Анализ рисков и подбор адекватных защитных мер для небольшого офиса страховой компании
В рамках данной работы проведено рассмотрение вопросов организации системы информационной безопасности для компаний, работающих в отрасли страхового бизнеса.
Задачи обеспечения информационной безопасности страхового бизнеса обусловлены необходимостью соблюдения требований Федеральных Законов (152-ФЗ «О персональных данных», 149-ФЗ «Об информации, информационных технологиях и защите информации», ведомственных нормативных актов), обеспечению стабильности работы информационной системы, защиты от утечек конфиденциальной информации.
Защищаемыми объектами в условиях страховой компании являются:
- персональные данные клиентов;
- данные о договорах страхования (в которых могут содержаться конфиденциальные сведения различных типов – персональные данные клиентов, данные о застрахованном имуществе, состоянии здоровья и др.);
- данные о финансовом состоянии страховой компании;
- информационные базы страховой компании;
- персональные данные сотрудников страховой компании;
- оборудование информационной системы компании;
- информация о состоянии здоровья, имуществе граждан, фигурирующая в договорах страхования.
Категория персональных данных – К1, К3.
Основными категориями нарушителей могут являться:
- сотрудники компании, совершающие непреднамеренные нарушения информационной безопасности (разглашение пароля, вирусное заражение, утеря носителей информации, содержащих конфиденциальные сведения, нарушение правил эксплуатации компьютера, повлекшие выход из строя жёстких дисков и т.д.);
- внешние злоумышленники, намеренно осуществляющие попытки доступа к информационной системе (к данному типу угроз можно отнести криминогенные группировки);
- сотрудники компании, работающие в интересах сторонних организаций;
- непреодолимая сила (технологические сбои в работе энергосистем и других систем жизнеобеспечения).
Наиболее распространенной угрозой в условиях ООО «РЕСО-Гарантия» является непреднамеренные действия сотрудников, приводящие к возникновению угроз конфиденциальности информации
Зарегистрируйся, чтобы продолжить изучение работы
. Типичные ошибки сотрудников:
- предоставление своих паролей другим сотрудникам, нарушения регламентов обращения с паролями, сложности и периодичности их смены;
- ошибки в системе разграничения доступа, приводящие к утечкам конфиденциальной информации;
- возможная загрузка вредоносных программ из Интернета и почтовых ящиков;
- нарушение порядка хранения электронных ключей;
- нарушение порядка хранения договоров страхования, финансовых отчетов в бумажном и электроном виде (например, через копирование их на общедоступные файловые ресурсы).
По данным журнала инцидентов информационной безопасности был проведен анализ видов нарушений, допускаемых пользователями информационной системы.
Организационные меры защиты включают в себя административные, управленческие меры, определяющие порядок работы систем по обработке данных, использованию ее ресурсов, деятельности обслуживающего персонала, а также технологии по взаимодействию пользователей с системой таким образом, чтобы минимизировать вероятность реализации угроз безопасности персональных данных (либо максимально снизить размер ущерба при их реализации).
В соответствии с определенными выше угрозами, в подразделениях организаций необходимо принятие ряда организационных мер, определяемых в локальных документах. Каждому из типов угроз сопоставлено технологическое решение, подкрепленное документационным обеспечением.
Таким образом, разработка комплекта документационного обеспечения способствует противодействию угрозам конфиденциальности информации при её обработке в автоматизированный информационной системе.
При приеме на работу специалист, выполняющий работу с конфиденциальными данными, подписывает «Обязательство о неразглашении конфиденциальной информации», к которой также относятся персональные данные.
Инженерно-технические меры направлены, как правило, на обеспечение физической защиты помещений, в которых обрабатывается конфиденциальная информация
50% доклада недоступно для прочтения
Закажи написание доклада по выбранной теме всего за пару кликов. Персональная работа в кратчайшее
время!
на новый заказ в Автор24. Это бесплатно.
Задать вопрос
