Основным компонентом защиты информации является «Политика информационной безопасности МОРСКОГО АКЦИОНЕРНОГО БАНКА», представляющая свод правил и положений, определяющих средства и способы обеспечения защиты при обработке информации в автоматизированных системах и сетях различного назначения, используемых в Банке. В Политику включаются следующие этапы работ:
- оценка существующего программно-аппаратного обеспечения;
- монтаж и наладка систем безопасности;
- приобретение дополнительных программно-технических средств;
- обучение пользователей и персонала, обслуживающего систему;
- тестирование системы безопасности, проверка эффективности средств защиты.
Основной целью обеспечения информационной безопасности является защита информационно-вычислительных систем Банка и отдельных ее компонентов от воздействия факторов риска, а также минимизация воздействий от них. Законом "Об информации, информатизации и защите информации" вводится обязательное применение сертифицированных отечественных программно-аппаратных средств защиты информации. Поставщики средств должны иметь необходимые лицензии на распространение продукции и обслуживание, а также иные лицензии в соответствии с законодательством РФ.
Информационная безопасность реализуется с помощью средств защиты и управления защитой, контроля и регистрации, обеспечения безотказной работы и восстановления систем и сетей. Предотвращение кризисных ситуаций осуществляется средствами защиты, предохраняющими уязвимые места систем от воздействия факторов риска. В случае возникновения кризисных ситуаций, предотвращение которых средствами защиты невозможно, работа систем осуществляется по «Плану обеспечения безотказной работы и восстановления сетей и систем МОРСКОГО АКЦИОНЕРНОГО БАНКА».
Информационная безопасность достигается путем:
1.Предотвращения кризисных ситуаций, способных нанести ущерб программным и аппаратным средствам, информации, а также персоналу;
2.Минимизации ущерба и быстрейшего восстановления программных и аппаратных средств, информации, пострадавших в результате кризисных ситуаций, расследование причин и принятие соответствующих мер.
Меры по созданию режима защиты информационных ресурсов подразделяются на технические и организационно-правовые. При осуществлении технических мер применяются следующие средства защиты автоматизированных систем.
1.Средства контроля доступа и назначения полномочий:
-средства контроля доступа в помещения;
-средства идентификации и аутентификации при доступе к подсистемам программно-технических средств коллективного пользования;
-средства контроля доступа к серверам;
-средства контроля доступа к сети передачи данных;
-средства защиты на уровне ПК;
-средства протоколирования действий пользователей и обслуживающего персонала в системе.
2.Средства криптографической защиты информации (СКЗИ), применяемые для связи с внешними платежными и торговыми системами, а так же для связи с клиентами.
3.Средства защиты от утечки информации по каналам электромагнитного излучения с использованием внедренных технических устройств.
Перечисленные средства необходимо использовать с учетом следующих базовых принципов:
- все элементы системы Банка должны быть разделены на «контуры защиты». Защита организуется внутри контура и между ними. Суть этого принципа заключается в том, что информация определенной категории сосредоточена внутри контура, а вход и выход за пределы контура контролируются;
- каждый пользователь должен иметь минимум полномочий, необходимых и достаточных для решения своих задач. Применение данного принципа сводит к минимуму возможность НСД и облегчает расследование нарушений и фактов проникновения.
К организационно-правовым мероприятиям следует отнести наряду с общими обязательствами по сохранению коммерческой тайны, подписание специального обязательства о правилах пользования компьютерными сетями Банка. Оно должно включать следующие положения:
- использование нематериальных активов Банка только в производственных интересах;
- ограничение передачи коммерческой информации по внешним коммуникационным сетям;
- добровольное согласие на автоматизированный контроль внешних коммуникаций.
Отдельно оговариваются права на использование сотрудником лицензируемых продуктов, приобретаемых Банком, и обязательства по порядку их использования и нераспространения.
Система санкционированного доступа в помещения, отнесённые к «зонам безопасности», должна обеспечивать протоколирование перемещений сотрудников путем установки системы запирающих устройств, открывающихся персональными карточками - ключами и управляемых с единого рабочего места. Управление системой контроля доступа осуществляет Управление экономической безопасности Банка.
Незаменимым и важным элементом обеспечения информационной безопасности является однозначная идентификация (определение личности) и аутентификация (подтверждение личности) пользователей, применяемые в Банке в виде парольной защиты. При этом требуется:
- использовать обязательную парольную защиту в качестве базовой с предотвращением перехвата пароля. Пароль должен обновляться не реже 1 раза в квартал. При работе с приложениями также используется механизм аутентификации;
- для доступа к узлам или другой аппаратуре, обрабатывающей конфиденциальную информацию, использовать усиление парольной защиты в виде специальных программно-аппаратных средств;
- запретить привилегированный доступ к удаленным узлам.
Управление средствами идентификации и аутентификации осуществляется администраторами безопасности сетей и систем.
Средства защиты серверов предназначены для обеспечения конфиденциальности и целостности путем защиты от НСД к ЭВМ, среде исполнения процесса, областям пользователей, областям оперативной памяти и дискового пространства, данным на чтение/модификацию/уничтожение. Обеспечение доступности достигается средствами мониторинга и диагностики, а также с помощью средств и мер безотказной работы.
Конкретные способы и методы использования средств защиты определяются особенностями конкретной системы или сервера и регламентируются планом защиты конкретной системы.
Телекоммуникационная сеть Банка представляет собой совокупность локальных сетей Банка и филиалов, а также опорной сети Банка (сети провайдеров телекоммуникационных услуг). Основной задачей защиты телекоммуникационной сети является обеспечение конфиденциальности передаваемой информации (предотвращение прослушивания трафика); целостность конфигурации и трафика сети; доступность ресурсов сети; контроль доступа для предотвращения НСД извне; контроль доступа и управления коммуникационным оборудованием локальной сети.
Задачи защиты сетей Банка решаются на основе существующих программно-аппаратных коммуникационных средств. Те задачи, которые не могут быть решены на уровне транспортной службы сети, должны решаться средствами операционных систем и приложений.
Одним из самых уязвимых мест любой системы является точка входа в сеть общего пользования (Internet). В связи с этим предлагается применять следующие меры по защите внутренней сети:
- если сеть общего пользования используется для передачи конфиденциальной информации, то такая передача должна осуществляться с применением сертифицированных средств криптозащиты;
- взаимодействие с сетью общего пользования должно осуществляться через специальный шлюз;
- доступ сотрудников Банка к сети общего пользования должен быть строго регламентирован.
Защита на уровне ПК является защитой рабочего места пользователя и одним из основных элементов комплексной защиты для однозначной идентификации «пользователь — рабочее место».
Средства защиты ПК должны обеспечивать:
- идентификацию и аутентификацию пользователя;
- защиту системного и прикладного программного обеспечения, в том числе сетевого, от реконфигурации;
- невозможность изменения системных параметров компьютера, инсталляцию программного обеспечения, копирование данных на съемные носители информации;
- отсутствие программ - вирусов и программ - закладок;
- запрет на применение считывающих устройств с внешних носителей информации, исключение делается для пользователей, имеющих разрешение Управления экономической безопасности;
- невозможность физического доступа к аппаратным ресурсам ПК;
- ведение системного журнала по основным событиям.
На каждом рабочем месте должны быть зарегистрированы только два пользователя - непосредственно пользователь и администратор. Администратор может входить в систему для реконфигурации только в локальном режиме.
Конфигурирование и управление средствами защиты осуществляет Департамент информационных технологий. Контроль средств защиты выполняет Управление экономической безопасности.
В настоящее время криптозащита является единственно надежным средством защиты конфиденциальной информации при передаче по каналам связи. В каждой системе Банка используется, как правило, штатное программно-аппаратное средство криптозащиты. Порядок применения конкретных систем криптозащиты изложен в инструкциях пользователей подсистем.
Помещения для размещения технических средств криптографической защиты информации должны находиться в зоне безопасности. Под зоной безопасности понимается территория банка, в которой имеют право находиться только работники банка, имеющие в неё допуск. Рекомендуется использование автоматизированной системы контроля и учёта доступа в помещение с регламентацией санкционированного права допуска.
Управление средствами криптозащиты осуществляют соответствующие должностные лица в каждой подсистеме. Контроль и учет использования средств криптозащиты осуществляет Управление экономической безопасности.
Главной задачей средств контроля является своевременное обнаружение и регистрация ситуаций, которые в соответствии с установленными факторами риска могут быть расценены как угрозы Банку. Контроль включает в себя:
1.Регистрацию событий в целях профилактики информационной безопасности или же тех событий, которые могут быть расценены как угроза;
2.Выдачу соответствующих сообщений на консоль оператора или/и протоколирование параметров событий в системном журнале.
Средства управления предназначены д???????л???????я о???????пер???????ат???????и???????в???????но???????й ре???????а???????к???????ц???????и???????и со сторо???????н???????ы а???????д???????м???????и???????н???????истр???????аторо???????в безо???????п???????ас???????ност???????и с???????исте???????м н???????а р???????аз???????л???????ич???????н???????ые, в т.ч. и кр???????из???????ис???????н???????ые с???????иту???????а???????ц???????и???????и, а т???????а???????к???????же д???????л???????я н???????астро???????й???????к???????и ос???????но???????в???????н???????ы???????х п???????ар???????а???????метро???????в с???????исте???????м???????ы. Ос???????но???????в???????н???????ы???????м???????и фу???????н???????к???????ц???????и???????я???????м???????и у???????пр???????а???????в???????ле???????н???????и???????я я???????в???????л???????я???????ютс???????я:
-защита от НСД;
-ликвидация а???????в???????ар???????и???????й???????н???????ы???????х с???????иту???????а???????ц???????и???????й;
-конфигурирование про???????гр???????а???????м???????м???????но-???????а???????п???????п???????ар???????ат???????н???????ы???????х сре???????дст???????в по???????дс???????исте???????м;
-регистрация по???????л???????ьзо???????в???????ате???????ле???????й и р???????ас???????пре???????де???????ле???????н???????ие ресурсо???????в.
Организационные мер???????ы я???????в???????л???????я???????ютс???????я ос???????но???????в???????н???????ы???????м э???????ле???????ме???????нто???????м, с???????в???????яз???????ы???????в???????а???????ю???????щ???????и???????м в е???????д???????и???????ное це???????лое сре???????дст???????в???????а и мер???????ы з???????а???????щ???????ит???????ы, ко???????нтро???????л???????я и у???????пр???????а???????в???????ле???????н???????и???????я, а т???????а???????к???????же пр???????а???????в???????и???????л???????а и???????х ис???????по???????л???????ьзо???????в???????а???????н???????и???????я и пр???????и???????ме???????не???????н???????и???????я. К ор???????г???????а???????н???????из???????а???????ц???????ио???????н???????н???????ы???????м мер???????а???????м от???????нос???????ятс???????я т???????а???????к???????же р???????азр???????абот???????к???????а ру???????ко???????во???????д???????я???????щ???????и???????х и нор???????м???????ат???????и???????в???????н???????ы???????х до???????ку???????ме???????нто???????в, контроль з???????а и???????х в???????ы???????по???????л???????не???????н???????ие???????м. Ос???????но???????во???????й ор???????г???????а???????н???????из???????а???????ц???????и???????и з???????а???????щ???????ит???????ы и ко???????нтро???????л???????я с???????исте???????м и сете???????й я???????в???????л???????яетс???????я «???????По???????л???????ит???????и???????к???????а и???????нфор???????м???????а???????ц???????ио???????н???????но???????й безо???????п???????ас???????ност???????и МО???????РС???????КО???????ГО А???????К???????Ц???????ИО???????Н???????Е???????Р???????НО???????ГО Б???????А???????Н???????К???????А».