От требований – до сопровождения. Как обезопасить информационную систему банка::БИТ 01.2010
 
                 
Поиск по сайту
 bit.samag.ru     Web
Рассылка Subscribe.ru
подписаться письмом
Вход в систему
 Запомнить меня
Регистрация
Забыли пароль?

Календарь мероприятий
декабрь    2023
Пн
Вт
Ср
Чт
Пт
Сб
Вс
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31

показать все 

Новости партнеров

05.12.2023

Ассоциация «Цифровой транспорт и логистика» предлагает выпустить серию почтовых марок о беспилотном транспорте

Читать далее 

01.12.2023

X Международный конгресс SMART RUSSIA

Читать далее 

27.11.2023

В Москве наградили победителей Международного хакатона по искусственному интеллекту 

Читать далее 

27.11.2023

Названы лучшие сайты и приложения по версии Рейтинга Рунета-2023

Читать далее 

показать все 

Статьи

21.11.2023

Как вы оцениваете развитие инфраструктурного ПО в России?

Читать далее 

22.09.2023

Эпоха российской ориентации на Запад в сфере программного обеспечения завершилась

Читать далее 

22.09.2023

Сладкая жизнь

Читать далее 

22.09.2023

12 бизнес-концепций, которыми должны овладеть ИТ-руководители

Читать далее 

22.09.2023

Проще, чем кажется. Эталонная модель документооборота или краткое руководство по цифровой трансформации

Читать далее 

22.09.2023

Какие hard skills вам нужны?

Читать далее 

22.09.2023

Какие hard skills вам нужны?

Читать далее 

25.07.2023

Как изменится ИТ-мир через 35 лет?

Читать далее 

25.07.2023

Тотальный контроль или разумная опека?

Читать далее 

03.07.2023

Property technologies: тренды и инновации

Читать далее 

показать все 

От требований – до сопровождения. Как обезопасить информационную систему банка

Главная / Архив номеров / 2010 / Выпуск №1 (1) / От требований – до сопровождения. Как обезопасить информационную систему банка

Рубрика: Процедуры и стандарты


 Екатерина Лавриновавыпускница факультета «Информационная безопасность» МИФИ, главный специалист отдела развития информационной защиты ОАО «Россельхозбанк»

От требований – до сопровождения
Как обезопасить информационную систему банка

Сегодня банки сталкиваются с необходимостью оптимизации расходов на осуществление бизнес-деятельности. В то же время они должны вкладывать средства в развитие банковских процессов для повышения качества предоставляемых сервисов и обслуживания клиентов.

В частности, перед банками стоят задачи оптимизации ИТ-инфраструктуры, автоматизации существующих и включения новых технологий и услуг в деятельность банка.

Решить эти задачи можно, создав в банке новые информационные системы. При этом одним из ключевых моментов становится обеспечение информационной безопасности данных систем и соответствующих им технологий. Необходимо найти баланс между внедрением мер по обеспечению информационной защиты, которые позволяют минимизировать информационные, организационные и правовые риски, и возможностью беспрепятственно осуществлять бизнес-процесс, не увеличивая значительно стоимость информационной системы.

Подспорьем для обеспечения информационной безопасности банковских ИТ является комплекс стандартов Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации», в частности, стандарт СТО БР ИББС-1.0 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Основные положения» (далее – Стандарт Банка России).

Основываясь на положениях Стандарта Банка России, рассмотрим процесс обеспечения информационной безопасности применительно ко всем этапам жизненного цикла банковской информационной системы начиная с формирования требований к автоматизированной системе и заканчивая сопровождением (в соответствии с ГОСТ 34.601-90 «Автоматизированные системы. Стадии создания»).

Этап 1. Концептуальное проектирование информационной системы

Цель данного этапа – определить особенности внедряемой системы, исходя из потребностей бизнес-пользователей и требований к организации соответствующего бизнес-процесса. При этом важно оценить целесообразность внедрения новой технологии (системы, бизнес-процесса) с точки зрения ее информационной безопасности.

Чтобы решить задачу, следует сформировать четкую картину бизнес-процесса «как есть» и «как будет», проанализировать влияние вносимых изменений на информационную защищенность банка с помощью высокоуровневой оценки рисков информационной безопасности. Для этого может быть использована «Методика оценки рисков нарушения информационной безопасности» (РС БР ИББС-2.2), предложенная Банком России.

Меры по минимизации полученных рисков (в частности, стоимость и трудозатраты на их реализацию в банке, а также наличие/отсутствие возможности использовать уже имеющиеся средства) и будут индикатором целесообразности внедрения оцененного варианта системы. Необходимо достичь баланса между требованиями бизнеса и информационной безопасностью. Это возможно, в числе прочего, за счет изменения границ автоматизации, видоизменения внедряемого бизнес-процесса, выбора тех или иных средств и мер защиты.

Оценка бизнес-процесса с точки зрения его информационной защищенности на этапе концептуального проектирования позволяет обеспечить прозрачность внедряемых технологий и систем, минимизировать информационные риски и оценить целесообразность применения тех или иных защитных мер и средств.

Этап 2. Техническое задание

В ходе данного этапа проводится детальная проработка требований к внедряемой системе, как функциональных (продиктованных особенностями бизнес-процесса), так и нефункциональных, в частности, требований к обеспечению информационной безопасности.Согласно Стандарту Банка России особое внимание должно быть уделено таким требованиям информационной безопасности, как:

  • требования по разделению прав доступа к функциям и данным в соответствии с ролевой моделью пользователей (пользовательской группой) и индивидуальными правами пользователей;
  • требования по идентификации и аутентификации работающих пользователей системы;
  • требования по обеспечению контроля сложности и срока действия паролей в соответствии с действующими нормативными документами банка;
  • требования по журналированию действий администраторов и пользователей системы, а также по журналированию изменений данных;
  • требования по организации контроля назначений прав доступа и действий пользователей системы.

Также на данном этапе должно быть проконтролировано выполнение требований Политики информационной безопасности организации. При необходимости проект Технического задания может быть дополнен требуемыми положениями.

Этап 3. Технический проект и эксплуатационная документация

Технический проект – это совокупность проектных решений, соответствующих требованиям, изложенным в Техническом задании. Следовательно, на данном этапе необходимо проконтролировать реализацию требований по обеспечению информационной безопасности. Кроме того, для оценки полноты предложенных мер и средств защиты можно провести повторную, низкоуровневую оценку информационных рисков, по результатам которой дополнить Технический проект.

Что касается эксплуатационной документации, то обычно под этим термином понимаются руководства пользователей и администратора.

Помимо указанных документов, должны быть также подготовлены Руководство администратора информационной безопасности (желательно, чтобы это руководство было отдельным документом, а не входило в состав Руководства администратора) и Руководство по использованию средств защиты информации, в особенности средств криптографической защиты информации.

Этап 4. Ввод в действие

Специалисты по информационной безопасности обязательно должны принимать участие во вводе информационной системы в действия, включая ее испытания и опытную эксплуатацию. Эти процессы должны быть организованы так, чтобы минимизировать, а при возможности исключить влияние проводимых работ на продуктивные системы и технологические процессы банка.

Если разработка системы осуществлялась сторонней организацией-подрядчиком, то на этапе испытаний и внедрения системы необходимо обеспечить условия работы подрядчиков на территории банка, без доступа их к ресурсам сети или к информационным ресурсам банка.

Эту задачу удается решить, создав изолированные стенды или выделив отдельные сегменты сети для проведения испытаний, а также разработки и согласования со всеми заинтересованными структурными подразделениями банка документа, который регламентирует условия проведения испытаний, допуска специалистов сторонней организации и обеспечения информационной безопасности в ходе испытаний.

В частности, указанный документ (далее – Условия) может содержать:

  • порядок развертывания/свертывания стенда;
  • процедуру генерации тестовых данных;
  • архитектуру и конфигурацию тестового стенда (включая используемые протоколы, требования к настройкам операционной системы и блокировкам портов);
  • перечень разрешенных к использованию съемных носителей и процедуры передачи информации в рамках стенда;
  • порядок допуска и работы специалистов банка и сторонней организации-подрядчика на стенде и порядок контроля их действий и т.п.

Условия должны быть согласованы с организацией-подрядчиком, а отраженные в них положения – соответствовать принятой в банке политике информационной безопасности и требованиям законодательства РФ, учитывать положения Стандарта Банка России.

Кроме того, нужно обратить особое внимание на контроль развертывания информационной системы на продуктивной среде. Должны быть приняты все необходимые меры, в том числе и по обеспечению информационной безопасности, для минимизации возможных негативных воздействий на продуктивный ландшафт банка, связанных с внедрением новой информационной системы.

Этап 5. Сопровождение

Во время штатного функционирования системы необходимо поддерживать заданный политикой информационной безопасности или проектной документацией на систему уровень обеспечения информационной безопасности. В частности, на постоянной основе должен осуществляться контроль соответствия прав пользователей в системе перечню прав, указанных в согласованной заявке на доступ, а также контроль действий пользователей и администраторов системы.

Кроме того, должны быть разработаны и введены в действие процедуры по выявлению инцидентов информационной безопасности, по уведомлению об имеющихся инцидентах и проведению их разбора с выявлением причин и устранением последствий. Данные процедуры должны постоянно дополняться и перерабатываться с появлением новых событий, влияющих на информационную безопасность системы.Также должен быть установлен постоянный контроль выполнения указанных процедур всеми задействованными подразделениями банка.

***

Обеспечение информационной безопасности на всех этапах жизненного цикла банковских автоматизированных систем начиная с концептуального проекта и заканчивая сопровождением позволяет минимизировать информационные риски, определить необходимость применения тех или иных защитных мер и средств, условия работы представителей организации-подрядчика на территории банка, обеспечить поддержку заданного уровня информационной безопасности во время всего процесса внедрения и функционирования информационной системы.

В начало⇑

 

Комментарии отсутствуют

Комментарии могут отставлять только зарегистрированные пользователи

Выпуск №08 (131) 2023г.
Выпуск №08 (131) 2023г. Выпуск №7 (130) 2023г. Выпуск №6 (129) 2023г. Выпуск №5 (128) 2023г. Выпуск №4 (127) 2023г. Выпуск №3 (126) 2023г. Выпуск №2 (125) 2023г. Выпуск №1 (124) 2023г.
Вакансии на сайте Jooble

           

Tel.: (499) 277-12-41  Fax: (499) 277-12-45  E-mail: sa@samag.ru

 

Copyright © Системный администратор

  Яндекс.Метрика