- •Комплексная защита информации на предприятии банковской сферы оао «россельхозбанк»
- •Реферат
- •Обозначения и сокращения
- •Содержание
- •Введение
- •1 Оценка необходимости защиты информации в организации
- •1.1 Характеристика объекта защиты
- •1.2 Анализ нормативных документов
- •1.3 Инвентаризация информационных ресурсов
- •1.3.1 Описание информационной системы объекта защиты
- •1.3.2 Классификация требований информационной безопасности
- •1.3.3 Инвентаризация системы обеспечения информационной безопасности
- •1.3.4 Инвентаризация существующих средств защиты ресурсов и информации
- •2 Моделирование объектов защиты
- •2.1 Структурирование защищаемой информации
- •2.2 Проектирование моделей объектов защиты
- •2.3 Строение локальных вычислительных сетей в организации
- •Выводы по главе
- •3 Разработка мер по предотвращению утечки информации
- •3.1 Меры по предотвращению угроз связанных с несанкционированным доступом к информации ограниченного доступа
- •3.2 Защита от сетевых угроз
- •3.3 Защита загрузки операционной системы
- •3.4 Экономическая эффективность внедрения средств защиты информации
- •Выводы по главе
- •Заключение
- •Список использованных источников
- •Приложение а анкетный опрос и результаты ответов
1.3.4 Инвентаризация существующих средств защиты ресурсов и информации
В отделении банка для защиты ресурсов и информации применяется следующее:
лицензионные программы;
контроль защищенности автоматизированной системы от несанкционированного доступа (НСД) к информации;
контроль безопасности межсетевого взаимодействия ИСПДн;
антивирус Касперского 2009 (Internet-Security);
пароль пользователей ПК;
антивирусная защита обеспечивается использованием в Банке специализированного программного обеспечения, по крайней мере, двух независимых производителей и их раздельной установкой на информационных ресурсах сети Банка и ресурсах;
запрещается использование Интернет для информационного взаимодействия между подразделениями Банка;
при невозможности централизованного обновления антивирусного и системного ПО периодичность, сроки и порядок проведения соответствующих мероприятий определяются оценкой имеющихся рисков вирусного заражения критичных информационных ресурсов и техническими возможностями такого обновления;
техническая возможность подключения пользователями к рабочим станциям ЛВС внешних накопителей информации, модемов, мобильных телефонов, беспроводных интерфейсов, использование ГМД, CD-ZDVD-дисководов максимально ограничивается;
использование ресурсов Интернет в подразделениях Банка разрешается исключительно в производственных целях;
использование канальных ресурсов Интернет для построения корпоративных сетей Банка не допускается;
предоставление услуг клиентам Банка и взаимодействие с партнерами по сети Интернет осуществляется с использованием специализированных систем и средств защиты, аттестованных на соответствие требованиям информационной безопасности;
подключение к рабочим станциям ЛВС Банка мобильных телефонов, беспроводных (радио) интерфейсов, модемов и прочего оборудования, позволяющего выходить в Интернет, запрещается;
применение средств криптографической защиты информации для обеспечения безопасности информационных активов Банка и взаимодействия с клиентами производится в соответствии с порядком, установленным государственными уполномоченными органами;
доступ сотрудников к ресурсам сети Интернет санкционируется руководством и согласовывается службой безопасности, которая во взаимодействии с администраторами информационной безопасности подразделений осуществляет контроль за соблюдением сотрудниками требований информационной безопасности, включая контентный анализ сообщений;
на узлах доступа в сеть Интернет принимаются необходимые меры для противодействия хакерским атакам и распространению спама;
порядок публикации информации в сети Интернет определяется отдельными регламентами. Обсуждение сотрудниками Банка на форумах и в конференциях сети Интернет вопросов, касающихся их служебной деятельности, допускается только при наличии соответствующих указаний руководства;
использование средств ЭЦП обеспечивает целостность электронного документа и подтверждение авторства подписавшей его стороны и является лучшей практикой организации электронного документооборота при взаимодействии с клиентами;
использование иных аналогов собственноручной подписи (кодов аутентификации, PIN-кодов и пр.) при взаимодействии с клиентами допускается в технически и экономически обоснованных случаях;
во внутренних системах Банка электронная цифровая подпись и/или другие механизмы криптографического контроля целостности используются в зависимости от результатов оценки рисков информационной безопасности , а также в случаях, когда необходимо строго разделить ответственность между подразделениями или сотрудниками Банка.
конфиденциальность банковской информации при передаче по публичным сетям и внешним каналам связи обеспечивается обязательным применением шифрования;
передаваемые клиентам банка средства шифрования должны обеспечивать возможность их использования только для организации защищенного взаимодействия с Банком;
риски, связанные с возможной компрометацией криптографических ключей или доступом к защищаемой информации в обход средств криптографической защиты, должны минимизироваться специальными техническими и организационными мерами;
технологические процессы максимально автоматизированы и обеспечивают возможность выполнения массовых и потенциально опасных операций без участия персонала за счет реализации эффективных процедур контентного контроля и защиты;
ключи электронной цифровой подписи, предназначенные для защиты финансового электронного документооборота Банка с клиентами и сторонними организациями, изготавливаются сторонами самостоятельно;
электронные документы, не прошедшие процедуры контентного контроля и защиты, на ручную обработку не передаются, а в подразделения или клиентам, от которых они поступили, направляются извещения о необходимости повторного ввода;
проводится политика максимального перевода клиентов на обслуживание в режиме полного защищенного электронного документооборота, что стимулируется тарифной политикой и бизнес-планами Банка.
для защиты технологических процессов по результатам анализа рисков информационной безопасности применяются как штатные средства безопасности сетевых операционных систем, СУБД, так и дополнительные программные и программно-аппаратные комплексы и средства криптографической защиты, в совокупности обеспечивающие достаточный уровень безопасности на всех участках и этапах технологического процесса.
Выводы по главе
При выполнении данной работы проанализировал информационные потоки, циркулирующие в учреждении. При анализе информации, были определены те ее элементы, которые в большей или меньшей степени нуждаются в проведении мер по защите. Проанализированы нормативно-правовые документы, на основе которых осуществляется защита информации в районном отделении коммерческого банка.