Защита информации в автоматизированных системах и сетях
8.1 Основным объектом защиты является информация, циркулирующая в программно-аппаратных средствах, информационно-вычислительных системах и сетях, используемых в Банке. Непосредственное проведение работ по обеспечению информационной безопасности Банка осуществляется Отделом информационной безопасности Управления экономической безопасности, сформированного из специалистов, имеющих специальное образование или прошедших переподготовку по вопросам защиты информации. Работы по защите проводятся с привлечением уполномоченных лиц подразделений Головной организации Банка, филиалов и дополнительных офисов на основе анализа материалов по системам обработки информации, в первую очередь Департамента информационных технологий, и выработки на их основе рекомендаций, направленных на улучшение характеристик применяемых средств защиты или внедрения новых.
8.2 Основным компонентом защиты информации является «Политика информационной безопасности АКЦИОНЕРНОГО БАНКА», представляющая свод правил и положений, определяющих средства и способы обеспечения защиты при обработке информации в автоматизированных системах и сетях различного назначения, используемых в Банке. В Политику включаются следующие этапы работ:
- оценка существующего программно-аппаратного обеспечения;
- приобретение дополнительных программно-технических средств;
- монтаж и наладка систем безопасности;
- тестирование системы безопасности, проверка эффективности средств защиты;
- обучение пользователей и персонала, обслуживающего систему.
8.3 Основной целью обеспечения информационной безопасности является защита информационно-вычислительных систем Банка и отдельных ее компонентов от воздействия факторов риска, а также минимизация воздействий от них. Законом "Об информации, информатизации и защите информации" вводится обязательное применение сертифицированных отечественных программно-аппаратных средств защиты информации. Поставщики средств должны иметь необходимые лицензии на распространение продукции и/или её обслуживание, а также иные лицензии в соответствии с законодательством РФ.
Информационная безопасность реализуется с помощью средств защиты и управления защитой, контроля и регистрации, обеспечения безотказной работы и восстановления систем и сетей. Предотвращение кризисных ситуаций осуществляется средствами защиты, предохраняющими уязвимые места систем от воздействия факторов риска. В случае возникновения кризисных ситуаций, предотвращение которых средствами защиты невозможно, работа систем осуществляется по «Плану обеспечения безотказной работы и восстановления сетей и систем АКЦИОНЕРНОГО БАНКА».
Информационная безопасность достигается путем:
- предотвращения кризисных ситуаций, способных нанести ущерб программным и аппаратным средствам, информации, а также персоналу;
- минимизации ущерба и быстрейшего восстановления программных и аппаратных средств, информации, пострадавших в результате кризисных ситуаций, расследование причин и принятие соответствующих мер.
8.4 Меры по созданию режима защиты информационных ресурсов подразделяются на технические и организационно-правовые. При осуществлении технических мер применяются следующие средства защиты автоматизированных систем.
1. Средства контроля доступа и назначения полномочий:
-средства контроля доступа в помещения;
-средства идентификации и аутентификации при доступе к подсистемам программно-технических средств коллективного пользования;
-средства контроля доступа к серверам;
-средства контроля доступа к сети передачи данных;
-средства защиты на уровне ПК;
-средства протоколирования действий пользователей и обслуживающего персонала в системе.
2. Средства криптографической защиты информации (СКЗИ), применяемые для связи с внешними платежными и торговыми системами или для связи с клиентами.
3. Средства защиты от утечки информации по каналам электромагнитного излучения с использованием внедренных технических устройств.
Перечисленные средства необходимо использовать с учетом следующих базовых принципов:
- каждый пользователь должен иметь минимум полномочий, необходимых и достаточных для решения своих задач. Применение данного принципа сводит к минимуму возможность НСД и облегчает расследование нарушений и фактов проникновения.
- все элементы системы Банка должны быть разделены на «контуры защиты». Защита организуется внутри контура и между ними. Суть этого принципа заключается в том, что информация определенной категории сосредоточена внутри контура, а вход и выход за пределы контура контролируются.
8.5 К организационно-правовым мероприятиям следует отнести наряду с общими обязательствами по сохранению коммерческой тайны, подписание специального обязательства о правилах пользования компьютерными сетями Банка. Оно должно включать следующие положения:
- использование нематериальных активов Банка только в производственных интересах;
- ограничение передачи коммерческой информации по внешним коммуникационным сетям;
- добровольное согласие на автоматизированный контроль внешних коммуникаций.
Отдельно оговариваются права на использование сотрудником лицензируемых продуктов, приобретаемых Банком, и обязательства по порядку их использования и нераспространения.
8.6 Система санкционированного доступа в помещения, отнесённые к «зонам безопасности», должна обеспечивать протоколирование перемещений сотрудников путем установки системы запирающих устройств, открывающихся персональными карточками - ключами и управляемых с единого рабочего места. Управление системой контроля доступа осуществляет Управление экономической безопасности Банка.
8.7 Необходимым элементом обеспечения информационной безопасности является однозначная идентификация (определение личности) и аутентификация (подтверждение личности) пользователей, применяемые в Банке в виде парольной защиты. При этом требуется:
- использовать обязательную парольную защиту в качестве базовой, с предотвращением перехвата пароля. Пароль должен обновляться не реже 1 раза в квартал. При работе с приложениями также используется механизм аутентификации.
- для доступа к узлам или другой аппаратуре, обрабатывающей конфиденциальную информацию, использовать усиление парольной защиты в виде специальных программно-аппаратных средств;
- запретить привилегированный доступ к удаленным узлам.
Управление средствами идентификации и аутентификации осуществляется администраторами безопасности сетей и систем.
8.8 Средства защиты серверов предназначены для обеспечения конфиденциальности и целостности путем защиты от НСД к ЭВМ, среде исполнения процесса, областям пользователей, областям оперативной памяти и дискового пространства, данным на чтение/модификацию/уничтожение. Обеспечение доступности достигается средствами мониторинга и диагностики, а также с помощью средств и мер безотказной работы.
Конкретные способы и методы использования средств защиты определяются особенностями конкретной системы или сервера и регламентируются планом защиты конкретной системы.
8.9 Телекоммуникационная сеть Банка представляет собой совокупность локальных сетей Банка и филиалов, а также опорной сети Банка (сети провайдеров телекоммуникационных услуг). Основной задачей защиты телекоммуникационной сети является обеспечение конфиденциальности передаваемой информации (предотвращение прослушивания трафика); целостность конфигурации и трафика сети; доступность ресурсов сети; контроль доступа для предотвращения НСД извне; контроль доступа и управления коммуникационным оборудованием локальной сети.
Задачи защиты сетей Банка решаются на основе существующих программно-аппаратных коммуникационных средств. Те задачи, которые не могут быть решены на уровне транспортной службы сети, должны решаться средствами операционных систем и приложений.
8.10 Одним из самых уязвимых мест любой системы является точка входа в сеть общего пользования (Internet). В связи с этим предлагается применять следующие меры по защите внутренней сети:
- взаимодействие с сетью общего пользования должно осуществляться через специальный шлюз;
- если сеть общего пользования используется для передачи конфиденциальной информации, то такая передача должна осуществляться с применением сертифицированных средств криптозащиты;
- доступ сотрудников Банка к сети общего пользования должен быть строго регламентирован.
8.11 Защита на уровне ПК является защитой рабочего места пользователя и одним из основных элементов комплексной защиты для однозначной идентификации «пользователь — рабочее место».
Средства защиты ПК должны обеспечивать:
- идентификацию и аутентификацию пользователя;
- невозможность изменения системных параметров компьютера, инсталляцию программного обеспечения, копирование данных на съемные носители информации;
- защиту системного и прикладного программного обеспечения, в том числе сетевого, от реконфигурации;
- отсутствие программ - вирусов и программ - закладок;
- невозможность физического доступа к аппаратным ресурсам ПК;
- запрет на применение считывающих устройств с внешних носителей информации, исключение делается для пользователей, имеющих разрешение Управления экономической безопасности;
- ведение системного журнала по основным событиям.
На каждом рабочем месте должны быть зарегистрированы только два пользователя - непосредственно пользователь и администратор. Администратор может входить в систему для реконфигурации только в локальном режиме.
8.12 Конфигурирование и управление средствами защиты осуществляет Департамент информационных технологий. Контроль средств защиты выполняет Управление экономической безопасности.
8.13 В настоящее время криптозащита является единственно надежным средством защиты конфиденциальной информации при передаче по каналам связи. В каждой системе Банка используется, как правило, штатное программно-аппаратное средство криптозащиты. Порядок применения конкретных систем криптозащиты изложен в инструкциях пользователей подсистем.
Помещения для размещения технических средств криптографической защиты информации должны находиться в зоне безопасности. Под зоной безопасности понимается территория банка, в которой имеют право находиться только работники банка, имеющие в неё допуск. Рекомендуется использование автоматизированной системы контроля и учёта доступа в помещение с регламентацией санкционированного права допуска.
Управление средствами криптозащиты осуществляют соответствующие должностные лица в каждой подсистеме. Контроль и учет использования средств криптозащиты осуществляет Управление экономической безопасности.
8.14 Главной задачей средств контроля является своевременное обнаружение и регистрация ситуаций, которые в соответствии с установленными факторами риска могут быть расценены как угрозы Банку. Контроль включает в себя:
- регистрацию событий в целях профилактики информационной безопасности или же тех событий, которые могут быть расценены как угроза;
- выдачу соответствующих сообщений на консоль оператора или/и протоколирование параметров событий в системном журнале.
Средства управления предназначены для оперативной реакции со стороны администраторов безопасности систем на различные, в т.ч. и кризисные ситуации, а также для настройки основных параметров системы. Основными функциями управления являются:
-ликвидация аварийных ситуаций;
-конфигурирование программно-аппаратных средств подсистем;
-защита от НСД;
-регистрация пользователей и распределение ресурсов.
8.15 Организационные меры являются основным элементом, связывающим в единое целое средства и меры защиты, контроля и управления, а также правила их использования и применения. К организационным мерам относятся также разработка руководящих и нормативных документов, контроль за их выполнением. Основой организации защиты и контроля систем и сетей является «Политика информационной безопасности АКЦИОНЕРНОГО БАНКА».
«Политика информационной безопасности АКЦИОНЕРНОГО БАНКА» - руководящий документ, описывающий основные положения и принципы реализации концепции информационной безопасности. Политика разрабатывается в целях:
- определения целей и общих принципов защиты информации, факторов риска и уязвимых мест систем;
- определения на некоторый момент времени состава всех информационно-вычислительных систем, программных и аппаратных средств, их конфигурацию, средств защиты, контроля и управления;
- определения общих правил обработки информации;
- определения обязанностей пользователей и персонала систем по защите информации.