Введение.
В
настоящее время рынок услуг завоевывает частное охранное предприятие или ЧОП.
Эти фирмы предоставляют услуги охраны собственности другим предприятиям, а так
же частным лицам.
Специфика деятельности частных охранных предприятий подразумевает под собой огромный поток информации, который постоянно циркулируют в этих организациях. Частное охранное предприятие обладает информацией, по теории, обо всей системе безопасности своего клиента. А так как клиентом этих организаций зачастую становятся крупные фирмы, качество безопасность самих частных охранных предприятий должно быть на высоком уровне.
Поэтому
важнейшей задачей ЧОП и сотрудников, которые работают в этой сфере, по защите
информации является сохранение и исключение ознакомления, модификации и
уничтожения конфиденциальной информации.
Чем
выше эффективность безопасности, тем ниже вероятности хищений или уничтожение
всех ценностей объекта. Уровень безопасности в основном зависит от того, насколько полно и правильно было разработана комплексная система защиты
информации на предприятии. Так же, есть ещё немало важный фактор, который
является правильно подобранная система наблюдения, которая усиливает надёжность
комплексной системы безопасность организации.
Целью дипломной работы является
проведение анализа объекта с последующим проектированием системы комплексной
защиты информации в организации с разработкой системы видеонаблюдения.
Поставленная цель исследование
предполагает решение следующих взаимосвязанных задач.
1) Анализ объекта защиты;
2) Проведение сравнительной оценки различных средств и методов защиты;
3) Классификация угроз безопасности банка;
4) Анализ требований руководящих документов в области защиты информации и
систем видеонаблюдения;
5) Разработка предложений по защите информации от утечки информации по
возможным каналам;
6) Определение эффективности разработанной системы защиты.
1.Политика Безопасности
1.1.Определение политики безопасности
Политика безопасности организации (англ. organizational security policies) — совокупность документированных руководящих принципов, процедур, правил и практических приёмов в области безопасности на объекте, которые регулируют управление, распределение и защиту ценной информации.
В общем случае такой набор правил представляют собой некий функционал программного продукта, который необходим для его использования в конкретной организации. Если подходить к политике безопасности более формально, то есть набор требований к функционалу системы защиты, закрепленных в ведомственных документах. Например, в финансовых организациях зачастую принято, чтобы в продукте предусматривались присутствие нескольких административных ролей.
Роли: аудитор, оператор системы защиты и администратор.
Такое
ролевое управление информационной безопасностью — скорее дань традиции и
теоретически позволяет избежать «сговора» администратора и злоумышленника из
числа пользователей. Для того чтобы включить данную функциональность продукта в
профиль защиты, целесообразнее всего ввести соответствующую политику
безопасности.
Политика безопасности зависит:
-от конкретной технологии обработки информации;
-от используемых технических и программных средств;
-от расположения организации.
Главной причиной появления политики безопасности обычно является требование наличия такого документа от регулятора.
Регулятор – это организации, определяющей правила работы предприятий данной отрасли. В этом случае отсутствие политики может повлечь репрессивные действия в отношении предприятия или даже полное прекращение его деятельности.
Кроме того, определенные требования (рекомендации) предъявляют отраслевые или общие, местные или международные стандарты. Обычно это выражается в виде замечаний внешних аудиторов, проводящих проверки деятельности предприятия. Отсутствие политики вызывает негативную оценку, которая в свою очередь влияет на публичные показатели предприятия — позиции в рейтинге, уровень надежности и т.д.
Ещё одной причиной можно назвать внутреннее осознание руководством предприятия необходимости структурированного подхода к обеспечению определенного уровня безопасности. Часто такое осознание наступает после внедрения ряда технических решений по безопасности, когда возникают проблемы управление такими решениями. Иногда сюда добавляют вопросы обеспечения безопасности персонала, юридические аспекты и подобные факторы, приводящие руководство предприятия к пониманию того, что обеспечение информационной безопасности выходит за рамки чисто технических мероприятий, проводимых ИТ-подразделением или другими специалистами.
Согласно исследованию по безопасности, проведенному компанией Deloitte в 2006 году, предприятия, которые имеют формализованные политики информационной безопасности, значительно меньше подвергаются взлому. Это свидетельствует о том, что наличие политики является признаком зрелости предприятия в вопросах информационной безопасности. То, что предприятие внятно сформулировало свои принципы и подходы к обеспечению информационной безопасности, означает, что в этом направлении была проделана серьезная и качественная работа.
Существуют две системы оценки текущей ситуации в области информационной безопасности на предприятии:
1.«Исследование сверху вниз»
2.«Исследование снизу вверх».
Метод «сверху вниз» представляет собой, детальный анализ всей существующей схемы хранения и обработки информации. Первым этапом этого метода является, как и всегда, определение, какие информационные объекты и потоки необходимо защищать. Далее следует изучение текущего состояния системы информационной безопасности с целью определения, что из классических методик защиты информации уже реализовано, в каком объеме, и на каком уровне. На третьем этапе производится классификация всех информационных объектов на классы в соответствии с ее конфиденциальностью, требованиями к доступности и целостности (неизменности).
Второй же метод («снизу вверх») достаточно прост, требует намного меньших капитальных вложений, но и обладает меньшими возможностями. Он основан на известной схеме : «Вы — злоумышленник. Ваши действия?». То есть служба информационной безопасности, основываясь на данных о всех известных видах атак, пытается применить их на практике с целью проверки, а возможна ли такая атака со стороны реального злоумышленника.
Само по себе наличие документа, озаглавленного «Политика информационной безопасности», принесет несущественной пользы предприятию, кроме формального аргумента в споре, присутствует или отсутствует у него данная политика. Нас интересует, в первую очередь эффективная политика безопасности.
Неэффективные политики безопасности можно разделить на хорошо сформулированные, но не практичные и на практичные, но плохо сформулированные.
Первая категория чаще всего встречается в случаях, когда специалисты, по безопасности предприятия недолго думая берут готовую политику (скажем, уже давно проверенную или устаревшую) и, проведя минимальные изменения, утверждают ее для своего предприятия. Поскольку общие принципы безопасности у разных предприятий, даже различных отраслей, могут быть весьма схожи, такой подход широко распространен. Однако его использование может привести к проблемам, если от политики верхнего уровня понадобится спуститься к документам нижнего уровня — стандартам, процедурам, методикам и т.д. Поскольку логика, структура и идеи исходной политики были сформулированы для другого предприятия, возможно возникновение серьезных затруднений (Например: противоречие с новым объектом).
Политики второй категории обычно появляются в случаях, когда возникает необходимость решить сиюминутные задачи. Например, сетевой администратор, устав бороться с попытками пользователей нарушать работу сети, в течение несколько минут набрасывает список из нескольких «можно» и «нельзя», называет его «Политикой» и убеждает руководство в необходимости его использование. Потом этот документ может годами использоваться на предприятии, создавая порой существенные проблемы, например при внедрении новых систем, и порождая огромное количество исключений для случаев, когда его нарушение допускается.
Далее следует выяснение, насколько серьезный ущерб может принести фирме раскрытие или иная атака на каждый конкретный информационный объект. Этот этап называют «вычисление риска». В первом приближении риском называется произведение «возможного ущерба от атаки» на «вероятность такой атаки». Существует множество схем вычисления рисков, остановимся на простом методе.
Ущерб от атаки может быть представлен неотрицательным числом в приблизительном соответствии со следующей таблицей (Таблица №1):
Вероятность атаки представляется неотрицательным числом в приблизительном соответствии со следующей таблицей (Таблица №2) :
Необходимо отметить, что классификацию ущерба, должен оценивать владелец информации, или работающий с нею персонал. А вот оценку вероятности появления атаки лучше доверять техническим сотрудникам фирмы.
Следующим этапом составляется таблица (Таблица №3) рисков предприятия:
На этапе анализа таблицы рисков (Таблица №3) задаются некоторым максимально допустимым риском, например значением 9. Сначала проверяется каждая строка таблицы на не превышение риска этого значения. Если такое превышение имеет место, значит, данная строка – это одна из первоочередных целей разработки политики безопасности. Затем производится сравнение удвоенного значения (в нашем случае 9*2=18) с интегральным риском (ячейка «Итого»).
Если интегральный риск превышает допустимое значение, значит, в системе безопасности набирается множество погрешностей, которые в сумме не дадут предприятию эффективно работать. С таким случаем из строк выбираются те, которые дают самый значительный вклад в значение интегрального риска и производится попытка их уменьшить или устранить полностью.
1.2.Факторы, учитывающиеся при построении информационной безопасности
Информационная безопасность банка должна учитывать следующие специфические факторы:
1.Хранимая и обрабатываемая в банковских системах информация представляет собой реальные деньги. На основании информации компьютера могут производить выплаты, открываться кредиты, переводиться значительные суммы. Вполне понятно, что незаконное манипулирование с такой информацией может привести к серьезным убыткам. Эта особенность резко расширяет круг опасности для банка (в отличие от промышленных компаний, для них внутренняя информация не так важна).
2.Информация в банковских системах затрагивает интересы не только организации и его подчиненных, но клиентов банка. Как правило, она конфиденциальна, и банк несет ответственность за обеспечение требуемой степени секретности перед своими клиентами. Банк должен заботиться об интересах клиентов, в противном случае он рискует своей репутацией, со всеми вытекающими отсюда последствиями.
3.Конкурентоспособность банка зависит от того, насколько клиенту удобно работать с банком, а также насколько широк спектр предоставляемых услуг, включая услуги с удаленным доступом. Поэтому клиент должен иметь возможность быстро распоряжаться своими деньгами. Но такая легкость доступа к деньгам повышает вероятность преступного проникновения в банковские системы.
4.Информационная безопасность банка должна обеспечивать высокую надежность работы компьютерных систем, даже в случае нештатных ситуаций, поскольку банк несет ответственность не только за свои средства, но и за деньги клиентов.
5.Банк хранит важную информацию о своих клиентах, что расширяет круг потенциальных злоумышленников, заинтересованных в краже.
1.3.Классификация угроз безопасности банка.
а) По признаку целевой направленности угрозы:
- угроза разглашения конфиденциальной информации, которое может нанести значительный ущерб банку в виде ухудшения его конкурентных позиций, имиджа, отношений с клиентами или вызвать санкции со стороны государства;
- угроза имуществу банка в форме его хищения или умышленного повреждения, а также сознательного провоцирования к осуществлению или непосредственного осуществления заведомо убыточных финансовых операций;
- угроза персоналу банка, реализация которой способна ухудшить состояние кадрового направления деятельности (имиджа), например, в форме потери ценного специалиста или возникновения трудовых конфликтов.
б) По признаку источника угрозы (субъекта агрессии):
- угрозы со стороны конкурентов, т.е. отечественных и зарубежных банков, стремящихся к усилению собственных позиций на соответствующем рынке путем использования методов недобросовестной конкуренции (Например: экономического шпионажа, переманивания высококвалифицированных сотрудников, дискредитации соперника в глазах партнеров и государства);
- угрозы со стороны криминальных структур и отдельных злоумышленников, стремящихся к достижению собственных целей, находящихся в противоречии с интересами конкретного банка (Например: захвату контроля над ним, хищению имущества, нанесению иного ущерба);
- угрозы со стороны нелояльных сотрудников банка, осознанно наносящих ущерб его безопасности ради достижения личных целей (Например: улучшения материального положения, карьерного роста, мнения работодателю за реальные или мнимые обиды и т.п).
в) По экономическому характеру угрозы:
- угрозы имущественного характера, наносящие банку прямой финансовый ущерб (Например: похищенные денежные средства и товар, но материальные ценности, сорванный контракт, примененные штрафные санкции);
- угрозы неимущественного характера, это когда от реализации ущерба обычно невозможно точно определить его значимость (Например: сокращение обслуживаемого рынка, ухудшение имиджа банка в глазах его клиентов и деловых партнеров, утеря ценного специалиста).
г) По вероятности практической реализации угрозы:
- потенциальные угрозы, практическая реализация которых на конкретный момент имеет лишь вероятностный характер (в таком случи, у субъекта управления часто есть время на их профилактику или подготовку к отражению);
- реализуемые угрозы, негативное воздействие которых на деятельность субъекта управления находится в конкретный момент в раз личных стадиях развития (соответственно, у субъекта имеются шансы на их оперативное отражение в целях недопущения или минимизации конечного ущерба);
Прогнозирования, являются стержнем любой торговой системы, вот почему отлично сделанные прогнозы могут сделать вас в высшей степени успешным.
Реализованные угрозы – это негативное воздействие которых уже закончилось и ущерб фактически нанесен (соответственно, субъект управления имеет возможность лишь оценить ущерб, выявить виновников и подготовиться к отражению подобных угроз в дальнейшем).
Проведенная классификация позволяет сформулировать три основных компонента безопасности современной кредитно-финансовой организации: