Разработка методики управления рисками информационной безопасности в банковской деятельности

ВВЕДЕНИЕ 3
1. Основные аспекты рисков информационной безопасности. 8
1.1 Ключевые понятия и определения в сфере информационной безопасности. 8
1.2 Система менеджмента информационной безопасности 13
1.3 Нормативно-правовые основы поддержания ИБ в банковской сфере 15
1.4 Вводы по первой главе 18
2. Разработка методики управления рисками информационной безопасности. 19
2.1 Анализ методологической базы управления рисками ИБ 19
2.2 Оценка существующих методик применительно к банковской сфере 39
2.3 Моделирование методики управления рисками ИБ в банковской сфере 41
2.4 Выводы по главе 2. 48
3. Управление рисками ИБ банка на основе разработанной методики 49
3.1 Характеристика банка ПАО КБ «УБРиР» 49
3.2 Структура информационных активов банка и их анализ 52
3.3 Оценка рисков информационной безопасности в ПАО КБ «УБРиР» 55
3.4 Анализ эффективности разработанной методики 61
3.5. Выводы по третьей главе 69
ЗАКЛЮЧЕНИЕ 71
СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ 73

Весь текст будет доступен после покупки

Сегодня анализу рисков информационной безопасности уделяется все больше внимания. Этому есть несколько основных причин: безостановочный рост использования информационных технологий в процессе деятельности практически любой современной организации, увеличение ценности информации, обрабатывающейся и генерирующейся в процессе работы компании, а также интеграция различных информационных продуктов с целью покрытия всех нужд фирмы.
Особого внимания относительно рисков информационной безопасности заслуживает банковская сфера, так как стоимость информации в компаниях, работающих в данной области, ещё выше за счёт превалирования персональных данных клиентов, обладание которыми даёт возможность получить несанкционированный доступ к финансовым ресурсам. Кроме того, существует такое понятие, как банковская тайна, суть которого заключается в обязанности каждого банка (или иной кредитной организации) защищать сведения о вкладах и счетах своих клиентов и корреспондентов, банковских операциях по счетам и сделках в интересах клиента, а также сведения клиентов, разглашение которых может нарушить право последних на неприкосновенность частной жизни (ФЗ «О банках и банковской деятельности»). Таким образом, информация, задействованная в работе коммерческих банков, нуждается в особой защите от потери ее свойств, а именно конфиденциальности, целостности и доступности. В частности, особое внимание должно уделяться поиску уязвимостей в системе защиты информации и анализу и оценке рисков информационной безопасности.

Весь текст будет доступен после покупки

1.1 Ключевые понятия и определения в сфере информационной безопасности

Анализ рисков информационной безопасности сам по себе, в отрыве от процесса построения и поддержания в актуальном состоянии комплексной системы защиты информации на предприятии, не имеет особого практического значения. Поэтому прежде чем перейти к рассмотрению теоретической базы в области анализа и оценки рисков информационной безопасности следует обратиться к теории в области информационной безопасности и важности её обеспечения на предприятии.
Информационная безопасность (ИБ) — это меры по предотвращению несанкционированного доступа, изменения, уничтожения или раскрытия данных. [14, с. 34]
Цель ИБ — сохранить и защитить данные, сделать так, чтобы они не попали в руки злоумышленников, чтобы личная информация не была выставлена на всеобщее обозрение, чтобы записи в реестрах не отредактировали в корыстных целях, а нужные документы не удалили из базы. [15, с. 56]
Так как в рамках информационной безопасности речь идет о защите информации, дадим определение.
Согласно ст. 16 федерального закона № 149-ФЗ «Об информации, информационных технологиях и защите информации», защита информации представляет собой принятие правовых, организационных и технических мер, направленных на [4]:
1) обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;
2) соблюдение конфиденциальности информации ограниченного доступа;
3) реализацию права на доступ к информации.
То есть это говорит о том, что в рамках мер обеспечения информационной безопасности:
- наша информация защищена от любого неправомерного доступа и изменения;
- конфиденциальность информации соблюдена, к чувствительной информации доступ имеет ограниченный и четко определенный круг лиц;
- доступ к информации защищен, невозможно сломать нашу систему и лишить нас физической возможности работать с нужной информацией.
При этом, следует понимать, что нарушение каждого из этих пунктов может привести к серьезным последствиям, начиная с нарушения работы организации и конфликтов с людьми, которые доверили вам какую-то информацию, и закачивая административной и уголовной ответственностью.
При работаете с информацией и данными, важно понимать, как регулируется ответственность за несоблюдение правил ИБ в сфере деятельности вашего предприятия.
Основные нормы работы с данными изложены в федеральных законах № 152-ФЗ от 27.07.2006 «О персональных данных» и № 149-ФЗ «Об информации, информационных технологиях и о защите информации». Ответственность описана в КоАП (Кодекс административных правонарушений, ст. 5.39, 13.11, 13.12, 13.13, 13.14), ГК (Гражданский кодекс, к примеру, ст. 946) и УК (Уголовный кодекс, в частности ст. 137, 140 и 272).
Можно представить последствия нарушения информационной безопасности. К примеру, если сотрудник банка располагал личной информацией гражданина и опубликовал ее в общем доступе, это грозит штрафом в размере до 100 тыс. рублей или лишением свободы на срок до четырех лет (ст. 137 УК РФ). [2]
При этом такая публикация может произойти по ошибке или незнанию сотрудника, что не освобождает от ответственности.

Весь текст будет доступен после покупки

1. Гражданский кодекс Российской Федерации (ГК РФ) от 30 ноября 1994 года № 51-ФЗ.// КонсультантПлюс. [Электронный ресурс] - URL: http://www.consultant.ru/document/cons_doc_LAW_5142/
2. Уголовный кодекс Российской Федерации (УК РФ) от 13.06.1996 № 63-ФЗ. // КонсультантПлюс. [Электронный ресурс] - URL: https://www.consultant.ru/document/cons_doc_LAW_5142/
3. Кодекс Российской Федерации об административных правонарушениях" от 30.12.2001 № 195-ФЗ (ред. от 13.06.2023) .// КонсультантПлюс. [Электронный ресурс] - URL:
https://www.consultant.ru/document/cons_doc_LAW_34661/
4. Федерального закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и защите информации» .// КонсультантПлюс. [Электронный ресурс] - URL:
https://www.consultant.ru/document/cons_doc_LAW_61798/
5. Федеральный закон от 27.07.2006 №152-ФЗ "О персональных данных". // КонсультантПлюс. [Электронный ресурс] – URL: https://www.consultant.ru/document/cons_doc_LAW_61801/
6. Федеральный закон от 02.12.1990 № 395-1 «О банках и банковской деятельности» // КонсультантПлюс. [Электронный ресурс] - URL:. https://www.consultant.ru/document/cons_doc_LAW_5842/
7. ГОСТ Р ИСО/МЭК 27000-2012 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и терминология» .// КонсультантПлюс. [Электронный ресурс] - URL:
https://docs.cntd.ru/document/1200102762
8. ГОСТ Р ИСО/МЭК 27001-2006 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования». // КонсультантПлюс. [Электронный ресурс] - URL: https://docs.cntd.ru/document/1200058325

Весь текст будет доступен после покупки