| NIB ca parte a IT | 1. Organizarea protecției este posibilă numai împotriva unui intrus extern. Principalul atacator intern probabil este un angajat IT. Este imposibil să te lupți cu el ca parte a IT. 2. Încălcarea cerințelor Băncii Rusiei. 3. Dialog direct cu IT, implementare simplă a sistemelor de securitate a informațiilor |
| SIB ca parte a serviciului de securitate | 1. Protecție împotriva acțiunilor intrușilor interni și externi. 2. SB - un singur punct de interacțiune pentru managementul de top în orice problemă de securitate. 3. Complexitatea interacțiunii cu IT, întrucât comunicarea are loc la nivelul șefilor IT și al Consiliului de Securitate, iar acesta din urmă, de regulă, are cunoștințe minime în IT. |
| NIB raportează președintelui Consiliului | 1. NIB are puteri maximeși propriul tău buget. 2. Se creează un punct suplimentar de control și interacțiune pentru Președintele Consiliului, ceea ce necesită o anumită atenție. 3. Posibile conflicte între SS și INS în ceea ce privește domeniile de responsabilitate în investigarea incidentelor. 4. Un SIS separat poate echilibra „politic” puterile Consiliului de Securitate. |
Atunci când interacționează cu alte divizii structurale și managementul de vârf al băncii, INS-ul oricărei organizații are unul o problemă comună- dovada necesității existenței acesteia (finanțare).
Problema este că cantitatea de economii din amenințările neutralizate la securitatea informațiilor nu poate fi determinată cu exactitate. Dacă amenințarea nu este realizată, atunci nu există daune din cauza acesteia și, deoarece nu există probleme, atunci nu este nevoie să le rezolvați.
Pentru a rezolva această problemă, NIB poate acționa în două moduri:
- Arata importanta economica
Pentru a face acest lucru, trebuie să țină o evidență a incidentelor și să evalueze daunele potențiale din implementarea lor. Suma totală a pagubelor potențiale poate fi considerată ca bani economisiți. Pentru a elimina dezacordurile cu privire la valoarea prejudiciului evaluat, se recomandă elaborarea și aprobarea unei metodologii de evaluare a acesteia în prealabil. - Gestionați PR-ul intern
Angajații obișnuiți ai organizației, de obicei, nu știu ce face SIS și consideră că angajații săi sunt mocasini și șarlatani care interferează cu munca, ceea ce duce la conflicte inutile. Prin urmare, ISS ar trebui să comunice periodic rezultatele activităților sale colegilor, să vorbească despre amenințările actuale ale IS, să efectueze instruiri și să le sensibilizeze. Orice angajat al companiei ar trebui să simtă că dacă are o problemă legată de IS, poate contacta ISS, iar ei îl vor ajuta acolo.
Aspecte practice de securitate
Să evidențiem aspectele practice ale asigurării securității, care trebuie comunicate conducerii de top și altora. diviziuni structurale, precum și luate în considerare la construirea unui sistem de securitate a informațiilor:
- Asigurarea securității este un proces continuu, fără sfârșit. Gradul de protecție atins cu ajutorul acestuia va fluctua în timp în funcție de factorii nocivi care influențează și de eforturile care vizează neutralizarea acestora.
- Securitatea nu poate fi asigurată ulterior, adică în momentul în care amenințarea a fost deja realizată. Pentru a neutraliza o amenințare, procesul de securitate trebuie să înceapă înainte de a fi încercat.
- Majoritatea amenințărilor sunt de natură antropogenă, adică organizațiile sunt amenințate într-un fel sau altul de oameni. După cum spun criminalistica informatică: „Nu programele fură, oamenii fură”.
- Amenințările trebuie neutralizate de către persoane ale căror securitatea este asigurată,
fie că este vorba de proprietari de afaceri sau clienți. - Securitatea este un derivat al culturii corporative. Disciplina necesară pentru implementarea garanțiilor nu poate fi mai mare decât disciplina generală în funcționarea organizației.
Managementul riscului
Securitatea informațiilor este doar unul dintre domeniile de securitate ( securitate economică, siguranță fizică, Siguranța privind incendiile, …). Pe lângă amenințările la securitatea informațiilor, orice organizație este expusă și altor amenințări la fel de importante, de exemplu, amenințări de furt, incendii, fraude din partea clienților fără scrupule, amenințări cu încălcarea cerințelor obligatorii (conformitate) etc.
În cele din urmă, pentru organizație nu contează de ce amenințare specifică va suferi pierderi, fie că este vorba de furt, incendiu sau hacking computer. Mărimea pierderilor (daunelor) este importantă.
Pe lângă cantitatea daunelor, un factor important în evaluarea amenințărilor este probabilitatea implementării, care depinde de caracteristicile proceselor de afaceri ale organizației, de infrastructura acesteia, de factorii externi rău intenționați și de contramăsurile luate.
O caracteristică care ia în considerare prejudiciul și probabilitatea realizării unei amenințări se numește risc.
Notă. definiție științifică riscul poate fi obținut în GOST R 51897-2011
Riscul poate fi măsurat atât cantitativ, de exemplu, prin înmulțirea daunelor cu probabilitate, cât și calitativ. O evaluare calitativă se efectuează atunci când nici daunele, nici probabilitatea nu sunt cuantificate. Riscul în acest caz poate fi exprimat ca un set de valori, de exemplu, deteriorarea este „medie”, probabilitatea este „mare”.
Evaluarea tuturor amenințărilor ca riscuri permite organizației să-și folosească eficient resursele disponibile pentru a neutraliza exact acele amenințări care sunt cele mai semnificative și mai periculoase pentru ea.
Managementul riscului este abordarea principală pentru construirea unui sistem de securitate cuprinzător și rentabil pentru o organizație. Mai mult, aproape toate bancare reguli construit pe baza recomandărilor de management al riscului ale Comitetului de la Basel pentru Supravegherea Bancară.
Principalele amenințări și evaluarea daunelor potențiale din implementarea lor
Să evidențiem principalele amenințări inerente activităților de efectuare a plăților bancare fără numerar și să determinăm prejudiciul maxim posibil din implementarea acestora.
Masa 2.
Aici, activitatea analizată include un set de procese de afaceri:
- implementarea relațiilor de corespondență cu băncile partenere și cu Banca Centrală a Federației Ruse;
- efectuarea decontărilor cu clienții.
Cerințe obligatorii pentru sistemul IS de plăți fără numerar
Luând în considerare principalele amenințări, am evaluat daunele acestora, dar nu am evaluat probabilitatea implementării lor. Cert este că, dacă daunele maxime posibile sunt aceleași pentru toate băncile, atunci probabilitatea implementării amenințărilor va diferi de la bancă la bancă și va depinde de măsurile de protecție aplicate.
Una dintre principalele măsuri de reducere a probabilității amenințărilor la securitatea informațiilor va fi:
- implementarea celor mai bune practici pentru IT și managementul infrastructurii;
- crearea unui sistem integrat de securitate a informațiilor.
Nuanța principală de care trebuie luată în considerare în chestiuni de securitate a informațiilor este aceea această specie activitățile sunt destul de strict reglementate de stat și de Banca Centrală. Indiferent de modul în care sunt evaluate riscurile, oricât de mici ar fi resursele de care dispune banca, protecția acesteia trebuie să îndeplinească cerințele stabilite. Altfel, nu va putea funcționa.
Să luăm în considerare cerințele de organizare a securității informațiilor care sunt impuse procesului de afaceri al relațiilor corespondente cu Banca Rusiei.
Tabelul 3
Documente care stabilesc cerințe |
Pedeapsa pentru nerespectare |
|---|---|
| Protecția informațiilor personale. Motiv - documentele de plata contin date personale (numele complet al platitorului/destinatarului, adresa acestuia, detaliile actului de identitate) |
|
| Legea federală „Cu privire la datele cu caracter personal” din 27 iulie 2006 nr. 152-FZ |
, - până la 75 mii de ruble. amenda., - până la 2 ani închisoare |
| Decretul Guvernului Federației Ruse din 1 noiembrie 2012 nr. 1119 „Cu privire la aprobarea cerințelor pentru protecția datelor cu caracter personal în timpul prelucrării acestora în sistemele de informații cu date cu caracter personal” | |
| Ordinul FSTEC al Rusiei din 18 februarie 2013 nr. 21 „Cu privire la aprobarea Compoziției și conținutului măsurilor organizatorice și tehnice pentru a asigura securitatea datelor cu caracter personal atunci când acestea sunt prelucrate în sistemele de informații cu date cu caracter personal” (Înregistrat la Ministerul Justiția Rusiei la 14 mai 2013 N 28375) | |
| Ordinul Serviciului Federal de Securitate al Rusiei din 10 iulie 2014 nr. 378 „Cu privire la aprobarea Compoziției și conținutului măsurilor organizatorice și tehnice pentru asigurarea securității datelor cu caracter personal atunci când acestea sunt prelucrate în sistemele de informații cu caracter personal folosind instrumente de protecție a informațiilor criptografice necesar pentru a efectua stabilit de Guvern Federația Rusă cerințe pentru protecția datelor cu caracter personal pentru fiecare dintre nivelurile de securitate "(Înregistrat la Ministerul Justiției din Rusia la 18 august 2014 N 33620) | |
| Ordonanța Băncii Rusiei nr. 3889-U din 10 decembrie 2015 „Cu privire la determinarea amenințărilor la securitatea datelor cu caracter personal relevante la prelucrarea datelor cu caracter personal în sistemele de informații cu date cu caracter personal” | |
| Asigurarea protectiei informatiilor in sistemul national de plati. Baza - o instituție de credit care efectuează transferuri Bani, face parte din sistemul național de plăți. |
|
| Legea federală „Cu privire la sistemul național de plăți” din 27 iunie 2011 nr. 161-FZ | Clauza 6 din art. 20 din Legea federală din 2 decembrie 1990 nr. 395-1 „Cu privire la bănci și activități bancare” - revocarea licenței |
| Decretul Guvernului Federației Ruse din 13 iunie 2012 nr. 584 „Cu privire la aprobarea Regulamentului privind protecția informațiilor în sistemul de plăți” | |
| Regulamentul Băncii Rusiei nr. 382-P din 9 iunie 2012 „Cu privire la cerințele pentru asigurarea protecției informațiilor la efectuarea transferurilor de bani și la procedura prin care Banca Rusiei exercită controlul asupra respectării cerințelor pentru asigurarea protecția informațiilor la efectuarea transferurilor de bani” | |
| Regulamentul Băncii Rusiei din 24 august 2016 Nr. 552-P „Cu privire la cerințele de protecție a informațiilor în sistemul de plăți al Băncii Rusiei” | |
| Documentație operațională pentru semnătura CIPF SKAD | |
| Asigurarea securității infrastructurii informaționale critice a Federației Ruse. Temeiul îl constituie banca în virtutea clauzei 8 a art. 2 FZ din 26 iulie 2017 Nr. 187-FZ este un subiect al infrastructurii informaționale critice |
|
| Legea federală nr. 187-FZ din 26 iulie 2017 „Cu privire la securitatea infrastructurii informaționale critice a Federației Ruse” | – până la 8 ani închisoare |
| Decretul Guvernului Federației Ruse din 8 februarie 2018 N 127 „Cu privire la aprobarea Regulilor de clasificare a obiectelor infrastructurii informaționale critice a Federației Ruse, precum și a unei liste de indicatori ai criteriilor pentru semnificația obiectelor infrastructurii informaționale critice a Federației Ruse și a valorilor acestora” |
|
| Ordinul FSTEC al Rusiei din 21 decembrie 2017 N 235 „Cu privire la aprobarea cerințelor pentru crearea de sisteme de securitate pentru obiectele semnificative ale infrastructurii informaționale critice a Federației Ruse și asigurarea funcționării acestora” (Înregistrat la Ministerul Justiției din Rusia la 22 februarie 2018 N 50118) | |
| Ordinul FSTEC al Rusiei din 6 decembrie 2017 N 227 „Cu privire la aprobarea Procedurii pentru menținerea unui registru al obiectelor semnificative ale infrastructurii informaționale critice a Federației Ruse” (Înregistrat la Ministerul Justiției al Rusiei la 8 februarie 2018 N 49966) | |
| Decretul președintelui Federației Ruse din 22 decembrie 2017 N 620 „Cu privire la îmbunătățirea sistemului de stat pentru detectarea, prevenirea și eliminarea consecințelor atacurilor informatice asupra resurselor informaționale ale Federației Ruse” | |
| Cerințe de protecție a informațiilor stabilite prin acordul privind schimbul de mesaje electronice la transferul de fonduri în cadrul sistemului de plăți al Băncii Rusiei. Fundație - acest acordîncheie totul organizatii de credit pentru schimbul electronic de documente de plată cu Banca Rusiei. |
|
| Acord standard de schimb ES cu anexe. Documentație pentru AWS KBR, UTA (cerințele pentru utilizarea lor sunt reflectate în clauza 1. Anexa 3 la Acord) |
clauza 9.5.4 din Acord - rezilierea unilaterală acorduri inițiate de Banca Rusiei. |
Notăm și noi Cerințe suplimentare la organizarea securităţii informaţiei. Aceste cerințe se vor aplica numai unor bănci și numai în unele cazuri:
Tabelul 4 
După cum putem vedea, cerințele AVZ.1și AVZ.2 spune că ar trebui să fie protecția antivirus. Aceste cerințe nu reglementează modul în care să-l configureze în mod specific, pe ce noduri de rețea să-l instaleze (Scrisoarea Băncii Rusiei din 24 martie 2014 N 49-T recomandă ca băncile să aibă antivirusuri de la diverși producători pe stațiile lor de lucru, pe servere și pe gateway-uri).
Situația este similară cu segmentarea unei rețele de calculatoare - cerința ZIS.17. Documentul prescrie doar necesitatea utilizării acestei practici pentru protecție, dar nu spune cum ar trebui să o facă organizația.
Modul în care instrumentele de securitate a informațiilor sunt configurate în mod specific și mecanismele de securitate sunt implementate este învățat de la un privat termeni de referinta asupra sistemului de securitate a informațiilor format pe baza rezultatelor modelării amenințărilor la securitatea informațiilor.
Astfel, un sistem integrat de securitate a informațiilor ar trebui să fie un ansamblu de procese de afaceri de protecție (în literatura engleză – controale), construite ținând cont de implementarea cerințelor obligatorii, amenințările actuale și practicile de securitate a informațiilor.
Toate pericolele sunt atunci reale atunci când afectează anumite obiecte (obiecte de protecție). Obiectele de protecție, precum și sursele de pericol, sunt diverse. Fiecare componentă a mediului nostru poate fi protejată de pericole. Starea principală dorită a obiectelor protejate este sigură.
Siguranță - starea obiectului de protecție, în care impactul asupra acestuia al tuturor fluxurilor de materie, energie și informații nu depășește valorile maxime admise. Vorbind despre implementarea stării de securitate, este necesar să se ia în considerare simultan obiectul protecției și totalitatea pericolelor care acționează asupra acestuia. Astăzi, există de fapt următoarele sisteme de securitate:
un sistem de securitate personală și colectivă a unei persoane în procesul vieții sale;
sistem de securitate mediu inconjurator(biosferă);
sistemul de securitate de stat;
sistem global de securitate.
Sistemele de securitate umană au o prioritate istorică, care în toate etapele dezvoltării sale s-a străduit constant să asigure confortul, securitatea personală și păstrarea sănătății sale.
1.4. Principii și metode de securitate
Principiu - aceasta este o idee, un gând, o poziție de bază. Metodă - aceasta este o cale, o modalitate de atingere a scopului, bazata pe cunoasterea celor mai generale tipare. Principiile și metodele de asigurare a securității se referă la metode private, speciale, spre deosebire de metode comune inerente dialecticii si logicii.
Principiile de securitate pot fi împărțite în ghidaj, tehnice, organizatorice și manageriale.
Cele orientative includ: principiul activității operatorului, umanizarea activității, distrugerea, înlocuirea operatorului, clasificarea, eliminarea pericolului, consistența, reducerea riscului.
Cele tehnice includ: principiul de blocare, evacuare, etanșare, protecție la distanță, compresie, rezistență, verigă slabă, flegmatizare, ecranare.
Cele organizatorice includ: principiul protecției în timp, informație, incompatibilitate, raționalizare, selecție a personalului, consistență, ergonomie.
Managementul include: principiul adecvării controlului, feedback, responsabilitate, planificare, stimulare, management, eficiență.
Să explicăm câteva principii cu exemple de implementare a acestora.
Principiul raționalizării este stabilirea unor astfel de parametri, a căror respectare asigură protecția unei persoane de pericolul corespunzător. De exemplu, MPC (concentrații maxime admise), MPE (emisii maxime admise), MPC (niveluri maxime admise), etc.
Principiul verigii slabe este ca, pentru asigurarea sigurantei, in sistemul (obiectul) luat in considerare este introdus un element, care este proiectat in asa fel incat sa perceapa sau sa reactioneze la o modificare a parametrului corespunzator, prevenind un pericol periculos. fenomen. Un exemplu de implementare a acestui principiu sunt discurile de spargere, siguranțe și alte elemente.
Principiul informației este transferul și asimilarea informațiilor de către personal, a căror implementare asigură un nivel adecvat de securitate. Exemple de implementare: instruire, instruire, etichete de avertizare etc.
Principiul clasificării (categorizării) constă în împărțirea obiectelor în clase și categorii în funcție de semne asociate pericolelor. De exemplu: zone de protecție sanitară, categorii de producție pentru pericol de explozie și incendiu etc.
Pentru a lua în considerare metodele de securitate, introducem următoarele definiții.
Omosferă - spatiu ( zona de lucru), în cazul în care persoana se află în curs de desfășurare a activității în cauză.
Noxosfera - un spațiu în care pericolele există în mod constant sau apar periodic.
Combinația dintre homosferă și noxosferă este inacceptabilă din punct de vedere al securității.
Securitatea este asigurată prin trei metode principale: A B C.
Metoda A constă în separarea spaţială şi (sau) temporală a homosferei şi noxosferei. Acest lucru se realizează prin intermediul telecomenzii, automatizării, robotizării etc.
Metoda B constă în normalizarea noxosferei prin eliminarea pericolelor. Acesta este un set de măsuri care protejează o persoană de zgomot, gaz, praf și alte mijloace de protecție colectivă.
Metoda B conține o serie de tehnici și mijloace care vizează adaptarea unei persoane la mediul adecvat și creșterea securității acesteia. Aceasta metoda implementeaza posibilitatile de selectie profesionala, pregatire, impact psihologic, echipament individual de protectie.
În condiții reale, de regulă, aceste metode sunt utilizate împreună sau în diverse combinații.
Întreprinderile moderne se caracterizează prin dezvoltarea rapidă a mediului lor informațional. Acumularea constantă de informații necesită prelucrarea și stocarea corespunzătoare a acesteia.
Ca rezultat al lucrului cu date, o sarcină importantă este organizarea protecției informațiilor în întreprindere.
Dacă munca în această direcție nu este organizată corespunzător, atunci este posibil să eșueze în mediul economic modern, care nu este întotdeauna caracterizat de concurență binevoitoare.
Adesea situația este diferită, firmele concurente încearcă în mod corect și greșit să obțină informații despre concurentul lor pentru a-l devansa în dezvoltarea și promovarea pe piață.
Astăzi, protecția informațiilor într-o întreprindere este un set de măsuri care vizează menținerea integrității, protejarea împotriva furtului și înlocuirea următoarelor date:
- baza de date cu clienti si parteneri;
- managementul documentelor electronice ale companiei;
- nuanțe tehnice ale întreprinderii;
- secretele comertului.
Pentru a gestiona cu succes fluxurile uriașe de date listate, o întreprindere trebuie să aibă un sistem de management al securității informațiilor.
Modalități de a proteja informațiile
Trebuie să lucreze continuu pentru a rezolva problema protecției informațiilor importante și să se distingă printr-o bună protecție împotriva amenințărilor și atacurilor externe.
Evaluare a riscurilor
Sistemul de securitate a informațiilor la întreprindere trebuie dezvoltat ținând cont de riscurile care sunt cele mai frecvente în mediul informațional al companiilor moderne.
Cele principale includ:
- încearcă să obțină acces la date care nu sunt disponibile utilizatorilor neautorizați Sistem informatic intreprinderi;
- modificarea și înlocuirea neautorizată a informațiilor, ceea ce poate duce la pierderea reputației și a imaginii de către întreprinderi;
- încercări de a obține acces și furt de informații confidențiale, secrete și tehnice.
Pe baza riscurilor enumerate, ar trebui selectate metode și algoritmi pentru protejarea informațiilor importante pentru întreprindere.
Pentru a rezolva această problemă în mod pozitiv, la întreprindere trebuie elaborată și implementată o politică de informare, în funcție de care se gradează datele, care pot avea acces deschis sau doar închis.
Surse posibile de probleme
Pentru a alege metodele potrivite pentru protejarea informațiilor într-o întreprindere și pentru a le utiliza eficient, ar trebui să se determine sursele posibilelor amenințări de pierdere a datelor.
Cele principale includ:
- defecțiuni în sistemul hardware al întreprinderii care asigură procesarea și stocarea datelor;
- fraudă pentru a obține acces la informații;
- denaturarea datelor în scopul obținerii unui beneficiu necorespunzător sau daune companiei;
- falsificarea datelor sau furtul acestora folosind diverse hardware și software;
- furtul de informatii cu ajutorul aparatelor care folosesc radiatii electromagnetice, semnale acustice, observatie vizuala in acest scop.
Amenințările enumerate pot proveni de la terți care au nevoie de anumite date ale companiei pentru propriile interese, firme concurente sau angajați ai organizațiilor care își desfășoară neglijent. responsabilități funcționale, sau decideți să externalizeze date sensibile către concurenți.
Dacă amenințarea vine de la angajați, atunci este probabil ca aceștia să încerce să copieze discret informațiile, folosindu-și puterile, și să le transmită terților.
Când datele încearcă să fie obținute terți, folosind în principal diverse instrumente software.
Ele sunt împărțite în:
- spam cu linkuri rău intenționate;
- programe de virus;
- Pluginuri troiene și spyware;
- Marcaje de jocuri cu cod modificat pentru software antivirus;
- software fals cu funcții modificate.
Având în vedere amenințările enumerate, protecția informațiilor confidențiale într-o întreprindere ar trebui construită atât la nivel hardware, cât și la nivel software. Numai într-un complex vă puteți proteja cu succes datele de intrușii cibernetici.
Exemple de abateri
Ca exemplu de acțiuni ilegale care vizează obținerea de beneficii din fals, înlocuire, furt de informații, pot fi citate următoarele.
- Un atacator obține acces la datele clienților băncii. Având informații despre o persoană, numere de conturi ale acestuia, carduri de plată, poate falsifica documente sau carduri bancareși să retragă ilegal bani din contul altei persoane.
- Dacă un infractor cibernetic obține acces la copiile electronice ale documentelor, el poate falsifica documentele originale și poate acorda un împrumut unei alte persoane.
- În timpul plății într-un magazin online, un atacator, folosind plugin-uri speciale, poate schimba detaliile magazinului prin transferul banilor cumpărătorului în contul său, și nu în magazin.
- Atunci când transmit informații tehnice importante prin canale de comunicare, spionii cibernetici, folosind diverse mijloace de urmărire și citire, pot scana canalul prin care se transmite traficul de informații și pot obține acces la secretele tehnice ale întreprinderii.
Procesul de organizare a securității informației la întreprindere
Principalele etape ale protecției informațiilor complexe la nivelul întreprinderii includ:
- formare politica de informare intreprinderi, companii;
- crearea unui câmp juridic intern pentru utilizarea informațiilor;
- formarea unitatii protectia informatiilor si securitate.
Activitatea de protecție a companiei trebuie desfășurată în următoarele domenii:
- protecția datelor care sunt prelucrate și stocate în arhive;
- excluderea posibilității de pătrundere neautorizată în mediul informațional al companiei;
- lucru adecvat cu personalul pentru a preveni furtul de date importante de către angajații companiei.
Măsuri de protecție
Pentru a îmbunătăți securitatea informațiilor, întreprinderile folosesc în mod activ următoarele măsuri de securitate.
Formarea unui sistem de acces la date în cadrul rețelei corporative
Întreprinderile folosesc diverse sisteme automate de control al accesului la date în funcție de prioritățile și statutul angajaților companiei.
Acest lucru simplifică procesul de urmărire a mișcării fluxurilor de date și de identificare a scurgerilor de informații.
Protecție antivirus
Folosind un antivirus eficient software excludeți posibilitatea furtului de date cu ajutorul unui software special.
Poate intra în mediul informațional al companiei prin internet.
Adesea, se practică utilizarea paralelă a două produse software, care diferă prin algoritmi diferiți pentru detectarea programelor spyware și virușilor.
Sisteme de detectare și protecție împotriva atacurilor cibernetice
Sistemele de acest fel sunt introduse în mod activ în sistemele informaționale ale întreprinderilor, deoarece permit nu numai să se protejeze împotriva răspândirii programelor cu cod rău intenționat, ci și să blocheze încercările de a opri sistemul informațional al unei întreprinderi.
Instruirea personalului de securitate a rețelei
Multe companii organizează seminarii și conferințe pentru angajații lor, unde se formează comportament sigurîn mediul de rețea local și global, precum și manipulare sigură cu informaţii în timpul îndeplinirii sarcinilor lor funcţionale zilnice.
Acest lucru reduce semnificativ riscul ca informațiile să fie pierdute sau transferate către terți din cauza neglijenței angajaților.
Concluzie
Un sistem integrat de securitate a informațiilor la o întreprindere este o sarcină complexă, care este destul de dificil de rezolvat de către o întreprindere singură.
Pentru asta există organizatii specializate, care va ajuta la formarea sistemelor de securitate a informațiilor pentru orice întreprindere.
Specialiștii calificați vor crea cu pricepere o structură de protecție, conceptul implementării acesteia într-o anumită companie și, de asemenea, vor alege hardware-ul și software-ul adecvat pentru a rezolva sarcina.
De asemenea, ei instruiesc angajații companiei care vor lucra apoi cu sistemul de securitate implementat și vor menține funcționalitatea acestuia la nivelul corespunzător.
Video: Abordarea securității informațiilor în întreprinderea modernă