www.samag.ru
Журнал «БИТ. Бизнес&Информационные технологии»      
Поиск   
              
 www.samag.ru    Web  0 товаров , сумма 0 руб.
E-mail
Пароль  
 Запомнить меня
Регистрация | Забыли пароль?
Журнал "Системный администратор"
Журнал «БИТ»
Подписка
Архив номеров
Где купить
Авторам
Рекламодателям
Контакты
   

  Опросы
  Статьи

Интеграция Open Source-решений  

Open Source в облачной среде

Облачные решения становятся всё более популярными в мире. Компании стремятся использовать их для

 Читать далее...

Автоматизация  

Нейросеть вам в руки! Как использовать ИИ для автоматизации задач

Использование ИИ для автоматизации задач помогает компании получить конкурентное преимущество, поскольку объединение

 Читать далее...

Рынок труда  

Специалист по этическому ИИ, инженер по квантовым вычислениям или аналитик по метавселенной?

Новые тенденции в развитии ИТ могут привести к возникновению новых специальностей в

 Читать далее...

Книжная полка  

Учитесь убеждать и побеждать

Издательство «БХВ», как всегда, порадовало своих читателей хорошими книжными новинками. Кроме популярных

 Читать далее...

Сетевая инфраструктура  

Как удаленная работа меняет подход к сетевой инфраструктуре?

С увеличением числа сотрудников, работающих из дома, организации сталкиваются с необходимостью создания

 Читать далее...

Мониторинг  

Какой мониторинг нужен сегодня?

По мнению экспертов ГК InfoWatch, действия сотрудников – самая распространенная причина инцидентов

 Читать далее...

Книжная полка  

Руководство для тех, кто увлечен ИИ, программированием. И дизайном

Накануне лета издательство «БХВ» выпустило книжные новинки, от которых любителям чтения будет

 Читать далее...

Мобильные приложения  

Искусственный интеллект в мобильных приложениях: возможности и перспективы

Обзор современных применений ИИ в мобильных приложениях, анализ перспектив развития этой технологии,

 Читать далее...

ИТ-образование  

Как сделать ИТ-образование эффективным?

Эксперты ИТ-отрасли отвечают на вопросы «СА». Обсуждаем ключевые аспекты для улучшения образовательных

 Читать далее...

Work-life balance  

Как айтишнику найти баланс между работой и личной жизнью?

Обсуждаем инструменты для эффективного управления временем, снижения уровня стресса и достижения гармонии. На

 Читать далее...

Книжная полка  

Всё самое нужное – под одной обложкой

Отличительная черта книжных новинок, выпущенных недавно издательством «БХВ» – это их универсальность. Не просто

 Читать далее...

ИТ-инфраструктура  

Системы мониторинга ИТ-инфраструктуры-2025

Без мониторинга ИТ-инфраструктуры не обходится ни одна компания, хотя бы потому, что

 Читать далее...

Открытое ПО  

Безопасность Open Source: рискуем или контролируем?

Компания «Кросс технолоджис» изучила, как используется ПО с открытым кодом в компаниях

 Читать далее...

Работа с нейросетью  

Скажи, есть ли у тебя AI, и я скажу, кто ты

Недавно сервис по поиску работы SuperJob выяснил, что каждый второй россиянин уже

 Читать далее...

1001 и 1 книга  
19.03.2018г.
Просмотров: 9423
Комментарии: 0
Машинное обучение с использованием библиотеки Н2О

 Читать далее...

12.03.2018г.
Просмотров: 9654
Комментарии: 0
Особенности киберпреступлений в России: инструменты нападения и защита информации

 Читать далее...

12.03.2018г.
Просмотров: 7064
Комментарии: 0
Глубокое обучение с точки зрения практика

 Читать далее...

12.03.2018г.
Просмотров: 4409
Комментарии: 0
Изучаем pandas

 Читать далее...

12.03.2018г.
Просмотров: 5195
Комментарии: 0
Программирование на языке Rust (Цветное издание)

 Читать далее...

19.12.2017г.
Просмотров: 5196
Комментарии: 0
Глубокое обучение

 Читать далее...

19.12.2017г.
Просмотров: 7864
Комментарии: 0
Анализ социальных медиа на Python

 Читать далее...

19.12.2017г.
Просмотров: 4564
Комментарии: 0
Основы блокчейна

 Читать далее...

19.12.2017г.
Просмотров: 4824
Комментарии: 0
Java 9. Полный обзор нововведений

 Читать далее...

16.02.2017г.
Просмотров: 8819
Комментарии: 0
Опоздавших не бывает, или книга о стеке

 Читать далее...

17.05.2016г.
Просмотров: 12248
Комментарии: 0
Теория вычислений для программистов

 Читать далее...

30.03.2015г.
Просмотров: 13830
Комментарии: 0
От математики к обобщенному программированию

 Читать далее...

18.02.2014г.
Просмотров: 15600
Комментарии: 0
Рецензия на книгу «Читаем Тьюринга»

 Читать далее...

13.02.2014г.
Просмотров: 10463
Комментарии: 0
Читайте, размышляйте, действуйте

 Читать далее...

12.02.2014г.
Просмотров: 8489
Комментарии: 0
Рисуем наши мысли

 Читать далее...

10.02.2014г.
Просмотров: 6726
Комментарии: 4
Страна в цифрах

 Читать далее...

18.12.2013г.
Просмотров: 5870
Комментарии: 0
Большие данные меняют нашу жизнь

 Читать далее...

18.12.2013г.
Просмотров: 4719
Комментарии: 0
Компьютерные технологии – корень зла для точки роста

 Читать далее...

04.12.2013г.
Просмотров: 4440
Комментарии: 0
Паутина в облаках

 Читать далее...

03.12.2013г.
Просмотров: 4654
Комментарии: 1
Рецензия на книгу «MongoDB в действии»

 Читать далее...

Друзья сайта  

 От требований – до сопровождения. Как обезопасить информационную систему банка

Архив номеров / 2010 / Выпуск №10 (95) / От требований – до сопровождения. Как обезопасить информационную систему банка

Рубрика: БИТ. Бизнес & Информационные технологии /  Процедуры и стандарты

Екатерина Лавринова ЕКАТЕРИНА ЛАВРИНОВА, выпускница факультета «Информационная безопасность» МИФИ, главный специалист отдела развития информационной защиты ОАО «Россельхозбанк»

От требований – до сопровождения
Как обезопасить информационную систему банка

Сегодня банки сталкиваются с необходимостью оптимизации расходов на осуществление бизнес-деятельности. В то же время они должны вкладывать средства в развитие банковских процессов для повышения качества предоставляемых сервисов и обслуживания клиентов

В частности, перед банками стоят задачи оптимизации ИТ-инфраструктуры, автоматизации существующих и включения новых технологий и услуг в деятельность банка.

Решить эти задачи можно, создав в банке новые информационные системы. При этом одним из ключевых моментов становится обеспечение информационной безопасности данных систем и соответствующих им технологий. Необходимо найти баланс между внедрением мер по обеспечению информационной защиты, которые позволяют минимизировать информационные, организационные и правовые риски, и возможностью беспрепятственно осуществлять бизнес-процесс, не увеличивая значительно стоимость информационной системы.

Подспорьем для обеспечения информационной безопасности банковских ИТ является комплекс стандартов Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации», в частности, стандарт СТО БР ИББС-1.0 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Основные положения» (далее – Стандарт Банка России).

Основываясь на положениях Стандарта Банка России, рассмотрим процесс обеспечения информационной безопасности применительно ко всем этапам жизненного цикла банковской информационной системы начиная с формирования требований к автоматизированной системе и заканчивая сопровождением (в соответствии с ГОСТ 34.601-90 «Автоматизированные системы. Стадии создания»).

Этап 1. Концептуальное проектирование информационной системы

Цель данного этапа – определить особенности внедряемой системы, исходя из потребностей бизнес-пользователей и требований к организации соответствующего бизнес-процесса. При этом важно оценить целесообразность внедрения новой технологии (системы, бизнес-процесса) с точки зрения ее информационной безопасности.

Чтобы решить задачу, следует сформировать четкую картину бизнес-процесса «как есть» и «как будет», проанализировать влияние вносимых изменений на информационную защищенность банка с помощью высокоуровневой оценки рисков информационной безопасности. Для этого может быть использована «Методика оценки рисков нарушения информационной безопасности» (РС БР ИББС-2.2), предложенная Банком России.

Меры по минимизации полученных рисков (в частности, стоимость и трудозатраты на их реализацию в банке, а также наличие/отсутствие возможности использовать уже имеющиеся средства) и будут индикатором целесообразности внедрения оцененного варианта системы. Необходимо достичь баланса между требованиями бизнеса и информационной безопасностью. Это возможно, в числе прочего, за счет изменения границ автоматизации, видоизменения внедряемого бизнес-процесса, выбора тех или иных средств и мер защиты.

Оценка бизнес-процесса с точки зрения его информационной защищенности на этапе концептуального проектирования позволяет обеспечить прозрачность внедряемых технологий и систем, минимизировать информационные риски и оценить целесообразность применения тех или иных защитных мер и средств.

Этап 2. Техническое задание

В ходе данного этапа проводится детальная проработка требований к внедряемой системе, как функциональных (продиктованных особенностями бизнес-процесса), так и нефункциональных, в частности, требований к обеспечению информационной безопасности.Согласно Стандарту Банка России особое внимание должно быть уделено таким требованиям информационной безопасности, как:

  • требования по разделению прав доступа к функциям и данным в соответствии с ролевой моделью пользователей (пользовательской группой) и индивидуальными правами пользователей;
  • требования по идентификации и аутентификации работающих пользователей системы;
  • требования по обеспечению контроля сложности и срока действия паролей в соответствии с действующими нормативными документами банка;
  • требования по журналированию действий администраторов и пользователей системы, а также по журналированию изменений данных;
  • требования по организации контроля назначений прав доступа и действий пользователей системы.

Также на данном этапе должно быть проконтролировано выполнение требований Политики информационной безопасности организации. При необходимости проект Технического задания может быть дополнен требуемыми положениями.

Этап 3. Технический проект и эксплуатационная документация

Технический проект – это совокупность проектных решений, соответствующих требованиям, изложенным в Техническом задании. Следовательно, на данном этапе необходимо проконтролировать реализацию требований по обеспечению информационной безопасности. Кроме того, для оценки полноты предложенных мер и средств защиты можно провести повторную, низкоуровневую оценку информационных рисков, по результатам которой дополнить Технический проект.

Что касается эксплуатационной документации, то обычно под этим термином понимаются руководства пользователей и администратора.

Помимо указанных документов, должны быть также подготовлены Руководство администратора информационной безопасности (желательно, чтобы это руководство было отдельным документом, а не входило в состав Руководства администратора) и Руководство по использованию средств защиты информации, в особенности средств криптографической защиты информации.

Этап 4. Ввод в действие

Специалисты по информационной безопасности обязательно должны принимать участие во вводе информационной системы в действия, включая ее испытания и опытную эксплуатацию. Эти процессы должны быть организованы так, чтобы минимизировать, а при возможности исключить влияние проводимых работ на продуктивные системы и технологические процессы банка.

Если разработка системы осуществлялась сторонней организацией-подрядчиком, то на этапе испытаний и внедрения системы необходимо обеспечить условия работы подрядчиков на территории банка, без доступа их к ресурсам сети или к информационным ресурсам банка.

Эту задачу удается решить, создав изолированные стенды или выделив отдельные сегменты сети для проведения испытаний, а также разработки и согласования со всеми заинтересованными структурными подразделениями банка документа, который регламентирует условия проведения испытаний, допуска специалистов сторонней организации и обеспечения информационной безопасности в ходе испытаний.

В частности, указанный документ (далее – Условия) может содержать:

  • порядок развертывания/свертывания стенда;
  • процедуру генерации тестовых данных;
  • архитектуру и конфигурацию тестового стенда (включая используемые протоколы, требования к настройкам операционной системы и блокировкам портов);
  • перечень разрешенных к использованию съемных носителей и процедуры передачи информации в рамках стенда;
  • порядок допуска и работы специалистов банка и сторонней организации-подрядчика на стенде и порядок контроля их действий и т.п.

Условия должны быть согласованы с организацией-подрядчиком, а отраженные в них положения – соответствовать принятой в банке политике информационной безопасности и требованиям законодательства РФ, учитывать положения Стандарта Банка России.

Кроме того, нужно обратить особое внимание на контроль развертывания информационной системы на продуктивной среде. Должны быть приняты все необходимые меры, в том числе и по обеспечению информационной безопасности, для минимизации возможных негативных воздействий на продуктивный ландшафт банка, связанных с внедрением новой информационной системы.

Этап 5. Сопровождение

Во время штатного функционирования системы необходимо поддерживать заданный политикой информационной безопасности или проектной документацией на систему уровень обеспечения информационной безопасности. В частности, на постоянной основе должен осуществляться контроль соответствия прав пользователей в системе перечню прав, указанных в согласованной заявке на доступ, а также контроль действий пользователей и администраторов системы.

Кроме того, должны быть разработаны и введены в действие процедуры по выявлению инцидентов информационной безопасности, по уведомлению об имеющихся инцидентах и проведению их разбора с выявлением причин и устранением последствий. Данные процедуры должны постоянно дополняться и перерабатываться с появлением новых событий, влияющих на информационную безопасность системы.Также должен быть установлен постоянный контроль выполнения указанных процедур всеми задействованными подразделениями банка.

***

Обеспечение информационной безопасности на всех этапах жизненного цикла банковских автоматизированных систем начиная с концептуального проекта и заканчивая сопровождением позволяет минимизировать информационные риски, определить необходимость применения тех или иных защитных мер и средств, условия работы представителей организации-подрядчика на территории банка, обеспечить поддержку заданного уровня информационной безопасности во время всего процесса внедрения и функционирования информационной системы.


Комментарии отсутствуют

Добавить комментарий

Комментарии могут оставлять только зарегистрированные пользователи

               Copyright © Системный администратор

Яндекс.Метрика
Tel.: (499) 277-12-45
E-mail: sa@samag.ru