Федеральное государственное бюджетное образовательное учреждение

высшего образования
АСТРАХАНСКИЙ ГОСУДАРСТВЕННЫЙ ТЕХНИЧЕСКИЙ
УНИВЕРСИТЕТ

Институт информационных технологий и коммуникаций

Кафедра «Информационная безопасность»

ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ФИНАНСОВОЙ И

БАНКОВСКОЙ ДЕЯТЕЛЬНОСТИ

Методические указания по выполнению практических работ

для студентов направления

10.03.01 Информационная безопасность

Астрахань 2023
Авторы:
асс. кафедры «Информационная безопасность» Харламова В.С.

Методические указания по выполнению практических работ для студентов направления 10.03.01

Информационная безопасность по дисциплине «Обеспечение безопасности финансовой и банковской
деятельности»
утверждены на заседании кафедры «Информационная безопасность»
« 31 » августа 2022 г., протокол №. 7

© Астраханский государственный технический университет

 СОДЕРЖАНИЕ

ПРАКТИЧЕСКАЯ РАБОТА 1. Изучение основных нормативно-правовых

документов по защиты данных в кредитно-финансовой сфере. . Законодательство в
банковской сфере…………………………………………………………………………………...4
ПРАКТИЧЕСКАЯ РАБОТА 2. Изучение информационных сервисов для получения
данных об организациях или гражданах для снижения репутационных и экономических
рисков при ведении бизнес-процессов............................................................................................4
ПРАКТИЧЕСКАЯ РАБОТА 3. Категорирование объектов критической
информационной инфраструктуры (КИИ)....................................................................................5
ПРАКТИЧЕСКАЯ РАБОТА 4. Персонал и его роль в утечке информации. Банковский
профайлинг. Процедуры приема, увольнения, контроля повышения осведомленности
сотрудников в кредитно-финансовой сфере..................................................................................6
ПРАКТИЧЕСКАЯ РАБОТА 5. Изучение DLP-систем................................................................6
ВОПРОСЫ ДЛЯ ИТОГОВОГО ТЕСТИРОВАНИЯ:..................................................................8
ЛИТЕРАТУРА...................................................................................................................................15
 ПРАКТИЧЕСКАЯ РАБОТА 1. Изучение основных нормативно-правовых
документов по защиты данных в кредитно-финансовой сфере. Законодательство в
банковской сфере
Используемое ПО: операционная система Windows 7/10, любой интернет-браузер.

Задание

1. Обсуждение базовых понятий в кредитно-финансовой сфере:

A. Банковская тайна;
B. Банк;
C. Кредитная организация;
D. Вкладчики банка;
E. Иностранный банк;
F. Коммерческая тайна;
G. Банк-эмитент;
H. Конфиденциальная информация
I. Доступ к информации, составляющей коммерческую тайну
2. Дать ответы на контрольные вопросы.
3. Преподаватель разбивает студентов на команды.
4. Команды получают список нормативных документов ФЗ и стандарт СТО БР
(например, Специалист по информационной безопасности в кредитно-финансовой
сфере) заранее для подготовки доклада с презентаций.
5. Докладчик (-и) от каждой команды представляют доклад.
6. Участники другой команды формулируют вопросы докладчикам.
7. Участники команды, представившей доклад, отвечают на вопросы.
8. Капитан команды фиксирует в таблице заработанные баллы участников.
ФИО Команда Балл (качество + Задание
выполнение)
Задание вопроса
Ответ на вопрос
9. Отчет по практике в виде презентации, тезисов и списка вопросов и ответов по
докладу выложить на портал ответственному.

Контрольные вопросы
1. Назовите ФЗ, в котором регулируются отношения, возникающие при:
- осуществлении права на поиск, получение, передачу, производство и распространение
информации;
- применении информационных технологий;
- обеспечении защиты информации.
2. Укажите основных регуляторов в банковском секторе.
3. Перечислите виды конфиденциальной информации.
4. Какой закон в Российской Федерации регулирует защиту персональных данных?
5. Что необходимо для доступа к банковской тайне? Кому доступны составляющие
банковскую тайну сведения?
 ПРАКТИЧЕСКАЯ РАБОТА 2. Изучение информационных сервисов для получения
данных об организациях или гражданах для снижения репутационных и экономических
рисков при ведении бизнес-процессов

Используемое ПО: операционная система Windows 7/10, любой интернет-браузер.

Теоретическая часть

Проверка контрагента – это широко распространенный термин, который обозначает сбор

и анализ информации о любом юридическом лице и/или индивидуальном предпринимателе.

Проверка контрагента делится на два вида:

- изучение контрагента в плане налоговых рисков и,

- проверка контрагента на надежность (финансовые, кредитные риски).

Целей у проверки контрагента может быть несколько:

1. Проверка контрагента с целью минимизации налоговых рисков;

2. Проверка контрагента с целью минимизации кредитно-финансовых рисков.

Основная проверка контрагента.

1. Первым делом нужно узнать, что контрагент зарегистрирован и, на данный момент, не
снят с учета, а также проверить реквизиты, указанные контрагентом в документах. Эту
информацию можно получить, запросив в налоговой выписку из ЕГРЮЛ/ЕГРИП. Выписку
можно получить через интернет на сайте ФНС РФ (https://egrul.nalog.ru/index.html)

- Сведения о государственной регистрации юридических лиц, индивидуальных

предпринимателей, крестьянских (фермерских) хозяйств.

2. Провести финансовый тест контрагента путем сравнения с отраслевыми показателями

(достаточно ввести ИНН) - https://www.testfirm.ru

3 Проверить контрагента в реестре дисквалифицированных лиц - так называемом

"черном списке" ФНС РФ (https://pb.nalog.ru/):

- Юридические лица, в состав исполнительных органов которых входят

дисквалифицированные лица.

Наличие компании в данном реестре, означает, что её руководитель был

дисквалифицирован, т.е. ему запрещено занимать руководящие должности за одно из
следующих нарушений: преднамеренное или фиктивное банкротство, сокрытие имущества
или имущественных обязательств, фальсификация бухгалтерских и иных учетных документов
и пр.

4. Узнать, не находится ли юридическое лицо в стадии ликвидации:

- Сообщения юридических лиц, опубликованные в журнале «Вестник государственной

регистрации» о принятии решений о ликвидации, о реорганизации, об уменьшении уставного
капитала, о приобретении обществом с ограниченной ответственностью 20% уставного
капитала другого общества, а также иные сообщения юридических лиц, которые они обязаны
публиковать в соответствии с законодательством Российской Федерации.

- Сведения, опубликованные в журнале «Вестник государственной регистрации» о

принятых регистрирующими органами решениях о предстоящем исключении недействующих
юр.лиц из ЕГРЮЛ (https://www.vestnik-gosreg.ru/).

5. Проверить отсутствие контрагента в списках банкротства:

http://www.kommersant.ru/bankruptcy/ или
https://www.kartoteka.ru/poisk_soobshcheniya_o_bankrotstve/

6. Далее необходимо проверить адрес регистрации контрагента на "массовость", т.к. это

один из признаков "фирм-однодневок"( https://pb.nalog.ru/)

- Адреса, указанные при государственной регистрации в качестве места нахождения

несколькими юридическими лицами.

7. Дополнительно проверяем адрес местонахождения:

- Сведения о юридических лицах, связь с которыми по указанному ими адресу (месту

нахождения), внесенному в Единый государственный реестр юридических лиц, отсутствует.

8. Уточнить отсутствие задолженности по налогам, и сдает ли отчетность контрагент:

- Сведения о юридических лицах, имеющих задолженность по уплате налогов и/или не

представляющих налоговую отчетность более года.

9. Сервис «Прозрачный бизнес» позволяет получить комплексную информацию о

налогоплательщике – организации. В сервисе есть ссылка на ЕГРЮЛ и Реестр МСП.

10. Государственный информационный ресурс бухгалтерской (финансовой) отчётности

(ГИР БО). С помощью этого ресурса можно получить баланс интересующего контрагент (
https://bo.nalog.ru).

Дополнительная проверка
11. Проверить есть ли решения налоговой о приостановлении по счетам
налогоплательщика (https://service.nalog.ru/bi.do)

12. Узнать, нет ли исполнительных производств в отношении контрагента и(или)

руководителя:

- Проверка наличия данных о контрагенте в Банке данных исполнительных производств

Федеральной службы судебных приставов (https://fssprus.ru/iss/ip)

13. Проверьте, не вносит ли контрагент изменения в сведения об организации,

учредительные документы:

- Сведения о юридических лицах и индивидуальных предпринимателях, в отношении

которых представлены документы для государственной регистрации, в том числе для
государственной регистрации изменений, вносимых в учредительные документы
юридического лица, и внесения изменений в сведения о юридическом лице, содержащиеся в
ЕГРЮЛ (https://service.nalog.ru/uwsfind.do)

14. Проверить, судится ли ваш контрагент по поводу или без повода, можно в Картотеке
арбитражных дел (https://kad.arbitr.ru/)

15. Узнать, есть ли данный контрагент в реестре недобросовестных поставщиков ФАС

РФ и Единой информационной системы в сфере закупок.

16. Проверить наличие сведений в Едином реестре плановых и внеплановых проверках

юридических лиц и индивидуальных предпринимателей Генпрокуратуры РФ
(https://proverki.gov.ru/portal)

17. Дополнительно можно посмотреть сведения о контрагенте в Едином реестре

сведений о фактах деятельности юридических лиц, который содержит данные об уставном
капитале, активах и наличии лицензий у организации (https://fedresurs.ru)

Проверка руководителя
18. Проверяем руководителя контрагента в реестре дисквалифицированных лиц:

- Поиск сведений в реестре дисквалифицированных лиц.

(https://service.nalog.ru/disqualified.do)

19. Проверяем наличие факта невозможности осуществления руководства,

установленного судом:

- Сведения о лицах, в отношении которых факт невозможности участия (осуществления

руководства) в организации установлен (подтвержден) в судебном порядке.

20. Смотрим сведения об участии руководителя, учредителя(-ей) контрагента в

нескольких юридических лицах:

- Сведения о физических лицах, являющихся руководителями или учредителями

(участниками) нескольких юридических лиц.

Если руководитель участвует во многих организациях и часть из них прекратила свою

деятельность — это может свидетельствовать о том, что контрагент является однодневкой.

21. Проверка по списку недействительных российских паспортов

(http://services.fms.gov.ru).

Сервисы для проверки контрагентов:

https://app.exbico.ru/
https://fssprus.ru/iss/ip
https://peney.net/
https://www.reestr-zalogov.ru/state/index#
https://bankrot.fedresurs.ru/
www.nalog.ru.
http://analizbankov.ru

ЗАДАНИЕ:
 1. Дать определение следующим понятиям:
a) Контрагент
b) OSINT
c) ЕГРИП
d) ЕГРЮЛ
e) Банк-кредитор
f) Лицензия
g) Проверка на «массовость»
2. Преподаватель делить группу на несколько команд.
3. Команда выбирает 1 организацию – потенциального заемщика из любой сферы
деятельности: медицина, фармацевтика, производство, добыча, торговля, строительство
(важно: сферы деятельности не должны повторяться).
4. Выбрать банк-кредитор (кроме Сбербанка, Газпромбанка, ВТБ).
5. Указать форму собственности.
6. Указать организационно-правовую форму коммерческих организаций. Описать
имущественную ответственность для нее с ссылками на нормативно-правовую базу
(ФЗ, Постановления, Лицензии).
7. Обратить внимание на возможность расхождения юридического и фактического
адресов, дать пояснения в таком случае.
8. Составить отчёт для проверяемого банка-кредитора и организации. Указываются
следующие разделы проверки: Основная проверка контрагента; Дополнительная
проверка; Проверка руководителя. В отчет включить показатель, ссылку и
скриншотом сайта-источника информации.
9. В команде определить ответственных за раздел проверки.
10. Подготовить вопросы для аудитории.
11. Отчет предоставить в виде презентации (не более 15 слайдов), тезисов и вопросов,
выложит на Портал.

КОНТРОЛЬНЫЕ ВОПРОСЫ
1. Кто не вправе заниматься предпринимательской деятельностью? Есть ли виды
деятельности не совместимые друг с другом?
2. Является ли ИП юридическим лицом? С какого возраста можно
зарегистрироваться в качестве ИП, где это прописано?
3. Какой деятельностью не вправе заниматься кредитная организация?
4. Какую отчетность необходимо сдавать юридическим лицам (банкам),
предпринимателям, как часто и куда? Вся ли она закрытая?
5. Укажите отличия ЕГРЮЛ от ЕГРИП.
6. Назовите основные сервисы для проверки информации о клиентах банка.
7. О чем говорит, что организация - «массовый» учредитель?
8. Каковы риски работы с контрагентом с массовым адресом регистрации?
9. Когда и зачем проверять кредитную историю?
10. В каких случаях могут быть расхождения фактического и юридического
адресов?
 ПРАКТИЧЕСКАЯ РАБОТА 3. Категорирование объектов критической
информационной инфраструктуры (КИИ) в кредитно-финансовой сфере

Используемое ПО: операционная система Windows 7/10, любой интернет-браузер.

Теоретическая часть.
Критическая информационная инфраструктура (КИИ) — совокупность
информационных систем и телекоммуникационных сетей, критически важных для работы
ключевых сфер жизнедеятельности государства и общества: здравоохранения,
промышленности, связи, транспорта, энергетики, финансового сектора и городского
хозяйства.

Объекты КИИ – это имеющиеся у субъектов КИИ:

 Информационные системы (ИС). Одним из наиболее распространенных видов

информационных систем являются информационные системы персональных
данных (ИСПДн).
 Информационно-телекоммуникационные сети (ИТКС). Самыми
распространенными видами информационно-телекоммуникационных систем
являются корпоративные информационные сети и сеть международного обмена
«Интернет».
 Автоматизированные системы управления (АСУ). Одним из наиболее
распространенных видов указанных систем являются автоматизированные
системы управления технологическими процессами (АСУ ТП) промышленных
предприятий.
Под субъектами КИИ понимаются: Государственные органы, государственные
учреждения, российские юридические лица и (или) индивидуальные предприниматели:
 функционирующие в одной из 14 сфер жизнедеятельности: здравоохранение,
наука, транспорт, связь, энергетика, банковская сфера, сферы финансового рынка,
топливно-энергетический комплекс, атомная энергетика, оборонная, ракетно-
космическая, горнодобывающая, металлургическая и химическая
промышленность;
 которым принадлежат (на праве собственности, аренды, ином законном
основании) объекты КИИ.
 Типология объектов КИИ.

Типология – это классификация объекта по его существенным признакам.

Классификация имеет познавательное значение и предназначена для постоянного
использования в науке или области практической деятельности, в целях выявления
существенных сходства и различия между предметами, а также систематизации объектов по
каким-либо признакам.
Прикладное (практическое) значение типологии в том, что правильное определение типа
объекта КИИ позволяет сформировать перечень мер, необходимых для обеспечения его
безопасности, в том числе с учетом требований специальных нормативных правовых актов:

По значимости, ОКИИ подразделяются на следующие виды:

По сфере функционирования можно выделить 14 областей:

 здравоохранение;
 наука;
 транспорт;
 связь;
 энергетика;
 банковская сфера;
 сфера финансовых рынков;
 топливно-энергетический комплекс;
 атомная энергетика;
 оборонная промышленность;
 ракетно-космическая промышленность;
 горнодобывающая промышленность;
 металлургическая промышленность;
 химическая промышленность.

С точки зрения практического применения следует учитывать два момента:

1. Для конкретной отрасли будет преобладающим конкретный вид объекта КИИ.

Классификация объектов КИИ по сфере функционирования:
 2. Необходимо оценивать, с точки зрения функционирования в той или иной сфере,
именно субъекта, а не объект КИИ.
При этом, важным становится вопрос о том, как определить сферу деятельности самой
организации. Очевидно, что основным документом, опираясь на который можно это сделать,
является выписка из Единого государственного реестра юридических лиц (ЕГРЮЛ), в которой
содержатся сведения о заявленных организацией видах деятельность и наличии у нее
лицензий. Кроме того, информация о сфере функционирования организации содержится в ее
Уставе (Положении). При этом, как правило, информация Устава (Положения) и ЕГРЮЛ
совпадает
 С практической точки зрения важность правильного определения вида системы
позволяет понять, какой перечень мер необходимо применять для обеспечения безопасности
ОКИИ.

Пояснение к таблице:

НК РФ – Налоговый кодекс Российской Федерации

98-ФЗ – Федеральный закон от 29.07.2004 № 98-ФЗ «О коммерческой тайне»
149-ФЗ – Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации,
информационных технологиях и о защите информации»
152-ФЗ – Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»
395-1 – Федеральный закон от 02.12.1990 № 395-1 «О банках и банковской
деятельности»
1119 – Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении
требований к защите персональных данных при их обработке в информационных системах
персональных данных»
 351 – Указ Президента Российской Федерации от 17.03.2008 № 351 «О мерах по
обеспечению информационной безопасности Российской Федерации при использовании
информационно- телекоммуникационных сетей международного информационного обмена»
17 – Приказ ФСТЭК России от 11.02.2013 № 17 «Об утверждении Требований о защите
информации, не составляющей государственную тайну, содержащейся в государственных
информационных системах»
21 – Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания
организационных и технических мер по обеспечению безопасности персональных данных при
их обработке в информационных системах персональных данных»
31 – Приказ ФСТЭК России от 14.03.2014 № 31 (ред. от 09.08.2018) «Об утверждении
Требований к обеспечению защиты информации в автоматизированных системах управления
производственными и технологическими процессами на критически важных объектах,
потенциально опасных объектах, а также объектах, представляющих повышенную опасность
для жизни и здоровья людей и для окружающей природной среды»
235 – Приказ ФСТЭК России от 21.12.2017 № 235 «Об утверждении требований к
созданию систем безопасности значимых объектов критической информационной
инфраструктуры российской федерации и обеспечению их функционирования»
239 – Приказ ФСТЭК России от 25.12.2017 №239 «Об утверждении Требований по
обеспечению безопасности значимых объектов КИИ РФ»
378 – Приказ ФСБ России от 10.07.2014 № 378 «Об утверждении Состава и содержания
организационных и технических мер по обеспечению безопасности персональных данных при
их обработке в информационных системах персональных данных с использованием средств
криптографической защиты информации, необходимых для выполнения установленных
Правительством Российской Федерации требований к защите персональных данных для
каждого из уровней защищенности»
382-П – Положение Банка России от 9 июня 2012 г. № 382-П «О требованиях к
обеспечению защиты информации при осуществлении переводов денежных средств и о
порядке осуществления Банком России контроля за соблюдением требований к обеспечению
защиты информации при осуществлении переводов денежных средств»
В таблице выше приведен перечень основных нормативно-правовых актов,
предусматривающих меры обеспечения безопасности объектов КИИ. Следует отметить, что
перечисленные в таблице нормативно-правовые акты, касающиеся иных ИС, не являются
исчерпывающими – приведены лишь документы, регламентирующие требования к
информационным системам, обрабатывающим наиболее распространенные виды тайн:
коммерческая, налоговая, банковская.
Таким образом, правильное определение типа объекта КИИ позволяет определить набор
мер, необходимых для создания системы безопасности, а также избежать ошибок при
категорировании.

Категорирование объектов КИИ.

В перечень объектов КИИ, подлежащих категорированию, включаются только те объекты,

которые обрабатывают информацию, необходимую для обеспечения критических процессов и (или)
осуществляют их управление, контроль или мониторинг, а, следовательно, они и подлежат
категорированию.
 Определение объектов КИИ
Далее следует составить таблицу объектов КИИ. В неё нужно включить наименование и
тип объекта, сферу его функционирования, а также сведения о представителе объекта: ФИО,
должность, номер телефона и адрес электронной почты.

Категорирование объекта
Для этой процедуры потребуется информация по расположению и назначению объекта
КИИ, его архитектуре, составе и используемых информационных технологиях,
заблаговременно составленная карта информационных потоков, а также информация по
используемым средствам защиты информации. Также важны сведения по подключению
объекта КИИ к сетям электросвязи и операторе связи, который его обслуживает. Наконец,
понадобится информация по эксплуатирующим элементы объекта лицам, обнаруженным
уязвимостям, а также мерах по обеспечению физической и промышленной безопасности.
 Итогом работы должны стать два вида документов:

 акт категорирования — один на все объекты КИИ;

 форма 236 — отдельно на каждый выявленный и категорированный объект КИИ.

ЗАДАНИЕ.
1. Дать определение следующим понятиям:
a) КИИ
b) Объекты КИИ
c) Субъекты КИИ
d) Критический процесс
e) Безопасность критической информационной инфраструктуры
f) Автоматизированная система управления
g) ГОССОПКА

2. Поделиться на команды по несколько человек. Выбрать ответственного в каждой

команде.
3. Изучить требования ФЗ для составления и категорирования перечня объектов
критической информационной инфраструктуры.
4. Выбрать по одной произвольной организации из перечня, определить является ли она
субъектом КИИ (деятельность организаций не должна совпадать).
5. Определить перечень управленческих, технологических, производственных,
финансово-экономических и (или) иных процессов в рамках выполнения функций
(полномочий) или осуществления видов деятельности субъекта критической
информационной инфраструктуры.
6. Определить перечень объектов КИИ и описать их в виде таблицы:
 7. Установить список критических процессов предприятия.
8. Провести категорирование объектов КИИ на примере выбранной организации.
9. Прописать порядок категорирования объектов КИИ.

КОНТРОЛЬНЫЕ ВОПРОСЫ
1. Дать определение критической инфраструктуры.
2. Перечислите виды объектов КИИ и дать их определения.
3. Дать определение субъектов КИИ.
4. Описать Порядок категорирования объектов критической информационной
инфраструктуры РФ. 
5. Сколько категорий значимости объектов критической информационной
инфраструктуры существует? Какая самая высокая категория?
6. Нормативно-законодательная база ФСТЭК России в сфере КИИ.
7. Перечислите задачи ГОССОПКА.
8. Что делать с объектами КИИ, не имеющими категорию значимости: как их учитывать,
как это фиксировать, оформлять и т.п.?
 ПРАКТИЧЕСКАЯ РАБОТА 4. Персонал и его роль в утечке информации.
Банковский профайлинг. Процедуры приема, увольнения, контроля повышения
осведомленности сотрудников в кредитно-финансовой сфере

Используемое ПО: Операционная система Windows 7/10, VirtualBox.

Теоретическая часть

Профайлинг – это методика «чтения» людей, основа которой взята из работы

специальных служб, применяющих свои практики для быстрого восприятия личности в целях
вербовки и верификации лжи.
Банковский профайлинг является одним из направлений методики верификации во
время переговоров с будущим заемщиком банка, сотрудниками, наблюдения за их поведением
и расшифровки намерений. Такое исследование позволяет существенно снизить ущерб от
невыплаченных кредитов, предотвратить утечку информации, способствует мирному
разрешению конфликтов.

Для успешной деятельности в качестве специалиста по защите информации необходимо

наличие базовых знаний по информатике, математике, иностранному язык, а также наличие
следующих профессионально-важных качеств:

 креативность, творческое мышление;

 хорошо развитое внимание (такие его параметры как объем, распределение и
концентрация);
 хорошая память (в особенности словесно-логическая);
 системность и гибкость мышления, аналитическое мышление;
 нацеленность на результат;
 высокая самомотивация на освоение новых знаний;
 организованность;
 высокая эмоциональная устойчивость;

Графический анализ подчерка.

Психодиагностика по почерку является настоящим «лабораторным анализом» личности, и она

хороша тем, что:

а) системна и позволяет применять типологический подход,

б) её несомненным преимуществом является решение извечной проблемы любого

психологического типирования – фактора субъективности в самом процессе типирования (с
обеих сторон), к такой психодиагностике невозможно подготовиться или представлять, как
примерно должно «ответить» такому человеку, как он (по его мнению), также –
диагностироваться можно много раз, не опасаясь, что человек к чему-то уже «привык» или
«слышал».

в) такая психодиагностика также не зависит и от каких-либо иных, не осознающихся помех,

которые могут исказить картину его ответов или реакций: он мотивации человека, его
самочувствия, настроения, усталости.
Примечание: особого внимания заслуживает тот факт, что в отличие от других методов
тестирования, графологический анализ индивидуален: использование типологий — лишь
предварительный этап. После того, как базовый психотип (точнее, типологические
пропорции) личности установлен, картина личности дополняется определением
неповторимых, присущих только ей, штрихов, особенностей развития, отклонений или
проблем. Важно понять, что реальные люди редко в точности подходят под описание
психотипов в чистом виде. Часто человеку присуще свойства нескольких типов.

Кроме того, определяющими моментами в личности часто могут стать лежащие за рамками
определения психотипов как таковых, черты (это могут быть неврозы, психологические
травмы, религиозные установки или убеждения, особенности воспитания, влияние среды.).
Анализ позволяет определить и уровень жизненных сил, сексуальных притязаний и
удовлетворённости данного человека.

Пример выводов графолога

Мужчина, 35 лет, с разнообразным опытом работы, в том числе на руководящих должностях,

обратился с запросом о трудностях выбора профессии.

* Далее приведены вспомогательные записи для очной консультации. Текст не является

образцом письменного анализа.

Обладает конкретным мышлением. Внимательно относится к деталям. Медлительный,

утопает в мелочах. Прежде чем подступиться к делу, сомневается и взвешивает, долго не
решается, так как присутствует страх ошибки. Не склонен к выполнению творческих задач.
Больше склонен к работе по алгоритму, инструкции. Способен тщательно соблюдать
технологию. Есть способности к работе руками, занятию ремеслами.

Хорошо воспринимает инструкции и умеет следовать им. Тщательный исполнитель. Способен

ясно излагать мысли устно и письменно, с деталями, пояснениями, но безэмоционально.
Способен планировать, рассчитывать ресурсы и выполнять задачи в срок. Не склонен к
самостоятельному воплощению идей. На эксперименты в работе не идёт, предпочитает
проверенные пути.

Доминирует потребность в четком структурировании работы. Стоит искать сочетания:

решение задач по алгоритмам, следование инструкциям, слежение за слаженностью и
правильностью выполнения процессов, формальный подход к задачам. Из предыдущего опыта
более релевантно: завхоз, менеджер по надзору, работа в сфере снабжения
Способен к сосредоточению, но в настоящий момент снижена способность к концентрации из-
за сильной усталости, противоречивости внутренних стремлений. Подходит режим работы с
возможностью самостоятельно планировать перерывы для восстановления. Устает от частых
контактов с коллегами, не только потому что интроверт, но ещё из-за затруднений в
построении взаимоотношений с коллегами, зацикленности на внутренних проблемах и
замкнутости.

Пример 2:

Процедура увольнения сотрудника.

Процедуры увольнения должны включать следующее:

 Уведомление всех отделов —отдела кадров, ИТ, физической защиты, службы

поддержки, финансового отдела и т.д.
 Выдворение служащего за пределы компании
 Удаление всех учетных записей и прекращение доступа к сети
 Сдача собственности, принадлежащей компании —переносные и карманные
компьютеры, электронные носители, конфиденциальные документы и т.д.

ЗАДАНИЕ

1. Дать определение следующим понятиям:

a) Профайлинг;
b) Полиграф;
c) Графологический анализ
d) Инсайдер

2. Принести рукописный конспект лекций студентов или другой текст (без

идентификаторов автора рукописи), попробуйте себя в роли графолога. Привести
аргументы в пользу утверждений относительно выявленных качеств автора письма.
3. Подобрать психологические тесты, в том числе тесты на профпригодность (не более 5),
которые могут быть применены в профотборе сотрудников в кредитно-финансовой
деятельности. На практическом занятии в добровольной форме протестировать кого-
нибудь из группы.

4. Выбрать гипотетический объект в кредитно-финансовой сфере и создать в ней

организационную структуру службы безопасности, прописать основные задачи.
Рассмотреть вопрос об использовании детектора лжи (полиграфа).

5. Преподаватель делить группу на команды. Раздаются карточки, в которых указана

хронология приема на работу и увольнения сотрудника. Определить правильную
последовательность, аргументирую ответ.

6. Отчет по работе должен содержать следующие пункты: графологический анализ (без

указания инициалов исследуемого), список тестов со скриншотами из источника,
описание структуры службы безопасности, хронологию увольнения сотрудника. Отчет
выложить на Портал.

КОНТРОЛЬНЫЕ ВОПРОСЫ

1. Что такое профайлинг и банковский профайлинг?

2. В каком случае используется полиграф?
3. Кто может быть инсайдером?
4. Назовите основные задачи службы безопасности банка.
5. Что представляет из себя проверка осведомленности сотрудников в области ИБ?

ПРАКТИЧЕСКАЯ РАБОТА 5. Изучение DLP-систем

Используемое ПО: Операционная система Windows 7/10, VirtualBox.

 https://docs.staffcop.ru/ml/index.html#id6

Теоретическая часть

Под DLP-системами принято понимать программные продукты, защищающие

организации от утечек конфиденциальной информации. Сама аббревиатура DLP
расшифровывается как Data Leak Prevention, то есть, предотвращение утечек данных.
Подобного рода системы создают защищенный цифровой «периметр» вокруг
организации, анализируя всю исходящую, а в ряде случаев и входящую информацию.
Контролируемой информацией должен быть не только интернет-трафик, но и ряд других
информационных потоков: документы, которые выносятся за пределы защищаемого контура
безопасности на внешних носителях, распечатываемые на принтере, отправляемые на
мобильные носители через Bluetooth и т.д.
Поскольку DLP-система должна препятствовать утечкам конфиденциальной
информации, то она в обязательном порядке имеет встроенные механизмы определения
степени конфиденциальности документа, обнаруженного в перехваченном трафике. Как
правило, наиболее распространены два способа: путём анализа специальных маркеров
документа и путём анализа содержимого документа. В настоящее время более распространен
второй вариант, поскольку он устойчив перед модификациями, вносимыми в документ перед
его отправкой, а также позволяет легко расширять число конфиденциальных документов, с
которыми может работать система.
Помимо своей основной задачи, связанной с предотвращением утечек информации,
DLP-системы также хорошо подходят для решения ряда других задач, связанных с контролем
действий персонала.
Наиболее часто DLP-системы применяются для решения следующих неосновных для
себя задач:
 контроль использования рабочего времени и рабочих ресурсов сотрудниками;
 мониторинг общения сотрудников с целью выявления «подковерной» борьбы,
которая может навредить организации;
 контроль правомерности действий сотрудников (предотвращение печати
поддельных документов и пр.);
 выявление сотрудников, рассылающих резюме, для оперативного поиска
специалистов на освободившуюся должность.
Каждая компания использует многочисленные средства для защиты от внешних атак, но
куда больший вред способен нанести человек, работающий внутри системы. Соответственно,
возникает вопрос о внутренней безопасности, которую необходимо тщательно продумать.
Вычислить инсайдера непросто. Для обнаружения и установления личности нарушителя
используют технические и программные средства, такие как DLP-системы и анализаторы
поведения (UBA, UEBA). Они созданы для предотвращения утечек конфиденциальных
данных; работа решений первого типа строится на анализе потоков информации, которые
выходят за пределы корпоративной сети, а второго — на изучении поведения пользователей с
применением специальных алгоритмов и статистического анализа для определения
значительных аномалий в поведении, которые указывают на потенциальные угрозы.
 Из национальных нормативно-правовых актов, на которые можно опираться при
внедрении DLP-решения, стоит выделить:
· 152-ФЗ. Касается всех, кто работает с персональными данными, не только
клиентскими, но также с информацией о сотрудниках;
· 161-ФЗ. Применяется к банковским, финансовым и иным организациям,
работающим с национальной платежной системой;
· Положение Банка России № 382-П. Регламентирует вопросы безопасности при
переводе денежных средств;
· 98-ФЗ. Касается практически всех субъектов хозяйствования, определяет
требования по защите коммерческой тайны;
· Приказы ФСТЭК 21, 17. В этих документах присутствует ряд мер по защите
информации, которые можно реализовать как раз только с помощью DLP-решений.

ЗАДАНИЕ

1. Дать определение следующим понятиям:

a) DLP-система
b) UEBA
c) UBA
d) Конфиденциальная информация
e) Риски ИБ
f) Инсайдер

1. Произвести сравнение DLP-решений по выбранным параметрам, оформить

результат в таблицу, используя данные с сайтов разработчиков, а также источник
литературы [4]:
 Сертификаты на продукт ФСТЭК России.
 Возможность установки агента на ОС, отличные от семейства Windows.
 Контролируемые каналы, протоколы и сервисы.
 Контроль IP-телефонии.
 Контроль облачных дисков и сервисов хранения.
 HTTPS с подменой сертификата.
 Снимки экрана.
 Учет рабочего времени пользователя.
 Цена.
 Контроль печати.
 Анализ текста в форматах офисных приложений.
 Наличие демо-версии.

Важно: делаем акцент на отечественные решения в целях имортозамещения.

2. Отчет предоставляется в виде презентации и текстового документа

3. Скачать демо-версию для изучения работы DLP-системы, например, с сайта

https://www.staffcop.ru/download
4. Изучить возможности программного комплекса (учет рабочего времени, а также
оценка эффективности сотрудников, контроль параметров и работы АРМ,
 контроль сетевой активности сотрудников, контроль локальной активности
сотрудников)
5. Изучить мануал к выбранной DLP-системе.
6. Продемонстрировать работу системы и включить в отчет скриншоты с
результатами.
7. Подготовить мини-тест по для самопроверки (5 вопросов)
8. Ответить на контрольные вопросы.
9. Отчет по практической работе (текстовый документ, мини-тест, контрольные
вопросы) выложить на Портал.

КОНТРОЛЬНЫЕ ВОПРОСЫ
1. Назначение DLP-решений.
2. Основной функционал DLP-систем.
3. Назовите известные DLP-продукты.
4. Что такое инсайдерская угроза?
5. Дайте пояснение терминам: теневое копирование, черный список, времязависимые
политики.
6. Назовите базовый принцип работы DLP-системы?
7. В чем заключается переход из старой DLP-системы в новую?
 ВОПРОСЫ ДЛЯ ИТОГОВОГО ТЕСТИРОВАНИЯ:

Задания открытого типа

№ Формулировка задания Варианты ответов

задания

1. Соотнесите термины с 1. IDS

определениями 2. SIEM
3. DLP
A. программное или аппаратное средство,
предназначенное для выявления в сети атак,
фактов вредоносной активности или нарушений
политики ИБ.
A. технологии предотвращения утечек
конфиденциальной информации из
информационной системы вовне, а также
технические устройства для такого
предотвращения утечек.
B. класс программных продуктов,
предназначенных для сбора и анализа
информации о событиях безопасности

2. Какая из приведенных техник A) Анализ затрат / выгоды

является самой важной при B) Результаты ALE (ALE — annual loss
выборе защитных мер? expectancy, ожидаемые годовые потери, т.е.
«стоимость» всех инцидентов за год.)
C) Выявление уязвимостей и угроз, являющихся
причиной риска
D) Анализ рисков

3. Соотнесите определение 1.Машинное обучение

термину: 2. Data Mining
1.Машинное обучение 3. Фрод-мониторинг
2. Data Mining
3. Фрод-мониторинг A. Процесс обнаружения в сырых данных ранее
неизвестных, нетривиальных, практически
A. Процесс обнаружения в полезных и доступных закономерностей,
сырых данных ранее интерпретации знаний, необходимых для
неизвестных, нетривиальных, принятия решений в различных сферах
практически полезных и человеческой деятельности.
доступных закономерностей, B. методики анализа данных, которые позволяют
интерпретации знаний, аналитической системе обучаться в ходе решения
необходимых для принятия множества сходных задач.
решений в различных сферах С. Комплекс мер, позволяющих оценить
человеческой деятельности. банковские или интернет-транзакции на степень
B. методики анализа данных, вероятности мошенничества в реальном режиме
которые позволяют времени.
аналитической системе
обучаться в ходе решения
 множества сходных задач.
С. Комплекс мер,
позволяющих оценить
банковские или интернет-
транзакции на степень
вероятности мошенничества в
реальном режиме времени.
4. 1. Аутентификация для a) SSL;
онлайн-платежей более b) 3D- secure;
безопасна с использованием c) Равноценны;
протокола: d) Другой протокол.
a) SSL;
b) 3D- secure;
c) Указанные протоколы
для аутентификации
равноценны;;
d) Другой протокол.

5. Что или кто определяет состав a. Руководитель организации, где обрабатывается

информации в перечне информация
конфиденциальных b. Закон
документов фирмы: c. Конкретные сотрудники, к которым попадает
a. Руководитель организации, информация для обработки
где обрабатывается
информация
b. Закон
c. Конкретные сотрудники, к
которым попадает информация
для обработки ?
6. Сопоставьте определение A. позволяющие перехватывать или копировать
канала утечки его описанию сведения, отражающиеся в визуальной форме, это
документы, информация, выведенная на экран
A. позволяющие монитора компьютера
перехватывать или копировать B.позволяющие перехватывать ведущиеся в
сведения, отражающиеся в помещении переговоры или разговоры по
визуальной форме, это телефонам
документы, информация, C. позволяющие получать данные, выраженные в
выведенная на экран монитора виде излучения электромагнитных волн, их
компьютера дешифровка может также дать необходимые
B.позволяющие перехватывать сведения
ведущиеся в помещении D. связанные с анализом предметов, документов
переговоры или разговоры по и отходов, возникших в результате деятельности
телефонам компании
C. позволяющие получать
данные, выраженные в виде 1. акустические
излучения электромагнитных 2. визуально-оптические
волн, их дешифровка может 3. электромагнитные
также дать необходимые 4. материальные
сведения
D. связанные с анализом
 предметов, документов и
отходов, возникших в
результате деятельности
компании

1. акустические
2. визуально-оптические
3. электромагнитные
4. материальные

7. Назовите ФЗ, в котором A. ФЗ "О персональных данных"

регулируются отношения, B. ФЗ "Об информации, информационных
возникающие при: технологиях  и защите информации"
1)осуществлении права на C. ФЗ "О государственной тайне"
поиск, получение, передачу,
производство и
распространение информации;
2) применении
информационных технологий;
3) обеспечении защиты
информации.

8. Какой принцип при разработке A. Принцип эшелонирования обороны

СЗИ заключается в  создании B. Принцип системности
нескольких последовательных C. Принципы равнопрочности и
рубежей защиты таким равномощности рубежей защиты
образом, чтобы наиболее
важная зона безопасности
находилась внутри других зон?
9. В течение какого срока A. Полгода
операторы связи и B. 3 месяца
организаторы распространения C. 5 лет
информации в сети Интернет
обязаны хранить на
территории РФ метаданные,
записи разговоров, текстовые
сообщения, изображения,
аудио- и видеозаписи, а также
иные электронные сообщения
пользователей ?
10. При разработке системы A. Принцип минимизации привилегий
защиты информации (СЗИ) B. Принцип системности
используют базовые C. Принцип эшелонирования обороны
принципы. Какой принцип D. Принцип простоты
требует учета самого слабого
звена в системе защиты?

11. Какая информация относится к A.нормативные правовые акты, затрагивающие

общедоступной? права, свободы и обязанности человека и
гражданина
B. информации о состоянии окружающей среды
C. сведения из учредительных документов
 D. сведения о задержках зарплаты
E. сведения о сущности изобретения
12. Укажите характеристики  1. имеющие значительные материальные
сотрудников  - потенциальных затруднения, тяжело больных близких
злоумышленников или родственников;
нарушителей политики  2. имеющие склонность к азартным играм,
обеспечения информационной пьянству, наркотической зависимости;
безопасности. 3. редко меняющие место работы;
4. часто меняющие место работы;
5. нет верного ответа;
13. Почему при проведении A. Поскольку люди в различных подразделениях
анализа информационных лучше понимают риски в своих подразделениях и
рисков следует привлекать к могут предоставить максимально полную и
этому специалистов из достоверную информацию для анализ.
различных подразделений B. Это не требуется. Для анализа рисков следует
компании? привлекать небольшую группу специалистов, не
являющихся сотрудниками компании, что
позволит обеспечить беспристрастный и
качественный анализ
C. Чтобы убедиться, что проводится
справедливая оценка.
D. Поскольку люди в различных подразделениях
сами являются одной из причин рисков, они
должны быть ответственны за их оценку.
14. С 1 апреля 2021 в России 1. ФЗ N 395-I «О Банках и банковской
вступили в силу ограничения, деятельности».
которые запрещают вносить 2. ФЗ 161 «О национальной платежной
наличные на свои счета в системе».
электронных кошельках 3. Международный стандарт безопасности
анонимно. С поправками в данных индустрии платежных карт Payment Card
какой документ это связано? Industry Data Security Standard – PCI DSS.

15. Отметьте неправильный ответ: 1) ЦБ РФ хранит на своих счетах средства

госбюджета и госзаймов
2) Банк России является юридическим лицом
3) Органы власти всех уровней имеют право
вмешиваться в деятельность ЦБ РФ.
4) Центробанк РФ не работает с физическими
лицами (исключение составляют
военнослужащие и служащие Банка России.

16. Выберите правильное а) структурное подразделение организации,

определение термина отвечающее за оперативный мониторинг
«ГосСОПКА»: качества IT-сервисов.
б) государственная система обнаружения,
предупреждения и ликвидации последствий
компьютерных атак на информационные
ресурсы РФ.
в) крупная государственная цифровая система
анализа рынка специалистов в сфере ИБ.
17. Как называется система 1. Политика ИБ
правил, которая излагает 2. Доктрина ИБ
 подход организации к 3. Регламент
управлению информационной
безопасностью, устанавливает
ответственность руководства?

18. Укажите основных 1.ФСБ,

регуляторов в банковском 2. ФСТЭК,
секторе. 3. Роскомнадзора,
4. ЦБ
5.Росфинмониторинга
6. Все ответы верны
19. Что такое SLA? 1)Процесс, отвечающий за управление
жизненным циклом всех инцидентов.
2) Соглашение об уровне обслуживания, внешний
документ существующий между заказчиком и
исполнителем, описывающий параметры
предоставляемой услуги.
3)Незапланированное прерывание услуги или
снижение качества услуги.
4)Резервные копии данных\конфигураций и
доступ к ним
20. Какие основные функции 1.Выявление признаков корпоративного
относятся к DLP системам? мошенничества;
Выберите 2 правильных 2.Взаимодействие с ГосСОПКА;
утверждения. 3.Контроль документации.
1.Выявление признаков 4.Сбор доказательной базы.
корпоративного
мошенничества;
2.Взаимодействие с
ГосСОПКА;
3.Контроль документации.
4.Сбор доказательной базы.

21. Большую защищенность от 1) магнитных банковских карточек;

мошенничества обеспечивает 2) интеллектуальных банковских карточек;
использование: 3) вопрос сформулирован некорректно, т.к.
вероятность угрозы не меняется.

Задания закрытого типа

 №
задани Формулировка задания
я
1. Инсайдер - любой источник утечки информации. Выберите один ответ:
Верно/Неверно
2. Как называется популярное программное средство для удаленной или локальной
диагностики различных элементов сети на предмет выявления в них различных
уязвимостей?
3. При трудоустройстве каждый новый сотрудник, должен подписать обязательство о
неразглашении служебной и коммерческой тайны. Выберите один ответ:
Верно/Неверно

4. Как называется психологическое манипулирование людьми с целью совершения

ими определенных действий или разглашения конфиденциальной информации.
Дать краткий ответ.

5. Как называется проверка принадлежности субъекту доступа предъявленного им

идентификатора?
6. Для обработки информации применяется строго определенный перечень
программных продуктов. Политикой безопасности запрещено использование
других программ в целях, не имеющих отношения к выполнению функциональных
обязанностей пользователей.
Как называется такой режим?

7. Как называется умышленная реализация уязвимостей в компьютерных системах,

приводящая к ущербу?

8. Каков косвенный ущерб от утечек информации?

9. Перечислите через запятую  грифы конфиденциальности документов, содержащих
коммерческую или служебную тайну, в порядке их важности.
10. Перечислите через запятую в алфавитном порядке в обеспечении каких основных
сервисов безопасности заинтересованы субъекты информационных отношений.
11. Попытка получения информации, циркулирующей в каналах связи, посредством их
прослушивания, относится к пассивной или активной угрозе?
12. Как называется одна из форм разведывательной деятельности спецслужб, элемент
недобросовестной конкуренции, в рамках которой осуществляется незаконное
получение, разглашение, использование информации, представляющей
коммерческую, служебную или иную тайну для получения преимуществ
предпринимательской деятельности и материальной выгоды.
13. Как называется процесс, когда специалист устраивает псевдоатаку на
корпоративную сеть, инсценируя действия реальных злоумышленников или атаку,
проводимую каким-то вредоносным программным обеспечением без
непосредственного участия самого взломщика для выявления слабых мест в защите
корпоративной сети.

14. Как называется операция, осуществленная в сети «Интернет» с использованием

реквизитов платежной карты без предъявления ее материального носителя

15. Существует ли уголовная ответственность за изготовление, покупку, хранение,

реализацию поддельных платежных карт, распоряжений о переводе денежных
средств, документов или средств оплаты,

16. Как одним словом называется установка на банкоматы нештатного оборудования,

которое позволяет фиксировать данные банковской для последующего хищения
денежных средств со счета банковской карты?

17. Какой термин используют для обозначения множества номеров банковских

карточек, которые не принимаются к обслуживанию и готовятся и рассылаются
процессинговым центром для блокирования?
 ЛИТЕРАТУРА

1. Гамза В.А. Безопасность банковской деятельности : учебник для вузов / В.А.

Гамза, И. Б. Ткачук, И.М. Жилкин. – 3-е изд., перераб. и доп. –М. : Издательство Юрайт, 2014.
-513 с.- Серия: Бакалавр. Базовый курс.
2. Информационная безопасность на производстве. [Электронный ресурс]. - Режим
доступа : https://Searchinform.ru/informatsionnaya-bezopasnost/osnovy-ib/informatsionnaya-
bezopasnost-v-otraslyakh/informatsionnaya-bezopasnost-na-proizvodstve/
3. Кожевникова, И. С. Применение машинного обучения для обнаружения сетевых
аномалий / И. С. Кожевникова, Е. В. Ананьин, А. В. Лысенко, А. В. Никишова. — Текст :
непосредственный // Молодой ученый. — 2016. — № 24 (128). — С. 19-21. — URL:
https://moluch.ru/archive/128/35376/ (дата обращения: 23.01.2021).
4. Сравнительный обзор средств предотвращения утечек данных (DLP) .
[Электронный ресурс]. - Режим доступа :
https://safe-surf.ru/specialists/article/5233/609990/#Особенности%20выбора%20DLP%20систем.
5. Программа для обеспечения информационной безопасности. [Электронный
ресурс]. Режим доступа : https://www.staffcop.ru/information-security/.
6. Что такое SIEM-системы и для чего они нужны? . [Электронный ресурс]. Режим
доступа : https://www.anti-malware.ru/analytics/Technology_Analysis/Popular-SIEM

6.3.1 Перечень программного обеспечения

Операционные системы Windows 7/8/10/Server 2012/Server 2016/Server 2019 лицензионный договор №1709-
KMR от 19.09.2019г.)
Adobe Reader (Открытое лицензионное соглашение GNU General Public License)
7-zip (Открытое лицензионное соглашение GNU GeneralPublicLicense)
Google Chrome, Mozilla FireFox, Opera (Открытое лицензионное соглашение GNU GeneralPublicLicense)
Open Office (Apache Software Foundation)
LibreOffice (Открытое лицензионное соглашение GNU GPL)
WinDjView Программа с открытым исходным кодом для просмотра файлов в формате DJV и DjVu.
Device Lock Демо-версия, система DLP

Microsoft Office 2007/2010/2013/2016/20 19 Лицензионный договор №НСП196/2020 от 04.06.2020

Deductor Соглашение о сотрудничестве № 53/10 от 07.10.2010 г
Образовательный портал MOODLE (Открытое лицензионное соглашение GNU General Public License)