Файл: Система защиты информации в банковских системах (ПОНЯТИЕ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ).pdf

Скачать файл
Заказать решение

ВУЗ: Не указан

Категория: Курсовая работа

Дисциплина: Не указана

Добавлен: 27.06.2023

Просмотров: 133

Скачиваний: 3

ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.

СОДЕРЖАНИЕ

ВВЕДЕНИЕ

ЗАКЛЮЧЕНИЕ

СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ

При взаимодействии с внешними организациями и клиентами требования по обеспечению ИБ должны регламентироваться положениями, включаемыми в договоры (соглашения) с ними.

Обязанности персонала по выполнению требований по обеспечению ИБ должны включаться в трудовые контракты (соглашения, договоры) и (или) должностные инструкции. Невыполнение работниками требований по обеспечению ИБ должно приравниваться к невыполнению должностных обязанностей и приводить как минимум к дисциплинарной ответственности.

3.4 Общие требования по обеспечению информационной безопасности автоматизированных банковских систем на стадиях жизненного цикла

В части вопросов обеспечения ИБ следует рассматривать следующие общие стадии модели жизненного цикла автоматизированной банковской системы:

1. разработка технических заданий;

2. проектирование;

3. создание и тестирование;

4. приёмка и ввод в действие;

5. эксплуатация;

6. сопровождение и модернизация;

7. снятие с эксплуатации.

Выполнение работ на всех стадиях жизненного цикла автоматизированной банковской системы в части вопросов обеспечения ИБ должно осуществляться по согласованию и под контролем службы ИБ.

Организации, привлекаемые на договорной основе для обеспечения ИБ на стадиях жизненного цикла автоматизированной банковской системы, должны иметь лицензии на деятельность по технической защите конфиденциальной информации в соответствии с законодательством РФ.

В технические задания на разработку или модернизацию автоматизированной банковской системы следует включать требования к обеспечению информационной безопасности, установленные и используемые организацией для обеспечения ИБ в рамках технологических процессов, реализуемых создаваемой или модернизированной автоматизированной банковской системы.

Тщательное удаление информации и очищение памяти после работы приложений (этому подвержены также диски, дискеты, USB-накопители, мобильные жесткие диски).
Функция регистрации и учета предназначена для фиксирования обращений к защищаемым ресурсам, что позволяет позже расследовать инциденты, связанные с утечкой или утратой информации ограниченного доступа.
И еще исключительно важная задача СЗИ от НСД – это контроль и обеспечение целостности системы. В случае если программные или аппаратные компоненты системы подвергались модификации, правильность выполнения основной функции системы может быть поставлена под сомнение, поэтому необходимо, чтобы перед стартом компоненты системы сравнивались с эталоном и, в случае обнаружения расхождений, пользователь оповещается о несанкционированной модификации системы и дальнейшая работа системы блокировалась.

Программные и аппаратные средства позволяющие применять современные технологии аутентификации пользователей и предоставления доступа к информационным системам, а так же управление созданием и изменениями учетных записей пользователей в ИТ-системах.

На стадии создания и тестирования автоматизированной банковской системы и их компонентов банки обеспечивают реализацию запрета использования защищаемой информации в качестве тестовых данных, анонимность данных и контроль адекватности предоставления и разграничения доступа.

Эксплуатируемые автоматизированной банковской системы и их компоненты должны быть снабжены документацией, содержащей описание реализованных в автоматизированной банковской системе защитных мер, в
том числе описание состава и требований к
реализации организационных защитных мер, состава и требований к эксплуатации технических защитных мер.

Банку следует проводить анализ принятия разработчиком автоматизированной банковской системы защитных мер, направленных на обеспечение безопасности разработки и безопасности её поставки.

При разработке технических заданий на системы дистанционного банковского обслуживания должно
быть учтено, что защита данных должна обеспечиваться в условиях:

  • возможности ошибок авторизованных пользователей систем;
  • возможности ненамеренного или неадекватного использования защищаемой информации авторизованными пользователями;
  • попыток несанкционированного доступа к информации анонимных, неавторизованных злоумышленников с использованием сетей общего пользования.

На стадии эксплуатации автоматизированной банковской системы должны быть определены, выполняться и регистрироваться процедуры:

  • контроля работоспособности реализованных в автоматизированной банковской системе защитных мер, в
том числе контроль реализации организационных защитных мер, контроль состава и параметров настройки применяемых технических защитных мер;
  • контроля внесения изменений в параметры настройки автоматизированной банковской системы и применяемых технических защитных мер;
  • контроля необходимого обновления программного обеспечения автоматизированной банковской системы, включая программное обеспечение технических защитных мер;
  • контроля отсутствия уязвимостей в оборудовании и программном обеспечении автоматизированной банковской системы.

На стадии эксплуатации автоматизированной банковской системы должны быть определены, выполняться, регистрироваться и контролироваться процедуры, необходимые для обеспечения восстановления всех реализованных функций по обеспечению ИБ.

На стадии эксплуатации автоматизированной банковской системы должны быть определены, выполняться и регистрироваться процедуры контроля состава устанавливаемого и (или) используемого программного обеспечения автоматизированной банковской системы.

В банке должны быть выделены и назначены роли, связанные с эксплуатацией и контролем эксплуатации автоматизированной банковской системы и применяемых технических защитных мер, в
том числе с внесением изменений в параметры их настройки. Для всех автоматизированных банковских систем должны быть определены и выполняться процедуры контроля её эксплуатации со стороны службы ИБ. Проведение мероприятий по контролю эксплуатации автоматизированной банковской системы и их результаты должны регистрироваться.

На стадии эксплуатации автоматизированной банковской системы должны быть определены, выполняться и контролироваться процедуры, необходимые для обеспечения сохранности носителей защищаемой информации.

На стадии сопровождения (модернизации) должны быть определены, выполняться и регистрироваться процедуры контроля, обеспечивающие защиту от:

  • умышленного несанкционированного раскрытия, модификации или уничтожения информации;
  • неумышленной модификации, раскрытия или уничтожения информации;
  • отказа в обслуживании или ухудшения обслуживания.

На стадии сопровождения (модернизации) автоматизированных банковских систем, отнесённых решением к критичным, в
том числе автоматизированных банковских систем, задействованных в реализации банковского платёжного технологического процесса, и в информационных системах персональных данных должны быть определены, выполняться и регистрироваться процедуры:

  • фиксации внесённых изменений;
  • проверки функциональности автоматизированных банковских систем, в том числе применяемых мер защиты информации, после внесения изменений.

На стадии снятия с эксплуатации должны быть определены, выполняться и регистрироваться процедуры, удаления информации с
использованием алгоритмов и методов, обеспечивающих невозможность восстановления удаленной информации.

Тщательное удаление информации и очищение памяти после работы приложений (этому подвержены также диски, дискеты, USB-накопители, мобильные жесткие диски).
Функция регистрации и учета предназначена для фиксирования обращений к защищаемым ресурсам, что позволяет позже расследовать инциденты, связанные с утечкой или утратой информации ограниченного доступа.
И еще исключительно важная задача СЗИ от НСД – это контроль и обеспечение целостности системы. В случае если программные или аппаратные компоненты системы подвергались модификации, правильность выполнения основной функции системы может быть поставлена под сомнение, поэтому необходимо, чтобы перед стартом компоненты системы сравнивались с эталоном и, в случае обнаружения расхождений, пользователь оповещается о несанкционированной модификации системы и дальнейшая работа системы блокировалась.

Программные и аппаратные средства позволяющие применять современные технологии аутентификации пользователей и предоставления доступа к информационным системам, а так же управление созданием и изменениями учетных записей пользователей в ИТ-системах.

3.5 Общие требования по обеспечению информационной безопасности при управлении доступом и регистрацией

с целью уничтожения персональных данных Банком создается Комиссия из числа работников Банка, выявляющая перечень субъектов персональных данных, информация о которых подлежит уничтожению, ИСПДн, в которых производится обработка указанной информации, а также носители персональных данных, подлежащие уничтожению.

В случае выявления ИСПДн, содержащих сведения о субъектах персональных данных, информация о которых подлежит уничтожению, производится удаление указанных сведений из соответствующих ИСПДн. Результаты удаления фиксируются в Акте удаления персональных данных (по форме Приложения 9 к настоящему Положению).

В случае выявления носителей персональных данных, содержащих сведения о субъектах персональных данных, информация о которых подлежит уничтожению, при возможности и целесообразности производится уничтожение информации на носителях персональных данных с помощью программного обеспечения гарантированного уничтожения информации, в противном случае производится уничтожение указанных носителей персональных данных. Результаты уничтожения фиксируются в Акте уничтожения носителей персональных данных В случае поступления в Банк запроса­ субъекта ПДн, удовлетворяющего требованиям Федерального закона «О персональных данных», Руководитель подразделения, в которое поступило обращение, сообщает о наличии либо отсутствии обработки Банком персональных данных, относящихся к соответствующему субъекту ПДн путем направления Ответа о наличии обработки персональных данных (по форме Приложения 1 к настоящему Положению) либо Ответа об отсутствии обработки персональных данных (по форме Приложения 2 к настоящему Положению) соответственно.
В случае осуществления Банком обработки персональных данных, Банк также предоставляет возможность ознакомления с ними при обращении субъекта ПДн или его законного представителя в течение 30 (тридцати) рабочих дней с момента получения Банком запроса субъекта ПДн или его законного представителя. В случае отказа в предоставлении информации Руководитель подразделения сообщает об этом субъекту ПДн либо его законному представителю путем направления мотивированного Ответа об отказе в предоставлении информации о наличии обработки персональных данных  При обработке Банком персональных­ данных субъект ПДн имеет право:
- ознакомиться со своими персональными данными, обрабатываемыми Банком;
- получить информацию о способах, правовых основаниях и целях обработки персональных данных, о лицах (исключая работников Банка). Наряду с обеспечением конфиденциальности сведений, составляющих персональные данные, Банк предоставляет указанные сведения самому субъекту ПДн или его представителю, а также государственным органам и их должностным лицам, организациям в случаях и в порядке, предусмотренном законодательством Российской Федерации. Банк предоставляет на безвозмездной основе сведения, составляющие персональные данные, государственным органам и их должностным лицам, организациям в рамках их компетенции, определенной законодательством Российской Федерации, при поступлении в Банк оригинала оформленного надлежащим образом мотивированного запроса в письменной форме.
Работники Банка, ответственные за обработку и хранение персональных данных, имеющие доступ к персональными данными в силу своих должностных обязанностей, при приеме на работу подписывают «Обязательство о соблюдении требований обращения с конфиденциальной информацией»­ [9.2.2], за исключением случаев, когда аналогичные требования отражены в трудовом договоре или должностных обязанностях.. Оригиналы подписанных «Обязательств о соблюдении требований обращения с конфиденциальной информацией» хранятся в Отделе по работе с персоналом Банка.

Должны быть определены, выполняться, регистрироваться и контролироваться процедуры выявления, учёта и классификации (отнесение к одному из типов) информационных активов организации. Должны быть учтены и зафиксированы права доступа работников и клиентов банка к информационным активам или их типам.

В составе автоматизированной банковской системы должны применяться встроенные защитные меры от НСД и НРД, а также могут применяться средства защиты информации, сертифицированные по требованиям безопасности информации. Защитные меры от НСД должны обеспечивать сокрытие вводимых субъектами доступа аутентификационных данных на устройствах отображения информации. Размещение устройств отображения информации автоматизированной банковской системы должно препятствовать её несанкционированному просмотру.

В банке должны быть определены, выполняться, регистрироваться и контролироваться правила и процедуры:

  • разграничения доступа к информационным активам на основе ролевого метода, с определением для каждой роли полномочий по доступу к информационным активам;
  • управления предоставлением/отзывом и блокированием доступа, в
том числе доступа, осуществляемого через внешние информационно-телекоммуникационные сети; управления учётными записями субъектов доступа;
  • управления составом разрешенных действий до выполнения идентификации и аутентификации;
  • идентификации, аутентификации, авторизации субъектов доступа, в
том числе внешних субъектов доступа, которые не являются работниками банка, и программных процессов;
  • регистрации действий субъектов доступа с
обеспечением контроля целостности и защиты данных регистрации;
  • управления идентификационными данными, аутентификационными данными и средствами аутентификации;
  • использования технологий беспроводного доступа к информации, в случае их применения, и защиты внутренних беспроводных соединений;
  • выявления и блокирования неуспешных попыток доступа;
  • блокирования сеанса доступа после установленного времени бездействия или по запросу субъекта доступа, требующего выполнения процедур повторной аутентификациии авторизации для продолжения работы;
  • ограничения действий пользователей по изменению настроек их автоматизированных мест (использование ограничений на изменение BIOS);
  • ограничения действий пользователей по изменению параметров настроек автоматизированной банковской системы и реализации контроля действий эксплуатационного персонала по изменению параметров настроек автоматизированной банковской системы;
  • выявления и блокирования несанкционированного перемещения (копирования) информации, в
том числе баз данных, файловых ресурсов, виртуальных машин;
  • использования мобильных устройств
 для доступа к информации в случае их применения.

Смотрите также файлы