От требований – до сопровождения. Как обезопасить информационную систему банка::Журнал СА 10.2010
www.samag.ru
Льготная подписка для студентов      
Поиск   
              
 www.samag.ru    Web  0 товаров , сумма 0 руб.
E-mail
Пароль  
 Запомнить меня
Регистрация | Забыли пароль?
О журнале
Журнал «БИТ»
Подписка
Где купить
Авторам
Рекламодателям
Магазин
Архив номеров
Вакансии
Контакты
   

Jobsora


  Опросы

Какие курсы вы бы выбрали для себя?  

Очные
Онлайновые
Платные
Бесплатные
Я и так все знаю

 Читать далее...

1001 и 1 книга  
28.05.2019г.
Просмотров: 2271
Комментарии: 2
Анализ вредоносных программ

 Читать далее...

28.05.2019г.
Просмотров: 2257
Комментарии: 1
Микросервисы и контейнеры Docker

 Читать далее...

28.05.2019г.
Просмотров: 1805
Комментарии: 0
Django 2 в примерах

 Читать далее...

28.05.2019г.
Просмотров: 1328
Комментарии: 0
Введение в анализ алгоритмов

 Читать далее...

27.03.2019г.
Просмотров: 1853
Комментарии: 1
Arduino Uno и Raspberry Pi 3: от схемотехники к интернету вещей

 Читать далее...

Друзья сайта  

Форум системных администраторов  

sysadmins.ru

 От требований – до сопровождения. Как обезопасить информационную систему банка

Архив номеров / 2010 / Выпуск №10 (95) / От требований – до сопровождения. Как обезопасить информационную систему банка

Рубрика: БИТ. Бизнес & Информационные технологии /  Процедуры и стандарты

Екатерина Лавринова ЕКАТЕРИНА ЛАВРИНОВА, выпускница факультета «Информационная безопасность» МИФИ, главный специалист отдела развития информационной защиты ОАО «Россельхозбанк»

От требований – до сопровождения
Как обезопасить информационную систему банка

Сегодня банки сталкиваются с необходимостью оптимизации расходов на осуществление бизнес-деятельности. В то же время они должны вкладывать средства в развитие банковских процессов для повышения качества предоставляемых сервисов и обслуживания клиентов

В частности, перед банками стоят задачи оптимизации ИТ-инфраструктуры, автоматизации существующих и включения новых технологий и услуг в деятельность банка.

Решить эти задачи можно, создав в банке новые информационные системы. При этом одним из ключевых моментов становится обеспечение информационной безопасности данных систем и соответствующих им технологий. Необходимо найти баланс между внедрением мер по обеспечению информационной защиты, которые позволяют минимизировать информационные, организационные и правовые риски, и возможностью беспрепятственно осуществлять бизнес-процесс, не увеличивая значительно стоимость информационной системы.

Подспорьем для обеспечения информационной безопасности банковских ИТ является комплекс стандартов Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации», в частности, стандарт СТО БР ИББС-1.0 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Основные положения» (далее – Стандарт Банка России).

Основываясь на положениях Стандарта Банка России, рассмотрим процесс обеспечения информационной безопасности применительно ко всем этапам жизненного цикла банковской информационной системы начиная с формирования требований к автоматизированной системе и заканчивая сопровождением (в соответствии с ГОСТ 34.601-90 «Автоматизированные системы. Стадии создания»).

Этап 1. Концептуальное проектирование информационной системы

Цель данного этапа – определить особенности внедряемой системы, исходя из потребностей бизнес-пользователей и требований к организации соответствующего бизнес-процесса. При этом важно оценить целесообразность внедрения новой технологии (системы, бизнес-процесса) с точки зрения ее информационной безопасности.

Чтобы решить задачу, следует сформировать четкую картину бизнес-процесса «как есть» и «как будет», проанализировать влияние вносимых изменений на информационную защищенность банка с помощью высокоуровневой оценки рисков информационной безопасности. Для этого может быть использована «Методика оценки рисков нарушения информационной безопасности» (РС БР ИББС-2.2), предложенная Банком России.

Меры по минимизации полученных рисков (в частности, стоимость и трудозатраты на их реализацию в банке, а также наличие/отсутствие возможности использовать уже имеющиеся средства) и будут индикатором целесообразности внедрения оцененного варианта системы. Необходимо достичь баланса между требованиями бизнеса и информационной безопасностью. Это возможно, в числе прочего, за счет изменения границ автоматизации, видоизменения внедряемого бизнес-процесса, выбора тех или иных средств и мер защиты.

Оценка бизнес-процесса с точки зрения его информационной защищенности на этапе концептуального проектирования позволяет обеспечить прозрачность внедряемых технологий и систем, минимизировать информационные риски и оценить целесообразность применения тех или иных защитных мер и средств.

Этап 2. Техническое задание

В ходе данного этапа проводится детальная проработка требований к внедряемой системе, как функциональных (продиктованных особенностями бизнес-процесса), так и нефункциональных, в частности, требований к обеспечению информационной безопасности.Согласно Стандарту Банка России особое внимание должно быть уделено таким требованиям информационной безопасности, как:

  • требования по разделению прав доступа к функциям и данным в соответствии с ролевой моделью пользователей (пользовательской группой) и индивидуальными правами пользователей;
  • требования по идентификации и аутентификации работающих пользователей системы;
  • требования по обеспечению контроля сложности и срока действия паролей в соответствии с действующими нормативными документами банка;
  • требования по журналированию действий администраторов и пользователей системы, а также по журналированию изменений данных;
  • требования по организации контроля назначений прав доступа и действий пользователей системы.

Также на данном этапе должно быть проконтролировано выполнение требований Политики информационной безопасности организации. При необходимости проект Технического задания может быть дополнен требуемыми положениями.

Этап 3. Технический проект и эксплуатационная документация

Технический проект – это совокупность проектных решений, соответствующих требованиям, изложенным в Техническом задании. Следовательно, на данном этапе необходимо проконтролировать реализацию требований по обеспечению информационной безопасности. Кроме того, для оценки полноты предложенных мер и средств защиты можно провести повторную, низкоуровневую оценку информационных рисков, по результатам которой дополнить Технический проект.

Что касается эксплуатационной документации, то обычно под этим термином понимаются руководства пользователей и администратора.

Помимо указанных документов, должны быть также подготовлены Руководство администратора информационной безопасности (желательно, чтобы это руководство было отдельным документом, а не входило в состав Руководства администратора) и Руководство по использованию средств защиты информации, в особенности средств криптографической защиты информации.

Этап 4. Ввод в действие

Специалисты по информационной безопасности обязательно должны принимать участие во вводе информационной системы в действия, включая ее испытания и опытную эксплуатацию. Эти процессы должны быть организованы так, чтобы минимизировать, а при возможности исключить влияние проводимых работ на продуктивные системы и технологические процессы банка.

Если разработка системы осуществлялась сторонней организацией-подрядчиком, то на этапе испытаний и внедрения системы необходимо обеспечить условия работы подрядчиков на территории банка, без доступа их к ресурсам сети или к информационным ресурсам банка.

Эту задачу удается решить, создав изолированные стенды или выделив отдельные сегменты сети для проведения испытаний, а также разработки и согласования со всеми заинтересованными структурными подразделениями банка документа, который регламентирует условия проведения испытаний, допуска специалистов сторонней организации и обеспечения информационной безопасности в ходе испытаний.

В частности, указанный документ (далее – Условия) может содержать:

  • порядок развертывания/свертывания стенда;
  • процедуру генерации тестовых данных;
  • архитектуру и конфигурацию тестового стенда (включая используемые протоколы, требования к настройкам операционной системы и блокировкам портов);
  • перечень разрешенных к использованию съемных носителей и процедуры передачи информации в рамках стенда;
  • порядок допуска и работы специалистов банка и сторонней организации-подрядчика на стенде и порядок контроля их действий и т.п.

Условия должны быть согласованы с организацией-подрядчиком, а отраженные в них положения – соответствовать принятой в банке политике информационной безопасности и требованиям законодательства РФ, учитывать положения Стандарта Банка России.

Кроме того, нужно обратить особое внимание на контроль развертывания информационной системы на продуктивной среде. Должны быть приняты все необходимые меры, в том числе и по обеспечению информационной безопасности, для минимизации возможных негативных воздействий на продуктивный ландшафт банка, связанных с внедрением новой информационной системы.

Этап 5. Сопровождение

Во время штатного функционирования системы необходимо поддерживать заданный политикой информационной безопасности или проектной документацией на систему уровень обеспечения информационной безопасности. В частности, на постоянной основе должен осуществляться контроль соответствия прав пользователей в системе перечню прав, указанных в согласованной заявке на доступ, а также контроль действий пользователей и администраторов системы.

Кроме того, должны быть разработаны и введены в действие процедуры по выявлению инцидентов информационной безопасности, по уведомлению об имеющихся инцидентах и проведению их разбора с выявлением причин и устранением последствий. Данные процедуры должны постоянно дополняться и перерабатываться с появлением новых событий, влияющих на информационную безопасность системы.Также должен быть установлен постоянный контроль выполнения указанных процедур всеми задействованными подразделениями банка.

***

Обеспечение информационной безопасности на всех этапах жизненного цикла банковских автоматизированных систем начиная с концептуального проекта и заканчивая сопровождением позволяет минимизировать информационные риски, определить необходимость применения тех или иных защитных мер и средств, условия работы представителей организации-подрядчика на территории банка, обеспечить поддержку заданного уровня информационной безопасности во время всего процесса внедрения и функционирования информационной системы.


Комментарии отсутствуют

Добавить комментарий

Комментарии могут оставлять только зарегистрированные пользователи

               Copyright © Системный администратор

Яндекс.Метрика
Tel.: (499) 277-12-41
Fax: (499) 277-12-45
E-mail: sa@samag.ru