От требований – до сопровождения. Как обезопасить информационную систему банка

 ЕКАТЕРИНА ЛАВРИНОВА, выпускница факультета «Информационная безопасность» МИФИ, главный специалист отдела развития информационной защиты ОАО «Россельхозбанк»

От требований – до сопровождения
Как обезопасить информационную систему банка

Сегодня банки сталкиваются с необходимостью оптимизации расходов на осуществление бизнес-деятельности. В то же время они должны вкладывать средства в развитие банковских процессов для повышения качества предоставляемых сервисов и обслуживания клиентов

В частности, перед банками стоят задачи оптимизации ИТ-инфраструктуры, автоматизации существующих и включения новых технологий и услуг в деятельность банка.

Решить эти задачи можно, создав в банке новые информационные системы. При этом одним из ключевых моментов становится обеспечение информационной безопасности данных систем и соответствующих им технологий. Необходимо найти баланс между внедрением мер по обеспечению информационной защиты, которые позволяют минимизировать информационные, организационные и правовые риски, и возможностью беспрепятственно осуществлять бизнес-процесс, не увеличивая значительно стоимость информационной системы.

Подспорьем для обеспечения информационной безопасности банковских ИТ является комплекс стандартов Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации», в частности, стандарт СТО БР ИББС-1.0 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Основные положения» (далее – Стандарт Банка России).

Основываясь на положениях Стандарта Банка России, рассмотрим процесс обеспечения информационной безопасности применительно ко всем этапам жизненного цикла банковской информационной системы начиная с формирования требований к автоматизированной системе и заканчивая сопровождением (в соответствии с ГОСТ 34.601-90 «Автоматизированные системы. Стадии создания»).

Этап 1. Концептуальное проектирование информационной системы

Цель данного этапа – определить особенности внедряемой системы, исходя из потребностей бизнес-пользователей и требований к организации соответствующего бизнес-процесса. При этом важно оценить целесообразность внедрения новой технологии (системы, бизнес-процесса) с точки зрения ее информационной безопасности.

Чтобы решить задачу, следует сформировать четкую картину бизнес-процесса «как есть» и «как будет», проанализировать влияние вносимых изменений на информационную защищенность банка с помощью высокоуровневой оценки рисков информационной безопасности. Для этого может быть использована «Методика оценки рисков нарушения информационной безопасности» (РС БР ИББС-2.2), предложенная Банком России.

Меры по минимизации полученных рисков (в частности, стоимость и трудозатраты на их реализацию в банке, а также наличие/отсутствие возможности использовать уже имеющиеся средства) и будут индикатором целесообразности внедрения оцененного варианта системы. Необходимо достичь баланса между требованиями бизнеса и информационной безопасностью. Это возможно, в числе прочего, за счет изменения границ автоматизации, видоизменения внедряемого бизнес-процесса, выбора тех или иных средств и мер защиты.

Оценка бизнес-процесса с точки зрения его информационной защищенности на этапе концептуального проектирования позволяет обеспечить прозрачность внедряемых технологий и систем, минимизировать информационные риски и оценить целесообразность применения тех или иных защитных мер и средств.

Этап 2. Техническое задание

В ходе данного этапа проводится детальная проработка требований к внедряемой системе, как функциональных (продиктованных особенностями бизнес-процесса), так и нефункциональных, в частности, требований к обеспечению информационной безопасности.Согласно Стандарту Банка России особое внимание должно быть уделено таким требованиям информационной безопасности, как:

• требования по разделению прав доступа к функциям и данным в соответствии с ролевой моделью пользователей (пользовательской группой) и индивидуальными правами пользователей;
• требования по идентификации и аутентификации работающих пользователей системы;
• требования по обеспечению контроля сложности и срока действия паролей в соответствии с действующими нормативными документами банка;
• требования по журналированию действий администраторов и пользователей системы, а также по журналированию изменений данных;
• требования по организации контроля назначений прав доступа и действий пользователей системы.

Также на данном этапе должно быть проконтролировано выполнение требований Политики информационной безопасности организации. При необходимости проект Технического задания может быть дополнен требуемыми положениями.

Этап 3. Технический проект и эксплуатационная документация

Технический проект – это совокупность проектных решений, соответствующих требованиям, изложенным в Техническом задании. Следовательно, на данном этапе необходимо проконтролировать реализацию требований по обеспечению информационной безопасности. Кроме того, для оценки полноты предложенных мер и средств защиты можно провести повторную, низкоуровневую оценку информационных рисков, по результатам которой дополнить Технический проект.

Что касается эксплуатационной документации, то обычно под этим термином понимаются руководства пользователей и администратора.

Помимо указанных документов, должны быть также подготовлены Руководство администратора информационной безопасности (желательно, чтобы это руководство было отдельным документом, а не входило в состав Руководства администратора) и Руководство по использованию средств защиты информации, в особенности средств криптографической защиты информации.

Этап 4. Ввод в действие

Специалисты по информационной безопасности обязательно должны принимать участие во вводе информационной системы в действия, включая ее испытания и опытную эксплуатацию. Эти процессы должны быть организованы так, чтобы минимизировать, а при возможности исключить влияние проводимых работ на продуктивные системы и технологические процессы банка.

Если разработка системы осуществлялась сторонней организацией-подрядчиком, то на этапе испытаний и внедрения системы необходимо обеспечить условия работы подрядчиков на территории банка, без доступа их к ресурсам сети или к информационным ресурсам банка.

Эту задачу удается решить, создав изолированные стенды или выделив отдельные сегменты сети для проведения испытаний, а также разработки и согласования со всеми заинтересованными структурными подразделениями банка документа, который регламентирует условия проведения испытаний, допуска специалистов сторонней организации и обеспечения информационной безопасности в ходе испытаний.

В частности, указанный документ (далее – Условия) может содержать:

• порядок развертывания/свертывания стенда;
• процедуру генерации тестовых данных;
• архитектуру и конфигурацию тестового стенда (включая используемые протоколы, требования к настройкам операционной системы и блокировкам портов);
• перечень разрешенных к использованию съемных носителей и процедуры передачи информации в рамках стенда;
• порядок допуска и работы специалистов банка и сторонней организации-подрядчика на стенде и порядок контроля их действий и т.п.

Условия должны быть согласованы с организацией-подрядчиком, а отраженные в них положения – соответствовать принятой в банке политике информационной безопасности и требованиям законодательства РФ, учитывать положения Стандарта Банка России.

Кроме того, нужно обратить особое внимание на контроль развертывания информационной системы на продуктивной среде. Должны быть приняты все необходимые меры, в том числе и по обеспечению информационной безопасности, для минимизации возможных негативных воздействий на продуктивный ландшафт банка, связанных с внедрением новой информационной системы.

Этап 5. Сопровождение

Во время штатного функционирования системы необходимо поддерживать заданный политикой информационной безопасности или проектной документацией на систему уровень обеспечения информационной безопасности. В частности, на постоянной основе должен осуществляться контроль соответствия прав пользователей в системе перечню прав, указанных в согласованной заявке на доступ, а также контроль действий пользователей и администраторов системы.

Кроме того, должны быть разработаны и введены в действие процедуры по выявлению инцидентов информационной безопасности, по уведомлению об имеющихся инцидентах и проведению их разбора с выявлением причин и устранением последствий. Данные процедуры должны постоянно дополняться и перерабатываться с появлением новых событий, влияющих на информационную безопасность системы.Также должен быть установлен постоянный контроль выполнения указанных процедур всеми задействованными подразделениями банка.

***

Обеспечение информационной безопасности на всех этапах жизненного цикла банковских автоматизированных систем начиная с концептуального проекта и заканчивая сопровождением позволяет минимизировать информационные риски, определить необходимость применения тех или иных защитных мер и средств, условия работы представителей организации-подрядчика на территории банка, обеспечить поддержку заданного уровня информационной безопасности во время всего процесса внедрения и функционирования информационной системы.

Комментарии могут оставлять только зарегистрированные пользователи