Отчет по преддипломной практике в ОАО «БИНБАНК» в г.Омске

Рекомендуется проводить  безопасное размещение критических  ресурсов, автоматическую блокировку рабочего места при отсутствии оператора, применять многофакторную аутентификацию пользователей, архивирование важных документов с применением шифрования.

Принцип минимальных привилегий. При определении применения правил политики безопасности к сотрудникам  должен использоваться принцип «Знай  только то, что необходимо знать  для выполнения своей работы». Должны выдаваться минимально необходимые  полномочия на доступ к корпоративным  ресурсам и сетевым сервисам. Таким  образом, ценная информация целиком  не будет известна отдельному сотруднику или руководителю.

Определение того, какая  информация необходима сотруднику, осуществляется младшими начальниками, реализация принятых решений возлагается на сетевых  администраторов в рамках их ответственности.

Необходимо четко контролировать и ввести правила на использование  КПК, многофункциональных сотовых  телефонов, веб-камер, портативных рекордеров и диктофонов, любых переносных устройств, подключаемых к компьютеру, особенно устройств беспроводной сетевой  связи и устройств, использующих порт USB. Все это создает каналы утечки информации.

Разрешение доступа к  любой корпоративной информации должно осуществляться исключительно  на основе аутентификации, кроме того, желательно вести журнал аудита фактов обращения пользователей сети к  ее объектам (ресурсам). Руководители подразделений (иногда специальный отдел) должны принимать  решение, какая информации может  стать открытой для ее публикации в качестве рекламных, маркетинговых  или иных материалов.

Для обеспечения безопасности ценных ресурсов должна использоваться сильная аутентификация (многофакторная) или одноразовые пароли; обыкновенное имя + пароль не подойдут для этих целей. Усиленная аутентификация может  быть реализована с помощью технологии запрос—ответ, смарт-карточек, токенов, биометрических и других устройств  идентификации. Локальные вычислительные сети банка, объединенные через Интернет, должны содержать безопасный сервер аутентификации. Все попытки соединения должны верифицироваться и протоколироваться. Сервер аутентификации может быть физически  защищен путем помещения его  в закрытую комнату, доступ в которую  разрешен только администратору безопасности.

Для обеспечения информационной безопасности в Банке разрабатывается  и реализуется Система защиты информации (СЗИ). Создание СЗИ является одной из основных задач Банка, в  решении которой принимают участие  все структурные подразделения  Банка.

Практически вся информация Банка, за небольшим исключением, нуждается  в соответствующей защите. Это  обусловлено следующим:

1. Банк является социально-значимой  организацией, деятельность и устойчивость  которой связана с жизненными  интересами значительного числа  клиентов (как юридических, так  и физических лиц);

2. В процессе деятельности  Банку становится доступна конфиденциальная  информация: сведения об операциях,  счетах и вкладах (банковская  тайна), сведения о клиентах (персональные  данные), а также сведения, составляющие  коммерческую тайну клиента, доверенную  им Банку, в случае разглашения,  которых клиент, чьи права нарушены, вправе потребовать от Банка  возмещения причиненных убытков.

Банк является коммерческой организацией, прибыльность, конкурентоспособность  и жизнеустойчивость которой  в условиях рыночной экономики обеспечивается, в значительной степени, достоверностью и конфиденциальностью коммерчески  ценной и критичной служебной  информации (деловая информация о  деятельности учреждения – финансовая, технологическая и методическая документация, перспективные планы  развития, бизнес-планы, аналитические  материалы об эффективности работы по изучению партнеров и конкурентов, состоянию рынков услуг и др.), которая, являясь коммерческой тайной, нуждается в соответствующей  охране.

В связи с этим Банк реализует  меры по защите значимой для Банка  информации в соответствии с действующими на территории Российской Федерации  Законами, нормативными документами, установленными требованиями руководящих документов и норм эффективности защиты информации, а также в соответствии с разработанными на их основе требованиями Банка.

Наряду с этим, информационная безопасность рассматривается не только по отношению к конфиденциальным и другим ценным сведениям, но и по отношению к способности информационных систем выполнять функции по ее обеспечению.

Объектом защиты СЗИ является циркулирующая, обрабатываемая, хранимая и передаваемая в Банке служебная  и конфиденциальная, ценная и значимая информация, и поддерживающая ее инфраструктура. СЗИ реализуется комплексом правовых, режимных, организационных и программно-технических  мер.

Непосредственно ответственными за обеспечение информационной безопасности являются два подразделения Банка: информационно-аналитический отдел  и отдел программно-технического обеспечения. В рамках своих полномочий решаются вопросы обеспечения информационной безопасности другими подразделениями  Банка, таких как

• Юридический отдел
• Отдел кадров
• Отдел внутреннего контроля.

Информационно – аналитический  отдел отвечает за разработку и реализацию политики информационной безопасности Банка, за определение идеологии, разработку мероприятий, организацию, методическое обеспечение и контроль эффективности  системы защиты информации в Банке  в полном объеме, за установление и  поддержание в Банке режима информационной безопасности.

Отдел вправе:

1. Требовать от всех  структурных подразделений и  пользователей соблюдения требований  информационной безопасности, предоставления  подробной информации, необходимой  ей для осуществления своих  функций;

2. Осуществлять проверку  состояния любых систем, проектов, системны и информационных ресурсов  и технологий в Банке, приостанавливать, либо ограничивать, их функционирование  в случаях нарушения требований  информационной безопасности;

3.  Вносить предложения  руководству Банка о прекращении,  либо изменении режима функционирования  указанных систем и технологий, а также о санкциях в отношении  должностных лиц, действия которых  подвергают риску информационную  безопасность Банка.

В обязанности отдела входит:

1.Определение сферы (границ) системы управления информационной  безопасностью и конкретизация  целей ее создания;

2.Аудит системы управления  информационной безопасностью;

3.Выбор контрмер, обеспечивающих  режим информационной безопасности;

4.Регламентация системы  конфиденциального документооборота  и защита информации в ней;

5.Установление и поддержание  режима информационной безопасности  в системе документооборота, в  информационных системах и режимных  зонах;

6. Противодействие устремлениям  промышленного шпионажа;

7.Защита от дезинформации  руководства Банка и подразделений,  непосредственно работающих на  финансовом рынке;

8. Участие в создании  технических заданий, проектов, договоров,  контрактов, счетов на работы, связанные  с проектированием, разработкой,  созданием, тестированием, приемкой, приобретением новых систем, программных  продуктов и оборудования, внесением  изменений в действующие системы  и сети, в технологии обработки  информации;

10.Осуществление контроля  за соблюдением норм и требований  информационной безопасности;

11. Планирование затрат  на защиту информации (осуществляется  во взаимодействии с другими  профильными подразделениями Банка).

Отдел программно- технического обеспечения отвечает за разработку и реализацию  политики безопасности Банка, архитектуру безопасности и  требований по безопасности информационных систем, создание и эксплуатацию системы  защиты информации, за обеспечение  непрерывной работы систем и их восстановление при авариях и стихийных бедствиях, за поддержание режима информационной безопасности, обеспечение строгой  дисциплины доступа к системным  и информационным ресурсам Банка.

Отдел вправе:

1. Требовать от всех  структурных подразделений и  пользователей соблюдения положений  и требований безопасности информационных  систем, ресурсов и приложений;

2. Прекращать доступ к  конфиденциальным информационным  ресурсам пользователей, нарушающих  указанные требования;

3. Вносить предложения  руководству Банка о мерах  воздействия к нарушителям указанных  требований.