МИНИСТЕРСТВО ВЫСШЕГО И СРЕДНЕГО СПЕЦИАЛЬНОГО ОБРАЗОВАНИЯ РЕСПУБЛИКИ УЗБЕКИСТАН
ОТРАСЛЕВОЙ ЦЕНТР ПЕРЕПОДГОТОВКИ И ПОВЫШЕНИЯ ПЕДАГОГИЧЕСКИХ КАДРОВ ПРИ ТАШКЕНТСКОМ ГОСУДАРСТВЕННОМ ЭКОНОМИЧЕСКОМ УНИВЕРСИТЕТЕ
Современные инфомационно- коммуникационные технологии в отраслях экономики
Руководитель модуля: к.э.н.,доц. Собирова Д.О.
Выполнила : Саттарова Зухра Илхамовна
информационный криптографический аутентификация
Ташкент - 2016
Необходимость обеспечения информационной безопасности (ИБ)
Вопросы обеспечения информационной безопасности (ИБ) для банка являются жизненно важными. Во-первых, банк с точки зрения информационной безопасности - компания «повышенного» риска. Банк - сосредоточение «живых» денег. При этом автоматизированная банковская система (АБС), неотъемлемая составляющая корпоративной информационной системы банка, поддерживает процессы проведения выплат, предоставления кредитов, перевода средств и др., и очевидно, что незаконное манипулирование такой информацией может привести к серьезным убыткам. Во-вторых, современный банк предоставляет большое число сервисов, связанных с удаленным доступом к информационной системе банка. Это и персональный интернет-банкинг, и система интернет-доступа к финансовым рынкам, и система электронного документооборота, и многое другое. С этих позиций банк - «точка пересечения» публичных сетей (Интернет) и коммерческих финансовых сетей (Western Union, VisaNet, SWIFT и др.). В-третьих, на сегодняшний день банки обладают сложными информационными системами, которые включают большой набор «бэк-офисных» и «фронт-офисных» приложений, нередко гетерогенных. А управление этими системами осложняется территориальной распределенностью компаний, наличием многочисленных филиалов и офисов. При этом информационная система современного банка является основой функционирования почти всех основных бизнес-процессов. Наконец, банк хранит персональные данные граждан и конфиденциальную информацию своих клиентов - юридических лиц.
Все это предъявляет жесткие требования к системе защиты корпоративной информационной системы современного банка, основными из которых являются комплексность, интегрируемость, адекватность финансовым затратам, легитимность, управляемость, масштабируемость и отказоустойчивость.
Со стороны регулирующих органов, к банку также предъявляется множество требований и предлагается комплекс рекомендаций по обеспечению ИБ. В их числе - постановления и инструкции ЦБ РУЗ; недавно вышедший во второй версии стандарт СТО БР ИББС-1.0-2006, посвященный системе управления ИБ банка; различные международные стандарты, например, ISO 13569 «Banking and related financial services- Information security guidelines»; требования Basel II; различные требования международных платежных систем, например, стандарт Payment Card Industry Data Security Standard (PCI DSS), и другие. К основным элементам системы ИБ Банка («контрольным» точкам), которые должны соответствовать требованиям регулирующих органов и стандартов, относятся:
· авторизация и аутентификация;
· защита от несанкционированного доступа (НСД) к системам, в том числе и внутренняя защита от НСД сотрудников банка;
· защита каналов передачи данных, обеспечение целостности и актуальности данных при обмене информацией с клиентами;
· обеспечение юридической значимости электронных документов;
· управление инцидентами ИБ;
· управление непрерывностью ведения бизнеса;
· внутренний и внешний аудит системы ИБ.
Какие существуют типичные атаки на банковские системы?
· Атаки на системы «front-end» - это атаки, направленные на манипулирование с транзакциями, в т.ч. и с финансовыми. Это могут быть, например, атаки на терминалы (POS терминалы или банкоматы), терминалы SWIFT и др. Данные атаки не получили широкого распространения, т.к. обеспечение ИБ транзакционных систем основано на использовании стойких криптографических алгоритмов, как для шифрования, так и для электронной подписи. Единственное, чему стоит уделить внимание - это надежной системе распределения ключей и физической безопасности терминалов.
· Атаки на системы «back-office». Это наиболее популярный вид атак, и совершаются они как «внешними» злоумышленниками, так и внутренними («инсайдерами»). Атаки направлены на манипуляции с базами данных, которые осуществляются как через приложения, так и напрямую. Типов атак очень много. Например, одна из самых популярных - это атака типа «салями», когда счет округляется в «нужную» сторону. Для противодействия можно использовать широкий спектр контрмер. Это мониторинг и аудит, управление доступом, физическая безопасность, организационные меры, разделение среды разработчиков и операционной среды и др.
С чего начинать построение системы информационной безопасности?
Необходимо понимать, что обеспечение информационной безопасности - процесс непрерывный, а применяемые меры должны носить комплексный и превентивный характер. Еще один важный момент: эффективная защита невозможна без комплекса организационных мер. Должны быть определены цели, задачи, приоритеты и риски в области ИБ, и с учетом этих факторов сформулированы требования к системе ИБ, разработана политика и система управления ИБ, регламенты, процедуры и пр. Выбор технических средств защиты также должен опираться на предварительно проведенный анализ рисков.
Таким образом, построение системы ИБ банка целесообразно начинать с комплексного диагностического обследования основных бизнес-процессов и информационной системы банка, а также существующих инструментов обеспечения ИБ. Обследование (аудит) существующей системы информационной безопасности позволит установить, соответствует ли уровень безопасности информационно-технологических ресурсов банка выдвигаемым требованиям, т.е., обеспечиваются ли необходимые параметры конфиденциальности, целостности и доступности ресурсов информационной системы. В ходе диагностического обследования проводится анализ рисков. Для проверки способности информационной системы противостоять попыткам несанкционированного доступа и воздействия на информацию, иногда целесообразно выполнять тесты на проникновение.
Результатом работ по диагностическому обследованию, помимо рекомендаций и предложений, может являться спроектированная система ИБ. Работы по проектированию системы ИБ банка также включают следующие этапы.
1. Разработка Концепции обеспечения информационной безопасности. Определение основных целей, задач и требований, а также общей стратегии построения системы ИБ, идентификация критичных информационных ресурсов, выработка требований и базовых подходов к их реализации.
2. Создание политики ИБ.
3. Построение модели системы управления ИБ.
4. Подготовка технического задания на создание системы информационной безопасности.
5. Создание модели системы ИБ.
6. Разработка техническо-рабочего проекта (ТРП) создания системы ИБ и архитектуры системы ИБ. ТРП по созданию системы ИБ включает следующие документы.
o Описание основных технических решений по созданию системы ИБ и организационных мероприятий по подготовке системы ИБ к эксплуатации.
o Обоснование выбранных компонентов системы ИБ и определение мест их размещения. Описание разработанных профилей защиты.
o Спецификацию на комплекс технических средств системы ИБ.
o Спецификацию на комплекс программных средств системы ИБ.
o Определение настроек и режима функционирования компонентов системы ИБ.
7. Тестирование на стенде спроектированной системы ИБ.
8. Разработка организационно-распорядительных документов системы управления ИБ по обеспечению информационной безопасности (политик, процедур, регламентов и т.п.).
9. Разработка рабочего проекта (включая документацию на используемые средства защиты и порядок администрирования, план ввода системы ИБ в эксплуатацию и др.), планирование обучения пользователей и обслуживающего персонала информационной системы.
При проектировании архитектуры системы ИБ необходимо учитывать, что ее эффективность может быть достигнута, если все компоненты представлены качественными решениями, функционируют как единый комплекс и, в случае распределенных систем, имеют централизованное управление. Построение интегрированного решения обеспечивает ряд преимуществ: позволяет снизить совокупную стоимость владения системой ИБ, повысить коэффициент возврата инвестиций и улучшить управляемость системы. Основные классы угроз и содержат следующие компоненты:
· подсистему межсетевого экранирования;
· подсистему защиты внутренних сетевых ресурсов;
· подсистему защиты Web-ресурсов;
· подсистему обнаружения и предотвращения вторжений;
· антивирусную подсистему;
· подсистему контроля содержимого Интернет-трафика;
· подсистему аутентификации и авторизации пользователей;
· подсистему криптографической защиты информации;
· подсистему протоколирования, отчета и мониторинга средств защиты;
· подсистему физической защиты;
· подсистему защиты рабочих станций;
· подсистему управления ИБ.
После внедрения спроектированной системы необходимо обеспечить ее поддержку и сопровождение.
Какие продуктовые линейки можно рекомендовать современному банку при построении системы ИБ?
Самое главное - это выстроить максимально интегрированную систему для обеспечения высокой управляемости системы ИБ и отслеживания событий ИБ.
В первую очередь, необходимо обратить внимание на защиту внутренних ресурсов. Здесь важны системы разграничения доступа и контроля трафика. Для этого могут быть использованы, например, продукты Check Point Interspect и Infowatch.
При наличии сервиса интернет-банкинга или телефонного банкинга, необходимо обеспечение строгой аутентификации, то есть использование двухфакторной аутентификации, например, токенов Vasco или RSA SecureID. А также необходима защита рабочих мест клиентов банка - для этого могут быть использованы продукты Check Point Integrity или Cisco Security Agent. Также стоит уделить внимание защите шлюзов Интернет-банкинга - здесь можно порекомендовать продукт Check Point Connectra.
Необходимо обеспечить жесткий мониторинг и аудит системы ИБ. Здесь стоить отметить продукты Check Point Eventia Analyzer или CISCO Systems MARS, Особое внимание целесообразно уделить аспектам непрерывности ведения бизнеса и восстановления после катастроф, а также управления инцидентами ИБ.
Какие сложности могут возникать при организации проекта построения системы ИБ банка?
При проведении такого рода работ банк часто обращается за помощью к внешним консультантам. Как выбрать надежного партнера, которому можно было бы доверить одну из самых критичных областей бизнеса? В-первую очередь, компания-консультант должна иметь хорошую репутацию на рынке. Во-вторых, необходимо убедиться в обширном опыте работы в сфере ИБ как самой компании-консультанта, так и конкретных сотрудников, задействованных в проекте. В-третьих, необходимо наличие у исполнителя программно-аппаратных средств для построения тестовых стендов, проведения работ по проектированию и моделированию системы ИБ. Кроме того, наличие у исполнителя высоких партнерских статусов с поставщиками программно-аппаратных комплексов является определенной гарантией опыта компании-консультанта, а также дает право на расширенную поддержку и консультации с разработчиками решений. И, главное - необходимо наличие у исполнителя центра поддержки, работающего в круглосуточном режиме.
Средства обеспечения информационной безопасности Банка
Для обеспечения информационной безопасности Банка используются следующие средства защиты:
· физические средства;
· технические средства;
· средства идентификации и аутентификации пользователей;
· средства разграничения доступа;
· средства обеспечения и контроля целостности;
· средства оперативного контроля и регистрации событий безопасности;
· криптографические средства.
Средства защиты должны применяться ко всем чувствительным ресурсам информационной системы Банка, независимо от их вида и формы представления информации в них.
Физические меры защиты основаны на применении разного рода механических, электронных или электронно-механических устройств и сооружений, специально предназначенных для создания физических препятствий на возможных путях проникновения и доступа потенциальных нарушителей к компонентам системы и защищаемой информации, а также технических средств визуального наблюдения, связи и охранной сигнализации.
Физическая защита зданий, помещений, объектов и средств информатизации должна осуществляться Управлением безопасности путем установления соответствующих постов охраны, с помощью технических средств охраны или любыми другими способами, предотвращающими или существенно затрудняющими проникновение в них посторонних лиц, хищение документов и носителей информации, самих средств информатизации, а также исключающими нахождение внутри контролируемой (охраняемой) зоны технических средств съема информации.
Для обеспечения физической безопасности компонентов информационной системы Банка необходимо осуществлять ряд организационных и технических мероприятий, включающих: проверку оборудования, предназначенного для обработки закрытой (конфиденциальной) информации, на:
· наличие специально внедренных закладных устройств;
· побочные электромагнитные излучения и наводки;
· введение дополнительных ограничений по доступу в помещения, предназначенные для хранения и обработки закрытой информации;
· оборудование систем информатизации устройствами защиты от сбоев электропитания и помех в линиях связи.
Технические (аппаратно-программные) меры защиты основаны на использовании различных электронных устройств и специальных программ и выполняющих (самостоятельно или в комплексе с другими средствами) функции защиты (идентификацию и аутентификацию пользователей, разграничение доступа к ресурсам, регистрацию событий, криптографическое закрытие информации и т.д.).