- •Учебные вопросы:
- •Содержание проекта:
- •2. Аудит информационной системы банка
- •1. Подходы к контролю и аудиту программного обеспечения.
- •4. Контроль операционной системы
- •5. Физическая защита и контроль доступа
- •6. Контроль ввода
- •7. Контроль обработки информации
- •8. Контроль вывода
- •9. Программа аудита информационных систем
- •3. Аудит информационной безопасности банка
- •Показатели информационной безопасности Групповой показатель м1 "Обеспечение информационной безопасности при назначении и распределении ролей
- •Групповой показатель м2 "Обеспечение информационной безопасности автоматизированных банковских систем на стадиях жизненного цикла"
- •Групповой показатель м3 "Обеспечение информационной безопасности при управлении доступом и регистрации"
- •Групповой показатель м4 "Обеспечение информационной безопасности средствами антивирусной защиты"
- •Групповой показатель м5 "Обеспечение информационной безопасности при использовании ресурсов сети Интернет"
- •Групповой показатель м6 "Обеспечение информационной безопасности при использовании средств криптографической защиты информации"
- •Групповой показатель м7 "Обеспечение информационной безопасности банковских платежных технологических процессов"
- •Групповой показатель м8 "Обеспечение информационной безопасности банковских информационных технологических процессов"
- •Групповой показатель м9 "Организация и функционирование службы иб организации бс рф"
- •Групповой показатель м10 "Определение/коррекция области действия соиб"
- •Групповой показатель м11 "Выбор/коррекция подхода к оценке рисков нарушения иб и проведению оценки рисков нарушения иб"
Федеральное агентство по образованию
ГОУ ВПО Кубанский Государственный Технологический Университет
Институт информационных технологий и безопасности
Кафедра защиты информации
Проект
По дисциплине: «Безопасность вычислительных сетей»
Тема: «Создание модели предприятия и ЛВС».
Выполнили: студенты
группы 09 – Б – КЗ2
Поддубный Д. А.
Головня С. О.
Ли Р. Ю.
Троян В. А.
Проверил: Тарасов Е. С.
Краснодар 2013
Учебные вопросы:
1)Создание модели предприятия и ЛВС - 3
2)Провести аудит информационной системы банка - 5
3)Провести аудит ИБ -10
4) Показатели информационной безопасности - 14
Содержание проекта:
Создание модели предприятия и ЛВС
В данной библиотеке разрабатывается локально-вычислительная сеть с начальными элементами ЗИ; обрабатываются персональные данные и служебная тайна.
ЛВС библиотеки:
38 хостов;
4 сегмента;
В данной ЛВС обрабатываются персональные данные и служебная тайна;
Имеется беспроводной сегмент,VPN, ЦОД;
Имеется подключение к сети интернет, в наличии резервные каналы связи.
2. Аудит информационной системы банка
Сегодня практически вся работа банка связанна с компьютерной обработкой данных. Рост объема и спектра операций, необходимость сохранять конкурентноспособность требуют все более широкого применения компьютеризованых информационных систем.
Поэтому последствия ошибок и нарушений в их функционировании информационных систем с высокой степенью вероятности ведут к блокированию работы, и вызвать цепную реакцию, которая будет иметь следствием значительные денежные потери для банка и его клиентов, потерю репутации банком. Поэтому естственным является особое внимание рискам, связанным с функционированием информационных систем.
1. Подходы к контролю и аудиту программного обеспечения.
Аудит информационных систем ведется по двум направлениям:
- Аудит вокруг компьютера
- Аудит с использованием компьютера
Весьма очевидно, что контроль программного обеспечения весьма сложен и имеет ряд особенностей. Его принято разделять на на общий контроль и прикладной контроль.
Общий контроль — это контрольные операции, направленные на то, чтобы обеспечить обоснованную уверенность в непрерывном функционировании компьютерных систем.
Общий контроль поддерживает функционирование программо прикладного контроля, и может быть разбитый на следующиее категории:
- организационный контроль
- контроль компьютерной техники
- контроль операционной системы
- физическая безопасность и контроль доступа
- контроль помещений с компьютерной техникой
- контроль планов на случай непредвиденных событий (стихийные бедствия и т.п.)
- контроль разработки и поддержание работы системы
2. Организационный контроль
Включает в себя разделение функций в пределах отдела информационных технологий и между этим и другими отделами.
Так, работники отдела информационных технологий не должны иметь право давать разрешение на операции и регистрировать их, сохранять активы и ценности, кроме соответствующей техники и программного обеспечения.
Следует проводить ротацию обязанностей работников и использовать двойной контроль (для этого нужно два работника).
Процесс набора работников в отдел информационных технологий требует особо тщательного отбора и проверки опыта и предшествующей деятельности. Кроме того, кадры требуют соответствующей подготовки и организации периодической учебы.
В отделе информационных технологий должна существовать формальная процедура увольнения работников, который включает немедленное ограничение доступа в помещения, где функционируют соответствующие системы, возвращение ключей, карточек-ключей и изменение паролей.
3. Контроль компьютерной техники
Включает контроль среды и контроль поддержки.
К контролю среды относятся:
- контроль климатических условий (температуры, влажности, вентиляции
- охрана входа
- защитные устройства и сенсоры дыма, воды, системы пожаротушения
- тревожная сигнализация
- запрет употреблять пищу и курить в помещениях, оборудованных компьютерами
К контролю поддержки относятся:
- возможности компьютерной техники по выявлению ошибок и формированию отчетов о них
- аппаратных и программных средств исправление ошибок
- поддержка сети