Читайте также:
|
Организационно-правовые нормы обеспечения безопасности и защиты информации на любом предприятии отражаются в совокупности учредительных и организационных документов.
Банк имеет право:
· определять состав, объем и порядок защиты конфиденциальной информации;
· требовать от сотрудников защиты конфиденциальной информации;
· осуществлять контроль за соблюдением мер обеспечения экономической безопасности и защиты конфиденциальной информации.
Банк обязан:
· обеспечить экономическую безопасность и сохранность конфиденциальной информации;
· осуществлять действенный контроль выполнения мер экономической безопасности и защиты конфиденциальной информации.
Необходимо в также добавить раздел "Конфиденциальная информация", который будет содержать следующее:
· Общество организует защиту своей конфиденциальной информации.
· Состав и объем сведений конфиденциального характера, и порядок их защиты определяются генеральным директором.
Внесение перечисленных дополнений даёт администрации банка право:
· создавать организационные структуры по защите коммерческой тайны или возлагать эти функции на соответствующих должностных лиц;
· издавать нормативные и распорядительные документы, определяющие порядок выделения сведений, составляющих коммерческую тайну, и механизмы их защиты;
· включать требования по защите коммерческой тайны в договоры;
· распоряжаться информацией, являющейся собственностью Банку, в целях недопущения экономического ущерба клиентам.
Администрация обязуется в целях недопущения нанесения экономического ущерба коллективу обеспечить разработку и осуществление мероприятий по защите конфиденциальной информации.
Трудовой коллектив принимает на себя обязательства по соблюдению установленных на фирме требований по защите конфиденциальной информации.
В раздел "Кадры. Обеспечение дисциплины труда" необходимо добавить: Администрация обязуется нарушителей требований по защите конфиденциальной информации привлекать к ответственности в соответствии с законодательством РФ.
Для защиты конфиденциальной информации в организации должны быть разработаны следующие нормативно-правовые документы:
· перечень сведений, составляющих банковскую тайну;
· договорное обязательство о неразглашении банковской тайны;
· инструкция по защите банковской тайны.
Защита информации, представленной в электронном виде, должна осуществляться в соответствии с требования РД ФСТЭК, и СТР-К.
В первую очередь следует разработать перечень сведений, составляющий коммерческую тайну
Сведения, включенные в Перечень, имеют ограниченный характер на использование. Ограничения, вводимые на использования сведений, составляющих коммерческую тайну, направлены на защиту интеллектуальной, материальной, финансовой собственности и других интересов, возникающих при организации трудовой деятельности работников её подразделений, а также при их сотрудничестве с работниками других предприятий.
Перечень должен доводиться не реже одного раза в год до всех сотрудников организации, которые используют в своей работе сведения, конфиденциального характера. Все лица принимаемы на работу в организацию, должны пройти инструктаж и ознакомиться с памяткой о сохранении конфиденциальной информации.
Сотрудник, получивший доступ к конфиденциальной информации и документам, должен подписать индивидуальное письменное договорное обязательство об их неразглашении. Обязательство составляется в одном экземпляре и хранится в личном деле сотрудника не менее 5 лет после его увольнения. При его увольнении из организации ему даётся подписка о неразглашении конфиденциальной информации организации.
Далее должна быть разработана инструкция, регламентирующая порядок доступа сотрудников к конфиденциальной информации, порядок создания, учёта, хранения и уничтожения конфиденциальной документов организации.
Аутентификация отдельных транзакций. Дополнительной мерой защиты может выступать использование многофакторной аутентификации не для получения доступа к системе web-банкинга, а для авторизации отдельных транзакций во время работы с ней. Способ обеспечивает частичную защиту от вредоносного ПО, работающего в уже открытой сессии пользователя. Для клиентов–физических лиц эта защита может считаться приемлемой ввиду удобства ее реализации: количество финансовых транзакций в рамках одной сессии в данном случае редко бывает значительным.
Оповещения о проведённых транзакциях. SMS и E-mail оповещения клиента о каждой транзакции могут также рассматриваться как средства борьбы с различными методами перехвата сессий работы с web-банкингом. Таким образом клиент всегда узнает о начале неправомерного использования его учётных данных. Кроме того, в соответствии с положениями нового закона? ФЗ-161, отсутствие уведомления клиента о совершённой транзакции рассматривается как безусловное перенесение ущерба от мошеннических операций на сторону банка.
Использование протокола SSL. Этот протокол позволяет обеспечить проверку подлинности сервера и шифрование сессии. Он применяется повсеместно в связи с тем, что реализован во всех современных браузерах, и позволяет избежать большого количества достаточно простых атак, таких как перехват аутентификационных данных или простые решения класса Man-in-the-Middle. В то же время протокол не обеспечивает защиту при компрометации браузера или подмене сертификатов корневых удостоверяющих центров на клиентских местах. Существуют также версии протокола с определенными слабостями и уязвимостями.
3.2.2 Программно-аппаратный комплекс «ТРИТОН»
Программно-аппаратный комплекс «ТРИТОН» предназначен для исследования технических возможностей организации и выявления несанкционированных сеансов связи (не декларируемых возможностей) с использованием стандартных радиоинтерфейсов - GSM-900/1800, CDMA, UMTS(3G), Wi-Max(4G), Bluetooth, Wi-Fi, ZigBee, DECT в системе проверки оргтехники.
Состав комплекса:
· Приемопередающий модуль с автономным питанием, блоком направленных антенн, в переносном кейсе - 2 шт.
· Выносной акустический излучатель - 1 шт.
· Управляющий компьютер - 1 шт.
· Комплект интерфейсных проводов - 1 шт.
· Экранирующая каркасная палатка из радиоткани - 1 шт.
Принцип действия прибора основан на воздействии провоцирующего шумового радиосигнала на исследуемый предмет с последующим анализом реакции на это воздействие.
Задача заключается в том, чтобы шумовым сигналом расстроить синхронизацию закладного устройства, замаскированного под стандартные радиоинтерфейсы, находящиеся под «таймированием», и тем самым заставить выйти его в эфир для поиска утраченных каналов синхронизации.
Процесс исследования происходит следующим образом:
На месте исследования развертывается палатка из радиоткани, в которой размещается один из автономных переносных модулей, считающийся основным, и исследуемый объект, располагаемый в непосредственной близости от модуля.
Второй модуль располагается на определенном расстоянии и рассматривается как элемент разнесенного приема. Его цель – отсечь ложное, фоновое излучение и дать возможность однозначно идентифицировать принадлежность излучения к исследуемому объекту. Входящие в состав каждого модуля приемо-передающие блоки настроены на частотные диапазоны, соответствующие радиоинтрефейсам - GSM-900/1800, CDMA, UMTS(3G), Wi-Max(4G), Bluetooth, Wi-Fi, ZigBee, DECT.
Базовый модуль формирует шумовой провоцирующий сигнал на соответствующих частотах, как одновременно, так и выборочно, в течение установленного промежутка времени. Затем шумовой сигнал отключается и оба модуля переходят в режим приема с накоплением полученных результатов. По окончании сеанса приема полученные данные от обоих модулей передаются на управляющую ПВЭМ, где происходит их анализ. Формирование помехового сигнала и анализ электромагнитной обстановки могут производиться как последовательно по каждому диапазону, так и параллельно для любого количества диапазонов.
Технические характеристики:
· Чувствительность приемников для всех диапазонов - не хуже минус 60 dBm
· Максимальная мощность передатчиков:
· GSM-900/1800 - 30 dBm
· CDMA - 27 dBm
· UMTS(3G) - 27 dBm
· Wi-Max(4G) - 27 dBm
· Bluetooth, Wi-Fi, ZigBee - 27 dBm
· DECT - 27 dBm
· Количество градаций регулировки мощности - 8
· Время приема и накопления - от 1с до 30с, с шагом 1 с
· Время облучения - от 0,5с до 10с, с шагом 100 мкс
Дата добавления: 2015-07-07; просмотров: 159 | Нарушение авторских прав
| <== предыдущая страница | | | следующая страница ==> |
| Kaspersky Business Space Security | | | NETDEFEND межсетевой экран |