Скачать презентацию Схема предприятия Угрозы Модель Скачать презентацию Схема предприятия Угрозы Модель

Копейка.pptx

  • Количество слайдов: 26

• • • Схема предприятия Угрозы Модель злоумышленника Политика безопасности (вводный) Организационный элемент • • • Схема предприятия Угрозы Модель злоумышленника Политика безопасности (вводный) Организационный элемент банка «КОПЕЙКА» 7 • Правовой элемент 3 4 5 6 21

Злоумышленник • • • Внешняя сторона: 1)Сфера сотрудничества -партнёры, взаимосвязанные еденицы (Угрозы: угрозы перехвата, Злоумышленник • • • Внешняя сторона: 1)Сфера сотрудничества -партнёры, взаимосвязанные еденицы (Угрозы: угрозы перехвата, угроза хищения носителей, ошибки и закладки в ПО) 2)Сфера противоборства -конкурирующие организации (Угроза хищения носителей информации, угроза перехвата, угроза НСД к конф. данным) -преступность: грабители, вымогатели, воры (НСД к конф. данным, угроза использования некорректности защиты, искажение информации в следствии НСД, вирусы) 3)Лица, косвенно связанные с ИС -привлечённые сторонние экспертыконсультанты (Ошибки и закладки в ПО, НСД к конфидицыальным данным, искажение информации в следствии НСД ) -родственники, друзья (Хищения носителей информации, НСД к конф. данным ) -бывшие работники (Хищения носителей информации, НСД к конф. Данным, предательство персонала)

• Внутренняя сторона: • 1)Обслуживающий персонал • -сис. Админ, админ безопасности (халатность, предательство • Внутренняя сторона: • 1)Обслуживающий персонал • -сис. Админ, админ безопасности (халатность, предательство персонала, ошибки и закладки в ПО) • -системныеприкладные инжинеры-программисты, руководители служб ИТ (халатность, предательство персонала, ошибки и закладки в ПО) • 2)Обслуживаемый персонал • -пользователи: индивидуальные, члены рабочих групп, руководители подразделений (халатность, предательство персонала) • 3) Персонал не связанный непосредственно с ИС • -руководители • -прочие работники • (халатность, предательство персонала)

• Систему защиты любой организации можно представить в виде кирпичной стены, которая состоит • Систему защиты любой организации можно представить в виде кирпичной стены, которая состоит из множества разнообразных элементов. А если быть конкретнее система включает: правовой, организационный, инженернотехнический, программно-аппаратный и криптографический элементы, иногда некоторые из них объединяют и в результате получают программный, организационный и технический.

• Организационный элемент включает в себя меры управленческого, ограничительного (режимного) и технологического характера, • Организационный элемент включает в себя меры управленческого, ограничительного (режимного) и технологического характера, определяющие основы и содержание системы защиты, побуждающие персонал соблюдать правила защиты конфиденциальной информации фирмы. Эти меры связаны с установлением режима конфиденциальности в фирме. Инженерно-технический элемент системы защиты информации в свою очередь предназначен для активного и пассивного противодействия средствам технической разведки и формирования рубежей охраны территории, здания, помещений и оборудования с помощью различных технических средств

• Будет создана отдельная служба информационной безопасности. Ответственным за её организацию и работу • Будет создана отдельная служба информационной безопасности. Ответственным за её организацию и работу будет назначен менеджер по безопасности. У него в подчинении будут находится специалисты по безопасности. Он же будет одобрять прием новых специалистов на службу, проводя с ними собеседования приеме на работу. Всего в службе безопасности будут находится около 50 человек. Для обеспечения ИБ в каждом новом отделении будет проводится добор специалистов. Специалисты будут разделятся по группам в зависимости от вида угроз от которых они будут защищать информацию, хранимую в нашем банке. Также при повышении количества отделений возможно введение многоуровневости системы безопасности: уровень отедльно взятого отделения и уровень общей безопасности.

• Будет создана отдельная служба информационной безопасности. Ответственным за её организацию и работу • Будет создана отдельная служба информационной безопасности. Ответственным за её организацию и работу будет назначен менеджер по безопасности. У него в подчинении будут находится специалисты по безопасности. Он же будет одобрять прием новых специалистов на службу, проводя с ними собеседования приеме на работу. Всего в службе безопасности будут находится около 50 человек. Для обеспечения ИБ в каждом новом отделении будет проводится добор специалистов. Специалисты будут разделятся по группам в зависимости от вида угроз от которых они будут защищать информацию, хранимую в нашем банке. Также при повышении количества отделений возможно введение многоуровневости системы безопасности: уровень отдельно взятого отделения и уровень общей безопасности.

Деятельность этих служб будет обеспечиваться в соответствии с нормами информационного права и предполагать юридическое Деятельность этих служб будет обеспечиваться в соответствии с нормами информационного права и предполагать юридическое закрепление взаимоотношений организации и государства по поводу правомерности использования системы защиты информации, организации и персонала по поводу обязанности персонала соблюдать установленные собственником информации ограничительные и технологические меры защитного характера, а также ответственности персонала за нарушение порядка защиты информации. Элементы: • -наличие в организационных документах организации, правилах внутреннего трудового распорядка, контрактах, заключаемых с сотрудниками, в должностных и рабочих инструкциях положений и обязательств по защите конфиденциальной информации; • -формулирование и доведение до сведения всех сотрудников организации положения о правовой ответственности за разглашение конфиденциальной информации, несанкционированное уничтожение или фальсификацию документов; • -разъяснение лицам, принимаемым на работу, положения о добровольности принимаемых ими на себя ограничений, связанных с выполнением обязанностей по защите информации.

• Будет производится составление и регулярное обновление состава регулярной информации, в частности клиентской • Будет производится составление и регулярное обновление состава регулярной информации, в частности клиентской базы и базы банковских договоров. Также ежемесячных отчетов по информационной безопасности. Перечень защищаемых документов будет каждодневно обновляться и храниться как на основных серверах, так и на резервных, более защищенных от технических сбоев и стороннего проникновения.

• Доступ к информации будет разграничен на 4 уровня: уровень доступа рядового сотрудника/менеджера • Доступ к информации будет разграничен на 4 уровня: уровень доступа рядового сотрудника/менеджера по работе с клиентами, уровень доступа кадровых работников, уровень доступа службы безопасности, высший уровень доступа. Для рядовых сотрудников будет доступна информация необходимая для повседневной работы банка. На уровне доступа для кадровых работников будет храниться информация о простых работниках, исполнении ими своих обязанностей и т. д. На уровне доступа службы безопасности будет предоставляться информация об обеспечении безопасности банка и другая информация повышенной секретности. На высшем уровне будет храниться сверхзащищенная информация, доступная только для совета акционеров банка.

• Технология защиты , обработки и хранения документов будет обеспечиваться в соответствии со • Технология защиты , обработки и хранения документов будет обеспечиваться в соответствии со следующими нормативными документами: • Акты федерального законодательства: • Международные договоры РФ; • Конституция РФ; • Законы федерального уровня (включая федеральные конституционные законы, кодексы); • Указы Президента РФ; • Постановления правительства РФ; • Нормативные правовые акты федеральных министерств и ведомств; • Нормативные правовые акты субъектов РФ, органов местного самоуправления и т. д.

• Для защиты информации от действий персонала будет вестись контроль за информационным обменом • Для защиты информации от действий персонала будет вестись контроль за информационным обменом на рабочих местах персонала, также будут проводиться незапланированные проверки персонала на наличие ПЗУ или копий документов. На рабочих местах персонала будет отключен доступ к социальным сетям и средствам коммуникации. Будут установлены камеры наблюдения за рабочими местами сотрудников, телефонные разговоры будут храниться на отдельном сервере и проверяться на предмет несанкционированной передачи данных.

• Для защиты информации от действий персонала будет вестись контроль за информационным обменом • Для защиты информации от действий персонала будет вестись контроль за информационным обменом на рабочих местах персонала, также будут проводиться незапланированные проверки персонала на наличие ПЗУ или копий документов. На рабочих местах персонала будет отключен доступ к социальным сетям и средствам коммуникации. Будут установлены камеры наблюдения за рабочими местами сотрудников, телефонные разговоры будут храниться на отдельном сервере и проверяться на предмет несанкционированной передачи данных.

• Служба безопасности будет непрерывно анализироваться на наличие несовершенностей и уязвимостей. Политика обеспечения • Служба безопасности будет непрерывно анализироваться на наличие несовершенностей и уязвимостей. Политика обеспечения безопасности будет редактироваться и дополняться раз в квартал. Будут анализироваться отчеты об обеспечении безопасности и выявленных нарушениях, приниматься меры по предотвращению рецедива данных нарушений. Также будут проанализированы связи сотрудников на предмет опасности для дел банка.

• Совещания, конференции и прием посетителей будут проводиться в закрытом конференц-зале, проверенном на • Совещания, конференции и прием посетителей будут проводиться в закрытом конференц-зале, проверенном на наличие подслушивающих устройств, оборудованным средствами защиты от радиосигналов, от передачи информации. Также конференц-зал будет оборудован средствами видеослежения для выявления подозрительного поведения находящихся внутри. Окна в зале односторонне прозрачны, стены оборудованы материалом с максимальным звукопоглощающим эффектом.

• Рабочие места будут оборудованы всем необходимым для нормальной работы, внешние рабочие залы, • Рабочие места будут оборудованы всем необходимым для нормальной работы, внешние рабочие залы, где ведется прием клиентов оборудованы камерами видеонаблюдения и безопасность в них будет обеспечиваться службой безопасности. В конце каждого рабочего дня будет проводиться осмотр на наличие подслушивающих устройств. Зал ожидания будет контролироваться на наличие подозрительных личностей также средствами службы безопасности и камерами видеонаблюдения. • Внутренние помещения банка будут доступны только при наличии электронного удостоверения сотрудника службы информационной безопасности.

• Пропуск на территорию помещений предназначенной для обработки информации будет у менеджера по • Пропуск на территорию помещений предназначенной для обработки информации будет у менеджера по информационной безопасности и у группы, ответственной за данную территорию. Данная группа будет отобрана менеджером из числа наиболее опытных и надежных специалистов по обеспечению информационной безопасности.

• В экстремальных ситуациях ходы во внутренние помещения банка блокируются автоматически через 3 • В экстремальных ситуациях ходы во внутренние помещения банка блокируются автоматически через 3 минуты после объявления тревоги. Поэтому всему персоналу нужно успеть за данное время покинуть их. Для обеспечения сохранности данных в подвальном помещении находятся электрогенераторы, способные поддерживать работу резервных серверов и основных на время аварийного копирования данных. К тому же с персоналом будет проводиться плановая тренировочная работа по действиям во время возникновения чрезвычайной ситуации.

• Правовой элемент системы защиты информации базируется на нормах информационного права и предполагает • Правовой элемент системы защиты информации базируется на нормах информационного права и предполагает юридическое закрепление взаимоотношений предприятия и государства по поводу обязанности персонала соблюдать установленные собственником информации ограничительные и технологические меры защитного характера, по поводу правомерности использования системы защиты информации фирмы и персонала, а также ответственности персонала за нарушение порядка защиты информации.

• Правовые основы безопасности коммерческого банка определяют соответствующие положения Конституции Российской Федерации, Закон • Правовые основы безопасности коммерческого банка определяют соответствующие положения Конституции Российской Федерации, Закон "О безопасности", федеральные законы "О Центральном банке Российской Федерации", "О банках и банковской деятельности" и другие нормативные акты. • Правовая защита персонала банков, материальных и экономических интересов банков и их клиентов от преступных посягательств обеспечивается на основе норм Уголовного и Уголовнопроцессуального кодексов, законов Российской Федерации о прокуратуре, о федеральной службе безопасности, о милиции, об оперативно-розыскной деятельности, о частной детективной и охранной деятельности, об оружии и др. • Защиту имущественных и иных материальных интересов и деловой репутации коммерческих банков призваны обеспечивать также гражданское, гражданско- процессуальное и арбитражнопроцессуальное законодательство.

• Правовую основу безопасности кредитных отношений банков с клиентами составляют законодательные акты, регулирующие • Правовую основу безопасности кредитных отношений банков с клиентами составляют законодательные акты, регулирующие возможность применения различных способов обеспечения исполнения обязательств. Гражданский кодекс РФ позволяет применять удержание, залог, поручительство и банковскую гарантию. Наиболее надежным способом обеспечения выполнения кредитных обязательств является залог. Правовое регулирование залоговых отношений осуществляется при помощи ряда законодательных актов и норм, их которых наиболее важными являются ГК РФ (ст. 334 -358), Закон РФ "О залоге" от 29. 05. 92 N 2872 -1, Гражданский процессуальный кодекс РФ (ст. 399 -405), Временное положение о согласовании залоговых сделок (утверждено распоряжением Госкомимущества РФ от 21. 04. 94 N 890 -р), Основные положения о залоге недвижимого имущества - ипотеке (одобрено распоряжением заместителя Председателя СМ РФ от 22. 12. 93 N 96 -рз).

• Обеспечение информационной безопасности в банковской системе регулируется законами Российской Федерации: • Обеспечение информационной безопасности в банковской системе регулируется законами Российской Федерации: "О банках и банковской деятельности", "О государственной тайне", "Об информации, информатизации и защите информации". • Важное значение в этом деле имеют указы Президента Российской Федерации "О защите информационнотелекоммуникационных систем и баз данных от утечки конфиденциальной информации по техническим каналам" от 08. 05. 93 N 644, "О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации" от 03. 04. 95 N 334, "О создании Государственной технической комиссии при Президенте Российской Федерации" от 05. 01. 92 N 9.

• • При практическом решении задач обеспечения безопасности банковской деятельности необходимо опираться также • • При практическом решении задач обеспечения безопасности банковской деятельности необходимо опираться также и на следующие правовые нормативные акты: постановление Правительства РСФСР от 05. 12. 91 N 35 "О перечне сведений, которые не могут составлять коммерческую тайну"; "Положение о сертификации средств защиты информации", утвержденное постанов-лением Правительства Российской Федерации от 26. 06. 95 N 608 "О сертификации средств защиты информации"; Положение о государственной системе защиты информации от ИТР и от утечки по техническим каналам, утвержденное постановлением Правительства РФ от 15. 09. 93 N 912 -51; "Положение о государственном лицензировании деятельности в области защиты информации", утвержденное совместным решением Гостехкомиссии и ФАПСИ при Президенте Российской Федерации от 27. 04. 94 N 10. Существующие правовые условия обеспечения банковской безопасности в основном позволяют государственным и иным правоохранительным и охранным структурам организовывать противостояние противоправным посягательствам на банковскую безопасность в различных ее аспектах. Успешное и эффективное решение задач обеспечения безопасности конкретного банка достигается формированием системы внутренних нормативных актов, инструкций, положений, правил, регламентов и функциональных обязанностей сотрудников линейных подразделений и служб, в том числе и службы безопасности. Требования по правовому обеспечению безопасности предусматриваются во всех структурно-функциональных правовых документах, начиная с Устава коммерческого банка и кончая функциональными обязанностями каждого сотрудника. Необходимым условием обеспечения безопасности банка является совокупность правил входа (выхода) лиц в помещения банка, вноса (выноса) документов, денежных средств и материальных ценностей.