Политика информационной безопасности

Реклама
Меры, позволяющие обеспечить
информационную безопасность
в банке
Начальник управления прикладных и системно-технических
разработок
ОАО
«Центр
банковских
технологий»
Чурносов Иван Борисович
ОАО «Центр банковских технологий»
Беларусь, 220004 Минск, ул. Кальварийская 7
Тел.: +375 17 2032916 www.сbt.by
Жизненный цикл в ИБ
Изучение фактического состояния,
включает:
Организационная структура банка
нормативно-распорядительная
документация в области безопасности,
их
соответствие
безопасности.
целям
и
информационной
Система управления доступом,
в том числе угрозы несанкционированного
доступа посторонних на объект.
Защита речевой информации
помещениях и каналах связи,
в
в том числе выявление естественных
каналов
утечки
информации
(оргтехника, коммуникации и т.п.),
выявление
искусственных
каналов
утечки информации (подслушивающие
устройства, системы и т.д.).
Безопасность компьютерных систем,
в том числе проведение исследований специальными
средствами сканирования безопасности в сети на предмет:
-наличия уязвимостей в оборудовании, операционных
системах, прикладном программном обеспечении;
-угроз несанкционированного доступа к информации;
-угроз утечки информации при передаче по каналам связи;
- угроз нарушения целостности информации;
- угроз нарушения устойчивой работы информационной
системы в целом;
- потенциальных угроз информационной безопасности со
стороны
работников
организации
при
их
санкционированном доступе к информационным ресурсам;
- возможности проведения атак со стороны Internet
посторонними пользователями (злоумышленниками) и др.
Категории безопасности
Карта уязвимостей: активы
Карта уязвимостей: защита
Концепция обеспечения
информационной безопасности
• Описывает общие принципы и подходы
организации к обеспечению безопасности своих
информационных ресурсов
• Является
методологической основой
построения системы информационной
безопасности
для
• Разрабатывается на основе информации
полученной в ходе обследования , в соответствии
с нормативными документами Республики
Беларусь и использования опыта и материалов
России и других стран.
Политика информационной
безопасности
• Раскрывает:
– цели и задачи построения системы информационной
безопасности
– виды угроз информационной системе
– способы предотвращения угроз
• Является связующим звеном между верхним уровнем
управленческих решений руководства организации по
защите своих информационных ресурсов и уровнем
практической реализации таких решений в жизнь
•Разрабатывается в соответствии с рекомендациями
предстандарта СТБ П ISO/IEC 17799:2005 (ISO/IEC 27002:2005,
27001:2008) и использования опыта и материалов России и
других стран.
•
•
ПРЕДВАРИТЕЛЬНЫЙ СТБ П ISO/IEC 27001-2008 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ
постановлением Госстандарта Республики Беларусь от 12 сентября 2008 г. № 46 в
качестве предварительного государственного стандарта Республики Беларусь со
сроком действия с 01.03.2009 г. по 01.03.2011 г.
Постановление Совета Министров
от 26 мая 2009 г. № 675
«О некоторых вопросах защиты
информации»
определяет, что все государственные информационные
системы должны проходить обязательную аттестацию
по обеспечению информационной безопасности до
ввода в постоянную эксплуатацию.
Аттестация ИС по ИБ
Разработка задания по безопасности на
информационную систему в соответствии с
требованиями технических нормативных правовых актов
в области защиты информации:
1.
•
•
2.
3.
4.
СТБ 34.101.2,3-2004
СТБ 34.101.6-2003
Оценка задания по безопасности на соответствие
требованиям технических нормативных правовых актов в
области защиты информации (СТБ 34.101.6-2003);
Реализация требований задания по безопасности в
информационной системе;
Подготовка к аттестации информационной системы на
соответствие требованиям по ИБ
Использование специализированных
программно технических средств
1. В Регистрационных центрах БИОК и ГосСУОК;
2. При выдаче кредитов и при любых операциях с
использованием паспорта клиента;
3. Для обеспечения дополнительных проверок,
при обеспечении допуска и оформлении
пропусков в специализированные помещения
(здания).
4. При считывании информации с любых
формализованных документов формата А4, А5.
Полностраничный считыватель
паспортов
Задачи решаемые при обработке
документов в банковской сфере:
- Оперативный и безошибочный ввод информации
- Проверка подлинности представленного документа
- Сохранение изображений страниц документа в
цифровом виде
- Возможность получения и сохранения данных из
электронных документов
Скачать