Построение системы информационной безопасности в финансовом учреждении, диплом по защите информации

Работа выполнена и защищена в 2016 году для специальности 10.03.01 Информационная безопасность.

Аудит ИС и бизнес-процессов – независимая оценка текущего состояния ИС компании, устанавливающая уровень ее соответствия конкретным критериям, и предоставление результатов в виде рекомендаций.

Главной целью аудита становится предоставление верной и точной комплексной оценки текущего состояния защищенности ИС, позволяющей систематизировать угрозы ИБ и предложить варианты их устранения.

Сегодня тема аудита информационных ресурсов является достаточно популярной в трудах как отечественных, так и зарубежных ученых, что позволяет в рамках сделанных ими выводах разрабатывать некоторые мероприятия для разработки аудита конкретной ГУ ЦБ ПО РИ.

Исследования отечественных и зарубежных ученых, таких, как Берн Р. Дж, Булыга Р.П., Мельник М.В., Васильев Р.Б., Калянов Г.Н., Левочкина Г.А., Джордж С., Ваймарскирх А. и др. отражают, что в современных условиях конкурентные преимущества имеют те бизнес-системы, которые могут быстро реализовывать и дополнять результаты своего бизнеса (продукцию, товары, работы или услуги), соответствующие некоторой потребности каждого уникального потребителя, а не абстрактным требованиям совокупного. Способность производителей совмещать индивидуальные потребительские предпочтения с производством конкретных результатов их бизнеса и правильной системой контроля является решающим фактором эффективного развития этих систем.

Поэтому основными задачами управления экономическими субъектами в данных условиях являются привлечение и удержание любого потребителя при условии сохранения нужного соотношения цена/качество, а также постоянная поддержка достойного уровня самих бизнес-систем и их бизнес-процессов. В общем, нужна такая модель организационной структуры управления, которая могла бы позволить бизнес-системе в целом эффективно взаимодействовать с ее бизнес-средой и в особенности с ее потребителями. Главную роль в этом играют современные ИТ.

Сейчас ИТ выступают одним из главных инструментов поддержания адаптивности и конкуренции экономических субъектов. По мере дополнения требований бизнес-среды корректируются требования, предъявляемые к ПО, техническим средствам и ИТ-сервисам, что определяет дополнение их поддерживающей информационной инфраструктуры новыми программно-аппаратными платформами. При этом увеличивающаяся их разнообразность и сложность оказывает влияние на управляемость совокупной ИС субъектов, стабильность и оперативность ее работы.

Но потребность в уверенности о полезности, которой обладают ИС, контроль связанных с ними рисками и увеличивающиеся требования к контролю над данными, сегодня становятся ключевыми элементами корпоративного управления. Стоимость, риск и контроль отражают суть корпоративного управления не только бизнес-системой в целом, но и ее ИС в частности, и при этом не только в конкретном временном периоде, но и в долгосрочной перспективе.

Также сами исследования показывают, что наиболее оптимальным, многофункциональным и высокопрофессиональным инструментарием исследования реализованных и вероятных рисков, а также разносторонних проблемных ситуаций, возникающих в ходе работы той или иной бизнес-системы, является аудит. Аудит сейчас становится практически единственным инструментом при реализации разностороннего исследования и оценке информации, принятии управленческих решений, составлении прогнозов развития всей бизнес-системы и ее ИС в частности, а также дополнительным инструментом для координации этих систем. При этом следует учитывать, что ИС, являясь моделью бизнес-системы, в которой она работает, весьма сложное и многофункциональное образование, требующее особого, четкого и комплексного подхода к ее исследованию. Поэтому аудит в этом плане должен быть не аудитом в традиционном смысле (аудитом бухгалтерской (финансовой) отчетности), а аудитом бизнеса и, в частности, его информационной модели (ИС).

Нетрудно понять, что в этом случае аудит не должен быть только констатирующим и подтверждающим уже реализованные события и факты. Он должен быть направлен на выработку рекомендаций по оптимизации развития не только бизнес-системы в целом, но и ее ИС. В то же время нельзя быть полностью уверенным, что оценка текущего состояния ИС экономического субъекта позволит этому субъекту изначально понять пути будущего развития этой системы. Следовательно, есть проблема разносторонней оценки стратегии становления ИС для любого современного экономического субъекта, ее сбалансированности с основной стратегией бизнеса.

Указанная направленность аудиторской работы сегодня определила совершенно иное направление аудиторских исследований - стратегический аудит ИС, оценивающий не только ресурсную поддержку этих систем на долгосрочную перспективу, но и возможные результаты бизнес-планов по их дополнению. Важно понимать, что главным потребителем результатов этого направления аудита становится высшее звено системы управления любого экономического субъекта, выражающее всю стратегическую направленность бизнеса этого субъекта.

Основной сложностью проведения стратегического аудита ИС является, во-первых, нехватка нормативно-правовой базы, во-вторых, нехватка понимания со стороны потребителей необходимости и востребованности его проведения сегодня и, наконец, в-третьих, нехватка методических разработок и критериев оценки его результатов.

Основополагающая идея ИБ как социального явления состоит во внедрении и использовании морально-этических, нормативных и организационных отношений между разными людьми, поддерживающих баланс интересов человека, общества и государства в ИТ-сфере.

Сегодня большое количество данных обрабатывается с помощью компьютерной и цифровой техники, а передается по линиям связи разного принципа действия и направленности. И если сохранённая в одном и том же месте информация обычно не доступна для злоумышленника, то в процессе ее перемещения по линии связи такая защита, как правило, слабеет. В связи с этим насущным вопросом для компаний разной направленности является именно поддержание ЗИ при ее передаче.

В рамках дипломной работы защита информации исследуется объект, применяемый в процессе документооборота данные, являющиеся коммерческой тайной. При этом можно сделать вывод, что подобный объект подлежит анализу на соответствие требованиям, выявленным ГТК, и если подтвердится несоответствие – он будет улучшен.

Темой работы выступает создание и внедрение комплексного обеспечения ИБ и защиты конфиденциальной информации в подразделениях банка ГУ ЦБ ПО РИ России

Основной целью работы является повышение уровня защищенности системы ИБ в ГУ ЦБ ПО РИ.