Постановка задачи исследования

⇐ ПредыдущаяСтр 2 из 4Следующая ⇒

Цель этой работы на основе оценки возможных угроз информационной безопасности и с учетом существующей отечественной и международной нормативно-правовой базы построить модель угроз, дать сравнительный анализ нормативных и правовых документов по организации защиты информации в Донецком отделении Юго-Западного банка Сбербанка России №7749 и разработать рабочую документацию по информационной безопасности банка.

3. Модель угроз на ******* отделении Юго-Западного банка Сбербанка России №****

Совет банка, как правило, входят его учредители. Совет банка утверждает годовой отчет банка, организует ежегодные собрания учредителей и пайщиков, принимает или может принимать участие в решении стратегических вопросов банковской деятельности.

Правление (Совет директоров) банка отвечает за общее руководство банка, утверждает стратегическое направление его деятельности. В состав Правления входят высшие руководители банка: председатель (президент, управляющий) банка, его заместители, руководители важнейших подразделений банка.

Отдел управления входит организацияпланирования, прогнозирования деятельности банка, подготовка методологии, безопасность и юридическая служба.

Коммерческий отдел охватывает организацию различных банковских услуг (кредитование, инвестирование, валютные, трастовые и другие операции). Сюда входит все, что связано с обслуживанием клиентов на коммерческих началах.

Финансовый отдел обеспечивает учет внутрибанковских расходов, учет собственной деятельности банка как коммерческого предприятия. В финансовый блок входят такие отделы как бухгалтерия, отдел внутрибанковских расчетов и корреспондентских отношений, касса.

Отдел автоматизации также является обязательным элементом структуры банка. Денежные потоки, которые проходят через современный банк, невозможно обработать вручную, нужен комплекс средств, электронных машин.

Администрация. В его состав входит отдел кадров банка, секретариат, канцелярия, хозяйственные подразделения.

Угрозы

1. Случайные угрозы (стихийные бедствия, сбои и отказы, ошибки пользователей) – Этим угрозам подвержены все отделы, т.к от стихийных бедствий, сбоев, ошибок никто не застрахован.

Преднамеренные угрозы

2.1Традиционный шпионаж и диверсии – Здесь угрозам подвержены такие отделы как: Финансовый отдел, Отдел автоматизации, Коммерческий отдел. Шпионаж поможет злоумышленнику узнать как устроен банк для того чтобы организовать ограбление.

2.2.Несанкционированный доступ к информации – Тут в основном угрожает Отделу автоматизации. Злоумышленник, взломав КС банка, может получить много ему полезной информации. Узнав, эту информация под угрозой могут быть и все остальные отделы.

2.3 Электромагнитные излучения и наводки – Также угроза для Отдела автоматизации.

2.4 Несанкционированная модификация структур - Также угроза для Отдела автоматизации.

2.5 Вредительские программы - Также угроза для Отдела автоматизации. И из этого вытекает угроза для всех остальных отделов.

Модели злоумышленников.

1. Хакер – Это опытный пользователь ПК, который взломав КС банка может использовать юту информацию в своих целях либо продать ее иному лицу. Он представляет большую угрозу Отделу автоматизации. Он также может, взломав КС перевести деньги на свой счет.

2. Сотрудник банка – Он тоже может предоставлять большую угрозу банку т.к он вращается в этой сфере и как никто другой знает как что устроено. Также это может быть бывший сотрудник потому что он тоже знает устройство банка, особенно если это бывший сотрудник Отдела автоматизации т.к он знает как устроена КС банка.

3. Разработчик КС – т.к он знает как устроена КС которую он разрабатывал.

Сравнительный анализ отдельных вопросов защиты информации в зарубежных и отечественных документах

	«Оранжевая книга» (TCSEC)	Защита информацииСпециальные защитные знаки. Классификация и общие требования	Требования к процессу квалификационного анализа ИТ-продукта	Требования гарантии безопасности
Совет банка	Д	С1	Контроль процесса сопровождения	УГО 1
Правление	Д	С1	Контроль процесса сопровождения	УГО 1
Отдел управления	С1	С1	Независимое тестирование	УГО 2

Коммерческий отдел

Кредитный отдел

В3

В1

Независимое тестирование

УГО 5

Валютный отдел

В1

А1

Независимое тестирование

УГО 4

Инвестиционный отдел

В1

В2

Независимое тестирование

УГО 4

Финансовый отдел

Бухгалтерия

В3

В2

Независимое тестирование

УГО 4

Отдел внутрибанковских расчетов

В2

С1

Независимое тестирование

УГО 3

Отдел корреспондентских отношений

В2

С1

Независимое тестирование

УГО 3

Касса

С2

Независимое тестирование

УГО 3

Отдел автоматизации

А1

С1

Анализ, контроль, тестирование

УГО 7

Администрация

Отдел кадров

С1

В2

Независимое тестирование

УГО 2

Канцелярия

С2

Независимое тестирование

УГО 1

Секритариат

С2

Независимое тестирование

УГО 1

УТВЕРЖДАЮ

Руководитель предприятия

Журавлев А.А.

“6” октября 2008

Должностная инструкция

Сотруднику, ответственному за защиту информации

Общая часть

1 Ответственный за защиту информации (штатный специалист) назначается и освобождается от должности руководителем предприятия по согласованию с Управлением Гостехкомиссии России по Южному федеральному округу.

2 Ответственный за защиту информации назначается из числа ИТР, имеющих опыт работы по основной деятельности предприятия или в области защиты информации.

3 В своей производственной деятельности ответственный за защиту информации подчиняется руководителю предприятия или его заместителю, ответственному за организацию защиты информации.

4 Работа ответственного за защиту информации проводится в соответствии с планами работ по защите информации. На ответственного по защите информации запрещается возлагать задачи, не связанные с его деятельностью.

5 Ответственный за защиту информации свою работу проводит в тесном взаимодействии с научными, производственными, режимно-секретными подразделениями предприятиями, представителями территориальных органов ФСБ, ФАПСИ, Гостехкомиссии.

6 Ответственный за защиту информации в своей деятельности руководствуется:

- положением о государственной системе защиты информации в РФ;

- нормативно-техническими документами по противодействию иностранным техническим разведкам;

- приказами, указаниями вышестоящих органов по защите информации;

- ведомственными организационно-распорядительными и нормативно-методическими документами.

Основные функциональные задачи и обязанности:

1 Планирование работ по защите информации на предприятии, предусматривающее решение конкретных вопросов по защите информации, организацию их выполнения, а также контроль за их эффективностью.

2 Участие в подготовке предприятия к аттестованию на право проведения работ с использованием сведений, отнесенных к гостайна.

3 Организация разработки нормативно-методических документов по защите информации на предприятии.

4 Согласование мероприятий по защите информации для рабочих мест, на которых проводятся работы с использованием сведений, отнесенных к гостайне.

5 Организация и проведение работ по выявлению:

- демаскирующих признаков предприятия и выпускаемой продукции;

- видов и средств технической разведки, которые позволяют получить сведения о деятельности предприятия;

- технических каналов утечки информации;

- возможности несанкционированного доступа к информации, ее разрушения (уничтожения) или искажения и разработка соответствующих мер по защите информации.

6 Разработка (самостоятельно или совместно с режимными органами и другими подразделениями) проектов распорядительных документов по вопросам организации защиты информации.

7 Организация, в соответствии с нормативно-техническими документами, специальных проверок и проведение аттестования рабочих мест, ПЭВМ и т.д. с выдачей предписания на право проведения на них работ с секретной информацией.

8 Разработка предложений по совершенствованию системы защиты информации на предприятии.

9 Разработка совместно с другими подразделениями предприятия Руководства по защите информации на предприятии.

10 частие в разработке комплекса мероприятий по защите гостайны при установлении и осуществлении научно-технических и торгово-экономических связей с зарубежными фирмами, а также при посещении предприятия иностранными специалистами.

11 частие в разработке требований по защите информации при проведении работ, связанных с движением и хранением продукции, а также при проектировании, строительстве (реконструкции) и эксплуатации объектов предприятия.

12 Участие в согласовании ТЗ на проведение работ, связанных со сведениями, содержащими гостайну.

13 Организация и проведение периодического контроля эффективности мер защиты информации на предприятии. Учет и анализ результатов контроля.

14 Участие в расследовании нарушений в области защиты информации на предприятии и разработка предложений по устранению недостатков и предупреждению подобного рода нарушений.

15 Подготовка отчетов о состоянии работ по защите информации на предприятии.

16 Организация проведения занятий с руководителями и специалистами предприятия по вопросам защиты информации.

Ответственный за защиту информации имеет право:

1 Допуска к работам и документам подразделений предприятия, для оценки принимаемых мер по защите информации и подготовки предложений по их дальнейшему совершенствованию.

2 Готовить предложения о привлечении к проведению работ по защите информации предприятия, имеющего лицензию на соответствующий вид деятельности.

3 Контролировать деятельность любого структурного подразделения предприятия по выполнению требований по защите информации.

4 Участвовать в работе технической комиссии предприятия при рассмотрении вопросов защиты информации.

5 Вносить предложения руководителю предприятия о приостановке работ в случае обнаружения утечки (или предпосылок к утечке) информации.

6 Получать лицензии на право выполнения работ по защите информации и при ее получении оказывать услуги в этой области другим предприятиям.

7 Быть соисполнителем при проведении на договорной основе работ, связанных с защитой информации по темам НИОКР, а также производственным заказам или программам испытаний.

ИНСТРУКЦИЯ

о порядке ввода в эксплуатацию объектов ЭВТ, допуска сотрудников к работе на ПЭВМ, и соблюдению требований собственной безопасности при обработке закрытой информации на СВТ

К работе на ПЭВМ в Отделе автоматизации допускаются сотрудники, имеющие соответствующую квалификацию (прошедшие подготовку), после сдачи ими зачета по знанию инструкции о порядке ввода в эксплуатацию объектов ЭВТ, допуска сотрудников к работе на ПЭВМ, и соблюдению требований собственной безопасности при обработке закрытой информации на средствах вычислительной техники, инструкции по защите электронной информации от компьютерных вирусов по заявлению установленного образца.

Все приобретенные компьютеры, независимо от источника их получения в 10-дневный срок должны пройти проверку в Отделе автоматизации. Пуско-наладочные работы по вводу ПЭВМ в эксплуатацию и последующее техническое обслуживание СВТ осуществляются специалистами ВЦ.

На ПЭВМ устанавливается только необходимое, сертифицированное проверенное математико-программное обеспечение (МПО), утвержденное директором Журавлевым (Вн. №854796).

Узлы и блоки оборудования СВТ, к которым в процессе эксплуатации доступ не требуется, опечатываются специалистами ВЦ с целью предупреждения несанкционированного вскрытия оборудования.

⇐ Предыдущая 123 4 Следующая ⇒