2015-04-30
518
4. Требования по обеспечению непрерывности бизнес-процессов не выполняются, а раздел политики информационной безопасности по непрерывности бизнеса отсутствует.
5. Средства управления физическим доступом в служебные помещения не соответствуют требованиям защиты информации и допускают возможность проникновения посторонних лиц.
6. Отсутствуют датчики пожарной сигнализации.
7. В помещениях отсутствуют кондиционеры, что приводит к повышению температуры в помещении в летнее время до +35 град С.
8. Во всех помещения используются установки автоматического водяного пожаротушения, это может привести к выводу из строя оборудования.
9. Входы в помещения закрываются с использованием механических замков, что недостаточно для обеспечения безопасности активов.
10. Общее программное обеспечение (операционные системы, офисные приложения, графические программы не являются лицензионными). Система восстановления сбоев операционных систем основана на повторной их инсталляции.
11. На компьютерах установлено программное обеспечение неизвестного авторства и не сертифицированное.
|
|
|
12. Все сотрудники имеют неограниченный доступ в Интернет и могут использовать практически все его ресурсы.
13. Обучение сотрудников методам и технологиям защиты информации не производится, а инструктажей не делается.
14. Антивирусные программы используются не на всех рабочих местах. Обновления баз данных сигнатур делается самостоятельно на каждом рабочем месте.
15. Служебная информация может свободно копироваться на внешние носители: DVD, CD, USB.
16. Не организован учет носителей информации, а сами носители не имеют маркировки (коммерческая тайна, банковская тайна). Для передачи информации используются личные носители (FLASH) информации.
17. Основные информационные активы и баз данных регулярно не обновляются. Периодичность их обновления доходила до 3 месяцев.
18. Документация (инструкции, регламенты) по обработке информации и разграничении доступа к ней отсутствуют. В наличие имеется только «Положение о порядке доступа пользователей к локальной банковской сети и программным комплексам АКБ «Хtrim-Bank»
19. Бумажные носители информации с ошибками оформления договоров, копии документов не уничтожались, а выбрасывались в мусорные корзины.
20. Офис филиала не оборудован комнатой для ведения переговоров с клиентами, а кабинет управляющего не обеспечивает защиту конфиденциальной информации при проведении совещаний и переговоров.
21. Камеры видеонаблюдения записывают информацию в архив в автоматическом режиме со сроком хранения 1 неделя.
22. Инциденты, связанные с информационной безопасностью документально не фиксируются и оперативно не доводятся до администрации АКБ.
|
|
|
23. Внутренний аудит информационной безопасности не проводится.
24. Архивирование баз данных, размещенных на сервере филиала не производится регулярно.
25. Бумажные копии договоров хранятся в открытом виде в шкафах помещений для работы с клиентами.
26. Отсутствует резервное оборудование, что приводит к остановке бизнес-процессов.
27. Парольная политика доступа к информационным активам не соответствует требованиям защиты банковской тайны.
28. Сопровождение информационных систем и процессов обеспечения информационной безопасности делегировано одному сотруднику.
29. Политика «двойного управления» не используется при проведении ответственных операций.
30. Датчики на проникновение в помещение в ночное время отсутствуют.
31. В помещениях, где проводится обработка конфиденциальной информации (банковской тайны) не обеспечена защита от утечки информации.
32. Набор персонала проводится без учета требований работы с конфиденциальной информацией.
33. Обслуживание оборудования на территории офиса проводится без соблюдения требований по обеспечению информационной безопасности при работе с другими организациями.
Кроме того, при анализе схемы расположения рабочих мест и оборудования филиала (рис.1) были и другие недостатки, которые необходимо определить участникам деловой игры по своим направлениям путем анализа приведенной ниже схемы.
Рис.1.Схема размещения рабочих мест и оборудования филиала Q-Bank
