- •Курсовая работа на тему «разработка политики информационной безопасности на предприятии оао акб связь-банк»
- •Оглавление
- •6.2 Антивирусная защита. 30
- •6.3 Защита от несанкционированного доступа, управление доступом. 30
- •6.4 Использование сети Интернет. 31
- •6.5 Использование средств криптографической защиты. 31
- •6.6 Защита банковских платежных и информационных технологических процессов. 32
- •6.7 Защита программно-технических комплексов информационной системы Банка 33
- •6.8 Обеспечение безопасности баз данных 34
- •6.9 Особенности обеспечения безопасности на рабочих станциях пользователей 35
- •9.1 Управление доступом пользователей 44
- •9.2 Аудит и протоколирование в информационной системе Банка 44
- •9.3 Обязанности пользователей 45
- •10.1 Разделение обязанностей 47
- •10.2 Защита баз данных 47
- •10.3 Резервное копирование и архивирование данных 47
- •10.4 Формирование, хранение и распределение ключевой информации 48
- •10.5 Организация учета и хранения защищаемых носителей информации 48
- •11.1 Доступность системы 50
- •Общие положения
- •1Термины и определения
- •2Обозначения и сокращения
- •4.1.2Внешние угрозы
- •4.2Классификация угроз для автоматизированных систем:
- •4.2.1Угрозы конфиденциальности данных и программ.
- •4.2.2Угрозы целостности данных, программ, аппаратуры.
- •4.2.3Угрозы доступности данных.
- •4.2.4Угрозы отказа от выполнения транзакций.
- •4.2.4.1Пассивные угрозы
- •4.2.4.2Активные угрозы
- •4.4Основными угрозами информационной безопасности автоматизированной системы, принятыми в Банка на основании п. 6.6. Стандарта бр сто бр иббс-1.0-2010 являются:
- •4.4.1Источники угроз на физическом, сетевом уровнях и уровне сетевых приложений:
- •4.6Основными критическими элементами средств автоматизации информационной системы Банка (в порядке убывания их важности) являются:
- •4.7Объектами защиты средств автоматизации являются:
- •6.8Обеспечение безопасности баз данных
- •6.8.1Функции безопасности системы защиты информации Банка в части обеспечения безопасности баз данных направлены на:
- •6.8.2Защита баз данных достигается путем:
- •8.2Информация, подлежащая защите.
- •8.2.1Информация, свободно распространяемая
2Обозначения и сокращения
АБС — автоматизированная банковская система;
БС — банковская система;
ЖЦ — жизненный цикл;
ИБ — информационная безопасность;
НСД — несанкционированный доступ;
НРД — нерегламентированные действия в рамках предоставленных полномочий;
РФ — Российская Федерация;
СКЗИ — средство криптографической защиты информации;
СМИБ — система менеджмента информационной безопасности;
СИБ — система информационной безопасности;
СОИБ — система обеспечения информационной безопасности;
ЭВМ — электронная вычислительная машина;
ЭЦП — электронная цифровая подпись.
3ЦЕЛИ И ЗАДАЧИ ОБЕСПЕЧЕНИЯ иб
3.1Основной целью обеспечения информационной безопасности компании является сохранение конфиденциальности, целостности и доступности информации.
Также к целям политики безопасности относят:
3.1.1Обеспечение уровня безопасности, соответствующего нормативным документам компании.
3.1.2Следование экономической целесообразности в выборе защитных мер.
3.1.3Обеспечение соответствующего уровня безопасности в конкретных функциональных областях.
3.2Основными задачами обеспечения информационной безопасности являются:
защита от угроз утечки, утраты и несанкционированной модификации;
нейтрализация последствий от реализованных угроз;
обеспечение соответствия законодательству и стандартам.
4Модели угроз и нарушителей информациОННОЙ безопасности БАНКА
4.1Угрозы ИБ объекта защиты можно разделить на внутренние и внешние.
4.1.1Внутренние угрозы
неквалифицированная внутренняя политика компании по организации информационных технологий и управлению безопасностью;
отсутствие соответствующей квалификации персонала по обеспечению деятельности и управлению объектом защиты;
преднамеренные и непреднамеренные действия персонала по нарушению безопасности;
предательство персонала;
техногенные аварии и разрушения, пожары.
4.1.2Внешние угрозы
негативные воздействия недобросовестных конкурентов и государственных структур;
преднамеренные и непреднамеренные действия заинтересованных структур и физических лиц (сбор информации, шантаж, угрозы физического воздействия и др.);
утечка конфиденциальной информации на носителях информации и по каналам связи;
несанкционированное проникновение на объект защиты;
несанкционированный доступ к носителям информации и каналам связи с целью хищения, искажения, уничтожения, блокирования информации;
стихийные бедствия и другие форс-мажорные обстоятельства;
преднамеренные и непреднамеренные действия поставщиков услуг по обеспечению безопасности и поставщиков технических и программных продуктов.
4.2Классификация угроз для автоматизированных систем:
4.2.1Угрозы конфиденциальности данных и программ.
Реализуются при несанкционированном доступе к данным (например, к сведениям о состоянии счетов клиентов банка), программам или каналам связи.
Информация, обрабатываемая на компьютерах или передаваемая по локальным сетям, может быть снята через технические каналы утечки. При этом используется аппаратура, осуществляющая анализ электромагнитных излучений, возникающих при работе компьютера.
Такой съем информации представляет собой сложную техническую задачу и требует привлечения квалифицированных специалистов. С помощью приемного устройства, выполненного на базе стандартного телевизора, можно было перехватывать информацию, выводимую на мониторы компьютеров с расстояния в тысячу и более метров. Это утверждение верно касаемо старых ЭЛТ мониторов – про современные плоские мониторы такого не слышал – уровень излучения у них гораздо ниже.