Отчет по преддипломной практике в ОАО «БИНБАНК» в г.Омске

В обязанности отдела входит проведение работ:

1. По созданию и эксплуатации  информационных систем;

2. По созданию системы  защиты информации в соответствии  с требованиями информационной  безопасности;

3. Реализации режимных, организационных  и программно-технических мер  защиты информации, разработке локальных  политик безопасности Информационных  систем, сервисов и приложений;

4. Своевременному и подробному  документированию информационных  систем;

5. Управлению доступом  к системным и информационным  ресурсам;

6. Разработка и организация  системы защиты информации;

7. Планирование и реализация  режимных мер защиты информации;

8. Организация реализации  программно-технических и организационных  мер защиты;

9. Регламентация технологий  обработки, хранения и передачи  информации;

10. Обеспечению целостности  и неизменности программного  обеспечения и данных, регулярного  резервного копирования информационных  ресурсов;

11. Разработке и реализации  плана обеспечения непрерывной  работы и восстановления при  авариях и стихийных бедствиях,  поддержание его в актуальном  состоянии;

12. Обеспечению непрерывного  процесса контроля (мониторинга)  событий безопасности, своевременному  выявлению и пресечению попыток  несанкционированного доступа в  системы и к защищаемой информации.

Стратегические и тактические  задачи создания, модернизации и развития информационных систем, архитектуры  безопасности и защитных механизмов включаются в перспективные, годовые, квартальные или в тематические планы Банка, согласовываются с  заинтересованными подразделениями  и утверждаются Руководством Банка. В целях осуществления доступа  к контролируемым системным и  информационным ресурсам Банка отдел  программно-технического обеспечения  оперативно предоставляет необходимые  права и полномочия доступа сотрудникам  информационно-аналитическим отделом  в установленном порядке.

В соответствии с разработанной  политикой безопасности, определяются следующие меры защиты:

1. Организационные  меры защиты.

Предусматриваются следующие  организационные меры:

- функции администратора  информационной безопасности регламентируются  соответствующим положением;

- состав программного  обеспечения АРМов фиксируется  в паспорте ПО АРМ (приложение);

- технические средства  и персонал, задействованный в  разработке и отладке программного  обеспечения, должны быть административно  и территориально отделены от  технологического процесса обработки  ЭПД;

- все внешние носители  информации, задействованные в технологическом  процессе обработки и передачи  электронных платежных документов, в том числе предназначенные  для ведения архивов, должны  быть учтены;

- установлению правил  доступа на объекты, в помещения,  в информационные системы, применению  в этих целях систем охраны  и управления доступом;

- организации непрерывного  процесса контроля (мониторинга)  событий безопасности для своевременного  выявления и пресечения попыток  несанкционированного доступа к  защищаемой информации;

-  организации работы  с персоналом, включая ознакомление  с кандидатами, их изучение  и проверку, обучение персонала  требованиям информационной безопасности;

-  осуществлению контроля  эффективности организационных  мер защиты.

2. Технические  (аппаратные и программные) меры  защиты:

Предусматриваются следующие  программно-технические меры:

- АРМы должны быть оснащены  сертифицированными средствами  защиты от несанкционированного  доступа к ресурсам ПЭВМ;

- программные и программно-аппаратные  средства защиты от несанкционированного  доступа должны обеспечивать: парольную  защиту (требование к паролю согласно  пункту политики безопасности 1.7).

- выбор, внедрение и  поддержание в актуальном состоянии  аппаратных и программных средств  контроля и защиты специальных  приборов, устройств, технических  систем и средств, используемых  в интересах обеспечения информационной  безопасности (в том числе для  обнаружения и нейтрализации  попыток несанкционированного доступа  к информации);

Разработка защитных технических  решений реализуется при:

1. Стратегическом планировании  архитектуры информационных систем;

2. Выборе технических  средств;

3. Разработке или приобретении  программного обеспечения;

4. Проектировании, строительстве  объектов, оснащении их системами

5. Электросвязи.

6. Разработка технических  решений по доведению технических  систем и средств до требуемого  уровня защищенности;

3. Требования  к помещениям :

К таким мерам относятся  мероприятия по регламентации, установлению, поддержанию и осуществлению  контроля за состоянием:

- физической охраны (контрольно-пропускной  режим перемещения ценностей,  грузов, персонала, посетителей,  защиты руководителей и сотрудников);

-     охраны коммерческой, банковской и служебной тайны;

- защиты технологических  процессов, информационных ресурсов, информации и поддерживающей  их инфраструктуры.

4.Обеспечение  безопасности при работе с  носителями ключевой информации:

1. Все работы по управлению  ключевой системой СКЗИ осуществляются  администратором информационной  безопасности.

2. Работники, ответственные  за использование ключей СКЗИ, несут персональную ответственность  за их сохранность и обеспечение  их конфиденциальности.

3. При увольнении или  прекращении по каким-либо другим  причинам полномочий работника,  имевшего доступ к ключевой  информации, администратор информационной  безопасности заблаговременно информирует  об этом для организации замены  ключевой информации.

4. После завершения работы  работник обязан поместить ключевой  носитель на хранение в опечатанный  личной печатью личный сейф.

5. Технологические  меры:

1. Ввод каждого платежного  документа с бумажного носителя  в электронную систему расчетов  должен осуществляться с участием  двух работников на разных  АРМах.

2. При возникновении ошибок  при двойном вводе, документ  возвращается на повторный ввод, который осуществляется в присутствии  администратора информационной  безопасности;

3. Каждый передаваемый  на обработку в Центр обработки  информации Банка пакет ЭПД  должен быть снабжен двумя  КА

4. Обязательным условием  обработки пакета ЭПД в ЦОИ  Банка является положительный  результат проверки всех КА.

Назначение администраторов  информационной безопасности и лиц  их замещающих осуществляется приказом начальника Банка.

6. Требования  к персоналу:

1. Допуск персонала к  эксплуатации АРМов систем обработки  и передачи электронных платежных  документов осуществляется приказом (распоряжением) начальника Банка.

2. Полномочия работников  при работе с ключевыми документами  должны быть определены приказами  (распоряжениями) начальника Банка.

3. Назначение администраторов  информационной безопасности и  лиц их замещающих осуществляется  приказом начальника Банка.

7. Порядок  действий при нарушении целостности  ПЭВМ.

Пользователь технического средства, опечатанного СЗЗ, осуществляет ежедневную визуальную проверку наличия  и целостности СЗЗ и в случае нарушения целостности немедленно докладывает своему администратору информационной безопасности. Результаты ежедневного контроля отражаются пользователем  в журнале, который хранится на рабочем  месте у каждого пользователя технического средства вместе с перечнем установленных СЗЗ.