- •Федеральное агенство по образованию
- •«Астраханский государственный университет»
- •Оглавление
- •Введение
- •Описание деятельности организации
- •Структура организации
- •Обеспечение безопасности организации
- •Анализ защищаемой информации
- •Обеспечение защиты коммерческой тайны
- •Основные этапы
- •Защита коммерческой тайны
- •Обеспечение защиты банковской тайны
- •Основные этапы
- •Защита банковской тайны
- •Модель разграничения доступа
- •Модель угроз
- •Меры по защите персональных данных
- •Меры по защите коммерческой и банковской тайны
- •Общие организационные меры
- •Документооборот
- •Заключение
- •Список используемых источников
- •Приложение 1
- •Приложение 2
- •Приложение 3
- •Приложение 4
- •I. Общие положения
- •II. Основные понятия и состав персональных данных работников
- •III. Сбор, обработка и защита персональных данных
- •IV. Передача и хранение персональных данных
- •V. Доступ к персональным данным работников
- •VI. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных
- •Приложение 5
- •Отзыв согласия на обработку персональных данных
- •Заявление-согласие субъекта на получение его персональных данных у третьей стороны.
- •По обеспечению сохранности информации, содержащую коммерческую тайну в оао «Росбанк»
- •Общие положения.
- •Определение информации и обозначение документов, содержащих коммерческую тайну
- •Организация работы с документами, имеющими гриф «дсп»
- •Порядок допуска к сведениям, составляющим коммерческую тайну
- •Контроль над выполнением требований внутри объектного режима при работе со сведениями, содержащими банковскую, коммерческую тайну.
- •Обязанности сотрудников банка работающих со сведениям, представляющими коммерческую тайну, ответственность за её разглашение.
- •Перечень категорий сведений Составляющих коммерческую тайну оао «Росбанк»
- •По обеспечению сохранности информации, содержащую банковскую тайну в оао «Росбанк»
- •1. Общие положения.
- •Определение информации и обозначение документов, содержащих банковскую тайну
- •Организация работы с документами, имеющими гриф «дсп»
- •Порядок допуска к сведениям, составляющим банковскую тайну
- •Контроль над выполнением требований внутри объектного режима при работе со сведениями, содержащими банковскую тайну.
- •Обязанности сотрудников банка работающих со сведениям, представляющими банковскую тайну, ответственность за ее разглашение.
- •Перечень категорий сведений Составляющих банковскую тайну оао «Росбанк»
- •Приложение 8
- •Информационной безопасности акционерного банка (Открытое Акционерное Общество)
- •1. Общие положения
- •2. Цели и задачи
- •3. Принципы организации и функционирования системы информационной безопасности
- •4. Правовое обеспечение информационной безопасности
- •5. Объекты защиты
- •6. Основные виды угроз объектам информационной безопасности
- •7. Порядок проведения работ по обеспечению информационной безопасности
- •8. Защита информации в автоматизированных системах и сетях
- •9. Организация безотказной работы
- •1.Общие положения:
- •10. Защита речевой информации
- •11. Защита информации на материальных носителях
- •12. Управление информационной безопасностью
- •13. Ответственность
- •Приложение 9
- •Инструкция о контрольно-пропускном режиме оао «Росбанк»
- •I. Общие положения
- •II. Порядок приема клиентов, посетителей и выдачи пропусков
- •III. Порядок пропуска лиц
- •IV. Порядок пропуска транспортных средств и материальных ценностей
- •Приложение 10
- •Документопоток Запрос
Модель угроз
Наименование угрозы
Вероятность реализации угрозы
Возможность реализации угрозы
Опасность угрозы
Актуальность угрозы
Угрозы от утечки по техническим каналам.
Угрозы утечки акустической информации
Высокая
Высокая
Средняя
Актуальная
Угрозы утечки видовой информации.
Просмотр информации на дисплее сотрудниками, не допущенными к обработке конфиденциальной информации
Высокая
Высокая
Средняя
Актуальная
Просмотр информации на дисплее посторонними лица, находящимися в помещении в котором ведется обработка конфиденциальной информации
Высокая
Высокая
Средняя
Актуальная
Просмотр информации на дисплее посторонними лицами, находящимися за пределами помещения в котором ведется обработка конфиденциальной информации
Средняя
Средняя
Средняя
Актуальная
Просмотр информации с помощью специальных электронных устройств внедренных в помещении, в котором ведется обработка конфиденциальной информации
Средняя
Средняя
Средняя
Актуальная
Угрозы утечки информации по каналам ПЭМИН.
Утечка информации по сетям электропитания
Средняя
Средняя
Средняя
Актуальная
Побочные излучения технический средств
Низкая
Низкая
Низкая
Неактуальная
Утечки за счёт, электромагнитного воздействия на технические средства
Низкая
Низкая
Низкая
Неактуальная
Угрозы несанкционированного доступа к информации.
Угрозы уничтожения, хищения аппаратных средств и носителей конфиденциальной информации путём физического доступа к ним.
Кража ПЭВМ
Низкая
Низкая
Низкая
Неактуальная
Кража носителей информации
Высокая
Высокая
Низкая
Актуальная
Кража ключей доступа
Высокая
Высокая
Низкая
Актуальная
Кража, модификация, уничтожение информации.
Высокая
Высокая
Низкая
Актуальная
Вывод из строя узлов ПЭВМ, каналов связи
Низкая
Низкая
Низкая
Неактуальная
Несанкционированный доступ к информации при техническом обслуживании (ремонте, уничтожении) узлов ПЭВМ
Высокая
Высокая
Низкая
Актуальная
Несанкционированное отключение средств защиты
Высокая
Высокая
Низкая
Актуальная
Угрозы хищения, несанкционированной модификации или блокирования информации за счёт несанкционированного доступа (НСД) с применением программно-аппаратных и программных средств (в том числе программно-математических воздействий).
Наличие аппаратных закладок в приобретаемых ПЭВМ
Высокая
Высокая
Низкая
Актуальная
Внедрение аппаратных закладок посторонними лицами после начала эксплуатации системы
Низкая
Низкая
Низкая
Неактуальная
Внедрение аппаратных закладок сотрудниками организации
Низкая
Низкая
Низкая
Актуальная
Внедрение аппаратных закладок обслуживающим персоналом (ремонтными организациями)
Низкая
Низкая
Низкая
Актуальная
Угрозы не преднамеренных действий пользователей и нарушений безопасности функционирования системы и СЗ в её составе из-за сбоев в программном обеспечении, а также от угроз неантропогенного (сбоев аппаратуры из-за ненадежности элементов, сбоев электропитания) и стихийного (ударов молний, пожаров, наводнений и т.п.) характера.
Утрата ключей доступа
Высокая
Высокая
Низкая
Актуальная
Непреднамеренная модификация (уничтожение) информации сотрудниками
Высокая
Высокая
Низкая
Актуальная
Непреднамеренное отключение средств защиты
Высокая
Высокая
Низкая
Актуальная
Выход из строя аппаратно-программных средств
Высокая
Высокая
Низкая
Актуальная
Сбой системы электроснабжения
Высокая
Высокая
Низкая
Актуальная
Стихийное бедствие
Высокая
Высокая
Низкая
Актуальная
Угрозы преднамеренных действий внутренних нарушителей.
Доступ к информации, модификация, уничтожение лицами, не допущенными к её обработке
Низкая
Низкая
Низкая
Неактуальная
Разглашение информации, модификация, уничтожение сотрудниками, допущенными к её обработке
Высокая
Высокая
Низкая
Актуальная
Угрозы несанкционированного доступа по каналам связи.
Несанкционированный доступ через ЛВС организации
Низкая
Низкая
Низкая
Актуальная
Утечка атрибутов доступа
Высокая
Высокая
Низкая
Актуальная
Угрозы перехвата при передаче по проводным (кабельным) линиям связи.
Перехват за переделами с контролируемой зоны
Низкая
Низкая
Низкая
Неактуальная
Перехват в пределах контролируемой зоны внешними нарушителями
Низкая
Низкая
Низкая
Неактуальная
Перехват в пределах контролируемой зоны внутренними нарушителями
Низкая
Низкая
Низкая
Неактуальная
Меры по защите персональных данных
Меры защиты
Наименование
Организационно-распорядительные документы
Уведомление об обработке (о намерении осуществлять обработку) персональных данных.
Положение об обработке персональных данных.
Типовые формы письменного согласия субъектов персональных данных на обработку их персональных данных.
Документ, подтверждающий информирование лиц, осуществляющих обработку персональных данных.
Типовые формы документов, разработанные в соответствии с требованиями данного Положения.
Акт оператора, устанавливающий требования к хранению материальных носителей содержащих персональных данных.
Акт оператора персональных данных, устанавливающий порядок обработки персональных данных работников.
Акт оператора персональных данных, устанавливающий порядок хранения и использования персональных данных работников.
Аттестация
Аттестация оператора персональных данных.
Помещение для хранения персональных данных
Кабинет № 13.
Меры по защите коммерческой и банковской тайны
На основании “Концепции информационной безопасности акционерного банка” (Приложение 8) составленного в соответствии с требованиями законодательства Российской Федерации и Стандарта Банка России СТО БР ИББС-2.0-2007, меры по защите банковской и коммерческой тайны включают в себя:
Меры защиты |
Наименование |
Технические |
Средства контроля доступа и назначения полномочий: -средства контроля доступа в помещения; -средства идентификации и аутентификации при доступе к подсистемам программно-технических средств коллективного пользования; -средства защиты на уровне ПК; -средства протоколирования действий пользователей и обслуживающего персонала в системе. |
|
Средства криптографической защиты информации (СКЗИ). |
|
Средства защиты от утечки информации по каналам электромагнитного излучения с использованием внедренных технических устройств. |
Организационно-правовые |
Инструкция по обеспечению сохранности информации, содержащую коммерческую и банковскую тайну. |
|
Перечень категорий сведений составляющих коммерческую и банковскую тайну. |
|
Типовая форма обязательства о неразглашении коммерческой и банковской тайны. |
Система доступа |
Система санкционированного доступа в помещение. |
|
Однозначная идентификация и аутентификация: - обязательная парольная защита; - узлы обрабатывающие конфиденциальную информацию защищены усиленным паролем; - запрет привилегированного доступа. |
|
Управление средствами идентификации и аутентификации осуществляется администраторами безопасности системы. |
|
Защита сервера: - доступ имеют администраторы безопасности системы; - меры по осуществлению безотказной работы (бесперебойное питание). |
Средства защиты ПК |
Средства защиты ПК должны обеспечивать: - идентификацию и аутентификацию пользователя; - невозможность изменения системных параметров компьютера, инсталляцию программного обеспечения, копирование данных на съемные носители информации; - защиту системного и прикладного программного обеспечения, в том числе сетевого, от реконфигурации; - отсутствие программ - вирусов и программ - закладок; - невозможность физического доступа к аппаратным ресурсам ПК; - запрет на применение считывающих устройств с внешних носителей информации, исключение делается для пользователей, имеющих разрешение Управления экономической безопасности; - ведение системного журнала по основным событиям; - наличие только двух зарегистрированных пользователей - непосредственно пользователь и администратор (Администратор может входить в систему для реконфигурации только в локальном режиме). |
Средства контроля |
Регистрация и предупреждение событий в целях профилактики информационной безопасности и событий, которые могут быть расценены как угроза. |
Организационные |
Концепция информационной безопасности акционерного банка. |