Экономное совершенствование
Екатерина ЛАВРИНОВА (ОАО «Россельхозбанк»)
главный специалист управления информационной безопасности
Департамента безопасности
Расходы на информационную защиту при модернизации банками IT-инфраструктуры можно оптимизировать Одним из ключевых моментов в модернизации IT-инфраструктуры является информационная безопасность. Информационная защита минимизирует многочисленные информационные, организационные и правовые риски, среди которых ? разглашение банковской, коммерческой тайны и хищение денежных средств. В то же время меры и средства защиты не должны тормозить работу банков и критически повышать цену обслуживания клиентов.
НАДЁЖНОЕ ПОДСПОРЬЕ
Для банков сохранять конкурентоспособность, повышая качество, эффективность и надежность обслуживания клиентов, немыслимо без модернизации существующих информационных систем. Это стоит денег, равно как и выполнение обязательств по защите прав клиента, которые налагаются стандартами информационной безопасности Банка России, требованиями федерального закона о персональных данных, которые вступают в силу с 1 января 2011 года, а также международными правовыми актами.
Самым надёжным подспорьем для решения этой задачи является комплекс стандартов Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации». В частности ? СТО БР ИББС-1.0 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Основные положения». Он задаёт комплексный подход к обеспечению информационной безопасности на всех этапах банковских автоматизированных систем с использованием и технических средств защиты информации, и организационных мер
Рассмотрим процесс обеспечения информационной безопасности банковской информационной системы с точки зрения требований стандартов Банка России. Исходный пункт ? требования к автоматизированной системе, конечный ? к сопровождению, в соответствии с ГОСТ 34.601-90 «Автоматизированные системы. Стадии создания».
ЭТАП 1: КОНЦЕПТУАЛЬНОЕ ПРОЕКТИРОВАНИЕ
На начальном этапе, исходя из потребностей бизнес-пользователей и требований к организации соответствующего бизнес-процесса, определяются особенности внедряемой системы. Особенно важно учесть влияющие на защищенность системы от различных угроз и воздействий, оценить нововведение с точки зрения ее информационной безопасности.
Первым делом следует сформировать две модели бизнес-процесса, «как есть» и «как будет». Затем ? проанализировать посредством многоуровневой оценки рисков, как изменения повлияют на информационную защищенность банка. Для этого может быть эффективно использована «Методика оценки рисков нарушения информационной безопасности» (РС БР ИББС-2.2), предлагаемая Банком России.
Оценка покажет, в какой степени прогнозируемые риски можно минимизировать при помощи уже имеющихся средств информационной защиты, а в какой ? внедрением новых. Оценка финансовых и трудовых затрат на реализацию предлагаемых мер и средств позволит сделать вывод об эффективности новой схемы обеспечения информационной безопасности. Могут быть скорректированы формат автоматизации, параметры перестройки бизнес-процессов, средств и мер защиты.
ЭТАП 2: ТЕХНИЧЕСКОЕ ЗАДАНИЕ
В ходе разработки технического задания детально прорабатываются требования к внедряемой системе, функциональные как напрямую, вытекающие из особенностей бизнес-процессов, так и косвенно, в частности, информационной защиты. Должны быть учтены следующие требования Стандарта Банка России по информационной безопасности банков:
? разделение прав доступа к данным и функциям в соответствии с ролевой моделью и индивидуальными правами пользователей и пользовательских групп;
? идентификации и аутентификации работающих пользователей системы;
? организация контроля сложности и сроков действия паролей в соответствии с нормативными документами банка;
? ведение журнала действий администраторов, пользователей системы, а также изменений данных;
? организация контроля назначений прав доступа и действий пользователей системы.
Также на данном этапе должно быть проконтролировано выполнение требований политики информационной безопасности организации. Все эти положения должны быть внесены в проект технического задания.
ЭТАП 3: ТЕХПРОЕКТ И ЭКСПЛУАТАЦИОННАЯ ДОКУМЕНТАЦИЯ
Технический проект представляет собой совокупность проектных решений, соответствующих требованиям технического задания. Выполнение требований по обеспечению информационной безопасности должно быть проверено. Оценить полноту предлагаемых мер и средств защиты можно повторной, на этот раз низкоуровневой оценкой информационных рисков. При необходимости ? дополнить технический проект недостающими пунктами.
Под эксплуатационной документацией обычно понимается руководство для пользователей и администратора. Кроме указанных документов, нужно, во-первых, подготовить руководство для администратора информационной безопасности. Желательно, чтобы этот документ был отдельным, а не входил в руководство для администратора. Во-вторых, потребуется создать руководство по использованию средств защиты информации, в особенности, криптографии.
ЭТАП 4: УСТАНОВКА, НАЛАДКА, ПУСК
Специалисты по информационной безопасности обязательно должны принимать личное участие во вводе информационной системы в действие. В том числе в испытаниях и опытной эксплуатации, проведение которых не должно оказывать никакого ощутимого влияния на текущую работу IT-систем банка.
В случае, если система разработана сторонней организацией-подрядчиком, с точки зрения требований информационной безопасности внедрение и испытание на территории банка должны производиться без доступа посторонних к ресурсам сети или к информационным ресурсам банка.
Данная задача решается созданием изолированных стендов или выделением отдельных сегментов сети для испытаний. Условия проведения испытаний, допуска специалистов сторонней организации и обеспечения информационной безопасности регламентируются специальным документом, который разрабатывается и согласуется всеми заинтересованными структурными подразделениями банка.
В частности, такой документ может включать регламентацию:
? порядка развертывания-свертывания стенда;
? процедуры генерации тестовых данных;
? архитектуры и конфигурации тестового стенда (включая протоколы, настройки операционной системы и блокировку портов);
? перечня разрешенных съемных носителей и процедур передачи информации в рамках стенда;
? порядок допуска специалистов банка и сторонней организации-подрядчика к работе на стенде и контроля их действий.
В обязательном порядке регламентация согласуется организацией-подрядчиком, положения документа должны соответствовать политике информационной безопасности банка, требованиям законодательства РФ и учитывать положения Стандарта Банка России. Регламентирующий документ обеспечивает контроль выполнения сотрудниками банка и привлекаемых организаций предписанных процедур при испытаниях и внедрении системы. Следует тщательно контролировать развертывание информационной системы в продуктивной среде, обеспечить информационную безопасность для минимизации риска негативных воздействий.
ЭТАП 5: СОПРОВОЖДЕНИЕ ШТАТНОЙ РАБОТЫ
Обеспечение информационной безопасности требуется на всех этапах их жизненного цикла автоматизированных банковских систем, начиная с концептуального проекта и заканчивая сопровождением функционирования. Функционирование IT-систем банка в штатном режиме требует неуклонного соблюдения уровня обеспечения информационной безопасности, задаваемого политикой информационной безопасности и проектной документацией системы.
В частности, нужен на постоянной основе контроль соответствия соответствия прав действующих пользователей перечню, указанному в согласованной заявке на доступ, действий их и администраторов системы. Должны действовать специально разработанные процедуры выявления инцидентов в сфере информационной безопасности, уведомлений о них, проведению разбора с выявлением их причин и устранением последствий.
Перечень процедур должен регулярно постоянно дополняться и перерабатываться на основании самого свежего опыта. Жизненно важен постоянный контроль выполнения указанных процедур всеми задействованными подразделениями банка.
Постоянная активная информационная защита работы банков минимизирует информационные риски, позволяет правильно выбирать защитные меры и средства, регламентировать порядок работы организации-подрядчика на территории банка. Таким образом, заданный уровень информационной безопасности полностью обеспечивается как в процессе внедрения, так и в период штатного функционирования IT-системы банка.
Источник: BIS-Journal http://www.ib-bank.ru/bis/a/50