3. Аудит информационной безопасности банка

Активное развитие банковского сектора влечет за собой увеличение клиентских баз, в связи с чем особую актуальность приобретают вопросы защиты информации о клиентах банка. Сегодня уже известны ряд случаев, когда информационные системы крупнейших российских банков подвергались внешнему проникновению злоумышленников для получения несанкционированного доступа к сетевым ресурсам банка, либо для нарушения нормального режима работы сетевых сервисов. Проникновение в финансовую систему банка, а также на сервера баз данных может повлечь за собой исчезновение крупных сумм со счетов, разглашение тайны клиента о состоянии его счета, а взлом серверов баз данных чреват распространением сведений о клиенте. На сегодняшних день во всех существующих сетевых операционных системах имеется много уязвимых мест с точки зрения защиты информации. Поэтому необходимо проводить проактивные мероприятия борьбы с взломами и проникновениями в банковские системы. Одной из таких мер является проведение аудита систем обеспечения информационной безопасности, который позволяет на начальном этапе выявить уязвимые места и предпринять дальнейшие шаги для их устранения. Примером такого проекта является аудит системы защиты информации, проведённый компанией «Микротест» для одного из крупнейших российских банков.

Требования бизнеса заказчика

Для того, чтобы в будущем избежать нежелательных проникновений и атак, а также для формирования стратегии развития бизнеса и сопутствующей модернизации корпоративной информационной системы и системы защиты информации было необходимо:

• получить объективную информацию об актуальном состоянии компонентов системы для обеспечения информационной безопасности;

• выявить «узкие» места системы информационной безопасности для принятия проактивных мер предотвращения атак;

• оценить стоимость развития системы обеспечения информационной безопасности;

оценить зрелость ИТ-инфраструктуры и системы информационной безопасности банка в соответствии с требованиями стандарта Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» (СТО БР ИББС-1.0-2006).

Таким образом, руководство Банка поставило задачу проведения независимой компанией аудита текущего состояния системы защиты информации и оценки уязвимости корпоративной информационной системы, включая специализированные банковские системы

Решение

Задачами аудита текущего состояния системы защиты информации было получение аккумулированных достоверных данных об используемых подходах к обеспечению защиты информации, в том числе и об организационных мерах защиты, а также выявление «узких» мест системы.

В качестве партнера для реализации данного проекта была выбрана компания «Микротест». Специалисты компании обладают высокой квалификацией, имеют опыт работы с крупными территориально-распределенными финансовыми структурами и обладают существенным опытом проведения аудитов систем информационной безопасности.

В ходе работ специалистами «Микротест» было проведено полное обследование компонентов, входящих в состав системы защиты информации в соответствии с требованиями стандарта Банка России и тестирование информационной системы Банка на нежелательное проникновение со стороны. Наряду с проведением комплексного анализа всей политики безопасности банка было осуществлено тестирование СЗИ, где специалисты «Микротест» выступали в роли хакеров, имитируя проникновение в сеть, используя всю доступную информацию и соответствующий программный инструментарий.

Кроме того, был проведен анализ существующей документации по ИБ, анализ конфигураций серверов, а также проведена выборочная проверка сотрудников с использованием элементов социальной инженерии.

Таким образом, в рамках проекта были проведены следующие работы:

• Анализ организационно-штатной структуры и нормативно-распорядительных документов Заказчика в области информационных технологий и защиты информации;

• Анализ конфигурации и топологии автоматизированных систем и систем связи в целом и их отдельных компонентов; физических, функциональных и технологических связей как внутри этих систем, так и с другими системами различного уровня и назначения;

• Анализ технических средств и систем, условий их расположения, общесистемного и прикладного программного обеспечения;

• Определение угроз безопасности информации и модели вероятного нарушителя применительно к конкретным условиям функционирования;

• Анализ угроз и качественная оценка информационных рисков;

• Анализ уязвимостей активного сетевого оборудования, серверов, рабочих станций, межсетевых экранов, прикладного программного обеспечения с помощью специальных средств анализа защищенности.

Достигнутые результаты

Аудит был проведен в соответствии с утвержденным заданием на работы и был успешно завершен на пяти объектах Заказчика в течение 2-х кварталов после инициации проекта.

Отличительной особенностью проведенного аудита стали сжатые сроки решения задач, несмотря на комплексность работ и территориальную распределенность ИТ-инфраструктуры Заказчика.

В ходе работ были обнаружены уязвимости критичных информационных систем Банка, в частности:

• Системы антивирусной защиты;

• Сервера кредитных историй;

• Файловых серверов;

• Серверов баз данных;

• Бухгалтерской системы.

По итогам аудита Банк получил от компании комплект документов, содержащий отчет о текущем состоянии системы защиты информации, рекомендации по устранению обнаруженных уязвимостей и концепцию развития информационной безопасности с учетом требований законодательства Российской Федерации в области защиты и информации и требований.