- •Курсовая работа на тему «разработка политики информационной безопасности на предприятии оао акб связь-банк»
- •Оглавление
- •6.2 Антивирусная защита. 30
- •6.3 Защита от несанкционированного доступа, управление доступом. 30
- •6.4 Использование сети Интернет. 31
- •6.5 Использование средств криптографической защиты. 31
- •6.6 Защита банковских платежных и информационных технологических процессов. 32
- •6.7 Защита программно-технических комплексов информационной системы Банка 33
- •6.8 Обеспечение безопасности баз данных 34
- •6.9 Особенности обеспечения безопасности на рабочих станциях пользователей 35
- •9.1 Управление доступом пользователей 44
- •9.2 Аудит и протоколирование в информационной системе Банка 44
- •9.3 Обязанности пользователей 45
- •10.1 Разделение обязанностей 47
- •10.2 Защита баз данных 47
- •10.3 Резервное копирование и архивирование данных 47
- •10.4 Формирование, хранение и распределение ключевой информации 48
- •10.5 Организация учета и хранения защищаемых носителей информации 48
- •11.1 Доступность системы 50
- •Общие положения
- •1Термины и определения
- •2Обозначения и сокращения
- •4.1.2Внешние угрозы
- •4.2Классификация угроз для автоматизированных систем:
- •4.2.1Угрозы конфиденциальности данных и программ.
- •4.2.2Угрозы целостности данных, программ, аппаратуры.
- •4.2.3Угрозы доступности данных.
- •4.2.4Угрозы отказа от выполнения транзакций.
- •4.2.4.1Пассивные угрозы
- •4.2.4.2Активные угрозы
- •4.4Основными угрозами информационной безопасности автоматизированной системы, принятыми в Банка на основании п. 6.6. Стандарта бр сто бр иббс-1.0-2010 являются:
- •4.4.1Источники угроз на физическом, сетевом уровнях и уровне сетевых приложений:
- •4.6Основными критическими элементами средств автоматизации информационной системы Банка (в порядке убывания их важности) являются:
- •4.7Объектами защиты средств автоматизации являются:
- •6.8Обеспечение безопасности баз данных
- •6.8.1Функции безопасности системы защиты информации Банка в части обеспечения безопасности баз данных направлены на:
- •6.8.2Защита баз данных достигается путем:
- •8.2Информация, подлежащая защите.
- •8.2.1Информация, свободно распространяемая
8.2Информация, подлежащая защите.
Согласно действующему законодательству1 РФ информация в зависимости от порядка ее предоставления или распространения подразделяется:
информацию, свободно распространяемую;
информацию, предоставляемую по соглашению лиц, участвующих в соответствующих отношениях;
информацию, которая в соответствии с федеральными законами подлежит предоставлению или распространению;
информацию, распространение которой в Российской Федерации ограничивается или запрещается.
Вид информации, согласно законодательству РФ, устанавливается в зависимости от содержания информации или от обладателя.
8.2.1Информация, свободно распространяемая
Согласно законодательству РФ, к общедоступной информации относят общеизвестные сведения и иную информацию, доступ к которой не ограничен.
К открытой информации относят:
информация о предприятии (регистрационные данные, стоимость услуг и т.д.);
информация, полученная из внешних источников;
информация, находящаяся в свободном доступе (интернет-сайт);
Открытая информация должна быть: целостной, актуальной и доступной.
8.2.2Информация, предоставляемая по соглашению лиц, участвующих в соответствующих отношениях
Данный вид информации является промежуточным звеном между информацией конфиденциальной и информацией открытой. В основном данный тип информации используется для передачи информации между:
государственными учреждениями;
государственными учреждениями и частными предпринимателями;
частными предпринимателями.
8.2.3Информация, которая в соответствии с федеральными законами подлежит предоставлению или распространению
Согласно законодательству РФ к данному виду информации, в частности, относят:
информацию, затрагивающую права и свободу граждан РФ;
информацию, необходимую для взаимодействия с органами государственной власти.
8.2.4Информация, распространение которой в Российской Федерации ограничивается или запрещается
К данному виду информации относятся в основном данные составляющие государственную или коммерческую тайну, а так же персональные данные граждан РФ.
8.2.5Конфиденциальная информация
Конфиденциальная информация – информация, доступ к которой ограничивается в соответствии с законодательством РФ и представляет собой коммерческую, служебную или личную тайну, охраняющуюся владельцем.
Как основные объекты области деятельности информационной безопасности, рассматриваются следующие виды активов:
информационные активы: информация и данные в любом виде, получаемые, хранимые, обрабатываемые, передаваемые, оглашаемые, в т.ч. знания сотрудников, базы данных и файлы, документация, руководства пользователя, учебные материалы, описания процедур, заархивированная информация и т.п.;
программное обеспечение: прикладное программное обеспечение, системное программное обеспечение, сервисное программное обеспечение и любое иное программное обеспечение, независимо от формы получения (приобретенное, собственной разработки, свободно распространяемое), используемое сотрудниками и системами для работы и взаимодействия с клиентами и иными внутренними и внешними системами и т.п.;
физические активы: сотрудники, аппаратные средства IT (сервера, рабочие станции, межсетевые экраны, принтеры, копировальные аппараты, телекоммуникационное оборудование, оборудование связи, маршрутизаторы, АТС, факсы, модемы и т.п.), носители данных (ленты, диски и т.п.), мебель, помещения, производственное оборудование, другие технические средства и т.п.;
сервисные активы: вычислительные и коммуникационные сервисы (Интернет, электронная почта, каналы связи и т.п.), другие технические сервисы (отопление, освещение, энергоснабжение, кондиционирование воздуха, системы сигнализаций и мониторинга), все услуги, связанные с получением, предоставлением, использованием, передачей и уничтожением активов, все юридические и физические лица, организации, учреждения и предприятия (а также их сотрудники), услугами которых пользуется Банк для получения, использования, передачи и уничтожения активов.
9управление доступом к Информационным Ресурсам АВТОМАТИЗИРОВАННЫХ СИСТЕМ
9.1Управление доступом пользователей
9.1.1Регистрация пользователей
Регистрация и подключение пользователей к информационной системе Банка происходит только с разрешения руководящего персонала Банка.
9.1.2Идентификация и аутентификация пользователей
Идентификация и аутентификация пользователей в информационной системе компании проводится при включении рабочей станции – штатными средствами защиты операционной системы, либо использованием функций сертифицированных средств защиты от несанкционированного доступа, установленных на рабочей станции;
9.1.3Управление привилегиями
Администратором информационной системы Банка для каждого пользователя определяются и устанавливаются полномочия для доступа к информационной системе.
Каждому пользователю разрешено выполнение только тех функций и работа с теми объектами системы, на которые он имеет полномочия в соответствии со своими должностными обязанностями при работе в информационной системе Банка, зафиксированными в служебных записках на подключение к информационной системе Банка.
9.2Аудит и протоколирование в информационной системе Банка
9.2.1Аудит и протоколирование в информационной системе Банка необходимы для удовлетворения правовых требований в случае возникновения спорных ситуаций, мониторинга защиты системы и отслеживания событий безопасности.
9.2.2Аудит и протоколирование могут осуществляться штатными средствами операционных систем, прикладного программного обеспечения или специализированными программами.
9.2.3При осуществлении данных процедур учитывается категория защищаемого ресурса, важность и значимость регистрируемого события, особенности используемого программного обеспечения, требований Стандарта ЦБР СТО БР ИББС-1.0-2010, договорных отношений, регламентирующих и инструктивных документов Банка.
9.2.4Журналы аудита и протоколирования подлежат периодическому архивированию и хранению в соответствии с требованиями нормативных документов. Доступ к этим журналам определяется системой полномочий.
9.3 Обязанности пользователей
9.3.1Использование паролей
9.3.1.1Пароли должны держаться в тайне, то есть запрещается сообщать их другим людям или вставлять в тексты программ.
9.3.1.2При несоблюдении правил использования паролей, пользователи несут административную ответственность.
9.3.2Обеспечение антивирусной защиты
9.3.2.1На всех рабочих станциях пользователей информационной системы Банка устанавливаются средства антивирусной защиты.
9.3.2.2Производится постоянный антивирусный контроль программ и файлов данных на рабочих станциях информационной системы Банка.
9.3.2.3Обновления антивирусных баз производится постоянно, в автоматическом режиме.
9.3.2.4Сотрудники должны немедленно информировать службу информационной безопасности Банка об обнаруженных вирусах, изменениях в конфигурации или сбоях при работе компьютера или приложений.
10администрирование
10.1Разделение обязанностей
10.1.1Администрирование информационной системы Банка (регистрация пользователей, назначение прав доступа и проч.) осуществляют сотрудники отдела информационных технологий Банка, наделенные функциональными правами администраторов соответствующих подсистем.
10.1.2Контрольные уровня доступа пользователей к информационной системе Банка и аудит возлагаются на службу информационной безопасности.
10.1.3Администраторы информационной системы Банка имеют полномочия только на выполнение администраторских задач в системе.
10.2Защита баз данных
10.2.1За защиту данных на уровне базы данных отвечает специалист отдела информационных технологий, ответственный за администрирование СУБД.
10.2.2Для доступа к базе данных используются только встроенные средства информационной системы Банка.
10.2.3Для доступа к базе данных запрещено пользоваться стандартной учетной записью пользователя информационной системы Банка. Для прямого доступа к базе данных необходимо создать специальных пользователей с соответствующими правами доступа.
10.2.4Сервера приложений в тестовой системе не имеют прямого доступа к продуктивным данным.
10.3Резервное копирование и архивирование данных
10.3.1Для бесперебойной работы информационной системы Банка и возможности восстановления ее функционирования после аварийных ситуаций, обеспечивается сохранность архивов базы данных и системных журналов.
10.3.2Комплекс программно-аппаратных средств системы информационной системы Банка поддерживает функции ежедневного резервного копирования данных и хранения недельного объема накопленных изменений данных. Максимально допустимый объем потери данных при авариях и сбоях не должен превышать дневного объема изменений данных на каждом рабочем месте системы.
10.4Формирование, хранение и распределение ключевой информации
10.4.1Система формирования, хранения и распределения ключевой информации решает задачи надежной аутентификации данных и пользователей, закрытие данных, гарантирование их целостности при транспортировке по сети передачи данных.
10.5Организация учета и хранения защищаемых носителей информации
10.5.1При организации учета и хранения защищаемых носителей информации, в том числе, электронных носителей информации с архивами баз данных, должен проводиться учет всех защищаемых носителей информации с помощью их маркировки.
10.5.2Учет защищаемых носителей информации должен проводиться в журнале с регистрацией их выдачи/приема.
10.5.3Электронные носители информации с архивами баз данных хранятся в защищаемых помещениях для исключения возможности бесконтрольного или несанкционированного проникновения посторонних лиц.
11планирование бесперебойной работы
11.1Доступность системы
11.1.1После введения информационной системы Банка в эксплуатацию, все компоненты системы должны работать в нормальном режиме, обеспечивающем возможность функционирования Банка в полном объеме.
11.1.2Резервное копирование систем осуществляется ежедневно.
11.1.3Время восстановления после сбоя в системе 4 часа.
11.1.4Максимальное время недоступности базы данных в штатном режиме функционирования не должно превышать 20 минут.
11.1.5Для обеспечения бесперебойного функционирования информационной системы Банка предусмотрено резервирование систем обработки и хранения данных, а также возможность сбора данных аудита о трафике в сети и его анализа.
11.1.6Резервное оборудование и процедуры перехода на аварийный режим работы необходимо тестировать ежегодно.
12Этапы создания системы защиты информации
12.1Реализация системы защиты информации в информационной системе Банка строится на использовании организационно-распорядительных и программно-технических мер. К организационно-распорядительным мерам можно отнести:
построение схемы взаимодействия подразделений банка по вопросам информационной безопасности;
разработку и/или совершенствование нормативно-методических и организационно-распорядительных документов по вопросам защиты информации;
назначение лиц, ответственных за информационную безопасность;
категорирование защищаемых ресурсов;
разработку эксплуатационной документации на объект информатизации и средства защиты информации;
подготовку и обучение персонала правилам работы со средствами защиты информации;
аттестацию объекта информатизации на соответствие требованиям безопасности информации.
12.2Техническая реализация системы защиты информационной системы Банка состоит из следующих основных этапов:
Построение защищенной сети серверного сегмента информационной системы Банка и настройки штатных средств защиты операционных систем серверов и СУБД на предмет сетевой безопасности.
Защита рабочих станций пользователей информационной системы Банка с применением программно-аппаратных средств защиты информации от несанкционированного доступа.
13ответственность за нарушение Политики информационной безопасности
13.1Действующее законодательство РФ позволяет предъявлять требования по обеспечению безопасной работы с защищаемой информацией.
13.2Уголовным Кодексом РФ установлена ответственность за незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну (ст.183 УК РФ), за неправомерный доступ к компьютерной информации (ст.272 УК РФ), за создание, использование и распространение вредоносных программ для ЭВМ (ст.273 УК РФ), за нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети (ст.274 УК РФ).
13.3В соответствии со ст. 139 Гражданского кодекса работники, разгласившие служебную или коммерческую тайну вопреки трудовому договору, обязаны возместить причиненные убытки.
14 Перечень используемых документов
14.1Положение Банка России “Об организации внутреннего контроля в кредитных организациях и банковских группах” от 16 декабря 2003 № 242-П.
14.2Стандарт Банка России “Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения” СТО БР ИББС-1.0-2010 (Принят и введен в действие Распоряжением Банка России от 21 июня 2010 года №Р_705).
14.3http://securitypolicy.ru - Документы по информационной безопасности.
14.4http://dehack.ru/razrab_szi/politika_inf_bezop/ - Разработка системы защиты информации.
14.5Федеральный закон Российской Федерации от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации».
14.6Методические указания к курсовой работе по дисциплине «Информационная безопасность и защита информации» для студентов специальности 230201 "Информационные системы и технологии" очной формы обучения С. А. Асанов Кемерово 2009.
1 Федеральный закон Российской Федерации от 27 июля 2006 г. N 149-ФЗ Об информации, информационных технологиях и о защите информации