- •Комплексная защита информации на предприятии банковской сферы оао «россельхозбанк»
- •Реферат
- •Обозначения и сокращения
- •Содержание
- •Введение
- •1 Оценка необходимости защиты информации в организации
- •1.1 Характеристика объекта защиты
- •1.2 Анализ нормативных документов
- •1.3 Инвентаризация информационных ресурсов
- •1.3.1 Описание информационной системы объекта защиты
- •1.3.2 Классификация требований информационной безопасности
- •1.3.3 Инвентаризация системы обеспечения информационной безопасности
- •1.3.4 Инвентаризация существующих средств защиты ресурсов и информации
- •2 Моделирование объектов защиты
- •2.1 Структурирование защищаемой информации
- •2.2 Проектирование моделей объектов защиты
- •2.3 Строение локальных вычислительных сетей в организации
- •Выводы по главе
- •3 Разработка мер по предотвращению утечки информации
- •3.1 Меры по предотвращению угроз связанных с несанкционированным доступом к информации ограниченного доступа
- •3.2 Защита от сетевых угроз
- •3.3 Защита загрузки операционной системы
- •3.4 Экономическая эффективность внедрения средств защиты информации
- •Выводы по главе
- •Заключение
- •Список использованных источников
- •Приложение а анкетный опрос и результаты ответов
1.3.3 Инвентаризация системы обеспечения информационной безопасности
Общее руководство системой обеспечения информационной безопасности в Банке осуществляют Президент и Правление банка.
Правление Банка:
утверждает и пересматривает политику информационной безопасности Банка;
отдельными процессами обеспечения информационной безопасности, утверждение положений о них;
обеспечивает условия и утверждает бюджет для эффективной реализации политики информационной безопасности;
рассматривает информацию и отчеты о состоянии информационноймбезопасности Банка.
организует процесс управления информационной безопасностью в Банке,
включая определение подразделений, ответственных за управление
Все подразделения Центрального аппарата Банка и их руководители отвечают за реализацию политики информационной безопасности и управление процессами ее обеспечения в рамках своей компетенции.
Управление безопасности:
разрабатывает нормативные, инструктивные и методические документы Банка по обеспечению информационной безопасности;
осуществляет контроль соответствия требованиям на всех стадиях жизненного цикла автоматизированных систем, от проектирования до снятия с эксплуатации;
осуществляет инструментальный контроль и мониторинг текущего состояния информационной безопасности, информирует об инцидентах информационной безопасности;
обеспечивает управление ключевыми системами средств криптографической защиты;
эксплуатирует специализированные средства обеспечения безопасности информационных активов Центрального аппарата и обеспечивает соответствие характеристик данных средств необходимому подразделениям Банка уровню доступности;
организует обучение персонала Банка по вопросам информационной безопасности;
разрабатывает требования по защите информационных активов в аспектах целостности и конфиденциальности на основе анализа рисков информационной безопасности ;
организует проведение единой антивирусной политики в Банке;
организует работу и осуществляет взаимодействие с администраторами информационной безопасности управлений Центрального аппарата; проводит расследования инцидентов и фактов нарушений информационной безопасности и информирует руководство Банка о результатах проведенного расследования;
регулярно (не реже одного раза в полгода) информирует руководство Банка о состоянии информационной безопасности в Банке, в том числе, в составе сводных отчетов;
обеспечивает взаимодействие с уполномоченными государственными органами по вопросам лицензирования и сертификации.
Управление технических средств и телекоммуникаций:
обеспечивает выполнение требований информационной безопасности при подключении и администрировании коммуникационного оборудования, операционных систем, СУБД и систем доставки;
проводит обновление системного ПО, связанное с устранением критичных уязвимостей;
обеспечивает доступность информационных активов в условиях отказов и других неблагоприятных событий в части коммуникационного оборудования, операционных систем, СУБД и систем доставки.
Управление внедрения и сопровождения автоматизированных систем:
обеспечивает выполнение требований информационной безопасности при администрировании автоматизированных банковских систем;
ведет Фонд программ и документации Банка;
осуществляет регистрацию и направление в УБ, УР и УВКРиА информации об инцидентах, имеющих отношение к информационной безопасности;
обеспечивает доступность информационных активов в условиях отказов и других неблагоприятных событий в части автоматизированных банковских систем.
Управление банковских систем
обеспечивает реализацию требований информационной безопасности в разрабатываемых и находящихся на сопровождении АБС.
Управление банковских технологий
разрабатывает требования в области банковских технологий, участвует в формировании решений, связанных с организацией технологических процессов, разрабатывает предложения по использованию современных банковских технологий с учетом требований по обеспечению информационной безопасности.
Управление рисков
совместно с УБ (в пределах своей компетенции) осуществляет анализ, оценку и прогноз риска, связанного с нарушением информационной безопасности Банка с привлечением, в случае необходимости, подразделений центрального аппарата.
Управление внутреннего контроля, ревизий и аудита:
осуществляет проверку надежности функционирования системы внутреннего контроля за использованием автоматизированных систем, включая контроль целостности баз данных и их защиты от несанкционированного доступа и (или) использования, наличие планов действий на случай непредвиденных обстоятельств.
Подразделения Банка:
совместно с Управлением безопасности проводят категорирование информационных активов, владельцами которых они являются, и определяют те из них, которые являются критичными;
совместно с Управлением безопасности участвуют в оценке рисков реализации угроз их информационным активам;
устанавливают в пределах своей компетенции режим и порядок доступа, правила работы с информационными активами, владельцами которых они являются;
разрабатывают нормативные и инструктивные документы с учетом требований информационной безопасности;
обеспечивают выполнение требований и процедур информационной безопасности при работе сотрудников с информационными активами Банка.
Администраторы информационной безопасности назначаются во всех подразделениях Банка и обеспечивают:
учет в подразделении информационных активов и сотрудников, имеющих к ним доступ;
контроль проведения антивирусных мероприятий и соблюдения требований безопасности;
инструктаж сотрудников по вопросам информационной безопасности.