НАДЁЖНОЕ ПОДСПОРЬЕ
Для банков сохранять конкурентоспособность, повышая качество, эффективность и надежность обслуживания клиентов, немыслимо без модернизации существующих информационных систем. Это стоит денег, равно как и выполнение обязательств по защите прав клиента, которые налагаются стандартами информационной безопасности Банка России, требованиями федерального закона о персональных данных, которые вступают в силу с 1 января 2011 года, а также международными правовыми актами.
Самым надёжным подспорьем для решения этой задачи является комплекс стандартов Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации». В частности − СТО БР ИББС-1.0 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Основные положения». Он задаёт комплексный подход к обеспечению информационной безопасности на всех этапах банковских автоматизированных систем с использованием и технических средств защиты информации, и организационных мер
Рассмотрим процесс обеспечения информационной безопасности банковской информационной системы с точки зрения требований стандартов Банка России. Исходный пункт − требования к автоматизированной системе, конечный − к сопровождению, в соответствии с ГОСТ 34.601-90 «Автоматизированные системы. Стадии создания».
ЭТАП 1: КОНЦЕПТУАЛЬНОЕ ПРОЕКТИРОВАНИЕ
На начальном этапе, исходя из потребностей бизнес-пользователей и требований к организации соответствующего бизнес-процесса, определяются особенности внедряемой системы. Особенно важно учесть влияющие на защищенность системы от различных угроз и воздействий, оценить нововведение с точки зрения ее информационной безопасности.
Первым делом следует сформировать две модели бизнес-процесса, «как есть» и «как будет». Затем − проанализировать посредством многоуровневой оценки рисков, как изменения повлияют на информационную защищенность банка. Для этого может быть эффективно использована «Методика оценки рисков нарушения информационной безопасности» (РС БР ИББС-2.2), предлагаемая Банком России.
Оценка покажет, в какой степени прогнозируемые риски можно минимизировать при помощи уже имеющихся средств информационной защиты, а в какой − внедрением новых. Оценка финансовых и трудовых затрат на реализацию предлагаемых мер и средств позволит сделать вывод об эффективности новой схемы обеспечения информационной безопасности. Могут быть скорректированы формат автоматизации, параметры перестройки бизнес-процессов, средств и мер защиты.
ЭТАП 2: ТЕХНИЧЕСКОЕ ЗАДАНИЕ
В ходе разработки технического задания детально прорабатываются требования к внедряемой системе, функциональные как напрямую, вытекающие из особенностей бизнес-процессов, так и косвенно, в частности, информационной защиты. Должны быть учтены следующие требования Стандарта Банка России по информационной безопасности банков:
− разделение прав доступа к данным и функциям в соответствии с ролевой моделью и индивидуальными правами пользователей и пользовательских групп;
− идентификации и аутентификации работающих пользователей системы;
− организация контроля сложности и сроков действия паролей в соответствии с нормативными документами банка;
− ведение журнала действий администраторов, пользователей системы, а также изменений данных;
− организация контроля назначений прав доступа и действий пользователей системы.
Также на данном этапе должно быть проконтролировано выполнение требований политики информационной безопасности организации. Все эти положения должны быть внесены в проект технического задания.
ЭТАП 3: ТЕХПРОЕКТ И ЭКСПЛУАТАЦИОННАЯ ДОКУМЕНТАЦИЯ
Технический проект представляет собой совокупность проектных решений, соответствующих требованиям технического задания. Выполнение требований по обеспечению информационной безопасности должно быть проверено. Оценить полноту предлагаемых мер и средств защиты можно повторной, на этот раз низкоуровневой оценкой информационных рисков. При необходимости − дополнить технический проект недостающими пунктами.
Под эксплуатационной документацией обычно понимается руководство для пользователей и администратора. Кроме указанных документов, нужно, во-первых, подготовить руководство для администратора информационной безопасности. Желательно, чтобы этот документ был отдельным, а не входил в руководство для администратора. Во-вторых, потребуется создать руководство по использованию средств защиты информации, в особенности, криптографии.
ЭТАП 4: УСТАНОВКА, НАЛАДКА, ПУСК
Специалисты по информационной безопасности обязательно должны принимать личное участие во вводе информационной системы в действие. В том числе в испытаниях и опытной эксплуатации, проведение которых не должно оказывать никакого ощутимого влияния на текущую работу IT-систем банка.
В случае, если система разработана сторонней организацией-подрядчиком, с точки зрения требований информационной безопасности внедрение и испытание на территории банка должны производиться без доступа посторонних к ресурсам сети или к информационным ресурсам банка.
Данная задача решается созданием изолированных стендов или выделением отдельных сегментов сети для испытаний. Условия проведения испытаний, допуска специалистов сторонней организации и обеспечения информационной безопасности регламентируются специальным документом, который разрабатывается и согласуется всеми заинтересованными структурными подразделениями банка.
В частности, такой документ может включать регламентацию:
− порядка развертывания-свертывания стенда;
− процедуры генерации тестовых данных;
− архитектуры и конфигурации тестового стенда (включая протоколы, настройки операционной системы и блокировку портов);
− перечня разрешенных съемных носителей и процедур передачи информации в рамках стенда;
− порядок допуска специалистов банка и сторонней организации-подрядчика к работе на стенде и контроля их действий.
В обязательном порядке регламентация согласуется организацией-подрядчиком, положения документа должны соответствовать политике информационной безопасности банка, требованиям законодательства РФ и учитывать положения Стандарта Банка России. Регламентирующий документ обеспечивает контроль выполнения сотрудниками банка и привлекаемых организаций предписанных процедур при испытаниях и внедрении системы. Следует тщательно контролировать развертывание информационной системы в продуктивной среде, обеспечить информационную безопасность для минимизации риска негативных воздействий.
ЭТАП 5: СОПРОВОЖДЕНИЕ ШТАТНОЙ РАБОТЫ
Обеспечение информационной безопасности требуется на всех этапах их жизненного цикла автоматизированных банковских систем, начиная с концептуального проекта и заканчивая сопровождением функционирования. Функционирование IT-систем банка в штатном режиме требует неуклонного соблюдения уровня обеспечения информационной безопасности, задаваемого политикой информационной безопасности и проектной документацией системы.
В частности, нужен на постоянной основе контроль соответствия соответствия прав действующих пользователей перечню, указанному в согласованной заявке на доступ, действий их и администраторов системы. Должны действовать специально разработанные процедуры выявления инцидентов в сфере информационной безопасности, уведомлений о них, проведению разбора с выявлением их причин и устранением последствий.
Перечень процедур должен регулярно постоянно дополняться и перерабатываться на основании самого свежего опыта. Жизненно важен постоянный контроль выполнения указанных процедур всеми задействованными подразделениями банка.
- Стоимость медиауслуг (открыть PDF) -
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
