Главная страница

КР 3121ТмЗ Иванов вар 11. Модель угроз и нарушителя информационной безопасности объекта информатизации


Скачать 44.21 Kb.
НазваниеМодель угроз и нарушителя информационной безопасности объекта информатизации
Дата07.06.2022
Размер44.21 Kb.
Формат файлаdocx
Имя файлаКР 3121ТмЗ Иванов вар 11.docx
ТипКурсовой проект
#574793
страница3 из 5
1   2   3   4   5

Система информационной безопасности БАНКА


Система информационной безопасности предприятия построена с соблюдением следующих правил:

Профилактика возможных угроз

Необходимо своевременное выявление возможных угроз безопасности предприятия, анализ которых позволит разработать соответствующие профилактические меры.

Законность

Меры по обеспечению безопасности разрабатываются на основе и в рамках действующих правовых актов. Локальные правовые акты предприятия не должны противоречить законам и подзаконным актам.

Комплексное использование сил и средств

Для обеспечения безопасности используются все имеющиеся в распоряжении предприятия силы и средства. Каждый сотрудник должен, в рамках своей компетенции, участвовать в обеспечении безопасности предприятия.

Координация и взаимодействие внутри и вне предприятия

Меры противодействия угрозам осуществляются на основе взаимодействия и координации усилий всех подразделений, служб предприятия, а также установления необходимых контактов с внешними организациями, способными оказать необходимое содействие в обеспечении безопасности предприятия. Организовать координацию может служба безопасности предприятия.

Сочетание гласности с секретностью

Доведение информации до сведения персонала предприятия и общественности в допустимых пределах мер безопасности выполняет важнейшую роль — предотвращение потенциальных и реальных угроз.

Компетентность

Сотрудники должны решать вопросы обеспечения безопасности на профессиональном уровне, а в необходимых случаях специализироваться по основным его направлениям.

Экономическая целесообразность

Стоимость финансовых затрат на обеспечение безопасности не должна превышать тот оптимальный уровень, при котором теряется экономический смысл их применения.

Плановая основа деятельности

Деятельность по обеспечению безопасности должна строиться на основе комплексной программы обеспечения безопасности предприятия.

Системность

Этот принцип предполагает учет всех факторов, оказывающих влияние на безопасность предприятия, включение в деятельность по его обеспечению всех сотрудников, использование всех сил и средств.
  1. Требования к системе информационной безопасности


Назначение и распределение ролей, обеспечение доверия к персоналу.

Знание своих клиентов и служащих. Необходимо обладать информацией о своих клиентах, тщательно подбирать персонал, вырабатывать и поддерживать корпоративную этику, что создает благоприятную доверительную среду для деятельности Налоговой инспекции по управлению активами.

Формирование ролей осуществляется на основании существующих бизнес-процессов Налоговой инспекции, и проводиться с целью исключения концентрации полномочий и снижения риска инцидентов ИБ, связанных с потерей информационными активами свойств доступности, целостности или конфиденциальности.

Фактически сложившиеся права и полномочия персонала Налоговой инспекции не являются основанием при формировании ролей.

Должны быть определены роли, связанные с деятельностью по обеспечению ИБ. Руководство Налоговой инспекции осуществляет координацию своевременности и качества выполнения ролей, связанных с обеспечением ИБ.

Все работники Налоговой инспекции должны давать письменное обязательство о соблюдении конфиденциальности, приверженности правилам корпоративной этики, включая требования по недопущению конфликта интересов. При взаимодействии с внешними организациями и клиентами требования по обеспечению ИБ должны регламентироваться положениями, включаемыми в договоры (соглашения) с ними.

Антивирусная защита.

На всех рабочих станциях пользователей и серверах устанавливаются лицензионные средства антивирусной защиты.

Производится постоянный антивирусный контроль программ и файлов данных на рабочих станциях и серверах.

Обновления антивирусных баз производится ежедневно, в автоматическом режиме.

Сотрудники службы информационной безопасности регулярно проводят аудит сообщений антивирусных средств.

Защита от несанкционированного доступа, управление доступом.

В Банке должны быть документально определены и утверждены руководством, выполняться и контролироваться процедуры идентификации, аутентификации, авторизации, управления доступом, контроля целостности, регистрации событий и действий. Процедуры управления доступом должны исключать возможность несанкционированного доступа. Результаты контроля процедур должны документироваться.

Должен быть документально определен перечень информационных активов (их типов). Права доступа работников и клиентов организации Налоговой инспекции к данным активам должны быть документально зафиксированы.

В составе информационной системы Налоговой инспекции должны применяться встроенные защитные меры.

Порядок доступа работников Налоговой инспекции в помещения, в которых размещаются объекты среды информационных активов, должен быть регламентирован во внутренних документах, а его выполнение должно контролироваться.

Работа всех пользователей осуществляется под уникальными учетными записями.

Использование сети Интернет.

Сеть Интернет используется Банком для:

ведения дистанционного банковского обслуживания;

информационно-аналитической работы в интересах Налоговой инспекции;

обмена электронными сообщениями, например, почтовыми.

Использование сети Интернет в неустановленных целях запрещено.

Использование средств криптографической защиты.

Средства криптографической защиты должны быть сертифицированы уполномоченным государственным органом, либо реализованы на основе рекомендованных уполномоченным государственным органом алгоритмов, либо алгоритмов, определенных условиями договора с контрагентом (клиентом) Налоговой инспекции.

Средства криптографической защиты используются для:

обмена информацией с региональным управлением Центрального Налоговой инспекции РФ;

обмена информацией с управлением Федеральной службы по финансовому мониторингу;

обмена информацией с центральным отделением банка;

обмена информацией с клиентами по системе удаленного банковского обслуживания;

обмена информацией с прочими организациями, в случаях, когда использование средств криптографической защиты установлено законодательством РФ.

Информационная безопасность процессов изготовления и хранения ключевых документов средствами криптографической защиты обеспечивается комплексом технологических, организационных, технических и программных мер и средств защиты.

Защита банковских платежных и информационных технологических процессов.

Комплекс мер по обеспечению ИБ банковского платежного и информационного технологического процесса должен предусматривать:

защиту платежной информации от искажения, фальсификации, переадресации, несанкционированного уничтожения, ложной авторизации электронных платежных сообщений;

доступ работника Налоговой инспекции только к тем ресурсам банковского платежного технологического процесса, которые необходимы ему для исполнения должностных обязанностей или реализации прав, предусмотренных технологией обработки платежной информации;

контроль (мониторинг) исполнения установленной технологии подготовки, обработки, передачи и хранения платежной информации;

аутентификацию входящих электронных платежных сообщений;

двустороннюю аутентификацию автоматизированных рабочих мест (рабочих станций и серверов), участников обмена электронными платежными сообщениями;

возможность ввода платежной информации только для авторизованных пользователей;

контроль, направленный на исключение возможности совершения злоумышленных действий (двойной ввод, сверка, установление ограничений в зависимости от суммы совершаемых операций и т.д.);

восстановление платежной информации в случае ее умышленного (случайного) разрушения (искажения) или выхода из строя средств вычислительной техники;

сверку выходных электронных платежных сообщений с соответствующими входными и обработанными электронными платежными сообщениями при осуществлении межбанковских расчетов;

доставку электронных платежных сообщений участникам обмена.

Должна осуществляться и быть регламентирована процедура восстановления всех реализованных программно-техническими средствами функций по обеспечению ИБ платежной информации. Регламентирующие документы должны быть согласованы со службой либо лицом, отвечающим в Банке за обеспечение ИБ.

Защита программно-технических комплексов информационной системы Налоговой инспекции

Предотвращение или существенное затруднение реализации потенциальных угроз безопасности обеспечивается реализацией следующих функций безопасности:

резервирование и восстановление ресурсов независимо на всех уровнях информационной системы Налоговой инспекции – для компенсации угроз, связанных с выходом из строя технических средств Налоговой инспекции, защиты от уничтожения, изменения информации, а также обеспечения устойчивости к критическим ситуациям, связанным с уничтожением информации;

обеспечение защиты конфиденциальной информации при помощи алгоритмов специального преобразования данных – для предотвращения перехвата потенциальным злоумышленником защищаемой информации при передаче ее по внешним каналам передачи данных;

система идентификации и аутентификации – для предотвращения несанкционированного доступа к информационным ресурсам информационной системы Налоговой инспекции потенциального злоумышленника;

ведение аудита на различных уровнях для реализации системы ответственности за нарушения политики безопасности;

применение специальных программно-технических средств – для разграничения информационной системы Налоговой инспекции, сетей общего пользования и глобальных сетей, а также логического разделения серверного сегмента информационной системы Налоговой инспекции и остальной корпоративной сети Налоговой инспекции.

Обеспечение безопасности баз данных

Функции безопасности системы защиты информации Налоговой инспекции в части обеспечения безопасности баз данных направлены на:

защиту баз данных от несанкционированных внешних запросов (атак);

защиту доступности и целостности информации, хранящейся в базах данных.

Защита баз данных достигается путем:

распределенного резервирования, что решается с помощью дисковых массивов и оборудования архивного хранения данных;

установления регламента подключения пользователей к информационной системе Налоговой инспекции для получения информации из баз данных;

ведения аудита на уровне доступа к базе данных – позволяет установить систему ответственности за нарушения политики безопасности.

Особенности обеспечения безопасности на рабочих станциях пользователей

Вся информация хранится централизованно в базах данных и обрабатывается на серверах информационной системы Налоговой инспекции. Поэтому, основной упор при реализации системы защиты информации Налоговой инспекции в части защиты рабочих станций делается на защищенное взаимодействие клиентских мест с серверами.

Необходимыми функциями защиты при взаимодействии рабочих станций пользователей с серверами являются:

идентификация и аутентификация пользователей при доступе к базам данных;

ограничение доступа рабочих станций пользователей к информационным ресурсам информационной системы Налоговой инспекции;

Кроме того, необходимыми функциями защиты рабочих станций пользователей Налоговой инспекции являются:

защита от несанкционированного доступа к информации Налоговой инспекции;

защита от преднамеренных программных воздействий, в том числе вирусов.
  1. 1   2   3   4   5


написать администратору сайта