Действия в целях обеспечения защиты охраняемой информации банка
Разработка и реализация практических мер по организации защиты банковской, коммерческой, налоговой и других видов тайн, охраняемых законом (далее — банковская тайна): 1) организация конфиденциального делопроизводства, принятия работниками банка обязательства строго исполнять его правила и нести персональную ответственность за обеспечение сохранности доверенных конфиденциальных сведений и их носителей; 2) организация обучения работников правилам соблюдения банковской тайны; 3) осуществление систематического контроля за исполнением организационно-распорядительных документов и инструкций по защите банковской тайны; 4) организация и осуществление мер по защите помещений, выделенных для хранения и обработки конфиденциальных материалов: • установление режима охраны помещений и согласование его с разрешительной системой доступа к защищаемым сведениям; • установка электроконтактных или магнитных датчиков охранной сигнализации на двери и окнах; • выдача ключей от помещений и хранилищ только лицам, ответственным за эти помещения и хранилища; • установка и замена оборудования и мебели только по согласованию с руководителем подразделения по защите информации, а уборка — в присутствии ответственного лица или лица, его замещающего; • проведение ремонта помещений под наблюдением лица, назначенного по согласованию с руководителем подразделения по защите информации. Разработка и реализация мер по организации защиты информации, составляющей банковскую тайну, от утечки по техническим каналам: 1) организация технической защиты: • помещений, предназначенных для ведения конфиденциальных переговоров; • средств и систем информатизации (средства вычислительной техники, автоматизированные системы различного уровня и назначения на базе средств вычислительной техники, средств и систем связи и передачи данных, технических средств приема, передачи и обработки информации, средств изготовления, тиражирования документов, программных средств (операционных систем, систем управления базами данных, другого общесистемного и прикладного программного обеспечения); • технических средств и систем, не обрабатывающих непосредственно конфиденциальную информацию, но размещенных в помещениях, где обрабатывается (циркулирует) конфиденциальная информация (с целью предупредить незаконное получение конфиденциальной информации путем перехвата); 2) подготовка приказов о создании соответствующих подразделений по защите информации и назначении лиц, ответственных за эксплуатацию технологического оборудования и электронных банков данных; 3) периодическая проверка технических средств и служебных помещений на предмет наличия возможно внедренных электронных устройств перехвата информации («закладок»); организация охраны и физическая защита объекта информатизации и отдельных технических средств, исключающих несанкционированный доступ к ним, а также контроль состояния и эффективности защиты информации; 4) составление паспортов защиты охраняемых помещений, содержащих план размещения оборудования и схему его кабельных соединений, перечень оборудования и мебели, установленных в помещении, с указанием типа, учетного или инвентарного номера и даты установки и замены. Разработка и реализация мер по организации защиты компьютерной информации: 1) организация разрешительной системы допуска исполнителей к работе с компьютерной информацией, документам и сведениями различного уровня доступа; 2) установление персональной ответственности пользователей за сохранность доверенных им конфиденциальных документов (носителей), за неправомерные действия в информационной системе, которые повлекли (могли повлечь) несанкционированное ознакомление с защищаемой информацией, ее искажение или уничтожение, которые сделали информацию недоступной для законных пользователей; 3) разработка должностной инструкции, определяющей задачи, права, функции, ответственность и обязанность администратора системы защиты информации, лица, ответственного за защиту информации; 4) установление порядка ведения служебной документации средств защиты информации (смену паролей, ключей, изменения списка субъектов, имеющих право на доступ), организацию их надежного хранения; 5) оперативный контроль целостности программного и технического обеспечения, контроля за ходом технологического процесса обработки информации; 6) учет, хранение и выдача пользователям носителей конфиденциальной информации паролей и ключей для средств защиты информации; 7) ежедневный контроль за системой защиты информации с целью выявления изменений в сетевых компонентах, произошедших в нерабочее время; 8) оперативный контроль за действиями пользователей информационной системы банка, за организацией физической защиты помещений, в которых производится автоматизированная обработка конфиденциальной информации; 9) обучение пользователей правилам безопасной работы с защищаемой информацией и выявлению признаков противоправных посягательств на информацию. Защита информации путем применения программных и технических средств: 1) организация включения в информационную систему банка программ и механизмов, закрывающих к ней доступ посторонних, в том числе с использованием пароля, шифрования или других методов, позволяющих: • получить доступ к чтению, записи, созданию или уничтожению информации только уполномоченным лицам; • защитить правовую силу электронных документов в процессе обработки, хранения и передачи информационных сообщений, содержащих платежные поручения и другие финансовые документы, путем использования так называемых цифровых подписей; 2) организация обеспечения информационной системы банка механизмами идентификации и аутентификации (проверка подлинности пользователей) на основе использования паролей, ключей, электронной цифровой подписи, а также биометрических характеристик личности пользователя; 3) установление мандатного порядка доступа к специально поименованным объектам (файлам, папкам, программам, томам) в санкционированных пределах; 4) организация системы автоматической регистрации (протоколирования) информационной системой событий, имеющих отношение к защищенности информации. Выявление, предупреждение и пресечение посягательств на защищаемую информацию банка путем: 1) выявления фактов нарушений требований должностных инструкций по конфиденциальному делопроизводству и защите компьютерной информации, которые могут привести к вредным последствиям; 2) выявления фактов незаконного получения, утраты и разглашения сведений, относящихся к защищаемой информации банка; 3) выявления признаков незаконного получения информации, составляющей банковскую тайну, путем несанкционированного доступа к техническим каналам связи; 4) выявления признаков противоправных посягательств на компьютерную информацию банка; 5) установления обстоятельств происшедшего, виновности конкретных лиц, размера причиненного ущерба; 6) выявления причин и условий, способствовавших совершению посягательства; 7) проведения внутренних расследований по фактам нарушения порядка работы со сведениями, составляющими банковскую тайну, и выработки предложений по совершенствованию защиты информации; 8) документирования фактических данных, имеющих отношение к событию, с целью использования в случае необходимости в качестве оснований при назначении дисциплинарного взыскания, либо доказательств на следствии и в суде.
Ви переглядаєте статтю (реферат): «Действия в целях обеспечения защиты охраняемой информации банка» з дисципліни «Концепція та система безпеки банку»
