Методы анализа и аудита информационной безопасности банка на примере ПАО Банк ВТБ

Выпускная квалификационная (дипломная) работа на тему: Методы анализа и аудита информационной безопасности банка на примере ПАО Банк ВТБ.

Год: 2023

Оценка: отлично.

Оригинальность работы на момент публикации: 60+% по антиплагиат.вуз.

Актуальность темы отражает необходимость постоянного совершенствования методов анализа и аудита современных банковских информационных систем в условиях цифровой трансформации. Своевременное исправление уязвимостей – ключ к успеху в защите от злоумышленников.

Целью данной работы является разработка методики аудита информационной безопасности для автономной локальной сети, используемой для видеонаблюдения и контроля управления доступом внутри организации с помощью системы, построенной на базе оборудования Bolid.

Объектом исследования является локальная сеть подразделения работников банка, состоящая из трёх АРМ и одного сервера.

Предмет исследования заключен в процессе проведения аудита автономной локальной сети работников банка, с помощью разработанной методики.

Используемые сокращения. 3

Введение. 4

1 Теоретические аспекты методов анализа и аудита информационной безопасности в условиях цифровой трансформации. 6

1.1   Понятие аудита информационной безопасности в условиях цифровой трансформации и концепции его проведения. 6

1.2   Обзор программных средств для проведения аудита информационной безопасности. 9

1.3   Правовое регулирование информационной безопасности в банковской сфере. 17

2 Методика оценки и аудита информационной безопасности банка. 22

2.1   Характеристика ПАО «Банк ВТБ» с точки зрения обеспечения информационной безопасности. 22

2.2   Угрозы информационной безопасности в банковском секторе. 25

2.3   Методики и технологии обнаружения угроз информационной безопасности банка. 29

2.4   Методы защиты объектов информационной безопасности банка 31

3 Практические аспекты проверки соблюдения требований, предъявляемых к информационной безопасности ПАО «Банк ВТБ». 34

3.1 Характеристика автомной локальной вычислительной сети отдела банка. 34

3.2 Реализация методики аудита информационной безопасности. 39

3.3 Результат аудита информационной безопасности локальной сети ПАО «Банк ВТБ». 47

Заключение. 55

Список используемых источников. 56

1.             ISO/IEC 27001:2013. Международный стандарт. Информационные технологии. Методы защиты. Системы менеджмента информационной безопасности. Требования (вторая редакция от 01.10.2013).

2.             PCI DSS. Стандарт безопасности данных индустрии платежных карт. Требования и процедуры аудита безопасности. Версия 3.2 (редакция от 01.04.2016).

3.             АРМ «Орион Про» / [Электронный ресурс] // Bolid: [сайт] – URL: https://bolid.ru/production/orion/po-orion/po-arm/arm_orion_pro (дата обращения: 25.05.2023). – Режим доступа: свободный.

4.             Аудит информационной безопасности [Электронный ресурс] / URL: https://is.astral.ru/services/zashchita-informatsii/audit-informatsionnoy-bezopasnosti (дата обращения: 27.04.2023). – Режим доступа: свободный.

5.             Бартошко Т. В., Стерхов А. П. Защита персональных данных как важная составляющая общей безопасности банка [Электронный ресурс] / URL: https://cyberleninka.ru/article/n/zaschita-personalnyh-dannyh-kak-vazhnaya-sostavlyayuschaya-obschey-bezopasnosti-banka (дата обращения: 20.05.2023) . – Режим доступа: свободный.

6.             Болурова М. И., Салпагарова М. У., Шакафова Ф. М. Проблемы обеспечения информационной безопасности в банковском секторе [Электронный ресурс] / URL: https://cyberleninka.ru/article/n/problemy-obespecheniya-informatsionnoy-bezopasnosti-v-bankovskom-sektore/viewer (дата обращения: 29.04.2023). – Режим доступа: свободный.

7.             Воронкин А. Д. Правовое регулирование деятельности банков в условиях цифровизации экономики [Электронный ресурс] / URL: https://cyberleninka.ru/article/n/pravovoe-regulirovanie-deyatelnosti-bankov-v-usloviyah-tsifrovizatsii-ekonomiki (дата обращения: 29.04.2023). – Режим доступа: свободный.

8.             Голов А. Комплексные системы информационной безопасности банков [Электронный ресурс] / URL: https://lib.itsec.ru/articles2/company/kokmpleksn_sist_inform_bezopasn_bankov (дата обращения: 20.05.2023) . – Режим доступа: свободный.

9.             ГОСТ Р 51241-2008. Национальный стандарт Российской Федерации. «Средства и системы контроля и управления доступом. Классификация. Общие технические требования. Методы испытаний» (дата введения 01.09.2009).

10.         ГОСТ Р ИСО/МЭК 27001-2021. Национальный стандарт Российской Федерации. «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования».

11.         Еникеева Л. А., Дурандина А. П. Организация защиты персональных данных в банковских информационных системах Российской Федерации [Электронный ресурс] / URL: https://cyberleninka.ru/article/n/organizatsiya-zaschity-personalnyh-dannyh-v-bankovskih-informatsionnyh-sistemah-rossiyskoy-federatsii (дата обращения: 20.05.2023). – Режим доступа: свободный.

12.         Информационная безопасность банков. Соответствие нормативным требованиям с помощью DLP-системы [Электронный ресурс] / URL: https://searchinform.ru/resheniya/otraslevye-resheniya/informatsionnaya-bezopasnost-bankov (дата обращения: 30.04.2023). – Режим доступа: свободный.

13.         Информационная безопасность кредитных организаций [Электронный ресурс] / URL: https://unlim.group/otraslevye-resheniya/4 (дата обращения 21.05.2023). – Режим доступа: свободный.

14.         Канашевский В. А. Банковская тайна и использование банками услуг аутсорсинга информационной безопасности [Электронный ресурс] / URL: https://cyberleninka.ru/article/n/bankovskaya-tayna-i-ispolzovanie-bankami-uslug-autsorsinga-informatsionnoy-bezopasnosti (дата обращения: 20.05.2023). – Режим доступа: свободный.

15.         Коммерческий банк «Республиканский кредитный альянс». Политика информационной безопасности коммерческого банка «Республиканский кредитный альянс» (общество с ограниченной ответственностью) [Электронный ресурс] / URL: http://www.cbrca.ru/raskrytie-informatsii/informatsionnaya-bezopasnost/Политика%20Информационной%20Безопасности%20для%20сайта.pdf (дата обращения: 29.04.2023) . – Режим доступа: свободный.

16.         Марданов Р. Х., Ильин И. В. Стандарты информационной безопасности в банковской системе [Электронный ресурс] / URL: https://cyberleninka.ru/article/n/standarty-informatsionnoy-bezopasnosti-v-bankovskoy-sisteme (дата обращения 27.04.2023) . – Режим доступа: свободный.

17.         Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации. Обеспечение информационной безопасности [Электронный ресурс] / URL: https://digital.gov.ru/ru/activity/directions/466 (дата обращения: 28.05.2023). – Режим доступа: свободный.

18.          Парасрам Ш., Замм А., Хериянто Т., Али Ш., Буду Д., Йохансен Д., Аллен Л. Kali Linux. Тестирование на проникновение и безопасность. Серия для профессионалов. [Текст] / Парасрам Ш., Замм А., Хериянто Т., Али Ш., Буду Д., Йохансен Д., Аллен Л. // ОО Издательство «Питер», 2020.

19.         Постановление Правительства РФ от 13.06.2012 N 584 (ред. от 08.12.2022) «Об утверждении Положения о защите информации в платежной системе».

20.         Приказ ФСТЭК России от 18.02.2013 N 21 (ред. от 14.05.2020) «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» (Зарегистрировано в Минюсте России 14.05.2013 N 28375).

21.         Прохоров А., Коник Л. Цифровая трансформация. Анализ. Тренды. Мировой опыт. Корпоративное издание. [Текст] / А. Прохоров, Л. Коник // ООО «КомНьюс Груп». – 2019. – C. 18-19.

22.         СКУД на базе оборудования Bolid / [Электронный ресурс] // Bolid: [сайт]. – URL: https://bolid.ru/support/articles/articles_17 (дата обращения: 25.05.2023). – Режим доступа: свободный.

23.         СТО БР ИББС-1.0-2014. Стандарт Банка России. «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» (дата введения 01.06.2014).

24.         СТО БР ИББС-1.2-2014. Стандарт Банка России. «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0-2014» (дата введения: 01.06.2014).

25.         Тремасова Н., Москалёва Е. Г. Информационная безопасность коммерческого банка (на примере АККСБ "КС банк") [Электронный ресурс] / URL: https://cyberleninka.ru/article/n/informatsionnaya-bezopasnost-kommercheskogo-banka-na-primere-akksb-ks-bank (дата обращения: 20.05.2023). – Режим доступа: свободный.

26.         Федеральный закон от 27.06.2011 года № 161-ФЗ «О национальной платежной системе».

27.         Центральный Банк России. Методический документ. Профиль защиты прикладного программного обеспечения автоматизированных систем и приложений кредитных организаций и некредитных финансовых организаций [Электронный ресурс] / URL: https://www.cbr.ru/Content/Document/File/132666/inf_note_feb_0422.pdf (дата обращения: 20.05.2023). – Режим доступа: свободный.

28.         Центральный Банк России. Функционально-технические требования к платежным картам (криптомодуль, приложение) [Электронный ресурс] / URL: https://www.cbr.ru/Content/Document/File/104754/FT_34.pdf (дата обращения: 20.05.2023). – Режим доступа: свободный.

29.         Центральный Банк России. Функционально-технические требования к техническим средствам и программному обеспечению, реализующим СКЗИ в платежных устройствах с терминальным ядром [Электронный ресурс] / URL: https://www.cbr.ru/Content/Document/File/104753/FT_33.pdf (дата обращения: 20.05.2023). – Режим доступа: свободный.

30.         Что такое эксплоиты и почему их боятся [Электронный ресурс] / URL: https://www.kaspersky.ru/blog/exploits-problem-explanation/8459 (дата обращения: 30.04.2023). – Режим доступа: свободный.