Обеспечение безопасности автоматизированных систем.
Основная работа по обеспечению безопасности АС:
1) проведение приёмо-сдаточных испытаний, обновления функциональных ядер
2) аттестация.
В банке также есть хранилище, в которое передаются исходные коды ПО, установленного в банке. Регламент определяется документов «Порядок проведения контрольной компиляции с исходных текстов программ». В нем также определяется порядок доступа к ним (в присутствии представителя производителя АС). Соглашение о передаче исходных кодов прописывается в договоре между банком и разработчиком на поставку АС.
«Положение об администрировании АС», «Требования по обеспечению ИБ в автоматизированных банковских системах СБ РФ» являются нормативной базой для обеспечения ИБ в АС. Аттестация проводится в соответствии с документом «Порядок проведения аттестации АС», аналогичную роль для приёмо-сдаточных испытаний играет «Порядок проведения приёмо-сдаточных испытаний».
Тестирование любых обновлений на корректную работу с используемым в банке ПО, в том числе антивирусных баз, производится на отдельном специально оборудованном стенде, отделённом от локальной сети банка.
Организация антивирусной безопасности.
При организации системы антивирусной защиты в банке учитываются следующие факторы риска:
* Применение антивирусных программ не дает гарантированной защиты от угрозы вирусного заражения;
* Наличие еще не известных/не устраненных критичных уязвимостей в системном ПО, единая сеть, широкое использование электронной почты - способствуют распространению массовых заражений.
* Обмен информацией с внешними организациями повышает риски занесения вирусов со стороны клиентов вследствие несоблюдения ими на должном уровне антивирусных мер.
Установка и мониторинг работы АВПО, минимизация прав пользователей АРМ, защита от вирусов при электронном документообороте, контроль использования мобильных носителей информации, организация тестирования и обновления антивирусных баз повышает эффективность защитных свойств используемого АВПО.
В банке используется антивирусное ПО трех независимых производителей – dr.Web (на «интернте-киосках», AV Kaspersky(АРМ пользователя), Symantec (сервера).
Все установленные на интернет киосках и АРМ пакеты АВПО подключены к соответствующим системам управления и мониторинга АВПО.
Администратор системы управления и мониторинга АВПО производит ежедневный мониторинг выпуска обновлений антивирусных баз АВПО на официальном ресурсе фирмы производителя или поставщика АВПО в сети интернет. База считается устаревшей по прошествии более 10 дней с ее выпуска .
Установка обновлений антивирусного и системного ПО без предварительного тестирования не производится, все обновления тестируются на специально отведенном парке машин на стабильную работу с установленным в банке ПО.
С учетом угроз безопасности информации Банка режим защиты должен формироваться как совокупность способов и мер защиты циркулирующей в информационной среде Банка информации и поддерживающей ее инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, влекущих за собой нанесение ущерба владельцам или пользователям информации.
Оценка рисков информационных угроз безопасности защищённого документооборота
R(риск) = P(происшествия) × C(цена потери)
В методиках, рассчитанных на более высокие требования, используется модель оценки риска с тремя факторами: угроза, уязвимость, цена потери.
P(происшествия) = T(угрозы) × V(уязвимости)
Соответственно, риск рассчитывается по формуле .
R(риск)= T(угрозы) × V(уязвимости)× C(цена потери)
Таблица - Оценка рисков информационной безопасности
Наименование элемента информации |
Цена информации |
Вероятность угрозы |
Вероятность уязвимости |
Риск |
1 |
2 |
3 |
4 |
5 |
Личные данные сотрудников |
58000 |
0,6 |
0,8 |
27840 |
Личные данные клиентов |
100000 |
0,6 |
0,8 |
48000 |
Приказы по личному составу |
15000 |
0,8 |
0,4 |
4800 |
Банковские счета |
500000 |
0,6 |
0,8 |
240000 |
Договора с клиентами |
300000 |
0,8 |
0,6 |
144000 |
Договора с банками |
500000 |
0,8 |
0,6 |
144000 |
Бухгалтерская отчётность |
50000 |
0,2 |
0,8 |
8000 |
Деловая переписка |
100000 |
0,8 |
0,4 |
32000 |
Сервер |
350000 |
0,4 |
0,4 |
56000 |
Компьютер с спец.по |
200000 |
0,4 |
0,4 |
32000 |
Информация об банковских картах |
100000 |
0,8 |
0,8 |
64000 |
Бытовой мусор (документы, вышедшие из оборота) |
5000 |
0,2 |
0.2 |
200 |
|
|
|
Итого: |
736640 |
Таким образом, анализируя аспекты системы документооборота коммерческого банка с позиции сегодняшнего дня, можно сказать, что эта система представляет несомненный интерес. Результатом работы являются выработанные рекомендации по совершенствованию системы защищённого документооборота для коммерческого банка.
К наиболее важным рекомендациям можно отнести:
Разработка нормативно-правовых документов:
-
перечень сведений, составляющих банковскую тайну;
-
договорное обязательство о неразглашении банковской тайны;
-
инструкция по защите банковской тайны.
После анализа безопасности, были разработаны предписания, по улучшению безопасности, которые позволят существенно снизить риск утечки и хищения информации, за счет реорганизации рабочих мест и введения правил пользования конфиденциальной информацией. На основании этих предписаний, была составлена инструкция по работе с документами. Она содержит ряд правил, которые позволят добиться следующих целей:
-
увеличение безопасности документооборота
-
ужесточение контроля за деятельностью сотрудников
-
увеличение сопротивления внешним угрозам
-
подавление деятельности компьютерных вирусов и хакеров
-
создание прозрачной системы с документированием всех операций
Список используемой литературы
1. Политика информационной безопасности Сбербанка России.
2. Инструкция по настройке механизмов безопасности операционных систем на рабочих станциях сотрудников Средне-Русского банка.
3. Инструкция по обеспечению антивирусной безопасности в Сбербанке России.
4. СРЕДСТВО КРИПТОГРАФИЧЕСКОЙ ЗАЩИТЫ ИНФОРМАЦИИ "ТУННЕЛЬ 2.0" ПРОГРАММНО-АППАРАТНЫЙ КОМПЛЕКС ФПСУ-IP Межсетевой экран Руководство администратора.
5. ПРОГРАММНО-АППАРАТНЫЙ КОМПЛЕКС “ФПСУ-IP/КЛИЕНТ” V.2 Руководство пользователя.