От требований – до сопровождения. Как обезопасить информационную систему банка::БИТ 01.2010
 
                 
Поиск по сайту
 bit.samag.ru     Web
Рассылка Subscribe.ru
подписаться письмом
Вход в систему
 Запомнить меня
Регистрация
Забыли пароль?

Календарь мероприятий
май    2024
Пн
Вт
Ср
Чт
Пт
Сб
Вс
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31

показать все 

Новости партнеров

27.04.2024

RAMAX Group рассказала на Smart Mining & Metals об особенностях пилотирования ML-проектов

Читать далее 

22.04.2024

Сообщество цифровых управленцев «я-ИТ-ы» проводит ЗАКРЫТУЮ встречу в рамках выставки «Связь-2024»!

Читать далее 

18.04.2024

Ассоциация разработчиков «Отечественный софт» отметила 15-летие

Читать далее 

17.04.2024

РДТЕХ представил Технологическую карту российского ПО 2023

Читать далее 

показать все 

Статьи

19.05.2024

«Лишние люди» в бизнесе

Читать далее 

18.04.2024

5 способов повысить безопасность электронной подписи

Читать далее 

18.04.2024

Как искусственный интеллект изменит экономику

Читать далее 

18.04.2024

Неочевидный САПР: выход ПО за рамки конструкторской деятельности

Читать далее 

18.04.2024

Скоро некому будет делать сайты и заниматься версткой

Читать далее 

18.04.2024

Цифровая трансформация в энергетике: как запустить проект с максимальным финансовым эффектом?

Читать далее 

05.04.2024

Мотивируй, не то проиграешь!

Читать далее 

22.03.2024

В 2024 году в России и мире вырастут объемы применения AR/VR 

Читать далее 

25.02.2024

Цифровые технологии: надежды и риски

Читать далее 

05.02.2024

Будут ли востребованы услуги технической поддержки софта Oracle в России в ближайшие годы?  

Читать далее 

показать все 

От требований – до сопровождения. Как обезопасить информационную систему банка

Главная / Архив номеров / 2010 / Выпуск №1 (1) / От требований – до сопровождения. Как обезопасить информационную систему банка

Рубрика: Процедуры и стандарты


 Екатерина Лавриновавыпускница факультета «Информационная безопасность» МИФИ, главный специалист отдела развития информационной защиты ОАО «Россельхозбанк»

От требований – до сопровождения
Как обезопасить информационную систему банка

Сегодня банки сталкиваются с необходимостью оптимизации расходов на осуществление бизнес-деятельности. В то же время они должны вкладывать средства в развитие банковских процессов для повышения качества предоставляемых сервисов и обслуживания клиентов.

В частности, перед банками стоят задачи оптимизации ИТ-инфраструктуры, автоматизации существующих и включения новых технологий и услуг в деятельность банка.

Решить эти задачи можно, создав в банке новые информационные системы. При этом одним из ключевых моментов становится обеспечение информационной безопасности данных систем и соответствующих им технологий. Необходимо найти баланс между внедрением мер по обеспечению информационной защиты, которые позволяют минимизировать информационные, организационные и правовые риски, и возможностью беспрепятственно осуществлять бизнес-процесс, не увеличивая значительно стоимость информационной системы.

Подспорьем для обеспечения информационной безопасности банковских ИТ является комплекс стандартов Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации», в частности, стандарт СТО БР ИББС-1.0 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Основные положения» (далее – Стандарт Банка России).

Основываясь на положениях Стандарта Банка России, рассмотрим процесс обеспечения информационной безопасности применительно ко всем этапам жизненного цикла банковской информационной системы начиная с формирования требований к автоматизированной системе и заканчивая сопровождением (в соответствии с ГОСТ 34.601-90 «Автоматизированные системы. Стадии создания»).

Этап 1. Концептуальное проектирование информационной системы

Цель данного этапа – определить особенности внедряемой системы, исходя из потребностей бизнес-пользователей и требований к организации соответствующего бизнес-процесса. При этом важно оценить целесообразность внедрения новой технологии (системы, бизнес-процесса) с точки зрения ее информационной безопасности.

Чтобы решить задачу, следует сформировать четкую картину бизнес-процесса «как есть» и «как будет», проанализировать влияние вносимых изменений на информационную защищенность банка с помощью высокоуровневой оценки рисков информационной безопасности. Для этого может быть использована «Методика оценки рисков нарушения информационной безопасности» (РС БР ИББС-2.2), предложенная Банком России.

Меры по минимизации полученных рисков (в частности, стоимость и трудозатраты на их реализацию в банке, а также наличие/отсутствие возможности использовать уже имеющиеся средства) и будут индикатором целесообразности внедрения оцененного варианта системы. Необходимо достичь баланса между требованиями бизнеса и информационной безопасностью. Это возможно, в числе прочего, за счет изменения границ автоматизации, видоизменения внедряемого бизнес-процесса, выбора тех или иных средств и мер защиты.

Оценка бизнес-процесса с точки зрения его информационной защищенности на этапе концептуального проектирования позволяет обеспечить прозрачность внедряемых технологий и систем, минимизировать информационные риски и оценить целесообразность применения тех или иных защитных мер и средств.

Этап 2. Техническое задание

В ходе данного этапа проводится детальная проработка требований к внедряемой системе, как функциональных (продиктованных особенностями бизнес-процесса), так и нефункциональных, в частности, требований к обеспечению информационной безопасности.Согласно Стандарту Банка России особое внимание должно быть уделено таким требованиям информационной безопасности, как:

  • требования по разделению прав доступа к функциям и данным в соответствии с ролевой моделью пользователей (пользовательской группой) и индивидуальными правами пользователей;
  • требования по идентификации и аутентификации работающих пользователей системы;
  • требования по обеспечению контроля сложности и срока действия паролей в соответствии с действующими нормативными документами банка;
  • требования по журналированию действий администраторов и пользователей системы, а также по журналированию изменений данных;
  • требования по организации контроля назначений прав доступа и действий пользователей системы.

Также на данном этапе должно быть проконтролировано выполнение требований Политики информационной безопасности организации. При необходимости проект Технического задания может быть дополнен требуемыми положениями.

Этап 3. Технический проект и эксплуатационная документация

Технический проект – это совокупность проектных решений, соответствующих требованиям, изложенным в Техническом задании. Следовательно, на данном этапе необходимо проконтролировать реализацию требований по обеспечению информационной безопасности. Кроме того, для оценки полноты предложенных мер и средств защиты можно провести повторную, низкоуровневую оценку информационных рисков, по результатам которой дополнить Технический проект.

Что касается эксплуатационной документации, то обычно под этим термином понимаются руководства пользователей и администратора.

Помимо указанных документов, должны быть также подготовлены Руководство администратора информационной безопасности (желательно, чтобы это руководство было отдельным документом, а не входило в состав Руководства администратора) и Руководство по использованию средств защиты информации, в особенности средств криптографической защиты информации.

Этап 4. Ввод в действие

Специалисты по информационной безопасности обязательно должны принимать участие во вводе информационной системы в действия, включая ее испытания и опытную эксплуатацию. Эти процессы должны быть организованы так, чтобы минимизировать, а при возможности исключить влияние проводимых работ на продуктивные системы и технологические процессы банка.

Если разработка системы осуществлялась сторонней организацией-подрядчиком, то на этапе испытаний и внедрения системы необходимо обеспечить условия работы подрядчиков на территории банка, без доступа их к ресурсам сети или к информационным ресурсам банка.

Эту задачу удается решить, создав изолированные стенды или выделив отдельные сегменты сети для проведения испытаний, а также разработки и согласования со всеми заинтересованными структурными подразделениями банка документа, который регламентирует условия проведения испытаний, допуска специалистов сторонней организации и обеспечения информационной безопасности в ходе испытаний.

В частности, указанный документ (далее – Условия) может содержать:

  • порядок развертывания/свертывания стенда;
  • процедуру генерации тестовых данных;
  • архитектуру и конфигурацию тестового стенда (включая используемые протоколы, требования к настройкам операционной системы и блокировкам портов);
  • перечень разрешенных к использованию съемных носителей и процедуры передачи информации в рамках стенда;
  • порядок допуска и работы специалистов банка и сторонней организации-подрядчика на стенде и порядок контроля их действий и т.п.

Условия должны быть согласованы с организацией-подрядчиком, а отраженные в них положения – соответствовать принятой в банке политике информационной безопасности и требованиям законодательства РФ, учитывать положения Стандарта Банка России.

Кроме того, нужно обратить особое внимание на контроль развертывания информационной системы на продуктивной среде. Должны быть приняты все необходимые меры, в том числе и по обеспечению информационной безопасности, для минимизации возможных негативных воздействий на продуктивный ландшафт банка, связанных с внедрением новой информационной системы.

Этап 5. Сопровождение

Во время штатного функционирования системы необходимо поддерживать заданный политикой информационной безопасности или проектной документацией на систему уровень обеспечения информационной безопасности. В частности, на постоянной основе должен осуществляться контроль соответствия прав пользователей в системе перечню прав, указанных в согласованной заявке на доступ, а также контроль действий пользователей и администраторов системы.

Кроме того, должны быть разработаны и введены в действие процедуры по выявлению инцидентов информационной безопасности, по уведомлению об имеющихся инцидентах и проведению их разбора с выявлением причин и устранением последствий. Данные процедуры должны постоянно дополняться и перерабатываться с появлением новых событий, влияющих на информационную безопасность системы.Также должен быть установлен постоянный контроль выполнения указанных процедур всеми задействованными подразделениями банка.

***

Обеспечение информационной безопасности на всех этапах жизненного цикла банковских автоматизированных систем начиная с концептуального проекта и заканчивая сопровождением позволяет минимизировать информационные риски, определить необходимость применения тех или иных защитных мер и средств, условия работы представителей организации-подрядчика на территории банка, обеспечить поддержку заданного уровня информационной безопасности во время всего процесса внедрения и функционирования информационной системы.

В начало⇑

 

Комментарии отсутствуют

Комментарии могут отставлять только зарегистрированные пользователи

Выпуск №03 (136) 2024г.
Выпуск №03 (136) 2024г. Выпуск №02 (135) 2024г. Выпуск №01 (134) 2024г.
Вакансии на сайте Jooble

           

Tel.: (499) 277-12-41  Fax: (499) 277-12-45  E-mail: sa@samag.ru

 

Copyright © Системный администратор

  Яндекс.Метрика