Студопедия
Случайная страница | ТОМ-1 | ТОМ-2 | ТОМ-3
АвтомобилиАстрономияБиологияГеографияДом и садДругие языкиДругоеИнформатика
ИсторияКультураЛитератураЛогикаМатематикаМедицинаМеталлургияМеханика
ОбразованиеОхрана трудаПедагогикаПолитикаПравоПсихологияРелигияРиторика
СоциологияСпортСтроительствоТехнологияТуризмФизикаФилософияФинансы
ХимияЧерчениеЭкологияЭкономикаЭлектроника

Формирование режима безопасности информации

Читайте также:
  1. AUNTIE ANNE'S»: ФОРМИРОВАНИЕ ПОТРЕБИТЕЛЬСКИХ ПЕРЕЖИВАНИЙ В ТРАНЗИТНЫХ ЗОНАХ
  2. I. Демократия как тип политического режима.
  3. II. Корыстные источники информации
  4. III Построить графики амплитудных характеристик усилителя для четырех различных нагрузок и режима холостого хода, и определить динамический диапазон усилителя для каждого случая.
  5. III. Формирование, структура и организация работы
  6. PCI DSS v 2.0октябрь 2010 г.- стандарт защиты информации в индустрии платежных карт
  7. Security - Обеспечение безопасности

С учетом угроз безопасности информации Банка режим защиты должен формироваться как совокупность способов и мер защиты циркулирующей в информационной среде Банка информации и поддерживающей ее инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, влекущих за собой нанесение ущерба владельцам или пользователям информации.

Комплекс мер по формированию режима обеспечения безопасности информации включает:

· Установление в Банке организационно-правового режима обеспечения безопасности информации (разработку необходимых нормативных документов, работа с персоналом, правил делопроизводства);

· Организационные и программно-технические мероприятия по предупреждению несанкционированных действий (доступа) к информационным ресурсам корпоративной информационной системы Банка;

· Комплекс мероприятий по контролю функционирования средств и систем защиты информационных ресурсов ограниченного пользования после случайных или преднамеренных воздействий;

· Комплекс оперативных мероприятий подразделений безопасности по предотвращению (выявлению) проникновения в Банк лиц, имеющих отношение к криминальным структурам.

Организационно-правовой режим предусматривает создание и поддержание правовой базы безопасности информации, в частности, разработку (введение в действие) следующих организационно-распорядительных документов:

· Положение о коммерческой тайне. Указанное Положение регламентирует организацию, порядок работы со сведениями, составляющими коммерческую тайну Банка, обязанности и ответственность сотрудников, допущенных к этим сведениям, порядок передачи материалов, содержащих сведения, составляющим коммерческую тайну Банка, государственным (коммерческим) учреждениям и организациям;

· Перечень сведений, составляющих служебную и коммерческую тайну. Перечень определяет сведения, отнесенные к категориям конфиденциальных, уровень и сроки обеспечения ограничений по доступу к защищаемой информации.

Приказы и распоряжения по установлению режима безопасности информации:

допуске сотрудников к работе с информацией ограниченного распространения;

назначении администраторов и лиц, ответственных за работу с информацией ограниченного распространения в корпоративной информационной системе;

Инструкции и функциональные обязанности сотрудникам:

· по организации охранно-пропускного режима;

· по организации делопроизводства;

· по администрированию информационных ресурсов корпоративной информационной системы;

· другие нормативные документы.

Организационно-технические мероприятия по защите информации ограниченного распространения от утечки по техническим каналам предусматривают:

· комплекс мер и соответствующих технических средств, ослабляющих утечку речевой и сигнальной информации - пассивная защита;

· комплекс мер и соответствующих технических средств, создающих помехи при съеме информации - активная защита;

· комплекс мер и соответствующих технических средств, позволяющих выявлять каналы утечки информации - поиск.

Физическая охрана объектов информатизации включает:

· организацию системы охранно-пропускного режима и системы контроля допуска на объект;

· введение дополнительных ограничений по доступу в помещения, предназначенные для хранения информации ограниченного пользования;

· визуальный и технический контроль контролируемой зоны объекта защиты; применение систем охранной и пожарной сигнализации.

Выполнение режимных требований при работе с информацией ограниченного пользования предполагает:

· разграничение допуска к информационным ресурсам ограниченного пользования; разграничение допуска к ресурсам корпоративной информационной системы;

· ведение учета ознакомления сотрудников с информацией ограниченного пользования;

· включение в функциональные обязанности сотрудников обязательства о неразглашении и сохранности сведений ограниченного пользования;

· организация уничтожения информационных отходов;

· оборудование служебных помещений сейфами, шкафами для хранения бумажных и магнитных носителей информации.

Мероприятия технического контроля предусматривают:

· контроль за проведением технического обслуживания, ремонта носителей информации и средств вычислительной техники;

· проверки определенной части поступающего оборудования, предназначенного для обработки информации ограниченного пользования, на наличие специально внедренных закладных программ и устройств;

· оборудование компонентов и подсистем корпоративной информационной системы устройствами защиты от сбоев электропитания и помех в линиях связи;

· защита выделенных помещений при проведении закрытых работ;

· постоянное обновление технических и программных средств защиты от несанкционированного доступа к информации в соответствие с меняющейся оперативной обстановкой.

2.2 Оценка рисков информационных угроз безопасности защищённого документооборота

Оценка рисков информационных угроз безопасности защищённого документооборота

R(риск) = P(происшествия) × C(цена потери)

В методиках, рассчитанных на более высокие требования, используется модель оценки риска с тремя факторами: угроза, уязвимость, цена потери.

P(происшествия) = T(угрозы) × V(уязвимости)

Соответственно, риск рассчитывается по формуле.

R(риск)= T(угрозы) × V(уязвимости)× C(цена потери)

 

Таблица - Оценка рисков информационной безопасности

Наименование элемента информации Цена информации Вероятность угрозы Вероятность уязвимости Риск
         
Личные данные сотрудников   0,6 0,8  
Личные данные клиентов   0,6 0,8  
Приказы по личному составу   0,8 0,4  
Банковские счета   0,6 0,8  
Договора с клиентами   0,8 0,6  
Договора с банками   0,8 0,6  
Бухгалтерская отчётность   0,2 0,8  
Деловая переписка   0,8 0,4  
Сервер   0,4 0,4  
Компьютер с спец.по   0,4 0,4  
Информация об банковских картах   0,8 0,8  
Бытовой мусор (документы, вышедшие из оборота)   0,2 0.2  
      Итого:  

 

Исходя из расчетоа суммарный риск составляет 800840 рублей.

Вывод:

В данной главе была описана структуры комерческого банка было проведено структурирование защищаемой информации на рассматриваемом объекте, оценены риски угроз информационной безопасности. Результатом работы являются выработанные рекомендации по совершенствованию системы защищённого документооборота для туристической фирмы. В главе нашла свое отражение структурная схема комерческого банка, на основании которой можно вырабатывать правила организации документопотока.

Глава 3. Анализ документооборота банка

Документооборот в банке - комплекс банковских норм и правил, определяющих прохождение документов по подразделениям банков, порядок их обработки и оформления при совершении банковских операций.

Конфиденциальная информация - информация с ограниченным доступом, не содержащая сведений, составляющих государственную тайну, доступ к которой ограничивается в соответствии с законодательством Российской Федерации. В соответствии с Указам Президента РФ "Об утверждении перечня сведений конфиденциального характера", к конфиденциальной информации на рассматриваемом предприятии можно отнести сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность, а также сведения, связанные с коммерческой деятельностью, доступ к которым ограничен в соответствии с Гражданским кодексом Российской Федерации и федеральными законами.

Сотрудники банка выполняют следующие операции:

· приеме и выдаче расчетных чеков;

· проведении операций по аккредитивам;

· консультировании клиентов;

· хранение, учет ценных бумаг;

Для бумажных документов целесообразно ввести на предприятии следующие грифы:

"Коммерческая тайна", для документов, содержащих сведения, отнесённые на предприятии к коммерческой тайне;

"Конфиденциально", для документов, содержащих персональные данные.

Степень конфиденциальности сведений, содержащихся в документах имеющих грифы "Коммерческая тайна" и "Конфиденциально" может быть равна, однако, в соответствии со п.5 ст.10 закона "О коммерческой тайне", на документы содержащие коммерческую тайну необходимо наносить гриф "Коммерческая тайна", а не какой-либо другой.

 

Движение документов, содержащих конфиденциальные сведения, внутри организации.

Средства идентификации и аутентификации пользователей

В целях предотвращения работы с ресурсами информационной системы Банка посторонних лиц необходимо обеспечить возможность распознавания каждого легального пользователя. Для идентификации могут применяться различного рода устройства: магнитные карточки, ключи, ключевые вставки, дискеты и т.п.

Средства разграничения доступа

Технические средства разграничения доступа должны по возможности быть составной частью единой системы контроля доступа:

· на контролируемую территорию; в отдельные помещения;

· к компонентам информационной среды Банка и элементам системы защиты информации;

· к информационным ресурсам;

· к активным ресурсам;

· к операционной системе, системным программам и программам защиты.

Средства обеспечения и контроля целостности

Средства контроля целостности информационных ресурсов системы предназначены для своевременного обнаружения модификации или искажения ресурсов системы. Они позволяют обеспечить правильность функционирования системы защиты и целостность хранимой и обрабатываемой информации.

Криптографические средства защиты информации

Основными элементами системы, обеспечения безопасности информации Корпоративной информационной системы банка являются криптографические методы и средства защиты. Перспективным направлением, использования криптографических методов, является создание инфраструктуры безопасности и использованием открытых ключей.

Организация в Банке системы информационной безопасности на основе инфраструктуры с открытым ключом позволит решить следующие задачи, дающие преимущества бизнесу Банка:

организация обеспечения защищенного документооборота с использованием имеющихся систем, как внутри Банка, так и при взаимоотношениях с организациями-корреспондентами и клиентами Банка. Это позволит повысить эффективность и снизить накладные расходы на администрирование системы и использовать единые стандарты защиты данных;

возможность реализации системы информационной безопасности в Банке, централизованно контролируемой из центрального офиса Банка, при этом гибкой и динамически управляемой;

универсализация методов обеспечения доступа пользователей и защиты транзакций для системы электронной почты, автоматизированной банковской системы, системы дистанционного банковского обслуживания, системы доступа в Internet и других систем с использованием уже имеющихся в этих приложениях механизмов обеспечения информационной безопасности;

создание единого распределенного каталога учетных данных всех пользователей информационных систем Банка. Организация единого централизованно управляемого каталога позволит снизить расходы на администрирование и обеспечить оперативное управление учетными данными;

использование имеющихся реализаций российских криптографических алгоритмов в операциях с сертификатами и при защите электронного документооборота.

Все средства криптографической защиты информации в Банке должны строиться на основе базисного криптографического ядра, прошедшего всесторонние исследования специализированными организациями.

Ключевая система применяемых в Банке средств криптографической защиты информации должна обеспечивать криптографическую живучесть, разделение пользователей по уровням обеспечения защиты и зонам их взаимодействия между собой и пользователями других уровней.

Конфиденциальность и защита информации при ее передаче по каналам связи должна обеспечиваться также за счет применения в системе шифросредств абонентского шифрования. В корпоративной информационной системе, являющейся структурой с распределенными информационными ресурсами, также должны использоваться средства формирования и проверки электронной цифровой подписи, обеспечивающие целостность и юридически доказательное подтверждение подлинности сообщений, а также аутентификацию пользователей, абонентских пунктов и подтверждение времени отправления сообщений.

3.1. Анализ системы защиты конфиденциальной информации

С учетом всех требований и принципов обеспечения безопасности информации по всем направлениям защиты в состав системы защиты должны быть включены следующие средства:

· средства разграничения доступа к данным;

· средства криптографической защиты информации;

· средства регистрации доступа к компонентам информационной системы и контроля за использованием информации;

· средства реагирования на нарушения режима информационной безопасности;

· средства снижения уровня и информативности побочных излучений, создаваемых компонентами информационной системы Банка, предназначенными для обработки закрытой информации;

· средства снижения уровня акустических излучений;

· средства маскировки от оптических средств наблюдения;

· средства активного зашумления в радио и акустическом диапазонах.

На технические средства защиты возлагается решение следующих основных задач:

· идентификация и аутентификация пользователей при помощи имен или специальных аппаратных средств;

· регламентация и управление доступом пользователей в помещения, к физическим и логическим устройствам;

· защита от проникновения компьютерных вирусов и разрушительного воздействия вредоносных программ;

· регистрация всех действий пользователя в защищенном журнале, наличие нескольких уровней регистрации;

· Защита данных системы защиты на файловом сервере от доступа пользователей, в чьи должностные обязанности не входит работа с информации, находящейся на нем.

В данной работе в качестве начальных мер защиты документа оборота были выбраны следующие программно-аппаратные и инженерно-технические средства защиты информации.

3.1.1 ДБО BS-Client, «Банк-Клиент»

Отличительные особенности

ДБО - Дистанционное банковское обслуживание.

Программа использует любые системы коммуникации (в т.ч. по протоколу TCP/IP), наличие собственной транспортной подсистемы.

«Банк-Клиент» использует следующие сертификаты СКЗИ(Средства криптографической защиты информации), КриптоПро CSP R2, КриптоПро Etoken CSP, КриптоПро Рутокен CSP,Сигнал-Ком (продукты: СКЗИ Message Pro 3, Crypto Com 3.2, сервер сертификации Notary PRO).

Программа обладает удобным интерфейсом. Позволяет проводить добавление, изменение форм ввода, редактирования и печатных форм документов, вида экранов, иконок, панелей инструментов, правил ввода и редактирования, пользователей, меню, подключения справочников.

Наличие совместимости с бухгалтерскими системами, гибкость конфигурирования правил контроля документов АБО (автоматическое банковское обслуживание) и другим учетным базам данных.

Удаленное обновление клиентских частей - поддержка массовости внедрения системы.

К решаемым задачам относятся:

· Доставка и обработка различных типов платежных и иных формализованных документов в обе стороны.

· Обмен сообщениями произвольного формата.

· Получение выписок в различных видах и форматах, а также других документов и информации из банка.

· Построение расчетных и клиринговых систем в режиме реального или квазиреального времени.

· Новостной сервис.

· Конструктор документов.

· Обмен юридически значимыми документами В2В между клиентами банка.


Дата добавления: 2015-07-07; просмотров: 187 | Нарушение авторских прав


<== предыдущая страница | следующая страница ==>
Исполнитель: Русин А.О.| Kaspersky Business Space Security

mybiblioteka.su - 2015-2024 год. (0.016 сек.)