Letysite.ru

IT Новости с интернет пространства
0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Важнейшие аспекты информационной безопасности

Назовите аспекты информационной безопасности.

Дата добавления: 2013-12-23 ; просмотров: 7138 ; Нарушение авторских прав

Контрольные вопросы?

Угрозы безопасности информации и их классификация.

Информационная безопасность и ее составляющие

Под информационной безопасностью понимается защищенность информационной системы от случайного или преднамеренного вмешательства, наносящего ущерб владельцам или пользователям информации.

На практике важнейшими являются три аспекта информационной безопасности:

· доступность (возможность за разумное время получить требуемую информационную услугу);

· целостность (актуальность и непротиворечивость информации, ее защищенность от разрушения и несанкционированного изменения);

конфиденциальность (защита от несанкционированного доступа к информации).

Формирование режима информационной безопасности — проблема комплексная. Меры по ее решению можно подразделить на пять уровней:

1. законодательный (законы, нормативные акты, стандарты и т.п.);

2. морально-этический (всевозможные нормы поведения, несоблюдение которых ведет к падению престижа конкретного человека или целой организации);

3. административный (действия общего характера, предпринимаемые руководством организации);

4. физический (механические, электро- и электронно-механические препятствия на возможных путях проникновения потенциальных нарушителей);

5. аппаратно-программный (электронные устройства и специальные программы защиты информации).

Единая совокупность всех этих мер, направленных на противодействие угрозам безопасности с целью сведения к минимуму возможности ущерба, образуют систему защиты.

Знание возможных угроз, а также уязвимых мест защиты, которые эти угрозы обычно эксплуатируют, необходимо для того, чтобы выбирать наиболее экономичные средства обеспечения безопасности.

Угроза — это потенциальная возможность определенным образом нарушить информационную безопасность.

Попытка реализации угрозы называется атакой, а тот, кто предпринимает такую попытку, — злоумышленником. Потенциальные злоумышленники называются источниками угрозы.

Чаще всего угроза является следствием наличия уязвимых мест в защите информационных систем (таких, например, как возможность доступа посторонних лиц к критически важному оборудованию или ошибки в программном обеспечении).

Угрозы можно классифицировать по нескольким критериям:

· по аспекту информационной безопасности (доступность, целостность, конфиденциальность), против которого угрозы направлены в первую очередь;

· по компонентам информационных систем, на которые угрозы нацелены (данные, программы, аппаратура, поддерживающая инфраструктура);

· по способу осуществления (случайные/преднамеренные действия природного/техногенного характера);

· по расположению источника угроз (внутри/вне рассматриваемой ИС).

Самыми частыми и самыми опасными (с точки зрения размера ущерба) являются непреднамеренные ошибки штатных пользователей, операторов, системных администраторов и других лиц, обслуживающих информационные системы.

Иногда такие ошибки и являются собственно угрозами (неправильно введенные данные или ошибка в программе, вызвавшая крах системы), иногда они создают уязвимые места, которыми могут воспользоваться злоумышленники (таковы обычно ошибки администрирования). По некоторым данным, до 65% потерь — следствие непреднамеренных ошибок.

Пожары и наводнения не приносят столько бед, сколько безграмотность и небрежность в работе.

Очевидно, самый радикальный способ борьбы с непреднамеренными ошибками — максимальная автоматизация и строгий контроль.

Другие угрозы доступности классифицируем по компонентам ИС, на которые нацелены угрозы:

· внутренний отказ информационной системы;

· отказ поддерживающей инфраструктуры.

К поддерживающей инфраструктуре можно отнести системы электро-, водо- и теплоснабжения, кондиционеры, средства коммуникаций и, конечно, обслуживающий персонал.

Обычно применительно к пользователям рассматриваются следующие угрозы:

· нежелание работать с информационной системой (чаще всего проявляется при необходимости осваивать новые возможности и при расхождении между запросами пользователей и фактическими возможностями и техническими характеристиками);

· невозможность работать с системой в силу отсутствия соответствующей подготовки (недостаток общей компьютерной грамотности, неумение интерпретировать диагностические сообщения, неумение работать с документацией и т.п.);

· невозможность работать с системой в силу отсутствия технической поддержки (неполнота документации, недостаток справочной информации и т.п.).

Основными источниками внутренних отказов являются:

· отступление (случайное или умышленное) от установленных правил эксплуатации;

· выход системы из штатного режима эксплуатации в силу случайных или преднамеренных действий пользователей или обслуживающего персонала (превышение расчетного числа запросов, чрезмерный объем обрабатываемой информации и т.п.);

· ошибки при (пере)конфигурировании системы;

· отказы программного и аппаратного обеспечения;

· разрушение или повреждение аппаратуры.

По отношению к поддерживающей инфраструктуре рекомендуется рассматривать следующие угрозы:

· нарушение работы (случайное или умышленное) систем связи, электропитания, водо- и/или теплоснабжения, кондиционирования;

· разрушение или повреждение помещений;

· невозможность или нежелание обслуживающего персонала и/или пользователей выполнять свои обязанности (гражданские беспорядки, аварии на транспорте, террористический акт или его угроза, забастовка и т.п.).

Весьма опасны так называемые «обиженные» сотрудники — нынешние и бывшие. Как правило, они стремятся нанести вред организации-«обидчику», например:

· встроить логическую бомбу, которая со временем разрушит программы и/или данные;

Обиженные сотрудники, даже бывшие, знакомы с порядками в организации и способны нанести немалый ущерб. Необходимо следить за тем, чтобы при увольнении сотрудника его права доступа (логического и физического) к информационным ресурсам аннулировались.

Опасны, разумеется, и стихийные бедствия — пожары, наводнения, землетрясения, ураганы. По статистике, на долю огня, воды и тому подобных «злоумышленников» (среди которых самый опасный — перебой электропитания) приходится 13% потерь, нанесенных информационным системам.

1. Что такое компьютерная графика:

2. Виды графических систем

3. Устройства вывода видеоинформации.

4. Отличие Internet от любой другой компьютерной сети.

5. Понятие и назначение TCP/IP.

6. Основные протоколы уровня приложений.

7. Зачем в Internet нужна адресация?

8. Виды адресации в Internet.

9. Что подразумевают под понятием «угроза» информации?

10. Что понимают под информационной безопасностью?

Основные аспекты информационной безопасности

    Блоги, 27 февраля 2019 в 0:39

Алексей Гришин, куратор направления информационная безопасность школы IT и безопасности HackerU

Ежегодно ущерб российских компаний от киберпреступников составляет 116 млрд рублей. И это только те случаи, которые предаются огласке. Чаще всего компании стараются скрыть, что их системы были взломаны, а данные украдены. Ведь помимо единовременных финансовых потерь, успешные атаки в итоге приводят к падению репутации и котировок.

Создание системы информационной безопасности потребует от крупных компаний и корпораций серьёзных финансовых вложений: от дорогостоящего ПО до пентестов и программ Bug Bounty. Начинающий бизнес не может позволить себе таких расходов, а стартапы и вовсе пренебрегают безопасностью ради максимально быстрого выхода на рынок. Баланс стоимости программного продукта и его защищённости соблюсти не сложно, если придерживаться простых рекомендаций. Ниже – советы, как не прогореть на выстраивании стен и избежать банальных ошибок.

Проверенные решения

Хороший проект пишется безопасно с первой строчки кода. Рассуждать о том, какой язык программирования наименее уязвим, мы не будем, так как у каждого проекта свой путь к выбору инструмента проектирования и уникальная специфика. Общая рекомендация – пользуйтесь проверенными решениями. Если ошибка обнаружена на низком уровне языка программирования — это подвергает опасности весь проект целиком. Несмотря на то, что передовые технологии ускоряют разработку и делают её удобнее, из-за них могут возникнуть проблемы с надежностью и безопасностью. Небольшое запаздывание для бизнеса не критично, но и слишком отставать тоже не стоит. Пользуйтесь языками и решениями, динамично развивающимися и вышедшими из тестирования. Такой подход повысит стабильность вашей разработки, и вам не придётся менять платформу из-за критических недочётов языка, базы данных или другого компонента.

Защита пользовательских данных

Подсистема идентификации и аутентификации является одной из самых важных компонент, так как предоставляет доступ к пользовательскими данным. Нельзя проектировать продукт так, чтобы аутентификацию можно было пропустить в критическом месте или допускалась бы подмена параметров. Даже если вы работаете над приложением по поиску и созданию музыки, будет неприятно, когда злоумышленник сможет войти под именем пользователя, узнать о его предпочтениях, а тем более украсть сочинённые композиции.

Бережное отношение к данным и проверка их корректности — залог спокойствия и доверия клиентов. У всех современных приложений есть внутренняя валюта или иные способы монетизации. А для банковских продуктов безопасность — уж точно один из главных критериев оценки. Простая забытая проверка на знак в процессе передачи суммы от одного пользователя другому может привести к катастрофическим последствиям. Отрицательный знак в отправленных данных приведёт к обратной операции: средства со счёта получателя уйдут отправителю платежа.

В современном мире злоумышленники охотятся не только за деньгами, но и за персональными данными пользователей. Их раскрытие зачастую оказывается болезненнее, чем финансовые потери на счёте. Один из последних примеров: хакеры взломали сервис Quora.com и получили доступ к логинам, почтовым адресам и паролям ста миллионов пользователей. По оценке киберкриминалистов, уязвимость скорее всего скрывалась в недостаточно надёжной системе шифрования пользовательских паролей. Прямых финансовых убытков компания не понесла, но доверие пользователей потеряла.

Читать еще:  Запуск win 7 в безопасном режиме

Тестирование

Начинающие разработчики ПО всегда экономят время на тестировании, а иногда даже вносят модификации кода сразу на работающую версию сервиса. Помимо ошибок внутри кода, которые наверняка будут, могут возникнуть проблемы с логикой. Поэтому перед запуском проект нужно обязательно протестировать! Ошибки логики не очевидны и трудно предсказуемы. Бывает и так, что из-за мелкого программистского недочёта при получении доступа к одному файлу, пользователю открывается всё содержимое папки. В автоматическом режиме такую ошибку найти сложно, ведь функциональность она не нарушает, а вот проблем в безопасность добавляет массу.

Аналитика — всему голова

Обязательно настраивайте и постоянно поддерживайте в рабочем состоянии систему логирования. Это единственный способ, который позволит собирать данные о пользователях: как они обращались, зачем, с какой периодичностью, какого типа запросы посылали. Чем больше данных вы будете держать в своей аналитической системе, тем с большей вероятностью вам удастся вычислить злоумышленника при попытке взлома. Или, если атака окажется успешной, вы сможете понять, через какой вектор был нанесён удар. Если вы информированы о своих уязвимостях, то вы сможете их устранить.

Резервное копирование

Не забывайте о регулярных бэкапах. Ведь злоумышленники могут и не взламывать проект, а использовать его в качестве платформы для распространения вирусов: изменить некоторые данные на сайте или внутри приложения. Изначально запрограммированная система так и будет продолжать рассылать заражённый контент и, возможно, пожирать саму себя. Искать причины поломки в этом случае можно будет очень долго. Гораздо быстрее и надёжнее будет откатиться к безопасному состоянию кода.

Только после настройки систем логирования и бэкапирования можно выпускать сервис «к пользователям». Кроме того, системы мониторинга (IDS/IPS) помогут вам уберечь себя от последствий халатной работы администраторов информационных систем, а также помогут в тестах продуктов на наличие ошибок.

Защита и шифрование

Используйте шифрование пользовательских данных там, где оно уместно. Пароль пользователя, его персональная платёжная информация, а также конфиденциальная переписка должны храниться в зашифрованном виде. Но вот загруженные общедоступные данные шифровать не стоит, так как их расшифровка тратит ресурсы и не приносит пользы.

И последнее: не пытайтесь создать абсолютно неуязвимый код, так как, по нашему мнению, 100% безопасных проектов не бывает. Экстремальные ситуации или находчивые злоумышленники выводят из равновесия даже системы, которые изначально казались идеальными. Проводя аналогию с банковскими приложениями, можно сказать, что задача специалиста по IT-безопасности – сделать так, чтобы стоимость атаки многократно превышала прибыль, которую теоретически можно получить от взлома.

Основные аспекты информационной безопасности

Федеральное агентство связи

Бурятский институт инфокоммуникаций

ФГОБУ ВО “СибГУТИ”

Кафедра: «Информатики и ВТ»

РЕФЕРАТ на тему:

Основные аспекты информационной безопасности

Выполнила: Батуева Ж.Д.

Проверила: Жамбаев Б.Ц.

1. Основные аспекты информационной безопасности…………………4

2.Объём (реализация) понятия «информационная безопасность»…….8

Список использованной литературы…………………………………….11

Информационная безопасность, как и защита информации, задача комплексная, направленная на обеспечение безопасности, реализуемая внедрением системы безопасности. Проблема защиты информации является многоплановой и комплексной и охватывает ряд важных задач. Проблемы информационной безопасности постоянно усугубляются процессами проникновения во все сферы общества технических средств обработки и передачи данных и, прежде всего, вычислительных систем.

На сегодняшний день сформулировано три базовых принципа, которые должна обеспечивать информационная безопасность:

-целостность данных — защита от сбоев, ведущих к потере информации, а также зашита от неавторизованного создания или уничтожения данных;

-доступность информации для всех авторизованных пользователей.

При разработке компьютерных систем, выход из строя или ошибки в работе которых могут привести к тяжелым последствиям, вопросы компьютерной безопасности становятся первоочередными. Известно много мер, направленных на обеспечение компьютерной безопасности, основными среди них являются технические, организационные и правовые.

Особенно актуальны вопросы информационной безопасности государства, в частности – России.

Цель работы – рассмотрение обеспечения информационной безопасности России.

Предмет работы – информационная безопасность.

Объект работы – процессы обеспечения информационной безопасности государства.

Задачи, поставленные в работе:

-рассмотреть особенности информационной безопасности как категории;

-рассмотреть нормативно-правовую базу обеспечения информационной безопасности;

-рассмотреть особенности процесса обеспечения информационной безопасности в России.

Работа состоит из введения, основной части, в которой рассматриваются теоретические и практические аспекты изучаемой проблемы, заключения и списка использованной литературы.

Основные аспекты информационной безопасности

Информационная безопасность — это процесс обеспечения конфиденциальности, целостности и доступности информации.

Конфиденциальность: Обеспечение доступа к информации только авторизованным пользователям.

Целостность: Обеспечение достоверности и полноты информации и методов ее обработки.

Доступность: Обеспечение доступа к информации и связанным с ней активам авторизованных пользователей по мере необходимости.

Информационная безопасность (англ. information security) — все аспекты, связанные с определением, достижением и поддержанием конфиденциальности, целостности, доступности, неотказуемости, подотчётности, аутентичности и достоверности информации или средств её обработки.

Безопасность информации (данных) (англ. information (data) security) — состояние защищённости информации (данных), при котором обеспечиваются её (их) конфиденциальность, доступность и целостность.

Безопасность информации (данных) определяется отсутствием недопустимого риска, связанного с утечкой информации по техническим каналам, несанкционированными и непреднамеренными воздействиями на данные и (или) на другие ресурсы автоматизированной информационной системы, используемые в автоматизированной системе.

Безопасность информации (при применении информационных технологий) (англ. IT security) — состояние защищённости информации (данных), обеспечивающее безопасность информации, для обработки которой она применяется, и информационную безопасность автоматизированной информационной системы, в которой она реализована.

Безопасность автоматизированной информационной системы — состояние защищённости автоматизированной системы, при котором обеспечиваются конфиденциальность, доступность, целостность, подотчётность и подлинность её ресурсов.

Информационная безопасность — защищённость информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений. Поддерживающая инфраструктура — системы электро-, тепло-, водо-, газоснабжения, системы кондиционирования и т. д., а также обслуживающий персонал. Неприемлемый ущерб — ущерб, которым нельзя пренебречь.

Существенные признаки понятия

В качестве стандартной модели безопасности часто приводят модель из трёх категорий:

— Конфиденциальность (англ. confidentiality) — состояние информации, при котором доступ к ней осуществляют только субъекты, имеющие на неё право;

— целостность (англ. integrity) — избежание несанкционированной модификации информации;

— доступность (англ. availability) — избежание временного или постоянного сокрытия информации от пользователей, получивших права доступа.

Выделяют и другие не всегда обязательные категории модели безопасности:

— неотказуемость или апеллируемость (англ. non-repudiation) — способность удостоверять имевшее место действие или событие так, что эти события или действия не могли быть позже отвергнуты;

— подотчётность (англ. accountability) — обеспечение идентификации субъекта доступа и регистрации его действий;

— достоверность (англ. reliability) — свойство соответствия предусмотренному поведению или результату;

— аутентичность или подлинность (англ. authenticity) — свойство, гарантирующее, что субъект или ресурс идентичны заявленным.

Основные аспекты информационной безопасности

Защита корпоративных данных
с помощью DLP-системы

К орпоративная безопасность – явление совсем не новое. То, что лишь недавно стали называть этим термином, существует еще с тех пор, как только зародилась торговля. Каждый купец стремился уберечь свои профессиональные секреты от конкурентов, чтобы не потерять прибыль.

Современные реалии корпоративной безопасности компании

По сути, современная корпоративная безопасность мало чем отличается от давнишней. Меняются лишь реалии, в которых бизнесмены должны вести свое дело. Любая компания хочет быть надежно защищена не только от внешних угроз, но и от внутренних. Эту проблему и решают специалисты по корпоративной и информационной безопасности. Перед ними стоит задача проводить целый комплекс мер, включающих в себя практически все сферы жизни компании:

  • защита коммерческой тайны;
  • внутренняя работа с сотрудниками;
  • внутренняя контрразведка;
  • служебные расследования;
  • экономичная безопасность;
  • техническая и физическая защита.

Если есть проблемы хотя бы по одному из этих пунктов – быть беде. Не так давно в Великобритании разразился скандал – жесткие диски с данными пациентов клиник, которые должны были быть уничтожены, оказались вдруг на аукционах eBay.

Больницы передавали списанные диски компании-подрядчику, которая, в свою очередь, пользовалась услугами частного лица. Предприимчивый англичанин, вместо того чтобы добросовестно выполнить свои обязанности – уничтожить носители – выставлял диски с данными на продажу.

Читать еще:  Введение в язык программирования паскаль

В этом случае «слабыми звеньями» можно назвать два пункта – внутренняя работа с сотрудниками и техническая защита. Разберемся, почему. К утечке привела слишком длинная цепочка посредников, в результате чего заказчик даже не был в курсе, кто непосредственно занимается уничтожением дисков и чьи действия необходимо было проконтролировать. Кроме того, уже сам факт, что больницы передавали диски с незащищенными личными данными пациентов третьим лицам – техническое упущение сотрудников.

Ответственный подход к обеспечению корпоративной информационной безопасности помог бы избежать данной ситуации. Разберемся, что же необходимо предпринять, чтобы получить на выходе реально работающую систему информационной защиты.

Как вычислить вора в компании с помощью «КИБ СёрчИнформ»? Реальный кейс клиента.

Три непростых шага

Прежде чем приступать к построению эффективной системы информационной безопасности, необходимо тщательно проанализировать уже существующую на предприятии систему хранения и обработки данных. Есть три основных шага, которые необходимо для этого сделать:

1. Выявление критически важной информации.

2. Выявление слабых мест в корпоративной безопасности.

3. Оценка возможностей защиты этой информации.

Все эти действия можно выполнить либо силами своих сотрудников, либо заказать у специалистов аудит информационной безопасности компании. Преимущества первого способа – более низкая стоимость и, что немаловажно, отсутствие доступа к корпоративным данным для третьих лиц. Однако если в организации нет хороших штатных специалистов по аудиту безопасности, то лучше всего прибегнуть к помощи сторонних компаний – результат будет надежнее. Это поможет избежать наиболее распространенных ошибок в обеспечении информационной безопасности.

«Самые частые ошибки это недооценка и переоценка угроз предпринимательской деятельности, – считает Александр Доронин, эксперт в области экономической безопасности и автор книги «Бизнес-разведка». – В первом случае, в системе безопасности предприятия зияют дыры, что для организации оборачивается прямым ущербом от утечки конфиденциальной информации, корпоративного мошенничества и откровенного воровства что под руку попадется».

При переоценке угроз система безопасности не только тяжким бременем ложится на бюджет предприятия, но и неоправданно затрудняет работникам организации исполнение возложенных на них обязанностей. Это грозит потерями возможной прибыли и утратой конкурентоспособности».

Выявление критически важной информации. На этом этапе происходит определение тех документов и данных, безопасность которых имеет огромное значение для компании, а утечка – несет огромные убытки. Чаще всего к такой информации относятся сведения, составляющие коммерческую тайну, но не только.

Например, после принятия новой редакции федерального закона «О персональных данных» в охране нуждаются и все сведения, собираемые организацией о своих сотрудниках и клиентах. Серия прошлогодних утечек из Мегафона, интернет-магазинов и «РЖД», а также штрафы, полученные виновниками этих инцидентов – лучшее доказательство необходимости защиты такой информации.

Важно помнить: сторонние специалисты-аудиторы не могут самостоятельно составить список всех документов, которые необходимо защищать. Работа аудитора должна выполняться совместно с сотрудником предприятия, хорошо знающим особенности документооборота.

Выявление слабых мест в корпоративной безопасности. Эта задача выполняется непосредственно специалистами, проводящими аудит. От результатов этой работы зависит выбор схемы построения информационной безопасности.

При выявлении брешей в информационной и, как следствие, корпоративной безопасности оцениваются не только технические средства. Очень важный момент – наличие разграничения прав доступа сотрудников к той или иной информации, соглашения о неразглашении корпоративной информации. Важно также оценить лояльность работников к руководству и взаимоотношения в коллективе – всё это входит в обязанности отдела по работе с персоналом.

Недавний пример ситуации, когда штатный сотрудник воспользовался своим положением и похитил информацию – кража кенийским представительством Google сведений о стартапе Mocality (онлайн-база бизнес-информации). Google был вынужден принести официальные извинения пострадавшим, а глава представительства, по вине которого произошёл инцидент, был смещен со своей должности.

Оценка возможностей защиты информации. Это завершающий этап аудита, в ходе которого на основании проведенного анализа составляется список конкретных мер, которые необходимо принять для охраны корпоративных секретов компании. Рекомендации могут носить как технический, так и организационный характер.

Кроме того, на этом этапе анализируются и финансовые возможности компании по защите информации, поскольку многие средства защиты информации могут оказаться слишком дорогими для предприятия. А некоторые из этих мер попросту не целесообразны для малого бизнеса. Особая необходимость в DLP-системе возникает, если в организации используется 50 и более компьютеров.

Установку DLP-системы всегда предваряет технический аудит. После заказа 30-дневного бесплатного триала заказчика консультируют инженеры «СёрчИнформ», которые оценивают ИТ-инфраструктуру компании и определяют, сколько мощностей потребуется для установки программы.

Двусторонняя защита

Информационная безопасность – лишь один из многих способов (пусть и самый важный) обеспечить корпоративную защиту. Необходим комплекс мер – технических и организационных.

К техническим решениям по защите корпоративных секретов относится установка DLP-системы (от англ. Data Leak Prevention – предотвращение утечек данных). Этот комплекс программных средств отслеживает все информационные потоки в организации – от электронной почты до программ, использующих алгоритмы шифрования, (к примеру, Skype) или протокол HTTPS. Под контролем также находятся все съемные носители информации, корпоративные компьютеры и ноутбуки.

Важная особенность DLP-систем – их автономность. Компании нет необходимости содержать целый отдел, который занимался бы информационной безопасностью. Достаточно всего нескольких специалистов.

Последние исследования SearchInform, ведущего игрока на российском рынке информационной безопасности, показали, что сейчас в России и странах СНГ DLP-системы не пользуются большой популярностью. Только чуть более половины организаций (58%) планируют в скором времени установку комплексной защиты. Остальные не считают нужным ее внедрение либо полагают, что достаточно и частичной защиты. Однако, информационная безопасность только тогда будет на оптимальном уровне, когда обеспечена комплексная защита.

DLP-система позволяет не только обеспечить надежную защиту секретов. Их функции намного шире: при правильном подходе можно получить информацию о настроениях сотрудников в коллективе, проследить движение ключевых документов, входящие и исходящие сообщения. Как следствие, использование DLP-систем – это еще и эффективное подспорье в таких важных для корпоративной безопасности мероприятиях, как внутренняя контрразведка или служебное расследование.

Впрочем, одной лишь технической безопасности данных и отслеживания действий сотрудников недостаточно. Важны и организационные мероприятия, работа с сотрудниками, разработка внутренней документации.

«Система корпоративной безопасности должна быть комплексной, иначе будет как в анекдоте: на проходной охранник строго проверяет у работников предприятия пропуска, а через двадцать метров от проходной имеется дырка, через которую на территорию фирмы может проникнуть любой желающий», –делится опытом Александр Доронин.

Организационная работа включает в себя информирование персонала о наличии в организации систем информационной безопасности, о необходимости соблюдать коммерческую тайну и возможных последствиях ее разглашения, как для компании, так и для самого сотрудника. Создание благоприятной рабочей атмосферы – еще один ключевой момент организационных мер. Корпоративная безопасность невозможна, если сотрудники недоверчиво косятся один на одного. Такая «холодная война» будет изрядно тормозить бизнес-процессы. Поэтому ещё раз стоит напомнить о важной роли отдела по работе с персоналом.

Что касается разработки внутренней документации, то должны быть четко прописаны обязанности работников, а также их права доступа к тем или иным документам. Каждый отдел должен выполнять возложенные на него задачи – не больше, но и не меньше.

Нельзя забывать и о таких, казалось бы, элементарных вещах, как работа службы безопасности. Физическая защита сотрудников на рабочих местах – тоже немаловажная часть корпоративной безопасности.

Только добившись такой двусторонней – технической и организационной – защиты, не преувеличив и не преуменьшив угрозы, можно создать надежную корпоративную защиту компании.

Важные аспекты обеспечения информационной безопасности в банках Текст научной статьи по специальности «Компьютерные и информационные науки»

Аннотация научной статьи по компьютерным и информационным наукам, автор научной работы — Хлестова Дарья Робертовна, Попов Кирилл Геннадьевич

В статье рассматриваются важные аспекты обеспечения информационной безопасности в банках. Описаны виды угроз для безопасности банка и возможные риски при их исполнении, рассмотрены меры по обеспечению информационной безопасности банка.

Похожие темы научных работ по компьютерным и информационным наукам , автор научной работы — Хлестова Дарья Робертовна, Попов Кирилл Геннадьевич

Текст научной работы на тему «Важные аспекты обеспечения информационной безопасности в банках»

попавшие в сеть Интернет:

• стирание с носителя;

Этот список можно расширять довольно долго, также стоит отметить, кем могут быть реализованы данные угрозы: самими злоумышленниками, либо внедрением вредоносного программного обеспечения (вирусов, червей и т.д.), а иногда безопасность персональных данных подвергается угрозе из-за действий самих пользователей сети Интернет. Далее мы рассмотрим самые уязвимые части сети Интернет, откуда могут идти угрозы безопасности персональных данных. Сейчас практически у каждого человека есть электронная почта, иногда аккаунтов несколько, личный и рабочие, и профили в различных социальных сетях. В любом случае взлом аккаунтов может привести к утрате персональных данных опубликованных либо на странице профиля, либо когда-либо пересылаемых с помощью сервиса, а ведь зачастую с помощью почты и социальных сетей пересылаются даже паспортные данные и иная особо важная информация. Любые неправомерные действия, которые привели к утрате персональных данных, нарушают главный закон страны — Конституцию. Отдельный вопрос защиты персональных данных в сети Интернет возникает, если обратить внимание на электронную коммерцию, ведь онлайн покупки стали для большинства людей естественным явлением. При совершение данных операций, стоит особо внимательно изучать сайт, на котором покупается товар, на предмет строго соответствия нормам закона и нежелательно привязывать свою банковскую карту к платежной системе сайта, это несет за собой дополнительный риск. Ещё одним очагом опасности для персональных данных в сети Интернет могут стать сайты по поиску работы и порталы персонифицированных (т.е. предназначенных для конкретного гражданина и содержащих его персональные данные) услуг населению.

Читать еще:  Case в программировании

В заключении хотелось бы выделить правила для пользователей сети Интернет, которых стоит придерживаться, чтобы обезопасить свои персональные данные: следить за тем, что пересылается в сообщении и кому; внимательно изучать соглашения о обработке персональных данных на различных сайтах, если таковых нет не доверять важную информацию данному сайту; при пользовании услугами электронной коммерции не привязывать банковскую карту к платежной системе сайта; при выявлении нарушений законодательства в сфере защиты персональных данных, обращаться в соответствующие контролирующие органы.

Список использованной литературы:

1. Федеральный закон «О персональных данных»

2. Конституция Российской Федерации

©Хлестова Д.Р., Попов К.Г., 2016

Хлестова Дарья Робертовна

Студентка 2 курса ИУБП БашГУ, г. Уфа, РФ E-mail: dasha.hlestova@yandex.ru Попов Кирилл Геннадьевич к.э.н., доцент кафедры информационной безопасности БашГУ, г. Уфа, РФ

ВАЖНЫЕ АСПЕКТЫ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В БАНКАХ

В статье рассматриваются важные аспекты обеспечения информационной безопасности в банках.

_МЕЖДУНАРОДНЫЙ НАУЧНЫЙ ЖУРНАЛ «СИМВОЛ НАУКИ» №5/2016 ISSN 2410-700X_

Описаны виды угроз для безопасности банка и возможные риски при их исполнении, рассмотрены меры по обеспечению информационной безопасности банка.

Информационная безопасность, защита информации, обеспечение безопасности в банках

В современном мире на сегодняшний день проблема обеспечения информационной безопасности является одной из наиболее острых. Деятельность по защите информации набирает обороты во всех сферах жизнедеятельности общества, не остаётся в стороне и банковская сфера. В наше время ценность хранимой в банках информации многократно возросла, а, следовательно, обеспечение информационной безопасности банка — залог обеспечения защиты всех его информационных активов.

Своё развитие банковское дело начало с древнейших времен, и проанализировав историю, очевидно, что люди всегда стремились обезопасить свои сбережения. Но, однако, в те времена проконтролировать сохранность своих вкладов было гораздо проще, чем сейчас в век развития информационных технологий, ведь сегодня злоумышленник, может даже не врываясь в банк, похитить самую важную информацию.

Любая угроза, направленная на безопасность банка прежде всего направлена на вывод финансовых активов или завладение конфиденциальной информацией. Так в IV квартале 2015 года в результате атак на учреждения кредитно-финансовой сферы было похищено денежных средств на сумму более 1,5 млрд рублей. Утечка информации из банка — это несомненно финансовый ущерб для бизнеса. Рассмотрим некоторые виды важной информации для банка и какой риск они могут нанести для учреждения, при попадании к злоумышленнику:

• внутренние документы банка — опасность различных внешних атак;

• персональные данные клиентов — потеря клиентов, судебные разбирательства из-за нарушения закона ФЗ №152 «О персональных данных»;

• планы вывода нового предложения на рынок- конкуренты смогут реализовать продукт быстрее;

• информация о финансовой деятельности — потеря инвестиционной привлекательности у клиентов;

• сведения о партнерах и условиях сотрудничества — конкуренты предложат более лучшие.

В любом случае ущерб будет являться или финансовой потерей, или потерей клиентов, или ухудшением репутации банка, или вынесением штрафных санкций в соответствие с законодательством Российской федерации, а при самом плохом исходе вся совокупность нанесенного урона может привести к закрытию банка вообще.

Так, исходя из всех возможных угроз и особенностей информационных систем банка, которые включают в себя: инструменты внешней транзакции, большой объем хранящейся и обрабатываемой информации о финансовых операциях физических и юридических лиц, состояние не полной закрытости, так как, исходя из современных требований, банк должен иметь: сеть банкоматов, систему онлайн-банка и т.д., стоит выделить меры необходимые для обеспечения информационной безопасности кредитно-финансового учреждения. В банковских системах содержатся данные о финансовых операциях, проводимых клиентами, их персональные данные и данные о счетах. Особая важность защиты данной информации для банка очевидна, но без тщательно продуманной системы обработки, передачи и хранения банковской информации будет невозможна. Для обеспечения безопасности банка, необходимо создать целую структуру, которая сможет комплексно защитить конфиденциальную информацию о клиентах и все банковские данные в целом. Можно выделить общую последовательность мер, которая поможет организовать структуру защиты: определение защищаемой информации; оборудование и создание внутренним актом (опираясь на действующие законодательство и стандарты) по информационной безопасности комплексной системы защиты; постоянный контроль и усовершенствование принятых мер.

В заключении, хотелось бы отметить, что за безопасность данных клиентов банков отвечает не только качественно созданная система информационной безопасности, но и прежде всего сотрудники банка, поэтому помимо работ по улучшению правовой и технической составляющей системы безопасности банка не стоит забывать о работе с персоналом, которая включает в себя проведение инструктажей и тщательный

контроль за исполнением необходимых правил.

Список использованной литературы:

1. Федеральный закон «О банках и банковской деятельности»

2. www.Grandars.ru [Электронный ресурс] Режим доступа: http://www.grandars.ru/student/finansy/vozniknovenie-bankov.html (Дата обращения: 5.05.2016)

3. In-bank.ru [Электронный ресурс] Режим доступа: http://journal.ib-bank.ru/post/411 (Дата обращения: 5.05.2016)

©Хлестова Д.Р., Попов К.Г., 2016

Хлестова Дарья Робертовна

Студентка 2 курса ИУБП БашГУ, г. Уфа, РФ E-mail: dasha.hlestova@yandex.ru Попов Кирилл Геннадьевич к.э.н., доцент кафедры информационной безопасности БашГУ, г. Уфа, РФ

ОСОБЕННОСТИ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ В БАНКОВСКОЙ СФЕРЕ

В данной статье рассмотрены особенности защиты персональных данных клиента в банковской сфере. Перечислен ряд нормативно- правовых актов, на основе которого должна строиться система обработки и защиты персональных данных в банке. Выделен список мер для организации обеспечения безопасности данных в банковских учреждениях.

Персональные данные, обеспечение безопасности в банках, информационная безопасность,

защита персональных данных

Защита персональных данных в век информационных технологий стала особенно актуальной. Случаев, когда злоумышленники получают доступ к любой конфиденциальной информации, атакуя информационные системы организаций, становится всё больше. Несомненно, атаки не обходят стороной и банковскую сферу. Поскольку в банковских системах содержится большое число персональных данных клиентов, их безопасность должна находиться под пристальным вниманием государства и самих владельцев кредитно-финансовых учреждений.

Для начала стоит разобраться какие же персональные данные человека могут стать доступны банку, если он станет его клиентом. Итак, это обязательно: фамилия, имя и отчество; дата и место рождения; гражданство; место регистрации и фактического проживания; все данные паспорта (серия, номер, когда и кем выдан документ); номер мобильного и домашнего телефона; место работы, занимаемая должность. В большинстве случаев учреждения запрашивают у лица, и дополнительную информацию, но и без неё список данных, которые человек доверяет банку получается внушительным. Конечно, клиент надеется, что его персональные данные при обработке и хранении будут надежно защищены.

Для того чтобы кредитно-финансовые учреждения могли качественно организовать систему обработки и защиты персональных данных, необходимо обозначить перечень нормативно- правовых актов, на которые стоит опираться банку при работе с персональными данными клиентов: Конституция Российской Федерации- самый главный документ страны; Трудовой кодекс РФ; Гражданский кодекс и Уголовный кодекс РФ; федеральный закон № 152 «О персональных данных»; федеральный закон № 149 «Об

Ссылка на основную публикацию
Adblock
detector