Схема – конспект
тема «КОРПОРАТИВНЫЙ СТАНДАРТ БАНКА РОССИИ ПО ОБЕСПЕЧЕНИЮ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ»
Студентки 402 группы
Абрамовой Ирины
УРОК 16 тема «КОРПОРАТИВНЫЙ СТАНДАРТ БАНКА РОССИИ ПО ОБЕСПЕЧЕНИЮ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ»
Работа в СИС «консультант плюс» или «БКБ»
работать с нормативным документом
СТАНДАРТ БАНКА РОССИИ
СТО БР ИББС-1.0-2010
ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ
БАНКОВСКОЙ СИСТЕМЫРОССИЙСКОЙ ФЕДЕРАЦИИ
Защита от НСД, управление доступом и регистрацией в АБС, в телекоммуникационном оборудовании и автоматических телефонных станциях и т.д.
§ Принципы
При распределении прав доступа работников и клиентов к информационным активам организации БС РФ следует руководствоваться принципами:"Знать своего клиента" (Know your Customer): принцип, используемый регулирующими органами для выражения отношения к финансовым организациям с точки зрения знания деятельности их клиентов.
"Знать своего служащего" (Know your Employee): принцип, демонстрирующи озабоченность организации по поводу отношения служащих к своим обязанностям и возможных проблем, таких, как злоупотребление имуществом, аферы или финансовые трудности, которые могут приводить к проблемам с безопасностью.
"Необходимо знать" (Need to Know): принцип, ограничивающий полномочия по доступу к информации и ресурсам по обработке информации на уровне минимально необходимых для выполнения определенных обязанностей.
"Двойное управление" (Dual Control): принцип сохранения целостности процесса и борьбы с искажением функций системы, требующий дублирования (алгоритмического, временного, ресурсного или иного) действий до завершения определенных транзакций.
§ Требования к средствам защиты информации от НСД
§ Антивирусная защиты
§ Использование ресурсов Интернет
Решение об использовании сети Интернет для производственной и (или) собственной хозяйственной деятельности должно документально приниматься руководством организации БС РФ. При этом цели использования сети Интернет должны быть явно перечислены, например, сеть Интернет в организации БС РФ может использоваться для:
- ведения дистанционного банковского обслуживания;
- получения и распространения информации, связанной с банковской деятельностью (например, путем создания информационных web-сайтов организации БС РФ);
- информационно-аналитической работы в интересах организации;
- обмена электронными сообщениями, например, почтовыми.
Использование сети Интернет в неустановленных целях должно быть запрещено.
С целью ограничения использования сети Интернет в неустановленных целях в организации БС РФ рекомендуется провести выделение ограниченного числа пакетов, содержащих перечень сервисов и ресурсов сети Интернет, доступных для пользователей. Наделение работников организации БС РФ правами пользователя конкретного пакета должно оформляться документально и выполняться в соответствии с его должностными обязанностями, в частности, в соответствии с назначенными ему ролями.
§ Использование средств криптографической защиты информации
Средства криптографической защиты информации, или шифровальные (криптографические) средства (далее - СКЗИ), предназначены для защиты информации при ее обработке, хранении и передаче по каналам связи.
Необходимость использования СКЗИ определяется организацией БС РФ самостоятельно, если иное не предусмотрено законодательством РФ.
Применение СКЗИ в организации БС РФ должно проводиться в соответствии с моделью угроз ИБ и моделью нарушителя ИБ, принятыми организацией БС РФ. Рекомендуется утвердить частную политику ИБ, касающуюся применения СКЗИ в организации БС РФ.
СКЗИ, применяемые для защиты персональных данных, должны иметь класс не ниже КС2.
Работы по обеспечению с помощью СКЗИ безопасности информации проводятся в соответствии с действующими в настоящее время нормативными документами, регламентирующими вопросы эксплуатации СКЗИ, технической документацией на СКЗИ и лицензионными требованиями ФСБ России.
Защита информационных технологических процессов
§ Объекты защиты
§ Классификация неплатежной информации
Классификацию неплатежной информации следует проводить в соответствии со степенью тяжести последствий потери ее свойств ИБ, в частности, свойств доступности, целостности и конфиденциальности.
§ Требования к порядку контроля функционирования АБС
§ Ответственность организации БС РФ
§ Администратор АБС
§ Администратор информационной безопасности