Политика информационной безопасности банка

Автор работы: Пользователь скрыл имя, 25 Ноября 2012 в 22:11, реферат

Краткое описание

Политика информационной безопасности определяет цели и задачи системы защиты информации, принципы ее организации, правовые основы, виды угроз информационной безопасности, ресурсы, подлежащие защите, а также основные направления разработки системы защиты информации, включая правовую, организационную и программно-техническую защиту. Политика информационной безопасности является неотъемлемой составляющей общей политики безопасности Банка и строится в точном соответствии с Концепцией безопасности Банка.

Скачать в ZIP архиве (22.49 Кб) Сколько стоит заказать работу?
Вложенные файлы: 1 файл

Политика-информационной-безопасности-банка-4.doc

— 95.00 Кб (Скачать файл)

 

 

Политика  информационной безопасности банка

 

 

Политика информационной безопасности  определяет цели и задачи системы защиты информации, принципы ее организации, правовые основы, виды угроз информационной безопасности, ресурсы, подлежащие защите, а также основные направления разработки системы защиты информации, включая правовую, организационную и программно-техническую защиту. Политика информационной безопасности является неотъемлемой составляющей общей политики безопасности Банка и строится в точном соответствии с Концепцией безопасности Банка.

Главной целью  разработки и реализации Политики информационной безопасности является обеспечение устойчивого функционирования Банка и предотвращение угроз его информационной безопасности, недопущения хищения, разглашения, утраты, утечки, искажения и уничтожения сведений, подлежащих защите и нарушения работы программно-технических средств  приема, передачи, хранения и обработки информации.

Для реализации Политики информационной безопасности в Банке создается коллегиальный орган - Комитет по информационной безопасности. Председателем Комитета является Президент Банка, Заместителем председателя избирается один из Вице-президентов Банка, членами комитета являются все руководители подразделений Банка, исполнительным секретарем – начальник Отдела защиты информации.

Политика информационной безопасности разрабатывается Комитетом  и  утверждается Президентом Банка. Политика пересматривается по мере необходимости, но не реже одного раза в год по представлению  Комитета.   

 

1. Описание объектов защиты

Объектами защиты являются

 

  • Любая информация (на бумажной, магнитной, оптической основе, информационные массивы и базы данных, программное обеспечение, информативные физические поля различного характера), содержащая сведения ограниченного доступа ("для служебного пользования", "конфиденциальная" и "строго конфиденциальная"), а также другая информация, имеющая важное (критическое) значение для деятельности Банка и подлежащая защите;
  • средства и системы информатизации (программно-технические средства обработки информации, автоматизированные системы и вычислительные сети различного уровня и назначения, линии телеграфной, телефонной, факсимильной, радио и оптической связи, технические средства передачи информации, средства размножения и отображения информации, вспомогательные технические средства и системы);
  • технические средства и системы защиты информационных ресурсов;
  • технологические процедуры выполнения банковских операций и процедуры обработки банковской информации (в виде технологических инструкций выполнения операций, должностных инструкций и сложивших неписаных порядков и правил)

 

Особенности корпоративной сети Банка, влияющие на систему защиты информации:

  • Значительное число территориально-распределенных  объектов, составляющих информационную систему Банка (ИС) и связанных с центральным объектом по линиям связи различного физического происхождения;
  • Большая и разнообразная номенклатура технических средств связи, протоколов взаимодействия (TCP/IP, IPX, X-25, FDDI) и режимов (on-line, of-line) для обеспечения работы корпоративной сети ИС Банка;
  • Непрерывность функционирования сетей и высокая интенсивность потоков информации в ИС, совместное использование как новых так и старых технологий и средств обработки информации;
  • Широкое использование различных систем связи с внешними организациями и специальными системами (Internet, Reuter, S.W.I.F.T., SPRINT, СЭР ЦБРФ) как в качестве источников, так и потребителей информации;
  • Широкая номенклатура применяемых программных и технических средств обработки информации;
  • Большое разнообразие категорий пользователей и обслуживающего персонала ИС;
  • Непрерывное развитие и совершенствование ИС Банка.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

2. Основные  угрозы информационной безопасности  банка

 

  2.1  К  угрозам информационной безопасности банка относятся события, связанные с нарушением основных  свойств безопасности.

 

 Доступность входной информации нарушается при:

    • Отказах и неисправностях программно-технических средств приема, передачи, хранения и обработки информации;
    • Несвоевременном изготовлении или отсутствии достаточного количества копий документов для одновременной работы нескольких пользователей;
    • Несвоевременном предоставлении документов из технологической цепочки при последовательной обработке одного и того же документа несколькими исполнителями;
    • Несвоевременном предоставлении исполнителям соответствующих прав доступа к информации либо к программно-техническим средствам ее обработки либо при дискредитации этих прав;
    • компрометации ключей (средств) аутентификации систем связи и специальных систем (Reuter, S.W.I.F.T., СЭР ЦБ РФ, ГИВЦ ГТК и др.)

Целостность выходной информации нарушается при:

    • ручном вводе информации в ЭВМ при отсутствии внешнего независимого механизма контроля ввода информации;
    • распечатке документов на принтерах общего пользования, когда распечатанный документ не сверяется с первоисточником независимым механизмом, так как возможна распечатка документа любыми программами печати с подменой исходных данных;
    • передаче информации по открытым каналам связи (модемная связь по телефонным открытым линиям, телеграфные линии, системы связи типа Internet, Sprint, телекс, факс и др.) без специальных средств поддержания целостности (ЭЦП, шифрования, контрольных кодовых групп, телеграфных и телексных ключей, других специальных идентификационных признаков);
    • копировании документов без использования независимых механизмов сверки полученных и исходных документов;
    • регистрации документов в журналах (книгах, папках) учета без использования специальных механизмов соответствия учетных данных и исходных документов;
    • хранении документов без специальных средств контроля целостности хранилищ документов (документы дня и другие папки документов);
    • ручном раскассировании документов в раскладки клиентов;
    • ручном пересчитывании купюр 1 сотрудником без применения технических средств;
    • принятии управляющих решений на основе неполных или неверных входных данных;
    • передаче данных по телефону или факсу без соответствующей аппаратуры контроля приема и передачи информации;
    • занесении в ИС вирусов и других вредоносных программ, нарушающих программную целостность информационной среды;

Конфиденциальность  информации нарушается при:

    • передаче и приеме информации по незащищенным системам внешних и внутренних телекоммуникаций и локальным сетям без специальных средств поддержания конфиденциальности (аутентификации пользователей, шифровании сообщений);
    • компрометации ключей (средств) аутентификации систем связи и специальных систем (Reuter, S.W.I.F.T., СЭР ЦБ РФ, ГИВЦ ГТК и др.)
    • ведении конфиденциальных переговоров по незащищенным телефонам МГТС;
    • передаче и приеме факсов на аппаратах общего пользования по линиям МГТС;
    • размножении (в том числе копировании на отчуждаемые носители) документов (информации) ограниченного доступа без учета копий (отчуждаемых носителей) на технических средствах общего доступа;
    • распечатке информации ограниченного доступа на принтерах на неучтенных носителях (бумаге);
    • распечатке конфиденциальной или любой другой информации ограниченного доступа на принтерах общего пользования;
    • неисправности механизмов контроля доступа к информации, функциям или техническим средствам, позволяющим выполнять функции, доступ к которым должен быть ограничен, при сохранении работоспособности остальных механизмов системы.

 

2.2   Неформальная  модель нарушителя

 

 Нарушитель - это лицо, предпринявшее попытку выполнения запрещенных операций (действий) по ошибке, незнанию или осознанно со злым умыслом (из корыстных интересов) или без такового (ради игры или удовольствия, с целью самоутверждения и т.п.) и использующее для этого различные возможности, методы и средства.

Злоумышленник - нарушитель, намеренно идущий на нарушение из корыстных побуждений.

 

Категории лиц, к которым  может принадлежать нарушитель:

 

Внутренним нарушителем может быть лицо из следующих категорий персонала:

  • пользователи (операторы) системы, в первую очередь специалисты, обслуживающие критические банковские процедуры – прием-передача финансовой информации через внешние системы связи (начальник отдела и группа S.W.I.F.T. отдела корреспондентских отношений), выполнение внутренних банковских проводок (ответственные исполнители бухгалтерии и заместитель Главного бухгалтера), заключение сделок  через удаленные терминалы (дилеры отдела международных расчетов), установление курсов валют (начальник отдела международных расчетов), выполнение кредитных операций (специалисты кредитных подразделений);
  • персонал, обслуживающий технические средства (инженеры, техники);
  • сотрудники отделов разработки и сопровождения ПО (прикладные и системные программисты), в первую очередь администраторы сетей и специалисты, связанные с передачей информации через модемные пулы;
  • технический персонал, обслуживающий здания (уборщики, электрики, сантехники и другие сотрудники, имеющие доступ в здания и помещения, где расположены компоненты ИС);
  • сотрудники службы безопасности ИС (отдела компьютерного аудита и отдела защиты информации;
  • руководители различных уровней должностной иерархии, утверждающие проведение и исполнение платежей, а также планирующие перемещение средств на корреспондентских счетах Банка

 

Посторонние лица, которые могут быть нарушителями:

  • клиенты, представители внешних организаций, физические лица;
  • посетители (приглашенные по какому-либо поводу);
  • представители организаций, взаимодействующих по вопросам обеспечения жизнедеятельности организации (энерго-, водо-, теплоснабжения и т.п.);
  • представители конкурирующих организаций (иностранных спецслужб) или лица, действующие по их заданию;
  • лица, случайно или умышленно нарушившие пропускной режим (без цели нарушить безопасность АС);
  • любые лица за пределами контролируемой территории.

 

 

 

2.2.2  Мотивация действий нарушителя (преследуемые нарушителем цели);

Можно выделить три основных мотива нарушений: безответственность, самоутверждение и корыстный интерес.

Безответственность, когда пользователь целенаправленно или случайно производит какие-либо разрушающие действия, не связанные тем не менее со злым умыслом. В большинстве случаев это следствие некомпетентности или небрежности.

Самоутверждение, когда некоторые пользователи считают получение доступа к данным ограниченного доступа крупным успехом, затевая своего рода игру "пользователь - против системы" ради самоутверждения либо в собственных глазах, либо в глазах коллег.

Корыстный интерес. В этом случае он будет целенаправленно пытаться преодолеть систему защиты для доступа к хранимой, передаваемой и обрабатываемой в ИС информации. Даже если ИС имеет средства, делающие такое проникновение чрезвычайно сложным, полностью защитить ее от проникновения практически невозможно.

 

2.2.3 Квалификации нарушителя

По уровню подготовки нарушители могут  быть разной квалификации

  • знает функциональные особенности АС, основные закономерности формирования в ней массивов данных и потоков запросов к ним, умеет пользоваться штатными средствами;
  • обладает высоким уровнем знаний и опытом работы с техническими средствами системы и их обслуживания;
  • обладает высоким уровнем знаний в области программирования и вычислительной техники, проектирования и эксплуатации автоматизированных информационных систем;
  • знает структуру, функции и механизм действия средств защиты, их сильные и слабые стороны.

 Наибольшую угрозу представляют  нарушители последних трех групп.

2.2.4  Возможные действия нарушителей. 

  • использование недостатков в технологических процессах выполнения банковских операций
  • применение чисто агентурных методов получения сведений;
  • применение пассивных технических средства перехвата информации без модификации компонентов системы (несанкционированные подключения к локальной сети банка на свободные разъемы хабов либо вместо штатных рабочих мест, установка средств перехвата акустической, электромагнитной, акустовибрационной и другой информации);
  • использование только штатных средств и недостатков систем защиты информации (несанкционированное копирование и размножение информации на отчуждаемые носители информации с использованием разрешенных средств);
  • применение методов и средств активного воздействия (модификация и подключение дополнительных технических средств, подключение к внешним каналам передачи данных через дополнительные модемы, внедрение программных закладок и использование специальных инструментальных и технологических программ для преодоления систем защиты информации извне ИС Банка).

 

3. Требования  к системе защите информации 

 

Система защиты информации должна обеспечивать:

 

  • защиту информации от вмешательства посторонних нарушителей извне (через подключения к каналам связи внутрибанковской сети, через внешние системы, включая Интернет) и комплексную систему антивирусной защиты;
  • разграничение доступа законных пользователей к ресурсам системы по уровням доступа (к рабочим местам, ресурсам вычислительной сети, к различным информационным системам, в первую очередь Автоматизированной банковской системе, к средствам передачи информации, включая внутреннюю и внешнюю электронную почту, средства Интернет и другие);
  • идентификацию и аутентификацию пользователей при работе в ИС;
  • контроль над легитимностью действий пользователей и своевременное и соответствующее реагирование на нарушения;
  • централизованный контроль целостности технических средств обработки информации;
  • централизованное управление конфигурациями элементов корпоративной сети ИС Банка, контроль целостности конфигураций;
  • защиту целостности и конфиденциальности информации на всех этапах ее обработки, включая методы шифрования, использования электронной цифровой подписи и антивирусные средства;
  • соответствующие изменения в организации защиты информации при совершенствовании технологий выполнения банковских операций

 

 

 

4.  Принципы  построения системы защиты информации

 

4.1  Главными методологическими принципами построения системы защиты информации являются

 

Комплексность:

  • обеспечение безопасности информации от возможных угроз всеми доступными законными средствами, методами и мероприятиями;
  • обеспечение безопасности информационных ресурсов в течение всего их жизненного цикла, на всех технологических этапах их обработки (преобразования) и использования, во всех режимах функционирования;
  • способность системы защиты информации к развитию и совершенствованию в соответствии с изменениями условий функционирования Банка.

Комплексность достигается:

  • организацией системы управления доступа ко всем информационным ресурсам Банка;
  • организацией специального делопроизводства (для учета всех видов отчуждаемых носителей информации) с ориентацией на защиту коммерческих секретов и банковской тайны;
  • мероприятиями по подбору и расстановке кадров на всех критических для защиты информации местах;
  • широким использованием программно-технических средств  защиты информации;

Информация о работе Политика информационной безопасности банка