2015-04-30
688
1.Источник угрозы – нелицензионное программное обеспечение (ПО). Отсутствует система быстрого восстановления сбоев операционных систем.
1.2.Актив, в отношении которого реализуется угроза – операционные системы, приложения и другое ПО без сертификатов разработчика.
1.3.Мотив – хищение паролей доступа к АБС для повышения привилегий и доступа к БД, нарушение работы АБС.
1.4.Механизм реализации угрозы – несвоевременная установка обновлений ОС и приложений позволяет использовать их уязвимости для установки вредоносного кода с целью хищения конфиденциальной информации и паролей. Угроза осложняется частичным отсутствием антивирусного ПО и несвоевременного обновления БД сигнатур.
1.5.Оценка возможных результатов – доступ к банковской тайне (критично).
1.6.Текущий номер угрозы= N.
1.7.Предшествующая угроза N(-) – отсутствие в политике безопасности АКБ требований в отношении предотвращения этой угрозы.
1.8.Последующие угрозы (заражение вредоносным кодом, нарушение требований по непрерывности бизнеса, нарушение конфиденциальности, целостности и доступности информации во всех БД.
|
|
|
1.9.Механизм защиты, на который воздействует угроза. Существующие механизмы не обеспечивают защиту.
1.10.Нахождение источника угрозы (внутри или снаружи). Может быть как внешнее, так и внутреннее нахождение источника угрозы (инсайдер).
1.11.Возможные признаки: замедление работы АИС и др.
Этап 3. Разработка политики безопасности филиала АКБ «X-trimBank».
Результаты выполнения первого и второго этапов деловой игры позволяют разработать политику информационной безопасности, которая представляет собой краткий по содержанию и небольшой по объему документ (3-5 страниц). Политика безопасности, как документ, создается администрацией филиала банка совместно с руководителем службы информационной безопасности. Основная цель этого документа – выработка четкой позиции в решении вопросов защиты информации. Объем документа не должен превышать 2-3 страниц. Документ утверждается управляющим банка. Содержание документа доводится до всех сотрудников. В этом документе должны быть сформулированы цели, задачи информационной безопасности и определены следующие требования [6]:
1. Обеспечение информационной безопасности при назначении и распределении ролей, а также определение уровней доверия к персоналу.
2. Обеспечение информационной безопасности автоматизированных банковских систем (АБС) на стадиях жизненного цикла.
3. Общие требования по обеспечению информационной безопасности при управлении доступом и регистрации.
4. Общие требования по обеспечению информационной безопасности средствами антивирусной защиты.
|
|
|
5. Общие требования по обеспечению информационной безопасности при использовании ресурсов сети Интернет.
6. Общие требования по обеспечению информационной безопасности при использовании средств криптографической защиты информации.
7. Общие требования по обеспечению информационной безопасности банковских платежных технологических процессов.
8. Общие требования по обеспечению информационной безопасности банковских информационных технологических процессов.
Кроме того, в политике должны учитываться и другие требования, в том числе по непрерывности бизнеса, физической защите и другие направления, отвечающие целям бизнеса. Политика безопасности должна отражать ситуацию, заданную в моделях бизнес-процессов и информационных систем АКБ «X-trimBank».
