Информационная безопасность банковских безналичных платежей. Часть 3 — Формир...imbasoft ru
В предыдущих частях исследования мы обсудили экономические основы и IT-инфраструктуру банковских безналичных платежей. В этой части речь пойдет о формировании требований к создаваемой системе информационной безопасности (ИБ).
Далее мы рассмотрим:
- роль обеспечения безопасности в жизни коммерческой организации;
- место службы информационной безопасности в структуре менеджмента организации;
- практические аспекты обеспечения безопасности;
применение теории управления рисками в ИБ;
- основные угрозы и потенциальный ущерб от их реализации;
- состав обязательных требований, предъявляемых к системе ИБ банковских безналичных платежей.
Информационная безопасность банковских безналичных платежей. Часть 3 — Формир...imbasoft ru
В предыдущих частях исследования мы обсудили экономические основы и IT-инфраструктуру банковских безналичных платежей. В этой части речь пойдет о формировании требований к создаваемой системе информационной безопасности (ИБ).
Далее мы рассмотрим:
- роль обеспечения безопасности в жизни коммерческой организации;
- место службы информационной безопасности в структуре менеджмента организации;
- практические аспекты обеспечения безопасности;
применение теории управления рисками в ИБ;
- основные угрозы и потенциальный ущерб от их реализации;
- состав обязательных требований, предъявляемых к системе ИБ банковских безналичных платежей.
Информационная безопасность. Лекция 3.
Третья лекция. Моделирование угроз и анализ рисков. В лекции подробно описан процесс построения модели угроз, его цели и принципы, способы построения дерева угроз, приведена модель нарушителя, классификация, типы и мотивы нарушителей, а также процессы анализа рисков и управления рисками.
Information security lection № 2 in NSU.
Вторая лекция, в которой описываются все принципы ИБ, жизненный цикл СЗИ, бизнес-структура объекта защиты, показывается суть документа "политика безопасности", её реализации в реальном бизнесе.
Информационная безопасность. Лекция 1. Основы ИБ и принципы построения СОИБ.Александр Лысяк
Information security lection № 1 in Novosibirsk state university.
Вступительная лекция, в которой описываются основные определения ИБ, задачи информационной безопасности, свойства систем защиты информации, жизненный цикл процессов ИБ (СЗИ), а также способы исследования бизнес-структуры объекта защиты.
Similar to законодательные принципы кадровой защиты информационной безопасности (20)
Информационная безопасность. Лекция 1. Основы ИБ и принципы построения СОИБ.
законодательные принципы кадровой защиты информационной безопасности
1. Законодательные принципы
кадровой защиты
информационной
безопасности
Выполнил :
студент 43 группы
факультет информатики
Щепетихин Дмитрий
Магнитогорск, 2012
2. Введение
Главной целью обеспечения безопасности предприятия
является достижение максимальной стабильности
функционирования, а также создание основы и перспектив
роста для выполнения целей бизнеса, вне зависимости от
объективных и субъективных угрожающих факторов
(негативных воздействий, факторов риска).
Кадровая безопасность является одной из составляющих
экономической безопасности (наряду с другими -
финансовой, силовой, информационной, технико-
технологической, правовой, экологической)
3. Риск
Рассмотрим наиболее доступные
формулировки:
Риск это вероятность возможной
нежелательной потери чего-либо при
плохом стечении обстоятельств.
Риск это неопределённое событие или
условие, которое в случае
возникновения имеет позитивное или
негативное воздействие на репутацию
компании, приводит к приобретениям
или потерям в денежном выражении.
4. Кадровая безопасность
• Кадровая безопасность - это мероприятия
направленные на предотвращение
экономических угроз и рисков связанных с
персоналом предприятия, а также
разрешение конфликтных ситуаций в
коллективе
5. Информационная безопасность
В деле обеспечения информационной безопасности успех
может принести только комплексный подход
Для защиты интересов субъектов информационных
отношений необходимо сочетать меры следующих
уровней:
• Законодательного(законы)
• административного (приказы и другие действия
руководства организаций, связанных с защищаемыми
информационными системами);
• процедурного (меры безопасности, ориентированные на
людей);
• программно-технического.
6. Законодательный уровень
Законодательный уровень является важнейшим для обеспечения
информационной безопасности. Большинство людей не
совершают противоправных действий не потому, что это
технически невозможно, а потому, что это осуждается и/или
наказывается обществом, потому, что так поступать не принято.
На законодательном уровне различают две группы мер:
• меры, направленные на создание и поддержание в обществе
негативного (в том числе с применением наказаний) отношения
к нарушениям и нарушителям информационной безопасности
(назовем их мерами ограничительной направленности);
• направляющие и координирующие меры, способствующие
повышению образованности общества в области
информационной безопасности, помогающие в разработке и
распространении средств обеспечения информационной
безопасности (меры созидательной направленности).
7. Аспекты информационной
безопасности
Выделяют 3 аспекта
информационной безопасности :
• Конфиденциальность
• Целостность
• Доступность
11. Весьма продвинутым в плане информационной безопасности
является Уголовный кодекс Российской Федерации (редакция от 14
марта 2002 года). Глава 28 - "Преступления в сфере компьютерной
информации" - содержит три статьи:
статья 272. Неправомерный доступ к компьютерной информации;
статья 273. Создание, использование и распространение
вредоносных программ для ЭВМ;
статья 274. Нарушение правил эксплуатации средств хранения,
обработки или передачи компьютерной информации и
информационно-телекоммуникационных сетей.
Первая имеет дело с посягательствами на конфиденциальность,
вторая - с вредоносным ПО, третья - с нарушениями доступности и
целостности, повлекшими за собой уничтожение, блокирование
или модификацию охраняемой законом информации ЭВМ.
Включение в сферу действия УК РФ вопросов доступности
информационных сервисов представляется нам очень
своевременным.
Статья 138 УК РФ, защищая конфиденциальность персональных
данных, предусматривает наказание за нарушение тайны
переписки, телефонных переговоров, почтовых, телеграфных или
иных сообщений. Аналогичную роль для банковской и
коммерческой тайны играет статья 183 УК РФ.
12. Нормативные правовые акты РФ в
области защиты информации
Законодательные акты
• Закон РФ "О безопасности" от 05.03.1992г. № 2446-1
• Закон РФ "О государственной тайне" от 21.07.1993г.
№5485-1 (с изм. и доп., вступающими в силу с 15.12.2007)
• ФЗ РФ "Об информации, информационных технологиях и о
защите информации" от 27.07.2006г. №149-ФЗ
• ФЗ РФ "О коммерческой тайне" от 29 июля 2004 г. N 98-ФЗ
• ФЗ РФ "О персональных данных" от 27 июля 2006 г. N 152-
ФЗ
• ФЗ "О техническом регулировании" от 27 декабря 2002 г. N
184-ФЗ
• ФЗ РФ "Об обеспечении единства измерений" от 26 июня
2008 года № 102-ФЗ
13. Законодательные акты
• ФЗ РФ "Электронной цифровой подписи" от 10 января 2002 г. N
1-ФЗ
• ФЗ РФ "Об электронной подписи" от 6 апреля 2011 г. N 63-ФЗ
• ФЗ РФ "О связи" 7 июля 2003 г. N 126-ФЗ
• ФЗ "О лицензировании отдельных видов деятельности" от 8
августа 2001 года, N 128-ФЗ
• ФЗ "Об органах Федеральной Службы Безопасности в
Российской Федерации" 03.04.95 №40-ФЗ (СЗ №15-95 г. ст.1269)
• Приказ ФСТЭК №58 от 5.02.2010г. "Об утверждении Положения о
методах и способах защиты информации в информационных
системах персональных данных"
• Приказ ФСТЭК, ФСБ, Мининформсвязи России от 13.02.2008г.
№55/86/20 «Об утверждении Порядка проведения
классификации информационных систем персональных
данных»
• ФЗ от 4 мая 2011 г. N 99-ФЗ "О лицензировании отдельных видов
деятельности"
14. Причины угроз со стороны
персонала
•Возможность
•Мотив
•Самооправдание
15. Возможность
Должностные полномочия, степень доверия
и эффективность системы управления определяют
возможности сотрудника вести себя определённым
образом. Если правила не устанавливает компания,
правила для себя формирует сотрудник.
16. Мотив
Возникает как результат
неэффективной системы
управления и мотивации. Начинает
меняться мировоззрение
сотрудника и восприятие им новых
для него факторов окружающей
действительности: не оправдались
ожидания по зарплате, карьерному
росту, обида на компанию или
руководство, отсутствие должного
внимания и оценки результатов
работы со стороны руководителя
и т. п. Помимо этого, сотрудник
может попасть в обстоятельства
непреодолимой силы: финансовые
проблемы, алкоголь, наркотики,
азартные игры, соблазн, шантаж
и т. п.
17. Самооправдание
Под воздействием негативных мотивов, сотрудник осознаёт
потребность компенсировать несправедливое отношение
со стороны компании. Он анализирует способы решения
задачи и систему управления компании в части мер
безопасности. Сотрудник убеждает себя, что, используя
свои должностные полномочия, он достигнет желаемого
и сможет скрыть последствия злоупотребления, чтобы уйти
от ответственности
18. Список литературы
• Законодательный уровень информационной безопасности[электронный
ресурс]:
http://www.intuit.ru/department/security/secbasics/4/secbasics_4.html
• Кадровое обеспечение информационной безопасности[электронный
ресурс]:
http://www.hr-portal.ru/article/kadrovoe-obespechenie-informatsionnoi-
bezopasnosti
• Кадровое и методическое обеспечение деятельности органов внутренних
дел по борьбе с преступлениями в сфере компьютерных
технологий[электронный ресурс]:
http://www.crime-research.ru/library/PolivGolub.html
• Проблемы кадрового обеспечения информационной
безопасности[электронный ресурс]:
http://library.mephi.ru/data/scientific-sessions/1998/1/411.html
• Законодательство РФ В Области Информационной
Безопасности[электронный ресурс]:
http://stroimechtu.ru/prochee/214-3-zakonodatelstvo-rf-v-oblasti-informacionnoj-
bezopasnosti.html