Захист банківської установи

Зміст

1. Індивідуальне завдання
2. Коротка характеристика бази практики
3. Методика і результати виконання індивідуального завдання
1. Детальний опис об'єкту захисту i видів інформації, що опрацьовується i зберігається на об'єкті
2. Оцінка можливих каналів витоку інформації на об’єкті і їх опис. Створення моделі порушника
3. Перелік організаційних заходів на об’єкті
4. Перелік технічних заходів на об’єкті
5. Перелік організаційно-технічних заходів на об’єкті
6. Захист телефонних ліній
7. Екранування виділених приміщень
4. Висновок
5. Використана література

1. Індивідуальне завдання.

      Побудова комплексної системи захисту об’єкту, на якому циркулює інформація з грифом «ДСК», з метою можливого вдосконалення існуючої системи захисту.

      Повна характеристика об’єкту для якого потрібно побудувати СЗІ, повний перелік можливих каналів витоку інформації та пристрої через які можливе утворення даних каналів та розробка моделі порушника. Організаційні, технічні та організаційно-технічні заходи, що необхідно провести на об’єкті. 

2. Коротка характеристика бази практики.

      ЗАТ КБ "ПРИВАТБАНК" віднесений до 2-ї групи “Великі банки” за класифікацією Національного банку України, а за основними показниками діяльності входить до числа 40 найбільших українських банків.

      Мережа  ЗАТ КБ "ПРИВАТБАНК" охоплює більшість областей України та Автономну Республіку Крим. Крім того, Банк активно розвиває свій картковий бізнес та встановив понад 400 власних банкоматів. Здійснюючи свою діяльність на території 22 областей України та м. Києва, ПРИВАТБАНК в той же час залишається регіональним лідером на території Львівської області та Західної України.

     ЗАТ КБ "ПРИВАТБАНК" активно впроваджує нові банківські технології, європейські стандарти якості обслуговування клієнтів, розширює спектр фінансових послуг, динамічно реагує на ринкову кон'юнктуру та прагне налагодити довгострокові, взаємовигідні ділові відносини зі своїми клієнтами.

      ЗАТ КБ "ПРИВАТБАНК" здійснює свою діяльність як універсальний комерційний банк відповідно до ліцензії Національного Банку України № 43 від 25.01.2010 р. та письмового Дозволу Національного банку України № 43-4 від 25.01.2010 року із додатком до нього.

     На  підставі ліцензії Банк здійснює такі банківські операції:

• приймання вкладів (депозитів) від юридичних і фізичних осіб;
• відкриття та ведення поточних рахунків клієнтів і банків-кореспондентів;
• розміщення залучених коштів від свого імені, на власних умовах та на власний ризик;
• надання гарантій і поручительств, які передбачають їх виконання у грошовій формі;
• придбання права вимоги на виконання зобов'язань у грошовій формі за поставлені товари чи надані послуги (факторинг);
• лізинг;
• послуги з відповідального зберігання та надання в оренду сейфів для зберігання цінностей;
• випуск, купівлю, продаж і обслуговування чеків, векселів та інших платіжних інструментів;
• випуск банківських платіжних карток і здійснення операцій з використанням цих карток;
• надання консультаційних та інформаційних послуг щодо банківських операцій.

     На  підставі письмового Дозволу да додатку  до нього Банк здійснює такі операції:

• операції з валютними цінностями ( у т.ч. операції з банківськими металами на валютному ринку України);
• емісію власних цінних паперів;
• організацію купівлі та продажу цінних паперів за дорученням клієнтів;
• здійснення операцій на ринку цінних паперів від свого імені (включаючи андеррайтинг);
• здійснення інвестицій у статутні фонди та акції інших юридичних осіб;
• перевезення валютних цінностей та інкасацію коштів;
• операції за дорученням клієнтів або від свого імені;
• довірче управління коштами та цінними паперами за договорами з юридичними та фізичними особами;
• депозитарну діяльність зберігача цінних паперів.

3. Методика і результати виконання індивідуального завдання. 

3.1. Опис об’єкта і видів інформації, що опрацьовується і зберігається на об’єкті

      Об’єкт, який розглядається в даній практичній роботі – банківська установа (ЗАТ КБ «ПРИВАТБАНК»), в якій циркулює конфіденційна та таємна інформація з грифом «ДСК». Він являє собою п’яти поверховий, залізобетонний будинок, що стоїть окремо від інших будівель, з розроблюваною СЗІ.

      Об’єкт  захисту знаходиться на першому поверсі залізобетонного будинку, на якому знаходиться сім ПЕОМ, на яких циркулює таємна інформація, сервер, телефонні апарати, встановлена пожежна та охоронна сигналізації, циркулює конфіденційна мовна інформація, що підлягає захисту, також в межах кімнати зберігаються та обробляються таємні документи.

      Розміщення  будівлі є не зовсім сприятливим, оскільки вона не є відокремленною від контрольованої зони та поблизу розташована досить значна кількість житлових будівель. Але оскільки на об’єкті циркулює інформація, що становить банківську таємницю, відомості про клієнта та номери рахунків, існує велика ймовірність витоку таємної інформації. Інформація на об’єкті перебуває в текстовому та цифровому вигляді, а отже, потрібно проаналізувати можливі канали витоку та блокувати їх, або зменшити рівень небезпечного сигналу за межами контрольованої зони до рівня, при якому неможливо відтворити інформативний сигнал засобами технічної розвідки. 

3.2. Оцінка можливих каналів витоку інформації на об’єкті і їх опис. Створення моделі порушника та схеми системи захисту інформації на об’єкті.

      Канал витоку інформації - потенційні напрями несанкціонованого доступу до інформації, обумовлені архітектурою, технологічними схемами електронно-обчислювальної техніки, а також невиконанням організаційно-режимних заходів.

      Основними вірогідними каналами витоку інформації, а саме комерційної/банківської  таємниці є:

• персонал банку;
• відвідувачі;
• партнери по спільній діяльності;
• незахищені лінії зв’язку, ПК, мережі ЕОМ;
• реклама, виставки, наради;
• охорона;
• погана організація обліку, зберігання та проходження документів, макетів та інших носіїв інформації.

      Крім  того, необхідно враховувати  наявність додаткових каналів витоку інформації (комерційної/банківської таємниці), таких як:

• участь в переговорах;
• фіктивні запити про можливість працювати на різних посадах;
• екскурсії та відвідування фірми (банка);
• повідомлення торгівельних представників фірми (банка) про характеристики виробів (банківських продуктів);
• надмірна реклама;
• консультації фахівців, які отримують допуск до установок і документів фірми (банка);
• наради, конференції, симпозіуми і т.д.;
• розмови в неробочи приміщеннях;
• «скривджені» співробітники фірми (банка).

      Виходячи  з цього, службі безпеки, при організації захисту інформації (комерційної/банківської таємниці) та розробці програми слід враховувати наступні можливі методи та способи збору інформації конкурентами:

• опит співробітників банку при особистих зустрічах;
• нав’язування дискусій по проблемах, які цікавлять;
• розсилку в адреси банків і окремих фахівців запитальників і анкет;
• ведення приватного листування з фахівцями наукових і учбових центрів.

      Найбільш  вірогідне використання наступних способі  добування інформації:

• візуальне спостереження;
• підслуховування;
• технічне спостереження;
• прямий опит, вивідування;
• ознайомлення з матеріалами, документами, виробами і т.д.;
• збирання відкритих документів та інших джерел інформації;
• вивчення безлічі джерел інформації, які по часткам містять необхідні відомості;
• збирання інформації шляхом шантажу працівників, які мають доступ до комерційної/банківської таємниці.

      Розрізняють електромагнітні, оптико-електронні, оптичні та акустичні  канали витоку інформації.

      До  електромагнітних каналів витоку інформації належить перехоплення ПЕМВ (побічних електро-магнітних випромінювань) елементів ТЗПІ (технічних засобів передачі інформації) за допомогою засобів радіо-технічної розвідки.

      Акустичний  канал витоку інформації - фізичний шлях від джерела акустичних сигналів (людина, техніка) до зловмисника за рахунок механічних коливань середовища розповсюдження (повітря, жорсткі середовища, вода, рідини.

      Оптико-електронний  канал витоку інформації утворюється  при опроміненні лазерним променем вібруючих в акустичному полі тонких поверхонь, які відбивають цей промінь (віконне скло, скло картини, дзеркало).

      В залежності від виду об’єкту та специфіки його функціонування, по різному можуть проявляти себе і  загрози, характерні для цього об’єкта.

      Визначення  та систематизація переліку загроз, які  виникають у відповідності до кожної окремої сукупності об’єктів захисту, здійснюється виходячи із усіх можливих джерел виникнення загроз. При наступному уточненні можливих загроз, головну увагу потрібно концентрувати на інформаційних сигналах та полях, середовищі їх поширення та засобах їх обробки. Тому перелік можливих загроз інформаційним ресурсам та засобам їх обробки визначається виходячи із можливих шляхів утворення каналів витоку інформації та можливих випадкових, а також навмисних впливів на інформаційні системи.

• технічними каналами, що включають канали побічних електромагнітних випромінювань і наводів, акустичні, оптичні, радіотехнічні, хімічні та інші канали;
• каналами спеціального впливу шляхом формування полів і сигналів з метою руйнування системи захисту або порушення цілісності інформації;
• несанкціонованим доступом шляхом підключення до апаратури та ліній зв’язку, маскування під зареєстрованого користувача, подолання заходів захисту для використання інформації або нав’язування хибної інформації, застосування закладних пристроїв чи програм та вкорінення комп’ютерних вірусів;
• внаслідок різноманітних впливів природного походження (природні катастрофи, кліматичні умови);
• випадкових чи навмисних впливів техногенного походження.

      Порушник - це особа, яка помилково, внаслідок необізнаності, цілеспрямовано, за злим умислом або без нього, використовуючи різні можливості, методи та засоби здійснила спробу виконати операції, які призвели або можуть призвести до порушення властивостей інформації, що визначені політикою безпеки. 

      На  об’єкті можуть бути такі загрози витоку інформації:

      Телефонні апарати:

• випромінювання електромагнітних сигналів, які можуть перехоплюватись випадковими антенами (кабелі пожежної сигналізації, охоронної сигналізації,лінії електроживлення), які знаходяться у приміщенні разом з телефоном;
• властивості елементів конструкції апаратів перетворювати акустичні сигнали в електромагнітні як мовного (мікрофонний ефект) так і радіодіапазону (автогенерація), які можуть бути перехоплені сторонніми особами;
• випромінювання акустичних сигналів, які можуть підслуховувати сторонні особи.