Навигация по странице:
|
КСЗИ. Управление проектом совершенствования ксзи в гу ЦБ рф по Челябинской области
Федеральное государственное бюджетное образовательное учреждение
высшего профессионального образования
«Южно-Уральский государственный университет»
(национальный исследовательский университет)
Факультет «Приборостроительный»
Кафедра «Безопасность информационных систем»
КУРСОВАЯ РАБОТА
По курсу: Организация обеспечения информационной безопасности сложных систем.
Тема: Управление проектом совершенствования КСЗИ в
ГУ ЦБ РФ по Челябинской области.
Выполнил: Студент гр. ПС-583 Букреева А.Ю.
Проверил:
к.т.н., доцент
Рагозин А.Н.
Челябинск 2013 г.
ОГЛАВЛЕНИЕ
Оглавление
ВВЕДЕНИЕ 3
1.паспорт предприятия 3
2.ВИДЫ ЗИ 18
3.Модель информационных потоков 19
4.определение основных объектов защиты 21
5.угрозы, уязвимости информации 22
6.имеющиеся меры защиты 24
7.экономический расчет. анализ текущих рисков 28
8.внедряемые меры защиты 32
9.расчет рисков после внедрения 33
10.эффективность внедрения 35
Заключение 38
список использованной литературы 39
ВВЕДЕНИЕ
Любые банковские процессы находятся в прямой зависимости от того, как работает информационная инфраструктура банка, то есть вычислительные комплексы, программные и аппаратные средства, а также персонал, их использующий. Если все это начинает давать сбои, например, за счет заражения компьютеров вирусами или атак хакеров, последствия для банков могут быть очень плачевными. Если речь идет о кредитных организациях, то они могут утратить базы данных клиентов и другую необходимую информацию, собираемую годами, лишиться средств и потерять доверие клиентов, но когда речь заходит о Центральном Банке России, все куда серьезнее, и тогда под угрозой вся кредитно-финансовая сфера и национальная платежная система государства. Организация такого масштаба обрабатывает огромный объём информации, в т.ч. конфиденциальной, неизвестность которой третьим лицам и даёт Банку возможность выполнять свои функции бесперебойно. Центральный Банк также несёт ответственность перед контрагентами в соответствии с нормативно-правовыми актами РФ за сохранность информации. Это накладывает специфические требования, выработка которых и является одной из основных целей комплексной системы защиты информации ЦБ РФ.
В связи с этим, целью данного курсового проекта является разработка содержания проекта совершенствования комплексной системы защиты информации (КСЗИ) на примере ГУ ЦБ РФ Челябинской области.
Для достижения этой цели необходимо решить ряд задач:
сформировать резюме проекта;
описать объекты поставки проекта;
определить границы проекта;
составить структуру разбиения работ проекта;
описать структурную схему организации;
построить матрицу ответственности;
определить сроки выполнения проекта;
оценить эффективность проекта;
определить результаты проекта и выполнить его закрытие.
1.паспорт предприятия
Организационно-правовая форма организации и его реквизиты
Центральный банк Российской Федерации (Банк России)
Адрес: 107016, Москва, ул. Неглинная, 12; Тел.: (495) 771 91 00; Факс: (495) 621 64 65; E-mail: [email protected]
Статьей 75 Конституции Российской Федерации установлен особый конституционно-правовой статус Центрального банка Российской Федерации, определено его исключительное право на осуществление денежной эмиссии (часть 1) и в качестве основной функции – защита и обеспечение устойчивости рубля (часть 2). Статус, цели деятельности, функции и полномочия Центрального банка Российской Федерации определяются также Федеральным законом "О Центральном банке Российской Федерации (Банке России)" и другими федеральными законами.
В соответствии со статьей 3 Федерального закона "О Центральном банке Российской Федерации (Банке России)" целями деятельности Банка России являются: защита и обеспечение устойчивости рубля; развитие и укрепление банковской системы Российской Федерации и обеспечение эффективного и бесперебойного функционирования платежной системы.
Ключевым элементом правового статуса Центрального банка Российской Федерации является принцип независимости, который проявляется прежде всего в том, что Банк России выступает как особый публично-правовой институт, обладающий исключительным правом денежной эмиссии и организации денежного обращения. Он не является органом государственной власти, вместе с тем его полномочия по своей правовой природе относятся к функциям государственной власти, поскольку их реализация предполагает применение мер государственного принуждения. Функции и полномочия, предусмотренные Конституцией Российской Федерации и Федеральным законом "О Центральном банке Российской Федерации (Банке России)", Банк России осуществляет независимо от федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации и органов местного самоуправления. Независимость статуса Банка России отражена в статье 75 Конституции Российской Федерации, а также в статьях 1 и 2 Федерального закона "О Центральном банке Российской Федерации (Банке России)".
Нормотворческие полномочия Банка России предполагают его исключительное право по изданию нормативных актов, обязательных для федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации и органов местного самоуправления, всех юридических и физических лиц, по вопросам, отнесенным к его компетенции Федеральным законом "О Центральном банке Российской Федерации (Банке России)" и иными федеральными законами. Банк России в соответствии с Конституцией Российской Федерации не обладает правом законодательной инициативы, однако его участие в законодательном процессе, помимо издания собственных правовых актов, обеспечивается также и тем, что проекты федеральных законов, а также нормативных правовых актов федеральных органов исполнительной власти, касающиеся выполнения Банком России своих функций, должны направляться на заключение в Банк России.
Банк России является юридическим лицом. Уставный капитал и иное имущество Банка России являются федеральной собственностью, при этом Банк России наделен имущественной и финансовой самостоятельностью. Полномочия по владению, пользованию и распоряжению имуществом Банка России, включая золотовалютные резервы Банка России, осуществляются самим Банком России в соответствии с целями и в порядке, которые установлены Федеральным законом "О Центральном банке Российской Федерации (Банке России)". Изъятие и обременение обязательствами имущества Банка России без его согласия не допускаются, если иное не предусмотрено федеральным законом. Финансовая независимость Банка России выражается в том, что он осуществляет свои расходы за счет собственных доходов. Банк России вправе защищать интересы в судебном порядке, в том числе в международных судах, судах иностранных государств и третейских судах.
Государство не отвечает по обязательствам Банка России, так же, как и Банк России – по обязательствам государства, если они не приняли на себя такие обязательства или если иное не предусмотрено федеральными законами. Банк России не отвечает по обязательствам кредитных организаций, а кредитные организации не отвечают по обязательствам Банка России, за исключением случаев, когда Банк России или кредитные организации принимают на себя такие обязательства.
В своей деятельности Банк России подотчетен Государственной Думе Федерального Собрания Российской Федерации (далее – Государственная Дума), которая назначает на должность и освобождает от должности Председателя Банка России (по представлению Президента Российской Федерации) и членов Совета директоров Банка России (по представлению Председателя Банка России, согласованному с Президентом Российской Федерации); направляет и отзывает представителей Государственной Думы в Национальном банковском совете в рамках своей квоты, а также рассматривает основные направления единой государственной денежно-кредитной политики и годовой отчет Банка России и принимает по ним решения. На основании предложения Национального банковского совета Государственная Дума вправе принять решение о проверке Счетной палатой Российской Федерации финансово-хозяйственной деятельности Банка России, его структурных подразделений и учреждений. Кроме того, Государственная Дума проводит парламентские слушания о деятельности Банка России с участием его представителей, а также заслушивает доклады Председателя Банка России о деятельности Банка России при представлении годового отчета и основных направлений единой государственной денежно-кредитной политики. [3]
Виды деятельности предприятия в соответствии с ФЗ
Банк России осуществляет свои функции в соответствии с Конституцией Российской Федерации и Федеральным законом "О Центральном банке Российской Федерации (Банке России)" и иными федеральными законами. Согласно статье 75 Конституции Российской Федерации, основной функцией Банка России является защита и обеспечение устойчивости рубля, а денежная эмиссия осуществляется исключительно Банком России.
В соответствии со статьей 4 Федерального закона "О Центральном банке Российской Федерации (Банке России)", Банк России выполняет следующие функции:
во взаимодействии с Правительством Российской Федерации разрабатывает и проводит единую государственную денежно-кредитную политику;— монопольно осуществляет эмиссию наличных денег и организует наличное денежное обращение;
утверждает графическое обозначение рубля в виде знака;
является кредитором последней инстанции для кредитных организаций, организует систему их рефинансирования;
устанавливает правила осуществления расчетов в Российской Федерации;
устанавливает правила проведения банковских операций;
-
осуществляет обслуживание счетов бюджетов всех уровней бюджетной системы Российской Федерации, если иное не установлено федеральными законами, посредством проведения расчетов по поручению уполномоченных органов исполнительной власти и государственных внебюджетных фондов, на которые возлагаются организация исполнения и исполнение бюджетов;
осуществляет эффективное управление золотовалютными резервами Банка России;
принимает решение о государственной регистрации кредитных организаций, выдает кредитным организациям лицензии на осуществление банковских операций, приостанавливает их действие и отзывает их;
осуществляет надзор за деятельностью кредитных организаций и банковских групп;
регистрирует эмиссию ценных бумаг кредитными организациями в соответствии с федеральными законами;
осуществляет самостоятельно или по поручению Правительства Российской Федерации все виды банковских операций и иных сделок, необходимых для выполнения функций Банка России;
организует и осуществляет валютное регулирование и валютный контроль в соответствии с законодательством Российской Федерации;
определяет порядок осуществления расчетов с международными организациями, иностранными государствами, а также с юридическими и физическими лицами;
устанавливает правила бухгалтерского учета и отчетности для банковской системы Российской Федерации;
устанавливает и публикует официальные курсы иностранных валют по отношению к рублю;
принимает участие в разработке прогноза платежного баланса Российской Федерации и организует составление платежного баланса Российской Федерации;
устанавливает порядок и условия осуществления валютными биржами деятельности по организации проведения операций по покупке и продаже иностранной валюты, осуществляет выдачу, приостановление и отзыв разрешений валютным биржам на организацию проведения операций по покупке и продаже иностранной валюты (функции по выдаче, приостановлению и отзыву разрешений валютным биржам на организацию проведения операций по покупке и продаже иностранной валюты Банк России будет выполнять со дня вступления в силу федерального закона о внесении соответствующих изменений в Федеральный закон "О лицензировании отдельных видов деятельности");
проводит анализ и прогнозирование состояния экономики Российской Федерации в целом и по регионам, прежде всего денежно-кредитных, валютно-финансовых и ценовых отношений, публикует соответствующие материалы и статистические данные;
-
осуществляет выплаты Банка России по вкладам физических лиц в признанных банкротами банках, не участвующих в системе обязательного страхования вкладов физических лиц в банках Российской Федерации, в случаях и порядке, которые предусмотрены федеральным законом ;
является депозитарием средств Международного валютного фонда в валюте Российской Федерации, осуществляет операции и сделки, предусмотренные статьями Соглашения Международного валютного фонда и договорами с Международным валютным фондом;
осуществляет иные функции в соответствии с федеральными законами. [3]
Перечень предприятий поставщиков, клиентов, конкурентов
Клиенты- коммерческие, сберегательные, ипотечные, специализированные банки, центральные органы власти в лице правительства.
Конкурентов нет.
Описание организационной структуры предприятия
Главные управления (ГУ) - 60
Национальные банки (НБ) - 19
РКЦ, ГРКЦ, РЦ, МЦИ
Территориальные учреждения
Председатель Банка России
Совет директоров Банка России
Заместители председателя БР
Департаменты (29)
Структурные подразделения Центрального банка Российской Федерации:
А) В настоящее время в Центральном банке Российской Федерации функционируют следующие структурные подразделения:
Сводный экономический департамент
Департамент исследований и информации
Департамент наличного денежного обращения
Департамент регулирования, управления и мониторинга платежной системы Банка России
Департамент регулирования расчетов
Департамент бухгалтерского учета и отчетности
Департамент лицензирования деятельности и финансового оздоровления кредитных организаций
Департамент банковского регулирования и надзора
Главная инспекция кредитных организаций
Департамент операций на финансовых рынках
Департамент обеспечения и контроля операций на финансовых рынках
Департамент финансового мониторинга и валютного контроля
Департамент платежного баланса
Департамент методологии и организации обслуживания счетов бюджетов бюджетной системы Российской Федерации
Юридический департамент
Департамент полевых учреждений
Департамент информационных систем
Департамент кадровой политики и обеспечения работы с персоналом
Финансовый департамент
-
Департамент внутреннего аудита и ревизий
Департамент международных финансово-экономических отношений
Департамент внешних и общественных связей
Административный департамент
Главное управление недвижимости Банка России
Главное управление экспертизы и планирования капитальных затрат Банка России
Главное управление безопасности и защиты информации
Б) Территориальные учреждения;
В) Расчетно-кассовые центры. [4]
Высшим органом Банка России является Совет директоров - коллегиальный орган, определяющий основные направления деятельности и осуществляющий руководство и управление Банком России. Состав Совета директоров: Председатель Банка России и 12 членов, срок полномочий членов Совета директоров составляет 4 года. Председателя Банка России назначает Государственная Дума по представлению Президента РФ.
Действует Национальный банковский совет, состоящий из Председателя Банка России, представителей Государственной Думы, Президента РФ, Правительства РФ, всего 12 человек. [5, c.346]
Банк России представляет собой единую централизованную систему с вертикальной структурой управления.
В систему Банка России входят центральный аппарат, территориальные учреждения, расчетно-кассовые центры, вычислительные центры, полевые учреждения, учебные заведения и другие организации, в том числе Российское объединение инкассации, которые необходимы для осуществления деятельности Банка России.
Национальные банки республик в составе Российской Федерации являются территориальными учреждениями Банка России. [9]
Описание строительной инфраструктуры
4 этажное административное здание.
1 этаж:
Охрана
Отдел кадров
Отдел надзора за кредитными организациями
Кассовый зал (ГРКЦ)
2 этаж:
Юридический отдел
Административно хозяйственный отдел
Управление безопасностью и защиты информации
Операционный зал кредитных организаций
3 этаж:
Ревизионный отдел
Отдел валютного контроля
Экономический отдел
Операционный зал клиентов
4 этаж:
Отдел делопроизводства
Плановый отдел
Управление бух. учета и отчетности
Описание местоположения предприятия
ГУ Банка России по Челябинской области.
Город Челябинск, пр. Ленина, 58, ул. Елькина, 47
4 этажное административное здание фасадной частью выходит на ул. Елькина и пр. Ленина, ограждений нет. По улице Елькина граничит с офисным зданием, по пр. Ленина с Законодательным собранием Челябинской области.
Описание информационной среды предприятия
В ГУ Банка России Челябинской области работает около 1000 человек, у каждого есть свое рабочее место, оборудованное ПК. На компьютерах установлена операционная система Windows ХР, программное обеспечение на базе СУБД Oracle, пакет Microsoft Office, 1С, Консультант+, Гарант, ДубльГис, Internet Explorer, Outlook, пакет антивирусных программ в зависимости от отдела Касперский, Nod32. Оснащение современными техническими и программно-информационными средствами позволяет сегодня качественно и оперативно решать функциональные задачи, развивать и внедрять передовые технологии.
Для примера изолированной от внешней среды информационной системы рассмотрим АС ВХД, реализованной в виде типовой конфигурации (ТК) программного средства (ПС) «1С:Предприятие».
Автоматизированная система (АС) «Внутрихозяйственная деятельность» (ВХД) разработана в рамках Единой информационно-вычислительной системы Банка России, которая относится к классу информационных систем Информационно-телекоммуникационной системы Банка России.
АС ВХД предназначена для автоматизации деятельности учреждений Банка России и обеспечивает выполнение следующих основных функций:
ведения расчетных операций и сметы расходов;
ведения бухгалтерского учета имущества;
расчета заработной платы.
Для обеспечения перечисленных выше функций используется база данных, общая с автоматизированной подсистемой «Управление персоналом», реализующей следующие основные функции:
формирования и ведения штатного расписания;
обработки персональных данных работников.
В АС ВХД обрабатывается, хранится и передается информация, содержащая сведения ограниченного распространения. Защите в АС ВХД подлежит информация, содержащая индивидуальные сведения о сотрудниках учреждений Банка России, подготавливаемая для налоговых органов и пенсионного фонда.
В целях обеспечения информационной безопасности электронных технологий с применением АС ВХД должен быть реализован описанный ниже комплекс организационных, технологических, технических и программных мер и средств защиты информации (СЗИ) от несанкционированного доступа (НСД), образующих подсистему информационной безопасности (ПИБ).
Обеспечение информационной безопасности осуществляется на этапе ввода АС в эксплуатацию (создание ПИБ) и во всех режимах штатной эксплуатации АС (сопровождение ПИБ) в учреждениях Банка России и в целом включает в себя следующие меры:
регламентирование технологического процесса обработки данных в АС и эксплуатации программно-технических средств, в том числе процессов модификации программного обеспечения;
возложение ответственности за информационную безопасность при обработке, передаче и хранении информации, содержащей сведения ограниченного распространения, на руководителей эксплуатирующих АС подразделений, а ответственности за обеспечение информационной безопасности - на каждого сотрудника, осуществляющего в АС обработку, передачу и хранение этой информации, в соответствии с "Порядком обеспечения сохранности сведений (информации) ограниченного распространения в системе Банка России" (рекомендуется отражать данное положение в распорядительном документе о вводе в эксплуатацию АС);
обеспечение защиты помещений и технических средств АС;
-
учет используемых технических и программных средств, в том числе машинных носителей информации, используемых для обработки сведений ограниченного распространения;
персональный допуск пользователей к работе в АС путем использования личных идентификаторов и паролей, регламентацию полномочий пользователей АС;
разграничение доступа к защищаемым информационным ресурсам;
регистрацию действий пользователей, работающих в АС, в том числе пользователей со специальными привилегиями (при изменении ими полномочий пользователей или статуса защищаемых ресурсов), и других событий в АС;
использование встроенных в компьютеры автоматизированных рабочих мест (АРМ) и серверов АС, а также в их операционные системы (ОС) механизмов защиты информации и применение специальных программно-аппаратных средств защиты информации от НСД;
использование лицензионных программных средств и сертифицированных СЗИ, контроль легальности и целостности используемых программных средств;
|
|
|