- •Курсовая работа на тему «разработка политики информационной безопасности на предприятии оао акб связь-банк»
- •Оглавление
- •6.2 Антивирусная защита. 30
- •6.3 Защита от несанкционированного доступа, управление доступом. 30
- •6.4 Использование сети Интернет. 31
- •6.5 Использование средств криптографической защиты. 31
- •6.6 Защита банковских платежных и информационных технологических процессов. 32
- •6.7 Защита программно-технических комплексов информационной системы Банка 33
- •6.8 Обеспечение безопасности баз данных 34
- •6.9 Особенности обеспечения безопасности на рабочих станциях пользователей 35
- •9.1 Управление доступом пользователей 44
- •9.2 Аудит и протоколирование в информационной системе Банка 44
- •9.3 Обязанности пользователей 45
- •10.1 Разделение обязанностей 47
- •10.2 Защита баз данных 47
- •10.3 Резервное копирование и архивирование данных 47
- •10.4 Формирование, хранение и распределение ключевой информации 48
- •10.5 Организация учета и хранения защищаемых носителей информации 48
- •11.1 Доступность системы 50
- •Общие положения
- •1Термины и определения
- •2Обозначения и сокращения
- •4.1.2Внешние угрозы
- •4.2Классификация угроз для автоматизированных систем:
- •4.2.1Угрозы конфиденциальности данных и программ.
- •4.2.2Угрозы целостности данных, программ, аппаратуры.
- •4.2.3Угрозы доступности данных.
- •4.2.4Угрозы отказа от выполнения транзакций.
- •4.2.4.1Пассивные угрозы
- •4.2.4.2Активные угрозы
- •4.4Основными угрозами информационной безопасности автоматизированной системы, принятыми в Банка на основании п. 6.6. Стандарта бр сто бр иббс-1.0-2010 являются:
- •4.4.1Источники угроз на физическом, сетевом уровнях и уровне сетевых приложений:
- •4.6Основными критическими элементами средств автоматизации информационной системы Банка (в порядке убывания их важности) являются:
- •4.7Объектами защиты средств автоматизации являются:
- •6.8Обеспечение безопасности баз данных
- •6.8.1Функции безопасности системы защиты информации Банка в части обеспечения безопасности баз данных направлены на:
- •6.8.2Защита баз данных достигается путем:
- •8.2Информация, подлежащая защите.
- •8.2.1Информация, свободно распространяемая
Общие положения
1.1. Настоящий документ определяет основные направления политики информационной безопасности, цели и задачи, принципы ее организации, функционирования и правовые основы в компании ОАО АКБ Связь-Банк. Описывает виды угроз банковским активам и ресурсы, подлежащие защите, а также комплекс организационно-технических мер по защите автоматизированной системы Банка от несанкционированного доступа к циркулирующей в ней информации и незаконного вмешательства в процесс ее функционирования.
1.2. Требования настоящего документа распространяются на все структурные подразделения и пользователей информационной системы Банка.
1.3. Перечень мер по реализации «Политики информационной безопасности», а также структура управления системой защиты информации и ответственность должностных лиц могут варьироваться в соответствии с особенностями построения и организацией информационной системы Банка, с целью достижения разумного компромисса между защищенностью, удобством работы и стоимостью системы защиты информации.
Положения данной Политики разработаны согласно рекомендациям Стандарта Банка России СТО БР ИББС-1.0-2010.
1Термины и определения
Информационная система Банка – система, реализующая банковские платежные технологические процессы, банковские информационные технологические процессы, процессы жизненного цикла автоматизированных банковских систем в целом.
Банковский технологический процесс – технологический процесс, содержащий операции по изменению и (или) определению состояния банковской информации, используемой при функционировании или необходимой для реализации банковских услуг.
Информационный актив - информация с реквизитами, позволяющими ее идентифицировать, имеющая ценность и представленная на любом носителе.
Информационная безопасность – состояние защищенности информационных активов Банка в условиях угроз в информационной сфере.
Политика информационной безопасности – свод правил, процедур, практических приемов и руководящих принципов в области информационной безопасности, которыми руководствуется Банк в своей деятельности.
Инцидент информационной безопасности – событие, вызывающее действительное, предпринимаемое или вероятное нарушение информационной безопасности Банка, приводящее к нарушению конфиденциальности, целостности, доступности, учетности или неотказуемости.
Риск – неопределенность, предполагающая возможность потерь (ущерба).
Менеджмент риска – скоординированные действия по руководству и управлению в отношении риска с целью его минимизации.
Риск нарушения информационной безопасности – неопределенность, предполагающая возможность ущерба состояния защищенности интересов (целей) Банка в условиях угроз в информационной сфере.
Мониторинг информационной безопасности – постоянное наблюдение за событиями мониторинга ИБ, сбор, анализ и обобщение результатов наблюдения.
Аудит информационной безопасности – периодический, независимый и документированный процесс получения свидетельств аудита и объективной их оценки с целью установления степени выполнения в Банке требований по обеспечению информационной безопасности.
Автоматизированное рабочее место - в данном контексте - совокупность программного обеспечения, установленного на рабочие станции пользователей, позволяющего выполнять определенные функциональные задачи в рамках бизнес процессов.
Алгоритмы специального преобразования данных - алгоритмы, осуществляющие преобразование информации для обеспечения ее безопасности.
Аутентификация - проверка принадлежности субъекту доступа предъявленного им идентификатора, подтверждение подлинности
Аудит - отслеживание действий пользователей путем регистрации событий определенных типов в журналах регистрации.
Защищаемая информация (информация, подлежащая защите) - информация (сведения), являющаяся предметом собственности и подлежащая защите в соответствии с требованиями законодательных и иных нормативных документов или в соответствии с требованиями, устанавливаемыми собственником информации.
Защищаемые ресурсы (ресурсы, подлежащие защите) - информация, функциональные задачи, рабочие станции, подлежащие защите с целью обеспечения информационной безопасности подразделений банка, его клиентов, корреспондентов, а также его сотрудников.
Защищаемое помещение - помещение, в котором исключено неконтролируемое пребывание лиц, не имеющих на это право.
Категорирование защищаемых ресурсов - установление градаций важности обеспечения защиты (категорий) ресурсов и отнесение конкретных ресурсов к соответствующим категориям.
Класс защищенности - определенная совокупность требований по защите средств вычислительной техники (автоматизированной системы) от несанкционированного доступа к информации.
Ключевая информация - персональные ключи и информация, используемая для проверки подлинности и безопасного обмена данными по общедоступным сетям.
Конфиденциальность информации - субъективно определяемая (присваиваемая государством или собственником) характеристика (свойство) информации, указывающая на необходимость введения ограничений на круг субъектов (лиц), имеющих доступ к данной информации, и обеспечиваемая способностью системы (инфраструктуры) сохранять указанную информацию в тайне от субъектов, не имеющих полномочий на доступ к ней.
Концепция полномочий - система распределения полномочий для управления действиями, которые может выполнять пользователь.
Несанкционированный доступ - доступ к информации, нарушающий правила разграничения доступа с использованием штатных средств, предоставляемых средствами вычислительной техники или автоматизированными системами.
Структура управления средствами защиты информации - управляемая структура, объединяющая специалистов по защите информации различных подразделений Банка для решения задач по информационной безопасности информационной системы Банка, осуществления поддержки Политики информационной безопасности и контроля за ее выполнением.
Угроза информационной безопасности - совокупность условий и факторов, создающих опасность несанкционированного доступа к информации, циркулирующей в автоматизированных системах.
Учетная запись - запись, содержащая сведения, определяющие пользователя в системе (имя пользователя и пароль, а также права и разрешения, которые он имеет при работе в системе и доступе к ее ресурсам)
Формуляр - документ установленной формы, фиксирующий характеристики оборудования и удостоверяющий возможность эксплуатации данного оборудования.
Целостность информации - способность средства вычислительной техники или автоматизированной системы обеспечивать неизменность информации в условиях случайного и/или преднамеренного искажения (разрушения).