- •Глава 1. Анализ и исследование технологий подбора персонала 5
- •Глава 2. Построение системы защиты информации в Сбербанке 24
- •Глава 1. Анализ и исследование технологий подбора персонала
- •1.1. Аналитическое обеспечение мероприятий безопасности
- •1.2 Человеческий фактор в обеспечении информационной безопасности
- •1.3 Категорирование информации по важности
- •Глава 2. Построение системы защиты информации в Сбербанке
- •2.1 Организационный элемент защиты информации в аксб оао «Сбербанк России»
- •2.2 Разработка системы защиты информации
- •2.3 Инженерно-технический элемент защиты информации в аксб оао «Сбербанк России»
- •2.3.1 Общие положения
- •2.3.2 Возможные угрозы банковским операциям
- •2.4. Типичные мероприятия и средства тзи от утечки
- •2.4.1 Решение задач тзи
- •2.4.2 Блокирование каналов утечки информации
- •2.4.3 Блокирование несанкционированного доступа
- •2.4.4 Организация проведения обследования. Защита персональных данных.
- •2.5 Организация разработки системы защиты информации
- •2.5.1 Реализация организационных мероприятий защиты
- •Глава 3 Обеспечение жизнедеятельности
- •Заключение
- •Список использованных источников
1.3 Категорирование информации по важности
Категорирование информации по важности существует объективно и не зависит от желаний руководства, поскольку определяется механизмом деятельности банка и характеризует опасность уничтожения либо модификации информации. Можно указать много вариантов такого категорирования. Здесь приводится наиболее простой :
. Важная информация - незаменимая и необходимая для деятельности банка информация, процесс восстановления которой после уничтожения невозможен либо очень трудоемок и связан с большими затратами, а ее ошибочное изменение или подделка приносит большой ущерб.
Полезная информация - необходимая информация, которая может быть восстановлена без больших затрат, причем ее модификация или уничтожение приносит относительно небольшие материальные потери.
Категорирование информации по конфиденциальности выполняется субъективно руководством или персоналом в соответствии с выделенными ему полномочиями в зависимости от риска ее разглашения. Для деятельности коммерческого банка достаточно двух степеней градации.
Конфиденциальная информация - информация, доступ к которой для части персонала или посторонних лиц нежелателен, так как может вызвать материальные и моральные потери.
Открытая информация - информация, доступ к которой посторонних не связан ни с какими потерями.
Руководство должно принять решение о том, кто и каким образом будет определять степень важности и конфиденциальности информации. Без такого решения невозможна никакая целесообразная работа по созданию банковской электронной системы.
План защиты
Анализ риска завершается принятием политики безопасности и составлением плана защиты со следующими разделами:
. Текущее состояние. Описание статуса системы защиты в момент подготовки плана.
. Рекомендации. Выбор основных средств защиты, реализующих политику безопасности.
. Ответственность. Список ответственных сотрудников и зон ответственности.
. Расписание. Определение порядка работы механизмов защиты, в том числе и средств контроля.
. Пересмотр положений плана, которые должны периодически пересматриваться.
Ключевым вопросом начального этапа создания системы безопасности является назначение ответственных за безопасность системы и разграничение сфер их деятельности. Как правило, при начальной постановке таких вопросов выясняется, что за этот аспект безопасности организации никто отвечать не хочет. Системные программисты и администраторы систем склонны относить эту задачу к компетенции общей службы безопасности, тогда как последняя, в свою очередь, считает, что подобная проблема должна находиться в компетенции специалистов по компьютерам.
Положения о безопасности
При решении вопросов распределения ответственности за безопасность компьютерной системы необходимо учитывать следующие положения:
. никто, кроме руководства, не может принять основополагающих решений в области политики компьютерной безопасности;
. никто, кроме специалистов, не сможет обеспечить правильное функционирование системы безопасности;
. никакая внешняя организация или группа специалистов жизненно не заинтересованы в экономической эффективности мер безопасности.
К области стратегических решений при создании системы компьютерной безопасности должна быть отнесена разработка общих требований к классификации данных, хранимых и обрабатываемых компьютерной системой. Во многих случаях существует путаница между понятиями конфиденциальности (секретности) и важности информации.