Введение. 4
Общие положения 5
Безопасность автоматизированных систем. 6
Криптографическая защита 8
Безопасность сетевых технологий 10
Антивирусная безопасность 12
Заключение 13
Введение.
Место прохождения практики – Северо-Западный банк Сбербанка России, отдел информационной безопасности Управления безопасности. В процессе прохождения практики была поставлена задача ознакомления (в пределах возможного) с системой и способами, а также основными направлениями обеспечения информационной безопасности в Северо-Западном банке Сбербанка России.
Отдел информационной безопасности занимается, в частности, следующими направлениями:
безопасность автоматизированных систем,
сетевая безопасность,
криптография,
общее управление системой информационной безопасности.
Обеспечение информационной безопасности (ИБ) банка основывается на ряде нормативных документов: «Политика обеспечения информационной безопасности», «Порядок обеспечения безопасности информационных технологий в Сбербанке России», «Порядок обеспечения антивирусной безопасности», «Регламент доступа сотрудников Сбербанка к сети интернет», «Порядок обеспечения криптографической безопасности», «Требования к обеспечению безопасности автоматизированных систем», «Порядок настройки операционных систем на рабочих станциях сотрудников банка», а также ряд других документов, более конкретно регламентирующих действия сотрудников банка в области обеспечения информационной безопасности.
Общие положения
«Политика обеспечения ИБ» является самым общим из перечисленных документов, он формирует базу для них. «Порядок обеспечения информационной безопасности» конкретизирует положения политики, остальные документы определяют и детализируют направления обеспечения ИБ.
Согласно этим документам принципы обеспечения безопасности информационных технологий (ИТ): комплексность (меры по обеспечению ИБ принимаются по всем идентифицированным видам угроз с учётом оценки рисков, средства защиты дополняют друг друга), адекватность (меры обеспечения ИБ эффективны и соразмерны рискам), эргономичность (средства защиты должны быть максимально удобными для пользователей и администраторов), минимизация полномочий (предоставление сотруднику только необходимых полномочий), разделение полномочий (выполнение критичных операций двумя лицами), легитимность полномочий (заявка на предоставление доступа), гарантия восстановления данных, отделение разработки от эксплуатации, защита инвестиций, персональная ответственность, пассивность контроля (у контролирующих сотрудников нет доступа непосредственно к критичной банковской информации).
Составляющие системы защиты:
общее руководство,
исполнительные органы,
нормативные документы,
технические средства.
Информация, средства вычислительной техники, а также помещения, в которых они расположены, категорируются, причём категорирование СВТ соответствует обрабатываемой на них информации, а помещений – находящимся в них СВТ. Определено 5 категорий важности, безопасность компьютерной информации обеспечивается соответственно этим категориям. Антивирусная безопасность обеспечивается для каждой из них.
Безопасность автоматизированных систем.
Банковское программное обеспечение подразделяется на автоматизирующее банковские технологии и вспомогательные бизнес-процессы (офисный документооборот, справочно-информационные системы и т.д.).
Ранее в банке использовалось большое количество различных автоматизированных систем (АС), каждая из которых отвечала за определённые функции. Это связано было с тем, что не все АС содержали полный набор функций, необходимых для работы и отвечающих требованиям безопасности. В настоящее время в банке идёт процесс централизации. Сейчас используются централизованные банковские АС (ЦАБС), которые содержат информацию о собственной деятельности банка и к которым можно получить доступ в установленном банком порядке практически с любого места.
Особенной защите подлежат АС (ЦАБС), обрабатывающие критичную банковскую информацию – информацию, НСД к которой может привести к материальному ущербу, испортить репутацию банка. Основные ЦАБС:
система централизованного обслуживания клиентов (физических и юридических лиц)
система работы с пластиковыми картами
К системам дистанционного банковского обслуживания должны предъявляться дополнительные специфические требования, связанные с архитектурой их построения, процедурой регистрации клиентов, взаимодействием с клиентами, ведением архива поручений клиентов и т.д.
В АБС должны быть реализованы следующие механизмы защиты прикладного уровня:
администрирование
управление доступом
идентификация и аутентификация
защита от НСД
контроль целостности
криптографическая защита
аудит
Отдел ИБ участвует в обновлениях АС, в частности, в проведении приёмо-сдаточных испытаний и аттестации.
«Положение об администраторе АС», «Требования по обеспечению ИБ в автоматизированных банковских системах СБ РФ» являются нормативной базой для обеспечения ИБ в АС. Аттестация проводится в соответствии с документом «Порядок проведения аттестации АС», аналогичную роль для приёмо-сдаточных испытаний играет «Порядок проведения приёмо-сдаточных испытаний». Также есть документ «Порядок проведения контрольной компиляции с исходных текстов программ». В этих документах описывается также процедура приёма на хранение исходных кодов АС и, в случае необходимости, получения доступа к ним (в присутствии представителя производителя АС). Передача исходных кодов осуществляется по договору в связи с тем, что они являются интеллектуальной собственностью разработчика АС, и то, что он предоставляет тексты программ банку, свидетельствует о доверии разработчика. Соглашение о передаче исходных кодов прописывается в договоре между банком и разработчиком на поставку АС.
Тестирование обновлений старых систем, а также новых АС проводится на отдельном специально оборудованном стенде, отделённом от локальной сети банка.
Приёмо-сдаточные испытания.
Приёмо-сдаточные испытания – процесс проверки АС (прикладного программного обеспечения и документации) на соответствие заданным требованиям, выполняемый группой специалистов на специально оборудованном испытательном стенде.
Аттестация.
Аттестация – комплекс установленных мероприятий, проводимых постоянно действующей комиссией банка по проведению аттестации приобретаемого, разрабатываемого и эксплуатируемого программного обеспечения, направленных на проверку полноты и правильности реализации в АС требований действующих нормативных документов, функциональных и эксплуатационных требований, а также требований безопасности. Таким образом, аттестация - глобальный процесс, охватывающий все моменты жизни АС (например, введение в эксплуатацию, процесс эксплуатации и т.д.).
Жизненный цикл АС – совокупность упорядоченных во времени взаимосвязанных стадий и этапов работ по созданию и последовательному совершенствованию состояния АС и её компонентов, начиная с определения потребности в их внедрении в подразделениях Сбербанка России (инициация) и заканчивая прекращением их эксплуатации (вывод из эксплуатации). Ежегодная аттестация проводится для всей системы в комплексе, включает в себя также и проверку категорий обрабатываемой информации, так как в процессе эксплуатации АС может перейти к обработке информации другой категории важности. В этом случае, при понижении категории обрабатываемой информации функции АС (в частности, по обеспечению ИБ) будут использоваться не в полной мере, а при повышении важности, возможно, эта информация будет недостаточно надёжно защищена в данной АС.
На первом этапе жизненного цикла АС формируются и передаются заявки, отражающие актуальную потребность в автоматизации или необходимость развития существующей АС. Эти заявки регистрируются и анализируются (отклоняются или принимаются). В случае принятия заявки формируются рекомендации по реализации, и разрабатывается «задание на автоматизацию», в которое входят эксплуатационные требования и требования безопасности.
Затем принимается решение о способе реализации этих требований: разрабатывается эскизный проект на АС и экономическое обоснование.
При принятии решения о собственной разработке: результаты проектирования АС отражаются в «Системных спецификациях». На их основе осуществляется разработка ППО и документации. Далее разрабатываются программа и методика испытаний, формируется испытательный стенд, проводятся приёмо-сдаточные испытания, аттестация, контрольная компиляция.
При приобретении АС: выбираются поставщики, заключается договор, дальнейшие действия аналогичны действиям при собственной разработке.
Следующие этапы – внедрение АС (создание инфраструктуры и документации, в частности, «Руководства по инсталляции», «Руководства по сопровождению АС»), тиражирование АС, сопровождение АС (управление инцидентами, проблемами; анализ и устранение ошибки в ППО; сопровождение ИР, средств защиты информации, пользователей; снятие с эксплуатации).
Функции, реализуемые отделом ИБ:
разработка требований по безопасности;
участие в разработке эскизного проекта (при необходимости);
участие в разработке системных спецификаций;
внесение изменений в требования по безопасности;
участие в разработке/доработке программы и методики испытаний;
установка и настройка средств защиты информации;
участие в приёмо-сдаточных испытаниях, проверке, аттестации ППО;
участие в проведении контрольной компиляции (при необходимости);
участие в анализе инцидентов и проблем, запросов на обслуживание или изменение, возникающих в ходе эксплуатации АС;
участие в сопровождении информационных ресурсов;
сопровождение средств защиты информации;
участие в работах по снятию АС с эксплуатации.