Разработка политики информационной безопасности в кредитных учреждениях

- документы, содержащие положения ИБ, применяемые к процедурам (порядку выполнения действий или операций) обеспечения ИБ (документы третьего уровня), содержат правила и параметры, устанавливающие способ осуществления и выполнения конкретных действий, связанных с ИБ, в рамках технологических процессов, используемых в организации БС РФ, либо ограничения по выполнению отдельных действий, связанных с реализацией защитных мер, в используемых технологических процессах (технические задания, регламенты, порядки, инструкции);

- документы, содержащие свидетельства выполненной деятельности по обеспечению ИБ (документы четвертого уровня), отражают достигнутые результаты (промежуточные и окончательные), относящиеся к обеспечению ИБ организации БС РФ.

2.2 Разработка корпоративной политики

Корпоративная политика ИБ определяет на высоком (общем) уровне цели и задачи обеспечения ИБ организации БС РФ, включая способы контроля реализации требований политики ИБ организации БС РФ. Корпоративная политика ИБ организации БС РФ определяет содержание, назначение и требования к деятельности по обеспечению ИБ организации БС РФ без указания специфических деталей.

В корпоративной политике ИБ организации БС РФ рекомендуется определять высокоуровневые правила и требования к деятельности по управлению рисками, в том числе по анализу и выработке позиций в отношении рисков.

Корпоративная политика ИБ организации БС РФ может быть представлена как в виде комплекта документов, так и в виде единого обобщающего документа.

В корпоративную политику ИБ организации БС РФ рекомендуется включать следующие положения:

- определение ИБ в терминах деятельности данной организации БС РФ, области действия политики, целей, задач и принципов обеспечения ИБ организации БС РФ;

- изложение намерения обеспечения ИБ, направленного на достижение указанных целей и на реализацию принципов обеспечения ИБ;

- общие сведения об активах, подлежащих защите, их классификацию;

- модели угроз и нарушителей (внутреннего и внешнего) в соответствии с требованиями раздела 7 СТО БР ИББС-1.0, на противодействие которым ориентирована корпоративная политика ИБ;

- высокоуровневое изложение правил и требований в области ИБ, представляющих особую важность для организации БС РФ, например:

- обеспечение соответствия законодательным актам, нормативным документам РФ в области обеспечения ИБ и нормативным актам Банка России;

- требования к управлению ИБ;

- требования по предотвращению и обнаружению компьютерных вирусов и другого вредоносного программного обеспечения;

- требования по управлению непрерывностью бизнеса;

- санкции и последствия нарушений политики безопасности;

- определение общих ролей и обязанностей, связанных с обеспечением ИБ, включая информирование об инцидентах ИБ;

- перечень частных политик ИБ, развивающих и детализирующих положения корпоративной политики ИБ, а также указание подразделений организации БС РФ, ответственных за их соблюдение и/или реализацию;

- положения по контролю реализации корпоративной политики информационной безопасности организации БС РФ;

- ответственность за реализацию и поддержку документа;

- условия пересмотра (выпуска новой редакции) документа.

К разработке и согласованию корпоративной политики ИБ рекомендуется привлекать представителей следующих служб организации БС РФ, связанных с ее информационной сферой:

- руководство организации БС РФ;

- профильные подразделения;

- служба информатизации;

- служба безопасности (информационной безопасности).

Корпоративная политика ИБ должна быть утверждена руководителем организации БС РФ (например, председателем, генеральным директором, президентом, руководителем филиала).

На основе корпоративной политики безопасности информационных и коммуникационных технологий должны быть разработаны указания, обязательные для выполнения всеми менеджерами и служащими. Это может потребовать подписи на документе от каждого служащего, который признает за собой ответственность за безопасность внутри организации. Далее должна быть разработана и реализована Программа компетентности и обучения безопасности, в которой указываются все эти ответственности.

Должен быть назначен ответственный за корпоративную политику безопасности информационных и коммуникационных технологий и за обеспечение того, что эта политика отражает требования и действующий статус организации. Этот ответственный обычно является официальным лицом корпоративной безопасности информационных и коммуникационных технологий, который, кроме прочего, должен отвечать и за последующую деятельность, которая включает проверку соответствия безопасности, повторные анализы и аудиты, обработку инцидентов и слабостей безопасности и любые изменения в корпоративной политике безопасности информационных и коммуникационных технологий, которые могут оказаться необходимыми в результате проведения этих действий.

2.3 Разработка частных политик

Второй уровень документов по обеспечению ИБ составляют документы, определяющие правила, требования и принципы, используемые применительно к отдельным областям ИБ, видам и технологиям деятельности организации БС РФ. информационный безопасность кредитный политика

Кроме того, в состав документов данного уровня рекомендуется включить планы работ по обеспечению ИБ организации БС РФ и стандарты технологий обеспечения ИБ организации БС РФ.

Не рекомендуется повторение одинаковых правил в различных частных политиках. Включение в частную политику правила, содержащегося в другой (существующей) политике, целесообразно осуществлять посредством соответствующей ссылки. Например, для того чтобы в «Политику обеспечения ИБ информационных банковских технологических процессов» включить требования по антивирусной защите, следует сделать ссылку на «Политику антивирусной защиты» (при ее наличии).

Частные политики формируются на основании принципов, требований и задач, определенных в корпоративной политике ИБ организации БС РФ, с учетом детализации, уточнения и дополнительной классификации активов и угроз, определения владельцев активов, анализа, оценки рисков и возможных последствий реализаций угроз в границах области действия регламентируемой области или технологии.

В частные политики ИБ организации БС РФ рекомендуется включать положения, определяющие:

- цели и задачи ИБ, на обеспечение которых направлена частная политика;

- область действия политики, определение объектов (активов) защиты, уязвимостей, угроз и оценка рисков, связанных с объектами защиты;

- сведения о виде деятельности, на обеспечение ИБ которой направлено действие положений частной политики, о совокупности банковских технологий, применяемых в рамках выполнения данного вида деятельности, и об основных технологических процессах, реализующих указанные технологии;

- определение субъектов (ролей), на которых распространяется действие документа. В качестве субъектов (ролей) могут рассматриваться как структурные подразделения организации БС РФ, так и отдельные исполнители;

- содержательную часть документа (требования и правила);

- обязанности по обеспечению ИБ в рамках области действия частной политики ИБ, описание функций субъектов (ролей) над управляемыми объектами в рамках регламентируемых технологических процессов;

- состав ссылочных документов;

- положения по контролю реализации частной политики ИБ;

- ответственность за реализацию и поддержку документа;

- условия пересмотра документа.

В состав планов работ по обеспечению ИБ организации БС РФ рекомендуется включать, но не ограничиваться ими:

- планы по реализации и внедрению процедур, требований и мер обеспечения ИБ;

- планы мероприятий на случаи возможных инцидентов ИБ;

- планы мероприятий по обеспечению деятельности в рамках управления ИБ;

- планы мероприятий по управлению документами, связанными с обеспечением ИБ;

- планы работ по обслуживанию аппаратных средств и программных систем, используемых для обеспечения ИБ;

- планы мероприятий по обучению и повышению осведомленности служащих организации БС РФ.

В планах работ по обеспечению ИБ рекомендуется описывать перечень, порядок, объем (в той или иной форме), сроки выполнения мероприятий по реализации задач обеспечения ИБ организации БС РФ, а также указывать руководителей, исполнителей и ответственность за выполнение этих мероприятий.

Планы по обеспечению ИБ как минимум должны определять:

- последовательность выполнения мероприятий в рамках деятельности по обеспечению ИБ;

- сроки начала и окончания запланированных мероприятий;

- субъектов (лиц или структурные подразделения), ответственных за выполнение каждого указанного мероприятия.

Стандарты технологий обеспечения ИБ организации БС РФ устанавливают требования и характеристики, предназначенные для всеобщего и многократного использования, касающиеся обеспечения ИБ организации БС РФ. Стандарты технологий обеспечения ИБ организации БС РФ могут разрабатываться как в отношении специализированных технологий обеспечения ИБ, так и в отношении технологий, реализуемых банковскими информационными системами.

Структуру и содержание стандартов технологий обеспечения ИБ организации БС РФ рекомендуется разрабатывать на основе требований ГОСТ Р 1.4-2004.

К разработке и согласованию частных политик обеспечения ИБ рекомендуется привлекать представителей:

- руководства организации БС РФ и профильных подразделений;

- служб информатизации и безопасности.

Документы второго уровня могут быть утверждены руководителем организации БС РФ (профильного подразделения организации БС РФ), его заместителем по вопросам ИБ или иными должностными лицами, в компетенцию которых входят вопросы, отраженные в этих документах.

Контроль доступа, идентификация.

Необходимо обратить внимание на два момента:

- следует избегать множественных паролей в различных системах для одного пользователя;

- тщательно отслеживать прекращение доступа к системам покинувших организацию сотрудников.

Вредоносные программы. Современные тенденции таковы, что компаниям приходится тратить миллионы долларов на ликвидацию последствий от вредоносных программ (таких как черви, вирусы, трояны и пр.) и еще большее количество денег - на обеспечение информационной безопасности при помощи оборудования, программного обеспечения, консультаций экспертов и постоянного обучения персонала. Серьезность воздействия и усложнение вредоносных программ постоянно возрастает, и регулярных обновлений антивирусных программ уже недостаточно для защиты.

2.4 Разработка должностных инструкций и положений

Несмотря на то, что в ТК РФ не содержится упоминания о должностной инструкции, она является важным документом, содержанием которого является не только трудовая функция работника, круг должностных обязанностей, пределы ответственности, но и квалификационные требования, предъявляемые к занимаемой должности. При этом, если порядок составления инструкции нормативными правовыми актами не урегулирован, работодатель самостоятельно решает, как ее оформить и вносить в нее изменения.

Уровень организационной культуры. Исследования показали, что большинство организаций наблюдают за своими сотрудниками и пытаются контролировать использование корпоративных информационных ресурсов, в основном акцентируя внимание на использовании сети Интернет и сообщений электронной почты. В случае проведения контрольных мероприятий сотрудники обязательно должны быть об этом уведомлены.

Для организации рекомендуется определить и задокументировать список сведений, подлежащих защите, и заключать соглашение о конфиденциальности как со своими сотрудниками, так и с внешними организациями, имеющими доступ к сведениям подобного рода.

Третий уровень документов по обеспечению ИБ составляют документы, содержащие требования к процедурам обеспечения ИБ, выполняемым работниками в рамках технологических процессов, реализующих технологии, требования ИБ к которым определены в частных политиках организации БС РФ.

В документах, содержащих требования ИБ к процедурам, выполняемым как структурными подразделениями организации БС РФ, так и ее работниками, рекомендуется давать детализированные описания порядка выполняемых действий и (или) вводимых ограничений, что должно позволить четко определить правила выполнения задач обеспечения ИБ на каждом рабочем месте, для каждой роли ИБ, а также установить конкретную ответственность за выполнение предписанных требований.

К документам, содержащим требования ИБ к процедурам, относятся, например:

- инструкции по обеспечению ИБ, в том числе и должностные;

- руководства по обеспечению ИБ, например, по классификации активов;

- методические указания по обеспечению ИБ;

- документы, содержащие требования к конфигурациям.

Инструкции, руководства, методические указания по обеспечению ИБ содержат свод правил, устанавливающих порядок и способ выполнения отдельных операций по обеспечению ИБ.

К инструкциям, руководствам, методическим указаниям по обеспечению ИБ предъявляются повышенные требования четкости и ясности изложения текста. Документы этого уровня, в отличие от документов вышестоящего уровня, описывают конкретные приемы и порядок действий сотрудников для решения определенных им (например, ролью) задач либо конкретные ограничения.

Рекомендуется, чтобы инструкции, руководства, методические указания по обеспечению ИБ содержали:

- определение субъекта (субъектов), деятельность которых регламентируется инструкцией, и/или наименование деятельности, которая описывается инструкцией;

- ресурсы, необходимые для выполнения деятельности;

- детальное описание выполняемых операций, включая накладываемые ограничения, и результат выполнения операций;

- обязанности субъекта (субъектов) в рамках выполнения регламентируемой деятельности;

- права и ответственность субъекта (субъектов).

Документы, содержащие требования к конфигурациям, определяют конкретные значения параметров систем и их компонентов, а также способы их настройки, позволяющие обеспечить требуемый уровень ИБ.

Документы, содержащие процедурные требования ИБ, могут быть утверждены лицами, ответственными за реализацию соответствующих видов деятельности по обеспечению ИБ.

3. Ввод в эксплуатацию

3.1 Ознакомление сотрудников

Внутренние угрозы. ИБ должна быть составной частью бизнес-процессов организации, охватывая всех сотрудников, независимо от их служебного положения. По статистике, только 20% проблем ИБ можно решить технически, остальные 80% - проблемы, связанные с персоналом компании, который намеренно или случайно совершает ошибки, ведущие к существенным потерям в бизнесе.

Обучение персонала предусматривает решение следующих вопросов: контроль доступа к корпоративным данным при найме и увольнении сотрудников, проведение регулярного обучения сотрудников установленным правилам ИБ и ознакомление с предусмотренными мерами ответственности за их нарушение.

В область эффективного менеджмента входят такие вопросы операционной безопасности, как разграничение полномочий и обеспечение функциональной взаимозаменяемости сотрудников. Операционная безопасность является объектом пристального внимания сотрудников, отвечающих за ИБ, а также внешних и внутренних аудиторов и других регулирующих организаций. Объясняется это тем, что операции, проводимые персоналом компании, должны соответствовать определенным принципам и быть прозрачными для проверок на предмет отсутствия мошенничества, преступного сговора, модификации платежных документов, разграничения функций ввода и подтверждения правильности введенной информации.

3.2 Создание документов 4-го уровня

Четвертый уровень документов по обеспечению ИБ составляют документы, содержащие записи о результатах реализации деятельности по обеспечению ИБ, регламентированной документами верхних уровней. Свидетельства выполненной деятельности совместно с документами более высоких уровней иерархии могут служить документированным доказательством реализации требований ИБ при проведении внутреннего контроля и внешнего аудита ИБ организации БС РФ.

К этой группе документов относятся, например:

- реестры и описи (например, опись информационных активов организации БС РФ);

- регистрационные журналы, в том числе журналы регистрации инцидентов;

- протоколы (например, протокол проведения испытаний);

- листы ознакомления;

- обязательства (например, обязательства о неразглашении);

- акты;

- договоры;

- отчеты.

Наличие документов организации БС РФ, содержащих свидетельства выполненной деятельности по обеспечению ИБ, определяется требованиями, зафиксированными во внутренних документах по обеспечению ИБ верхних уровней иерархии.

Документы, содержащие свидетельства выполненной деятельности по обеспечению ИБ, могут быть представлены как в электронной форме, так и на бумажном носителе.

Рекомендуется по возможности дублировать документы, содержащие свидетельства выполненной деятельности по обеспечению ИБ, представленные в электронной форме, на бумажный носитель.

Должно обеспечиваться архивное хранение документов, содержащих свидетельства выполненной деятельности по обеспечению ИБ. Время хранения может определяться как требованиями законодательных актов Российской Федерации и требованиями Банка России, так и требованиями самой организации БС РФ.

3.3 Аудит

Итак, мы разработали политику безопасности, воплотили в жизнь ее положения. Как теперь оценить ИБ фирмы? может быть, все усилия потрачены впустую? На эти вопросы поможет ответить аудит безопасности. Существуют фирмы, предоставляющие подобные услуги. Известны, по крайней мере, два подхода к оценке.

Первый - оценка безопасности на качественном уровне. Эксперт высказывает свое видение состояния дел в фирме, дает рекомендации по устранению замеченных им изъянов. Недостаток такого подхода - его субъективизм. Хотелось бы иметь действительно независимую оценку ИБ. Причем было бы неплохо, чтобы эту количественную, оценку признавали и другие фирмы - ваши потенциальные партнеры. Очевидно, что для этого необходима разработка некоторого набора правил или стандарта в области безопасности информационных систем.

К счастью, почти ничего создавать не надо: стандарт, позволяющий дать количественную оценку ИБ, уже имеется. Речь идет о международном стандарте ISO 17799. Этот документ был принят международным институтом стандартов в конце 2002 года на основе ранее разработанного Великобританией стандарта BS7799. И хотя он пока не является общепринятым документом в нашей стране, он не противоречит руководящим документам Гостехкомиссии и приказам ФАПСИ.

Стандарт ISO 17799 позволяет получить количественную оценку комплексной безопасности фирмы. Этот процесс настолько формализован, что существует программное обеспечение, позволяющее самостоятельно выполнить оценку безопасности своей компании. Это программное обеспечение представляет собой, по существу, вопросник. Сгенерированный программой отчет отправляется в адрес фирмы, имеющей полномочия на проведение сертификации на соответствие этому стандарту, и та присылает вам соответствующий знак и процент соответствия стандарту.

3.4 Обязанности и роль внешних аудиторов

Несмотря на то что внешние аудиторы по определению не являются частью банковского учреждения и поэтому не входят в его систему внутреннего контроля, их деятельность, в процессе которой с руководством обсуждаются рекомендации по улучшению внутреннего контроля, оказывает важное влияние на качество внутреннего контроля. К тому же внешние аудиторы обеспечивают обратную связь, помогающую следить за эффективностью системы внутреннего контроля.

Поскольку главной целью внешнего аудита является предоставление заключения о годовой финансовой отчетности банка, внешние аудиторы должны оценить эффективность службы внутреннего контроля банка, чтобы по возможности опираться на ее выводы в своей работе. По этой причине внешние аудиторы должны хорошо понимать систему внутреннего контроля банка для того, чтобы оценить, в какой степени они могут полагаться на нее при определении характера, сроков и сфер аудиторской проверки.

Специфическая роль внешних аудиторов и методы, которые они используют в своей работе, зависят от конкретной страны. Согласно профессиональным стандартам аудита, принятым во многих странах, аудиторские проверки должны проводиться на основе плана и осуществляться с целью получения достаточной уверенности, что финансовые отчеты свободны от существенных искажений. Также на выборочной основе аудиторы проверяют документальные подтверждения операций и учетных записей, являющихся основанием для финансовой (бухгалтерской) и публикуемой отчетности. Аудитор оценивает используемые принципы и правила бухгалтерского учета и существенные допущения, сделанные руководством, а также общее представление финансовой отчетности. В некоторых странах надзорные органы требуют, чтобы внешние аудиторы представляли конкретную оценку круга вопросов, адекватности и эффективности системы внутреннего контроля банка, включая систему внутреннего аудита.

При всем разнообразии общим для всех стран является предположение, что внешний аудитор сможет оценить качество системы внутреннего контроля в той степени, которая необходима для суждения о состоянии отчетности банка. Степень внимания, уделяемая системе внутреннего контроля, зависит от конкретного аудитора и банка; однако обычно предполагается, что существенные недостатки, выявленные аудиторами, должны доводиться до сведения руководства в конфиденциальных письмах по результатам аудита и во многих странах - до сведения органов банковского надзора. Более того, во многих странах к внешним аудиторам могут предъявляться специальные надзорные требования, предписывающие способ проведения оценки внутреннего контроля и составления отчета о его состоянии.

3.5 Возможные технические решения

Суть проблемы. В крупных системах велико количество пользователей, приложений и информационных ресурсов, взаимосвязи между ними сложны и разнообразны. В таких системах, как правило, применяются различные средства защиты, но при построении системы защиты очень важно правильно ее внедрить, грамотно ее эксплуатировать.

И если первая задача обычно проблем не вызывает, то задача эксплуатации, управления системой на протяжении ее жизненного цикла часто становится камнем преткновения.

За безопасность информационных систем чаще всего отвечает специальное подразделение - служба безопасности, однако управление частью встроенных в приложения и операционные системы механизмов защиты лежит на IT-подразделении. Эти настройки зачастую даже не контролируются службой безопасности.

А это означает, что рано или поздно наступает момент, когда настройки системы защиты и настройки штатных механизмов начинают расходиться. Это происходит потому, что отсутствуют процедуры, регламентирующие внесение изменений в информационную систему и в настройки механизмов безопасности. Кроме того, внести изменения в реальные настройки системы гораздо проще и быстрее, чем оформить их (да и набрать номер администратора или забежать к нему по пути куда-либо проще, чем писать заявку). В результате в определенный момент времени практически невозможно ответить на вопрос: почему к данному ресурсу имеют доступ данные пользователи? Потеряна история всех производимых изменений, и уже нельзя определить - правильно или нет сконфигурированы - пусть даже самые совершенные - механизмы защиты.

Возможные последствия. Цена ошибок за неправильное администрирование измеряется либо предоставлением пользователю необоснованно больших компетенций (а равно создание огромной уязвимости в информационной системе), либо в какой-то момент он не может получить необходимый ему доступ, при этом, возможно, срывается выполнение задач организации в целом.

Проблема управления безопасностью растет как снежный ком и усложняется по мере развития информационной системы.

Решить эту проблему организационными методами не удается. Увеличение численности сотрудников IT-подразделения и службы безопасности только ее усугубляет. Специализация сотрудников на управлении отдельными прикладными системами порождает иную проблему - проблему координации их работы.

Исключительно технические методы решения задачи также неприемлемы. Универсальная консоль управления всеми приложениями положения не спасает, поскольку не решен главный вопрос - кто и как должен принимать решения о том, какие изменения нужны.

Поэтапное решение проблемы. Сферы ответственности за обеспечение безопасности в организации размыты - нужно жестко затвердить полномочия всех участников процесса. Есть проблемы взаимодействия - жестко регламентируем механизмы обращения между подразделениями, создав, по сути, документооборот по ИБ. Самое сложное - организация контроля за реально происходящим в информационной системе. Затем необходимо связать все перечисленное воедино.

К счастью, в настоящее время на рынке уже существуют технологии, которые позволяют решить эту непростую задачу. Свои разработки предлагают компании Oracle и IBM. Отрадно, что в ряду гигантов IT-индустрии есть и отечественный разработчик - компания «Информзащита», готовая предложить свою систему Комплексного Управления Безопасностью (КУБ).

Уникальность предлагаемых решений состоит в слиянии двух подходов к управлению безопасности - технического и организационного, которые самостоятельно, то есть по отдельности, не работают.

Защита от локального администратора

Нередко сотрудники компании располагают привилегиями локальных администраторов на своих компьютерах, что противоречит рекомендациям Microsoft по безопасности Windows. Пользуясь этим, рядовые пользователи могут удалять любые установленные на их компьютерах программы, в том числе защиту информации, антивирусы и т.п. удивительно, но факт: множество компаний не учитывает эту потенциальную «дыру» в собственной безопасности.

С помощью программы DeviceLock вы задаете список учетных записей (пользователей и/или групп), которым будет разрешено администрировать (устанавливать, удалять, менять разрешения и другие настройки) DeviceLock. В этом случае даже пользователи, имеющие преимущество локального администратора, не смогут внести серьезные коррективы в работу своих компьютеров, если не находятся в списке администраторов DeviceLock.

«Белый» список USB-устройств, позволяющий авторизовать определенные модели - которые не будут заблокированы, несмотря на установленные разрешения, - теперь поддерживает приборы с уникальным серийными номерами. Таким образом, возможно разрешить доступ к определенному устройству и при этом заблокировать доступ к другим подобным (этой же модели этого же производителя).

DeviceLock работает с групповой политикой Windows и помогает осуществлять аудит действий пользователя при помощи сменных носителей и USB-устройств. Интеграция в Active Directory и возможность управления через групповые политики Windows значительно упрощают централизованный контроль доступа для системных администраторов.

Заключение

Задачей в данной квалификационной работе было провести анализ проблем, связанных с созданием политики ИБ в кредитных учреждениях, систематизировать имеющиеся стандарты и рекомендации в этой области и разработать методическое руководство для создания безопасной обстановки в области ИБ.

В первой главе рассмотрены базовые принципы, без реализации которых невозможно построение эффективной и безопасной деловой обстановки на объектах данного вида. Особое внимание уделено управлению рисками и в особенности актуальным на данный момент операционным рискам, а так же системе внутреннего контроля.

Во второй главе приведены этапы создания политики ИБ, рекомендации по ее содержанию, рассмотрен в отдельности каждый уровень создаваемой политики. Делается акцент на подготовке самого текста документа, что должно быть, а чего нужно избежать.

В третьей главе описаны особенности внедрения политики ИБ и подготовка документов 4-го уровня, представлены методы оценки построенной системы ИБ на примере аудита и разработаны возможные способы решения некоторых возникающих технических проблем.

Таким образом цель работы достигнута, поставленные задачи решены.

Список использованной литературы

1. Информационная безопасность №5, ноябрь 2004

2. Информационная безопасность №1, февраль-март 2005

3. Информационная безопасность №4, август-сентябрь 2005

4. Рекомендации в области стандартизации Банка России РС БР ИББС-2.0-2007 “Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методические рекомендации по документации в области обеспечения информационной безопасности в соответствии с требованиями СТО БР ИББС-1.0 (введены в действие распоряжением ЦБР от 28 апреля 2007 г. N Р-348)

5. Стандарт Банка России СТО БР ИББС_1.0_2008 обеспечение информационной безопасности организаций банковской системы Российской Федерации

6. Ресурсы сайта www.risk24.ru <http://www.risk24.ru>

7. Ресурсы форума www.bankir.ru

Статьи:

8. В.Г. Грибунин. Политика безопасности: разработка и реализация

9. В.Д. Провоторов. Защитить, чтобы не проиграть

10. В.А. Галатенко. Категорирование информации и информационных систем. Обеспечение базового уровня информационной безопасности. www.citforum.ru <http://www.citforum.ru>

11. С. Белялова. Эффективное управление информационной безопасностью

12. DeviceLock 5.72 - защита от локального администратора!

Размещено на Allbest.ru