Перехід до торгівельного партнера Binance Перехід до торгівельного партнера Binance

Побудова системи менеджменту інформаційної безпеки банку

Інформація про навчальний заклад

ВУЗ:
Національний університет Львівська політехніка
Інститут:
Не вказано
Факультет:
Менеджмент
Кафедра:
Не вказано

Інформація про роботу

Рік:
2012
Тип роботи:
Курсова робота
Предмет:
Захист інформації

Завантажити

7

Частина тексту файла (без зображень, графіків і формул):

Міністерство освіти і науки, молоді та спорту України НУ «Львівська політехніка»  Курсова робота з предмету «Менеджмент у сфері захисту інформації» «Побудова системи менеджменту інформаційної безпеки банку» Львів 2012 р. ЗМІСТ І Розділ…………………………………………………………..…………..………….…………...3 1.1. Короткий опис об’єкту і периметру, де зберігається інформаційний актив ......................... 3 1.2. Опис приміщень об’єкту …................................................................................................... 3 1.3. Персонал …………..….………………………………….…………………………...…....10 1.4. Функції та обов’язки персоналу ………………………………….………………………....11 1.5. Інформаційний банківський актив ……………………………….……………………... 21 1.6. Інформаційні ресурси (технічні засоби обробки та захисту інформації), які являються інформаційним активом ………………………………………………………...….. 26 ІІ Розділ…………………..………………………………………………………………...……...37 2.1. Класифікація джерел загроз …………………………………………………....…..........37 2.2. Ранжування джерел загроз …………………………………………………………...… 38 2.3. Класифікація і ранжування вразливостей ………………..………………………….....40 2.4. Методика оцінки ризиків…………………………………………………………………43 2.5. Опрацювання ризиків. Побудова систем інформаційної безпеки для нейтралізації мож-ливих загроз……………………………………………………………………………………..…46 2.6. Аналіз можливих загроз для об’єктів на яких створюється, форсується і зберігається інформаційний актив……………………………………………………………………………..91 Додатки…………………………………………………………………………………………… 96 І РОЗДІЛ 1.1. Короткий опис об’єкту і периметру, де зберігається інформаційний актив. Периметр об’єкта обгороджений цегляним парканом висотою 2500мм. З зовнішньої сторони паркану знаходиться дві автостоянки, для відвідувачів і з паралельного боку для персоналу банку. Є дві брами для потрапляння на територію, де знаходиться об’єкт, перша – для клієнтів, друга – для працівників. Зі стін банку ведеться відео нагляд чотирьох сторін периметру. Також на території, де знаходиться об’єкт захисту розміщується люк водопостачання та водовідведення. На території також є власна трансформаторна підстанція та котел опалення. Банк має такі приміщення: коридори, дві каси, кімната з банкоматами, два санвузли (для клієнтів і для персоналу), конференц зал, відділ кадрів, кімната електрика, кімната тех.персоналу (прибиральниці,сантехнік), кімната секретарки, кабінет ген.директора, кабінет зав.директора, сховище, наглядова, кімната охорони, гардероб, бухгалтерія, другий об’єкт з трансформатором і котельнею (мал.1). В середині будівлі проходять проводи електроживлення, пожежної сигналізації, відео нагляд, кабелі телефонної лінії та комп’ютерна мережа. Роботу банк розпочинає з 08.00 і працює до 22.00, працівники повинні прибути на територію банку не пізніше 07.30. Після закриття банку в приміщенні залишається працівник служби безпеки який веде відео нагляд території і один черговий охоронець. 1.2. Опис приміщень банку. На мал.1 можна побачити розташування усіх приміщень банку. Сама будівля є одноповерховою, з входом для відвідувачів і з другого боку входом для персоналу. Об’єкт має сімнадцять дверей враховуючи вхідні, не враховуючи другого об’єкта, а також вісім вікон. Основні чотири стіни будівлі виконані з червоної цеглини загальною товщиною 300мм, оббиті пінопластом для збільшення шумоізоляція, а всередині внутрішні монолітні залізобетонні перекриття. Всі стіни обштукатурені і пофарбовані з обох боків. Двері в приміщеннях звукоізольовані із габаритами 1150-2250 мм. Двоє вхідних дверей в банк мають габарити 1700-2250мм. Всі вісім вікон є звукоізольваними стіклопакетами, при цьому відстань між шибами дорівнює 17 мм, товщина скла 5мм. Шість вікон мають габарити 1800-1300мм.,а два вікна які знаходяться з входу для клієнтів мають габарити 2700-1300мм. Розпочнемо розглядати сам об’єкт у якому зберігаються, опрацьовуються і переміщаються інформаційні активи. Сам об’єкт розділив би на дві частини, перша частина – зал для клієнтів у якому розташовані приміщення для клієнтів, а друга частина – це частина де знаходяться приміщення для персоналу. Коридори – приміщення, які займають найбільшу площу банку. Каси – у банку є два касових приміщення, які розташовані в залі зі сторони входу для клієнтів. В касовому приміщенні працює касир. В касах банку зберігається не тільки грошова готівка, але й цінні папери, бланки суворої звітності. Кабіни кожної каси розміщуються таким чином, щоб можна було візуально стежити за роботою касирів. Відводиться спеціальне приміщення-сховище для зберігання готівки грошей та цінностей - сховище. Касири працюють за комп’ютерами, які не мають вихід в інтернет, касою і БФП (сканер і принтер), також в касовому приміщенні присутній телефон. Мають доступ до бази даних в якій вказані усі клієнти банку (юридичні і фізичні особи). Касові приміщення знаходяться одне біля одного, але розділені тирсоплитоною перегородкою. Вихід з касових приміщень веде в коридор з якого можна потрапити в сховище (тільки в супроводі охоронця) чи до кабінетів дирекції банку. Через касові приміщення проходять системи електромережі і вентиляції. Кімната з банкоматами – приміщення яке розташоване біля кас у якому знаходяться три банкомати для грошових операцій. Банкомат – електронна програмно-технічна система з вмонтованою спеціалізованою ЕОМ, призначений для здійснення автоматизованих операцій прийому-видачі наявних грошових коштів. Приміщення має дві головних цегляних стіни і два внутрішні монолітні залізобетонні перекриття. На вході в приміщення немає дверей. Приміщення з’єднане з залом який призначений для відвідувачів і клієнтів і де знаходяться каси і вихід на територію банку. Через приміщення проходять системи електромережі і вентиляції. Санвузли – в банку є два санвузли, один для клієнтів, який розташований у тому ж залі де і каси і кімната з банкоматами. Другий санвузол призначений для персоналу банку. Санвузол для відвідувачів і клієнтів має дві головних цегляних стіни і два внутрішні монолітні залізобетонні перекриття, а санвузол для персоналу банку має одну головну цегляну стіну і три внутрішніх монолітних залізобетонних перекриття.. На входах в приміщення розташовані розпашні дерев’яні двері, що виходять в коридор, що в одному так і в іншому випадку. Через приміщення проходять системи електромережі, вентиляції, опалення та водопостачання. Конференц.зал – приміщення призначене для зборів працівників, різних конференцій, зустрічей з юридичними особами. В приміщенні наявні стіл для клієнтів, проектор, ноутбук, який не має виходу в інтернет і телефон. Приміщення має одну головну цегляну стіну і три внутрішніх монолітних залізобетонних перекриття. На вході в приміщення розташовані розпашні дерев’яні двері, що виходять в коридор. В приміщенні є одне вікно,яке виходить на територію банку. Через приміщення проходять системи електромережі, вентиляції, опалення та водопостачання. Відділ кадрів – приміщення у якому проводять співбесіди з потенційними працівниками щодо їх прийому на роботу. У відділі кадрів працює головний по роботі з персоналом у якого в кімнаті є сейф, комп’ютер, який має вихід в інтернет, БФП (сканер і принтер) і телефон. Приміщення має одну головну цегляну стіну і три внутрішніх монолітних залізобетонних перекриття. На вході в приміщення розташовані розпашні дерев’яні двері, що виходять в коридор. В приміщенні є одне вікно, яке виходить на територію банку. Через приміщення проходять системи електромережі, вентиляції, опалення та водопостачання. Кімната електрика – кімната у якій проводить більше свого часу електрик і де зберігаються його інструменти. В кімнаті присутній диванчик, шафка з інструментами і телефон. Приміщення має чотири внутрішніх монолітних залізобетонних перекриття. На вході в приміщення розташовані розпашні дерев’яні двері, що виходять в коридор. Через приміщення проходять системи електромережі, вентиляції і опалення. Кімната тех.персоналу – приміщення де зберігаються інвентар і інструменти прибиральниці і сантехніка. В кімнаті присутній диванчик, шафа з інструментами сантехніка і інвентарем прибиральниць, а також телефон. Приміщення має одну головну цегляну стіну і три внутрішніх монолітних залізобетонних перекриття. На вході в приміщення розташовані розпашні дерев’яні двері, що виходять в коридор. Через приміщення проходять системи електромережі, вентиляції, опалення та водопостачання. Кімната секретарки – приміщення де працює секретарка і з якого є вхід в кабінети ген.директора і зав.директора. В розпорядженні секретарки комп’ютер, який підключений до локальної мережі, БФП (принтер і сканер) і факс з телефоном. Приміщення має одну головну цегляну стіну і три внутрішніх монолітних залізобетонних перекриття. В приміщенні є три розпашних дерев’яних дверей, одні з яких ведуть до кабінету ген.директора, інші в кабінет зав.директора і останні в коридор. Через приміщення проходять системи електромережі, вентиляції і опалення. Кабінет ген.директора – кабінет особи з найбільшими повноваженнями і з технічними пристроями. В кабінеті присутній сейф з документами, диванчик, комп’ютер, який підключений до локальної мережі, БФП (принтер і сканер), факс і телефон. Приміщення має чотири внутрішніх монолітних залізобетонних перекриття. На вході в приміщення розташовані розпашні дерев’яні двері, що виходять в кімнату секретарки. Через приміщення проходять системи електромережі, вентиляції і опалення. Кабінет зав.директора – кабінет особи з високими повноваженнями і з технічними пристроями. В кабінеті присутній сейф, диванчик, комп’ютер, який має вихід в інтернет, БФП (принтер і сканер), факс і телефон. Приміщення одну головну цегляну стіну і три внутрішніх монолітних залізобетонних перекриття. На вході в приміщення розташовані розпашні дерев’яні двері, що виходять в кімнату секретарки. В приміщенні є одне вікно, яке виходить на територію банку. Через приміщення проходять системи електромережі, вентиляції і опалення. Сховище – місце де зберігається готівка банку. Доступ до сховища має обмежене коло осіб (ген.директор, зав.директора, касир з охоронцем під час вилучення готівки зі сховища.) Приміщення має чотири внутрішніх монолітних залізобетонних перекриття. Вхід в приміщення відбувається за допомогою системи яка ідентифікує впізнання відбитку пальця. Через приміщення проходять система електромережі. Наглядова – звідси ведеться відео нагляд, адміністрування мережі, нагляд за системами захисту. В кімнаті присутній телефон і комп’ютер, який служить сервером для інших комп’ютерів, монітор спостереження за периметром банку і самим банком. Приміщення має дві головних цегляних стіни і два внутрішні монолітні залізобетонні перекриття. На вході в приміщення розташовані розпашні дерев’яні двері, що виходять в кімнату охоронців. Через приміщення проходять системи електромережі, вентиляції і опалення. Кімната охорони – приміщення яке розташоване біля входу для персоналу і в якому знаходяться охоронці. В кімнаті присутній стіл з журналом в якому персонал повідомляє про свій прихід і відхід з роботи, телефон і комп’ютер. Приміщення має одну головну цегляну стіну і три внутрішніх монолітних залізобетонних перекриття. В приміщенні є двоє розпашних дерев’яних дверей, одні з яких ведуть до кабінету наглядової, а інші в коридор, яких знаходиться біля входу на об’єкт для персоналу. Зразу біля дверей є вікно через яке охоронець контролює вхід і вихід персоналу банку. Через приміщення проходять системи електромережі, вентиляції і опалення. Гардероб – приміщення для зберігання верхнього одягу для персоналу. В приміщенні є два шкафчики для верхнього одягу персоналу, кондиціонер і диванчик. Приміщення одну головну цегляну стіну і три внутрішніх монолітних залізобетонних перекриття. На вході в приміщення розташовані розпашні дерев’яні двері, які ведуть в коридор. Через приміщення проходять системи електромережі, вентиляції і опалення. Бухгалтерія – кабінет де ведеться перелік документів. В бухгалтерії працюють два бухгалтери. В приміщенні знаходиться сейф з документами, два робочих столи бухгалтерів на який присутні: сейф, комп’ютер, який має вихід в інтернет, БФП (принтер і сканер), факс і телефон. Приміщення має дві головних цегляних стіни і два внутрішні монолітні залізобетонні перекриття. На вході в приміщення розташовані розпашні дерев’яні двері, що виходять в коридор. В приміщенні є два вікна, які виходять на територію банку. Через приміщення проходять системи електромережі, вентиляції, опалення та водопостачання. Трансформаторна – місце звідки постачається електроенергія в банк. Котельня – місце звідки постачається опалення в банк  Мал.1 Схема банку з технічними приладами 1.3. Персонал. дирекція банку (ген.директор, зав.директора) – розпоряджається значними матеріальними і людськими ресурсами, мають найширші повноваження у банку і доступ до будь – якої інформації; касири – мають доступ до фінансових (тільки разом з охоронцями) і інформаційних ресурсів; менеджер – мають такі самі повноваження як і касири. секретарка – це особа, яка є особистим помічником ген.директора і зав.директора банку, і яка займається організацією, оформленням документації для керівництва. бухгалтери – керівники операційних робітників, контролери законності і правильно-сті здійснення операцій у банку. головний по роботі з персоналом – відповідає за набір на роботу працівників; працівники служби безпеки – контролюють дотримання норм безпеки на об’єкті, контролюють і підтримують роботу системи санкціонованого доступу, виявляють протиправні дії, що плануються чи здійснюються стосовно банку; охоронці – контролюють доступ інших працівників банку, відвідувачів та клієнтів банку на території банку; системний адміністратор – контролює працездатність систем і засобів захисту різного виду, рівня і здійснює резервне копіювання шляхом копіювання електронних документів із папок-джерел у папки-призначення.; технічний персонал (електрик, механік, прибиральниці) – контролюють справність роботи обладнання банку. працівник служби ІБ – здійснює нагляд за периметром і об’єктом з камер відео спостереження за допомогою моніторів. Також є дві категорії людей, які не відносяться до персоналу банку, але мають вільний доступ на територію і в будівлю до приймального приміщення банку, а також, за певних обставин, до інших приміщень банку: відвідувачі; клієнти банку (фізичні і юридичні особи). 1.4. Функції та обов’язки персоналу. Дирекція банку – керівники банку (генеральний директор і зав.директора банку), які несуть головну відповідальність за роботу банку, контролюють виконання працівниками покладених на на них обов’язків, визначають повноваження будь-яких осіб до інформації, що належить банку, здійснюють безпосередній контроль за додержанням встановлених правил, в тому числі і щодо інформаційної безпеки, під час діяльності банку. Мають доступ до всієї інформації. На посаду дирекції банку призначаються особи, які мають вищу педагогічну освіту і стаж роботи у фінансово-банківських установах, органах державного управління не менше 5 років. У разі тимчасової відсутності ген.директора банку (відпустка, хвороба, тощо) його обов'язки виконує заступник, який набуває відповідних прав і несе повну відповідальність за якість і своєчасність виконання покладених на нього обов'язків. Дирекція банку зобов’язується: - визначати, формулювати, планувати, здійснювати і координувати всі види діяльності банку, визначати політику банку, стратегії розвитку з питань, що входять до компетенції департаменту; - розподіляти посадові обов'язки, організовувати підвищення кваліфікації, забезпечувати виробничу дисципліну в департаменті, ефективне управління персоналом; - керувати організацією і проведенням семінарів, нарад, консультацій з питань діяльності департаменту; - направляти діяльність персоналу на досягнення високих економічних та фінансових результатів; - призначати ідентифікатори та паролі. Дирекція має право: - без доручення діяти від імені банку (зав.директор у разі відсутності ген.директора); - укладати трудові договори з працівниками; - віддавати співробітникам вказівки, обов'язкові для виконання і контролюють їх виконання; - брати участь у нарадах, конференціях, семінарах тощо; - вносити на розгляд подання про призначення, переведення, звільнення працівників, пропозиції про їх заохочення або накладення на них стягнень. Касири – особи, що здійснюють безпосереднє обслуговування відвідувачів банку, знаходяться в спеціально-відведених приміщеннях, відділених між собою тонкою. Мають доступ до бази клієнтів банку і до сховища (вхід тільки разом з охоронцем) в якому зберігається готівка банку. Касири відповідають: - безпосередньо за коректність проведення грошових операцій, згідно встановлених правил; - здійснюють операції, пов’язані з прийманням та видаванням готівкових грошових коштів через касу банку, зберігають всі прийняті цінності; - одержують в установах банку готівку, здійснюють записи в касовій книзі операцій одержання і видавання готівки; - виписує видатковий касовий ордер на фактично видану по платіжній відомості суму, передає його для реєстрації; - виконують інші обов’язки зі збереження в касі грошових документів, цінних паперів тощо. Менеджер з надання кредитів – це фахівець, який працює з наданнями кредитів, позик клієнтам, робоче місце якого розташоване біля першої каси. При наданню кредиту чи вкладу грошей на депозит він повинен переглянути чи даний клієнт є сумлінним чи ні, чи зможе вчасно вертати кошти банку. Менеджер з надання кредитів зобов’язується і здійснює:  Залучення клієнтів на обслуговування.  Просування та консультація клієнтів по всіх банківських продуктах.  Здійснює організацію і проведення операцій з кредитування: - Консультує потенційних позичальників; - Проводить співбесіду з потенційними позичальниками; - Надає позичальнику допомогу у заповненні заяви на надання кредиту та здійснює його перевірку; - Формує кредитну справу; - Здійснює збір та обробку документів, необхідних для формування кредитної справи; - Видає кредит.  Моніторинг та контроль поточних кредитів. Секретарка – особа, яка є особистим помічником ген.директора і зав.директора банку, і яка займається організацією, оформленням документації для керівництва. Кімната секретарки є між кімнатами ген.директора і зав.директора. Секретарка дирекції банку повинна знати: - положення, інструкції, інші нормативні документи з ведення діловодства; - постанови, розпорядження, накази, інші керівні і нормативні документи вищестоящих і інших органів, що стосуються діяльності підприємства; - організацію діловодства; - архівні справи; - методи оформлення та обробки документів; машинопис; правила користування приймально-переговорними пристроями; - основи етики та естетики. Секретарка відповідає: - за облік, реєстрацію, розгляд і підготовку поступаючої кореспонденції для доповіді керівництву; - прийом і реєстрацію заяв, пропозицій і скарг від клієнтів; - прийом, зберігання, облік, вихідної і внутрішньої кореспонденції; - здійснення роботи з організаційно-технічним забезпеченням адміністративно-розпорядчої діяльності дирекції банку; - виконує роботу з підготовки засідань і нарад, які проводить ген.директор банку (збирає необхідні матеріали, повідомляє учасників про час і місце проведення, порядок денний, проводить реєстрацію); - веде діловодство, виконує різні операції із застосуванням комп'ютерної техніки, призначеної для збору, обробки і представлення інформації при підготовці та прийнятті рішень; - приймає документи і особисті заяви на підпис керівника; готує документи та матеріали, необхідні для роботи дирекції; - за дорученням керівників складає листи, запити, інші документи; - веде контрольно-реєстраційну картотеку. Секретарка має право: - знайомитися з проектами рішень керівництва підприємства стосовно його діяльності; - складати прості листи та короткі розпорядчі документи на підставі усних вказівок директора банку; - вносити пропозиції щодо вдосконалення роботи, пов'язаної з передбаченими даною інструкцією обов'язками. Бухгалтери – керівники операційних робітників, контролери законності і правильності здійснення операцій у банку. Бухгалтери зобов’язуються: - використовувати сучасні засоби автоматизації звітно-обчислювальних робіт, прогресивних форм і методів бухгалтерського звіту; - забезпечувати раціональну організацію бухгалтерського обліку і звітності банку та у його підрозділах; - забезпечувати складання балансу й оперативних зведених звітів про доходи і витрати коштів, про використання бюджету; - оформляти платежі за матеріальні, комунальні та інші послуги; - нараховувати заробітну плату, переказувати кошти за виконані роботи, вести інші розрахунки з працівниками, громадянами та юридичними особами за встановленими нормами відповідно до чинного господарського законодавства; - забезпечувати законність, своєчасність і правильність оформлення документів,а також вести облік банківських документів; - враховувати кошти, фонди, продукцію, товари, матеріали, реєструє витрати на виробництво продукції або надання послуг. Бухгалтери повинні знати: - постанови, розпорядження, накази, методичні, нормативні та інші керівні матеріали з організації бухгалтерського обліку та складання звітності; - порядок бухгалтерського обліку в банку; - план і кореспонденцію рахунків; - організацію документообігу за напрямами обліку; - порядок документального оформлення і відображення в бухгалтерському обліку засобів господарювання та їх руху; - методи економічного аналізу господарсько-фінансової діяльності банку; - основи трудового законодавства. Головний по роботі з персоналом – відповідає за набір на роботу працівників. В обов’язки головного по роботі з персоналом входить: - здійснювати прийом, переведення і звільнення працівників (тільки за згодою дирекції банку) відповідно до трудового законодавства, положень, інструкцій і наказів; - формування і ведення особових справ співробітників, внесення змін, пов'язаних з трудовою діяльністю; - зберігання інформації про персональні дані працівників; - облік і реєстрація документів з питань кадрової роботи; - облік заохочень та дисциплінарних стягнень; - ведення та облік трудових книжок; - підготовка документів до архівного зберігання. Працівники служби безпеки і ІБ– Служба безпеки (СБ) банку створена наказом директора з метою захисту економічних інтересів підприємства й забезпечення максимальної безпеки його діяльності як суб'єкта ринкових відносин. СБ є самостійним підрозділом і підкоряється безпосередньо керівнику підприємства. Керівництво Службою здійснює начальник СБ, що призначається й звільняється від займаної посади керівником підприємства. Працівники СБ несуть головну відповідальність за: функціонування системи санкціонованого доступу (ССД), на протязі робочого часу знаходяться у спеціально відведеному приміщенні (наглядова кімната), з якого за допомогою спеціальних технічних засобів здійснюють контроль функціонування ССД і відповідають за системи охорони безпеки інформаційного активу. Здійснюють контроль за роботою встановлених на підприємстві приладів охоронної й пожежної сигналізації та відео нагляду, а також адміністрування мережі. Працівники СБ відповідають за: - забезпечення економічної безпеки, захисту власності банку; - забезпечення захисту охоронюваної інформації й економічної безпеки при здійсненні зовнішньо-економічної діяльності. - контроль систем охорони безпеки інформаційного активу (охоронна і пожежна сигналізації, відео нагляд та адміністрування мережі); - забезпечення мір захисту при використанні засобів зв'язку (телефакс і телефон). Функції працівників СБ: - спільно з фахівцями, відповідальними виконавцями розробляють перелік відомостей, що складають комерційну таємницю (КТ) банку; - вносять відповідні документи на розгляд і затвердження керівника. Контролюють відповідність змісту й умов проведення робіт реквізиту "КТ - власність банку" і терміни його дії; - розробляють систему організаційних і технічних мір, що регламентують усередині об’єктовий режим банку. Організовують й контролюють їхнє виконання; - розробляють й здійснюють заходи, що забезпечують доступ до охоронюваної інформа-ції тільки тих осіб, яким це необхідно для виконання службових обов'язків; - здійснюють контроль за виготовленням, обліком, збереженням, видачею й використанням бланків службових посвідчень (пропусків), печаток, штампів підприємства, а також металевих і пластичних печаток з індивідуальними обліковими номерами; - організовують і ведуть діловодство; - контролюють забезпечення встановленого порядку розмноження документів, їхнього обліку, збереження й користування ними; - розробляють і здійснюють заходи по запобіганню розголошення й витоку інформації при веденні діловодства; - забезпечують дотримання правил розсилання документів, що містять комерційну таємницю банку; - організовують прийом і передачу охоронюваної інформації і відкритої кореспонденції по телефаксу; - вибирають ефективні й економічні засоби зв'язку в залежності від характеру переданої інформації. Враховують й аналізують вхідну і вихідну кореспонденцію, оперативно доводять до адресатів; - розробляють документи, що регламентують пропускний режим і затверджують їх у керівника банку. Оформляють, враховують, видають, вилучають усі види перепусток на територію банку. Контролюють правильність оформлення документів на ввіз (вивіз), внесення (винос) матеріальних цінностей і документів; - організує контрольно-пропускні пости; - розробляють й здійснюють заходи по забезпеченню особистої безпеки працівників банку; - забезпечують встановлений часовий режим охорони об'єкту. Експлуатують технічні засоби охорони; - стежать за станом протипожежної безпеки, пропонують заходи по усуненню порушень; - розробляють вимоги до приміщень, де ведуться роботи з охоронюваною інформацією, зберігають відповідні документи, вироби, а також матеріальні цінності. Проводять атестацію приміщень і об'єктів збереження матеріальних цінностей. Організовують установку й експлуатацію технічних засобів захисту, у тому числі й засобів протидії технічним розвідникам; - ведуть облік сейфів, металевих шаф, спеціальних сховищ (а також ключів до них), у яких дозволено постійно чи тимчасово зберігати документи, що містять інформацію (із реквізитом "КТ - власність банку"); - організовують спец перевірки й спец дослідження. Контролюють виконання нормативних документів при експлуатації ПЕОМ; - контролюють виконання заявок (договорів) на установку й ремонт інженерно-технічних засобів захисту, а також установку засобів зв'язку; - організовують службові розслідування по фактах розголошення інформації, що охороняється, утрати документів чи виробів, що містять відомості, порушень внутрішньо об'єктового і пропускного режиму банку; - здійснюють зв'язок із правоохоронними й іншими державними органами з питань захисту комерційної таємниці й забезпечення економічної безпеки банку. Охоронці – особи, що на протязі часу роботи знаходиться в спеціально відведеному приміщенні, відділеному від основного приймального приміщення банку тонкою перегорожею. Здійснюють нагляд за основним місцем доступу працівників та відвідувачів до приймального приміщення, а також контролюють доступ тих чи інших осіб згідно встановлених правил. Охоронці зобов’язані: - охороняти об'єкт, майно, матеріальні цінності, що знаходяться в межах контрольно-пропускного пункту; - здійснювати контроль і вести журнал “приходу-відходу” співробітників банку, журнал відряджень працівників протягом робочого дня. Надавати списки співробітників, які спізнили на роботу; - здійснювати контроль за ввозом і вивозом (виносом) матеріальних цінностей як на територію банку так і в самий банк; - здійснювати періодичний контроль справності сигналізаційних пристроїв, засобів зв'язку, інших допоміжних засобів охорони, контрольно-спостережних приладів та освітлення; - доповідати керівництву про прибуття будь-яких контролюючих органів на банк; - здійснювати затримку осіб, що намагаються незаконно вивезти (винести) матеріальні цінності з охоронюваного об'єкта. Системний адміністратор – особа, яка входить до Служби безпеки банку і несе головну відповідальність за функціонування комп’ютерної мережі банку, на протязі робочого часу знаходиться у спеціально відведеному приміщенні (наглядова кімната), з якого за допомогою спеціальних технічних засобів здійснює контроль функціонування мережі, дана особа лише контролює стан цієї мережі. Системний адміністратор забезпечує: - резервне копіювання; - роботу мережі; - встановлення на сервери ПЗ і підтримує його робочий стан; - конфігурацію системи на сервері; - реєстрацію користувачів; - організовує доступ до локальної і мережі Інтернет. Технічний персонал – особи, що контролюють справність роботи обладнання банку, в тому числі: систем життєзабезпечення, ОТЗ, ТЗПІ і ДТЗС, меблів і т.д.; в можливі дії цих осіб входять відключення чи зміна функціонування вище переліченого обладнання, що може призвести до утворення каналів витоку інформації з обмеженим доступом. Сантехніку і прибиральницям відведене одне приміщення. Сантехнік – це робітник, який займається наладкою та ремонтом сантехнічного обладнання. Виконує ремонт та монтаж систем опалення, водопостачання, каналізації, газопостачання. Також доглядає за трубопровідними системами, апаратурою системами пожежогасіння. Прибиральниця – це особа, яка стежить за чистотою та порядком, та займається прибиранням приміщення банку. Прибиральниця службових приміщень дотримується правил внутрішнього трудового розпорядку і несе відповідальність за вірине їй майно під час прибирання приміщення. Також дотримується в приміщенні вимог санітарії та гігієни, охорони життя. Електрик – це робітник, який забезпечує нормальне подання електрики до будівлі, а також належне функціонування електроустаткування, та все о з ним зв’язано. Завдання та обов'язки електрика: - забезпечити підтримку справного стану, безаварійну і надійну роботу обслуговуваних пристроїв та електроустаткування; - здійснювати монтаж нових електричних мереж; - проводити планово-попереджувальний ремонт електричної частини устаткування згідно графіка ППР; - забезпечити правильну експлуатацію, своєчасний якісний ремонт відповідно до інструкцій з технічного обслуговування, діючих технічних умов і норм та обслуговування трансформатора і електричних мереж банку; - ліквідувати несправності в роботі пристроїв, їх ремонт, монтаж та регулювання; - дотримується правил охорони праці, техніки безпеки і пожежної безпеки згідно діючих інструкцій. Електрик несе відповідальність за: - правильну експлуатацію обладнання в частині електробезпеки; - своєчасне та якісне виконання планово-попереджувального ремонту, за простій обладнання, що стався з його вини; - дотримання правил охорони праці, техніки безпеки і пожежної безпеки; - чистоту та порядок на робочому місці. Відвідувачі і клієнти банку – особи, які користуються інформативними і грошовими послугами банку, мають вільний доступ на територію і в будівлю до приймального приміщення банку, а також, за певних обставин, до інших приміщень банку, мають додержуватися певних правил, щодо користування послугами банків. Клієнт має право здійснювати операції за банківськими продуктами (поповнення карткового рахунку, здійснення комунальних платежів, сплата заборгованості за кредитним договором, здійснення валюто обмінних операцій і т.д.). Звичайно клієнти і відвідувачі зобов’язані дотримуватися вимог банку щодо забезпечення безпеки та належного обслуговування клієнтів, в тому числі, при отриманні будь-якої банківський послуги погоджується з положеннями про фіксування інформації про клієнта, регламентовані у відповідному розділі умов та правил банку. Для укладання угоди з банком клієнт мусить надати банку документи і відомості, необхідні для з'ясування особи, суті діяльності, фінансового стану, якщо це передбачено. У разі ненадання клієнтом необхідних документів чи відомостей або умисного подання неправдивих відомостей про себе банк відмовляє клієнту у його обслуговуванні. Політика безпеки Політика інформаційної безпеки – це сукупність програмних, апаратних, організаційних, адміністративних, юридичних, фізичних заходів, методів, засобів, правил і інструкцій, які чітко регламентують усі аспекти діяльності банку, включаючи інформаційну систему, та забезпечують їх безпеку. Метою політики безпеки є впровадження та ефективне управління системою забезпечення інформаційної безпеки, спрямованої на захист інформаційних активів банку, мінімізації ризиків інформаційної безпеки та створення позитивної репутації. Для зовнішнього простору банку вибрав дискреційну політику безпеки: Основою дискреційної політики безпеки є дискреційне управління доступом, яке визначається двома властивостями: усі суб'єкти й об'єкти мають бути однозначно ідентифіковані; права доступу суб'єкта до об'єкта системи визначаються на основі певних зовнішніх відносно системи правил. Область дії – в межах банку в цілому та в приймальному приміщенні організації. Кожний суб'єкт (працівник) при проникненні на територію організації повинен мати певний набір атрибутів доступу, який включає ідентифікатор та іншу інформацію, що визначає його права доступу. Для потрапляння в банк із входу для персоналу, працівники банку зобов’язуються ідентифікувати себе охоронцю (приміщення якого знаходиться навпроти вхідних дверей) і поставити підпис в журналі який свідчить про час прибуття працівника на роботу. Не все приміщення банку у яких розміщенні комп’ютери мають вихід в інтернет, хоча усі з’єднані між собою локальною мережею, сервер якої знаходиться в наглядовій кімнаті. Щодо клієнтів і відвідувачів, то вони мають повноваження перебувати тільки в приймальному приміщенні і тільки під наглядом працівника установи. Мають право скористатися санвузлом для клієнтів. Для внутрішнього простору банку вибрав рольову політику безпеки. Рольову політику безпеки (РПБ) (Role Base Access Control - RBAC) не можна віднести ані до дискреційної, ані до мандатної, тому що керування доступом у ній здійснюється як на основі матриці прав доступу для ролей, так і за допомогою правил, які регламентують призначення ролей користувачам та їх активацію під час сеансів. Отже, рольова модель є цілком новим типом політики, яка базується на компромісі між гнучкістю керування доступом, характерною для ДПБ, і жорсткістю правил контролю доступу, що притаманна МПБ. Керування доступом у ній здійснюється як на основі матриці прав доступу для ролей, так і за допомогою правил, які регламентують призначення ролей користувачам та їх активацію під час сеансів. Область дії – в межах інформаційної системи та при виконанні певних службових обов’язків персоналу. Розробляються і затверджуються на рівні керівництва організації правила політики безпеки. У РПБ класичне поняття суб'єкт заміщується поняттями користувач і роль. Користувач ─ це людина, а в даному випадку працівник банку, який працює з системою і виконує певні службові обов'язки. Роль ─ це активно діюча в системі абстрактна сутність, з якою пов'язаний обмежений, логічно зв'язаний набір повноважень, необхідних для здійснення певної діяльності. РПБ застосовується досить широко, тому що вона, на відміну від інших більш строгих і формальних політик, є дуже близькою до реального життя. Справді, по суті, користувачі, що працюють у системі, діють не від свого власного імені ─ вони завжди виконують певні службові обов'язки, тобто виконують деякі ролі, які аж ніяк не пов'язані з їх особистістю, але пов’язані з їх роботою і обов’язками. Тому цілком логічно здійснювати керування доступом і призначати повноваження не реальним користувачам, а абстрактним (не персоніфікованим) ролям, які представляють учасників певного процесу обробки інформації. Такий підхід до ПБ дозволяє врахувати розподіл обов'язків і повноважень між учасниками прикладного інформаційного процесу, оскільки з точки зору РПБ має значення не особистість користувача, що здійснює доступ до інформації, а те, які повноваження йому необхідні для виконання його службових обов'язків. Наприклад, у реальній системі обробки інформації можуть працювати працівники, які створюють, обробляють чи зберігають інформаційні активи банку. У такій ситуації РПБ дає змогу розподілити повноваження між цими ролями відповідно до їх службових обов'язків: ролі системного адміністратора призначаються спеціальні повноваження, які дозволять йому контролювати роботу системи мережі, керувати її конфігурацією, а права працівників (користувачів) обмежуються мінімумом, необхідним для запуску прикладних програм. Крім того, кількість ролей у системі може не відповідати кількості реальних користувачів ─ один користувач, якщо він має різні повноваження, може виконувати (водночас або послідовно) кілька ролей, а кілька користувачів можуть користуватися однією й тією ж роллю, якщо вони виконують однакову роботу. При використанні РПБ керування доступом здійснюється в дві стадії: по-перше, для кожної ролі вказується набір повноважень, що представляють набір прав доступу до об'єктів, і, по-друге, кожному користувачеві призначається список доступних йому ролей. Повноваження призначаються ролям відповідно до принципу найменших привілеїв, з якого випливає, що кожний користувач повинен мати тільки мінімально необхідні для виконання своєї роботи повноваження. У моделі РПБ визначаються множини: множина користувачів, множина ролей, множина повноважень на доступ до об'єктів, наприклад, у вигляді матриці прав доступу, множина сеансів роботи користувачів з системою. Для перелічених множин визначаються відношення, які встановлюють для кожної ролі набір наданих їй повноважень, а також для кожного користувача - набір доступних йому ролей. Правила керування доступом РПБ визначаються певними функціями, які для кожного сеансу визначають користувачів, набір ролей, що можуть бути одночасно доступні користувачеві в цьому сеансі, а також набір доступних у ньому повноважень, що визначається як сукупність повноважень усіх ролей, що беруть участь у цьому сеансі. З формулювання критерію безпеки рольової моделі випливає, що управління доступом здійснюється, головним чином, не за допомогою призначення повноважень ролям, а шляхом встановлення відношення, яке призначає ролі користувачам, і функції, що визначає доступний у сеансі набір ролей. Тому численні інтерпретації рольової моделі відрізняються видом функцій, що визначають правила керування доступом, а також обмеженнями, що накладаються на відношення між множинами. Завдяки гнучкості та широким можливостям РПБ суттєво перевершує інші політики, хоча іноді її певні властивості можуть виявитися негативними. Так, вона практично не гарантує безпеку за допомогою формального доведення, а тільки визначає характер обмежень, виконання яких і є критерієм безпеки системи. Хоча такий підхід дозволяє отримати прості й зрозумілі правила контролю доступу (перевага), які легко застосовувати на практиці, проте позбавляє систему теоретичної доказової бази (вада). У деяких ситуаціях ця обставина утруднює використання РПБ, однак у кожному разі оперувати ролями набагато зручніше, ніж суб'єктами (знову перевага), оскільки це більше відповідає поширеним технологіям обробки інформації, які передбачають розподіл обов'язків і сфер відповідальності між користувачами. Крім того, РПБ може використовуватися одночасно з іншими ПБ, коли повноваження ролей, що призначаються користувачам, контролюється контролюється ДПБ або МПБ, що дозволяє будувати багаторівневі схеми контролю доступу. Політика регламентує:
Курсова робота Захист інформації
Антиботан аватар за замовчуванням
djbest

23.05.2013 19:05-

Копіювати посилання
Поскаржитись

Коментарі

Ви не можете залишити коментар. Для цього, будь ласка, увійдіть або зареєструйтесь.

Ділись своїми роботами та отримуй миттєві бонуси!

Маєш корисні навчальні матеріали, які припадають пилом на твоєму комп'ютері? Розрахункові, лабораторні, практичні чи контрольні роботи — завантажуй їх прямо зараз і одразу отримуй бали на свій рахунок! Заархівуй всі файли в один .zip (до 100 МБ) або завантажуй кожен файл окремо. Внесок у спільноту – це легкий спосіб допомогти іншим та отримати додаткові можливості на сайті. Твої старі роботи можуть приносити тобі нові нагороди!
Нічого не вибрано
поділитись
0%

Оголошення від адміністратора

Антиботан аватар за замовчуванням

Подякувати Студентському архіву довільною сумою

Admin

26.02.2023 12:38

Дякуємо, що користуєтесь нашим архівом!

Вхід на сайт

Забули пароль?
Ще не зареєстровані? Зареєструватися

Поскаржитися на роботу

В полі повідомлення будь-ласка опишіть причину, яка спонукала Вас поскаржитися на роботу.

Лише залоговані користувачі можуть надсилати скарги на файли адміністрації архіву!