- •Курсовая работа на тему «разработка политики информационной безопасности на предприятии оао акб связь-банк»
- •Оглавление
- •6.2 Антивирусная защита. 30
- •6.3 Защита от несанкционированного доступа, управление доступом. 30
- •6.4 Использование сети Интернет. 31
- •6.5 Использование средств криптографической защиты. 31
- •6.6 Защита банковских платежных и информационных технологических процессов. 32
- •6.7 Защита программно-технических комплексов информационной системы Банка 33
- •6.8 Обеспечение безопасности баз данных 34
- •6.9 Особенности обеспечения безопасности на рабочих станциях пользователей 35
- •9.1 Управление доступом пользователей 44
- •9.2 Аудит и протоколирование в информационной системе Банка 44
- •9.3 Обязанности пользователей 45
- •10.1 Разделение обязанностей 47
- •10.2 Защита баз данных 47
- •10.3 Резервное копирование и архивирование данных 47
- •10.4 Формирование, хранение и распределение ключевой информации 48
- •10.5 Организация учета и хранения защищаемых носителей информации 48
- •11.1 Доступность системы 50
- •Общие положения
- •1Термины и определения
- •2Обозначения и сокращения
- •4.1.2Внешние угрозы
- •4.2Классификация угроз для автоматизированных систем:
- •4.2.1Угрозы конфиденциальности данных и программ.
- •4.2.2Угрозы целостности данных, программ, аппаратуры.
- •4.2.3Угрозы доступности данных.
- •4.2.4Угрозы отказа от выполнения транзакций.
- •4.2.4.1Пассивные угрозы
- •4.2.4.2Активные угрозы
- •4.4Основными угрозами информационной безопасности автоматизированной системы, принятыми в Банка на основании п. 6.6. Стандарта бр сто бр иббс-1.0-2010 являются:
- •4.4.1Источники угроз на физическом, сетевом уровнях и уровне сетевых приложений:
- •4.6Основными критическими элементами средств автоматизации информационной системы Банка (в порядке убывания их важности) являются:
- •4.7Объектами защиты средств автоматизации являются:
- •6.8Обеспечение безопасности баз данных
- •6.8.1Функции безопасности системы защиты информации Банка в части обеспечения безопасности баз данных направлены на:
- •6.8.2Защита баз данных достигается путем:
- •8.2Информация, подлежащая защите.
- •8.2.1Информация, свободно распространяемая
6.2 Антивирусная защита. 30
6.2.1 На всех рабочих станциях пользователей и серверах устанавливаются лицензионные средства антивирусной защиты. 30
6.2.2 Производится постоянный антивирусный контроль программ и файлов данных на рабочих станциях и серверах. 30
6.2.3 Обновления антивирусных баз производится ежедневно, в автоматическом режиме. 30
6.2.4 Сотрудники службы информационной безопасности регулярно проводят аудит сообщений антивирусных средств. 30
6.3 Защита от несанкционированного доступа, управление доступом. 30
6.3.1 В Банке должны быть документально определены и утверждены руководством, выполняться и контролироваться процедуры идентификации, аутентификации, авторизации, управления доступом, контроля целостности, регистрации событий и действий. Процедуры управления доступом должны исключать возможность несанкционированного доступа. Результаты контроля процедур должны документироваться. 30
6.3.2 Должен быть документально определен перечень информационных активов (их типов). Права доступа работников и клиентов организации Банка к данным активам должны быть документально зафиксированы. 30
6.3.3 В составе информационной системы Банка должны применяться встроенные защитные меры. 31
6.3.4 Порядок доступа работников Банка в помещения, в которых размещаются объекты среды информационных активов, должен быть регламентирован во внутренних документах, а его выполнение должно контролироваться. 31
6.3.5 Работа всех пользователей осуществляется под уникальными учетными записями. 31
6.4 Использование сети Интернет. 31
6.5 Использование средств криптографической защиты. 31
6.5.1 Средства криптографической защиты должны быть сертифицированы уполномоченным государственным органом, либо реализованы на основе рекомендованных уполномоченным государственным органом алгоритмов, либо алгоритмов, определенных условиями договора с контрагентом (клиентом) Банка. 31
6.5.2 Средства криптографической защиты используются для: 31
6.5.3 Информационная безопасность процессов изготовления и хранения ключевых документов средствами криптографической защиты обеспечивается комплексом технологических, организационных, технических и программных мер и средств защиты. 32
6.6 Защита банковских платежных и информационных технологических процессов. 32
6.6.1 Комплекс мер по обеспечению ИБ банковского платежного и информационного технологического процесса должен предусматривать: 32
6.6.2 защиту платежной информации от искажения, фальсификации, переадресации, несанкционированного уничтожения, ложной авторизации электронных платежных сообщений; 32
6.6.3 доступ работника Банка только к тем ресурсам банковского платежного технологического процесса, которые необходимы ему для исполнения должностных обязанностей или реализации прав, предусмотренных технологией обработки платежной информации; 32
6.6.4 контроль (мониторинг) исполнения установленной технологии подготовки, обработки, передачи и хранения платежной информации; 32
6.6.5 аутентификацию входящих электронных платежных сообщений; 33
6.6.6 двустороннюю аутентификацию автоматизированных рабочих мест (рабочих станций и серверов), участников обмена электронными платежными сообщениями; 33
6.6.7 возможность ввода платежной информации только для авторизованных пользователей; 33
6.6.8 контроль, направленный на исключение возможности совершения злоумышленных действий (двойной ввод, сверка, установление ограничений в зависимости от суммы совершаемых операций и т.д.); 33
6.6.9 восстановление платежной информации в случае ее умышленного (случайного) разрушения (искажения) или выхода из строя средств вычислительной техники; 33
6.6.10 сверку выходных электронных платежных сообщений с соответствующими входными и обработанными электронными платежными сообщениями при осуществлении межбанковских расчетов; 33
6.6.11 доставку электронных платежных сообщений участникам обмена. 33
6.6.12 Должна осуществляться и быть регламентирована процедура восстановления всех реализованных программно-техническими средствами функций по обеспечению ИБ платежной информации. Регламентирующие документы должны быть согласованы со службой либо лицом, отвечающим в Банке за обеспечение ИБ. 33