ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 05.12.2023
Просмотров: 190
Скачиваний: 4
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
СОДЕРЖАНИЕ
1. ОСНОВЫ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
1.1 Законодательные основы защиты персональных данных
Классификация угроз информационной безопасности персональных данных.
Общая характеристика источников угроз в информационных системах персональных данных
Характеристика Банка и его деятельности
1.6 Устройство и угрозы локальной вычислительной сети Банка
1.7 Средства защиты информации
1.8 Организационные меры защиты
1.9 Цикл обработки персональных данных
2. РАЗРАБОТКА МЕР ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ В БАНКЕ
2.2 Программные и аппаратные средства защиты
2.3 Базовая политика безопасности
3. ЭКОНОМИЧЕСКОЕ ОБОСНОВАНИЕ ПРОЕКТА
2.3 Базовая политика безопасности
После рассмотрения особенностей построения локальной сети ПАО «Витабанк», средств защиты персональных данных, организационных мер защиты персональных данных и самих информационных систем персональных данных была составлена базовая политика безопасность ПАО «Витабанк».
Политика безопасности в Банке регламентирует:
-
Систему повышения осведомленности сотрудников в вопросах информационной безопасности; -
Порядок доступа сотрудников к ресурсам сети Интернет; -
Порядок доступа сотрудников к внутрибанковским ресурсам; -
Порядок работы сотрудников с электронной почтой; -
Парольную политику Банка; -
Правила доступа сотрудников к персональным данным.
2.3.1 Система повышения осведомлённости сотрудников в вопросах информационной безопасности
Система повышения осведомлённости сотрудников в вопросах информационной безопасности состоит из:
-
Обучения сотрудников Банка; -
Регулярном информировании сотрудников Банка о новых угрозах информационной безопасности Банка.
Обучение сотрудников Банка проводится специалистом отдела информационной безопасности.
Сотрудник отдела информационной безопасности проводит обучение в определённом планом подразделении Банка. После проведённого обучения, сотрудники подразделения проходят тесты, в которых подтверждают полученные на обучении знания.
Базовой политикой безопасности регламентируется проведение обучения в каждом подразделении не реже четырёх раз в год.
Так же параллельно с обучением сотрудников, сотрудники отдела информационной безопасности обязаны не реже раза в месяц рассылать всем сотрудникам Банка информационные письма, в которых описываются основные правила безопасности, новые угрозы информационной безопасности Банка, если такие обнаружены.
2.3.2 Порядок доступа сотрудников к ресурсам сети Интернет
В Банке созданы 3 группы доступа в сеть Интернет, но такое разделение доступа неэффективно, поскольку у сотрудника, для выполнения его должностных обязанностей, может возникнуть потребность получить информацию с сетевого ресурса, входящего в группу полного доступа, тогда ему придётся давать полный доступ к сети Интернет, что небезопасно.
Для того, чтобы этого не происходило, было создано восемь групп доступа в сеть Интернет:
-
Группа 1: минимальный доступ – доступ только к сайту Центрального Банка и к внешнему сайту ПАО «Витабанк». Все новые сотрудники по умолчанию добавляются в эту группу; -
Группа 2: федеральные службы – доступ к ресурсам группы 1 с добавлением ресурсов Федеральных служб Российской Федерации; -
Группа 3:расширенный доступ – доступ к ресурсом групп 1 и 2 и ресурсы не запрещённые в следующих группах; -
Группа 4: Социальные сети – доступ к социальным сетям; -
Группа 5: Мультимедийный контент – предоставление доступа к сайтам, содержащим мультимедийный контент, без этой группы весь мультимедийный контент даже на разрешённых ресурсах блокируется; -
Группа 6: скачивание архивов – группа не предоставляет какой-либо доступ к ресурсам сети Интернет; -
Группа 7: скачивание исполняемых файлов – группа не предоставляет какой-либо доступ к ресурсам сети Интернет; -
Группа 8: полный доступ в сеть Интернет – полный доступ к ресурсам сети Интернет, загрузка любых файлов.
Для получения доступа к ресурсам сети Интернет сотрудник создаёт заявку через систему ServiceDesk и после одобрения руководителем отдела или управления и сотрудником отдела информационной безопасности сотруднику предоставляется доступ к ресурсам сети Интернет согласно запрошенной группы.
2.3.3 Порядок доступа сотрудников к внутрибанковским ресурсам
Основные документы по работе сотрудника находятся на локальном рабочем месте или в автоматизированной системе, в которой он работает. Так же у каждого подразделения Банка на файловом сервере Банка существует раздел, в котором хранится информация, необходимая нескольким сотрудникам подразделения и которая велика по размеру для передачи по электронной почте Банка.
Когда новый сотрудник устраивается на работу в Банк, его прямой руководитель направляет заявку через систему ServiceDesk в отдел системного администрирования о предоставлении доступа к внутрибанковскому ресурсу и после одобрения заявки сотрудником отдела информационной безопасности сотрудник отдела системного администрирования открывает новому сотруднику доступ к запрошенному ресурсу.
Нередко возникают ситуации, в которых работа нескольких подразделений Банка пересекается и для обмена информацией этим подразделениям нужен отдельный на файловом сервере Банка.
Для создания этого раздела руководитель проекта, начальник одного из отделов, задействованных в процессе работы над проектом создаёт заявку через систему ServiceDesk на создание общего ресурса и доступа к этому ресурсу определённых сотрудников своего подразделения, работающих над совместным проектом и начальника подразделения с которым сотрудничает в рамках проекта. После одобрения сотрудником отдела информации сотрудник отдела системного администрирования создаёт запрошенный ресурс и предоставляет к нему доступ заявленных сотрудников. Каждый начальник подразделения, участвующего в проекте запрашивает доступ только для тех сотрудников, которые находятся у него в подчинении.
2.3.4 Порядок работы сотрудников с электронной почтой
Ранее, до создания базовой политики безопасности, каждый сотрудник сам определял степень опасности писем и файлов, пришедших по электронной почте с внешних почтовых серверов.
После создания базовой политики безопасности, каждому пользователю вменяется в обязанности каждый файл, полученный по электронной почте от внешних почтовых серверов пересылать в отдел информационной безопасности для проверки его на наличие вредоносного программного обеспечения, степень опасности писем сотрудник определяет самостоятельно. Если сотрудник Банка подозревает, что во входящем сообщении содержится спам или фишинг, он обязан отправить письмо полностью, то есть содержащее в себе всю служебную информацию об отправителе, его почтовый ящик и IP-адрес, в отдел информационной безопасности. После анализа подозрительного письма и при подтверждении угрозы этого письма отдели информационной безопасности направляет адрес отправителя письма в отдел системного администрирования, и сотрудник отдела системного администрирования заносит адрес отправителя письма в чёрный список.
2.3.5 Парольная политика Банка
Для предотвращения несанкционированного доступа к информационным ресурсам Банка, а также к информационным системам персональных данных, в Банке установлена следующая парольная политика:
-
Длина пароля – не менее 8 символов; -
Сложность пароля – латинские и /или кириллические символы, верхний и нижний регистр, специальные символы; -
Срок действия пароля – 1 месяц; -
Невозможность повторения пароля в течении трёх месяцев.
При обучении сотрудников им разъясняются правила хранения паролей:
-
Не записывать пароли на бумажный или цифровой носитель; -
Вводить пароль от рабочего места или при входе в систему без посторонних лиц, которые могут запомнить или записать, не заметно для пользователя, пароль; -
Всегда блокировать рабочее место, при отлучении от него.
2.3.6 Правила доступа сотрудников к персональным данным
Согласно статьи 89 главы 14 Трудового Кодекса Российской Федерации, сотрудник Банка имеет право на доступ к своим персональным данным, но допускается к обработке персональных данных других сотрудников Банка или клиентов Банка только для исполнения своих должностных обязанностей.
Для обеспечения контроля за доступом в информационным системам персональных данных, в банке установлены следующие правила доступа к информационным системам персональных данных:
-
Только сотрудники, в чьи должностные обязанности входит обработка персональных данных имеют доступ к ИСПДн; -
Доступ к ИСПДн разрешён только с локального рабочего места сотрудника, работающего с персональными данными; -
В Банке создан документ, определяющий пофамильно сотрудников, которым разрешен доступ к персональным данным сотрудников и клиентов Банка с указанием Информационной системы персональных данных и перечнем персональных данных, разрешённых для обработки сотрудником.