Описание существующей системы защиты.
Отделение находится на первых двух этажах здания по ул. Менделеева 138. На входе и по периметру установлены камеры видеонаблюдения, присутствует контрольно-пропускная система, охранник.
Контрольно-пропускная система состоит из 2 уровней: на входе первоначальный уровень, закрытый до 9.00, сотрудники проходят по пропускам; после 9.00 первый уровень открывается для свободного доступа клиентов в банк, а сотрудники проходят через второй уровень, препятствующий клиентам проход в служебные помещения.
В кабинете охранника на входе установлены мониторы камер видеонаблюдения, ключ от него находится непосредственно у охранника.
Основными процедурами, препятствующими несанкционированному доступу к информации, являются:
ограничение доступа к информации в АБС:
· персональный допуск пользователей, обеспечивающих проведение, оформление и учет операций с ценными бумагами к работе на СВТ в соответствии с их должностными обязанностями;
· разграничение полномочий доступа пользователей к информационным ресурсам автоматизированных и информационных систем корпоративной компьютерной сети Банка (обеспечивается системными средствами разграничения, использованием индивидуальных идентификаторов и паролей, электронных ключей, и т.п.);
· ограничение одновременного количества возможных подключений одного пользователя и регистрация автоматизированного рабочего места при входе в систему;
· установление индивидуальных идентификаторов и паролей доступа к данным для каждого исполнителя;
· ведение автоматизированного журнала регистрации действий пользователей информационной системы и регистрации попыток несанкционированного доступа;
· осуществление административных и технических мер, направленных на исключение несанкционированного доступа к данным: блокирование доступа пользователя в систему в случае обнаружения попыток несанкционированного доступа.
защита информации при ее обработке и архивировании:
· обособленное хранение (в отдельных, специально выделенных областях сетевых дисков, каталогах, файлах и т.п.) сведений, относящихся к конфиденциальное информации, с максимально возможным разграничением по доступу;
· создание резервных копий программ и информационных массивов;
· осуществление резервного копирования (восстановления) только уполномоченными работниками;
· уничтожение по окончании практического использования служебной информации конфиденциального характера и проектов документов, содержащих такую информацию, оставшихся на внешних запоминающих устройствах СВТ, а также осуществление очистки оперативной памяти путем выключения и перезагрузки компьютера после обработки информации конфиденциального характера (относится к рабочим станциям пользователей);
· уничтожение информации с машинных носителей, на которые осуществлялась запись конфиденциальной информации, в случае выхода их из строя или непригодности (нецелесообразности) для дальнейшего использования, а также при плановой или внеплановой замене СВТ, в том числе при обновлении парка вычислительной техники;
· отключение на компьютерах сотрудников Банка возможности записи на внешние носители информации. В случае производственной необходимости подключение таких устройств на компьютерах сотрудников, которые по роду исполнения своих должностных обязанностей должны производить запись (копирование) информации, осуществляется работниками ИТ-блока на основании служебной записки руководителя структурного подразделения;
· организация обособленной установки серверного и коммуникационного оборудования, используемого для хранения (обработки) конфиденциальной информации, в отдельных, специально выделенных помещениях (серверных), которые должны находиться под постоянной охранной сигнализацией и вход в которые должен быть максимально ограничен;
· исключение передачи конфиденциальной информации через Интернет и другие публичные сети;
· использование для защиты передаваемой по каналам связи конфиденциальной информации сертифицированных средств криптографической защиты (шифрования) информации;
· обеспечение создания и хранения архивных копий
· ведение журналов копирования данных и хранимых копий данных;
· регистрация в журнале факта снятия с хранения резервной копии данных и уничтожения данных, записанных на этом носителе;
Ограничение доступа посторонних лиц в помещения Банка, предназначенные для осуществления профессиональной деятельности на рынке ценных бумаг:
· соблюдение порядка и правил доступа на территорию Банка и в служебные помещения Банка;
· ограничение доступа работников и посторонних лиц в помещения, в которых размещено оборудование, вычислительные системы и системы телекоммуникаций, а также осуществляется хранение носителей с резервными копиями конфиденциальной информации.
Защита рабочих мест работников, осуществляющих операции с ценными бумагами:
· защита окон в рабочих помещениях от внешнего дистанционного наблюдения светонепроницаемыми стеклами и жалюзи;
· размещение рабочих мест служащих таким образом, чтобы исключить возможность несанкционированного просмотра документов и информации, отраженной на экранах мониторов;
· соблюдение работниками структурного подразделения правил по обеспечению защиты информации при работе на персональных компьютерах;
· использование сертифицированных средств защиты рабочих мест пользователей;
· наличие на входных дверях (окнах) помещений, в которых производится обработка и хранение документов, замков (запоров), гарантирующих их надежное закрытие. Порядок использования ключей (механических, электронных) должен исключать несанкционированный доступ в указанные помещения посторонних лиц;
· обеспечение работников Банка сейфами (металлическими шкафами), оборудованными устройствами для опечатывания, металлическими печатями, а также оргтехникой для хранения документов, содержащих конфиденциальную информацию.
Работа с персоналом Банка:
· проведение инструктажа с работниками по вопросам с целью неукоснительного соблюдения мероприятий, направленных на предотвращение неправомерного использования конфиденциальной информации при осуществлении Банком профессиональной деятельности на рынке ценных бумаг;
· уведомление работников о недопустимости осуществления операций с ценными бумагами с использованием конфиденциальной информации как в своих интересах, так и в интересах третьих лиц;
· информирование работников, имеющих доступ к конфиденциальной информации в бумажной и электронной форме, о недопустимости передачи третьим лицам либо несанкционированной публикации конфиденциальной информации.
8. Анализ потенциального ущерба:
Общая стоимость активов филиала примерно 11 млрд рублей. Примем 1 у.е. = 10 000 рублей. Тогда общая стоимость активов составляет 1 100 000 у.е.
Ущерб, который может понести отделение можно разделить на 2 группы:
· Материальный ущерб
o Хищение денежных средств
o Потеря базы данных клиентов
o Разглашение конфиденциальной информации
o Невозможность нормального функционирования отделения
o Ошибки в работе персонала
· Вред репутации
o Хищение денежных средств
o Ошибки в работе персонала
o Невозможность выполнения своих обязательств
Наиболее значимым является вред репутации, так как жизнеспособность банка зависит от его клиентов, количества выданных кредитов, количества вкладчиков и т. д. А также это затрагивает не только данный филиал, но и всю организацию в целом. В общем случае вред репутации можно оценить в 200 000 у.е., где 50 000 у.е. приходится на ошибки в работе персонала, 50 000 у.е. невозможность выполнения своих обязательств и 25 000 у.е. хищение денежных средств.
Материальный ущерб также значим, но затрагивает лишь данное отделение. Потеря базы данных клиентов может значительно повредить работе отделения, ущерб составит примерно 30 000 у.е. Ущерб от хищения денежных средств составит примерно 5 000 у.е. так как на кассах хранится небольшое количество средств, а хищение из хранилища маловероятно. При невозможности нормального функционирования отделения трудно рассчитать точное значение, предположим, что за 1 рабочий день выручка отделения составляет 25 000 у.е. и среднее время восстановления 4 рабочих дня, тогда ущерб составит 75 000 у.е.
При разглашении конфиденциальной информации конкуренты могут получить к ней доступ, что приведет к материальным потерям. Ущерб составит примерно 65 000 у.е.
Общая стоимость ущерба – 300 000 у.е.
Модель угроз.
№ | угроза | злоумышленник | уязвимость | ресурс | Вероятность реализации | ущерб |
Незаконное копирование, уничтожение базы данных клиентов с целью продажи | Сотрудник, обслуживающий АБС | Человеческий фактор | База данных клиентов | Средняя | 80 000 у.е. | |
Хищение денежных средств | Операционно-кассовый сотрудник | Человеческий фактор | Денежные средства | Высокая | 55 000 у.е. | |
Вывод из строя АБС | Хакер | Человеческий фактор, сбой в работе ПО | Документы, база данных клиентов, денежные средства | Средняя | 125 000 у.е. | |
Ошибки в работе персонала | Сотрудник отделения | Человеческий фактор. | Документы, база данных клиентов, денежные средства | Средняя | 115 000 у.е. |