Меры, позволяющие обеспечить информационную безопасность в банке ОАО «Центр банковских технологий» Беларусь, 220004 Минск, ул. Кальварийская 7 Тел.: +375. - презентация

1 Меры, позволяющие обеспечить информационную безопасность в банке ОАО «Центр банковских технологий» Беларусь, Минск, ул. Кальварийская 7 Тел.: Начальник управления прикладных и системно-технических разработок ОАО «Центр банковских технологий» Чурносов Иван Борисович

2 Предлагаемые ОАО «Центр банковских технологий» меры по обеспечению информационной безопасности в банке 1. Изучение фактического состояния организации по обеспечению информационной безопасности и определение уязвимых мест и угроз информационной безопасности. 2. Выработка предложений (рекомендаций) по обеспечению информационной безопасности в соответствии с требованиями нормативных документов Республики Беларусь; 3. Разработка или корректировка Концепции информационной безопасности организации; 4. Разработка или корректировка Политики информационной безопасности; 5. Реализация программы мер по совершенствованию СОИБ и СМИБ.

3 Жизненный цикл в ИБ

4 Типы угроз Нарушение конфиденциальности Нарушение целостности Нарушение Доступности

5 Изучение фактического состояния, включает: Организационная структура банка и нормативно-распорядительная документация в области безопасности, их соответствие целям информационной безопасности. Система управления доступом, в том числе угрозы несанкционированного доступа посторонних на объект.

6 Защита речевой информации в помещениях и каналах связи, в том числе выявление естественных каналов утечки информации (оргтехника, коммуникации и т.п.), выявление искусственных каналов утечки информации (подслушивающие устройства, системы и т.д.).

7 Безопасность компьютерных систем, в том числе проведение исследований специальными средствами сканирования безопасности в сети на предмет: -наличия уязвимостей в оборудовании, операционных системах, прикладном программном обеспечении; -угроз несанкционированного доступа к информации; -угроз утечки информации при передаче по каналам связи; - угроз нарушения целостности информации; - угроз нарушения устойчивой работы информационной системы в целом; - потенциальных угроз информационной безопасности со стороны работников организации при их санкционированном доступе к информационным ресурсам; - возможности проведения атак со стороны Internet посторонними пользователями (злоумышленниками) и др.

8 Категории безопасности

9 Карта уязвимостей: активы

10 Карта уязвимостей: защита

11 Концепция обеспечения информационной безопасности Описывает общие принципы и подходы организации к обеспечению безопасности своих информационных ресурсов Является методологической основой для построения системы информационной безопасности Разрабатывается на основе информации полученной в ходе обследования, в соответствии с нормативными документами Республики Беларусь и использования опыта и материалов России и других стран.

12 Политика информационной безопасности Раскрывает: – цели и задачи построения системы информационной безопасности – виды угроз информационной системе – способы предотвращения угроз Является связующим звеном между верхним уровнем управленческих решений руководства организации по защите своих информационных ресурсов и уровнем практической реализации таких решений в жизнь Разрабатывается в соответствии с рекомендациями предстандарта СТБ П ISO/IEC 17799:2005 (ISO/IEC 27002:2005, 27001:2008) и использования опыта и материалов России и других стран. ПРЕДВАРИТЕЛЬНЫЙ СТБ П ISO/IEC УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ постановлением Госстандарта Республики Беларусь от 12 сентября 2008 г. 46 в качестве предварительного государственного стандарта Республики Беларусь со сроком действия с г. по г.

13 Постановление Совета Министров от 26 мая 2009 г. 675 от 26 мая 2009 г. 675 «О некоторых вопросах защиты информации » «О некоторых вопросах защиты информации » определяет, что все государственные информационные системы должны проходить обязательную аттестацию по обеспечению информационной безопасности до ввода в постоянную эксплуатацию.

14 Аттестация ИС по ИБ 1.Разработка задания по безопасности на информационную систему в соответствии с требованиями технических нормативных правовых актов в области защиты информации: СТБ , СТБ Оценка задания по безопасности на соответствие требованиям технических нормативных правовых актов в области защиты информации (СТБ ) ; 3.Реализация требований задания по безопасности в информационной системе; 4.Подготовка к аттестации информационной системы на соответствие требованиям по ИБ

15 Использование специализированных программно технических средств 1.В Регистрационных центрах БИОК и ГосСУОК; 2.При выдаче кредитов и при любых операциях с использованием паспорта клиента; 3.Для обеспечения дополнительных проверок, при обеспечении допуска и оформлении пропусков в специализированные помещения (здания). 4.При считывании информации с любых формализованных документов формата А4, А5.

16 Полностраничный считыватель паспортов

17 - Оперативный и безошибочный ввод информации - Проверка подлинности представленного документа - Сохранение изображений страниц документа в цифровом виде - Возможность получения и сохранения данных из электронных документов Задачи решаемые при обработке документов в банковской сфере: