ВВЕДЕНИЕ 4
I Аналитическая часть 7
1.1. Технико-экономическая характеристика предметной области и АО «АЛЬФА-БАНК». Анализ деятельности «КАК ЕСТЬ» 7
1.1.1. Характеристика АО «АЛЬФА-БАНК» и его деятельности 7
1.1.2. Организационная структура управления коммерческим банком 9
1.1.3. Программная и техническая архитектура ИС АО «АЛЬФА-БАНК» 12
1.2. Характеристика комплекса задач, задачи и обоснование необходимости защиты персональных данных 21
1.2.1. Выбор комплекса задач и характеристика существующих бизнес-процессов защиты персональных данных банка 21
1.2.2. Определение места проектируемой задачи в комплексе задач и ее описание 23
1.2.3. Обоснование необходимости использования вычислительной техники для решения задачи 24
1.2.4. Анализ системы обеспечения информационной безопасности и защиты персональных данных АО «АЛЬФА-БАНК» 28
1.3. Анализ существующих разработок и выбор мер защиты персональных данных «КАК ДОЛЖНО БЫТЬ» 31
1.3.1. Анализ существующих разработок для защиты персональных данных 31
1.3.2. Выбор и обоснование стратегии задачи 44
1.3.3. Выбор и обоснование способа приобретения ИС для защиты персональных данных 46
1.4. Обоснование проектных решений по защите персональных данных АО «АЛЬФА-БАНК» 48
1.4.1. Обоснование проектных решений по информационному обеспечению 48
1.4.2. Обоснование проектных решений по программному обеспечению 68
1.4.3. Обоснование проектных решений по техническому обеспечению 77
Вывод по первой главе 84
II Проектная часть 85
2.1. Разработка проекта защиты персональных данных 85
2.1.1. Этапы жизненного цикла проекта защиты персональных данных АО «АЛЬФА-БАНК» 85
2.1.2. Ожидаемые риски на этапах жизненного цикла и их описание 89
2.1.3. Организационно-правовые и программно-аппаратные средства обеспечения информационной безопасности и защиты персональных данных АО «АЛЬФА-БАНК» 93
2.2. Информационное обеспечение задачи 95
2.2.1. Информационная модель и её описание 95
2.2.2. Характеристика нормативно-справочной, входной и оперативной информации 96
2.2.3. Характеристика результатной информации АО «АЛЬФА-БАНК» 103
2.3. Программное обеспечение задачи 103
2.3.1. Общие положения (дерево функций и сценарий диалога) 103
2.3.2. Характеристика базы данных коммерческого банка 107
2.3.3. Структурная схема пакета (дерево вызова программных модулей) 108
2.3.4. Описание программных модулей ИС защиты персональных данных АО «АЛЬФА-БАНК» 110
2.4. Контрольный пример реализации проекта и его описание 110
Вывод по второй главе 118
III Обоснование экономической эффективности проекта защиты персональных данных АО «АЛЬФА-БАНК» 120
3.1. Выбор и обоснование методики расчёта экономической эффективности 120
3.2. Расчёт показателей экономической эффективности проекта защиты персональных данных АО «АЛЬФА-БАНК» 121
Выводы по третьей главе 127
ЗАКЛЮЧЕНИЕ 128
СПИСОК ЛИТЕРАТУРЫ 130
ПРИЛОЖЕНИЕ 134
Цель выпускной квалификационной работы: описать разработку системы защиты персональных данных на предприятии на основе методики защиты персональных данных АО «АЛЬФА-БАНК».
Задачи выпускной квалификационной работы, которые решаются для достижения этой цели:
провести анализ существующей ИС защиты персональных данных АО «АЛЬФА-БАНК»;
разработать модель защиты персональных данных АО «АЛЬФА-БАНК»;
дать оценку текущего состояния обеспечения безопасности защиты персональных данных АО «АЛЬФА-БАНК»;
провести аудит объекта информатизации АО «АЛЬФА-БАНК»;
описать организационно-правовые и программно-аппаратные средства обеспечения информационной безопасности и защиты персональных данных АО «АЛЬФА-БАНК»;
обосновать необходимость разработки системы защиты персональных данных для АО «АЛЬФА-БАНК»;
Предоставить описание ИС защиты персональных данных для АО «АЛЬФА-БАНК»
представить расчёт показателей экономической эффективности проекта защиты персональных данных АО «АЛЬФА-БАНК».
Практическая значимость полученных результатов: вскрытые проблем построения сценария моделирования угроз защиты персональных данных объекта КИИ на соответствие требованиям обеспечения информационной безопасности, позволят специалистам по ИБ строить более точные модели нарушителей ИБ в финансовом секторе, объектов КИИ и более эффективно применять такие модели в целях решения задач обеспечения ИБ. Согласно ФЗ №187 объекты КИИ могут быть отнесены к одной из трех категорий значимости, где первая категория является высшей, а третья – низшей. Также по результатам защиты персональных данных объекту КИИ может быть не присвоена ни одна из категорий значимости.
В сфере информационной безопасности оценка соответствия является одним из важнейших процессов для высокотехнологичных организаций. Данный процесс позволяет компании не только защитить свои собственные интересы в информационном пространстве и соответствовать различным требованиям по ИБ, но и завоевать доверие клиентов, предоставляя доказательства полной защищенности обрабатываемых данных в организации.
В первой главе осуществлено исследование проблемы комплексного подхода к обеспечению безопасности персональных данных кредитной организации АО «АЛЬФА-БАНК». Рассмотрена общая классификация угроз безопасности банковской деятельности, сформулированы основные принципы организации работы банковского подразделения безопасности и основные направления его деятельности. Особенности БС РФ таковы, что негативные последствия сбоев в работе отдельных организаций могут привести к быстрому развитию системного кризиса всей платежной системы РФ, нанести ущерб интересам собственников и клиентов АО «АЛЬФА-БАНК».
Для противостояния таким угрозам и обеспечения эффективности мероприятий по ликвидации неблагоприятных последствий инцидентов информационной безопасности АО «АЛЬФА-БАНК» следует обеспечить достаточный уровень ИБ. Необходимо также сохранять этот уровень в течение длительного времени. По этим причинам обеспечение информационной безопасности является для организаций БС РФ одним из основополагающих аспектов их деятельности.
Сформированный перечень рекомендаций по повышению текущего уровня ИБ банка направлен на повышение уровня соответствия требованиям СТО БР ИББС по следующим направлениям: назначение и распределение ролей и обеспечение доверия к персоналу; защита от несанкционированного доступа и нерегламентированных действий, управление доступом и регистрации всех действий в АБС, в телекоммуникационном оборудовании, автоматической телефонной станции и т.д.; антивирусная защита; использование ресурсов Интернет; использование СКЗИ; защита банковских платежных технологических процессов; защита банковских информационных технологических процессов. На основе поставленных технических требований, производится процесс проектирования системы, после чего, на основе установленных функциональных требований системы, описывается реализация и тестирование программного продукта.
Для внедрения базы данных необходимо передать базу в отдел информационной безопасности. Данная система в дальнейшем может совершенствоваться. Для этого необходимо протестировать АИС на практике. Разобрать все недочеты и заниматься дальнейшей разработкой системы. Возможно сотрудничество и с другими отделениями в Банке. В работе использовали ручной поиск информации, а хранилась она в двух разных базах данных, раздельно в Security Vision и Service Manager. Сотрудники тратили время на поиск связи между инцидентами и обращениями, особенно, если инциденты и сущности создавались не им самим, а коллегой.
Изучен вопрос сопоставления большого массива данных. Разработана собственная методика анализа информации об обращениях, которые созданы по конкретному инциденту и об ответственных за решение инцидента. Тем самым повышена оперативность работы подразделения.
Одним из самых качественных и завоевавших доверие продуктов для реализации автоматизации IT процессов является флагманский продукт компании Hewlett Packard (HP) – HP Service Manager (SM).
Для удовлетворения первого требования – безопасности передачи данных, необходимо реализовать передачу данных с помощью криптографических протоколов SSL или TLL. Данные протоколы поддерживает протокол HTTPS – расширение протокола HTTP для поддержки шифрования.
В ходе выполнения выпускной квалификационной работы была достигнута цель работы – дано описание ИС по защите персональных данных для АО «АЛЬФА-БАНК»..
1. ФАУ «ГНИИИ ПТЗИ ФСТЭК России» - Банк данных угроз безопасности информации [Электронный ресурс] URL: https://bdu.fstec.ru/
2. Методический документ ФСТЭК «Методика определения угроз безопасности информации в информационных системах» [Электронный ресурс] /https://fstec.ru/component/attachments/download/812/ (дата обращения 18.03.2022)
3. Федеральный закон Российской Федерации от 26 июля 2017 года N 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» [Электронный ресурс] /https://fstec.ru/tekhnicheskaya-zashchita-informatsii/obespechenie-bezopasnosti-kriticheskoj-informatsionnoj-infrastruktury/285-zakony/1610-federalnyj-zakon-ot-26-iyulya-2017-g-n-187-fz/ (дата обращения 17.03.2022)
4. Постановление Правительства РФ от 26.06.2012 № 644 «О федеральной государственной информационной системе учета информационных систем, создаваемых и приобретаемых за счет средств федерального бюджета и бюджетов государственных внебюджетных фондов»
5. Постановление Правительства от 8 февраля 2018 г. N 127 (ред. от 13 апреля 2019 г.) «Об утверждении правил защиты персональных данных объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений» [Электронный ресурс] / https://fstec.ru/tekhnicheskaya-zashchita-informatsii/obespechenie-bezopasnosti-kriticheskoj-informatsionnoj-infrastruktury/287-postanovleniya/1614-postanovlenie-pravitelstva-rossijskoj-federatsii-ot-8-fevralya-2018-g-n-127/ (дата обращения 17.03.2022)
6. Приказ ФСТЭК от 25 декабря 2017 г. N 239 (в ред. Приказа ФСТЭК России от 26 марта 2019 г. N 60) «Об утверждении требований по обеспечению безопасности персональных данных значимых объектов критической информационной инфраструктуры Российской Федерации» [Электронный ресурс] / https://fstec.ru/en/53-normotvorcheskaya/akty/prikazy/1592-prikaz-fstek-rossii-ot-25-dekabrya-2017-g-n-239/ (дата обращения 17.03.2022)
7. Приказ ФСТЭК т 21 декабря 2017 г. N 235 «Об утверждении требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования» [Электронный ресурс] / https://fstec.ru/normotvorcheskaya/akty/53-prikazy/1589-/ (дата обращения 19.03.2022)
8. Приказ ФСБ России от 24.07.2018 № 367 «Об утверждении Перечня информации, представляемой в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации и Порядка представления информации в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации»
9. Приказ ФСБ России от 24.07.2018 № 368 «Об утверждении Порядка обмена информацией о компьютерных инцидентах между субъектами критической информационной инфраструктуры Российской Федерации, между субъектами критической информационной инфраструктуры Российской Федерации и уполномоченными органами иностранных государств, международными, международными неправительственными организациями и иностранными организациями, осуществляющими деятельность в области реагирования на компьютерные инциденты, и Порядка получения субъектами критической информационной инфраструктуры Российской Федерации информации о средствах и способах проведения компьютерных атак и о методах их предупреждения и обнаружения»
10. ФСТЭК России. Информационное сообщение от 17.04.2020 № 240/84/611 по вопросам представления перечней объектов критической информационной инфраструктуры, подлежащих защите персональных данных, и направления сведений о результатах присвоения объекту критической 81 информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий
11. Методические рекомендации по защите персональных данных объектов критической информационной инфраструктуры сферы здравоохранения [Электронный ресурс]. - Режим доступа: URL: https://portal.egisz.rosminzdrav.ru/ (17.03.2022)
12. Методические рекомендации по определению объектов КИИ и категорий значимости объектов КИИ в медицинских учреждениях Департамента здравоохранения города Москвы [Электронный ресурс]. - Режим доступа: URL: https://niioz.ru/ (17.03.2022)
13. Базовая модель угроз безопасности информации в ключевых системах информационный инфраструктуры. Утверждена ФСТЭК России 18 мая 2007 г.
14. Временные требования к средствам антивирусной защиты. Утверждены ФСТЭК России 3 февраля 2012 г. УСТАРЕЛО!
15. ГОСТ P 56546-2015 Защита информации. Уязвимости информационных систем. Классификация уязвимости информационных систем. Росстандарт, 2015.
16. ГОСТ Р 51583-2014 Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения. Росстандарт, 2014.
17. Волкогонов В.Н. Актуальность автоматизированных систем управления / Волкогонов В.Н., Гельфанд А.М., Деревянко В.С. // В сборнике: Актуальные проблемы инфотелекоммуникаций в науке и образовании (АПИНО 2019). сборник научных статей VIII Международной научно-технической и научно-методической конференции: в 4 т. 2019. С. 262-266.
18. Гельфанд А.М. Организация концептуальной модели критической информационной инфраструктуры/ Гельфанд А.М., Лансере Н.Н., Ложкина А.А., Фадеев И.И. // Методы и технические средства обеспечения безопасности информации. 2020. № 29. С. 39-40.
19. Красов А.В., Косов Н.А., Холоденко В.Ю. Исследование методов провижининга безопасной сети на мультивендорном оборудовании с использованием средств автоматизированной конфигурации // Colloquium-journal. 2019. № 13-2 (37). С. 243-247
20. Косов Н.А., Гельфанд А.М., Лаптев А.А. Анализ темных данных для обеспечения устойчивости информационных систем от нарушения конфиденциальности или несанкционированных действий // Colloquium-journal. 2019. № 13-2 (37). С. 100-103.
21. Ландшафт угроз для систем промышленной автоматизации: второе полугодие 2018 / АО «Лаборатория Касперского», 2018. - Режим доступа: https: // ics - cert.kaspersky.ru / media / ICS _ REPORT _ H22018 _ FINAL _ RUS.pdf
22. Малюк, А.А. Основы политики безопасности критических систем информационной инфраструктуры: курс лекций / А. А. Малюк. - Москва : Горячая линия - Телеком, 2018. - 313 с
23. Максимова, Е.А. Оценка информационной безопасности субъекта критической информационной инфраструктуры при деструктивных воздействиях : монография / Е. А. Максимова ; Министерство науки и высшего образования Российской Федерации, Федеральное государственное автономное образовательное учреждение высшего образования «Волгоградский государственный университет». - Волгоград : Волгоградский государственный университет, 2020. – 93 с.
24. Соловьева, Е.А. Преступления, совершаемые в платежных системах : монография / Е. А. Соловьева ; под редакцией Н. А. Лопашенко. - Москва : Юрлитинформ, 2021. – 172 с.
25. Челухин, В.А. Информационная безопасность критической информационной инфраструктуры Российской Федерации / Владимир Алексеевич Челухин. - [Б. м.] Издательские решения, 2020. - 101 с.
26. Калькулятор стоимости защиты персональных данных «под ключ» [Электронный ресурс] / https://data-sec.ru/calculator/ (дата обращения 15.03.2022)