С учетом всех требований и принципов обеспечения безопасности информации по всем направлениям защиты в состав системы защиты должны быть включены следующие средства:
· средства разграничения доступа к данным;
· средства криптографической защиты информации;
· средства регистрации доступа к компонентам информационной системы и контроля за использованием информации;
· средства реагирования на нарушения режима информационной безопасности;
· средства снижения уровня и информативности побочных излучений, создаваемых компонентами информационной системы Банка, предназначенными для обработки закрытой информации;
· средства снижения уровня акустических излучений;
· средства маскировки от оптических средств наблюдения;
· средства активного зашумления в радио и акустическом диапазонах.
На технические средства защиты возлагается решение следующих основных задач:
· идентификация и аутентификация пользователей при помощи имен или специальных аппаратных средств (Advantor, Touch Memory, Smart Card и т.п.);
· регламентация и управление доступом пользователей в помещения, к физическим и логическим устройствам;
· защита от проникновения компьютерных вирусов и разрушительного воздействия вредоносных программ;
· регистрация всех действий пользователя в защищенном журнале, наличие нескольких уровней регистрации;
· защита данных системы защиты на файловом сервере от доступа пользователей, в чьи должностные обязанности не входит работа с информации, находящейся на нем.
В целях предотвращения работы с ресурсами информационной системы Банка посторонних лиц необходимо обеспечить возможность распознавания каждого легального пользователя (или групп пользователей). Для идентификации могут применяться различного рода устройства: магнитные карточки, ключи, ключевые вставки, дискеты и т.п.
Аутентификация (подтверждение подлинности) пользователей также может осуществляться:
· путем проверки наличия у пользователей каких-либо специальных устройств (магнитных карточек, ключей, ключевых вставок и т.д.);
· путем проверки знания ими паролей;
· путем проверки уникальных физических характеристик и параметров самих пользователей при помощи специальных биометрических устройств.
Зоны ответственности и задачи конкретных технических средств защиты устанавливаются исходя из их возможностей и эксплуатационных характеристик, описанных в документации на данные средства.
Технические средства разграничения доступа должны по возможности быть составной частью единой системы контроля доступа:
· на контролируемую территорию; в отдельные помещения;
· к компонентам информационной среды Банка и элементам системы защиты информации (физический доступ);
· к информационным ресурсам (документам, носителям информации, файлам, наборам данных, архивам, справкам и т.д.);
· к активным ресурсам (прикладным программам, задачам и т.п.);
· к операционной системе, системным программам и программам защиты.
Средства обеспечения целостности включают в свой состав средства резервного копирования, программы антивирусной защиты, программы восстановления целостности операционной среды и баз данных.
Средства контроля целостности информационных ресурсов системы предназначены для своевременного обнаружения модификации или искажения ресурсов системы. Они позволяют обеспечить правильность функционирования системы защиты и целостность хранимой и обрабатываемой информации.
Контроль целостности информации и средств защиты, с целью обеспечения неизменности информационной среды, определяемой предусмотренной технологией обработки, и защиты от несанкционированной модификации информации должен обеспечиваться:
· средствами разграничения доступа (в помещения, к документам, к носителям информации, к серверам, логическим устройствам и т.п.);
· средствами электронно-цифровой подписи; средствами учета;
· средствами подсчета контрольных сумм (для используемого программного обеспечения).
Средства объективного контроля должны обеспечивать обнаружение и регистрацию всех событий (действий пользователей, попыток НСД и т.п.), которые могут повлечь за собой нарушение Концепции безопасности и привести к возникновению кризисных ситуаций. Анализ собранной средствами регистрации информации позволяет выявить факты совершения нарушений, их характер, подсказать метод его расследования и способы поиска нарушителя и исправления ситуации. Средства контроля и регистрации должны предоставлять возможности:
· ведения и анализа журналов регистрации событий безопасности (системных журналов);
· получения твердой копии (печати) журнала регистрации событий безопасности;
· упорядочения журналов, а также установления ограничений на срок их хранения;
· оперативного оповещения администратора безопасности о нарушениях.
При регистрации событий безопасности в журнале должна фиксироваться следующая информация:
· дата и время события;
· идентификатор субъекта, осуществляющего регистрируемое действие;
· действие (тип доступа).
Основными элементами системы, обеспечения безопасности информации Корпоративной информационной системы банка являются криптографические методы и средства защиты. Перспективным направлением, использования криптографических методов, является создание инфраструктуры безопасности и использованием открытых ключей (PKI, Public Key Infrastructure).
Организация в Банке системы информационной безопасности на основе инфраструктуры с открытым ключом позволит решить следующие задачи, дающие преимущества бизнесу Банка:
· организация обеспечения защищенного документооборота (в том числе платежного) с использованием имеющихся систем, как внутри Банка, так и при взаимоотношениях с организациями-корреспондентами и клиентами Банка. Это позволит повысить эффективность и снизить накладные расходы на администрирование системы и использовать единые стандарты защиты данных;
· возможность реализации системы информационной безопасности в Банке, централизованно контролируемой из центрального офиса Банка, при этом гибкой и динамически управляемой;
· универсализация методов обеспечения доступа пользователей и защиты транзакций для системы электронной почты, автоматизированной банковской системы, системы дистанционного банковского обслуживания, системы доступа в Internet и других систем с использованием уже имеющихся в этих приложениях механизмов обеспечения информационной безопасности;
· создание единого распределенного каталога учетных данных всех пользователей информационных систем Банка. Организация единого централизованно управляемого каталога позволит снизить расходы на администрирование и обеспечить оперативное управление учетными данными;
· использование имеющихся реализаций российских криптографических алгоритмов в операциях с сертификатами и при защите электронного документооборота.
Организация защищенного on-line взаимодействия удаленных сетей филиалов, дополнительных офисов и партнеров Банка на основе использования средств криптозащиты, в том числе при осуществлении финансовых операций, позволит:
· защитить конфиденциальную информацию Банка при ее передаче по каналам связи;
· защитить внутренние ЛВС Центрального офиса Банка, региональных филиалов, дополнительных офисов от несанкционированных воздействий извне;
· сделать информационные взаимодействия Банка более эффективным за счет централизации управления ресурсами;
· оптимизировать затраты на администрирование сетей удаленных подразделений.
Все средства криптографической защиты информации в Банке должны строиться на основе базисного криптографического ядра, прошедшего всесторонние исследования специализированными организациями.
Ключевая система применяемых в Банке средств криптографической защиты информации должна обеспечивать криптографическую живучесть, разделение пользователей по уровням обеспечения защиты и зонам их взаимодействия между собой и пользователями других уровней.
Конфиденциальность и защита информации при ее передаче по каналам связи должна обеспечиваться также за счет применения в системе шифросредств абонентского шифрования. В корпоративной информационной системе, являющейся структурой с распределенными информационными ресурсами, также должны использоваться средства формирования и проверки электронной цифровой подписи, обеспечивающие целостность и юридически доказательное подтверждение подлинности сообщений, а также аутентификацию пользователей, абонентских пунктов и подтверждение времени отправления сообщений.