Анализ существующих методик оценки рисков информационной безопасности и разработка собственной методики для банковской сферы. Апробирование полученной методики на примере АО "ЮниКредит Банк". Информация, необходимая для проведения анализа рисков.
Аннотация к работе
Особого внимания относительно рисков информационной безопасности заслуживает банковская сфера, так как стоимость информации в компаниях, работающих в данной области, еще выше за счет превалирования персональных данных клиентов, обладание которыми дает возможность получить несанкционированный доступ к финансовым ресурсам. Кроме того, существует такое понятие, как банковская тайна, суть которого заключается в обязанности каждого банка (или иной кредитной организации) защищать сведения о вкладах и счетах своих клиентов и корреспондентов, банковских операциях по счетам и сделках в интересах клиента, а также сведения клиентов, разглашение которых может нарушить право последних на неприкосновенность частной жизни (ФЗ "О банках и банковской деятельности"). В частности, особое внимание должно уделяться поиску уязвимостей в системе защиты информации и анализу и оценке рисков информационной безопасности. Однако на данный момент не существует стандартизированной методики анализа и оценки рисков информационной безопасности для кредитных организаций, обязательной для применения банками России. Кроме того, процесс анализа и оценки рисков информационной безопасности необходимо рассматривать в контексте разработки системы управления информационной безопасностью организации, так как анализ рисков сам по себе не принесет компании желаемого результата, а именно минимизации этих рисков и сокращения ожидаемых потерь от их реализации.Как уже было сказано ранее, анализ рисков информационной безопасности сам по себе, в отрыве от процесса построения и поддержания в актуальном состоянии комплексной системы защиты информации на предприятии, не имеет особого практического значения.В настоящее время информация очень часто рассматривается как наиболее ценный ресурс. Это неудивительно, так как в современном компьютеризированном мире наиболее эффективные конкурентные преимущества фирма может получить в основном за счет обладания уникальной информацией, будь то новейшие технологические разработки, необходимые для успеха на развивающемся рынке мобильных устройств, или данные о предпочтениях интернет-пользователей, имеющие огромную ценность для эффективной целевой рекламы. Именно поэтому информационной безопасности в последнее время уделяется все больше внимания: высший менеджмент предприятий различных сфер деятельности готов тратить все больше сил и средств на создание и развитие системы защиты информации, а также системы менеджмента ИБ. Стоит заметить, что формирование режима информационной безопасности является комплексной задачей и осуществляется на трех уровнях: законодательно-правовом, административном (организационном) и программно-техническом, поэтому для достижения поставленной цели требуется большое количество материальных и человеческих ресурсов. "Событие информационной безопасности - идентифицированное возникновение состояния системы, услуги или сети, указывающее на возможное нарушение политики информационной безопасности или аварию защитных мер (средств), а также возникновение ранее неизвестной ситуации, которая может быть связана с безопасностью."[4]"Риск информационной безопасности - это потенциальная возможность понести убытки изза нарушения безопасности информационной системы."[3] Риск может быть охарактеризован следующим набором параметров: · угроза, возможной реализацией которой вызван данный риск; Уязвимость - это так называемое "слабое место" в системе защиты информации, которое является основанием для возникновения угрозы со стороны злоумышленников. Актив может быть информационным (данные и другая ценная для организации информация, хранящаяся в цифровой форме: банковские транзакции, расчеты по платежам, и т.д.), аппаратным (например, серверы и имущество), программным и т.д. "Информационный актив - информация с реквизитами, позволяющими ее идентифицировать; имеющая ценность для организации БС РФ; находящаяся в распоряжении организации БС РФ и представленная на любом материальном носителе в пригодной для ее обработки, хранения или передачи форме."[12]В процессе выбора, какому банку доверить свои финансы и операции над ними, человек оценивает различные варианты кредитных организаций по нескольким основным критериям: надежность, скорость обслуживания, удобство предоставляемых сервисов, выгодность условий предлагаемых продуктов и т.д. Как было сказано ранее, банковское законодательство, а именно Федеральный Закон "О банках и банковской деятельности"[1], обязывает все кредитные организации Российской Федерации "защищать сведения о вкладах и счетах своих клиентов и корреспондентов, банковских операциях по счетам и сделках в интересах клиента, а также сведения клиентов, разглашение которых может нарушить право последних на неприкосновенность частной жизни"[1]. Из вышесказанного следует, что банкам необходимо поддерживать систему информационной безопасности на должном уровне, достаточном для того, чтобы не только гарантировать сохранение банковской тайны, но и
План
Оглавление
Введение
1. Риски информационной безопасности как предмет исследования
1.1 Теоретические основы в области информационной безопасности
1.2 Анализ и оценка рисков ИБ
1.3 Анализ и оценка рисков ИБ в банковской сфере
2. Анализ существующих методик оценки рисков ИБ и разработка собственной методики для банковской сферы
2.1 Обзор наиболее активно используемых методик анализа и оценки рисков информационной безопасности
2.2 Сравнительный анализ рассматриваемых методик
2.3 Разработка собственной методики для банковской сферы
3. Апробирование полученной методики на примере АО "ЮНИКРЕДИТ Банк"
3.1 Описание компании, на которой будет проводиться апробация разработанной методики
3.2 Информация, необходимая для проведения анализа и оценки рисков информационной безопасности на предприятии
3.3 Анализ и оценка рисков информационной безопасности в АО "ЮНИКРЕДИТ Банк" с использованием разработанной методики
Заключение
Список использованной литературы риск информационный безопасность банковский
Введение
Сегодня анализу рисков информационной безопасности уделяется все больше внимания. Этому есть несколько основных причин: безостановочный рост использования информационных технологий в процессе деятельности практически любой современной организации, увеличение ценности информации, обрабатывающейся и генерирующейся в процессе работы компании, а также интеграция различных информационных продуктов с целью покрытия всех нужд фирмы.
Особого внимания относительно рисков информационной безопасности заслуживает банковская сфера, так как стоимость информации в компаниях, работающих в данной области, еще выше за счет превалирования персональных данных клиентов, обладание которыми дает возможность получить несанкционированный доступ к финансовым ресурсам. Кроме того, существует такое понятие, как банковская тайна, суть которого заключается в обязанности каждого банка (или иной кредитной организации) защищать сведения о вкладах и счетах своих клиентов и корреспондентов, банковских операциях по счетам и сделках в интересах клиента, а также сведения клиентов, разглашение которых может нарушить право последних на неприкосновенность частной жизни (ФЗ "О банках и банковской деятельности"). Таким образом, информация, задействованная в работе коммерческих банков, нуждается в особой защите от потери ее свойств, а именно конфиденциальности, целостности и доступности. В частности, особое внимание должно уделяться поиску уязвимостей в системе защиты информации и анализу и оценке рисков информационной безопасности.
Однако на данный момент не существует стандартизированной методики анализа и оценки рисков информационной безопасности для кредитных организаций, обязательной для применения банками России. Все разработанные и активно использующиеся методики являются довольно общими для организаций, работающих в различных секторах экономики, они не учитывают особенностей банковского законодательства и специфики деятельности кредитных организаций. Тем не менее, существует методика анализа и оценки рисков ИБ в организациях банковской системы РФ, разработанная в 2009 году Банком России, однако она носит лишь рекомендательный характер.
Таким образом, есть потребность в разработке эталонной методики анализа и оценки рисков информационной безопасности в банковской сфере на основе существующих стандартов и методик построения системы защиты информации на предприятии. Кроме того, процесс анализа и оценки рисков информационной безопасности необходимо рассматривать в контексте разработки системы управления информационной безопасностью организации, так как анализ рисков сам по себе не принесет компании желаемого результата, а именно минимизации этих рисков и сокращения ожидаемых потерь от их реализации.
Целью данной работы является разработка методики анализа и оценки рисков информационной безопасности в банковской сфере на основе существующих стандартов, рекомендаций ЦБ и методик построения комплексной системы защиты информации на предприятии, так как анализ рисков является одним из ключевых компонентов наиболее известных из них. Кроме того, необходимо апробировать полученные результаты на примере АО "ЮНИКРЕДИТ Банк".
Для достижения поставленной цели были сформулированы следующие задачи.
1. Систематизировать информацию о том, что такое риски информационной безопасности, в чем заключается важность их анализа и оценки для построения системы защиты информации на предприятии.
2. Рассмотреть и взять во внимание существующие рекомендации в области анализа рисков информационной безопасности предприятий банковского сектора и банковское законодательство.
3. Проанализировать и сравнить между собой существующие методики анализа и оценки рисков ИБ в контексте разработки системы управления информационной безопасностью организации.
4. Разработать методику анализа и оценки рисков ИБ для банковской сферы на основе проанализированной информации.
5. Апробировать полученные результаты на примере АО "ЮНИКРЕДИТ Банк".