Главная страница Случайная страница
КАТЕГОРИИ:
АвтомобилиАстрономияБиологияГеографияДом и садДругие языкиДругоеИнформатикаИсторияКультураЛитератураЛогикаМатематикаМедицинаМеталлургияМеханикаОбразованиеОхрана трудаПедагогикаПолитикаПравоПсихологияРелигияРиторикаСоциологияСпортСтроительствоТехнологияТуризмФизикаФилософияФинансыХимияЧерчениеЭкологияЭкономикаЭлектроника
Обеспечение информационной безопасности при управлении доступом и регистрации
|
|
Обеспечение информационной безопасности при назначении и распределении ролей и обеспечении доверия к персоналу
1.1. Разработать документ, регламентирующий вопросы распределения ролей, связанных с обеспечением ИБ, содержащий требования:
· запрещающие совмещение функций разработки и сопровождения системы;
· запрещающие совмещение функции по выполнению операций в системе и контроля их выполнения;
· запрещающие совмещение функции администратора системы и администратора информационной безопасности;
· запрещающие совмещение функции сопровождения и эксплуатации;
· запрещающие совмещение функции разработки и эксплуатации системы/ПО.
1.2. Доработать документ, регламентирующий процедуры проверки сотрудников при приеме на работу, влияющую на обеспечение ИБ, включив в него требование документирования результатов проверки.
1.3. Разработать документ, регламентирующий процедуры регулярной проверки в части профессиональных навыков и оценки профессиональной пригодности работников, предусматривающие документирование результатов проверки.
Обеспечение информационной безопасности автоматизированных банковских систем на стадиях жизненного цикла
2.1. Доработать документ, определяющий требования ИБ к приобретаемым АБС, включив в него требования к поставляемой эксплуатационной документации, предусматривающие:
· наличие описания реализованных защитных мер в отношении угроз ИБ (источников угроз), определенных в рамках оценки рисков, в том числе модели угроз;
· наличие описания реализованных защитных мер, предпринятых разработчиком относительно безопасности разработки и безопасности поставки.
2.2. Внедрить на стадии модернизации АБС механизмы, обеспечивающие защиту от:
· умышленного несанкционированного раскрытия, модификации или уничтожения информации;
· неумышленной модификации, раскрытия или уничтожения информации;
· отказа в обслуживании или ухудшения обслуживания.
2.3. Разработать документ, регламентирующий процедуру удаления конфиденциальной информации (в т.ч. ПДн, платежные документы), хранящейся на бумажных и электронных носителях, в том числе в постоянной памяти АБС, и содержащий следующие положения:
· удаление информации способом, делающим невозможным ее дальнейшее восстановление;
· привлечение сотрудников сектора ИБ к выполнению процедуры уничтожения;
· документирование результатов выполнения процедуры.
Обеспечение информационной безопасности при управлении доступом и регистрации
3.1. Довести до сведения сотрудников Банка информацию о способах распознавания случаев компрометации информации, необходимой для их идентификации, аутентификации и авторизации.
3.2. Доработать документы, регламентирующие порядок применения средств защиты от НСД, включив в них требования:
· обязательной установки СЗИ НСД на АРМ, осуществляющих хранение информации, необходимой для регистрации, идентификации, аутентификации и(или) авторизации клиентов и сотрудников Банка;
· протоколирования событий, связанных с обеспечением ИБ.