Состав, структура и основные направления деятельности специальных федеральных органов защиты информации в современной России

Автор работы: Пользователь скрыл имя, 30 Мая 2013 в 23:14, реферат

Описание работы

Информационные технологии в рамках функциональных биржевых подсистем применяются на различных биржах по-разному. Биржи могут иметь неодинаковый уровень автоматизации. Так, на Франкфуртской фондовой бирже компьютер применяется только для ввода информации о заключенных сделках, т.е. в рамках информационной подсистемы. Наряду с такой технологией известна и "электронная" биржа. ИС рынка ценных бумаг можно разделить на ряд подсистем, решающих определенные задачи по организации и проведению торгов. Рассмотрим применение информационных систем в деятельности бирж.

Содержание работы

ВВЕДЕНИЕ
ГЛАВА I Теоретические и практические основы применения современных информационных технологий в биржевой деятельности
1.1 Понятие, классификация и функции биржи ……………………………….4
1.2 Сущность биржевой деятельности…………………………………………5
1.3 Безопасность информационной системы биржи ………………………………….....8
ГЛАВА II Способы защиты информации в процессе биржевой деятельности
2.1 Система защиты информации в ЗАО «Санкт-Петербургской Международной Товарно-сырьевой Биржи» …………………………………………………….13
2.2 Защита от манипулирования курсами и прочих злоупотреблений на рынке валютных бирж …………………………………………………………………15
2.3 Порядок хранения и защиты информации на Московской фондовой
Бирже …………………………………………………………………………….18
ЗАКЛЮЧЕНИЕ
СПИСОК ЛИТЕРАТУРЫ

Файлы: 1 файл

РЕФЕРАТ 2.doc

— 159.00 Кб (Скачать файл)

На рисунке 1 представлен прогноз роста числа инцидентов в области ИБ, имеющих тяжелые последствия в крупных организациях по данным [8]. Основных причин две:

  • Возрастающая роль информационных технологий в поддержке бизнес процессов, как следствие возрастающие требования к ИБ автоматизированных систем. Цена ошибок и сбоев информационных систем возрастает.
  • Возрастающая сложность информационных процессов. Это предъявляет повышенные требования к квалификации персонала, ответственного за обеспечение ИБ. Выбор адекватных решений, обеспечивающих приемлемый уровень ИБ при допустимом уровне затрат, становится все более сложной задачей.

Первая причина  носит объективный характер, ей можно  противопоставить только способность организации обеспечивать возрастающие требования в области ИБ.

Для нейтрализации  воздействия второй причины необходимо отслеживать соответствие квалификации персонала, ответственного за обеспечение  ИБ и стоящих задач, получить объективную оценку состояния подсистемы ИБ.

Для решения  этих задач создаются организации  аудиторов в области ИБ, ставящие своей целью проведение экспертизы соответствия системы ИБ некоторым  требованиям, оценки системы управления ИБ, повышения квалификации специалистов в области ИБ. Статус таких организаций может быть как государственный (при национальных институтах стандартов) так и независимых международных организаций.

Идея проведения аудита ИБ и аттестации информационной системы на соответствие некоторым  требованиям не нова. Система аттестации обычно появляется одновременно с принятием стандартов ИБ.

В последнее  время в разных странах появилось  новое поколение стандартов в  области ИБ, посвященных практическим аспектам организации и управления ИБ, некоторые рассмотрены в. Особого внимания заслуживает британский стандарт BS7799 и ассоциированные документы, как наиболее проработанные и апробированные [9].

Построение  системы управления ИБ в соответствии с этими стандартами предполагает наличие:

  • явно декларированных целей в области безопасности;
  • эффективной системы менеджмента ИБ, имеющей совокупность показателей для оценки ИБ в соответствии с декларированными целями, инструментарий для обеспечения ИБ и оценки текущего ее состояния;
  • некоторой методики проведения аудита ИБ, позволяющей объективно оценить положение дел в области ИБ.

Технология  проведения аудита на соответствие подобным стандартам существенно отличается от технологий, применяемых для предыдущих поколений стандартов, к которым, в частности, относятся Руководящие документы (РД) Гостехкомиссии России 2009-2010 гг. Основное отличие заключается в гораздо большей степени формализации некоторых этапов, использовании поддающихся проверке показателей и критериев, то есть в большей детализации. Это, конечно, эволюционный путь развития, но на него в настоящее время специалистами возлагаются большие надежды: считается, что именно широкое использование процедур добровольной сертификации позволит переломить негативную тенденцию возрастания числа инцидентов в области ИБ, имеющих тяжелые последствия.

Следует отметить, что должный эффект может дать только комплексный подход к аудиту, то есть проверка на соответствие определенным требованиям не только программно-технической 

составляющей  некоторой информационной технологии, но и решений на процедурном уровне (организация работы персонала и регламентация его действий) и административном уровне

(корректность  существующей программы обеспечения  ИБ и практика ее выполнения).

Целями защиты информации являются:

  • предотвращение утечки, похищения, утраты, искажения, подделки, уничтожения, несанкционированного копирования информации;
  • предотвращение других форм незаконного вмешательства в информационные ресурсы и обеспечение правового режима документированной информации как объекта права собственности;
  • сохранение конфиденциальности документированной информации в соответствии с законодательством Российской Федерации и положениями документов Биржи.

Защите подлежит любая документированная информация, неправомерное обращение с которой  может нанести ущерб ее собственнику, владельцу, пользователю и иному лицу.

Органы (должностные  лица) Биржи, а также должностные  лица ее членов, ответственные за формирование, предоставление и использование  информационных ресурсов Биржи, подлежащих защите, руководствуются в своей деятельности законодательством Российской Федерации и положениями документов Биржи. Лица, которым передается конфиденциальная информация, являющаяся собственностью Биржи, могут получать такую информацию при условии принятия обязательства и предоставления гарантии обеспечения защиты информации в соответствии с документами Биржи. Биржа как собственник информационных ресурсов имеет право осуществлять контроль за выполнением требований по защите конфиденциальной информации и запрещать или приостанавливать передачу, обработку и распространение информации в случае невыполнения этих требований. Члены Биржи и участники торгов не вправе передавать без предварительного согласия уполномоченных органов (должностных лиц) Биржи информационные ресурсы Биржи иным лицам. Риск, связанный с использованием информации и информационных ресурсов Биржи, полученных без согласия и без санкции Биржи, лежит на потребителе такой информации и/или на лице, предоставившем такую информацию (информационные ресурсы). Члены Биржи и третьи лица, которым передаются права владения информационными ресурсами Биржи, обязаны оповещать Биржу как собственника информационных ресурсов о всех фактах нарушения режима защиты информации и вправе осуществлять правомочия владельца в рамках, установленных при передаче ему указанных документов. За нарушение членами Биржи условий и порядка предоставления Бирже информации, работы с документированной информацией, обеспечения защиты информации члены Биржи и их должностные лица несут ответственность в соответствии с законодательством Российской Федерации и положениями документов Биржи.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

ГЛАВА II Способы защиты информации в процессе биржевой деятельности

 

2.1 Система защиты информации в ЗАО «Санкт-Петербургской Международной Товарно-сырьевой Биржи» ЗАО

 

Краткая характеристика Биржи

ЗАО «Санкт-Петербургская  Международная Товарно-сырьевая Биржа» (СПбМТСБ) (www.s-pimex.ru) получила лицензию ФСФР 28 мая 2008 года. В состав учредителей  СПбМТСБ входят крупнейшие российские нефтяные компании «Транснефть», «Транснефтепродукт», «Роснефть», «Газпром нефть», «Татнефть», «Зарубежнефть», «Сургутнефтегаз», крупные

трейдерские и транспортные компании, «Совкомфлот», РЖД, а также

российские  банки.[17]

Постановка  задачи

Надежная защита информации относится к фундаментальным принципам работы

ЗАО «Санкт-Петербургская  Международная Товарно-сырьевая Биржа» (СПбМТСБ) как участника финансового  рынка, представляющего ключевой рыночный механизм формирования цен. Именно поэтому, закрывая для себя риск утечки ценных корпоративных данных по различным каналам передачи (электронная почта, Интернет, использование доступа к ресурсам корпоративной сети, запись на портативные устройства), СПбМТСБ предъявляла самые высокие требования к создаваемой системе противодействия утечкам.

 Защита от утечек конфиденциальной  информации

Для эффективной  работы Санкт-Петербургской Международной  Товарно-сырьевой Биржи защита конфиденциальной информации не должна мешать своевременному доступу к ней сотрудников. Поэтому  решение поставленной задачи по защите корпоративных данных

СПбМТСБ не могло  основываться на тривиальных методах, лишь частично снижающих риск утечки конфиденциальной информации, – разграничении  доступа, блокировании каналов

передачи и  т.п. Это определило выбор руководством Биржи комплексной DLP-системы,

контролирующей  и предотвращающей несанкционированное  перемещение

конфиденциальной  информации за пределы информационного  периметра организации, в

качестве оптимального технического решения. Для создания базы инцидентов с целью более тонкой настройки внедряемой DLP-системы под специфику работы СПбМТСБ (с использованием  блокировочных действий по отношению к наиболее важной для Биржи информации) на первом этапе решение было внедрено в режиме мониторинга перемещения конфиденциальной информации.[17]

В процессе опытной  эксплуатации проводилось интервьюирование руководителей СПбМТСБ, по итогам которого были установлены ключевые термины и конфиденциальные документы для каждого из отделов Биржи. Параллельно интервьюированию специалистами LETA IT-company проводилась настройка системы в соответствии с полученной информацией. После индивидуализированной доводки DLP-системы под потребности и специфику работы СПбМТСБ решение успешно прошло повторную опытную эксплуатацию, обеспечив руководству Биржи прозрачную картину имевшихся инцидентов и возможных рисков утечки.

По итогам проекта  специалисты LETA IT-company создали для  Санкт-Петербургской Международной  Товарно-сырьевой Биржи DLP-решение на базе программного продукта от ведущего производителя программного обеспечения по информационной безопасности, которое обеспечивает Бирже надежный контроль за распространением конфиденциальной информации за пределы предприятия по различным каналам в сочетании с богатым функционалом настроек DLP.[17]

Требования  к политикам безопасности системы определены в СПбМТСБ согласно сложившейся в организации практике. Система эффективно выполняет все возложенные на нее бизнес-функции:

• обнаружение  каналов утечки информации;

• выявление  нарушителей, которые нелегитимно  распространяют конфиденциальную информацию;

• отслеживание статистики количества инцидентов;

• повышение  доверия клиентов и партнеров  Биржи за счет снижения рисков и  количества инцидентов

 

2.2 Защита от манипулирования курсами и прочих злоупотреблений на рынке валютных бирж

 

Другим аспектом, тесно связанным с установлением  биржевых курсов, является выявление  на внебиржевом рынке мнимых сделок, сделок, направленных на манипулирование курсами, которое необходимо для того, чтобы устанавливаемый официальный курс отражал действительную рыночную цену иностранной валюты и был защищен от недобросовестных действий спекулянтов. Разработка соответствующих методик для внебиржевого валютного рынка представляет собой отдельную проблему, в то время как на биржах уже существуют и широко применяются методы обнаружения и пресечения манипуля- тивных действий и на стадии заключения сделок, и на стадии выставления заявок, Установление официального или справочного курса иностранной валюты требует меньших затрат, если оно осуществляется по результатам торгов на бирже. 
На межбанковском неорганизованном рынке всегда существует большая опасность недобросовестных действий со стороны отдельных его участников, чем на организованном биржевом.[16]

Механизмы защиты от манипулирования на рынке валют существовали уже в 19 - м веке. Так, статьи 88,89 Биржевого закона Германии устанавливали санкции в отношении тех, кто «с злостным намерением применяет рассчитанные на обман средства с целью повлиять на биржевую или рыночную цену», или «кто за сообщения в прессе, которыми должно быть оказано влияние на биржевой курс, доставит, пообещает, либо потребует, чтобы ему доставили или обещали выгоды, находящиеся в явном несоответствии с затраченным трудом». 
С 1896 года В Германии согласно имперскому Биржевому закону 1896 года на каждой бирже был также образован суд чести , задачей которого было привлечение к ответственности лиц, «которые в связи со своей деятельностью на бирже провинились проступком, несовместимым с честью или правом на купеческое доверие» (статья 10 Биржевого закона), например, планомерно пытались влиять на курс лживыми слухами, подкупом и пр. Еще одной мерой, предпринятой для защиты от неправомерной спекуляции, было введение биржевого регистра срочных сделок, позволяющего отследить все заключенные сделки. Сделки, не внесенные в биржевой регистр, лишались правовой защиты. 
В России на фондовом отделе санкт-петербургской биржи лица, злонамеренно воздействующие на курсы, могли быть исключены из членов биржи советом отдела или Министерством финансов. В установлении курсов в Котировальной комиссии участвовали представители Министерства финансов, которые должны были препятствовать попыткам недобросовестно воздействовать на котировку, то есть контролировать и ограничивать биржевую спекуляцию валютой.[15]

Рассмотрим  механизмы защиты от манипулирования валютными курсами на существующих валютных биржах. 
Грузия. Тбилисская межбанковская валютная биржа (TICEX) в пределах своей компетенции следит за соблюдением участниками правил торгов и условий контрактов. 
Запрещены такие мошеннические действия, как подача предложений на заключение сделки, условия которой участник заведомо не может исполнить, распространение ложной информации, которая может привести к искусственному искажению конъюнктуры рынка. Нарушители могут быть подвергнуты штрафу и отстранены от торгов. 
Национальным Банком Грузии утвержден Кодекс поведения участников валютного рынка. Задачами кодекса является определение принципов и стандартов поведения на валютном рынке. Поведение на рынке должно гарантировать надлежащую репутацию, высокий уровень профессионализма дилеров, участвующих в валютных сделках, так же как и штата сотрудников и старших менеджеров банковских организаций (ст. 1 раздела 1 кодекса). 
Деятельность дилингового штата банков должна контролироваться старшими менеджерами соответствующих банковских учреждений. Кроме того, управление должно утверждать в письменном виде руководящие принципы проведения, описывая функции, права и обязанности штата работников, участвующих в валютном рынке. 
Кодекс включает положения о надлежащем учете сделок в бухгалтерии организации, о специальном дилинговом отделении банков, о порядке заключения и подтверждения сделок, о конфиденциальности, запрете использования конфиденциальной информации и прочих важных вопросах. Имеются также положения, направленные на запрет персоналу банков злоупотреблять положением, совершать мошеннические действия при вступлении в валютные сделки. Трейдерам строжайше запрещено заключать сделки, направленные на собственную выгоду. Трейдеры, уличенные в присутствии на работе в нетрезвом виде, должны быть в обязательном порядке уволены с должности.[18] 
Кодекс не содержит мер ответственности за совершенные правонарушения. 
Беларусь. Биржа вправе отказать в допуске, прекратить допуск члена Секции к торгам (п.8 регламента проведения торгов), в частности, в следующих случаях:

нарушения или  неисполнения членом Секции требований нормативных правовых актов Национального  банка Республики Беларусь, локальных актов Биржи, определяющих порядок проведения торгов, расчетов по биржевым сделкам и иные нормы, регулирующие деятельность членов Секции; несоблюдения членом Секции условий договоров, регулирующих взаимоотношения члена Секции и Биржи. 
Решение о допуске, об отказе в допуске и прекращении допуска члена Секции к торгам принимается Генеральным директором Биржи и доводится до сведения члена Секции в письменной форме.

Информация о работе Состав, структура и основные направления деятельности специальных федеральных органов защиты информации в современной России