- •Глава I. Обзор стандортов и подходов в области
- •Глава II. Анализ информационных
- •Глава III. Проект системы конденциальной информации…41
- •Введение.
- •Глава I. Обзор стандортов и подходов в области информационной безопастности.
- •1.1 Стандарт гост р исо/мэк 17799-2005.
- •1.2 Стандарт гост р исо/мэк 27001-2006.
- •1.3 Стандарт сто бр иббс-1.0-2008
- •1.4. Стандарт bs 7799-3:2006.
- •1.5. Обзор моделей построения информационных рисков.
- •Глава II. Анализ информационных рисков чп зао «лиса»
- •2.1 Информационная сеть и оборудование центрального офиса.
- •2.2 Информационная сеть и оборудование абк асу.
- •2.3 Информационная сеть и оборудование лаборатории физико – механических испытаний. Чп зао «Лиса».
- •2.4. Оценка рисков.
- •2.5 Анализ информационных рисков.
- •Глава III. Проект системы конденциальной информации.
- •3.1 Проект по изменению информационной сети Центрального офиса.
- •3.2 Проект по изменению информационной сети абк асу.
- •3.3 Проект по изменению информационной сети лаборатории физико - механических испытаний.
- •3.4 Система цифровых сертификатов.
- •3.5 Организационные меры по защите информации.
- •3.6. Внедрение системы защиты конфиденциальной информации в чп зао «Лиса»
- •3.7 Выводы.
- •Заключение.
- •Библиография
1.3 Стандарт сто бр иббс-1.0-2008
Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Данный стандарт является стандартом банка России, принят и введен в действие распоряжением банка России от 25 декабря 2008 года.
Данный стандарт распространяется на организации банковской системы Российской Федерации (БС РФ) и устанавливает положения по обеспечению ИБ в организациях БС РФ.
Настоящий стандарт рекомендован для применения путем включения ссылок на него и(или) прямого использования устанавливаемых в нем положений во внутренних нормативных и методических документах организаций БС РФ, а также в договорах.
Положения настоящего стандарта применяются на добровольной основе, если только в отношении отдельных положений обязательность их применения не установлена законодательством РФ, иными нормативными правовыми актами, в том числе нормативными актами Банка России.
Основные цели стандартизации:
- Развитие и укрепление БС РФ.
- Повышение доверия к БС РФ.
- Поддержание стабильности организаций БС РФ и на этой основе – стабильности БС РФ в целом.
- Достижения адекватности мер защиты реальным угрозам ИБ.
- Предотвращение и(или) снижение ущерба от инцидентов ИБ.
- Основные задачи стандартизации:
- Установление единых требований по обеспечению ИБ организаций БС РФ.
- Повышение эффективности мероприятий по обеспечению и поддержанию ИБ организаций БС РФ.
Стандарт содержит в себе 9 разделов:
Область применения.
Нормативные ссылки.
Термины и определения.
Обозначения и сокращения.
Исходная концептуальная схема (парадигма) обеспечения информационной безопасности организаций банковской системы Российской Федерации.
Модели угроз и нарушителей информационной безопасности организаций банковской системы Российской Федерации.
Система информационной безопасности организаций банковской системы Российской Федерации.
Система менеджмента информационной безопасности организаций банковской системы Российской Федерации.
Проверка и оценка информационной безопасности организаций банковской системы Российской Федерации.
Исходная концептуальная схема (парадигма) обеспечения информационной безопасности организаций банковской системы Российской Федерации.
Модели угроз и нарушителей информационной безопасности организаций банковской системы Российской Федерации. В данном разделе, как видно из названия, рассматривается модель угроз и нарушителей информационной безопасности. Дается понимание того, что существуют различные уровни информационной инфраструктуры, и на каждом из уровней методы и средства защиты и подходы к оценке эффективности являются различными. Приведены основные источники угроз информационной безопасности на различных уровнях информационной инфраструктуры.
Система информационной безопасности организаций банковской системы Российской Федерации. Содержит ряд требований по обеспечению, предъявляемых к:
Информационной безопасности при назначении и распределении ролей и обеспечении доверия к персоналу.
Информационной безопасности автоматизированных банковских систем на стадиях жизненного цикла.
Информационной безопасности при управлении доступом и регистрации.
Информационной безопасности средствами антивирусной защиты.
Информационной безопасности при использовании ресурсов сети Интернет.
Информационной безопасности при использовании средств криптографической защиты информации.
Информационной безопасности банковских платежных технологических процессов.
Информационной безопасности банковских информационных технологических процессов.
Система менеджмента информационной безопасности организаций банковской системы Российской Федерации. Так же, как и пункт 7, содержит перечень требований к:
Организации и функционированию службы информационной безопасности организации банковской системы Российской Федерации.
Определению/коррекции области действия системы обеспечения информационной безопасности.
Выбору/коррекции подхода к оценке рисков нарушения информационной безопасности и проведению оценки рисков нарушения информационной безопасности.
Разработке планов обработки рисков нарушения информационной безопасности.
Разработке/коррекции внутренних документов, регламентирующих деятельность в области обеспечения информационной безопасности.
Принятию руководством организации банковской системы Российской Федерации решений о реализации и эксплуатации системы обеспечения информационной безопасности.
Организации реализации планов внедрения системы обеспечения информационной безопасности.
Разработке и организации реализации программ по обучению и повышению осведомленности в области информационной безопасности.
Организации обнаружения и реагирования на инциденты информационной безопасности.
Организации обеспечения непрерывности бизнеса и его восстановления после прерываний.
Мониторингу и контролю защитных мер.
Проведению самооценки информационной безопасности.
Проведению аудита информационной безопасности.
Анализу функционирования системы обеспечения информационной безопасности.
Анализу системы обеспечения информационной безопасности со стороны руководства организации банковской системы Российской Федерации.
Принятию решений по тактическим улучшениям системы обеспечения информационной безопасности.
Принятию решений по стратегическим улучшениям системы обеспечения информационной безопасности.
Проверка и оценка информационной безопасности организаций банковской системы Российской Федерации. Описывает систему проведения проверки и оценки информационной безопасности организаций БС РФ, путем выполнения следующих процессов:
Мониторинг и контроль защитных мер.
Самооценка информационной безопасности.
Аудит информационной безопасности.
Анализ функционирования системы обеспечения информационной безопасности. [4]