Студопедия
Случайная страница | ТОМ-1 | ТОМ-2 | ТОМ-3
АвтомобилиАстрономияБиологияГеографияДом и садДругие языкиДругоеИнформатика
ИсторияКультураЛитератураЛогикаМатематикаМедицинаМеталлургияМеханика
ОбразованиеОхрана трудаПедагогикаПолитикаПравоПсихологияРелигияРиторика
СоциологияСпортСтроительствоТехнологияТуризмФизикаФилософияФинансы
ХимияЧерчениеЭкологияЭкономикаЭлектроника

Организационно-правовые мероприятия

Читайте также:
  1. III.Сценарий мероприятия.
  2. IV. МЕРОПРИЯТИЯ ФЕСТИВАЛЯ
  3. Анализ воздействий на окружающую среду и мероприятия по защите
  4. В ФОКУСЕ ВОСПИТАТЕЛЬНОГО МЕРОПРИЯТИЯ
  5. Виды субъектов предпринимательского права. Организационно-правовые формы предпринимательской деятельности.
  6. Водозащитные мероприятия.
  7. Военно-мобилизационные мероприятия и репрес­сивное законодательство СССР в 40-е гг.

Организационно-правовые нормы обеспечения безопасности и защиты информации на любом предприятии отражаются в совокупности учредительных и организационных документов.

Банк имеет право:

· определять состав, объем и порядок защиты конфиденциальной информации;

· требовать от сотрудников защиты конфиденциальной информации;

· осуществлять контроль за соблюдением мер обеспечения экономической безопасности и защиты конфиденциальной информации.

Банк обязан:

· обеспечить экономическую безопасность и сохранность конфиденциальной информации;

· осуществлять действенный контроль выполнения мер экономической безопасности и защиты конфиденциальной информации.

Необходимо в также добавить раздел "Конфиденциальная информация", который будет содержать следующее:

· Общество организует защиту своей конфиденциальной информации.

· Состав и объем сведений конфиденциального характера, и порядок их защиты определяются генеральным директором.

Внесение перечисленных дополнений даёт администрации банка право:

· создавать организационные структуры по защите коммерческой тайны или возлагать эти функции на соответствующих должностных лиц;

· издавать нормативные и распорядительные документы, определяющие порядок выделения сведений, составляющих коммерческую тайну, и механизмы их защиты;

· включать требования по защите коммерческой тайны в договоры;

· распоряжаться информацией, являющейся собственностью Банку, в целях недопущения экономического ущерба клиентам.

Администрация обязуется в целях недопущения нанесения экономического ущерба коллективу обеспечить разработку и осуществление мероприятий по защите конфиденциальной информации.

Трудовой коллектив принимает на себя обязательства по соблюдению установленных на фирме требований по защите конфиденциальной информации.

В раздел "Кадры. Обеспечение дисциплины труда" необходимо добавить: Администрация обязуется нарушителей требований по защите конфиденциальной информации привлекать к ответственности в соответствии с законодательством РФ.

Для защиты конфиденциальной информации в организации должны быть разработаны следующие нормативно-правовые документы:

· перечень сведений, составляющих банковскую тайну;

· договорное обязательство о неразглашении банковской тайны;

· инструкция по защите банковской тайны.

Защита информации, представленной в электронном виде, должна осуществляться в соответствии с требования РД ФСТЭК, и СТР-К.

В первую очередь следует разработать перечень сведений, составляющий коммерческую тайну

Сведения, включенные в Перечень, имеют ограниченный характер на использование. Ограничения, вводимые на использования сведений, составляющих коммерческую тайну, направлены на защиту интеллектуальной, материальной, финансовой собственности и других интересов, возникающих при организации трудовой деятельности работников её подразделений, а также при их сотрудничестве с работниками других предприятий.

Перечень должен доводиться не реже одного раза в год до всех сотрудников организации, которые используют в своей работе сведения, конфиденциального характера. Все лица принимаемы на работу в организацию, должны пройти инструктаж и ознакомиться с памяткой о сохранении конфиденциальной информации.

Сотрудник, получивший доступ к конфиденциальной информации и документам, должен подписать индивидуальное письменное договорное обязательство об их неразглашении. Обязательство составляется в одном экземпляре и хранится в личном деле сотрудника не менее 5 лет после его увольнения. При его увольнении из организации ему даётся подписка о неразглашении конфиденциальной информации организации.

Далее должна быть разработана инструкция, регламентирующая порядок доступа сотрудников к конфиденциальной информации, порядок создания, учёта, хранения и уничтожения конфиденциальной документов организации.

Аутентификация отдельных транзакций. Дополнительной мерой защиты может выступать использование многофакторной аутентификации не для получения доступа к системе web-банкинга, а для авторизации отдельных транзакций во время работы с ней. Способ обеспечивает частичную защиту от вредоносного ПО, работающего в уже открытой сессии пользователя. Для клиентов–физических лиц эта защита может считаться приемлемой ввиду удобства ее реализации: количество финансовых транзакций в рамках одной сессии в данном случае редко бывает значительным.

Оповещения о проведённых транзакциях. SMS и E-mail оповещения клиента о каждой транзакции могут также рассматриваться как средства борьбы с различными методами перехвата сессий работы с web-банкингом. Таким образом клиент всегда узнает о начале неправомерного использования его учётных данных. Кроме того, в соответствии с положениями нового закона? ФЗ-161, отсутствие уведомления клиента о совершённой транзакции рассматривается как безусловное перенесение ущерба от мошеннических операций на сторону банка.

Использование протокола SSL. Этот протокол позволяет обеспечить проверку подлинности сервера и шифрование сессии. Он применяется повсеместно в связи с тем, что реализован во всех современных браузерах, и позволяет избежать большого количества достаточно простых атак, таких как перехват аутентификационных данных или простые решения класса Man-in-the-Middle. В то же время протокол не обеспечивает защиту при компрометации браузера или подмене сертификатов корневых удостоверяющих центров на клиентских местах. Существуют также версии протокола с определенными слабостями и уязвимостями.

3.2.2 Программно-аппаратный комплекс «ТРИТОН»

Программно-аппаратный комплекс «ТРИТОН» предназначен для исследования технических возможностей организации и выявления несанкционированных сеансов связи (не декларируемых возможностей) с использованием стандартных радиоинтерфейсов - GSM-900/1800, CDMA, UMTS(3G), Wi-Max(4G), Bluetooth, Wi-Fi, ZigBee, DECT в системе проверки оргтехники.

Состав комплекса:

· Приемопередающий модуль с автономным питанием, блоком направленных антенн, в переносном кейсе - 2 шт.

· Выносной акустический излучатель - 1 шт.

· Управляющий компьютер - 1 шт.

· Комплект интерфейсных проводов - 1 шт.

· Экранирующая каркасная палатка из радиоткани - 1 шт.

Принцип действия прибора основан на воздействии провоцирующего шумового радиосигнала на исследуемый предмет с последующим анализом реакции на это воздействие.

Задача заключается в том, чтобы шумовым сигналом расстроить синхронизацию закладного устройства, замаскированного под стандартные радиоинтерфейсы, находящиеся под «таймированием», и тем самым заставить выйти его в эфир для поиска утраченных каналов синхронизации.

Процесс исследования происходит следующим образом:

На месте исследования развертывается палатка из радиоткани, в которой размещается один из автономных переносных модулей, считающийся основным, и исследуемый объект, располагаемый в непосредственной близости от модуля.

Второй модуль располагается на определенном расстоянии и рассматривается как элемент разнесенного приема. Его цель – отсечь ложное, фоновое излучение и дать возможность однозначно идентифицировать принадлежность излучения к исследуемому объекту. Входящие в состав каждого модуля приемо-передающие блоки настроены на частотные диапазоны, соответствующие радиоинтрефейсам - GSM-900/1800, CDMA, UMTS(3G), Wi-Max(4G), Bluetooth, Wi-Fi, ZigBee, DECT.

Базовый модуль формирует шумовой провоцирующий сигнал на соответствующих частотах, как одновременно, так и выборочно, в течение установленного промежутка времени. Затем шумовой сигнал отключается и оба модуля переходят в режим приема с накоплением полученных результатов. По окончании сеанса приема полученные данные от обоих модулей передаются на управляющую ПВЭМ, где происходит их анализ. Формирование помехового сигнала и анализ электромагнитной обстановки могут производиться как последовательно по каждому диапазону, так и параллельно для любого количества диапазонов.

Технические характеристики:

· Чувствительность приемников для всех диапазонов - не хуже минус 60 dBm

· Максимальная мощность передатчиков:

· GSM-900/1800 - 30 dBm

· CDMA - 27 dBm

· UMTS(3G) - 27 dBm

· Wi-Max(4G) - 27 dBm

· Bluetooth, Wi-Fi, ZigBee - 27 dBm

· DECT - 27 dBm

· Количество градаций регулировки мощности - 8

· Время приема и накопления - от 1с до 30с, с шагом 1 с

· Время облучения - от 0,5с до 10с, с шагом 100 мкс


Дата добавления: 2015-07-07; просмотров: 159 | Нарушение авторских прав


<== предыдущая страница | следующая страница ==>
Kaspersky Business Space Security| NETDEFEND межсетевой экран

mybiblioteka.su - 2015-2024 год. (0.008 сек.)