Будь умным!


У вас вопросы?
У нас ответы:) SamZan.ru

Методика ранжування вразливостей 2

Работа добавлена на сайт samzan.ru: 2016-03-05

Акция
Закажите работу сегодня со скидкой до 25%
Узнать стоимость работы
Рассчитаем за 1 минуту, онлайн

ЗМІСТ

Розділ 1 . Опис об’єкта захисту — банку “Укрконтиненталь”  

  1.  Загальний опис банку
    1.  Основні функції банку
    2.  Функціональні обов’язки персоналу
    3.  Інформаційні активи банку
    4.  Опис систем життєзабезпечення банку
    5.  Опис діяльності банку

Розділ 2. Аналіз загроз  інформаційним активам банку

2.1.       Методика ранжування вразливостей

2.2.       Аналіз загроз для інформаційного активу – умов кредитних угод

2.3.        Аналіз загроз інформаційному активу – інформації про фінансовий стан банку

2.4.      Аналіз загроз інформаційному активу – інформації про безпеку банку

2.5.      Обгрунтування визначення допустимого ризику

Розділ 3. Обгрунтування вибору політики безпеки

Розділ 4. Методи нейтралізації актуальних загроз

Додатки   

 

Завдання

При аналізі загроз усі перераховані в таблиці варіанти об’єктів захисту уявно будемо розміщувати в приміщеннях, що розташовуються на визначеній території, що охороняється. Плани приміщень та території, що охороняється, погоджуються з керівником курсової роботи.

№ п/п

Назва об’єкту (виділеного приміщення)

Перелік ОТЗ, які знаходяться в приміщенні

Перелік ТЗПІ, які не є основними

Перелік ДТЗС

Інформація, яка підлягає захисту

2

Приміщення філії  банку “Укрконтиненталь”

Локальна обчислювальна мережа з трьох комп’ютерів (з виходом в Інтернет), супутникова система типу Point-to-point, виділена телефонна лінія між філією та центральним офісом, сигнальні лінії мережі Ethernet

Внутрішня МініАТС, системний телефон та два телефони підключені до МініАТС,

радіоприймач, ксерокс

кабелі телефонного зв’язку, лінії мережі електроживленя, пристрій для підрахунку грошей, касовий апарат, кондиціонер

Комерційна таємниця банку, інформація для службового користування

Примітка 1. В усіх перерахованих виділених приміщеннях відбуваються  конфіденційні розмови та переговори.

Примітка 2. Всі перераховані підприємства знаходяться на відстані більше       200 м. від представництв іноземних держав.

Розділ 1. Опис об’єкта захисту — банку “Укрконтиненталь”

 

  1.  Загальний опис банку

Об’єкт захисту – банк «Укрконтиненталь» розташовується за адресою м.Львів, вул.

На прилеглій території банку знаходиться парк, трансформаторна підстанція, гараж для працівників банку. В дворі банку знаходиться люки водопостачання та каналізації. Приміщення банку складається з  15 кімнат (рис1).

Рис.1 Загальний план розміщення банку

Розшифрування:

Кімната №1 – хол банку, в ньому знаходяться два вікна до кас банку і два автоматизовані касові апарати. Через хол банку відбувається безпосередній вхід до приміщення і вчнутрішнє розмежування на відділи банку – розмежування на коридори. Доступ до відділень банку здійснюється через двері, які обладнані кодовим замком. Двері до кабінету директора(кімната №8)і до архіву банку (кімната №5) обладнані окрім кодового замка ще засобом контролю доступу за ідентифікацією сітківки ока людини.

Кімната №2 – каса № 1.Обладнана касовим апаратом. Доступ контролюється через кодові замки на дверях каси. Доступ до каси надається керівнику банку, бухгалтері безпосередньо касирам. Тут впродовж робочого дня зберігається інформаційний актив у вигляді готівки

Кімната №3 – кімната для відпочинку персоналу в обідній час. Також в цій кімнаті знаходиться підсобне приміщення для зберігання знарядь, за допомогою яки відбувається підтримування санітарно-гігієнічного стану приміщення і прилеглої території

Кімната №4 – туалет.

Кімната №5 – архів банку для зберігання електронних та паперових інформаційних активів. Доступом до кімнати володіє директор і бухгалтер.

Кімната №6 – бухгалтерія банку. Бухгалтер має в своєму розпорядженні комп’ютер, телефон міської мережі. Основною робочою програмою для бухгалтера є «1С Бухгалтерія» До бухгалтерської є два входи: один зі сторони коридору,захищений кодовим замком на дверях, і другий – із кабінету приймальної. На комп’ютері бухгалтера зберігається інформація про поточний фінансовий стан банку та звітна документація, що являє собою комерційну таємницю баку.

       Кімната № 7 – приймальня банку. Оснащена комп’ютером, ксероксом, телефонним апаратом. У цій кімнаті відбувається прийом клієнтів для проведення переговорів з керівником банку. На ксероксі відбувається копіювання та роздрук угод банку. Компютер підєднаний до локальної мережі.  

Кімната №8 – директорська. У кабінеті директора знаходиться сейф для короткострокового зберігання документів, які визначається як комерційна таємниця банку, та довгострокового зберігання всіх інших документів (нормативно-правових актів банку, які видаються керівником філії), сейф для зберігання готівки та цінних паперів банку. Керівник банку має в своєму розпорядженні комп’ютер, на якому зберігається вся інформація банку; телефонний апарат для переговорів між філіями банку, відділами банку.

Кімната №9 – відділ служби безпеки, в якому також знаходиться серверна

Кімната №10 – підвідділ служби безпеки – відділ управління інформаційною безпекою

 Кімната №11 – відділ кредитування та фінансування

Кімната №12 – комерційний відділ.

Кімната №13 – каса №2

Кімната №14 – відділ координації роботи банку

Кімната №15 – юридичний відділ банку.

Всі кімнати між собою зєднює кородор.  

Банк огороджується бетонно-камяним парканом, в якому присутній прохід для пішоходів та проїзд для службового транспорту. З фасаду паркан зроблений із металевої сітки. Прохід та проїзд на територію банку контролюється охоронцями з контрольно-пропускного пункту. Проїзд обладнаний автоматичними залізними кованими  воротами. Висота огорожі – 2м. по периметру, ширина – 30см. Ширина проїзної частини – 2,5м., пішохідної – 1м.

Банк складається з таких підрозділів:

- відділ  кредитування та фінансування

- відділ безпеки;

- підвідділ управління інформаційною безпекою

- юридичний відділ

- відділ координації діяльності банку

- комерційний ( кредитний відділ)

- касовий відділ

Відділ кредитування та фінансування, комерційний ( кредитний відділ)  забезпечують оформлення кредитів, ведення статистичної звітності з питань кредитної  діяльності у відповідності з вимогами НБУ, та керівництва  банку. За результатами аналізу спільно з відділом безпеки та юрвідділом опрацьовуються  рекомендації з загальних питань кредитної діяльності , які після затвердження їх керівництвом або кредитним комітетом є обов’язковими до виконання.

 Відділ безпеки банку здійснює накопичення , аналіз та використання інформації про  загрози втрати конфіденційності інформації банку, кредитній діяльності , репутацію позичальників  та дебіторів, їх гарантів та поручителів, підтримує ділові контакти з структурами безпеки інших банків та клієнтів, правоохоронними органами. 

Підвідділ управління інформаційною безпекою здійснює розроблення менеджменту інформаційної безпеки банку.     

    Юридичний відділ забезпечує контроль за дотриманням законодавства, юридичне супроводження стосунків між банком і клієнтом на усіх стадіях здійснення кредитної   та депозитної діяльності, представляють інтереси банку при вирішенні спорів з позичальниками та дебітором  у судовому  та позасудовому порядку. Узагальнюють юридичну практику кредитної діяльності та  опрацьовують відповідні рекомендації.

Відділ координації діяльності банку веде централізований облік заставленого майна  та переданих банку матеріальних цінностей, вивчає ринок попиту , накопичує інформацію  про ринкові ціни на майно, що реалізується банком, проводить пошук покупців та реалізацію їм майна. Займається інстуктовно-розяснювальною роботою з клієнтами банку.

Відділ каси – проведення готівкових та безготівкових операцій банку.

     

 

  1.  Основні функції банку

 Основними функціями філії банку «Укрконтиненталь» (далі – банку) є:

  •  прийом депозитів;
  •  здійснення грошових платежів і розрахунків;
  •  видача кредитів.

Комерційний банк виконує роль посередника між господарськими одиницями, що накопичують грошові кошти і тими, що їх потребують. Банк надає власникам вільних капіталів надійну форму вкладання грошей в виді різноманітних депозитів, що забезпечує збереження грошових коштів і задовольняє потребу клієнта в  ліквідності.

Банк надає такі послуги:

- залучення та розміщення грошових вкладів  і кредитів ;

- здійснення розрахунків за дорученням клієнтів,  та їх касове    обслуговування ;

- ведення рахунків клієнтів;

- фінансування капітальних вкладень за дорученням власників або розпорядників інвестованих коштів;

- купівля , продаж  і  зберігання платіжних документів, цінних паперів, а також операції   з  ними;

- придбання за власні кошти засобів виробництва  для передачі  їх  в оренду;

- купівля у організацій і громадян та  продаж  їм іноземної валюти  готівкою і валюти, що    знаходиться на рахунках  і  вкладах;

- довірчі операції (залучення  та розміщення коштів, управління цінними паперами та ін.)    за дорученням  клієнтів;

- надання консультаційних  послуг.

Функції відділу касових операцій:

1. Прийняття  коштів та цінностей прибутковою касою.

2. Видача коштів та цінностей  видатковою касою.

3. Перерахунок  готівки.

4. Щоденна звірка каси з виведенням залишків на кінець операційного дня.

5. Забезпечення належного  зберігання  грошей та цінностей.

6. Недопущення недостач,надлишків та прорахунків в касі.

7. Щоденне  встановлення надлімітних залишків грошей та поповнення кореспондентського рахунку шляхом здавання готівки в НБУ .

8. Організація чіткого касового обслуговування підприємств,організацій ,громадян - клієнтів

  1.  Функціональні обов’язки персоналу

Персонал банку складається з основного та допоміжного персоналу. До основного персоналу відносяться: керівник банку, бухгалтер, системний адміністратор, керівник служби безпеки банку, менеджер по обслуговуванні клієнтів, програміст, касири. До допоміжного персоналу відносяться прибиральник, двірник, охоронець, електрик.

Основні функції основного персоналу:

  •  Керівник філії банку – керівництво і нагляд за  функціонуванням банку;
  •  Бухгалтер здійснює контроль за всією господарсько-економічною діяльністю банку; проводить облік грошових ресурсів установи; звітує перед керівництвом та контрольними органами;
  •  Системний адміністратор – контроль за діяльністю банку
  •  Програміст – нагляд за програмним забезпеченням банку
  •  Працівники служби безпеки – забезпечення інформаційної безпеки банку
  •  Менеджери по роботі з клієнтами – робота з існуючими та потенційними клієнтами
  •  Касири – проведення готівкових та безготівкових розрахунків
  •  Економіст - розробка та виконання документів методичного характеру, що стосуються депозитарної та кредиторської діяльності банку з іменними цінними паперами ;
  •  Реєстратор - складання реєстру власників іменних цінних паперів та переліків власників іменних цінних паперів і номінальних утримувачів на певну дату.

Функції допоміжного персоналу:

  •  Прибиральники – підтримання санітарно-гігієнічного стану приміщень банку;
  •  Двірники – підтримання санітарно-гігієнічного стану прилеглої території;
  •  Охоронці – охорона банку та прилеглої території;
  •  Електрик – підтримування в робочому стані електричної мережі банку.

 

  1.  Інформаційні активи банку

Інформаційними активами банку являється: інформація про депозитні вклади. Інформація про кредитні зобов’язання та носії цієї інформації, грошові активи банку та інформації про їх оборот. Все це являє собою комерційну таємницю банку, втрата конфіденційності якої може призвести до значних фінансових та моральних втрат для банку.  Це інформація про:

  •  фінансове становище підприємства (звіти про фінасоаий стан банку)зберігається в кабінеті бухгалтера в паперовому вигляді та на компютері, а також в комп’ютері в кабінеті директора філії банку;
  •  прогнози  розвитку підприємства в майбутньому. Зберігається в кабінеті економічного відділу в шафі  у паперовому вигляді та у комп’ютері головного економіста та в комп’ютері, що знаходиться в кабінеті. Зберігаються безпосередньо в кабінеті директора в його комп’ютері;
  •  умови контрактів й угод. Підписаний оригінал угод зберігається у сейфі в кабінеті директора банку. Електронна версія контракту чи угоди після підписання стирається з комп’ютера секретарем під безпосередньою відповідальністю директора. Інформація з сервера стирається програмістом під керівництвом керівника;
  •  систему безпеки підприємства. Зберігається у відділі безпеки у електронному вигляді на комп’ютерах відділу, а  також у паперовому вигляді в сейфі відділу. Дана інформація також зберігається у електронному вигляді на комп’ютері директора банку в його кабінеті.

Відповідальність за збереження конфіденційності інформаційного активу несуть: керівник банку, керівник відділу безпеки та відповідальний за відділ у якому зберігається інформаційний актив. Рівень відповідальності визначає керівник установи банку відповідним наказом про збереження конфіденційності комерційної таємниці банку.  

Відповідний інформаційний актив зберігається у електронному та паперовому вигляді протягом усього терміну дії даного інформаційного активу. По завершенню терміну дії інформаційного активу, його у паперовому вигляді переносять до архіву банку, при цьому керівником установи банку створюється спеціальна комісія, яка веде контроль про передачу інформаційного активу до архіву банку. При цьому комісія несе відповідальність за виготовленням резервної копії інформаційного активу. Резервна копія активу робиться секретарем банку, під керівництвом директора банку. При передачі активу до архіву банку комісія підписує  акт передачі інформаційного активу, який засвідчує відповідальний за відділ, керівник відділу безпеки та директор банку. Порядок передачі інформаційного активу та порядок створення комісії по передачі встановлюється відповідним наказом керівника банку. Електронний носій інформації по закінченню терміну дії інформаційного активу знищується з усіх компютерів і сервера програмістом банку.

Носії інформаційного активу:

Носіями інформаційного активу є комп’ютери банку. Носіями цієї інфомації володіє керівник установи та бухгалтер. Інформація про фінансовий стан підприємства зберігається на електронних та паперових носіях. Звіти у паперовому вигляді зберігаються у сайфі кабінету бухгалтера. Електронні звіти зберігаються на компютері бухгалтера.  

Диски, які зберігаються в архіві з  конфіденційною інформацією, як резервні копії. 

  1.  Опис систем життєзабезпечення банку

Банк володіє трьома комп’ютерами, які підключені до локальної мережі. Компютери має в своєму розпорядженні керівник банку, бухгалтерія та приймальня банку. Серверна знаходиться у відділі безпеки та програмування   банку. Кожен комп’ютер підключений до лінії електромережі через розетки. На комп’ютерах зберігається бухгалтерська інформація, інформація про клієнтську базу банку та інформація для керівництва банком. Операційні дії над комп’ютером контролюються сервером. Інформація на комп’ютерах банку частково являє собою комерційну таємницю банку та інформацію для службового користування. Рис2.

Банк підключений до загальної телефонної ліні та до лінії радіо мережі. Всередині банку діє внутрішня телефонна лінія для зєднань між відділами та між філіями банку.

Каса володіє касовим апаратом для провелденя банківських операцій та пристроє для підрахунку грошей.

Крім того, каса має в своєму розпорядженні два автоматичні касові апарати. Вони призначені для:обслуговування клієнта за відсутності банківського персоналу. Він призначений в основному для видачі

готівки. Крім цієї функції, АКА може виконувати ряд додаткових, а саме:

перевірка стану рахунку клієнта;

зміна параметрів рахунку клієнта;

здійснення різноманітних платежів: погашення кредитів, оплати за комунальні послуги, здійснення оплати за покупки.

надання інформації про страховий поліс клієнта, котирування цінних паперів на фондовому ринку,

купівлю й продаж акцій, обмінні курси валют тощо.

Взаємодія клієнта з АКА здійснюється за допомогою пластикової картки, на якій записана потрібна інформація, виносної клавіатури і мікродисплея.

Банк має банкомат, який підключений до загальної мережі електроживлення. Кожного понеділка інкасаторська служба банку проводить облік наявності грошей у банку 

Обєкт складається з установи банку і прилеглої до нього території. Приміщення банку складається з 9 кімнат: директорської, кімнати для секретаря, прийомної, кімнат для  роботи відділів банку, касової кімнати, ванної, кімнати для відпочинку та коридору, який зєднює всі приміщення установи. Прилегла територія складається контрльно-пропускного пункту, трансформаторної підстанції, парку. В подвірї банку знаходиться люк каналізації та водопостачання. З зовнішнього боку КПП знаходиться банкомат банку, який обладнаний камерою прихованого відеоспостереження.

До установи банку проведено лінії електроживлення. Електрозабезпечення здійснюється від вмонтованої трансформаторної підстанції. Є кабель аварійного живлення.  Ведеться окремий облік споживання електроенергії. По всьому центру розведено живлення 220 В.

Мережу проведення електроенергії в приміщеннях можна розглянути на рис.2 Банк живиться електроенергією від основної лінії мережі міста, але має в своєму розпорядження трансформаторну підстанцію. Струм підєднаний до будівлі, де регулюється електрощитком і від нього виходять всі лінії електромережі будівлі. Освітлюють приміщення загальні лампи офісного призначення. В кожній кімнаті є розетки та вмикачі світла. По території банк освітлюється двірними ліхтарями. До гаражу підєднано лінії електормережі для освітлення та вентиляції приміщення. Банк освітлюється  2 режимами:  загальне освітлення для роботи установи і охоронне освітлення периметру і самої установи банку.

За діяльність банку слідкують охоронці з телекамер. Приховані камери розміщені по всій території банку, в тому числі на вїзді і проході до банкедеться цілодобове відео спостереження за кожною кімнатою банку.

Банк оснащений протипожежною сигналізацією та вентиляцією, через яку до установи банку поєднані кондиціонери (рис.3)

До банку проведене водопостачання та каналізацію, яку можна розглянути на рис.

Вода до банку подається із міської мережі подачі води, каналізація відводиться в міську мережу каналізаційних стоквів за периметром банку  

Рис. 2 схема електропередачі

 

Рис. 3 схема вентиляції, протипожежної сигналізаці, відео спостереження та загальної сигналізації.

Відеоспостереження за об’єктом захисту є цілодобовим як в середині приміщення так і ззовні. За зовнішнім спостереження несе відповідальність охоронець з КПП. Внутрішнім – працівники служби безпеки. Відеоінформація  зберігається на сервері банку впродовж року. В кінці року працівники служби безпеки оцінюють і аналізують отриману інформації з відео спостереження і складають відповідний акт на передачу інформації в архів банку.

Банк має в своєму розпорядження 3 компютери, які знаходяться  в кабінеті директора, відділі координації діяльності банку та у відділі безпеки інформації відповідно. Касове приміщення обладнане спеціальним касовим обладнанням. Банк має в своєму розпорядження спеціальну телефонну лінію, радіопередач, телевізор, ксерокс, пристрій для підрахунку грошей.  

 

  1.  Опис діяльності банку

Банк працює з 9 до 18 години, з обідньою перервоюз 13 до 14 години. Вихідними днями є субота та неділя. Банківським днем для прийому готівки є понеділок. Щоденно о 7 годині ранку до установи банку приходять прибиральниця та двірник, які в даний проміжок часу проводять прибирання території банку. Прибиральниця прибирає у всіх кімнатах банку, роблячи при цьому запис в реєстраторській книзі  про те, що вона перебувала в даному приміщенні в певний період часу. Двірник доглядає за прилеглою територією банку, в тому числі і за гаражем.   

Банк охороняється цілодобово. В робочий час банк охороняється безпосередньо в самому приміщенні і ззовні – через контрольно-пропускний пункт. В неробочий час банк охороняє охоронець з КПП, який що півгодини оглядає територію банку. В кінці кожної зміни охоронець відмічається в спеціальному журналі.

До 9 години ранку всі працівники банк мають бути на своїх робочих місцях. Кожен працівник має посвідчення, яке його ідентифікує як працівника банку. Працівник може залишити своє робоче місце тільки після того як вимкне компютер.

Клієнти можуть потрапити в приміщення після 9 години ранку. Для відвідувачів вільні кімнати для касового обслуговування, приймальня для подання заяв про надання кредиту, чи внесення вкладу під депозит. Клієнт подає про себе довідкову інформацію і дальше працівники з відділу кредитування та фінансування та координації роботи банку розглядають його заяву. Після ухвалення заяви клієнта її узгоджують з керівництвом банку та працівником відділу безпеки інформації. Після остаточного ухвалення інформація про надання дебіторської чи кредиторської заборгованістю стає комерційною таємницею банку.

Керівник філії банку   займається безпосередньо  підписанням кредитних угод зі клієнтом. Дає розпорядження воду продажу  цінних паперів на фондовому ринку. Бере участь  у фондовій біржі та на аукціонах цінних паперів та металів Несе повну відповідальність за діяльністю банку. Видає нормативні акти щодо регулювання діяльності банку.  Робочий день розпочинається о 9 годині і триває до 18год., з   обідньою перервою з 13до 14години. Має доступ до всієї інформації банку, її носіїв, видає рекомендації щодо контролю за дотриманням банком конфіденційності інформації. Видає накази про діяльність банку, інструкції щодо використання технічних засобів і накажи щодо режиму роботи банку. Затверджує політику безпеки банку розроблену службою безпеки банку.

Керівник впорядкувує процеси фіксації секретної інформації в ділових паперах і організовує їх рух так, щоб викрадення конфіденційних документів було ускладнено настільки, щоб воно ставало економічно невигідним для викрадача.

Перед початком робочого дня відбувається вступна нарада, де керівник надає установи щодо робочого дня. Разом з бухгалтером та головним касиром обліковує касову готівку на початок робочого дня.  В своєму кабінеті разом з  бухгалтером відраховує певну суму готівки для каси з сейфу, відмічає інформацію в реєстраційному журналі бухгалтера та переносить цю готівку до каси з наглядом керівника служби безпеки. Касир відмічає в реєстраційному журналі інформацію про отримання готівки та про її суму.

Керівник фірми  встановлює порядок зберігання перших примірників договорів: договори зберігаються в сейфі банку в паперовому і цифровому виглядя. Після підписання договору, він повністю стирається з помяті комп’ютера, залишається тільки інформація підписання самого договору у базі даних підприємства; і роботи з ними. Відповідальність за збереження цієї інформації нес6е безпосередньо керівник установи, а також керівник відділу безпеки, пр. цьому складається акт про передачу інформації на зберігання. Видають їх лише під розписку з письмового дозволу керівника фірми. На особи, відповідальні за зберігання договорів і роботу з ними, покладають персональну відповідальність за втрату договорів або витік інформації з них.

Бухгалтер – обліковує  грошові ресурси банку на початок робочого дня та на кінець. Регулює діяльність інкасаторів. Робочий день розпочинається о 8:30.  Перед початком роботи бухгалтер з керівником банку, головним касиром під наглядом працівника служби безпеки здійснює облік готівки каси на початок дня. Готівка з сейфу банку, який знаходиться у приміщення керівника банку несе до касового відділення, де ці кошти розділяються на дві каси. Поповнення автоматичних касових апаратів здійснюється інкасаторами з узгодженням з бухгалтерією. Бухгалтер реєструє інкасаторську діяльність  і внесену(винесену) суму готівки.

Кредитні угоди банку надаються бухгалтеру на оцінку кредитоспроможності клієнта і на узгодження умов повернення кредиту банку і після цього надає кредитну угоду на підтвердження директором банку. Після узгодження сторонами умов угоди договір підписується керівником банку, бухгалтером і клієнтом у двох примірниках. Один примірник видається клієнту, другий – залишається у банку. Інформація про кредитну угоду знаходиться у комп’ютері приймальної кімнати, передається бухгалтерії та керівництву по локальній мережі. Роздруковується договір секретарем фірми на сканері. Після підписання угоди договір зтирається з комп’ютерів бухгалтерії, приймальної, дирекції і загалом  серверу банку. Паперовий договір зберігається у сейфі банку, який знаходиться у кабінеті архіву. З кабінету директора договір до архіву переноситься безпосередньо директором. Відповідальність за збереження договору несе керівник фірми, а також керівник служби безпеки.

Реєстратор вносить інформацію про надання кредиту до електронного обліку клієнтів. Реєструє всі господарсько-економічні процеси в діяльності банку шляхом постійного контролю та моніторингу клієнтів банку.

Договір про надання кредиту зберігається установою банку впродовж всього терміну кредитної угоди і ще 5 років після закінчення дії угоди. Після цього договір утилізується шляхом  спалювання. Відповідальність за утилізацію договорів несе секретар фірми

      Бухгалтер здійснює видачу заробітну плату працівникам банку. Складає звітність щодо діяльності банку, яку подає керівництву та контролюючим органам. Несе повну відповідальність про обіг готівки банку. Відповідає за своєчасну сплату податків. У своїй роботі користується комп’ютером. Працює у програмі 1С Бухгалтерія. Через канали мережі подає звіти до податкових та контролюючих органів.  

     Системний адміністратор –  робота з персоналом та клієнтами, організовує роботу  банку по співпраці з клієнтами. Контролює діяльність відділу касової діяльності та приймальної по роботі з існуючими та потенційними клієнтами. Володіє інформацією про клієнтську базу банку. Обов'язки адміністрації можуть бути сформульовані в таким чином: 

при прийомі або переведенні на роботу, пов'язану з комерційною таємницею, інструктувати працівників з питань дотримання встановленого порядку її захисту;

згоду співробітника на допуск до комерційної таємниці оформляти підпискою про її нерозголошення;

створити необхідні умови для виконання співробітниками встановленого на підприємстві порядку захисту комерційної таємниці(контролює процес встановлення камер відео спостереження, контролює процес встановлення пристроїв, які виявляють жучки підслуховування, контролює процес підписання та дотримання інструкцій роботи, яка пов’язана з комерційною таємницею банку, несе відповідальність за щоквартальною зміною паролів доступу до кабінетів, сейфів ти комп’ютерів бану персоналом;)

впровадити комплекс організаційних, економічних, інженерно-технічних і виховно-профілактичних заходів, спрямованих на попередження витоку конфіденційної комерційної інформації шляхом проведення навчальних семінарів для працівників, направлення працівників, які мають доступ до комерційної таємниці на курси по підвищенню кваліфікації для роботи з конфіденційною інформацією;

включати в посадові інструкції співробітників, що мають допуск до комерційної таємниці вимоги про її нерозголошення;

контролювати виконання співробітниками підприємства встановленого порядку захисту комерційної таємниці;

залучати до дисциплінарної відповідальності порушників порядку захисту комерційної таємниці;

Проводить підбір персоналу.

Співробітники служби координації діяльності банку слідкують за дотриманням встановлених норм банківської діяльності: автоматичне слідкувати за сумами, які пересилаються, номерами рахунків, місцем призначення, часом платежу, клієнтами яким надається та чи інша послуга банку.

Програміст встановлює програмне забезпечення на комп’ютери банку. Оновлює програмне забезпечення раз в півроку для комп’ютерів банку. Налагоджує неполадки які сталися з технічними і програмним забезпеченням.

Економіст банку надає рекомендації щодо суми надання кредиту, терміну дії угоди. Вивчає інформацію про фінансовий стан підприємства, надану йому бухгалтером та визначає суму неліквідних коштів, встановлює відсоткові ставки до кредитних угод.

Менеджер по роботі з клієнтами виконує роботі по залученні клієнтів та інформування про новинку банку існуючих клієнтів. Після надання консультацій по кредитні умови, якщо клієнт погоджується з ними) направляє інформацію до відділу координації діяльності банку, де зясовується чи благополучний цей клієнт, економіст оцінює платоспроможність клієнта та надає висновки щодо клієнта. Якщо ці висновки є прийнятними для банку, менеджер направляє клієнта та інформацію про нього до приймальної банку, де відбувається подальша робота з клієнтом.

При роботі з документами, що містять комерційну таємницю, слід дотримуватися певних правил, а саме:

  •  суворого контролю  через службу безпеки за допуском персоналу до секретних документів;
  •  призначення відповідальних осіб за контролем секретного діловодства і наділення їх відповідними повноваженнями;
  •  розроблення інструкції (пам’ятки) роботи з секретними документами, ознайомлення з нею відповідних співробітників фірми;
  •  контроль за прийняттям працівниками письмових зобов’язань про збереження комерційної таємниці банку;
  •  особистий контроль з боку керівника фірми за службами внутрішньої безпеки і секретного діловодства.

Система електроживленя банку забзпечує електронний документообіг та електронний рух грошових ресурсів банку.

Відповідальність персоналу:

користувач несе відповідальність за фізичну цілісність комп’ютера під час сеансу роботи з базою даних установи, а також за нерозголошення власного пароля;

адміністратор баз даних забезпечує конфіденційність інформації в базах даних, її логічну несуперечливість та цілісність;

керівник відповідає за розподіл обов’язків у сфері безпеки обробки інформації, 1попередження можливих загроз та профілактику засобів захисту.

Служба безпеки банку спільно із програмістами банку організовує систему захисту мережі банку, яка затверджується керівництвом:

  •  контроль доступу до всіх файлів та інших наборів даних, доступних із локальної мережі та інших мереж телекомунікації;
  •  контроль мережевого трафіка;
  •  ефективну ідентифікацію і автентифікацію користувачів, що отримують доступ до  вузла мережі;
  •  контроль доступу до ресурсів локального вузла, доступного для використання користувачам мережі;
  •  контроль за розповсюдженням інформації у межах локальної та пов’язаних з нею інших мереж.
  •  убезпечити базу даних захисту (інформацію про користувачів, їхні повноваження, а також про захист об’єктів системи);
  •  організація щоквартальної змінити паролів доступу;

Робочі приміщення, службові кабінети закритими для відвідування сторонніми особами. Всіх відвідувачів, крім клієнтів і ділових партнерів, зустрічають і супроводжують по території фірми служби внутрішньої. Прийом відвідувачів і роботу з ними здійснюють у приймальні банку.

Кожний існуючий клієнт банку при проведенні банківськи операцій ідентифікується для перевірки особи клієнта. Для цього розробляється система ідентифікації за допомогою перевірки PIN-кодів корточок клієнтів. Спосіб перевірки пароля автоматичним касовим апаратом полягає в тому, що у користувача запитується персональний ідентифікатор PIN, який перетворюється за певним алгоритмом з використанням таємного ключа, а потім порівнюється з значенням PIN, що зберігається на картці, при цьому відсутні копії PIN на головному комп’ютері, що виключає його розкриття персоналом банку; відсутність передачі PIN між АКА та головним комп’ютером банку, що виключає його перехоплення зловмисниками чи нав’язування результатів порівняння. Перевірку пін-коду здійснює служба безпеки банку.

Генерація PIN з номера рахунку. Спочатку номер рахунку клієнта доповнюється нулями або   до 16 шістнадцятиричних цифр (8 байтів). Потім одержані 8 байтів шифруються з використанням таємного ключа за алгоритмом DES. З одержаного шифртексту (8 байт), починаючи з молодших байтів, виділяються по 4 біти. Якщо значення числа, утвореного цими бітами, менше за 10, то одержана цифра включається в PIN, інше значення відкидається. Отже, обробляються всі 8 байтів (64 біти). Якщо в результаті обробки не вдалося одержати необхідну кількість десяткових цифр, з невикористаних комбінацій віднімається 10.

Для залучення кредитів та автоматизації обліку кредитних ресерсів банк надає клінтам кредитні карточки для розрахунку, типу  VISA .  При оплаті з допомогою КК банк

відкриває покупцю кредит на суму покупки і потім через 25 днів вимагає оплати кредитного рахунку. В разі прострочення оплати кредиту клієнту нараховуються відсотки за прострочення платежу.

Для дебіторських операцій банк видає клієнту дебіторську картку, за допомогою якої клієнт може вносити вклад, знімати гроші, розраховуватися корткою за покупкиі просто перевіряти баланс картки та слідкувати про нарахування дебіторських відсотків за вклад.

Бан розробляє захист пластикови карток від підробки. Для цього банк використовує нанесення на магнітну стрічку картки у спеціальному місці малюнку, а також те, що одна магнітна стрічка містить різні рівні намагнічення. Пластикові кортки банк замовляє у поліграфкомбінат «Україна» , з зазначеними умовами виробництва  у договорі.

Розділ 2. Аналіз загроз  інформаційним активам банку банку

 

2.1. Методика ранжування вразливостей

Усі уразливості мають різну міру небезпеки , яку можна кількісно оцінити на основі ранжирування. При цьому критеріями порівняння (показниками) можна вибрати:

  1.  фатальність ,що визначає міру впливу уразливості на непереборність наслідків   реалізації загрози; для об'єктивних уразливостей — це міра інформативності, тобто здатність уразливості повністю (без спотворення) передати корисний інформаційний сигнал; для суб’єктивних вразливостей – це міра професіоналізму персоналу, тобто здатність вразливості реалізуватися через дії працівників;  для випадкових вразливостей – це міра особливості обстановки навколишнього середовища.
  2.  доступність , що визначає зручність (можливість) використання уразливості джерелом загроз (масогабаритні розміри, складність, вартість необхідних засобів, можливість використання неспеціалізованої апаратури);
  3.  кількість , що визначає кількість елементів об'єкта, яким характерна та чи інша уразливість.

Коефіцієнт (Kdan)f  для окремої уразливості можна визначити як відношення добутку наведених вище показників до максимального значення 125:

Кожний показник оцінюється експертно-аналітичним методом за п'ятибальною системою, причому 1 відповідає мінімальній мірі впливу оцінюваного показника на небезпеку використання уразливості, а 5 — максимальній.

Для оцінки можливості використання вразливості джерелом загрози мною була розроблена методика ранжування вразливостей.

  1.  Фатальність, що визначає міру впливу вразливості на непереборність наслідків реалізації загрози: можливість передати корисний інформаційний сигнал для об’єктивних вразливостей; оцінка дій співробітників на відкритість вразливості; вплив середовища на можливість використати вразливість.
    1.  Міра можливості передати корисний сигнал через вразливість:
  2.  Через вразливість неможливо передати корисний інформаційний сигнал – 1;
  3.  Через вразливість практично неможливо  передати корисний інформаційний сигнал, але зі значними спотвореннями – наслідки реалізації загрози переборні і не потребують значних витрат – 2;
  4.  Через вразливість можливо  передати корисний інформаційний сигнал, але із спотвореннями – наслідки реалізації загрози переборні , але потребують не значних витрат – 3;
  5.  Через вразливість можливо  передати корисний інформаційний сигнал, з частковими спотвореннями – наслідки реалізації загрози практично не переборні і  потребують значних затрат – 4;
  6.  Вразливість повністю   передає корисний інформаційний сигнал без спотвореннями – наслідки реалізації загрози непереборні і  потребують значних затрат – 5;
    1.  оцінка дій співробітників на відкритість вразливості, яка визначається кваліфікацією співробітників, їхнім ставленням до роботи і емоційним станом:
  7.  1 рівень: працівники високо кваліфіковані, відповідально ставляться до своєї роботи, емоційно стійкі і, як наслідок, використати вразливість фактично неможливо – 1;
  8.  2 рівень: кваліфікація працівників на високому рівні, але через необережне ставлення до роботи вразливість можна використати для отримання інформації, що призведе до незначних втрат – 2;
  9.  3 рівень: кваліфікація працівників на відповідному рівні до їх посади , але через необережне ставлення до роботи  вразливість можна використати для отримання інформації, що призведе до майже непереборних наслідків незначних втрат – 3;
  10.     4 рівень: кваліфікація працівників не відповідає рівню їх посади і через халатне  ставлення до роботи вразливість можна використати для отримання інформації, що призведе до непереборних наслідків  і до значних витрат на відновлення об’єкта захисту – 4;
  11.  5 рівень: працівники некваліфіковані і необережно ставляться до роботи вразливість можна використати для отримання інформації, що призведе до непереборних наслідків і витрати на відновлення об’єкта будуть рівні створенню нового об’єкту захисту  – 5;
    1.  Оцінка середовища, що оточує об’єкт захисту:
  12.  Безпечне середовище: відсутність будь-яких катаклізмів, що  можуть призвести до використання вразливостей і виникненню нових слабких місць – 1;
  13.  Практично безпечне середовище:відсутність катаклізми, але внаслідок форс-мажорних обставин вразливість можна з легкістю використати – 2;
  14.  Помірно безпечне середовище: тенденція показує на відсутність катаклізмів, але об’єкт захисту може бути втрачений внаслідок збою програмного чи технічного забезпечення – 3;
  15.  Небезпечні умови: середовищу притаманні природні катаклізми, через які можна використати вразливість – 4ж
  16.  Дуже небезпечне середовище:об’єкт захисту знаходиться у зоні стихійних лих, що може призвести до використання вразливості і отримання інформації без спотворень і без труднощів – 5.
  17.  Доступність, що визначає зручність використання вразливості джерелом загроз:
    1.   Ступінь відкритості вразливості через особливість побудови приміщення чи використання програмного і технічного забезпечення:
  18.  1 ступінь: вразливість відкрита – 5;
  19.  2 ступінь: слабо захищена вразливість – 4;
  20.  3 ступінь:  вразливість майже незахищена  – 3;
  21.  4 ступінь:  захищена вразливість – 2;
  22.  5 ступінь: використати вразливість для атаки практично неможливо – 1;
    1.  Доступність до вразливості що визначається діями працівників:
  23.  Вразливість практично недоступна: внаслідок дії працівників використати вразливість неможливо – 1;
  24.  Частково недоступна вразливість: внаслідок дії працівників використати вразливість можливо, але із значними труднощами – 2;
  25.  Майже недоступна вразливість: внаслідок дії працівників використати вразливість можливо, але з труднощами – 3;
  26.  Доступна вразливість: дії працівників призводять до можливості використання вразливості – 4;
  27.  Високо доступна вразливість: внаслідок дії працівників відкрито використовується вразливість – 5;
    1.  Можливість використати вразливість через форс-мажорні обставини:
  28.  Неможливо використати вразливість: внаслідок стихійного лиха джерело загроз на може використати вразливість – 1;
  29.   Практично неможливо використати вразливість: внаслідок стихійного лиха доступ до вразливості послаблюється – 2;
  30.  можливо використати вразливість: внаслідок стихійного лиха вразливість стає більш доступною для джерела загроз, але реалізація атаки потребує значних витрат – 3;
  31.  практично доступна  вразливість: внаслідок стихійного лиха джерело загроз  може використати вразливість – 4;
  32.  доступна вразливість: внаслідок стихійного лиха втрачається захист вразливості – 5;
  33.  Кількість, що визначає кількість елементів об’єкта, яким характерна та чи інша вразливість:
  34.  Мінімальна кількість елементів. Тобто фактична відсутність вразливостей для об’єкта захисту – 1;
  35.  Вразливості зовнішніх елементів захисту – 2;
  36.  Внутрішні вразливості елементів захисту – 3;
  37.  Вразливості характері для зовнішніх і внутрішніх елементі захисту об’єкта - 4;
  38.  Вразливості характерні для всієї системи захисту об’єкта-  5.


2.2. Аналіз загроз інформаційному активу – інформації про умову кредитних угод

Загроза інформаційному активу  - інформації про умови кредитних угод

Керівник банку

Загроза

Механізм реалізації загрози

Ранжування джерел загроз

Ранжування вразливостей

Актуальність

Конфіденційності - втрата

Втрата інформації про умови кредитних угод з сейфу банку, який знаходиться в кабінеті директора (кімната №8), через відсутність паролю доступу до сейфу банку

=1

=5

=5

=1

=2

=1

Загроза не актуальна

0,2

0,016

Втрата інформації про умови кредитних угод з сейфу банку, який знаходиться в кабінеті директора (кімната №8), через відсутність паролю захисту дверей до кабінету

=1

=5

=5

0,2

=1

=2

=1

0,016

Загроза не актуальна

Втрата інформації про умови кредитних угод з сейфу банку в кабінеті директора, через  халатне ставлення до роботи керівника банку: угода після підписання не була поставлена до сейфу і під час прибирання кабінету прибиральниця ознайомилась з угодою

=1

=5

=5

0,2

=1

=2

=1

0,016

Загроза не актуальна

Втрата інформації про умови кредитних угод з сейфу банку в кабінеті директора, через  халатне ставлення до роботи керівника банку: угода після підписання не була поставлена до сейфу і клієнти банку зможе ознайомитись з умовою кредитної угоди

=1

=5

=5

0,16

=1

=2

=1

0,016

Загроза не актуальна

Втрата інформації про умови кредитних угод з сейфу банку в кабінеті директора, через відсутність розмежування прав доступу до кабінетів банку

=1

=5

=5

0,2

=1

=2

=1

0,016

Загроза не актуальна

Втрата інформації про умови кредитних угод з сейфу банку, який знаходиться в кабінеті архіву банку(кімната №5), через  відсутність парольної системи на дверях архіву

=1

=5

=5

0,2

=1

=2

=1

0,016

Загроза не актуальна

Втрата інформації про умови кредитних угод з сейфу банку, який знаходиться в кабінеті архіву банку(кімната №5), через  відсутність парольної системи доступу до сейфу банку

=1

=5

=5

0,2

=1

=2

=1

0,016

Загроза не актуальна

Втрата інформації про умови кредитних угод з сейфу банку, який знаходиться в кабінеті архіву банку(кімната №5), через  відсутність розмежування прав доступу до інформаційного активу для працівників банку

=1

=5

=5

0,2

=1

=2

=1

0,016

Загроза не актуальна

Цілісності - модифікації

Через відсутність кодового замка на сейфі банку, який знаходиться у кабінеті директора інформація про умови кредитних угод була модифікована

=1

=5

=5

0,2

=1

=2

=1

0,016

Загроза не актуальна

Через відсутність кодового замка на дверях до кабінету директора банку інформація про умови кредитних угод була модифікована

=1

=5

=5

0,2

=1

=2

=1

0,016

Загроза не актуальна

Інформація про умови кредитних угод була модифікована через відсутність розмежування прав доступу до інформаційного активу

=1

=5

=5

0,2

=1

=2

=1

0,016

Загроза не актуальна

Через відсутність кодового замка на дверях до кабінету архіву банку інформація про умови кредитних угод була модифікована

=1

=5

=5

0,2

=1

=2

=1

0,016

Загроза не актуальна

Через відсутність кодового замка на сейфі в кабінеті архіву банку інформація про умови кредитних угод була модифікована

=1

=5

=5

0,2

=1

=2

=1

0,016

Загроза не актуальна

Цілісності – заперечення дійсності інформації

Заперечення дійсності інформації про умови кредитних угод відбулась через відсутність розмежування прав доступу до інформаційного активу

=1

=5

=5

0,2

=1

=2

=1

0,016

Загроза не актуальна

Заперечення дійсності інформації про умови кредитних угод відбулось через відсутність кодової системи доступу до сейфу банку в кабінеті директора банку

=1

=5

=5

0,2

=1

=2

=1

0,016

Загроза не актуальна

Заперечення дійсності кредитних угод відбулось через відсутність кодової системи доступу на дверях банку

=1

=5

=5

0,2

=1

=2

=1

0,016

Загроза не актуальна

Заперечення дійсності кредитних угод відбулось через відсутність кодової системи доступу на дверях архіву банку

=1

=5

=5

0,2

=1

=2

=1

0,016

Загроза не актуальна

Заперечення дійсності кредитних угод відбулось через відсутність кодової системи доступу до сейфу банку, який знаходиться в кабінеті архіву банку

=1

=5

=5

0,2

=1

=2

=1

0,016

Загроза не актуальна

Цілісності – нав’язування фальшивої інформації

Загроза не актуальна

Загрози доступності – блокування інформації

Доступ до інформації про умови кредитних угод було заблоковано  через відсутність розмежування прав доступу до інформаційного активу  

=1

=5

=5

0,2

=1

=2

=1

0,016

Загроза не актуальна

Доступ до інформації про умови кредитних угод було заблоковано через злом кодового замка сейфу банку, який знаходиться у кабінеті директора

=1

=5

=5

0,2

=1

=2

=1

0,016

Загроза не актуальна

 Доступ до інформації про умови кредитних угод було заблоковано через злом кодового замка на дверях до кабінету директора банку

=1

=5

=5

0,2

=1

=2

=1

0,016

Загроза не актуальна

Доступ до інформації про умови кредитних угод було заблоковано через злом кодового замка на дверях до кабінету архіву банку

=1

=5

=5

0,2

=1

=2

=1

0,016

Загроза не актуальна

Доступ до інформації про умови кредитних угод було заблоковано через злом кодового замка в сейфі , який знаходиться в кабінеті  архіву банку

=1

=5

=5

0,2

=1

=2

=1

0,016

Загроза не актуальна

Доступності – знищення інформації

Інформація про умови кредитних угод була знищена з сейфу банку, який знаходиться в кабінеті директора, через відсутність розмежування прав доступу до інформаційного активу

=1

=5

=5

0,2

=1

=2

=1

0,016

Загроза не актуальна

Інформація про умови кредитних угод була знищена з сейфу банку, який знаходиться в кабінеті директора, через відсутність кодового замка на дверях до кабінету директора

=1

=5

=5

0,2

=1

=2

=1

0,016

Загроза не актуальна

Інформація про умови кредитних угод була знищена з сейфу банку, який знаходиться в кабінеті директора, через відсутність кодового замка в сейфі, який знаходиться в кабінеті директора

=1

=5

=5

0,2

=1

=2

=1

0,016

Загроза не актуальна

Інформація про умови кредитних угод була знищена з сейфу банку, який знаходиться в кабінеті архіву, через відсутність кодового замка на дверях до кабінету архіву банку

=1

=5

=5

0,2

=1

=2

=1

0,016

Загроза не актуальна

Інформація про умови кредитних угод була знищена з сейфу банку, який знаходиться в кабінеті архіву, через відсутність кодового замка в сейфі

=1

=5

=5

0,2

=1

=2

=1

0,016

Загроза не актуальна

Головний бухгалтер

Конфіденційність – крадіжка

Викрадення інформації про кредитні угоди з сейфу, який знаходиться в кабінеті директора через відсутність кодового замка на сейфі

=5

=5

=5

=1

=1

=1

Загроза не актуальна

1

0,008

Викрадення інформації про кредитні угоди з сейфу, який знаходиться в кабінеті директора через відсутність кодового замка на дверях до кабінету директора

=5

=5

=5

1

=1

=1

=1

0,008

Загроза не актуальна

Викрадення інформації про кредитні угоди з сейфу, який знаходиться в кабінеті архіву (кімната №5)через відсутність кодового замка на сейфі

=5

=5

=5

1

=1

=5

=1

0,04

Загроза не актуальна

Викрадення інформації про кредитні угоди з сейфу, який знаходиться в кабінеті архіву (кімната №5)через відсутність кодового замка на дверях до архіву

=5

=5

=5

1

=1

=1

=1

0,008

Загроза не актуальна

Конфіденційності - втрата

Головний бухгалтер не має доступу до даного роду інформації

=5

=5

=3

0,24

=1

=1

=1

0,04

Загроза не актуальна

Доступності – знищення інформації

Оскільки бухгалтер має доступ до кімнати №5 – архіву він може знищити інформаційний актив, але для його посади це не  актуально

=5

=5

=3

0,24

=1

=1

=1

0,04

Загроза не актуальна

Доступності – блокування інформації

 В силу відповідальності яку несе бухгалтер будь-яке блокування інформації є для нього не актуальним

=5

=5

=3

0,24

=1

=1

=1

0,04

Загроза не актуальна

Цілісності - модифікація

Володіючи доступом до кімнати №5 бухгалтер може спотворити інформацію про умови кредитних угод

=5

=5

=3

0,24

=1

=1

=1

0,04

Загроза не актуальна

Через халатність керівника банку – залишення угоди на робочому столі в своєму кабінеті, бухгалтер матиме змогу спотворити інформаційний актив

=5

=5

=3

0,24

=1

=1

=1

0,04

Загроза не актуальна

Цілісності – заперечення автентичності

В силу відповідальності яку несе бухгалтер будь-яке блокування інформації є для нього не актуальним

=5

=5

=3

0,24

=1

=1

=1

0,04

Загроза не актуальна

Цілісності – нав’язування фальшивої інформації

Під час підписання угоди, керівник банку вийшов з кабінету не заховав зразок угоди до сейфу і бухгалтер мав змогу поміняти умови угод

=5

=5

=3

=1

=1

=1

Загроза не актуальна

Системний адміністратор

Конфіденційності – втрата

Втрата конфіденційності інформації про умови кредитних угод через відсутність підписки про нерозголошення комерційної таємниці співробітниками, підписання якої контролюється системним адміністратором

=5

=5

=5

1

=2

=5

=4

0,32

Загроза  актуальна

Втрата конфіденційної інформації про умови кредитних угод  через відсутність контролю збоку системного адміністратора за процесом встановлення камер відео спостереження у банку

=5

=5

=5

1

=2

=5

=4

0,32

Загроза  актуальна

Втрата конфіденційності інформації через відсутність навчальних семінарів та курсів підготовки фахівців для роботи з комерційною таємницею, процес проведення яких контролюється системним адміністратором   

=5

=5

=5

1

=2

=5

=4

0,32

Загроза  актуальна

Втрата конфіденційності інформації через те, що адміністратор підібрав некваліфікованих працівників

=5

=5

=5

1

=2

=5

=4

0,32

Загроза  актуальна

Втрата конфіденційності інформації через, що працівники несвоєчасно поміняли пароль доступу до систем банку: дверях, сейфах , комп’ютерах.

=5

=5

=5

1

=2

=5

=4

0,32

Загроза  актуальна

Конфіденційності – крадіжка

Викрадення інформації про умови кредитних угод з сейфу банку, який знаходиться в кабінеті директора банку, через відсутність паролю доступу до кабінету директора

=5

=1

=1

0,04

=1

=1

=1

0,008

Загроза не актуальна

Викрадення інформації з сейфу банку, який знаходиться в кабінеті директора банку через відсутність паролю доступу на сейфі, де зберігається інформація

=5

=1

=1

0,04

=1

=1

=1

0,008

Загроза не актуальна

Викрадення інформації з сейфу, який знаходиться в кабінеті директора через відсутність камер відео спостереження за периметром банку

=5

=1

=1

0,04

=1

=1

=1

0,008

Загроза не актуальна

Викрадення інформації з сейфу, який знаходиться в кабінеті директора через відсутність відео  спостереження за внутрішньою територією банку

=5

=1

=1

0,04

=1

=1

=1

0,008

Загроза не актуальна

Викрадення інформації з сейфу банку,який знаходиться в кабінеті директора через зловживання посадовими обов’язками системним адміністратором

=5

=5

=5

1

=5

=5

=5

1

Загроза актуальна

Викрадення інформації про умови кредитних угод з сейфу банку, який знаходиться в кабінеті архіву банку, через відсутність паролю доступу до кабінету архіву

=5

=1

=1

0,04

=1

=1

0,008

Загроза не актуальна

Викрадення інформації з сейфу банку, який знаходиться в кабінеті архіву банку через відсутність паролю доступу на сейфі, де зберігається інформація

=5

=1

=1

0,04

=1

=1

=1

0,008

Загроза не актуальна

Викрадення інформації з сейфу, який знаходиться в кабінеті архіву через відсутність камер відео спостереження за периметром банку

=5

=1

=1

0,04

=1

=1

=1

0,008

Загроза не актуальна

Викрадення інформації з сейфу, який знаходиться в кабінеті архіву через відсутність відео  спостереження за внутрішньою територією банку

=5

=1

=1

0,04

=1

=1

=1

0,008

Загроза не актуальна

Доступності  - знищення інформації

Знищення інформації через те, що відсутня парольна система доступу до приміщень банку

=5

=4

=4

0,64

=1

=3

=5

0,12

Загроза актуальна

Доступності – блокування інформації

Блокування доступу до  інформації через те, що відсутня парольна система доступу до приміщень банку

=5

=4

=4

0,64

=1

=3

=5

0,12

Загроза актуальна

Цілісності – спотворення

Спотворення інформації  і через те, що відсутня парольна система доступу до приміщень банку

=5

=4

=4

0,64

=1

=3

=5

0,12

Загроза актуальна

Цілісності – нав’язування фальшивої інформації

Навязуванн фальшивої інформації   через те, що відсутня парольна система доступу до приміщень банку

=5

=4

=4

0,64

=1

=3

=5

0,12

Загроза актуальна

Цілісності – заперечення автентичності

Заперечення автентичності  інформації через те, що відсутня парольна система доступу до приміщень банку

=5

=4

=4

0,64

=1

=3

=5

0,12

Загроза актуальна

Програміст

Конфіденційності – крадіжка

Через непрофесійність дій програміста – встановлення неробочого програмного забезпечення інформація про умови кредитних угод була викрадена

=5

=4

=4

0,64

=1

=3

=5

0,12

Загроза актуальна

Конфіденційності – втрата

Через непрофесійність дій програміста – встановлення неробочого програмного забезпечення інформація про умови кредитних угод була втрачена

=5

=4

=4

0,64

=1

=3

=5

0,12

Загроза актуальна

Доступності – знищення інформації

Через непрофесійність дій програміста – встановлення неробочого програмного забезпечення інформація про умови кредитних угод була знищена

=5

=4

=4

0,64

=1

=3

=5

0,12

Загроза актуальна

Доступності – блокування інформації

Через непрофесійність дій програміста – встановлення неробочого програмного забезпечення інформація про умови кредитних угод була заблокована

=5

=4

=4

0,64

=1

=3

=5

0,12

Загроза актуальна

Цілісності – спотворення

Через непрофесійність дій програміста – встановлення неробочого програмного забезпечення інформація про умови кредитних угод була спотворена

=5

=4

=4

0,64

=1

=3

=5

0,12

Загроза актуальна

Цілісності – заперечення автентичності

Через непрофесійність дій програміста – встановлення неробочого програмного забезпечення інформація про умови кредитних угод була заперечена щодо дійсності

=5

=4

=4

0,64

=1

=3

=5

0,12

Загроза актуальна

Цілісності – нав’язування фальшивої інформації

Через непрофесійність дій програміста – встановлення неробочого програмного забезпечення інформація про умови кредитних угод була сфальсифікована

=5

=4

=4

0,64

=1

=3

=5

0,12

Загроза актуальна

Працівник служби безпеки

Конфіденційності – крадіжка

Через непрофесійність дій працівника служби безпеки – не була розроблена політика безпеки для банку інформація про умови кредитних угод була викрадена

=5

=4

=4

0,64

=1

=3

=5

0,12

Загроза актуальна

Конфіденційності – втрата

Через непрофесійність дій працівника служби безпеки – не була розроблена політика безпеки для банку інформація про умови кредитних угод була втрачена

=5

=4

=4

0,64

=1

=3

=5

0,12

Загроза актуальна

Доступності – знищення інформації

Через непрофесійність дій працівника служби безпеки – не була розроблена політика безпеки для банку інформація про умови кредитних угод була знищена

=5

=4

=4

0,64

=1

=3

=5

0,12

Загроза актуальна

Доступності – блокування інформації

Через непрофесійність дій працівника служби безпеки – не була розроблена політика безпеки для банку інформація про умови кредитних угод була заблокована

=5

=4

=4

0,64

=1

=3

=5

0,12

Загроза актуальна

Цілісності – спотворення

Через непрофесійність дій працівника служби безпеки – не була розроблена політика безпеки для банку інформація про умови кредитних угод була спотворена

=5

=4

=4

0,64

=1

=3

=5

0,12

Загроза актуальна

Цілісності – заперечення автентичності

Через непрофесійність дій працівника служби безпеки – не була розроблена політика безпеки для банку інформація про умови кредитних угод була заперечена

=5

=4

=4

0,64

=1

=3

=5

0,12

Загроза актуальна

Цілісності – нав’язування фальшивої інформації

Через непрофесійність дій працівника служби безпеки – не була розроблена політика безпеки для банку інформація про умови кредитних угод була сфальсифікована

=5

=4

=4

0,64

=1

=3

=5

0,12

Загроза актуальна

Менеджери по роботі з клієнтами

Конфіденційності – крадіжка

Не має доступу до конфіденційної інформації

Не актуальна

Конфіденційності – втрата

Не має доступу до конфіденційної інформації

Не актуальна

Доступності – знищення інформації

Не має доступу до конфіденційної інформації

Не актуальна

Доступності – блокування інформації

Не має доступу до конфіденційної інформації

Не актуальна

Цілісності – спотворення

Не має доступу до конфіденційної інформації

Не актуальна

Цілісності – заперечення автентичності

Не має доступу до конфіденційної інформації

Не актуальна

Цілісності – нав’язування фальшивої інформації

Не має доступу до конфіденційної інформації

Не актуальна

Економіст

Конфіденційності – крадіжка

Внаслідок непрофесійних дій економіста інформація була викрадена

=5

=4

=4

0,64

=1

=3

=5

0,12

Загроза актуальна

Конфіденційності – втрата

Внаслідок непрофесійних дій економіста інформація була втрачена

=5

=4

=4

0,64

=1

=3

=5

0,12

Загроза актуальна

Доступності – знищення інформації

Внаслідок непрофесійних дій економіста інформація була знищена

=5

=4

=4

0,64

=1

=3

=5

0,12

Загроза актуальна

Доступності – блокування інформації

Внаслідок непрофесійних дій економіста інформація була заблокована

=5

=4

=4

0,64

=1

=3

=5

0,12

Загроза актуальна

Цілісності – спотворення

Внаслідок непрофесійних дій економіста інформація була спотворена

=5

=4

=4

0,64

=1

=3

=5

0,12

Загроза актуальна

Цілісності – заперечення автентичності

Внаслідок непрофесійних дій економіста відбулось заперечення автентичності інформації

=5

=4

=4

0,64

=1

=3

=5

0,12

Загроза актуальна

Цілісності – нав’язування фальшивої інформації

Внаслідок непрофесійних дій економіста відбулось нав’язування фальшивої інформації

=5

=4

=4

0,64

=1

=3

=5

0,12

Загроза актуальна

Касир

Конфіденційності – крадіжка

Не має доступу до конфіденційної інформації

Не актуальна

Конфіденційності – втрата

Не має доступу до конфіденційної інформації

Не актуальна

Доступності – знищення інформації

Не має доступу до конфіденційної інформації

Не актуальна

Доступності – блокування інформації

Не має доступу до конфіденційної інформації

Не актуальна

Цілісності – спотворення

Не має доступу до конфіденційної інформації

Не актуальна

Цілісності – заперечення автентичності

Не має доступу до конфіденційної інформації

Не актуальна

Цілісності – нав’язування фальшивої інформації

Не має доступу до конфіденційної інформації

Не актуальна

Реєстратор

Конфіденційності – крадіжка

Не має доступу до конфіденційної інформації

Не актуальна

Конфіденційності – втрата

Не має доступу до конфіденційної інформації

Не актуальна

Доступності – знищення інформації

Не має доступу до конфіденційної інформації

Не актуальна

Доступності – блокування інформації

Не має доступу до конфіденційної інформації

Не актуальна

Цілісності – спотворення

Не має доступу до конфіденційної інформації

Не актуальна

Цілісності – заперечення автентичності

Не має доступу до конфіденційної інформації

Не актуальна

Цілісності – нав’язування фальшивої інформації

Не має доступу до конфіденційної інформації

Не актуальна

Прибиральники

Конфіденційності – крадіжка

Не має доступу до конфіденційної інформації

Не актуальна

Конфіденційності – втрата

Не має доступу до конфіденційної інформації

Не актуальна

Доступності – знищення інформації

Не має доступу до конфіденційної інформації

Не актуальна

Доступності – блокування інформації

Не має доступу до конфіденційної інформації

Не актуальна

Цілісності – спотворення

Не має доступу до конфіденційної інформації

Не актуальна

Цілісності – заперечення автентичності

Не має доступу до конфіденційної інформації

Не актуальна

Цілісності – нав’язування фальшивої інформації

Не має доступу до конфіденційної інформації

Не актуальна

Двірник

Конфіденційності – крадіжка

Не має доступу до конфіденційної інформації

Не актуальна

Конфіденційності – втрата

Не має доступу до конфіденційної інформації

Не актуальна

Доступності – знищення інформації

Не має доступу до конфіденційної інформації

Не актуальна

Доступності – блокування інформації

Не має доступу до конфіденційної інформації

Не актуальна

Цілісності – спотворення

Не має доступу до конфіденційної інформації

Не актуальна

Цілісності – заперечення автентичності

Не має доступу до конфіденційної інформації

Не актуальна

Цілісності – нав’язування фальшивої інформації

Не має доступу до конфіденційної інформації

Не актуальна

Охоронець

Конфіденційності – крадіжка

Не має доступу до конфіденційної інформації

Не актуальна

Конфіденційності – втрата

Не має доступу до конфіденційної інформації

Не актуальна

Доступності – знищення інформації

Не має доступу до конфіденційної інформації

Не актуальна

Доступності – блокування інформації

Не має доступу до конфіденційної інформації

Не актуальна

Цілісності – спотворення

Не має доступу до конфіденційної інформації

Не актуальна

Цілісності – заперечення автентичності

Не має доступу до конфіденційної інформації

Не актуальна

Цілісності – нав’язування фальшивої інформації

Електрик

Конфіденційності – крадіжка

Не має доступу до конфіденційної інформації

Не актуальна

Конфіденційності – втрата

Не має доступу до конфіденційної інформації

Не актуальна

Доступності – знищення інформації

Не має доступу до конфіденційної інформації

Не актуальна

Доступності – блокування інформації

Не має доступу до конфіденційної інформації

Не актуальна

Цілісності – спотворення

Не має доступу до конфіденційної інформації

Не актуальна

Цілісності – заперечення автентичності

Не має доступу до конфіденційної інформації

Не актуальна

Цілісності – нав’язування фальшивої інформації

Не має доступу до конфіденційної інформації

Не актуальна

Зовнішній антропогенний фактор

 

Клієнт

Конфіденційності – крадіжка

Через відсутність парольної систем доступу до приміщень банку клієнт викрав інформацію

=5

=4

=4

0,64

=1

=3

=5

0,12

Загроза актуальна

Конфіденційності – втрата

Не актуальна

Доступності – знищення інформації

Через відсутність парольної систем доступу до приміщень банку клієнт знищив інформацію

=5

=4

=4

0,64

=1

=3

=5

0,12

Загроза актуальна

Доступності – блокування інформації

Через відсутність парольної систем доступу до приміщень банку клієнт заблокував доступ до інформації

=5

=4

=4

0,64

=1

=3

=5

0,12

Загроза актуальна

Цілісності – спотворення

Через відсутність парольної систем доступу до приміщень банку клієнт спотворив інформацію

=5

=4

=4

0,64

=1

=3

=5

0,12

Загроза актуальна

Цілісності – заперечення автентичності

Через відсутність парольної систем доступу до приміщень банку клієнт заперечив автентичність  інформації

=5

=4

=4

0,64

=1

=3

=5

0,12

Загроза актуальна

Цілісності – нав’язування фальшивої інформації

Через відсутність парольної систем доступу до приміщень банку клієнт сфальсифікував інформацію

=5

=4

=4

0,64

=1

=3

=5

0,12

Загроза актуальна

Працівники контролюючих служб

Конфіденційності – крадіжка

Через відсутність парольної систем доступу до приміщень банку працівник контролюючих служб викрав інформацію

=5

=4

=4

0,64

=1

=3

=5

0,12

Загроза актуальна

Конфіденційності – втрата

Не актуальна

Доступності – знищення інформації

Через відсутність парольної систем доступу до приміщень банку контролюючих служб знищив інформацію

=5

=4

=4

0,64

=1

=3

=5

0,12

Загроза актуальна

Доступності – блокування інформації

Через відсутність парольної систем доступу до приміщень банку працівник контролюючих служб заблокував доступ до інформації

=5

=4

=4

0,64

=1

=3

=5

0,12

Загроза актуальна

Цілісності – спотворення

Через відсутність парольної систем доступу до приміщень банку працівник контролюючих служб спотворив інформацію

=5

=4

=4

0,64

=1

=3

=5

0,12

Загроза актуальна

Цілісності – заперечення автентичності

Через відсутність парольної систем доступу до приміщень банку контролюючих служб заперечив автентичність  інформації

=5

=4

=4

0,64

=1

=3

=5

0,12

Загроза актуальна

Цілісності – нав’язування фальшивої інформації

Через відсутність парольної систем доступу до приміщень банку працівник контролюючих служб сфальсифікував інформацію

=5

=4

=4

0,64

=1

=3

=5

0,12

Загроза актуальна

Хакери

Конфіденційності – крадіжка

Викрадення інформації   із комп’ютерів банку, використовуючи  інтернет підключення через відсутність стійкого захисту системи комп’ютерного забезпечення банку.

=5

=4

=4

0,64

=1

=3

=5

0,12

Загроза актуальна

Конфіденційності – втрата

Не актуальна

Доступності – знищення інформації

Знищення інформації   із комп’ютерів банку, використовуючи  інтернет підключення через відсутність стійкого захисту системи комп’ютерного забезпечення банку.

=5

=4

=4

0,64

=1

=3

=5

0,12

Загроза актуальна

Доступності – блокування інформації

Блокування доступу до інформації із комп’ютерів банку, використовуючи  інтернет підключення через відсутність стійкого захисту системи комп’ютерного забезпечення банку.

=5

=4

=4

0,64

=1

=3

=5

0,12

Загроза актуальна

Цілісності – спотворення

Спотворення  інформації   із комп’ютерів банку, використовуючи  інтернет підключення через відсутність стійкого захисту системи комп’ютерного забезпечення банку.

=5

=4

=4

0,64

=1

=3

=5

0,12

Загроза актуальна

Цілісності – заперечення автентичності

Заперечення автентичності інформації   із комп’ютерів банку, використовуючи  інтернет підключення через відсутність стійкого захисту системи комп’ютерного забезпечення банку.

=5

=4

=4

0,64

=1

=3

=5

0,12

Загроза актуальна

Цілісності – нав’язування фальшивої інформації

Фальсифікація  інформації   із комп’ютерів банку, використовуючи  інтернет підключення через відсутність стійкого захисту системи комп’ютерного забезпечення банку.

=5

=4

=4

0,64

=1

=3

=5

0,12

Загроза актуальна

Внутрішній техногенний фактор

Збій програмного забезпечення

Конфіденційності – крадіжка

Через збій програмного забезпечення відбулось викрадення інформації   із комп’ютерів банку,

=5

=4

=4

0,64

=1

=3

=5

0,12

Загроза актуальна

Конфіденційності – втрата

Через збій програмного забезпечення відбулась втрата інформації   із комп’ютерів банку,

=5

=4

=4

0,64

=1

=3

=5

0,12

Загроза актуальна

Доступності – знищення інформації

Через збій програмного забезпечення відбулось знищення інформації   із комп’ютерів банку,

=5

=4

=4

0,64

=1

=3

=5

0,12

Загроза актуальна

Доступності – блокування інформації

Через збій програмного забезпечення відбулось блокування  інформації   із комп’ютерів банку,

=5

=4

=4

0,64

=1

=3

=5

0,12

Загроза актуальна

Цілісності – спотворення

Через збій програмного забезпечення відбулось спотворення інформації   із комп’ютерів банку,

=5

=4

=4

0,64

=1

=3

=5

0,12

Загроза актуальна

Цілісності – заперечення автентичності

Через збій програмного забезпечення відбулось заперечення автентичності інформації   із комп’ютерів банку,

=5

=4

=4

0,64

=1

=3

=5

0,12

Загроза актуальна

Цілісності – нав’язування фальшивої інформації

Через збій програмного забезпечення відбулась фальсифікація інформації   із комп’ютерів банку,

=5

=4

=4

0,64

=1

=3

=5

0,12

Загроза актуальна

Персональні комп’ютери працівників

Конфіденційності – крадіжка

Через неякісні персональні комп’ютери  відбулось викрадення інформації   із комп’ютерів банку,

=5

=4

=4

0,64

=1

=3

=5

0,12

Загроза актуальна

Конфіденційності – втрата

Через неякісні персональні комп’ютери  відбулась втрата інформації   із комп’ютерів банку,

=5

=4

=4

0,64

=1

=3

=5

0,12

Загроза актуальна

Доступності – знищення інформації

Через неякісні персональні комп’ютери  відбулось знищення  інформації   із комп’ютерів банку,

=5

=4

=4

0,64

=1

=3

=5

0,12

Загроза актуальна

Доступності – блокування інформації

Через неякісні персональні комп’ютери  відбулось блокування інформації   із комп’ютерів банку,

=5

=4

=4

0,64

=1

=3

=5

0,12

Загроза актуальна

Цілісності – спотворення

Через неякісні персональні комп’ютери  відбулось спотворення інформації   із комп’ютерів банку,

=5

=4

=4

0,64

=1

=3

=5

0,12

Загроза актуальна

Цілісності – заперечення автентичності

Не актуальна

Цілісності – нав’язування фальшивої інформації

Не актуальна

Зовнішній техногеннй фактор

Мережа інтернет

Конфіденційності – крадіжка

Викрадення інформації з комп’ютерів банкучерез мережу інтернет

=5

=4

=4

0,64

=1

=3

=5

0,12

Загроза актуальна

Конфіденційності – втрата

Не актуальна

Доступності – знищення інформації

Знищення інформації з комп’ютерів банку  шляхом приєднання до мережі інтернет

=5

=4

=4

0,64

=1

=3

=5

0,12

Загроза актуальна

Доступності – блокування інформації

Блокування доступу до  інформації на комп’ютерах банку  шляхом приєднання до мережі інтернет

=5

=4

=4

0,64

=1

=3

=5

0,12

Загроза актуальна

Цілісності – спотворення

Спотворення  інформації з комп’ютерів банку  шляхом приєднання до мережі інтернет

=5

=4

=4

0,64

=1

=3

=5

0,12

Загроза актуальна

Цілісності – заперечення автентичності

Заперечення автентичності інформації з комп’ютерів банку  шляхом приєднання до мережі інтернет

=5

=4

=4

0,64

=1

=3

=5

0,12

Загроза актуальна

Цілісності – нав’язування фальшивої інформації

Навязування фальшивої інформації на комп’ютерах банку  шляхом приєднання до мережі інтернет

=5

=4

=4

0,64

=1

=3

=5

0,12

Загроза актуальна

Лінії електромережі

Конфіденційності – крадіжка

Немає доступу до інформації, оскільки лінії електромережі проходять в стінах - банку. А розетки знаходяться в захованих місцях

Не актуальна

Конфіденційності – втрата

Немає доступу до інформації, оскільки лінії електромережі проходять в стінах - банку. А розетки знаходяться в захованих місцях

Не актуальна

Доступності – знищення інформації

Немає доступу до інформації, оскільки лінії електромережі проходять в стінах - банку. А розетки знаходяться в захованих місцях

Не актуальна

Доступності – блокування інформації

Немає доступу до інформації, оскільки лінії електромережі проходять в стінах - банку. А розетки знаходяться в захованих місцях

Не актуальна

Цілісності – спотворення

Немає доступу до інформації, оскільки лінії електромережі проходять в стінах - банку. А розетки знаходяться в захованих місцях

Не актуальна

Цілісності – заперечення автентичності

Немає доступу до інформації, оскільки лінії електромережі проходять в стінах - банку. А розетки знаходяться в захованих місцях

Не актуальна

Цілісності – нав’язування фальшивої інформації

Немає доступу до інформації, оскільки лінії електромережі проходять в стінах - банку. А розетки знаходяться в захованих місцях

Не актуальна

Стихійне джерело загроз

Стихійні явища

Конфіденційності – крадіжка

Інформаційний актив не втрачає конфіденційності. Оскільки банк знаходиться у місті Львові. Де не спостерігається ніяких катаклізмів

Не актуальна

Конфіденційності – втрата

Інформаційний актив не втрачає конфіденційності. Оскільки банк знаходиться у місті Львові. Де не спостерігається ніяких катаклізмів

Не актуальна

Доступності – знищення інформації

Інформаційний актив не втрачає конфіденційності. Оскільки банк знаходиться у місті Львові. Де не спостерігається ніяких катаклізмів

Не актуальна

Доступності – блокування інформації

Інформаційний актив не втрачає конфіденційності. Оскільки банк знаходиться у місті Львові. Де не спостерігається ніяких катаклізмів

Не актуальна

Цілісності – спотворення

Інформаційний актив не втрачає конфіденційності. Оскільки банк знаходиться у місті Львові. Де не спостерігається ніяких катаклізмів

Не актуальна

Цілісності – заперечення автентичності

Інформаційний актив не втрачає конфіденційності. Оскільки банк знаходиться у місті Львові. Де не спостерігається ніяких катаклізмів

Не актуальна

Цілісності – нав’язування фальшивої інформації

Інформаційний актив не втрачає конфіденційності. Оскільки банк знаходиться у місті Львові. Де не спостерігається ніяких катаклізмів

Не актуальна

Загроза інформаційному активу  - інформації про фінансовий стан банку

Керівник банку

Загроза

Механізм реалізації загрози

Ранжування джерел загроз

Ранжування вразливостей

Актуальність

Конфіденційності - втрата

Втрата інформації про фінансовий стан банку з комп’ютера який знаходиться в кабінеті  директора (кімната №8), через відсутність паролю доступу до компютера банку

=1

=5

=5

=1

=2

=5

Загроза  актуальна

0,2

0,08

Втрата інформації про фінансовий стан банку з компютера, який знаходиться в кабінеті директора (кімната №8), через відсутність паролю захисту дверей до кабінету

=1

=5

=5

0,2

=1

=2

=5

0,08

Загроза  актуальна

Втрата інформації про фінансовий стан банку з компютера в кабінеті директора, через  халатне ставлення до роботи керівника банку: директор не вимкнув компютер, коли виходив з кабінету

=1

=5

=5

0,2

=1

=2

=1

0,016

Загроза не актуальна

Втрата інформації про фінансовий стан банку з компютера банку в кабінеті директора, через  халатне ставлення до роботи керівника банку: керівник банку не зачинив двері до кабінету після закінчення робочого дня

=5

=5

=5

1

=1

=2

=1

0,016

Загроза актуальна

Втрата інформації про фінансовий стан банку з комп’ютера  в кабінеті директора, через відсутність розмежування прав доступу до кабінетів банку

=1

=5

=5

0,2

=1

=2

=1

0,016

Загроза не актуальна

Втрата інформації про фінансовий стан банку з сейфу банку, який знаходиться в кабінеті архіву банку(кімната №5), через  відсутність парольної системи на дверях архіву

=1

=5

=5

0,2

=1

=2

=1

0,016

Загроза не актуальна

Втрата інформації про фінансовий стан банку з сейфу банку, який знаходиться в кабінеті архіву банку(кімната №5), через  відсутність парольної системи доступу до сейфу банку

=1

=5

=5

0,2

=1

=2

=1

0,016

Загроза не актуальна

Втрата інформації про фінансовий стан банку з сейфу банку, який знаходиться в кабінеті архіву банку(кімната №5), через  відсутність розмежування прав доступу до інформаційного активу для працівників банку

=1

=5

=5

0,2

=1

=2

=1

0,016

Загроза не актуальна

Цілісності - модифікації

Через відсутність паролю доступу на комп’ютері банку , який знаходиться у кабінеті директора інформація про фінансовий стан банку була модифікована

=1

=5

=5

0,2

=1

=2

=1

0,016

Загроза не актуальна

Через відсутність кодового замка на дверях до кабінету директора банку інформація про фінансовий стан банку була модифікована

=1

=5

=5

0,2

=1

=2

=1

0,016

Загроза не актуальна

Інформація про фінансовий стан банку була модифікована через відсутність розмежування прав доступу до інформаційного активу

=1

=5

=5

0,2

=1

=2

=1

0,016

Загроза не актуальна

Через відсутність кодового замка на дверях до кабінету архіву банку інформація про фінансовий стан банку була модифікована

=1

=5

=5

0,2

=1

=2

=1

0,016

Загроза не актуальна

Через відсутність кодового замка на сейфі в кабінеті архіву банку інформація про фінансовий стан банку була модифікована

=1

=5

=5

0,2

=1

=2

=1

0,016

Загроза не актуальна

Цілісності – заперечення дійсності інформації

Заперечення дійсності інформації про фінансовий стан банку відбулась через відсутність розмежування прав доступу до інформаційного активу

=1

=5

=5

0,2

=1

=2

=1

0,016

Загроза не актуальна

Заперечення дійсності інформації про фінансовий стан банку відбулось через відсутність кодової системи парольної системи доступу до комп’ютера,  в кабінеті директора банку

=1

=5

=5

0,2

=1

=2

=1

0,016

Загроза не актуальна

Заперечення дійсності кредитних угод відбулось через відсутність кодової системи доступу на дверях банку

=1

=5

=5

0,2

=1

=2

=1

0,016

Загроза не актуальна

Заперечення дійсності інформації про фінансовий стан банку відбулось через відсутність кодової системи доступу на дверях архіву банку

=1

=5

=5

0,2

=1

=2

=1

0,016

Загроза не актуальна

Цілісності – нав’язування фальшивої інформації

Загроза не актуальна

Загрози доступності – блокування інформації

Доступ до інформації про фінансовий стан банку було заблоковано  через відсутність розмежування прав доступу до інформаційного активу  

=1

=5

=5

0,2

=1

=2

=1

0,016

Загроза не актуальна

Доступ до інформації про фінансовий стан банку було заблоковано через злом кодового замка сейфу банку, який знаходиться у кабінеті директора

=1

=5

=5

0,2

=1

=2

=1

0,016

Загроза не актуальна

 Доступ до інформації про фінансовий стан банку було заблоковано через злом кодового замка на дверях до кабінету директора банку

=1

=5

=5

0,2

=1

=2

=1

0,016

Загроза не актуальна

Доступ до інформації про фінансовий стан банку було заблоковано через злом кодового замка на дверях до кабінету архіву банку

=1

=5

=5

0,2

=1

=2

=1

0,016

Загроза не актуальна

Доступ до інформації про фінансовий стан банку було заблоковано через злом кодового замка в сейфі , який знаходиться в кабінеті  архіву банку

=1

=5

=5

0,2

=1

=2

=1

0,016

Загроза не актуальна

Доступності – знищення інформації

Інформація про фінансовий стан банку була знищена з компютера , який знаходиться в кабінеті директора, через відсутність розмежування прав доступу до інформаційного активу

=1

=5

=5

0,2

=1

=2

=1

0,016

Загроза не актуальна

Інформація про фінансовий стан банку була знищена з компютера , який знаходиться в кабінеті директора, через відсутність кодового замка на дверях до кабінету директора

=1

=5

=5

0,2

=1

=2

=1

0,016

Загроза не актуальна

Інформація про фінансовий стан банку була знищена з компютера , який знаходиться в кабінеті директора, через відсутність кодового замка в сейфі, який знаходиться в кабінеті директора

=1

=5

=5

0,2

=1

=2

=1

0,016

Загроза не актуальна

Інформація про фінансовий стан банку була знищена з компютера , який знаходиться в кабінеті архіву, через відсутність кодового замка на дверях до кабінету архіву банку

=1

=5

=5

0,2

=1

=2

=1

0,016

Загроза не актуальна

Інформація про фінансовий стан банку була знищена з компютера , який знаходиться в кабінеті архіву, через відсутність кодового замка в сейфі

=1

=5

=5

0,2

=1

=2

=1

0,016

Загроза не актуальна

Головний бухгалтер

Конфіденційність – крадіжка

Викрадення інформації про кредитні угоди з сейфу, який знаходиться в кабінеті директора через відсутність кодового замка на сейфі

=5

=5

=5

=1

=1

=1

Загроза не актуальна

1

0,008

Викрадення інформації про кредитні угоди з сейфу, який знаходиться в кабінеті директора через відсутність кодового замка на дверях до кабінету директора

=5

=5

=5

1

=1

=1

=1

0,008

Загроза не актуальна

Викрадення інформації про кредитні угоди з сейфу, який знаходиться в кабінеті архіву (кімната №5)через відсутність кодового замка на сейфі

=5

=5

=5

1

=1

=5

=1

0,04

Загроза не актуальна

Викрадення інформації про кредитні угоди з сейфу, який знаходиться в кабінеті архіву (кімната №5)через відсутність кодового замка на дверях до архіву

=5

=5

=5

1

=1

=1

=1

0,008

Загроза не актуальна

Конфіденційності - втрата

Головний бухгалтер не має доступу до даного роду інформації

=5

=5

=3

0,24

=1

=1

=1

0,04

Загроза не актуальна

Доступності – знищення інформації

Оскільки бухгалтер має доступ до кімнати №5 – архіву він може знищити інформаційний актив, але для його посади це не  актуально

=5

=5

=3

0,24

=1

=1

=1

0,04

Загроза не актуальна

Доступності – блокування інформації

 В силу відповідальності яку несе бухгалтер будь-яке блокування інформації є для нього не актуальним

=5

=5

=3

0,24

=1

=1

=1

0,04

Загроза не актуальна

Цілісності - модифікація

Володіючи доступом до кімнати №5 бухгалтер може спотворити інформацію про умови кредитних угод

=5

=5

=3

0,24

=1

=1

=1

0,04

Загроза не актуальна

Через халатність керівника банку – залишення угоди на робочому столі в своєму кабінеті, бухгалтер матиме змогу спотворити інформаційний актив

=5

=5

=3

0,24

=1

=1

=1

0,04

Загроза не актуальна

Цілісності – заперечення автентичності

В силу відповідальності яку несе бухгалтер будь-яке блокування інформації є для нього не актуальним

=5

=5

=3

0,24

=1

=1

=1

0,04

Загроза не актуальна

Цілісності – нав’язування фальшивої інформації

Під час підписання угоди, керівник банку вийшов з кабінету не заховав зразок угоди до сейфу і бухгалтер мав змогу поміняти умови угод

=5

=5

=3

=1

=1

=1

Загроза не актуальна

Системний адміністратор

Конфіденційності – втрата

Втрата конфіденційності інформації про фінансовий стан банку через відсутність підписки про нерозголошення комерційної таємниці співробітниками, підписання якої контролюється системним адміністратором

=5

=5

=5

1

=2

=5

=4

0,32

Загроза  актуальна

Втрата конфіденційної інформації про фінансовий стан банку  через відсутність контролю збоку системного адміністратора за процесом встановлення камер відео спостереження у банку

=5

=5

=5

1

=2

=5

=4

0,32

Загроза  актуальна

Втрата конфіденційності інформації через відсутність навчальних семінарів та курсів підготовки фахівців для роботи з комерційною таємницею, процес проведення яких контролюється системним адміністратором   

=5

=5

=5

1

=2

=5

=4

0,32

Загроза  актуальна

Втрата конфіденційності інформації через те, що адміністратор підібрав некваліфікованих працівників

=5

=5

=5

1

=2

=5

=4

0,32

Загроза  актуальна

Втрата конфіденційності інформації через, що працівники несвоєчасно поміняли пароль доступу до систем банку: дверях, сейфах , комп’ютерах.

=5

=5

=5

1

=2

=5

=4

0,32

Загроза  актуальна

Конфіденційності – крадіжка

Викрадення інформації про фінансовий стан банку з компютера , який знаходиться в кабінеті директора банку, через відсутність паролю доступу до кабінету директора

=5

=1

=1

0,04

=1

=1

=1

0,008

Загроза не актуальна

Викрадення інформації з компютера , який знаходиться в кабінеті директора банку через відсутність паролю доступу на сейфі, де зберігається інформація

=5

=1

=1

0,04

=1

=1

=1

0,008

Загроза не актуальна

Викрадення інформації з сейфу, який знаходиться в кабінеті директора через відсутність камер відео спостереження за периметром банку

=5

=1

=1

0,04

=1

=1

=1

0,008

Загроза не актуальна

Викрадення інформації з сейфу, який знаходиться в кабінеті директора через відсутність відео  спостереження за внутрішньою територією банку

=5

=1

=1

0,04

=1

=1

=1

0,008

Загроза не актуальна

Викрадення інформації з компютера ,який знаходиться в кабінеті директора через зловживання посадовими обов’язками системним адміністратором

=5

=5

=5

1

=5

=5

=5

1

Загроза актуальна

Викрадення інформації про фінансовий стан банку з компютера , який знаходиться в кабінеті архіву банку, через відсутність паролю доступу до кабінету архіву

=5

=1

=1

0,04

=1

=1

0,008

Загроза не актуальна

Викрадення інформації з сейфу банку, який знаходиться в кабінеті архіву банку через відсутність паролю доступу на сейфі, де зберігається інформація

=5

=1

=1

0,04

=1

=1

=1

0,008

Загроза не актуальна

Викрадення інформації з сейфу, який знаходиться в кабінеті архіву через відсутність камер відео спостереження за периметром банку

=5

=1

=1

0,04

=1

=1

=1

0,008

Загроза не актуальна

Викрадення інформації з сейфу, який знаходиться в кабінеті архіву через відсутність відео  спостереження за внутрішньою територією банку

=5

=1

=1

0,04

=1

=1

=1

0,008

Загроза не актуальна

Доступності  - знищення інформації

Знищення інформації через те, що відсутня парольна система доступу до приміщень банку

=5

=4

=4

0,64

=1

=3

=5

0,12

Загроза актуальна

Доступності – блокування інформації

Блокування доступу до  інформації через те, що відсутня парольна система доступу до приміщень банку

=5

=4

=4

0,64

=1

=3

=5

0,12

Загроза актуальна

Цілісності – спотворення

Спотворення інформації  і через те, що відсутня парольна система доступу до приміщень банку

=5

=4

=4

0,64

=1

=3

=5

0,12

Загроза актуальна

Цілісності – нав’язування фальшивої інформації

Навязуванн фальшивої інформації   через те, що відсутня парольна система доступу до приміщень банку

=5

=4

=4

0,64

=1

=3

=5

0,12

Загроза актуальна

Цілісності – заперечення автентичності

Заперечення автентичності  інформації через те, що відсутня парольна система доступу до приміщень банку

=5

=4

=4

0,64

=1

=3

=5

0,12

Загроза актуальна

Програміст

Конфіденційності – крадіжка

Через непрофесійність дій програміста – встановлення неробочого програмного забезпечення інформація про фінансовий стан банку була викрадена

=5

=4

=4

0,64

=1

=3

=5

0,12

Загроза актуальна

Конфіденційності – втрата

Через непрофесійність дій програміста – встановлення неробочого програмного забезпечення інформація про фінансовий стан банку була втрачена

=5

=4

=4

0,64

=1

=3

=5

0,12

Загроза актуальна

Доступності – знищення інформації

Через непрофесійність дій програміста – встановлення неробочого програмного забезпечення інформація про фінансовий стан банку була знищена

=5

=4

=4

0,64

=1

=3

=5

0,12

Загроза актуальна

Доступності – блокування інформації

Через непрофесійність дій програміста – встановлення неробочого програмного забезпечення інформація про фінансовий стан банку була заблокована

=5

=4

=4

0,64

=1

=3

=5

0,12

Загроза актуальна

Цілісності – спотворення

Через непрофесійність дій програміста – встановлення неробочого програмного забезпечення інформація про фінансовий стан банку була спотворена

=5

=4

=4

0,64

=1

=3

=5

0,12

Загроза актуальна

Цілісності – заперечення автентичності

Через непрофесійність дій програміста – встановлення неробочого програмного забезпечення інформація про фінансовий стан банку була заперечена щодо дійсності

=5

=4

=4

0,64

=1

=3

=5

0,12

Загроза актуальна

Цілісності – нав’язування фальшивої інформації

Через непрофесійність дій програміста – встановлення неробочого програмного забезпечення інформація про фінансовий стан банку була сфальсифікована

=5

=4

=4

0,64

=1

=3

=5

0,12

Загроза актуальна

Працівник служби безпеки

Конфіденційності – крадіжка

Через непрофесійність дій працівника служби безпеки – не була розроблена політика безпеки для банку інформація про фінансовий стан банку була викрадена

=5

=4

=4

0,64

=1

=3

=5

0,12

Загроза актуальна

Конфіденційності – втрата

Через непрофесійність дій працівника служби безпеки – не була розроблена політика безпеки для банку інформація про фінансовий стан банку була втрачена

=5

=4

=4

0,64

=1

=3

=5

0,12

Загроза актуальна

Доступності – знищення інформації

Через непрофесійність дій працівника служби безпеки – не була розроблена політика безпеки для банку інформація про фінансовий стан банку була знищена

=5

=4

=4

0,64

=1

=3

=5

0,12

Загроза актуальна

Доступності – блокування інформації

Через непрофесійність дій працівника служби безпеки – не була розроблена політика безпеки для банку інформація про фінансовий стан банку була заблокована

=5

=4

=4

0,64

=1

=3

=5

0,12

Загроза актуальна

Цілісності – спотворення

Через непрофесійність дій працівника служби безпеки – не була розроблена політика безпеки для банку інформація про фінансовий стан банку була спотворена

=5

=4

=4

0,64

=1

=3

=5

0,12

Загроза актуальна

Цілісності – заперечення автентичності

Через непрофесійність дій працівника служби безпеки – не була розроблена політика безпеки для банку інформація про фінансовий стан банку була заперечена

=5

=4

=4

0,64

=1

=3

=5

0,12

Загроза актуальна

Цілісності – нав’язування фальшивої інформації

Через непрофесійність дій працівника служби безпеки – не була розроблена політика безпеки для банку інформація про фінансовий стан банку була сфальсифікована

=5

=4

=4

0,64

=1

=3

=5

0,12

Загроза актуальна

Менеджери по роботі з клієнтами

Конфіденційності – крадіжка

Не має доступу до конфіденційної інформації

Не актуальна

Конфіденційності – втрата

Не має доступу до конфіденційної інформації

Не актуальна

Доступності – знищення інформації

Не має доступу до конфіденційної інформації

Не актуальна

Доступності – блокування інформації

Не має доступу до конфіденційної інформації

Не актуальна

Цілісності – спотворення

Не має доступу до конфіденційної інформації

Не актуальна

Цілісності – заперечення автентичності

Не має доступу до конфіденційної інформації

Не актуальна

Цілісності – нав’язування фальшивої інформації

Не має доступу до конфіденційної інформації

Не актуальна

Економіст

Конфіденційності – крадіжка

Внаслідок непрофесійних дій економіста інформація була викрадена

=5

=4

=4

0,64

=1

=3

=5

0,12

Загроза актуальна

Конфіденційності – втрата

Внаслідок непрофесійних дій економіста інформація була втрачена

=5

=4

=4

0,64

=1

=3

=5

0,12

Загроза актуальна

Доступності – знищення інформації

Внаслідок непрофесійних дій економіста інформація була знищена

=5

=4

=4

0,64

=1

=3

=5

0,12

Загроза актуальна

Доступності – блокування інформації

Внаслідок непрофесійних дій економіста інформація була заблокована

=5

=4

=4

0,64

=1

=3

=5

0,12

Загроза актуальна

Цілісності – спотворення

Внаслідок непрофесійних дій економіста інформація була спотворена

=5

=4

=4

0,64

=1

=3

=5

0,12

Загроза актуальна

Цілісності – заперечення автентичності

Внаслідок непрофесійних дій економіста відбулось заперечення автентичності інформації

=5

=4

=4

0,64

=1

=3

=5

0,12

Загроза актуальна

Цілісності – нав’язування фальшивої інформації

Внаслідок непрофесійних дій економіста відбулось нав’язування фальшивої інформації

=5

=4

=4

0,64

=1

=3

=5

0,12

Загроза актуальна

Касир

Конфіденційності – крадіжка

Не має доступу до конфіденційної інформації

Не актуальна

Конфіденційності – втрата

Не має доступу до конфіденційної інформації

Не актуальна

Доступності – знищення інформації

Не має доступу до конфіденційної інформації

Не актуальна

Доступності – блокування інформації

Не має доступу до конфіденційної інформації

Не актуальна

Цілісності – спотворення

Не має доступу до конфіденційної інформації

Не актуальна

Цілісності – заперечення автентичності

Не має доступу до конфіденційної інформації

Не актуальна

Цілісності – нав’язування фальшивої інформації

Не має доступу до конфіденційної інформації

Не актуальна

Реєстратор

Конфіденційності – крадіжка

Не має доступу до конфіденційної інформації

Не актуальна

Конфіденційності – втрата

Не має доступу до конфіденційної інформації

Не актуальна

Доступності – знищення інформації

Не має доступу до конфіденційної інформації

Не актуальна

Доступності – блокування інформації

Не має доступу до конфіденційної інформації

Не актуальна

Цілісності – спотворення

Не має доступу до конфіденційної інформації

Не актуальна

Цілісності – заперечення автентичності

Не має доступу до конфіденційної інформації

Не актуальна

Цілісності – нав’язування фальшивої інформації

Не має доступу до конфіденційної інформації

Не актуальна

Прибиральники

Конфіденційності – крадіжка

Не має доступу до конфіденційної інформації

Не актуальна

Конфіденційності – втрата

Не має доступу до конфіденційної інформації

Не актуальна

Доступності – знищення інформації

Не має доступу до конфіденційної інформації

Не актуальна

Доступності – блокування інформації

Не має доступу до конфіденційної інформації

Не актуальна

Цілісності – спотворення

Не має доступу до конфіденційної інформації

Не актуальна

Цілісності – заперечення автентичності

Не має доступу до конфіденційної інформації

Не актуальна

Цілісності – нав’язування фальшивої інформації

Не має доступу до конфіденційної інформації

Не актуальна

Двірник

Конфіденційності – крадіжка

Не має доступу до конфіденційної інформації

Не актуальна

Конфіденційності – втрата

Не має доступу до конфіденційної інформації

Не актуальна

Доступності – знищення інформації

Не має доступу до конфіденційної інформації

Не актуальна

Доступності – блокування інформації

Не має доступу до конфіденційної інформації

Не актуальна

Цілісності – спотворення

Не має доступу до конфіденційної інформації

Не актуальна

Цілісності – заперечення автентичності

Не має доступу до конфіденційної інформації

Не актуальна

Цілісності – нав’язування фальшивої інформації

Не має доступу до конфіденційної інформації

Не актуальна

Охоронець

Конфіденційності – крадіжка

Не має доступу до конфіденційної інформації

Не актуальна

Конфіденційності – втрата

Не має доступу до конфіденційної інформації

Не актуальна

Доступності – знищення інформації

Не має доступу до конфіденційної інформації

Не актуальна

Доступності – блокування інформації

Не має доступу до конфіденційної інформації

Не актуальна

Цілісності – спотворення

Не має доступу до конфіденційної інформації

Не актуальна

Цілісності – заперечення автентичності

Не має доступу до конфіденційної інформації

Не актуальна

Цілісності – нав’язування фальшивої інформації

Електрик

Конфіденційності – крадіжка

Не має доступу до конфіденційної інформації

Не актуальна

Конфіденційності – втрата

Не має доступу до конфіденційної інформації

Не актуальна

Доступності – знищення інформації

Не має доступу до конфіденційної інформації

Не актуальна

Доступності – блокування інформації

Не має доступу до конфіденційної інформації

Не актуальна

Цілісності – спотворення

Не має доступу до конфіденційної інформації

Не актуальна

Цілісності – заперечення автентичності

Не має доступу до конфіденційної інформації

Не актуальна

Цілісності – нав’язування фальшивої інформації

Не має доступу до конфіденційної інформації

Не актуальна

Зовнішній антропогенний фактор

 

Клієнт

Конфіденційності – крадіжка

Через відсутність парольної систем доступу до приміщень банку клієнт викрав інформацію

=5

=4

=4

0,64

=1

=3

=5

0,12

Загроза актуальна

Конфіденційності – втрата

Не актуальна

Доступності – знищення інформації

Через відсутність парольної систем доступу до приміщень банку клієнт знищив інформацію

=5

=4

=4

0,64

=1

=3

=5

0,12

Загроза актуальна

Доступності – блокування інформації

Через відсутність парольної систем доступу до приміщень банку клієнт заблокував доступ до інформації

=5

=4

=4

0,64

=1

=3

=5

0,12

Загроза актуальна

Цілісності – спотворення

Через відсутність парольної систем доступу до приміщень банку клієнт спотворив інформацію

=5

=4

=4

0,64

=1

=3

=5

0,12

Загроза актуальна

Цілісності – заперечення автентичності

Через відсутність парольної систем доступу до приміщень банку клієнт заперечив автентичність  інформації

=5

=4

=4

0,64

=1

=3

=5

0,12

Загроза актуальна

Цілісності – нав’язування фальшивої інформації

Через відсутність парольної систем доступу до приміщень банку клієнт сфальсифікував інформацію

=5

=4

=4

0,64

=1

=3

=5

0,12

Загроза актуальна

Працівники контролюючих служб

Конфіденційності – крадіжка

Через відсутність парольної систем доступу до приміщень банку працівник контролюючих служб викрав інформацію

=5

=4

=4

0,64

=1

=3

=5

0,12

Загроза актуальна

Конфіденційності – втрата

Не актуальна

Доступності – знищення інформації

Через відсутність парольної систем доступу до приміщень банку контролюючих служб знищив інформацію

=5

=4

=4

0,64

=1

=3

=5

0,12

Загроза актуальна

Доступності – блокування інформації

Через відсутність парольної систем доступу до приміщень банку працівник контролюючих служб заблокував доступ до інформації

=5

=4

=4

0,64

=1

=3

=5

0,12

Загроза актуальна

Цілісності – спотворення

Через відсутність парольної систем доступу до приміщень банку працівник контролюючих служб спотворив інформацію

=5

=4

=4

0,64

=1

=3

=5

0,12

Загроза актуальна

Цілісності – заперечення автентичності

Через відсутність парольної систем доступу до приміщень банку контролюючих служб заперечив автентичність  інформації

=5

=4

=4

0,64

=1

=3

=5

0,12

Загроза актуальна

Цілісності – нав’язування фальшивої інформації

Через відсутність парольної систем доступу до приміщень банку працівник контролюючих служб сфальсифікував інформацію

=5

=4

=4

0,64

=1

=3

=5

0,12

Загроза актуальна

Хакери

Конфіденційності – крадіжка

Викрадення інформації   із комп’ютерів банку, використовуючи  інтернет підключення через відсутність стійкого захисту системи комп’ютерного забезпечення банку.

=5

=4

=4

0,64

=1

=3

=5

0,12

Загроза актуальна

Конфіденційності – втрата

Не актуальна

Доступності – знищення інформації

Знищення інформації   із комп’ютерів банку, використовуючи  інтернет підключення через відсутність стійкого захисту системи комп’ютерного забезпечення банку.

=5

=4

=4

0,64

=1

=3

=5

0,12

Загроза актуальна

Доступності – блокування інформації

Блокування доступу до інформації із комп’ютерів банку, використовуючи  інтернет підключення через відсутність стійкого захисту системи комп’ютерного забезпечення банку.

=5

=4

=4

0,64

=1

=3

=5

0,12

Загроза актуальна

Цілісності – спотворення

Спотворення  інформації   із комп’ютерів банку, використовуючи  інтернет підключення через відсутність стійкого захисту системи комп’ютерного забезпечення банку.

=5

=4

=4

0,64

=1

=3

=5

0,12

Загроза актуальна

Цілісності – заперечення автентичності

Заперечення автентичності інформації   із комп’ютерів банку, використовуючи  інтернет підключення через відсутність стійкого захисту системи комп’ютерного забезпечення банку.

=5

=4

=4

0,64

=1

=3

=5

0,12

Загроза актуальна

Цілісності – нав’язування фальшивої інформації

Фальсифікація  інформації   із комп’ютерів банку, використовуючи  інтернет підключення через відсутність стійкого захисту системи комп’ютерного забезпечення банку.

=5

=4

=4

0,64

=1

=3

=5

0,12

Загроза актуальна

Внутрішній техногенний фактор

Збій програмного забезпечення

Конфіденційності – крадіжка

Через збій програмного забезпечення відбулось викрадення інформації   із комп’ютерів банку,

=5

=4

=4

0,64

=1

=3

=5

0,12

Загроза актуальна

Конфіденційності – втрата

Через збій програмного забезпечення відбулась втрата інформації   із комп’ютерів банку,

=5

=4

=4

0,64

=1

=3

=5

0,12

Загроза актуальна

Доступності – знищення інформації

Через збій програмного забезпечення відбулось знищення інформації   із комп’ютерів банку,

=5

=4

=4

0,64

=1

=3

=5

0,12

Загроза актуальна

Доступності – блокування інформації

Через збій програмного забезпечення відбулось блокування  інформації   із комп’ютерів банку,

=5

=4

=4

0,64

=1

=3

=5

0,12

Загроза актуальна

Цілісності – спотворення

Через збій програмного забезпечення відбулось спотворення інформації   із комп’ютерів банку,

=5

=4

=4

0,64

=1

=3

=5

0,12

Загроза актуальна

Цілісності – заперечення автентичності

Через збій програмного забезпечення відбулось заперечення автентичності інформації   із комп’ютерів банку,

=5

=4

=4

0,64

=1

=3

=5

0,12

Загроза актуальна

Цілісності – нав’язування фальшивої інформації

Через збій програмного забезпечення відбулась фальсифікація інформації   із комп’ютерів банку,

=5

=4

=4

0,64

=1

=3

=5

0,12

Загроза актуальна

Персональні комп’ютери працівників

Конфіденційності – крадіжка

Через неякісні персональні комп’ютери  відбулось викрадення інформації   із комп’ютерів банку,

=5

=4

=4

0,64

=1

=3

=5

0,12

Загроза актуальна

Конфіденційності – втрата

Через неякісні персональні комп’ютери  відбулась втрата інформації   із комп’ютерів банку,

=5

=4

=4

0,64

=1

=3

=5

0,12

Загроза актуальна

Доступності – знищення інформації

Через неякісні персональні комп’ютери  відбулось знищення  інформації   із комп’ютерів банку,

=5

=4

=4

0,64

=1

=3

=5

0,12

Загроза актуальна

Доступності – блокування інформації

Через неякісні персональні комп’ютери  відбулось блокування інформації   із комп’ютерів банку,

=5

=4

=4

0,64

=1

=3

=5

0,12

Загроза актуальна

Цілісності – спотворення

Через неякісні персональні комп’ютери  відбулось спотворення інформації   із комп’ютерів банку,

=5

=4

=4

0,64

=1

=3

=5

0,12

Загроза актуальна

Цілісності – заперечення автентичності

Не актуальна

Цілісності – нав’язування фальшивої інформації

Не актуальна

Зовнішній техногеннй фактор

Мережа інтернет

Конфіденційності – крадіжка

Викрадення інформації з комп’ютерів банкучерез мережу інтернет

=5

=4

=4

0,64

=1

=3

=5

0,12

Загроза актуальна

Конфіденційності – втрата

Не актуальна

Доступності – знищення інформації

Знищення інформації з комп’ютерів банку  шляхом приєднання до мережі інтернет

=5

=4

=4

0,64

=1

=3

=5

0,12

Загроза актуальна

Доступності – блокування інформації

Блокування доступу до  інформації на комп’ютерах банку  шляхом приєднання до мережі інтернет

=5

=4

=4

0,64

=1

=3

=5

0,12

Загроза актуальна

Цілісності – спотворення

Спотворення  інформації з комп’ютерів банку  шляхом приєднання до мережі інтернет

=5

=4

=4

0,64

=1

=3

=5

0,12

Загроза актуальна

Цілісності – заперечення автентичності

Заперечення автентичності інформації з комп’ютерів банку  шляхом приєднання до мережі інтернет

=5

=4

=4

0,64

=1

=3

=5

0,12

Загроза актуальна

Цілісності – нав’язування фальшивої інформації

Навязування фальшивої інформації на комп’ютерах банку  шляхом приєднання до мережі інтернет

=5

=4

=4

0,64

=1

=3

=5

0,12

Загроза актуальна

Лінії електромережі

Конфіденційності – крадіжка

Немає доступу до інформації, оскільки лінії електромережі проходять в стінах - банку. А розетки знаходяться в захованих місцях

Не актуальна

Конфіденційності – втрата

Немає доступу до інформації, оскільки лінії електромережі проходять в стінах - банку. А розетки знаходяться в захованих місцях

Не актуальна

Доступності – знищення інформації

Немає доступу до інформації, оскільки лінії електромережі проходять в стінах - банку. А розетки знаходяться в захованих місцях

Не актуальна

Доступності – блокування інформації

Немає доступу до інформації, оскільки лінії електромережі проходять в стінах - банку. А розетки знаходяться в захованих місцях

Не актуальна

Цілісності – спотворення

Немає доступу до інформації, оскільки лінії електромережі проходять в стінах - банку. А розетки знаходяться в захованих місцях

Не актуальна

Цілісності – заперечення автентичності

Немає доступу до інформації, оскільки лінії електромережі проходять в стінах - банку. А розетки знаходяться в захованих місцях

Не актуальна

Цілісності – нав’язування фальшивої інформації

Немає доступу до інформації, оскільки лінії електромережі проходять в стінах - банку. А розетки знаходяться в захованих місцях

Не актуальна

Стихійне джерело загроз

Стихійні явища

Конфіденційності – крадіжка

Інформаційний актив не втрачає конфіденційності. Оскільки банк знаходиться у місті Львові. Де не спостерігається ніяких катаклізмів

Не актуальна

Конфіденційності – втрата

Інформаційний актив не втрачає конфіденційності. Оскільки банк знаходиться у місті Львові. Де не спостерігається ніяких катаклізмів

Не актуальна

Доступності – знищення інформації

Інформаційний актив не втрачає конфіденційності. Оскільки банк знаходиться у місті Львові. Де не спостерігається ніяких катаклізмів

Не актуальна

Доступності – блокування інформації

Інформаційний актив не втрачає конфіденційності. Оскільки банк знаходиться у місті Львові. Де не спостерігається ніяких катаклізмів

Не актуальна

Цілісності – спотворення

Інформаційний актив не втрачає конфіденційності. Оскільки банк знаходиться у місті Львові. Де не спостерігається ніяких катаклізмів

Не актуальна

Цілісності – заперечення автентичності

Інформаційний актив не втрачає конфіденційності. Оскільки банк знаходиться у місті Львові. Де не спостерігається ніяких катаклізмів

Не актуальна

Цілісності – нав’язування фальшивої інформації

Інформаційний актив не втрачає конфіденційності. Оскільки банк знаходиться у місті Львові. Де не спостерігається ніяких катаклізмів

Не актуальна

Загроза інформаційному активу  - інформації про фінансовий стан підприємства

Керівник банку

Загроза

Механізм реалізації загрози

Ранжування джерел загроз

Ранжування вразливостей

Актуальність

Конфіденційності – втрата

Втрата інформації про фінансовий стан підприємства з сейфу банку, який знаходиться в кабінеті директора (кімната №8), через відсутність паролю доступу до сейфу банку

=1

=5

=5

=1

=2

=1

Загроза не актуальна

0,2

0,016

Втрата інформації про фінансовий стан підприємства з сейфу банку, який знаходиться в кабінеті директора (кімната №8), через відсутність паролю захисту дверей до кабінету

=1

=5

=5

0,2

=1

=2

=1

0,016

Загроза не актуальна

Втрата інформації про фінансовий стан підприємства з сейфу банку в кабінеті директора, через  халатне ставлення до роботи керівника банку: угода після підписання не була поставлена до сейфу і під час прибирання кабінету прибиральниця ознайомилась з угодою

=1

=5

=5

0,2

=1

=2

=1

0,016

Загроза не актуальна

Втрата інформації про фінансовий стан підприємства з сейфу банку в кабінеті директора, через  халатне ставлення до роботи керівника банку: угода після підписання не була поставлена до сейфу і клієнти банку зможе ознайомитись з умовою кредитної угоди

=1

=5

=5

0,16

=1

=2

=1

0,016

Загроза не актуальна

Втрата інформації про фінансовий стан підприємства з сейфу банку в кабінеті директора, через відсутність розмежування прав доступу до кабінетів банку

=1

=5

=5

0,2

=1

=2

=1

0,016

Загроза не актуальна

Втрата інформації про фінансовий стан підприємства з сейфу банку, який знаходиться в кабінеті архіву банку(кімната №5), через  відсутність парольної системи на дверях архіву

=1

=5

=5

0,2

=1

=2

=1

0,016

Загроза не актуальна

Втрата інформації про фінансовий стан підприємства з сейфу банку, який знаходиться в кабінеті архіву банку(кімната №5), через  відсутність парольної системи доступу до сейфу банку

=1

=5

=5

0,2

=1

=2

=1

0,016

Загроза не актуальна

Втрата інформації про фінансовий стан підприємства з сейфу банку, який знаходиться в кабінеті архіву банку(кімната №5), через  відсутність розмежування прав доступу до інформаційного активу для працівників банку

=1

=5

=5

0,2

=1

=2

=1

0,016

Загроза не актуальна

Цілісності – модифікації

Через відсутність кодового замка на сейфі банку, який знаходиться у кабінеті директора інформація про фінансовий стан підприємства була модифікована

=1

=5

=5

0,2

=1

=2

=1

0,016

Через відсутність кодового замка на дверях до кабінету директора банку інформація про фінансовий стан підприємства була модифікована

=1

=5

=5

0,2

=1

=2

=1

0,016

Інформація про фінансовий стан підприємства була модифікована через відсутність розмежування прав доступу до інформаційного активу

=1

=5

=5

0,2

=1

=2

=1

0,016

Через відсутність кодового замка на дверях до кабінету архіву банку інформація про фінансовий стан підприємства була модифікована

=1

=5

=5

0,2

=1

=2

=1

0,016

Через відсутність кодового замка на сейфі в кабінеті архіву банку інформація про фінансовий стан підприємства була модифікована

=1

=5

=5

0,2

=1

=2

=1

0,016

Цілісності – заперечення дійсності інформації

Заперечення дійсності інформації про фінансовий стан підприємства відбулась через відсутність розмежування прав доступу до інформаційного активу

=1

=5

=5

0,2

=1

=2

=1

0,016

Заперечення дійсності інформації про фінансовий стан підприємства відбулось через відсутність кодової системи доступу до сейфу банку в кабінеті директора банку

=1

=5

=5

0,2

=1

=2

=1

0,016

Заперечення дійсності кредитних угод відбулось через відсутність кодової системи доступу на дверях банку

=1

=5

=5

0,2

=1

=2

=1

0,016

Заперечення дійсності кредитних угод відбулось через відсутність кодової системи доступу на дверях архіву банку

=1

=5

=5

0,2

=1

=2

=1

0,016

Заперечення дійсності кредитних угод відбулось через відсутність кодової системи доступу до сейфу банку, який знаходиться в кабінеті архіву банку

=1

=5

=5

0,2

=1

=2

=1

0,016

Цілісності – нав’язування фальшивої інформації

Загрози доступності – блокування інформації

Доступ до інформації про фінансовий стан підприємства було заблоковано  через відсутність розмежування прав доступу до інформаційного активу  

=1

=5

=5

0,2

=1

=2

=1

0,016

Доступ до інформації про фінансовий стан підприємства було заблоковано через злом кодового замка сейфу банку, який знаходиться у кабінеті директора

=1

=5

=5

0,2

=1

=2

=1

0,016

 Доступ до інформації про фінансовий стан підприємства було заблоковано через злом кодового замка на дверях до кабінету директора банку

=1

=5

=5

0,2

=1

=2

=1

0,016

Доступ до інформації про фінансовий стан підприємства було заблоковано через злом кодового замка на дверях до кабінету архіву банку

=1

=5

=5

0,2

=1

=2

=1

0,016

Доступ до інформації про фінансовий стан підприємства було заблоковано через злом кодового замка в сейфі , який знаходиться в кабінеті  архіву банку

=1

=5

=5

0,2

=1

=2

=1

0,016

Доступності – знищення інформації

Інформація про фінансовий стан підприємства була знищена з сейфу банку, який знаходиться в кабінеті директора, через відсутність розмежування прав доступу до інформаційного активу

=1

=5

=5

0,2

=1

=2

=1

0,016

Інформація про фінансовий стан підприємства була знищена з сейфу банку, який знаходиться в кабінеті директора, через відсутність кодового замка на дверях до кабінету директора

=1

=5

=5

0,2

=1

=2

=1

0,016

Інформація про фінансовий стан підприємства була знищена з сейфу банку, який знаходиться в кабінеті директора, через відсутність кодового замка в сейфі, який знаходиться в кабінеті директора

=1

=5

=5

0,2

=1

=2

=1

0,016

Інформація про фінансовий стан підприємства була знищена з сейфу банку, який знаходиться в кабінеті архіву, через відсутність кодового замка на дверях до кабінету архіву банку

=1

=5

=5

0,2

=1

=2

=1

0,016

Інформація про фінансовий стан підприємства була знищена з сейфу банку, який знаходиться в кабінеті архіву, через відсутність кодового замка в сейфі

=1

=5

=5

0,2

=1

=2

=1

0,016

Головний бухгалтер

Конфіденційність - крадіжка

Викрадення інформації про кредитні угоди з сейфу, який знаходиться в кабінеті директора через відсутність кодового замка на сейфі

=5

=5

=5

=1

=1

=1

Загроза не актуальна

1

0,008

Викрадення інформації про кредитні угоди з сейфу, який знаходиться в кабінеті директора через відсутність кодового замка на дверях до кабінету директора

=5

=5

=5

1

=1

=1

=1

0,008

Загроза не актуальна

Викрадення інформації про кредитні угоди з сейфу, який знаходиться в кабінеті архіву (кімната №5)через відсутність кодового замка на сейфі

=5

=5

=5

1

=1

=1

=1

0,008

Загроза не актуальна

Викрадення інформації про кредитні угоди з сейфу, який знаходиться в кабінеті архіву (кімната №5)через відсутність кодового замка на дверях до архіву

=5

=5

=5

1

=1

=1

=1

0,008

Загроза не актуальна

Системний адміністратор

Конфіденційності – втрата

Втрата конфіденційності інформації про фінансовий стан підприємства через відсутність підписки про нерозголошення комерційної таємниці співробітниками, підписання якої контролюється системним адміністратором

=5

=5

=5

1

=2

=5

=4

0,32

Загроза  актуальна

Втрата конфіденційної інформації про фінансовий стан  через відсутність контролю збоку системного адміністратора за процесом встановлення камер відео спостереження у банку

=5

=5

=5

1

=2

=5

=4

0,32

Загроза  актуальна

Втрата конфіденційності інформації через відсутність навчальних семінарів та курсів підготовки фахівців для роботи з комерційною таємницею, процес проведення яких контролюється системним адміністратором   

=5

=5

=5

1

=2

=5

=4

0,32

Загроза  актуальна

Втрата конфіденційності інформації через те, що адміністратор підібрав некваліфікованих працівників

=5

=5

=5

1

=2

=5

=4

0,32

Загроза  актуальна

Втрата конфіденційності інформації через, що працівники несвоєчасно поміняли пароль доступу до систем банку: дверях, сейфах , комп’ютерах.

=5

=5

=5

1

=2

=5

=4

0,32

Загроза  актуальна

Конфіденційності – крадіжка

Викрадення інформації про фінансовий стан банку з сейфу банку, який знаходиться в кабінеті директора банку, через відсутність паролю доступу до кабінету директора

=5

=1

=1

0,04

=1

=1

=1

0,008

Загроза не актуальна

Викрадення інформації з сейфу банку, який знаходиться в кабінеті директора банку через відсутність паролю доступу на сейфі, де зберігається інформація

=5

=1

=1

0,04

=1

=1

=1

0,008

Загроза не актуальна

Викрадення інформації з сейфу, який знаходиться в кабінеті директора через відсутність камер відео спостереження за периметром банку

=5

=1

=1

0,04

=1

=1

=1

0,008

Загроза не актуальна

Викрадення інформації з сейфу, який знаходиться в кабінеті директора через відсутність відео  спостереження за внутрішньою територією банку

=5

=1

=1

0,04

=1

=1

=1

0,008

Загроза не актуальна

Викрадення інформації з сейфу банку,який знаходиться в кабінеті директора через зловживання посадовими обов’язками системним адміністратором

=5

=5

=5

1

=5

=5

=5

1

Загроза актуальна

Викрадення інформації про фінансовий стан банку з сейфу банку, який знаходиться в кабінеті архіву банку, через відсутність паролю доступу до кабінету архіву

=5

=1

=1

0,04

=1

=1

=1

0,008

Загроза не актуальна

Викрадення інформації з сейфу банку, який знаходиться в кабінеті архіву банку через відсутність паролю доступу на сейфі, де зберігається інформація

=5

=1

=1

0,04

=1

=1

=1

0,008

Загроза не актуальна

Викрадення інформації з сейфу, який знаходиться в кабінеті архіву через відсутність камер відео спостереження за периметром банку

=5

=1

=1

0,04

=1

=1

=1

0,008

Загроза не актуальна

Викрадення інформації з сейфу, який знаходиться в кабінеті архіву через відсутність відео  спостереження за внутрішньою територією банку

=5

=1

=1

0,04

=1

=1

=1

0,008

Загроза не актуальна

2.3. Аналіз загроз інформаційному активу – інфомації про фінансовий стан банку

2.4.  Обгрунтування допустимого ризику.

Відповідно до пункту 4.2.1 стандарту Національного банку України СОУ Н НБУ 65.1 СУІБ 1.0:2010 після виконання оцінки ризиків банк має оцінити альтернативні варіанти оброблення ризиків. Можливими варіантами оброблення ризиків можуть бути:

  •  зниження ризиків шляхом застосування належних заходів безпеки;
  •  свідоме та об’єктивне прийняття ризиків за умови, що вони чітко задовольняють політику організації та критерії прийняття ризиків;
  •  уникнення ризиків;
  •  перенесення відповідних бізнес-ризиків на інші сторони, наприклад, страхувальників, постачальників.

Застосування належних заходів безпеки дозволить зменшити ризики. Під час вибору цих додаткових заходів безпеки повинні бути враховані всі вимоги законодавства України, нормативно-правових актів Національного банку України, внутрішніх документів, політики та стратегії банку. Крім того, цей вибір також повинен враховувати вартість додаткових заходів безпеки, час їх впровадження, вплив на технологію операційної роботи, інтерфейс користувача тощо. З урахуванням цих факторів складається план оброблення ризиків. У разі необхідності тривалої підготовки до впровадження додаткових заходів безпеки деякі ризики можуть бути тимчасово прийняти як залишкові з включенням до наступного плану оброблення ризиків після перегляду оцінки ризиків.

Прийняття всіх залишкових ризиків повинно бути задокументовано і затверджено керівництвом банку. Це стосується середніх та високих ризиків і повинно бути ретельно розглянуто. У документах стосовно прийняття залишкових ризиків має бути надана причина прийняття ризику та, за необхідністю, строки впровадження додаткових заходів безпеки для зниження ризику. Наприклад, якщо банком використовується програмно-технічний комплекс із застарілими технологіями, який має великий ризик реалізації однієї або декількох загроз і який планується замінити на новий більш сучасний комплекс протягом 2 років, то ці ризики можуть бути прийняти як тимчасове рішення до заміни цього програмно-технічного комплексу з наданням терміну впровадження нового.

Оцінювання допустимого ризику проводимо аналізуючи можливі збитки які будуть завдані банку у зв’язку з розголошенням комерційної таємниці банку та можливості настання самої загрози та її актуальності для банку.

Розголошення інформації про умови контрактів та угод банку, інформацій про фінансовий стан банку може призвести до втрати репутації банку,  втрати клієнтської бази, втратити рівень конкурентоспроможності. Розголошення даного роду інформації може потягнути за собою ряд судових позовів клієнтів проти банку. Це все може призвести до значних втрат для банку, в деяких випадках (розірвання угод, виплата штрафів клієнту, відсутність нових, вигідних для банку кредитних угод) може призвести до повного банкрутства банку. Штрафні виплати та втрачений прибуток через розголошення інформації про умови кредиту можуть перевищити вартість на відновлення установи банку. Враховуючи, все вище перераховане, можна встановити такий рівень допустимого ризику -  0,1. Якщо ймовірність реалізації загрози більша за 0,1, то потрібно підвищити рівень захищеності об’єкта захисту, та зменшити можливість використати вразливість для реалізації атаки. Якщо менша за 0,1, то такою загрозою можна знехтувати.

Розділ 3. Обгрунтування вибору політики безпеки

Політика безпеки розповсюджується на всі аспекти життєдіяльності філії банку та застосовується до всіх інформаційних активів.

Для даного банку доцільно обрати змішану політику безпеки. Це пов’язано з тим, що гараж, який знаходиться на території банку призначений тільки для працівників банку, а вхід до самого банку вільний для клієнтів і перевіряючи органів.

Для того, щоб організувати контроль за проїздом і входом до банку. У роботі банку буде поєднана дискреційна та мандатна політика безпеки. Це дасть змогу обмежити вїзд та вхід до банку і, зокрема, обмежити доступ до комерційної таємниці банку.

Організація дискретної політики безпеки полягає в тому, що охоронцям банку надається список імен власників автомобілів працівників банку та номери їх машин. На контрольно-пропускному пункті  власники та їх автомобілі ідентифікуються за допомогою пропусків, які надаються працівникам, потім ці пропуски звіряються охоронцем з даними, які були наданими йому керівництвом. Охоронець в реєстраційному журналі записує час та дату проїзду на територію банку працівників. В цьому журналі розписується безпосередньо сам охоронець та працівник, який проїжджає на територію банку. Охоронець не може пропустити на територію банку працівників після закінчення робочого часу, якщо це не зумовлено надзвичайною ситуацією яка склалась у банку. В разі недотримання правил  пропуску охоронцем на нього накладається догана з матеріальним стягненням та можливістю бути звільненим з роботи.

Мандатна політика безпеки встановлюється у звязку з тим, що є різні рівні володіння працівниками банку інформаційними активами філії. Для кожного працівника встановлюється свій індивідуальний метод доступу до інформації якою він володіє. На дверях до кожної кімнати стоїть індивідуальний кодовий замок. Інформацією про код володіє той працівник за яким закріплена відповідальність за конкретне приміщення. Крім того, для того щоб потрапити до архіву банку та кабінету директора установи потрібно ідентифікуватись за допомогою парольної системи на дверях до кабінету та ідентифікації сітківки ока керівника. Пароль на дверях повинен змінюватися кожного кварталу і не містити інформації про особисті дані працівників. За зміною парольної системи слідкує служба безпеки банку. Інформація про коди вводиться у мережу банку, для запам’ятовування, після чого програміст повинен повність стерти цю інформацію з комп’ютерів банку та серверної.

Ієрархічна система доступу до конфіденційної інформації банку: допоміжний склад персоналу не володіє доступом до конфіденційної інформації. Прибиральниця прибирає в загальних кімнатах: вестибюлі, де знаходяться каси обслуговування клієнтів; коридор, кімната відпочинку, туалетна кімната. У кімнаті відділу координації робота банку прибиральниця прибирає під наглядом охоронця банку. В службових кімнатах прибирання відбувається по закінченню робочого дня під наглядом працівника служби безпеки, яки відчиняє прибиральниці двері до приміщення. Перед початком прибирання прибиральниця реєструється в реєстраційній книзі в охоронці, де підписується і охоронець засвідчує прихід прибиральниці. Після прибирання прибиральниця засвідчує закінчення роботи та реєструється у реєстраційній книзі. Керівник видає укази про нерозповсюдження конфіденційної інформації, інструкції про нерозголошення комерційної таємниці банку. Прибиральниця дає згаду про нерозповсюдження інформація та підписується в інструкції.   

 


Розділ 4. Методи нейтралізації загроз

Всі дії спрямовані на нейтралізацію загроз повинні супроводжуватися відповідними нормативними актами, які видаються керівником банку  і з якими повинні бути ознайомлені працівники банку. Приклади таких нормативних актів подані у додатках

Актуальна загроза

Шлях реалізації загрози

Метод нейтралізації

Конфіденційності - втрата

Втрата інформації про фінансовий стан банку з комп’ютера який знаходиться в кабінеті  директора (кімната №8), через відсутність паролю доступу до компютера банку

Встановлення паролів доступу до компютерів банку

Конфіденційності - втрата

Втрата інформації про фінансовий стан банку з компютера, який знаходиться в кабінеті директора (кімната №8), через відсутність паролю захисту дверей до кабінету

Встановлення паролів доступу до кабінетів в банку (до кабінету директора  на дверях зробити доступ по розпізнаванні сітківки пальців директора)

Конфіденційності – втрата

Втрата конфіденційності інформації про умови кредитних угод через відсутність підписки про нерозголошення комерційної таємниці співробітниками, підписання якої контролюється системним адміністратором

Що квартально проводити збір підписок про нерозголошення комерційної таємниці банку, де визначається відповідальність працівників та   , яка проводиться адміністратором, адміністратор подає звіт про проведення підписки керівнику банку

Конфіденційності – втрата

Втрата конфіденційної інформації про умови кредитних угод  через відсутність контролю збоку системного адміністратора за процесом встановлення камер відео спостереження у банку

Встановити контроль за встановленням і роботи системи відео спостереження адміністратором  

Втрата конфіденційності інформації через відсутність навчальних семінарів та курсів підготовки фахівців для роботи з комерційною таємницею, процес проведення яких контролюється системним адміністратором   

Раз в півроку проводити навчальні семінари щодо роботи з комерційною таємницею та раз в 2 роки відправляти працівників на курси підвищення кваліфікації. Цей процес контролюється системним адміністратором

Втрата конфіденційності інформації через те, що адміністратор підібрав некваліфікованих працівників

Під час прийому на роботу працівників проводити тести на визначення їх профпридатності

Втрата конфіденційності інформації через, що працівники несвоєчасно поміняли пароль доступу до систем банку: дверях, сейфах , комп’ютерах.

Створити наказ, який буде контролювати процес зміни паролів доступу. Процес зміни контролюється системним адміністраторм

Конфіденційності - викрадення

Викрадення інформації з сейфу банку,який знаходиться в кабінеті директора через зловживання посадовими обов’язками системним адміністратором

У посадовій інструкції працівників визначити відповідальність, яку він несе за розголошення конфіденційної інформації

Конфіденційності – крадіжка

Викрадення інформації   із комп’ютерів банку, використовуючи  інтернет підключення через відсутність стійкого захисту системи комп’ютерного забезпечення банку.

Встановлення програм захисту від хакерських атак та встановлення антивірусного програмного забезпечення

Конфіденційності – втрата

Через збій програмного забезпечення відбулась втрата інформації   із комп’ютерів банку,

Створення резервних копій документів, які зберігаються на комп’ютерах банку

Цілісності – спотворення

Через неякісні персональні комп’ютери  відбулось спотворення інформації   із комп’ютерів банку,

Перед покупкою і під час експлуатації комп’ютерів банку проводити їх тестування на перевірку якості роботи

 

Додатки

Приклад Політики інформаційної безпеки

Назва банку

Затверджено

рішенням Правління банку

“___” __________ 201_ р.

Політика інформаційної безпеки

Вступ

Політика інформаційної безпеки описує та регламентує функціонування системи управління інформаційною безпекою (даліСУІБ) відповідно до стандартів Національного банку України СОУ Н НБУ 65.1 СУІБ 1.0:2010 та СОУ Н НБУ 65.1 СУІБ 2.0:2010, відповідає вимогам законодавства України та нормативно-правовим актам Національного банку України, а також вимогам міжнародних та внутрідержавних платіжних систем та систем переказу коштів.

Ціль політики

Ціллю Політики є впровадження та ефективне функціонування системи управління інформаційною безпекою, яка буде забезпечувати захист інформації та ресурсів банку від зовнішніх і внутрішніх загроз та загроз, які повязані з навмисними та ненавмисними діями працівників банку, забезпечувати безперервну роботу банку, сприяти мінімізації ризиків операційної діяльності банку та створювати позитивну репутацію банку при роботі з клієнтами.

Сфера застосування

Політика розповсюджується на банк у цілому і повинна використовуватися для всіх критичних бізнес-процесів/банківських продуктів банку.

Предмет політики

Основними принципами Політики інформаційної безпеки є підтримання належного захисту інформації із забезпеченням цілісності, конфіденційності, доступності та спостережності. Це в першу чергу стосується інформації з обмеженим доступом, яка відноситься до “банківської таємниці”, “комерційної таємниці” та іншої конфіденційної інформації.

Банк підтримує ризик-орієнтовний підхід, який забезпечує розуміння, моніторинг та зменшення ризиків операційної діяльності. Деталі ризик-орієнтовного підходу описані в політики управління інформаційною безпекою.

Весь персонал банку обізнаний та виконує вимоги інформаційної безпеки в роботі. Під час розроблення, впровадження та функціонування програмно-технічних комплексів враховуються вимоги інформаційної безпеки.

Публічні сервіси банку та внутрішні мережі банку відповідають вимогам стандартів з інформаційної безпеки.

Банк забезпечує виконання усіх вимог з інформаційної безпеки, які наявні в угодах з третіми сторонами стосовно участі у міжнародних платіжних системах та системах переказу коштів.

Ролі та відповідальності

Керівництво банку чітко розуміє, що інформаційна безпека банку є основою життєдіяльності банку. У банку створений та постійно працює керівний орган з питань інформаційної безпеки, рішення якого є обов’язковими для виконання усім персоналом банку.

Документи Політики інформаційної безпеки розробляються підрозділом інформаційної безпеки та іншими підрозділами за відповідними напрямками діяльності. Постійний контроль впровадження, виконання, вдосконалення та підтримки Політики в актуальному стані покладений на підрозділ інформаційної безпеки.

Керівництво банку сприяє створенню, впровадженню, контролю та підтримці Політики інформаційної безпеки.

Стратегія розвитку інформаційних технологій банку, всі проекти, які пов’язані з інформаційними технологіями, узгоджуються з Політикою інформаційної безпеки.

Кожен працівник банку забезпечує підтримку відповідного рівня інформаційної безпеки банку. В межах своїх службових обов’язків та повноважень працівники повинні виконувати та відповідати за виконання вимог Політики, законодавчих, регуляторних і внутрішньобанківських норм і несуть відповідальність за їх порушення згідно із законодавством України та внутрішньобанківськими нормативними документами.

Документи Політики доступні працівникам банку у межах їх повноважень і призначені надавати допомогу у виконанні вимог інформаційної безпеки.

Для зменшення ризиків виникнення інцидентів інформаційної безпеки керівництво банку створює працівникам умови для систематичного навчання нормам та заходам інформаційної безпеки.

У банку складаються, діють, тестуються та оновляються плани забезпечення безперебійного функціонування на випадок непередбачених критичних ситуацій.

Перегляд документа

Виконується робота щодо підтримки Політики інформаційної безпеки в актуальному стані. Політика переглядається за необхідністю, але не менш ніж одного разу на рік. Причинами внесення змін до Політики є зміни в інформаційної інфраструктурі та/або впровадженні нових інформаційних технологій, а також змінах в законодавчих, регуляторних та інших нормах.

Історія змін

Дата

Автор

Зміст змін

Керівник підрозділу

інформаційної безпеки                                                    (підпис)

 

ПОСАДОВА ІНСТРУКЦІЯ КЕРІВНИКА ВІДДІЛУ ФІЛІЇ БАНКУ

1. ЗаЗгальні положення

Дана посадова інструкція визначає функціональні обов'язки, права і відповідальність начальника відділу банку.

Начальник відділу банку відноситься до категорії керівників.

Начальник відділу банку призначається на посаду і звільняється з посади в установленому чинним трудовим законодавством порядку наказом директора банку.

  1.  Посадове підпорядкування:

1

Пряме підпорядкування

директору банку

2.

Додаткове підпорядкування

-

3

Віддає розпорядження

співробітникам відділу банку

4

Працівника заміщає

заступник начальника відділу банку

5

Працівник заміщає

-

 

 

          2.  кваліфікаційні вимоги до начальника відділу банку:

1.

Освіта*

вища професійна

2.

Досвід роботи

не менш 3 років

3.

Знання

Закони, інші нормативні правові акти України, що відносяться до діяльності фінансово-банківських установ.

Накази, відомчі інструкції і нормативні документи, що стосуються роботи відділу.

Основи економіки.

Перспективи розвитку фінансово-банківської системи і стратегічні напрямки діяльності банку.

Основи наукової організації праці.

Правила і норми охорони праці, техніки безпеки і протипожежного захисту.

4.

Навички

роботи зі спеціальності захисту інформації

5.

Додаткові вимоги

---

 

 

3.         3. Документи, які регламентують діяльність начальника відділу банку

3.1 З    - зовнішні документи:

Зак       - законодавчі і нормативні акти стосовно роботи, що виконується.

3.2        - Внутрішні документи:

Стат        Накази і розпорядження директора банку; Положення про відділ, Посадова інструкція начальника відділу банку, Правила внутрішнього трудового розпорядку.

 

 

4.      4.  По садові обов'язки начальника відділу банку

Начальник відділу банку:

4.1. Здійснює керівництво діяльністю відділу банку і несе персональну відповідальність за якість робіт, що виконуються відділом і результати його діяльності.

4.2. Забезпечує підготовку проектів поточних і перспективних планів робіт і здійснює контроль за виконанням задач, що стоять перед відділом банку.

4.3. Організує систематичний аналіз діяльності відділу банку і на його основі підготовляє необхідні проекти документів з питань, що входять у його компетенцію.

4.4. Підготовляє проекти положення про відділ банку і посадових інструкцій працівників відділу.

4.5. Очолює розробку проектів нормативних, методичних і інструктивних матеріалів по напрямках діяльності відділу банку.

4.6. Вивчає ефективність діючих правил і інструкцій, що стосуються діяльності банку й одночасно стосовних до роботи відділу банку. На основі аналізу специфіки ринку банківських послуг у різних регіонах вносить пропозиції по удосконалюванню зазначених документів.

4.7. Вживає заходи до впровадження в роботу відділу банку найбільш ефективних методів і технологій банківської діяльності.

4.8. Сприяє створенню необхідних умов праці і сприятливого морально-психологічного клімату в колективі.

4.9. Забезпечує дотримання працівниками відділу банку трудової дисципліни.

4.10. Розв'язує оперативні питання, підготовляє довідки, проекти відповідей на заяви, листи і скарги громадян, що стосуються роботи відділу банку.

4.11. Здійснює контроль, надає практичну і методичну допомогу відповідним структурним підрозділам банку, у тому числі з виїздом на місце.

4.12. Забезпечує збереження комерційної таємниці про діяльність банку і його клієнтів.

4.13. Забезпечує правильне застосування в роботі відділу банку діючого законодавства і ведення діловодства у встановленому порядку.

 

 

5.       5.Права начальника відділу банку

Начальник відділу банку має право:

5.1. Діяти від імені відділу, представляти інтереси підприємства у взаємовідносинах з іншими структурними підрозділами підприємства, організаціями й органами державної влади.

5.2. Здійснювати взаємодії з керівниками (співробітниками) усіх (окремих) структурних підрозділів підприємства.

5.3. Знайомитися з проектами рішень керівництва підприємства, що стосуються діяльності очоленого ним структурного підрозділу.

5.4. Вносити на розгляд керівництва пропозиції по поліпшенню діяльності підприємства і очоленого ним структурного підрозділу зокрема.

5.5. Брати участь у підготовці проектів наказів, інструкцій, указівок, а також кошторисів, договорів і інших документів, зв'язаних з діяльністю структурного підрозділу.

5.6. У межах своєї компетенції підписувати і візувати документи.

5.7. Самостійно вести листування зі структурними підрозділами підприємства, а також іншими організаціями з питань, що входять у його компетенцію.

5.8. Подавати пропозиції директору підприємства про залучення до матеріальної і дисциплінарної відповідальності посадових осіб очоленого ним структурного підрозділу за результатами перевірок.

 

 

6. В      6. Відповідальність начальника відділу банку

Начальник відділу банку несе відповідальність:

6.1. За неналежне виконання або невиконання своїх посадових обов'язків, передбачених даною посадовою інструкцією, - у межах, визначених чинним трудовим законодавством України.

6.2. За правопорушення, здійснені в процесі виконання своєї діяльності, - в межах, визначених чинним адміністративним, кримінальним і цивільним законодавством України.

6.3. За причинені матеріальні втрати - в межах, визначених чинним трудовим і цивільним законодавством України.

 

7.       Умови роботи начальника відділу банку

Режим роботи начальника відділу банку визначається згідно з Правилами внутрішнього трудового розпорядку, встановленими на підприємстві.

PAGE   \* MERGEFORMAT 105


Акция
Закажите работу сегодня со скидкой до 25%
Узнать стоимость работы
Рассчитаем за 1 минуту, онлайн


1. 97 Для успішного проведення екоаудиту та одержання від нього корисних результатів слід дотримуватись таких
2. Сущность организационных структур управления и перспективы их развития
3. Доклад- Пинк (Pink)
4. Роздавальна лінія закладу швидкого харчування
5. а Российской академии правосудия Специальность 030503 51 52 ~ Правоведение
6. . Жалпы зат есімді с~зді белгіле~із ~аратау B А~с~йек C Жетісу D ~асым E Бала 2
7. СОШ 6 г Новодвинска Общие положения Настоящее Положение разработано на основании-
8. Задание 13 Провести анализ обеспеченности добычи и достоверных запасов природных ресурсов нефти угля и
9. Системи штучного інтелекту статус дисципліни нормативна для спеціальності 6
10. монголотатарского ига
11. Что вы ожидали от курса
12. сумма денежных средств необходимых для его осуществления в соответствии с проектными материалами
13. Семен Венгеров
14. Заря Арсеньевского района Тульской области Справка Выдана студенту 5го курса 16 гру
15. Автоматизація та комп~ютерноінтегровані технології Спеціальність 7
16. ИНСТИТУТ СОВРЕМЕННЫХ ЗНАНИЙ ИМЕНИ А
17. Реферат- Понятие и признаки государственной власти
18. родитель ~ ребенок
19. Переходник Спецификация
20. тема- 2 Выберите документы на которые распространяются требования ГОСТ Р 6