- •Курсовая работа на тему «разработка политики информационной безопасности на предприятии оао акб связь-банк»
- •Оглавление
- •6.2 Антивирусная защита. 30
- •6.3 Защита от несанкционированного доступа, управление доступом. 30
- •6.4 Использование сети Интернет. 31
- •6.5 Использование средств криптографической защиты. 31
- •6.6 Защита банковских платежных и информационных технологических процессов. 32
- •6.7 Защита программно-технических комплексов информационной системы Банка 33
- •6.8 Обеспечение безопасности баз данных 34
- •6.9 Особенности обеспечения безопасности на рабочих станциях пользователей 35
- •9.1 Управление доступом пользователей 44
- •9.2 Аудит и протоколирование в информационной системе Банка 44
- •9.3 Обязанности пользователей 45
- •10.1 Разделение обязанностей 47
- •10.2 Защита баз данных 47
- •10.3 Резервное копирование и архивирование данных 47
- •10.4 Формирование, хранение и распределение ключевой информации 48
- •10.5 Организация учета и хранения защищаемых носителей информации 48
- •11.1 Доступность системы 50
- •Общие положения
- •1Термины и определения
- •2Обозначения и сокращения
- •4.1.2Внешние угрозы
- •4.2Классификация угроз для автоматизированных систем:
- •4.2.1Угрозы конфиденциальности данных и программ.
- •4.2.2Угрозы целостности данных, программ, аппаратуры.
- •4.2.3Угрозы доступности данных.
- •4.2.4Угрозы отказа от выполнения транзакций.
- •4.2.4.1Пассивные угрозы
- •4.2.4.2Активные угрозы
- •4.4Основными угрозами информационной безопасности автоматизированной системы, принятыми в Банка на основании п. 6.6. Стандарта бр сто бр иббс-1.0-2010 являются:
- •4.4.1Источники угроз на физическом, сетевом уровнях и уровне сетевых приложений:
- •4.6Основными критическими элементами средств автоматизации информационной системы Банка (в порядке убывания их важности) являются:
- •4.7Объектами защиты средств автоматизации являются:
- •6.8Обеспечение безопасности баз данных
- •6.8.1Функции безопасности системы защиты информации Банка в части обеспечения безопасности баз данных направлены на:
- •6.8.2Защита баз данных достигается путем:
- •8.2Информация, подлежащая защите.
- •8.2.1Информация, свободно распространяемая
4.2.2Угрозы целостности данных, программ, аппаратуры.
Несанкционированная модификация информации о безопасности системы может привести к несанкционированным действиям (неверной маршрутизации или утрате передаваемых данных) или искажению смысла передаваемых сообщений. Целостность
аппаратуры нарушается при ее повреждении, похищении или незаконном изменении алгоритмов работы.
4.2.3Угрозы доступности данных.
Возникают в том случае, когда объект (пользователь или процесс) не получает доступа к законно выделенным ему службам или ресурсам. Эта угроза реализуется захватом всех ресурсов, блокированием линий связи несанкционированным объектом в результате передачи по ним своей информации или исключением необходимой системной информации.
Эта угроза может привести к ненадежности или плохому качеству обслуживания в системе и, следовательно, потенциально будет влиять на достоверность и своевременность доставки информации.
4.2.4Угрозы отказа от выполнения транзакций.
Возникают в том случае, когда легальный пользователь передает или принимает информацию, а потом отрицает это, чтобы снять с себя ответственность.
Угрозы информационной безопасности могут обуславливаться как человеческими факторами, так и человеко-машинными и машинными факторами.
Человеческие факторы свою очередь подразделяются на: пассивные угрозы (угрозы, вызванные деятельностью, носящей случайный, неумышленный характер) и активные угрозы (угрозы, обусловленные умышленными, преднамеренными действиями людей).
Человеко-машинные и машинные факторы подразделяются на:
4.2.4.1Пассивные угрозы
с ошибками процесса проектирования, разработки и изготовления систем и их компонентов;
с ошибками в работе аппаратуры из-за некачественного ее изготовления; с ошибками процесса подготовки и обработки информации.
4.2.4.2Активные угрозы
угрозы, связанные с несанкционированным доступом к ресурсам информационной системы;
угрозы, реализуемые бесконтактным способом (сбор электромагнитных излучений, перехват сигналов, наводимых в цепях, визуально-оптические способы добычи информации, подслушивание служебных разговоров и т. п.).
4.3 В соответствии со Стандартом Банка России СТО БР ИББС-1.0-2010 п.6.2. техническая инфраструктура информационной системы Банка, обеспечивающая реализацию банковских технологий, может быть представлена в виде иерархии следующих основных уровней:
физического (линии связи, аппаратные средства и пр.);
сетевого (сетевые аппаратные средства: маршрутизаторы, коммутаторы, концентраторы и пр.);
сетевых приложений и сервисов;
операционных систем;
систем управления базами данных;
банковских технологических процессов и приложений;
бизнес-процессов организации.
Главной целью злоумышленника является получение контроля над активами на уровне бизнес-процессов. Прямое нападение на уровне бизнес-процессов более эффективно для злоумышленника и опаснее для Банка, чем нападение, осуществляемое через нижние уровни, требующее специфических опыта, знаний и ресурсов (в т.ч. временных) и поэтому менее эффективное по соотношению "затраты/получаемый результат". Определение конкретных объектов защиты осуществляется на каждом из уровней информационной инфраструктуры.