Уникальность предлагаемых решений состоит в слиянии двух подходов к управлению безопасности - технического и организационного, которые самостоятельно, то есть по отдельности, не работают.
Защита от локального администратора
Нередко сотрудники компании располагают привилегиями локальных администраторов на своих компьютерах, что противоречит рекомендациям Microsoft по безопасности Windows. Пользуясь этим, рядовые пользователи могут удалять любые установленные на их компьютерах программы, в том числе защиту информации, антивирусы и т.п. удивительно, но факт: множество компаний не учитывает эту потенциальную «дыру» в собственной безопасности.
С помощью программы DeviceLock вы задаете список учетных записей (пользователей и/или групп), которым будет разрешено администрировать (устанавливать, удалять, менять разрешения и другие настройки) DeviceLock. В этом случае даже пользователи, имеющие преимущество локального администратора, не смогут внести серьезные коррективы в работу своих компьютеров, если не находятся в списке администраторов DeviceLock.
«Белый» список USB-устройств, позволяющий авторизовать определенные модели - которые не будут заблокированы, несмотря на установленные разрешения, - теперь поддерживает приборы с уникальным серийными номерами. Таким образом, возможно разрешить доступ к определенному устройству и при этом заблокировать доступ к другим подобным (этой же модели этого же производителя).
DeviceLock работает с групповой политикой Windows и помогает осуществлять аудит действий пользователя при помощи сменных носителей и USB-устройств. Интеграция в Active Directory и возможность управления через групповые политики Windows значительно упрощают централизованный контроль доступа для системных администраторов.
Заключение
Задачей в данной квалификационной работе было провести анализ проблем, связанных с созданием политики ИБ в кредитных учреждениях, систематизировать имеющиеся стандарты и рекомендации в этой области и разработать методическое руководство для создания безопасной обстановки в области ИБ.
В первой главе рассмотрены базовые принципы, без реализации которых невозможно построение эффективной и безопасной деловой обстановки на объектах данного вида. Особое внимание уделено управлению рисками и в особенности актуальным на данный момент операционным рискам, а так же системе внутреннего контроля.
Во второй главе приведены этапы создания политики ИБ, рекомендации по ее содержанию, рассмотрен в отдельности каждый уровень создаваемой политики. Делается акцент на подготовке самого текста документа, что должно быть, а чего нужно избежать.
В третьей главе описаны особенности внедрения политики ИБ и подготовка документов 4-го уровня, представлены методы оценки построенной системы ИБ на примере аудита и разработаны возможные способы решения некоторых возникающих технических проблем.
Таким образом цель работы достигнута, поставленные задачи решены.
Список использованной литературы
1. Информационная безопасность №5, ноябрь 2004
2. Информационная безопасность №1, февраль-март 2005
3. Информационная безопасность №4, август-сентябрь 2005
4. Рекомендации в области стандартизации Банка России РС БР ИББС-2.0-2007 “Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методические рекомендации по документации в области обеспечения информационной безопасности в соответствии с требованиями СТО БР ИББС-1.0 (введены в действие распоряжением ЦБР от 28 апреля 2007 г. N Р-348)
5. Стандарт Банка России СТО БР ИББС_1.0_2008 обеспечение информационной безопасности организаций банковской системы Российской Федерации
6. Ресурсы сайта www.risk24.ru <http://www.risk24.ru>
7. Ресурсы форума www.bankir.ru
Статьи:
8. В.Г. Грибунин. Политика безопасности: разработка и реализация
9. В.Д. Провоторов. Защитить, чтобы не проиграть
10. В.А. Галатенко. Категорирование информации и информационных систем. Обеспечение базового уровня информационной безопасности. www.citforum.ru <http://www.citforum.ru>
11. С. Белялова. Эффективное управление информационной безопасностью
12. DeviceLock 5.72 - защита от локального администратора!