- •3 Проект совершенствования комплексной системы защиты информации банка
- •3.1 Обоснование проекта
- •3.2 Резюме проекта
- •3.3 Предложения. Ограничения. Исключения
- •3.4 Продукты доставки проекта
- •3.4.1. Организационно-распорядительная документация
- •3.6 Структурная схема организации работ
- •3.7 Матрица ответственности
- •3.8 Сетевой график и диаграмма Ганта
- •3.9 Оценка затрат. Эффективность проекта
- •Заключение
Заключение
Итак, исследуемая организация является одним из крупнейших банков России и занимает лидирующие позиции в своей области. Банк имеет обширную филиальную сеть, колоссальное количество клиентов и предоставляет широкий спектр банковских услуг. Информационные процессы банка имеют обширную разветвленную структуру и разнообразны по видам и содержанию. В соотвтетствии с ними большая часть объектов инфраструктуры организации являются критическими и требуют соответствующей защиты. Защищаемая информация подразделяются на четыре класса в зависимости от степени ее важности и носит гриф «Коммерческая тайна». Эта же иерархия используется при классификации объектов защиты.
В результате анализа обнаружено, что в система защиты информации в Банке начала складываться более пятнадцати лет назад, постоянно совершенствуется и налажена на очень высоком уровне с использованием последних тенденций в этой области, учитывает все нюансы данной организации.
Однако в существующей системе защиты выявлен ряд недостатков:
Во-первых, большая часть организационно-распорядительной документации в области информационной безопасности разработана и внедрена до 2006 года, поэтому не учитывает требования современного законодательства, в частности:
отсутствует налаженная система мер в области защиты персональных данных, требуемая вступившим в силу с 1 января 2008 года законом «О персональных данных»;
не учтены последние изменения в области защиты сведений, составляющих коммерческую тайну, введенные частью четвертой Гражданского кодекса Российской Федерации, а также поправками в закон «О коммерческой тайне» и пр.;
имеются общеметодологические недоработки в области организации правового обеспечения защиты информации, о чем пойдет речь в следующей главе.
Во-вторых, в Банке отсутствует система мероприятий в области информационно-психологической защиты сотрудников, что подтверждают имевшие место неоднократные случаи использования методов социального инжиниринга для добывания той или иной информации.
В-третьих, имеются существенные задержки в предоставлении доступа сотрудников к сведениям нефинансового характера, так как заявки на доступ от подразделений рассматриваются и согласовываются от трех до пяти дней. А для организации такого масштаба такие простои могут стать критическими.
В связи с этим для совершенствования комплексной системы защиты информации Банка необходимо провести следующие мероприятия:
Во-первых, при организации защиты информации наибольшее внимание следует уделить проработке организационно-распорядительной документации, так как существующие локальные нормативно-правовые акты нуждаются в переработке в соответствии с последними изменениями законодательства. Предложенная система мер включает внедрение положений о банковской тайне и персональных данных, разработку соглашений о работе с персональными данными, принятие мер по защите сотрудников от вредных информационно-психологических воздействий. Также необходимо переработать уже имеющиеся документы в области информационной безопасности банка, изменение должностных инструкций сотрудников в соответствии с принимаемыми положениями о банковской тайне и о персональных данных, включить соответствующие положения о информационно-психологической безопасности в состав имеющегося нормативно-правового обеспечения КСЗИ на всех уровнях.
Во-вторых, для уменьшения простоев и оптимизации процесса подачи заявок на доступ к информации нефинансового характера необходимо внедрить программный комплекс «Заявка».
В-третьих, назначить ответственного за обеспечение защиты персональных данных в соответствии с положением о работе с персональными данными.
В-четвертых, ввести штатную единицу психолога-специалиста по информационно-психологической безопасности или изыскать возможность использования в этом направлении штатных психологов.
В результате работы был разработан проект совершенствования комплексной системы защиты информации Банка, в котором нашли отражение все описанные меры. Работы были разбиты в четкой последовательности и иерархически структурированы. Каждой работе назначен ответственный за неё и/или исполнитель, структура разбиения работ наглядно представлена на сетевых графиках и диаграмме Ганта. Уровень затрат не превышает установленный экспертным путем уровень ежегодных вложений в эту область.
Осуществление работ по проекту рассчитано на 4 месяца и завершается введением в эксплуатацию усовершенствованной КСЗИ.
Таким образом, цели работы достигнуты. Предложен ряд необходимых мер, которые в полной мере отвечают целям проекта. Перспективой работы является её практическая реализация на предприятии.