14590 Особенности автоматизации процессов проведения и управления аудитом информационной безопасности на основе требований СТО БР ИББС-1.1-2007

ВВЕДЕНИЕ
На сегодняшний день развитие российской банковской системы имеет зависимость от уровня ее безопасности. Основной задачей систем информационной безопасности (ИБ) в кредитных учреждениях является предотвращение вреда интересам (и имуществу) кредитной организации, который может иметь место при хищении финансовых и материальных средств, разглашении, утраты или утечки информации, уничтожение имущества, нарушение работы технических средств банка, в том числе, средств информатизации, а также нанесение ущерба сотрудникам.
Изменения экономических отношений стали главной причиной роста криминальных явлений в финансово-кредитной сфере.
Криминализация банковской сферы развивается в следующих формах:
• хищение финансов банков при помощи различных мошеннических действий;
• применение банков при осуществлении незаконных операций представителями разных органов государственной власти;
• отмывание нелегально полученных средств через банковские операции.
Обеспечение безопасности банка включает в себя:
• физическую безопасность, под которой понимается обеспечение защиты от посягательства на жизнь персонала и клиентов банка;
• экономическую безопасность банка;
• информационную безопасность банка;
• материальную безопасность банка.
Выделяют три основных составляющихвопроса обеспечения безопасности: правовой механизм защиты, организационная защита, программно - техническая. Вопрос обеспечения безопасности электронных систем расчетов - один из наиболее важных для финансово-платежногомеханизма страны, поскольку любая дестабилизация в функционировании системы расчетов может быть разрушительна для работы всей государственной экономическойструктуры. В связи этим принимаемые меры и средства, обеспечивающие защиту, должны охватывать технологический процесс осуществления электронных расчетов в целом. Все подсистемы и средства автоматизаций, телекоммуникаций и информационнойзащиты должны устойчиво действовать в рамках технического процесса совершения электронных расчетов [38, с.72].
Большое внимание должно уделяться защите информации кредитных учреждений. Банковская тайна представляет собой особый правовой режим, который не может быть сведен ни к какому другому правовому режиму, к примеру, режиму коммерческой тайны.
Система мероприятий по сохранению конфиденциальной информации должна подразумевать не только степени защиты, которые обеспечивают физическую сохранность документации, но также и защиту данной информации, находящейся в ПК и в другом техническомоборудовании, от несанкционированного доступа, ее уничтожения илиискажения.
В рамках системы мер обеспечения безопасности в кредитных учреждениях большое значение имеетаудит - форма независимого, нейтрально направленного контроля определеннойниши деятельности организации, широко используемая на практике в условиях рыночной экономики, особенно в сфере бухучета. Не менее важным с точки зрения общей безопасности и развития организации является аудит безопасности, который предполагает анализ рисков, которые связаны с возможностью реализации угроз безопасности, особенно в отношении информационных ресурсов, анализ текущего уровня защиты информационных систем (ИС), локализацию непроработанных мест в системе их защиты, оценку соответствия ИС существующим стандартам в области информационной безопасности и выработку рекомендаций по внедрению новых и повышению эффективности существующих механизмов безопасности ИС.
Если говорить о главной цели аудита информационной безопасности, то можно ее определить, как проведение оценки уровня безопасности информационной системы предприятия для управления им в целом с учетом перспектив его развития.
В современных условиях, когда информационные системы пронизывают все сферы деятельности предприятия, а с учетом необходимости их связи с Интернет они оказываются открытыми для реализации внутренних и внешних угроз, проблема информационной безопасности становится не менее важной, чем экономическая или физическая безопасность.
Целью написания дипломной работы является определение особенностей автоматизации процессов аудита информационной безопасности на основании СТО БР ИББС-1.1-2007.
Объектом дипломной работы является СТО БР ИББС-1.1-2007 и международные стандарты проведения аудитов информационной безопасности.
Предметом дипломной работы являются положения СТО БР ИББС-1.1-2007 и международных стандартов, а также существующие программные комплексы по обеспечению информационной безопасности.
Для написания дипломной работы необходимо решить ряд задач:
1. Провести анализ структуры информационной безопасности банковских информационных ресурсов.
2. Провести анализ общих понятий аудита информационной безопасности и потенциальных информационных угроз.
3. Рассмотреть стандарты обеспечения информационной безопасности и методы проведения аудита в банковской системе.
4. Рассмотреть особенности «бумажного» и автоматизированного аудита в банковской системе.

Содержание



ВВЕДЕНИЕ 3
ГЛАВА 1. ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ И МОДЕЛИ АУДИТА: ПОНЯТИЯ И АНАЛИЗ 6
1.1 ПОНЯТИЕ И СТРУКТУРА ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ 6
1.2 ПОНЯТИЕ АУДИТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ И АНАЛИЗ ИНФОРМАЦИОННЫХ УГРОЗ 13
1.3 СТАНДАРТЫ ПРОВЕДЕНИЯ АУДИТА ИБ 27
1.4 МЕТОДЫ И МОДЕЛИ ПРОВЕДЕНИЯ АУДИТА ИБ 32
ГЛАВА 2. ОСНОВНЫЕ АСПЕКТЫ АУДИТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ КРЕДИТНЫХ ОРГАНИЗАЦИЙ 35
2.1 ПРИНЦИПЫ И МЕНЕДЖМЕНТ ПРОВЕДЕНИЯ АУДИТА ИБ 35
2.2 ОПРЕДЕЛЕНИЕ УГРОЗ ЗАЩИЩАЕМЫМ РЕСУРСАМ КРЕДИТНОЙ ОРГАНИЗАЦИИ 40
2.3 ОСОБЕННОСТИ АУДИТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ КРЕДИТНОЙ ОРГАНИЗАЦИИ 52
ГЛАВА 3. СРЕДСТВА ДЛЯ ПРОВЕДЕНИЯ АУДИТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ 63
3.1 САМООЦЕНКА И АУДИТ ИБ В КРЕДИТНЫХ ОРГАНИЗАЦИЯХ 63
3.2 АВТОМАТИЗАЦИЯ АУДИТАИБ 68
ЗАКЛЮЧЕНИЕ 76
БИБЛИОГРАФИЧЕСКИЙ СПИСОК 78
ПРИЛОЖЕНИЯ 82

ЗАКЛЮЧЕНИЕ

Таким образом, в дипломной работе мы решили задачи, поставленные в начале работы.
Был проведен анализ структуры информационной безопасности банковских информационных ресурсов. Было выявлено, что система информационной безопасности сочетает в себе принципы и методы защиты информации, направленные на разные стороны существования информации в рамках кредитного учреждения.
Анализ аудита информационной безопасности и потенциальных информационных угроз показал, что аудит преследует разнообразные цели, включающие в себя изучение и анализ информационной системы в целом и методов защиты информации в конкретном банковском учреждении, а также были выявлены основные аспекты угроз, которые возникают как по причине внутренних проблем, так и из вне.
Также существуют определенные стандарты проведения аудита в отношении информационной безопасности в кредитном учреждении. Данные стандарты имеют международное значение, что обеспечивает единство проведения аудитов по всему миру.
Автоматизированный способ аудита в банковской системе представляется более оптимальным решением вопросов аудита, поскольку, рассматривая этапы проведения аудита в общем, можно отметить, что данная процедура довольно трудоемкая и длительная. При помощи автоматизации проведения аудита ИБ сокращается не только длительность процесса аудита, но и его качества, так как здесь почти отсутствует человеческий фактор.
На примере программы, предназначенной для проведения аудита ИБ, мы показали, каким образом автоматизированный процесспроведения и управления аудитом в значительной степени сокращает трудоемкость деятельности в данной области. Так, было выявлено, что автоматизация аудита сокращает временные затраты в шесть раз.
Введение автоматизированных систем самоконтроля и аудита в кредитных организациях способствуют высвобождению времени при работе и контроле информационной безопасности.

БИБЛИОГРАФИЧЕСКИЙ СПИСОК

1. «Гражданский кодекс Российской Федерации (часть вторая)» от 26.01.1996 № 14-ФЗ (ред. от 29.06.2015) (с изм. и доп., вступ. в силу с 01.07.2015).
2. «Уголовный кодекс Российской Федерации» от 13.06.1996 № 63-ФЗ (ред. от 30.03.2016)
3. Федеральный закон от 27.07.2006 № 149-ФЗ (ред. от 13.07.2015) «Об информации, информационных технологиях и о защите информации» (с изм. и доп., вступ. в силу с 10.01.2016).
4. Федеральный закон от 02.12.1990 № 395-1 (ред. от 29.12.2015) «О банках и банковской деятельности» (с изм. и доп., вступ. в силу с 09.02.2016)
5. Федеральный закон от 27.07.2006 № 152-ФЗ (ред. от 21.07.2014) «О персональных данных» (с изм. и доп., вступ. в силу с 01.09.2015)
6. Федеральный закон от 28.12.2010 № 390-ФЗ (ред. от 05.10.2015) «О безопасности».
7. Доктрина информационной безопасности Российской Федерации. Указ Президента РФ № 1895 от 09.09.2000 г. // Российская газета. - 2000.
8. Приказ Центрального банка Российской Федерации «О введении в действие Временных требований по обеспечению безопасности технологий обработки электронных платежных документов в системе Центрального банка Российской Федерации»№02-144 от 03.04.97 г.
9. ГОСТ 34.601-90 Автоматизированные системы. Стадии создания. М.: ИПК Издательство стандартов, 1992.
10. ГОСТ 34.201-89 Информационная технология. Комплекс стандартов на автоматизированные системы. Виды, комплектность и обозначение документов при создании автоматизированных систем. М.: ИПК Издательство стандартов, 2002.
11. ГОСТ Р 51275-2006. Защита информации. Объект информатизации. Факторы воздействующие на информацию. М.: Издательство стандартов, 2006.
12. "Стандарт Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения" СТО БР ИББС-1.0-2014" (принят и введен в действие Распоряжением Банка России от 17.05.2014 N Р-399)
13. Стандарт СТО БР ИББС – 1.2 – 2014. Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС 1.0 –2014. – М. Изд-во стандартов, 2014. – 101с.
14. Стандарт Банка России. Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Аудит информационной безопасности СТО БР ИББС-1.1-2007", от 01.05.2007 г. - М. 2007.
15. Международный стандарт 1SO/IEC27006: 2007 "Информационные технологии. Методы обеспечения безопасности. Требования к органам аудита и сертификации систем управления информационной безопасностью".
16. Бойцев О.М. Защити свой компьютер от вирусов и хакеров. / О.М. Бойцев СПб.: Питер, 2010.
17. Будовских И.А. Формирование алгоритма расчета уровня соответствия информационной безопасности кредитных организаций стандарту Банка России [Электронный ресурс] / И.А. Будовских, Л.Д. Алферова // Горизонты образования. – 2015. - №17.
18. Вентцель Е.С., Овчаров Л.А. Теория вероятностей и ее инженерные приложения: Учебное пособие для вузов / - З-е изд., перераб. и доп. - М.: Издательский центр "Академия", 2011 г.
19. Вентцель Е.С. Теория вероятностей. Учеб. для вузов / Е.С. Вентцель - М.: Высшая школа, 2011 г.
20. Вихорев С.В. Кобцев Р.Ю. Как узнать откуда напасть, или откуда исходит угроза безопасности информации / С.В. Вихорев, Р.Ю. Кобцев - СПб.: Конфидент, 2012.
21. Гамза В. Концепция банковской безопасности: структура и содержание / Гамза В., Ткачук И.И. // Аналитический банковский журнал, № 5 с. 2012 г.
22. Герасименко В.А. Основы защиты информации. / В.А. Герасименко, А.А. Малюк М.: 2009 г.
23. Губенков А.А. Информационная безопасность. / А.А. Губенков, Байбурин В.Б. - М.: ЗАО "Новый издательский дом", 2009 г.
24. Девянин П.Н., Михальский О.О., Правиков Д.И., Щербаков А.Ю. Теоретические основы компьютерной безопасности. М.: Радио и связь, 2009г.
25. Домарев В.В. Защита информации и безопасность компьютерных систем. / В.В. Домарев - К.: Издательство "Диа-Софт", 2009 г.
26. Ерохин С.С. Модель нарушителей для информационных систем электронной коммерции. Научная сессия ТУСУР - 2009: Материалы докладов Всероссийской научно-технической конференции студентов, аспирантов и молодых ученых, Томск, 2009 г.
27. Жигулин Г.П. Информационная безопасность. / Г.П. Жигулин, С.Г. Новосадов, А.Д. Яковлев СПб: СПб ГИТМО (ТУ), 2012 г.
28. Забелин П.В. Информационная безопасность Российского государства: социально-политические и социально-культурные проблемы. / П.В. Забелин М.: Грошев - Дизайн, 2011 г.
29. Згурский А.С. Комплексное обеспечение безопасности кредитных организаций // Актуальные проблемы гуманитарных и естественных наук. Выпуск №5. - М.: 2010 г.
30. Згурский А.С., Корбаинова Е.В. Система обеспечения информационной безопасности кредитных организаций. Метод создания политики информационной безопасности // Сборник тезисов VIII Всероссийской межвузовской конференции молодых ученых. Выпуск №1. - СПб.: СПбГУ ИТМО, 2011 г.
31. Згурский А.С., Корбаинова Е.В. Определение степени потребности активов центра обработки данных кредитной организации в свойствах безопасности // Научно-технический вестник Поволжья, Том №3 - К., 2011 г.
32. Згурский А.С. Корбаинова Е.В. Определение уровня уязвимости и оценка влияния свойства безопасности актива на деятельность центра обработки данных // Проблемы информационной безопасности. Компьютерные системы. Выпуск №3, - СПб., 2011 г.
33. Калугин Н.М., Кудрявцев А.В., Савинская Н.А. Банковская коммерческая безопасность: Учебное пособие. - СПб.: СПбГИЭУ, 2006 г.
34. Куранов А. К вопросу о защите коммерческой тайны. // Банки и технологии. Вып. № 1, 2008 г.
35. Курило А.П. Вопросы укрепления безопасности банковской системы в современных условиях. - Материалы учебно-практической конференции «Актуальные проблемы безопасности банковского дела в условиях финансового кризиса», М., 2009 г.
36. Лукацкий, А. Аудит информационной безопасности: какой, кому, зачем? [Электронный ресурс] / А. Лукацкий. Режим доступа: http://bosfera.ru/bo/audit-informatsionnojbezopasnosti (13.01.2016) — Загл. с экрана.
37. Малюк А.А. Информационная безопасность: концептуальные и методологические основы защиты информации: Учеб. пособие для вузов./ А.А. Малюк. - М., 2004 г.
38. Милославская, Н.Г. Серия «Вопросы управления информационной безопасностью". Выпуск 5: учебное пособие / Н.Г. Милославская, М.Ю. Сенаторов, А.И. Толстой. — Электрон.данные. — М.: Горячая линия-Телеком, 2012.
39. Романец Ю.В. Защита информации в компьютерных системах и сетях. / Ю.В. Романец, П.А. Тимофеев, В.Ф. Шаньгин - М.: "Радио и связь", 2011 г.
40. Сайт Центрального банка Российской Федерации www.cbr.ru.