Лабораторная работа: Исследование нормативно-правовой базы информационной безопасности предприятия отделения Юго-Западного банка Сбербанка России №****
2.1 Традиционный шпионаж и диверсии – Здесь угрозам подвержены такие отделы как: Финансовый отдел, Отдел автоматизации, Коммерческий отдел. Шпионаж поможет злоумышленнику узнать как устроен банк для того чтобы организовать ограбление.
2.2. Несанкционированный доступ к информации – Тут в основном угрожает Отделу автоматизации. Злоумышленник, взломав КС банка, может получить много ему полезной информации. Узнав, эту информация под угрозой могут быть и все остальные отделы.
2.3 Электромагнитные излучения и наводки – Также угроза для Отдела автоматизации.
2.4 Несанкционированная модификация структур - Также угроза для Отдела автоматизации.
2.5 Вредительские программы - Также угроза для Отдела автоматизации. И из этого вытекает угроза для всех остальных отделов.
Модели злоумышленников.
1.Хакер – Это опытный пользователь ПК, который взломав КС банка может использовать юту информацию в своих целях либо продать ее иному лицу. Он представляет большую угрозу Отделу автоматизации. Он также может, взломав КС перевести деньги на свой счет.
2.Сотрудник банка – Он тоже может предоставлять большую угрозу банку т.к он вращается в этой сфере и как никто другой знает как что устроено. Также это может быть бывший сотрудник потому что он тоже знает устройство банка, особенно если это бывший сотрудник Отдела автоматизации т.к он знает как устроена КС банка.
3.Разработчик КС – т.к он знает как устроена КС которую он разрабатывал.
4. Сравнительный анализ отдельных вопросов защиты информации в зарубежных и отечественных документах
| «Оранжевая книга» (TCSEC) | Защита информации Специальные защитные знаки. Классификация и общие требования | Требования к процессу квалификационного анализа ИТ-продукта | Требования гарантии безопасности | |
| Совет банка | Д | С1 | Контроль процесса сопровождения | УГО 1 |
| Правление | Д | С1 | Контроль процесса сопровождения | УГО 1 |
| Отдел управления | С1 | С1 | Независимое тестирование | УГО 2 |
| Коммерческий отдел | ||||
| Кредитный отдел | В3 | В1 | Независимое тестирование | УГО 5 |
| Валютный отдел | В1 | А1 | Независимое тестирование | УГО 4 |
| Инвестиционный отдел | В1 | В2 | Независимое тестирование | УГО 4 |
| Финансовый отдел | ||||
| Бухгалтерия | В3 | В2 | Независимое тестирование | УГО 4 |
| Отдел внутрибанковских расчетов | В2 | С1 | Независимое тестирование | УГО 3 |
| Отдел корреспондентских отношений | В2 | С1 | Независимое тестирование | УГО 3 |
| Касса | С2 | С2 | Независимое тестирование | УГО 3 |
| Отдел автоматизации | А1 | С1 | Анализ, контроль, тестирование | УГО 7 |
| Администрация | ||||
| Отдел кадров | С1 | В2 | Независимое тестирование | УГО 2 |
| Канцелярия | Д | С2 | Независимое тестирование | УГО 1 |
| Секритариат | Д | С2 | Независимое тестирование | УГО 1 |
УТВЕРЖДАЮ
Руководитель предприятия
Журавлев А.А.
“6” октября 2008
Должностная инструкция
сотруднику, ответственному за защиту информации
Общая часть
1 Ответственный за защиту информации (штатный специалист) назначается и освобождается от должности руководителем предприятия по согласованию с Управлением Гостехкомиссии России по Южному федеральному округу.
2 Ответственный за защиту информации назначается из числа ИТР, имеющих опыт работы по основной деятельности предприятия или в области защиты информации.
3 В своей производственной деятельности ответственный за защиту информации подчиняется руководителю предприятия или его заместителю, ответственному за организацию защиты информации.
4 Работа ответственного за защиту информации проводится в соответствии с планами работ по защите информации. На ответственного по защите информации запрещается возлагать задачи, не связанные с его деятельностью.
5 Ответственный за защиту информации свою работу проводит в тесном взаимодействии с научными, производственными, режимно-секретными подразделениями предприятиями, представителями территориальных органов ФСБ, ФАПСИ, Гостехкомиссии.
6 Ответственный за защиту информации в своей деятельности руководствуется:
- положением о государственной системе защиты информации в РФ;
- нормативно-техническими документами по противодействию иностранным техническим разведкам;
- приказами, указаниями вышестоящих органов по защите информации;
- ведомственными организационно-распорядительными и нормативно-методическими документами.
Основные функциональные задачи и обязанности:
1 Планирование работ по защите информации на предприятии, предусматривающее решение конкретных вопросов по защите информации, организацию их выполнения, а также контроль за их эффективностью.
2 Участие в подготовке предприятия к аттестованию на право проведения работ с использованием сведений, отнесенных к гостайна.
3 Организация разработки нормативно-методических документов по защите информации на предприятии.
4 Согласование мероприятий по защите информации для рабочих мест, на которых проводятся работы с использованием сведений, отнесенных к гостайне.
5 Организация и проведение работ по выявлению: