- •А.П. Пархоменко а.Ф. Мешкова р.В. Менжулин основные проблемы и особенности защиты информации в банковских системах: модели нарушителей
- •1Воронеж 2008
- •2Воронеж 2008
- •Введение
- •1.Основные проблемы и особенности защиты информации в банковских системах.
- •1.1 Основные понятия, термины и определения.
- •1.1.1 Информация и информационные отношения в автоматизированных банковских системах. Субъекты информационных отношений, их безопасность в автоматизированных банковских системах.
- •1.1.2 Определение требований к защищенности информации в автоматизированных банковских системах.
- •1.2 Особенности автоматизированных банковских систем как объекта защиты информации.
- •1.2.1 Автоматизированные платежные системы.
- •1.2.2 Основные принципы и подходы к защите апбс.
- •1.2.3 Особенности платежных систем.
- •1.2.4 Автоматизированные информационные системы.
- •1.2.5 Основные принципы и подходы к защите автоматизированных информационных систем.
- •1.3 Особенности защиты информации в автоматизированных банковских системах.
- •1.3.1 Защита от физического доступа.
- •1.3.2 Защита резервных копий в автоматизированных банковских системах.
- •1.3.3 Защита от инсайдеров.
- •1.4 Основные проблемы защиты информации в автоматизированных банковских системах.
- •1.5 Проблемы правовой и организационно - технической защиты коммерческой и банковской тайны как видов конфиденциальной информации.
- •2. Модели нарушителей и риски в автоматизированных банковских системах.
- •2.1 Анализ проблем оценки и управления рисками информационной безопасности в автоматизированных банковских системах.
- •2.2 Анализ инструментальных средств оценки и управления рисками информационной безопасности.
- •2.3 Неформальная модель нарушителя в банковских системах
- •2.4 Модель нарушителя и эффективность защиты.
- •3. Оценки рисков информационной безопасности.
- •3.1 Оценка рисков информационной безопасности на основе алгоритма Мамдани.
- •Заключение
- •Список используемых информационных источников
- •394026 Воронеж, Московский просп., 14
1.2.4 Автоматизированные информационные системы.
В банке используются следующие основные типы автоматизированных информационных систем (АИС):
1.АИС подготовки данных статистической отчетности и внутрихозяйственной деятельности;
2.Системы автоматизации делопроизводства и документооборота;
3.Информационно-аналитические системы (ИАС);
4.Финансовые АИС (Рейтер, Блумберг и т.п.);
5.Информационно-справочные системы (ИСС) (Internet, intranet центрального аппарата и подразделений Банка России);
6.АИС обработки секретной информации.
В АИС присутствует информация различных с точки зрения обеспечения защиты видов. Каждому виду информации соответствуют свои приоритеты политики безопасности.
1. Открытая информация, предназначенная для официальной передачи в средства массовой информации и внешние организации. Приоритеты для нее таковы: целостность; доступность.
2. Внутренняя банковская информация, предназначенная для использования исключительно сотрудниками банка при выполнении ими своих служебных обязанностей. Приоритеты: доступность; целостность, конфиденциальность вне подразделений банка.
3. Информация, содержащая сведения ограниченного распространения в соответствии с утвержденным банковским перечнем. Приоритеты: целостность; конфиденциальность; доступность.
4. Информация, содержащая сведения, составляющие государственную тайну, в соответствии с утвержденным банковским перечнем. Приоритеты: конфиденциальность; целостность; доступность.
Обеспечение сохранности информации и предоставление доступа к ней в строгом соответствии с установленными приоритетами и правилами разграничения доступа 23.
Объекты защиты АИС:
1. Информационные ресурсы банка, доступные с помощью информационных систем.
2. Управляющая информация информационных систем .
3. Технологические процессы (включая задействованный персонал, ПО и оборудование) создания, эксплуатации и ликвидации информационных систем и информационных ресурсов банка, доступных с помощью указанных систем.
Зона ответственности банка в АИС.
Банк несет ответственность за:
1.Достоверность информации, официально предоставляемой им внешним организациям и гражданам;
2.Достоверность и выполнение регламента предоставления внешним организациям и гражданам информации, обязательность и порядок предоставления которой определены законодательством Российской Федерации и/или нормативными документами банка;
обеспечение соответствующего законодательству Российской Федерации уровня защиты как собственной информации, так и информации, переданной банку официально внешними организациями и гражданами.
1.2.5 Основные принципы и подходы к защите автоматизированных информационных систем.
1.АИС, обрабатывающие информацию, которая содержит сведения, составляющие государственную тайну, реализуются как автономные, физически изолированные от других автоматизированных систем банка. Порядок разработки, эксплуатации и защиты информации в таких системах регламентируется законодательством Российской Федерации и межведомственными нормативно-правовыми актами.
2.Для АИС банка, не содержащих указанной информации, применяются следующие принципы и подходы:
- каждый пользователь АИС банка должен иметь свой индивидуальный, уникальный (в рамках соответствующей подсистемы регистрации, либо единый для нескольких или всех автоматизированных систем банка) идентификатор;
- никто не должен обладать служебными полномочиями по уничтожению и модификации журналов регистрации доступа к информационным системам. Для очистки журналов регистрации доступа допускается только архивирование. Операция по архивированию журнала регистрации должна, в свою очередь, обязательно регистрироваться с указанием времени и идентификатора выполнившего операцию сотрудника в качестве первой записи в новой копии журнала. Архивы журналов регистрации уничтожаются только соответствующим администратором ИБ по мере потери актуальности данных, но не ранее чем через месяц с момента появления последней записи в данной архивной копии;
- функционирование механизмов, средств и систем защиты информации, применяемых в АИС банка, должно полностью обеспечиваться силами банка и не должно зависеть от внешних организаций.
3.Для каждой информационной системы, СУБД, локальной сети (а при необходимости, дополнительно в отдельных сегментах локальной сети и/или операционных системах серверов, далее АИС) соответствующим Распоряжением должен быть назначен Администратор системы. Допускается назначение одного Администратора на несколько АИС.
4.Для каждой АИС банка соответствующим Распоряжением должен быть назначен Администратор ИБ системы. Допускается назначение одного Администратора ИБ на несколько АИС, а также совмещение выполнения указанных функций с другими обязанностями. При этом совмещение в одном лице функций Администратора системы и Администратора ИБ системы не допускается.
5.Полномочия по доступу к информации определяют руководители соответствующих подразделений банка.
Администратор системы не должен иметь служебных полномочий (а при возможности и технических средств) по настройке параметров системы, влияющих на полномочия пользователей по доступу к информации в данной системе. Однако он должен иметь право добавить в систему нового пользователя без всяких полномочий по доступу к информации, а также удалить из системы такого пользователя.
Администратор ИБ системы должен иметь служебные полномочия и технические возможности по контролю действий соответствующих Администраторов систем (без вмешательства в их действия) и пользователей, а также полномочия (а при возможности и технические средства) по настройке для каждого пользователя только тех параметров системы, которые определяют в системе права доступа к информации.
Администратор ИБ не должен иметь права добавить нового пользователя в систему, а также удалить из нее существующего пользователя.
В случае отсутствия у Администратора ИБ технических возможностей по настройке параметров системы, влияющих на полномочия пользователей по доступу к информации, эти настройки выполняются Администратором системы, но с обязательным предварительным согласованием устанавливаемых прав доступа пользователей к информации с Администратором ИБ.
6.В подразделениях банка (отделы, управления, главные управления, департаменты), использующих АИС, соответствующим Распоряжением на одного из сотрудников должны быть возложены обязанности Администратора ИБ подразделения с соответствующим изменением его должностной инструкции. Допускается назначение одного Администратора ИБ на несколько подразделений, а также совмещение выполнения указанных функций с другими обязанностями. В случае, если Администратор ИБ подразделения не назначается, соответствующие функции возлагаются на руководителя данного подразделения.
Администратор ИБ подразделения должен иметь служебные полномочия, а при возможности и необходимые технические средства для контроля соответствия фактических полномочий и действий сотрудников подразделения - администраторов и/или пользователей АИС (в том числе локальных сетей, СУБД, операционных систем) установленному регламенту эксплуатации указанных систем.
7.Совмещение в одном лице функций Администратора ИБ подразделения и Администратора системы не допускается 24.
Особенности АИС банков.
1.Информационные системы подготовки статистической отчетности и информационно-аналитические системы, как правило, должны иметь доступ к информации платежных (расчетных) систем.
Для обеспечения безопасного взаимодействия между указанными системами АПБС должна создавать и передавать копию необходимого электронного архива в АИС.
2.Если в некоторых подсистемах или для некоторых групп пользователей АИС банка выдвигаются дополнительные требования по защите информации, такие подсистемы (группы пользователей) объединяются в выделенные сегменты с применением сертифицированных либо согласованных с Главным Управлением безопасности и защиты информации средств, позволяющих реализовать указанные дополнительные требования (межсетевые экраны, виртуальные сети и т.п.).
3.Доступ пользователей банка к сети Internet возможен в режимах on-line и off-line. Режим on-line предполагает предоставление доступа ко всем сервисам сети Internet. Режим off-line предполагает предоставление доступа к электронной почте и телеконференциям сети Internet в почтовом режиме. Организация доступа и порядок использования информации, полученной из сети Internet, регулируются единым нормативным документом банка.
Доступ в режиме off-line для всех подразделений банка, подключенных к единой сети банка, предоставляется через единый шлюз, администрируемый банком. На указанном шлюзе реализуется сертифицированная безопасная развязка между внутренними сетями банка и сетью Internet. На шлюзе также реализуется подсистема регистрации и автоматизированного анализа действий пользователей, а также обеспечивается анализ и контроль информационных потоков. Объем и порядок реализации функций анализа и контроля определяет Главным Управлением безопасности и защиты информации.
Доступ в режиме on-line предоставляется только с ПЭВМ или локальных сетей, физически изолированных от внутренних сетей передачи данных банка. Под физической изоляцией понимается аппаратное разделение как входящего из сети Internet, так и исходящего от ПЭВМ банка, подключенных к сети Internet в режиме on.