Защита информационных технологических процессов




Схема – конспект

тема «КОРПОРАТИВНЫЙ СТАНДАРТ БАНКА РОССИИ ПО ОБЕСПЕЧЕНИЮ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ»

Студентки 402 группы

Абрамовой Ирины


УРОК 16 тема «КОРПОРАТИВНЫЙ СТАНДАРТ БАНКА РОССИИ ПО ОБЕСПЕЧЕНИЮ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ»

Работа в СИС «консультант плюс» или «БКБ»

работать с нормативным документом

СТАНДАРТ БАНКА РОССИИ

 

СТО БР ИББС-1.0-2010

 

ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ

БАНКОВСКОЙ СИСТЕМЫРОССИЙСКОЙ ФЕДЕРАЦИИ

 

Защита от НСД, управление доступом и регистрацией в АБС, в телекоммуникационном оборудовании и автоматических телефонных станциях и т.д.

§ Принципы

При распределении прав доступа работников и клиентов к информационным активам организации БС РФ следует руководствоваться принципами:"Знать своего клиента" (Know your Customer): принцип, используемый регулирующими органами для выражения отношения к финансовым организациям с точки зрения знания деятельности их клиентов.

"Знать своего служащего" (Know your Employee): принцип, демонстрирующи озабоченность организации по поводу отношения служащих к своим обязанностям и возможных проблем, таких, как злоупотребление имуществом, аферы или финансовые трудности, которые могут приводить к проблемам с безопасностью.

"Необходимо знать" (Need to Know): принцип, ограничивающий полномочия по доступу к информации и ресурсам по обработке информации на уровне минимально необходимых для выполнения определенных обязанностей.

"Двойное управление" (Dual Control): принцип сохранения целостности процесса и борьбы с искажением функций системы, требующий дублирования (алгоритмического, временного, ресурсного или иного) действий до завершения определенных транзакций.

§ Требования к средствам защиты информации от НСД

§ Антивирусная защиты

§ Использование ресурсов Интернет

Решение об использовании сети Интернет для производственной и (или) собственной хозяйственной деятельности должно документально приниматься руководством организации БС РФ. При этом цели использования сети Интернет должны быть явно перечислены, например, сеть Интернет в организации БС РФ может использоваться для:

- ведения дистанционного банковского обслуживания;

- получения и распространения информации, связанной с банковской деятельностью (например, путем создания информационных web-сайтов организации БС РФ);

- информационно-аналитической работы в интересах организации;

- обмена электронными сообщениями, например, почтовыми.

Использование сети Интернет в неустановленных целях должно быть запрещено.

С целью ограничения использования сети Интернет в неустановленных целях в организации БС РФ рекомендуется провести выделение ограниченного числа пакетов, содержащих перечень сервисов и ресурсов сети Интернет, доступных для пользователей. Наделение работников организации БС РФ правами пользователя конкретного пакета должно оформляться документально и выполняться в соответствии с его должностными обязанностями, в частности, в соответствии с назначенными ему ролями.

§ Использование средств криптографической защиты информации

Средства криптографической защиты информации, или шифровальные (криптографические) средства (далее - СКЗИ), предназначены для защиты информации при ее обработке, хранении и передаче по каналам связи.

Необходимость использования СКЗИ определяется организацией БС РФ самостоятельно, если иное не предусмотрено законодательством РФ.

Применение СКЗИ в организации БС РФ должно проводиться в соответствии с моделью угроз ИБ и моделью нарушителя ИБ, принятыми организацией БС РФ. Рекомендуется утвердить частную политику ИБ, касающуюся применения СКЗИ в организации БС РФ.

СКЗИ, применяемые для защиты персональных данных, должны иметь класс не ниже КС2.

Работы по обеспечению с помощью СКЗИ безопасности информации проводятся в соответствии с действующими в настоящее время нормативными документами, регламентирующими вопросы эксплуатации СКЗИ, технической документацией на СКЗИ и лицензионными требованиями ФСБ России.

 

Защита информационных технологических процессов

§ Объекты защиты

§ Классификация неплатежной информации

Классификацию неплатежной информации следует проводить в соответствии со степенью тяжести последствий потери ее свойств ИБ, в частности, свойств доступности, целостности и конфиденциальности.

§ Требования к порядку контроля функционирования АБС

§ Ответственность организации БС РФ

§ Администратор АБС

§ Администратор информационной безопасности

 



Поделиться:




Поиск по сайту

©2015-2024 poisk-ru.ru
Все права принадлежать их авторам. Данный сайт не претендует на авторства, а предоставляет бесплатное использование.
Дата создания страницы: 2017-11-19 Нарушение авторских прав и Нарушение персональных данных
 

Поиск по сайту:

Читайте также:

Деталирование сборочного чертежа

Когда производственнику особенно важно наличие гибких производственных мощностей?

Собственные движения и пространственные скорости звезд

Тема 11. Банковские риски и способы их оценки

Опросник «Активность повседневной жизни»

Интересно:

Что такое энтеровирусная инфекция?

Что такое метод «Елочки»?

Роль страхования в рыночной экономике

Зачем нужна стратификация

Обратная связь