Права сотрудников отдела безопасности банка

права сотрудников отдела безопасности банка

  • Организация системы информационной безопасности в банке. Методы аудита и контроля Принцип аудирования является неотъемлемой частью менеджмента информационных систем. Основной целю аудита информационных систем является их контроль и анализ рисков, связанных с защищенностью как от внешних так и от внутренних факторов. Независимость аудита. Другими словами, люди ответственные за менеджмент информационных систем не могут являться одновременно и их аудиторами. Аудит и анализ как средство выявления провалов в защищенности информационных систем или ошибок в конфигурации которые могут привести к нарушению работы. Можно выделить четыре основных ошибки руководителей по отношению к информационной безопасности: Отсутствие понимания взаимосвязи деятельности банка и информационной безопасности. Руководители банков часто понимают важность физической безопасности, но не придают значения низкому уровню информационной безопасности. В Японии лишь 30% ИТ менеджеров осознают важность информационной безопасности. Остальные не видят необходимости предпринимать меры по защите информации. Однако никто в Японии не делал анализа того сколько стоили всевозможные взломы систем, кражи информации а так же урон нанесенный компьютерными вирусами. Отсутствие понимания того, какое материальное выражение имеет информация и репутация банка. 3. Одобрение временных, краткосрочных и часто дешевых мер по исправлению уже имеющихся проблем. Делать вид, что проблема пропадет сама по себе, если на нее не обращать внимания. Не существует возможности создать полностью защищенную систему. Даже при наличии неограниченного бюджета и ресурсов, всегда остается возможность того, что кто-то найдет путь для несанкционированного получения информации. Если совершенной безопасности невозможно достичь, то организация или банк должны определить наиболее эффективный метод защиты информации исходя из имеющихся ресурсов. В конечном счете, этот процесс сводится к вопросу Риска. Таким образом, для достижения наиболее качественного результата должен быть произведен процесс оценки рисков. Можно выделить следующие объекты анализа: · системы; · процессы. В ходе анализа определяется уровень риска информационной системы или процесса. Исходя из уровня риска определяются требования к безопасности и защите информации. Исходя из требований производится анализ ИС и определяются слабые места. На основании проделанного анализа разрабатываются технические и организационные методы контроля и понижения риска Принцип разделения полномочий Разделение функций системной администрации и информационной безопасности для одной и той же системы. Все административные действия такие как создание и удаление пользователей, изменение их прав, изменения паролей и другие, требуют независимой верификации или создание процесса т. н. Maker/Checker process Принципы менеджмента изменений в информационных системах Данный вопрос тесно связан с принципом разделения полномочий. Информационная система должна иметь возможность вести журнал изменений. Основные типы изменений: по пользователю, который произвел изменения; по характеру изменений; по объекту который был изменен. Все изменения сделанные в системе и классифицированные как рисковые (изменение прав пользователей, настроек системы, имеющих отношение к ее защищенности и т. д. ) должны быть независимо верифицированы посредством анализа журнала. Другими словами должен быть проведен независимый аудит изменений системы Методы аудита информационных систем Анализ уровня риска Системы (делается с учетом степени конфиденциальности информации с которой оперирует система) и включают в себя: регулярный аудит журнала изменений в системе; периодический анализ прав пользователей в системе; периодический анализ защищенности системы (AntiVirus, Patches etc); периодический анализ практики менеджмента, процедур, положений и т. д. Человеческий фактор



Предыдущий:

Следующий: