- •Курсовая работа на тему «разработка политики информационной безопасности на предприятии оао акб связь-банк»
- •Оглавление
- •6.2 Антивирусная защита. 30
- •6.3 Защита от несанкционированного доступа, управление доступом. 30
- •6.4 Использование сети Интернет. 31
- •6.5 Использование средств криптографической защиты. 31
- •6.6 Защита банковских платежных и информационных технологических процессов. 32
- •6.7 Защита программно-технических комплексов информационной системы Банка 33
- •6.8 Обеспечение безопасности баз данных 34
- •6.9 Особенности обеспечения безопасности на рабочих станциях пользователей 35
- •9.1 Управление доступом пользователей 44
- •9.2 Аудит и протоколирование в информационной системе Банка 44
- •9.3 Обязанности пользователей 45
- •10.1 Разделение обязанностей 47
- •10.2 Защита баз данных 47
- •10.3 Резервное копирование и архивирование данных 47
- •10.4 Формирование, хранение и распределение ключевой информации 48
- •10.5 Организация учета и хранения защищаемых носителей информации 48
- •11.1 Доступность системы 50
- •Общие положения
- •1Термины и определения
- •2Обозначения и сокращения
- •4.1.2Внешние угрозы
- •4.2Классификация угроз для автоматизированных систем:
- •4.2.1Угрозы конфиденциальности данных и программ.
- •4.2.2Угрозы целостности данных, программ, аппаратуры.
- •4.2.3Угрозы доступности данных.
- •4.2.4Угрозы отказа от выполнения транзакций.
- •4.2.4.1Пассивные угрозы
- •4.2.4.2Активные угрозы
- •4.4Основными угрозами информационной безопасности автоматизированной системы, принятыми в Банка на основании п. 6.6. Стандарта бр сто бр иббс-1.0-2010 являются:
- •4.4.1Источники угроз на физическом, сетевом уровнях и уровне сетевых приложений:
- •4.6Основными критическими элементами средств автоматизации информационной системы Банка (в порядке убывания их важности) являются:
- •4.7Объектами защиты средств автоматизации являются:
- •6.8Обеспечение безопасности баз данных
- •6.8.1Функции безопасности системы защиты информации Банка в части обеспечения безопасности баз данных направлены на:
- •6.8.2Защита баз данных достигается путем:
- •8.2Информация, подлежащая защите.
- •8.2.1Информация, свободно распространяемая
4.6Основными критическими элементами средств автоматизации информационной системы Банка (в порядке убывания их важности) являются:
сервера баз данных и приложений;
коммуникационное оборудование (компоненты) системы передачи данных (маршрутизаторы, концентраторы, модемы);
специализированные АРМ с установленными СКЗИ;
рабочие станции пользователей Банка.
4.7Объектами защиты средств автоматизации являются:
программно-технический комплекс в целом как автоматизированная система, обрабатывающая конфиденциальную информацию;
сервера баз данных и приложений;
специализированные автоматизированные рабочие места с установленными средствами криптографической защиты информации;
рабочие станции конечных пользователей;
каналы связи, посредством которых осуществляется информационный обмен;
помещения, в которых располагается серверная часть программно-технических комплексов и рабочие станции конечных пользователей (в зависимости от обрабатываемой информации).
4.8Система информационной безопасности Банка строится в соответствии с определенным характером угроз и основных элементов системы, на которые эти угрозы распространяются, а также с учетом требований Стандарта БР СТО БР ИББС-1.0-2010 по обеспечению информационной безопасности организаций банковской системы Российской Федерации.
5Система информационной безопасности БАНКА
Система информационной безопасности предприятия построена с соблюдением следующих правил:
5.1Профилактика возможных угроз
Необходимо своевременное выявление возможных угроз безопасности предприятия, анализ которых позволит разработать соответствующие профилактические меры.
5.2Законность
Меры по обеспечению безопасности разрабатываются на основе и в рамках действующих правовых актов. Локальные правовые акты предприятия не должны противоречить законам и подзаконным актам.
5.3Комплексное использование сил и средств
Для обеспечения безопасности используются все имеющиеся в распоряжении предприятия силы и средства. Каждый сотрудник должен, в рамках своей компетенции, участвовать в обеспечении безопасности предприятия.
5.4Координация и взаимодействие внутри и вне предприятия
Меры противодействия угрозам осуществляются на основе взаимодействия и координации усилий всех подразделений, служб предприятия, а также установления необходимых контактов с внешними организациями, способными оказать необходимое содействие в обеспечении безопасности предприятия. Организовать координацию может служба безопасности предприятия.
5.5Сочетание гласности с секретностью
Доведение информации до сведения персонала предприятия и общественности в допустимых пределах мер безопасности выполняет важнейшую роль — предотвращение потенциальных и реальных угроз.
5.6Компетентность
Сотрудники должны решать вопросы обеспечения безопасности на профессиональном уровне, а в необходимых случаях специализироваться по основным его направлениям.
5.7Экономическая целесообразность
Стоимость финансовых затрат на обеспечение безопасности не должна превышать тот оптимальный уровень, при котором теряется экономический смысл их применения.
5.8Плановая основа деятельности
Деятельность по обеспечению безопасности должна строиться на основе комплексной программы обеспечения безопасности предприятия.
5.9Системность
Этот принцип предполагает учет всех факторов, оказывающих влияние на безопасность предприятия, включение в деятельность по его обеспечению всех сотрудников, использование всех сил и средств.
6Требования к системе информационной безопасности
6.1Назначение и распределение ролей, обеспечение доверия к персоналу.
6.1.1Знание своих клиентов и служащих. Необходимо обладать информацией о своих клиентах, тщательно подбирать персонал, вырабатывать и поддерживать корпоративную этику, что создает благоприятную доверительную среду для деятельности Банка по управлению активами.
6.1.2Формирование ролей осуществляется на основании существующих бизнес-процессов Банка, и проводиться с целью исключения концентрации полномочий и снижения риска инцидентов ИБ, связанных с потерей информационными активами свойств доступности, целостности или конфиденциальности.
6.1.3Фактически сложившиеся права и полномочия персонала Банка не являются основанием при формировании ролей.
6.1.4Должны быть определены роли, связанные с деятельностью по обеспечению ИБ. Руководство Банка осуществляет координацию своевременности и качества выполнения ролей, связанных с обеспечением ИБ.
6.1.5Все работники Банка должны давать письменное обязательство о соблюдении конфиденциальности, приверженности правилам корпоративной этики, включая требования по недопущению конфликта интересов. При взаимодействии с внешними организациями и клиентами требования по обеспечению ИБ должны регламентироваться положениями, включаемыми в договоры (соглашения) с ними.
6.2Антивирусная защита.
6.2.1На всех рабочих станциях пользователей и серверах устанавливаются лицензионные средства антивирусной защиты.
6.2.2Производится постоянный антивирусный контроль программ и файлов данных на рабочих станциях и серверах.
6.2.3Обновления антивирусных баз производится ежедневно, в автоматическом режиме.
6.2.4Сотрудники службы информационной безопасности регулярно проводят аудит сообщений антивирусных средств.
6.3Защита от несанкционированного доступа, управление доступом.
6.3.1В Банке должны быть документально определены и утверждены руководством, выполняться и контролироваться процедуры идентификации, аутентификации, авторизации, управления доступом, контроля целостности, регистрации событий и действий. Процедуры управления доступом должны исключать возможность несанкционированного доступа. Результаты контроля процедур должны документироваться.
6.3.2Должен быть документально определен перечень информационных активов (их типов). Права доступа работников и клиентов организации Банка к данным активам должны быть документально зафиксированы.
6.3.3В составе информационной системы Банка должны применяться встроенные защитные меры.
6.3.4Порядок доступа работников Банка в помещения, в которых размещаются объекты среды информационных активов, должен быть регламентирован во внутренних документах, а его выполнение должно контролироваться.
6.3.5Работа всех пользователей осуществляется под уникальными учетными записями.
6.4Использование сети Интернет.
Сеть Интернет используется Банком для:
ведения дистанционного банковского обслуживания;
информационно-аналитической работы в интересах Банка;
обмена электронными сообщениями, например, почтовыми.
Использование сети Интернет в неустановленных целях запрещено.
6.5Использование средств криптографической защиты.
6.5.1Средства криптографической защиты должны быть сертифицированы уполномоченным государственным органом, либо реализованы на основе рекомендованных уполномоченным государственным органом алгоритмов, либо алгоритмов, определенных условиями договора с контрагентом (клиентом) Банка.
6.5.2Средства криптографической защиты используются для:
обмена информацией с региональным управлением Центрального Банка РФ;
обмена информацией с управлением Федеральной службы по финансовому мониторингу;
обмена информацией с центральным отделением банка;
обмена информацией с клиентами по системе удаленного банковского обслуживания;
обмена информацией с прочими организациями, в случаях, когда использование средств криптографической защиты установлено законодательством РФ.
6.5.3Информационная безопасность процессов изготовления и хранения ключевых документов средствами криптографической защиты обеспечивается комплексом технологических, организационных, технических и программных мер и средств защиты.
6.6Защита банковских платежных и информационных технологических процессов.
6.6.1Комплекс мер по обеспечению ИБ банковского платежного и информационного технологического процесса должен предусматривать:
6.6.2защиту платежной информации от искажения, фальсификации, переадресации, несанкционированного уничтожения, ложной авторизации электронных платежных сообщений;
6.6.3доступ работника Банка только к тем ресурсам банковского платежного технологического процесса, которые необходимы ему для исполнения должностных обязанностей или реализации прав, предусмотренных технологией обработки платежной информации;
6.6.4контроль (мониторинг) исполнения установленной технологии подготовки, обработки, передачи и хранения платежной информации;
6.6.5аутентификацию входящих электронных платежных сообщений;
6.6.6двустороннюю аутентификацию автоматизированных рабочих мест (рабочих станций и серверов), участников обмена электронными платежными сообщениями;
6.6.7возможность ввода платежной информации только для авторизованных пользователей;
6.6.8контроль, направленный на исключение возможности совершения злоумышленных действий (двойной ввод, сверка, установление ограничений в зависимости от суммы совершаемых операций и т.д.);
6.6.9восстановление платежной информации в случае ее умышленного (случайного) разрушения (искажения) или выхода из строя средств вычислительной техники;
6.6.10сверку выходных электронных платежных сообщений с соответствующими входными и обработанными электронными платежными сообщениями при осуществлении межбанковских расчетов;
6.6.11доставку электронных платежных сообщений участникам обмена.
6.6.12Должна осуществляться и быть регламентирована процедура восстановления всех реализованных программно-техническими средствами функций по обеспечению ИБ платежной информации. Регламентирующие документы должны быть согласованы со службой либо лицом, отвечающим в Банке за обеспечение ИБ.
6.7Защита программно-технических комплексов информационной системы Банка
6.7.1Предотвращение или существенное затруднение реализации потенциальных угроз безопасности обеспечивается реализацией следующих функций безопасности:
резервирование и восстановление ресурсов независимо на всех уровнях информационной системы Банка – для компенсации угроз, связанных с выходом из строя технических средств Банка, защиты от уничтожения, изменения информации, а также обеспечения устойчивости к критическим ситуациям, связанным с уничтожением информации;
обеспечение защиты конфиденциальной информации при помощи алгоритмов специального преобразования данных – для предотвращения перехвата потенциальным злоумышленником защищаемой информации при передаче ее по внешним каналам передачи данных;
система идентификации и аутентификации – для предотвращения несанкционированного доступа к информационным ресурсам информационной системы Банка потенциального злоумышленника;
ведение аудита на различных уровнях для реализации системы ответственности за нарушения политики безопасности;
применение специальных программно-технических средств – для разграничения информационной системы Банка, сетей общего пользования и глобальных сетей, а также логического разделения серверного сегмента информационной системы Банка и остальной корпоративной сети Банка.