Содержание к диссертации
Введение
Глава 1. Методологические основы построения системы обеспечения информационной безопасности кредитных организаций 10
1.1 Обеспечение информационной безопасности. Понятие и структура 10
1.2 Понятие и основные задачи центра обработки данных 21
1.3 Система обеспечения информационной безопасности 23
1.4 Модель информационной безопасности. Понятие, назначение, обзор существующих 25
Глава 2. Политика информационной безопасности кредитных организаций. Основные аспекты, направленность и применение 44
2.1 Основные аспекты и направленность 44
2.2. Анализ и определение угроз защищаемым ресурсам кредитной организации 55
2.3 Подход к оценке степени потребности актива в свойстве безопасности. Критерии оценк 60
2.4. Анализ существующих методов формирования системы обеспечения,- информационной безопасности центра обработки данных 70'
Глава 3. Метод и модель формирования системы обеспечения информационной безопасности центра обработки данных кредитных организаций Российской Федерации 73
3.1 Метод формирования системы обеспечения информационной безопасности 73
3.2. Алгоритм расчета значимости угроз информационной безопасности. Модель системы обеспечения информационной безопасности центра обработки данных кредитных организаций 78
Заключение 95
Список использованных источников 97
Приложения 104
- Модель информационной безопасности. Понятие, назначение, обзор существующих
- Анализ и определение угроз защищаемым ресурсам кредитной организации
- Анализ существующих методов формирования системы обеспечения,- информационной безопасности центра обработки данных
- Алгоритм расчета значимости угроз информационной безопасности. Модель системы обеспечения информационной безопасности центра обработки данных кредитных организаций
Введение к работе
Актуальность темы диссертационного исследования.
На современном этапе развития российской государственности ключевое значение приобретают региональные проблемы ее безопасности. Понятие «региональная экономическая безопасность» можно трансформировать в понятие «устойчивость социально-экономической ситуации в регионе». В свою очередь, устойчивость региональной экономики в значительной мере базируется на устойчивости банковской системы и обеспечении ее безопасности.
Основной целью системы информационной безопасности кредитной организации является предотвращение ущерба интересам кредитной организации за счет хищения финансовых и материально-технических средств, уничтожения имущества и ценностей, разглашения, утраты, утечки, искажения и уничтожения информации, нарушения работы технических средств обеспечения деятельности кредитной организации, включая и средства информатизации, а также ущерба персоналу.
Деформации экономических отношений стали главной причиной роста криминальных явлений в финансово-кредитной сфере, которые стали наиболее опасными для общества из-за особого места «кровеносной системы» в экономике государства.
Криминализация банковской сферы развивается в следующих формах: хищение денежных средств банков с помощью различных мошеннических операций; использование банков в незаконных операциях представителями различных органов государственной власти; отмывание «грязных» капиталов через банковские операции.
Обеспечение безопасности кредитной организации включает в себя: физическую безопасность, под которой понимается обеспечение защиты от посягательства на жизнь персонала и клиентов банка; экономическую безопасность банка; экономическую безопасность банка; информационную безопасность банка; материальную безопасность банка.
Выделяют три основные составляющие проблемы обеспечения безопасности: правовая защита, организационная защита, программно- техническая. Вопрос обеспечения безопасности электронных технологий расчетов является одним из наиболее важных для финансово-платежной системы страны, так как любая дестабилизация в деятельности системы расчетов может привести к серьезному сбою работы всего государственного экономического механизма. В этой связи принимаемые меры и средства защиты должны охватывать технологический процесс совершения электронных расчетов в целом. Все подсистемы и средства автоматизации,' телекоммуникации и информационной безопасности должны устойчиво и безопасно функционировать в рамках технологического процесса совершения электронных расчетов [38].
Огромное внимание должно уделяться защите банковской информации. Банковская тайна - это особый правовой режим, не сводимый ни к одному другому правовому режиму информации, например, режиму коммерческой тайны.
Система мероприятий по обеспечению сохранения конфиденциальной информации должна предусматривать не только уровни защиты, обеспечивающие физическую сохранность документов, но также и защиту этой информации, находящейся в ЭВМ и в других технических средствах, от несанкционированного доступа, ее искажения и уничтожения.
В системе мер обеспечения безопасности банковской системы большое значение придается технической укрепленности, оснащению комплексами инженерно-технических средств охраны, включающими в себя системы контроля управления доступом, системы охранно-пожарной сигнализации, телевизионной охраны и наблюдения, защиты речевых сообщений, сбора и обработки информации, а также средства оперативной связи. Немаловажную роль в системе обеспечения безопасности кредитной организации играют сотрудники банковского сектора. По вопросам обеспечения безопасности банковского персонала дать какие-либо рекомендации не представляется возможным, так как каждая угроза в отношении сотрудника банка исходя из складывающейся обстановки требует принятия очень широкого спектра мер. В связи с этим с руководством и сотрудниками банка постоянно должна вестись работа профилактического характера под девизом «Правильное поведение - гарантия безопасности». Цель этих мероприятий - обратить их внимание на обеспечение собственной безопасности и безопасности членов их семей, подготовить их к действиям в случае возникновения экстренной ситуации (ограбления, похищения, вымогательства и др.).
Одной из наиболее важных проблем, связанных с обеспечением банковской безопасности, является противодействие легализации преступно полученных капиталов и криминализации сферы функционирования кредитно- финансовых структур.
Вхождение России в мировое экономическое сообщество потребовало уделить этой проблеме самое серьезное внимание и, прежде всего, со стороны банковских структур. Большое значение для защиты банковской системы Российской Федерации от проникновения преступных капиталов и обеспечения ее авторитета и стабильности имели разработанные Банком России «Методические рекомендации по вопросам организации работы по предотвращению проникновения доходов, полученных незаконным путем, в банки и иные кредитные организации», в которых был учтен опыт ведущих стран мира и рекомендации Специальной финансовой комиссии. Одним из основных стратегических направлений является объединение усилий всех заинтересованных организаций на создание системы раннего оповещения банковского сообщества о наиболее опасных схемах финансового мошенничества и иных угрозах ресурсам банков. При этом объединение усилий негосударственного банковского сообщества и государственной правозащитной системы основано на совпадении целей их деятельности [7].
Цель диссертационной работы.
Целью диссертационной работы является разработка метода и модели формирования системы обеспечения информационной безопасности центра обработки данных кредитной организации. Задачи исследования.
Поставленная цель достигается решением следующих основных задач:
Анализ состояния обеспечения информационной безопасности банковских информационных ресурсов.
Анализ банковских объектов информационных ресурсов, подлежащих защите от потенциальных угроз.
Разработка общей модели угроз информационной безопасности кредитной организации.
Разработка метода и модели формирования системы обеспечения информационной безопасности центра обработки данных кредитной организации.
В соответствии с целями и задачами диссертационной работы определены ее предмет и объект.
Объект и предмет диссертационной работы.
Объектом диссертационной работы является система обеспечения информационной безопасности кредитных организаций. Предмет исследования - метод и модель формирования системы обеспечения информационной безопасности центра обработки данных кредитной организации.
Методологическая основа исследования.
Методологической основой исследования являются труды отечественных и зарубежных ученых и специалистов по информационной безопасности, нормативные документы Банка России, энциклопедическая и справочная литература, материалы периодической печати, а также опыт организации работы по обеспечению безопасности банковских учреждений Санкт- Петербурга.
Научная новизна.
Научная новизна результатов, полученных автором, заключается в следующем:
Раскрытие понятия системы обеспечения информационной безопасности кредитной организации, определения ее составных частей и элементов, исходя из анализа объектов, подлежащих защите от внешних и внутренних угроз.
Разработаны модели угроз информационной безопасности кредитной организации.
Разработан алгоритм расчета значимости угроз информационной безопасности.
Разработан метод формирования системы обеспечения информационной безопасности центра обработки данных кредитных организаций Российской Федерации.
5. Разработана модель системы обеспечения информационной безопасности центра обработки данных кредитных организаций Российской Федерации.
Практическая значимость работы.
Предложенные методы и результаты диссертационной работы повышают уровень безопасности и расширяют возможности по обнаружению и предотвращению угроз информационной безопасности кредитных организаций.
Практическая значимость работы состоит в возможности использования и применения кредитными организациями сформулированных в диссертационной работе понятий и результатов исследования.
Материалы диссертации используются при разработке методических материалов и нормативной документации банковскими учреждениями Санкт- Петербург, а также в учебном процессе Кафедры мониторинга и прогнозирования информационных угроз Санкт-Петербургского национального исследовательского университета информационных технологий, механики и оптики (далее - СПбНИУ ИТМО).
Апробация работы.
Основные положения диссертации докладывались на научно- практических конференциях СПбНИУ ИТМО и других научно-практических конференциях России. Отдельные теоретические и практические положения работы используются в учебном процессе кафедры «Мониторинга и прогнозирования информационных угроз» СПбНИУ ИТМО, на курсах переподготовки специалистов служб безопасности и защиты информации кредитных организаций Российской Федерации (2009, 2010, 2011) и при. разработке нормативной документации банковских учреждений Российской Федерации.
Модель информационной безопасности. Понятие, назначение, обзор существующих
Сеть передачи данных ЦОД (сеть передачи данных ЦОД является составной частью корпоративной сети передачи данных и включает в свой состав: оборудование маршрутизации и коммутации, оборудование организации оптических каналов связи, оборудование подключения пользователей, средства обеспечения информационной безопасности, средства управления и мониторинга сети и др.).
Инфраструктуру ЦОД (предлагается комплексный подход к проектированию и созданию помещений для ЦОД со всей необходимой инфраструктурой, включая оборудование фальшполов, кондиционеров и др.).
Систему управления ЦОД (система управления ЦОД должна быть интегрирована в централизованную систему управления предприятия и должна обеспечивать: централизованное управление всеми компонентами ЦОД и контроль их состояния в реальном времени, дистанционную реконфигурацию оборудования, дистанционную загрузку программного обеспечения, сквозной контроль и тестирование компонент ЦОД, предоставление отчетности о состоянии оборудования, используемых ресурсах и загрузке, сбор статистики по функционированию систем).
Организационную структуру ЦОД (организационная структура ЦОД включает в свой состав: персонал, обеспечивающий функционирование ЦОД, согласно штатному расписанию, организационные документы, регламентирующие эксплуатацию ЦОД (инструкции, аварийные планы, программы проведения обучения и практических тренингов персонала и др.) Для обеспечения нормального функционирования ЦОД и своевременного восстановления комплекса в случае возникновения неисправностей необходимо разработать ряд регламентов, в том числе порядок запуска/остановки оборудования, порядок запуска/остановки программного обеспечения, и т.д. На современном этапе центры обработки данных подвержены многим угрозам, как внутренним, так и внешним. Наиболее распространенными являются: недостаточный уровень осознания информационной безопасности руководителями подразделений информатизации и системно-технического обслуживания; отсутствие регламентирующих и руководящих документов, четко регулирующих взаимодействие сотрудников при возникновении нештатных ситуаций; отсутствие так называемой «эшелонированной защиты» доступа к ресурсам центра обработки данных (к техническим и информационным ресурсам). 1.3 Система обеспечения информационной безопасности. Система обеспечения информационной безопасности центра обработки данных предназначена для обеспечения заданного состояния информационной безопасности системы ЦОД путем мониторинга информационной безопасности системы ЦОД и управления, как специальными, так и встроенными в функционал программно-техническими средствами обеспечения информационной безопасности (ПТС ИБ) на каждом уровне системы ЦОД. СОИБ ЦОД должна обеспечивать выполнение требований по информационной безопасности для технических и программных средств, на которых построена сама система и для смежных с ней систем. Вместе с тем в кредитных организациях неоднократно возникали случаи потери данных, вызванные несанкционированным доступом к ключевой информации. Данные инциденты информационной безопасности стали возможны по причинам, указанным в подразделе 1.2. С целью ликвидации возможности угроз, влияющих на целостность и защищенность данных, проведен анализ и выполнены расчеты возможных угроз информационной безопасности ЦОД. Для наиболее эффективного функционирования СОИБ необходимо определить следующие параметры: - системное программное обеспечение; - базовая платформа системы обеспечения информационной безопасности; - базовая платформа центра управления системы обеспечения информационной безопасности; Система обеспечения информационной безопасности должна решать следующие задачи с целью противодействия основным угрозам ИБ: 1. Управление доступом пользователей к ресурсам АИС. 2. Защита данных, передаваемых по каналам связи. 3. Регистрация, сбор, хранение, обработка и выдача сведений обо всех событиях, происходящих в системе и имеющих отношение к ее безопасности. 4. Контроль работы пользователей системы со стороны администрации и оперативное оповещение администратора безопасности о попытках несанкционированного доступа к ресурсам системы. 5. Обеспечение замкнутой среды проверенного программного обеспечения с целью защиты от бесконтрольного внедрения в систему потенциально опасных программ (в которых могут содержаться вредоносные закладки или опасные ошибки) и средств преодоления системы защиты, а также от внедрения и распространения компьютерных вирусов. 6. Контроль и поддержание целостности критичных ресурсов системы защиты; управление средствами защиты. 7. Разработка модели угроз информационной безопасности ЦОД. Различают внешнюю и внутреннюю безопасность АИС. Внешняя безопасность включает защиту АС от стихийных бедствий (пожар, землетрясение и т.п.) и от проникновения в систему злоумышленников извне. Внутренняя безопасность заключается в создании надежных и удобных механизмов регламентации деятельности всех ее законных пользователей и» обслуживающего персонала[16, 31]. 1.4 Модель информационной безопасности. Понятие, назначение, обзор существующих Основную роль в методе разработки системы обеспечения безопасности играет так называемая модель безопасности (модель управления доступом, модель политики безопасности). Целью этой модели является выражение сути требований по безопасности к данной системе. Она определяет потоки информации, разрешенные в системе, и правила управления доступом к информации. Модель позволяет провести анализ свойств системы, но не накладывает ограничений на реализацию тех или иных механизмов защиты. Так как она является формальной, возможно осуществить доказательство различных свойств безопасности системы.
Анализ и определение угроз защищаемым ресурсам кредитной организации
Матрица доступа — таблица, в которой строки соответствуют субъектам, столбцы — объектам доступа, а на пересечении строки и столбца содержатся правила (разрешения) доступа субъекта к объекту. Основными недостатками такой матрицы являются ее чрезмерно большая размерность и сложность администрирования: все взаимосвязи и ограничения предметной области приходится учитывать вручную. (Примеры ограничений: права доступа субъекта к файлу не могут превышать его прав доступа к устройству, на котором этот файл размещен; группа пользователей наследует одинаковые полномочия и т.д.). Для преодоления этих сложностей матрица доступа часто заменяется некоторым ее неявным представлением. Рассмотрим основные из них. 1. Списки управления доступом (access control lists, ACL). Для каждого объекта задан список субъектов, имеющих ненулевые полномочия доступа к ним (с указанием этих полномочий). В результате серьезно экономится память, поскольку из матрицы доступа исключаются все нулевые значения (составляющие большую ее часть). Тем не менее, спискам управления доступом присущ ряд недостатков: - неудобство отслеживания ограничений и зависимостей по наследованию полномочий субъектов; - неудобство получения сведений об объектах, к которым имеет какой либо вид доступа данный субъект; - так как списки управления доступом связаны с объектом, то при удалении субъекта возможно возникновение ситуации, при которой объект может быть доступен несуществующему субъекту. 2. Списки полномочий субъектов. Аналогично ACL с той разницей, что для каждого субъекта задан список объектов, доступ к которым разрешен (с указанием полномочий доступа). Такое представление называется профилем субъекта. Оба представления имеют практически идентичные достоинства и недостатки. 3. Атрибутные схемы. Основаны на присвоении субъектам и/или объектам определенных меток, содержащих значения атрибутов. Элементы матрицы доступа не хранятся в явном виде, а динамически вычисляются при каждой попытке доступа для конкретной пары субъект-объект на основе их атрибутов. Помимо экономии памяти достигается непротиворечивость базы данных защиты, а также удобство ее администрирования. Основным недостатком является сложность задания прав доступа конкретного субъекта к конкретному объекту. Эмпирический подход к оценке уязвимости информации Сущность эмпирического подхода заключается в том, что на основе длительного сбора и обработки данных о реальных проявлениях угроз информации и о размерах того ущерба, который при этом имел место, чисто эмпирическим путем устанавливаются зависимости между потенциально возможным ущербом и коэффициентами, характеризующими При этом для несанкционированного получения информации необходимо одновременное наступление следующих событий частоту проявления соответствующей угрозы и значения имевшего при ее проявлении размера ущерба. Наиболее характерным примером моделей рассматриваемой разновидности являются модели, разработанные специалистами американской фирмы IBM. Рассмотрим развиваемые на этих моделях подходы. Исходной посылкой при разработке моделей является почти очевидное предположение: с одной стороны, при нарушении защищенности информации наносится некоторый ущерб, с другой - обеспечение защиты информации сопряжено с расходованием средств. Полная ожидаемая стоимость защиты может быть выражена суммой расходов на защиту и потерь от ее нарушения. Совершенно очевидно, что оптимальным решением было бы выделение на защиту информации средств минимизирующих общую стоимость работ по защите информации. Для того чтобы воспользоваться данным подходом к решению проблемы, необходимо знать (или уметь определять), во-первых, ожидаемые потери при нарушении защищенности информации, а во-вторых, зависимость между уровнем защищеннрсти и средствами, затрачиваемыми на защиту информации.
Решение первого вопроса, т. е. оценки ожидаемых потерь при нарушении защищенности информации, принципиально может быть получено лишь тогда, когда речь идет о защите промышленной, коммерческой и им подобной тайны, хотя и здесь встречаются весьма серьезные трудности. Что касается оценки уровня потерь при нарушении статуса защищенности информации, содержащей государственную, военную и им подобную тайну, то здесь до настоящего времени строгие подходы к их получению не найдены. Данное обстоятельство существенно сужает возможную область использования моделей, основанных на рассматриваемых подходах.
Для определения уровня затрат R,, обеспечивающих требуемый уровень защищенности информации, необходимо по крайней мере знать, во-первых, полный перечень угроз информации, во-вторых, потенциальную опасность для информации для каждой из угроз и, в-третьих, размеры затрат, необходимых для нейтрализации каждой из угроз.
Поскольку оптимальное решение вопроса о целесообразном уровне затрат на защиту состоит в том, что этот уровень должен быть равен уровню ожидаемых потерь при нарушении защищенности, достаточно определить только уровень потерь. Специалистами фирмы IBM предложена следующая эмпирическая зависимость ожидаемых потерь от i-й угрозы информации:
Анализ существующих методов формирования системы обеспечения,- информационной безопасности центра обработки данных
Третий метод, или метод многокомпетентности, заключается в объединении указанных выше подходов, нахождении тонкого баланса между ними. Здесь появляется возможность реализации специфических требований каждого работника кредитной организации, выполнение любых вспомогательных и технологических расчетов и пр.С использованием гибкой системы настроек появилась реальная возможность адаптации программного аппарата к практически любым условиям и различным требованиям инструктивных материалов и правилам работы, принятым либо в вышестоящей организации, либо в данной кредитной организации. Обязательным условием при использовании данного метода является наличие в самой кредитной организации квалифицированных специалистов.
Такой метод является предпочтительным и используется в большинстве случаев при проектировании и создании систем, однако и он не является совершенным.
Представление метода формирования системы обеспечения информационной безопасности следует начать с определения возможных угроз информационной безопасности ЦОД кредитной организации. Используя данные, приведенные в Главе 1 и Главе 2, учитывая опыт работы в кредитной организации и анализ информации отечественных и зарубежных литературных источников был сформирован перечень угроз информационной безопасности Выявленные по результатам анализа угрозы распределены по группам: - угрозы природного характера; - угрозы, связанные с человеческим фактором; - угрозы техногенного характера; - угрозы, связанные с потребляемыми услугами; - угрозы, порождаемыми иными возможными источниками (угрозы, связанные с руководством и управлением ИБ и угрозы организационного характера). При выявлении угроз ИБ исследовались возможные условия функционирования ЦОД, факторы, влияющие на степень актуальности угроз, предполагаемые последствия и типовые меры защиты. Данные приведены в Приложении А. Метод формирования системы обеспечения информационной безопасности центра обработки данных кредитной организацииможно представить следующим образом: 1. Проведение предварительного внешнего аудита. 2. Разработка стратегии и планов по поэтапному выстраиванию СОИБ. На основании сведений о текущем уровне соответствия, полученных в результате аудита/самооценки, руководство организации получает возможность оценить степень затратности проекта по выстраиванию СОИБ и общие сроки достижения необходимого уровня соответствия. 3. Проведение оценки рисков ИБ. Оценка рисков ИБ позволяет определить необходимые защитные меры по обработке рисков в отношении ценных информационных активов организации. Проведение всех последующих мероприятий будет либо невозможно, либо малоэффективно, если не будет проведена оценка рисков ИБ. 4. Создание инфраструктуры ИБ (политики, персонал, процессы). Эффективное обеспечение ИБ возможно только за счет построения инфраструктуры ИБ, представляющей собой совокупность документированных политик и моделей возможных угроз, персонала соответствующих служб, а также организационных процессов по управлению и контролю ИБ. 5. Внедрение необходимых защитных мер. Защитные меры (организационного, физического и технического характера), выбранные на основании результатов оценки рисков ИБ, должны быть установлены, проверены и введены в эксплуатацию. 6. Мониторинг инцидентов и оценки эффективности. После того как создана инфраструктура ИБ и внедрены необходимые защитные меры под руководством ответственных лиц, должен вестись сбор данных, анализ и отчетность по результатам мониторинга инцидентов ИБ. 7. Реализация корректирующих мероприятий. Корректирующие мероприятия по оптимизации и повышению эффективности СОИБ должны периодически инициироваться и подтверждаться руководством организации в рамках проведения регулярных совещаний специально созданного для этих целей комитета по ИБ. Система обеспечения информационной безопасности (СОИБ) представляет собой совокупность мер организационного и программно- технического уровня, направленных на защиту информационных ресурсов организации от угроз безопасности. Экономический эффект от внедрения СОИБ проявляется в снижении величины возможного материального, морального и иных видов ущерба, наносимого организации, за счет мер, направленных на формирование и поддержание режима ИБ. СОИБ в современных организациях имеет сложную многокомпонентную, многоуровневую, территориально и логически распределенную архитектуру. Компоненты СОИБ очень тесно интегрированы в информационную инфраструктуру организации. Помимо программных и технических средств обеспечения ИБ, которые могут быть встроены в телекоммуникационное и компьютерное оборудование, операционные системы и приложения, а также специализированных (наложенных) средств защиты информации, архитектура СОИБ включает в себя также систему организационных мероприятий и ИТ-процессов. Для построения СОИБ требуются профессиональные знания, активная поддержка руководства организации и серьезное финансирование. В состав СОИБ должны входить следующие компоненты и подсистемы, тесно интегрированные между собой и с другими компонентами ИТ- инфраструктуры: - подсистема защиты периметра сети; - подсистема обеспечения безопасности межсетевых взаимодействий; - подсистема мониторинга и аудита безопасности; - подсистема обнаружения и предотвращения атак; - подсистема резервного копирования и восстановления данных; - подсистема анализа защищенности и управления политикой безопасности; - подсистема контроля целостности данных; - криптографическая подсистема; - инфраструктура открытых ключей; - подсистема защиты от вредоносного ПО; - подсистема фильтрации контента и предотвращения утечки конфиденциальной информации.
Алгоритм расчета значимости угроз информационной безопасности. Модель системы обеспечения информационной безопасности центра обработки данных кредитных организаций
Модели угроз построены по свойствам безопасности информационных, технических и физических активов и оформлены в виде совокупности таблиц, приведенных в Приложениях В, Г и Д соответственно. Для использования приведенных моделей кредитным организациям (организациям, эксплуатирующим центры обработки данных) необходимо сопоставить конкретные активы и свойства безопасности указанным угрозам информационной безопасности.
Структура активов ЦОД, включающая список активов ЦОД и степени потребности каждого актива в присущих ему свойствах безопасности была получена на основе практического и теоретического опыта работы в кредитной организации.
Список актуальных угроз и возможных последствий от их реализации был получен по результатам изучения национального и зарубежного опыта в области исследования и классификации угроз ИБ, а также по результатам научно-исследовательских работ в этом направлении.
Угрозы информационной безопасности и их влияние на информацию, хранимую, обрабатывающуюся или передающуюся в центре обработки данных представлены в виде следующей модели системы обеспечения информационной безопасности центра обработки данных:
На рисунке 4 приведена модель системы обеспечения информационной безопасности ЦОД. К блоку №№1, 2, 3 относятся угрозы информационной безопасности ЦОД, не обладающие необходимым потенциалом и возможностями для нанесения ущерба информации. К ним относятся угрозы техногенного и организационного характера. Сдерживающим фактором является наличие современных и надежных специализированных средств обеспечения безопасности. К блоку №4 относятся угрозы информационной безопасности ЦОД, обладающие достаточным потенциалом и возможностями для преодоления первого барьера защиты (контур защиты специализированных средств безопасности). Здесь сдерживающим фактором является система обеспечения информационной безопасности ЦОД. Подробное представление каждого из блоков, содержащих определенные угрозы ИБ, приведено в приложении Е. В заключении, следует отметить, что работы по созданию СОИБ должны выполняться в соответствии с государственными (ГОСТ) и международными (ISO) стандартами по проектной технологии, которая включает в себя все стадии жизненного цикла автоматизированной системы. В соответствии с ГОСТ 34.601-90 «Автоматизированные системы. Стадии создания», СОИБ должна пройти следующие стадии и этапы создания[10,11]: В диссертационной работе представлены методологические основы построения системы обеспечения информационной безопасности кредитных организаций. Рассмотрены роль и место информации и информационных технологий в современной жизни, безопасность национальных интересов в информационной сфере. Проанализированы причины возникновения угроз информационной безопасности. Рассмотрено современное состояние исследований и разработок в области определения моделей информационной безопасности, приведены примеры таких моделей. Основную роль в методе разработки системы обеспечения информационной безопасности играет модель информационной безопасности (модель нарушителя ИБ, модель угроз нарушения свойств безопасности ресурсов кредитной организации, модель политики безопасности). Целью этой модели является выражение сути требований по безопасности к определенной системе. В работе определено понятие центра обработки данных, сформулированы определение и основные этапы и объекты обеспечения информационной безопасности ЦОД, рассмотрен вопрос формирования политики информационной безопасности кредитных организаций, ее направленность и аспекты. В диссертационном исследовании представлены метод и модель формирования системы обеспечения информационной безопасности ЦОД кредитной организации. Для формирования наиболее полной и надежной системы обеспечения информационной безопасности ЦОД кредитной организации сформированы модели угроз нарушения свойств безопасности: