Информационная безопасность в финансовых системах

Компания «Инфосистемы Джет» реализует широкий спектр проектов для организаций финансово-кредитной отрасли: от приведения в соответствие нормативным требованиям по ИБ до внедрения решений в области борьбы с мошенничеством при осуществлении дистанционного банковского обслуживания юридических и физических лиц; от решения оперативных задач до стратегического развития. Специалисты Центра информационной безопасности «Инфосистемы Джет» имеют большой опыт работы с финансовыми организациями и обладают глубоким знанием специфики отрасли. Эти наработки позволяют успешно выполнять проекты различного масштаба и сложности в сфере ИБ финансовых организаций.

Проблематика

Сегодня финансовый сектор является одним из наиболее динамично развивающихся. В этой отрасли существует большое количество задач, связанных с обеспечением ИБ. К наиболее актуальным из которых относятся нижеперечисленные.

  • Состояние ИБ должно соответствовать установленным нормативным требованиям. При этом ежегодно усиливаются правила регулирующих органов, выходят новые версии стандартов. Несоответствие требованиям увеличивает риск штрафов и других административных санкций со стороны различных надзорных органов, а также возрастают угрозы репутации.
  • Решения по защите сервисов дистанционного банковского обслуживания – удобный и мобильный сервис, который позволяет экономить время клиентов и снижать операционные издержки. Проблемы с безопасностью (атаки на клиентскую часть данного сервиса) приводят к серьезным финансовым и репутационный потерям. Информация о подобных инцидентах настораживает клиентов, отбивает у них желание применять для платежных операций дистанционные сервисы. Кроме того, в конце 2012 года вступает в силу ряд изменений в законодательстве РФ, регламентирующих обработку претензий граждан в случае хищений. Это переносит риски возмещения неправомерных операций на кредитно-финансовые организации.
  • Инфраструктура финансовых организаций часто меняется. Это связанно с постоянным развитием: рост клиентской базы (как следствие, увеличение количества сотрудников), расширение территориальной сети, внедрение новых услуг, поглощение конкурентов, объединение в холдинги. При многоуровневой модели подчинения и большом числе разрозненных информационных систем теряется прозрачность процессов. Данная особенность приводит к тому, что традиционные способы управления правами доступа становятся неэффективными с точки зрения безопасности и ресурсозатрат.
  • Современные финансовые организации, как правило, имеют многоуровневую ИТ-инфраструктуру с многочисленными интегрированными в нее средствами ИБ. Несмотря на многоступенчатую систему защиты, инциденты информационной безопасности способны привести к простоям или полностью остановить критичные бизнес-процессы. Как следствие, компания может понести значительные финансовые и имиджевые потери.

Решение

Соответствие стандартам и требованиям

Процессы обеспечения ИБ в организации должны соответствовать международным соглашениям, необходимым стандартам и требованиям регулирующих органов и платежных систем:

  • №152-ФЗ «О персональных данных»;
  • №161-ФЗ «О национальной платежной системе»;
  • стандарта PCI DSS;
  • стандарта Банка России СТО БР ИББС-1.0-2010.

В условиях роста числа нормативных требований по ИБ соответствовать им становится все труднее. Требования стандарта PCI DSS во многом пересекаются с требованиями СТО БР и «Закона о персональных данных». Поэтому некоторые внедряемые в рамках проектов по соответствию PCI DSS организационные и технические меры также помогают выполнению требований №152-ФЗ и стандарта СТО БР.

Центр информационной безопасности компании «Инфосистемы Джет» в решении данных задач использует комплексный подход к выполнению нормативных требований, предполагающий автоматизацию процессов управления и контроля над уровнем соответствия выбранным стандартам. Компанией накоплен большой опыт проектов по приведению ИБ финансовых организаций в соответствие требованиям PCI DSS , ЗПД и СТО БР. Он позволяет оптимальным образом сочетать предлагаемые средства защиты с целью удовлетворить максимальное количество требований различных стандартов.

Решения по защите ДБО

Типовое решение по защите ДБО (дистанционное банковское обслуживание) можно разделить на 2 метода:

  • Традиционные средства и методы безопасности ДБО (создание базовой инфраструктуры безопасности, защиты банковских приложений (АБС, процессинг), создание систем мониторинга (SOC), соответствие стандартам безопасности).
  • Инновационный метод – внедрение системы мониторинга банковских транзакций.

Специалисты компании «Инфосистемы Джет» осуществляют полный комплекс работ по традиционной защите ДБО, обладают всеми необходимыми компетенциями, имеют лицензии и сертификаты на осуществление данной деятельности, а также большой проектный опыт.

Что касается инновационного метода, контроль поведения пользователей осуществляется с помощью внедрения систем класса Fraud Management. Эти системы проводят онлайн-анализ всех банковских транзакций в системах ДБО. Решения данного класса, кроме базовых функциональных возможностей, включают уникальные сервисы повышения эффективности выявления мошеннических операций.

Применение систем Fraud Management обеспечивает:

  1. снижение рисков проведения мошеннических операций при использовании клиентами сервисов ДБО (позволяет блокировать до 99% мошеннических транзакций);
  2. устранение рисков, связанных с ущербом репутации, причин недоверия клиентов к платежным операциям через дистанционные сервисы;
  3. снижение операционных рисков (позволяет выявлять мошеннические сценарии и организации, вносить их в «черный список», накапливать сведения по действиям клиентов и составлять типовую модель поведения).

Системы управления учётными записями

Identity Manager (IDM) позволяет автоматизировать процессы управления учётными записями на основании данных кадровой системы, автоматизировать процессы согласования заявок на доступ, отслеживать учётные записи с избыточными привилегиями и учётные записи, не имеющие владельцев, строить соответствующие отчёты. Предоставляются экспертные услуги по анализу и построению процессов управления правами доступа, инвентаризации прав доступа в информационных системах и построению ролевой модели.

Компания «Инфосистемы Джет» имеет богатый опыт по построению решений централизованного управления учётными записями на базе продуктов технологических лидеров Oracle и IBM, а также Microsoft и SAP. В команде «Инфосистемы Джет» собраны квалифицированные специалисты, в компании выработаны авторские методики, основанные на накопленной экспертизе и лучших отраслевых практиках.

Внедрение IdM-решений позволяет значительно увеличить эффективность процессов управления доступом, сократить время ожидания сотрудников при предоставлении нужных прав, сократить нагрузку на системных администраторов и службу поддержки, снизить риски информационной безопасности, связанные с наличием у сотрудников избыточных прав доступа или конфликтующих полномочий, усилить контроль над информационными системами и повысить прозрачность процессов управления правами доступа.

Центр оперативного управления ИБ

Говоря о решении данной задачи, важно понимать, что в условиях динамичного роста числа сотрудников и территориального развития важно уметь контролировать и управлять всеми процессами ИБ, поддерживать ее необходимый уровень, отслеживать выполнение заданных целевых показателей эффективности обеспечения ИБ в режиме реального времени.

Центр оперативного управления ИБ (Security Operations Center – SOC)представляет собой набор связанных процессов управления ИБ (мониторинг, управление инцидентами ИБ, управление уязвимостями, инвентаризация активов, управление изменениями, контроль политик безопасности) и дополняющих друг друга технических средств, выполняющих их автоматизацию.

Центр информационной безопасности компании «Инфосистемы Джет» создает комплексное решение, обладающее рядом преимуществ:

  • бизнес-ориентированный подход при выборе решения, учитывающий масштаб ИТ-инфраструктуры, поставленных целей и задач управления и обеспечения ИБ;
  • возможность проведения пилота на инфраструктуре заказчика;
  • комплексная реализация проектов (проектирование, внедрение, поставка, поддержка);
  • проект делится на этапы, как по компонентам, так и по области внедрения;
  • проекты по созданию SOC реализуются на базе технологий ведущих вендоров.

Внедрение SOC позволяет финансовым организациям, с одной стороны, контролировать текущее состояние ИБ, минимизировать ущерб от инцидентов, корректировать и совершенствовать механизмы защиты информационных систем за счет постоянного анализа событий ИБ. С другой стороны, наличие SOC позволяет организациям соответствовать нормативным и внутренним требованиям, предъявляемым к организации ИБ. Это способствует повышению доверия со стороны клиентов и партнеров за счет прозрачности работы ИТ-инфраструктуры и постоянного контроля происходящих событий.

УТВЕРЖДАЮ

(наименование предприятия,

(руководитель предприятия

организации, учреждения)

организации, учреждения)

ПОЛОЖЕНИЕ

00.00.0000

№ 00

(подпись)

(фамилия, инициалы)

00.00.0000

Об отделе по защите

информации

I. Общие положения

1. Отдел по защите информации является самостоятельным* структурным подразделением предприятия.

*Отдел по защите информации может входить в состав службы безопасности предприятия.

2. Отдел создается и ликвидируется приказом директора предприятия.

3. Отдел подчиняется непосредственно директору предприятия.

4. Отдел возглавляет начальник, назначаемый на должность приказом директора предприятия.

5. В своей деятельности отдел руководствуется:

5.1. Уставом предприятия.

5.2. Настоящим положением.

5.3. …

6. …

II. Структура

1. Состав и штатную численность отдела по защите информации утверждает директор предприятия исходя из условий и особенностей деятельности предприятия по представлению начальника отдела и по согласованию с ____________________ (отделом кадров; отделом организации и оплаты труда)

2. В состав отдела входят группы специалистов*: инженеров по защите информации, инженеров-программистов, инженеров-электроников, техников-программистов, техников по защите информации, отвечающих за отдельные на-правления в работе (за анализ состояния информационных баз, определение требований к защищенности различных подсистем автоматизированной системы предприятия и выбор методов и средств обеспечения их защиты, а также за разработку необходимых нормативно-методических и организационно-распорядительных документов по вопросам обеспечения информационной безопасности; за эффективное применение и администрирование штатных для операционных систем и систем управления базами данных и дополнительных специализированных средств защиты и анализа защищенности ресурсов автоматизированных систем).

*Следует помнить, что применяемые на практике наименования «Администратор средств защиты, контроля и управления безопасностью», «Системный администратор», «Аналитик по вопросам технической защиты информации и компьютерной безопасности» вводить в положение об отделе, должностные инструкции и иные кадровые документы не следует. Дело в том, что Общероссийский классификатор профессий рабочих, должностей служащих и тарифных разрядов (ОКПДТР) не содержит таких наименований и, соответственно, их применение до внесения изменений в ОКПДТР недопустимо.

3. Начальник отдела по защите информации распределяет обязанности между сотрудниками отдела и утверждает их должностные инструкции.

4. …

III. Задачи

1. Комплексная защита информации на предприятии.

2. …

IV. Функции

1. Разработка и внедрение организационных и технических мероприятий по комплексной защите информации на предприятии по работам, содержание которых составляет государственную или коммерческую тайну.

2. Обеспечение соблюдения режима проводимых работ и сохранения конфиденциальности документированной информации.

3. Обеспечение конфиденциальности переговоров, бесед и совещаний закрытого характера.

4. Разработка проектов текущих и перспективных планов работы.

5. Организация, координация и выполнение работ по защите информации, разработка технических средств контроля.

6. Обеспечение взаимодействия и необходимой кооперации соисполнителей работ по вопросам организации и проведения научно-исследовательских и опытно-конструкторских работ.

7. Организация и контроль выполнения плановых заданий, договорных обязательств, а также сроков, полноты и качества работ, выполняемых соисполнителями.

8. Заключение договоров на работы по защите информации.

9. Разработка и принятие мер по обеспечению финансирования работ, в том числе выполняемых по договорам.

10. Участие в разработке технических заданий на выполняемые предприятием исследования и разработки.

11. Определение целей и постановка задач по созданию безопасных информационных технологий, отвечающих требованиям комплексной защиты информации.

12. Проведение специальных исследований и контрольных проверок по выявлению демаскирующих признаков, возможных каналов утечки информации, в том числе по техническим каналам, и разработка мер по их устранению и предотвращению.

13. Составление актов и другой технической документации о степени защищенности технических средств и помещений.

14. Контроль за соблюдением нормативных требований по защите информации.

15. Обеспечение комплексного использования технических средств, методов и организационных мероприятий.

16. Рассмотрение применяемых и предлагаемых методов защиты информации, промежуточных и конечных результатов исследований и разработок.

17. Согласование проектной и другой технической документации на вновь строящиеся и реконструируемые здания и сооружения в части выполнения требований по защите информации.

18. Рациональное использование и обеспечение сохранности аппаратуры, приборов и другого оборудования.

19. Обеспечение высокого научно-технического уровня работ, эффективности и качества исследований и разработок.

20. Контроль за выполнением предусмотренных мероприятий, анализ материалов контроля, выявление нарушений.

21. Разработка и реализация мер по устранению выявленных недостатков по защите информации.

22. Проведение аттестации объектов, помещений, технических средств, программ, алгоритмов на предмет соответствия требованиям защиты информации по соответствующим классам безопасности.

23. Разработка регламента допуска сотрудников предприятия к отдельным каналам информации, плана защиты информации, положений об определении степени защищенности ресурсов автоматизированных систем.

24. Выбор, установка, настройка и эксплуатация систем защиты в соответствии с организационно-распорядительными документами.

25. Поиск информации о появившихся уязвимостях, обнаружение и устранение уязвимостей в информационных системах.

26. Формирование Перечня сведений, составляющих коммерческую тайну, а также Перечня сведений, отнесенных к государственной тайне.

27. Получение в установленном порядке лицензий на выполнение работ в сфере защиты информации.

28. Составление и представление в установленном порядке отчетности.

29. Ведение делопроизводства в соответствии с установленным порядком.

30. Соблюдение действующих инструкций по режиму работ и принятие своевременных мер по предупреждению нарушений.

31. Обеспечение соответствия проводимых работ технике безопасности, правилам и нормам охраны труда.

32. …

V. Права

Отдел по защите информации имеет право:

1. Осуществлять контроль за деятельностью структурных подразделений предприятия по выполнению ими требований информационной безопасности.

2. Давать структурным подразделениям предприятия и отдельным специалистам обязательные для исполнения указания по вопросам, входящим в компетенцию отдела.

3. Запрашивать и получать от структурных подразделений сведения, справочные и другие материалы, необходимые для осуществления деятельности отдела.

4. Вести самостоятельную переписку с государственными и муниципальными органами по правовым вопросам.

5. Представлять в установленном порядке предприятие в органах государственной власти, иных учреждениях и организациях, по вопросам, входящим в компетенцию отдела.

6. Принимать меры при обнаружении несанкционированного доступа к информации как внутри предприятия, так и извне и докладывать о принятых мерах руководителю предприятия с представлением информации о субъектах, нарушивших режим доступа.

7. По согласованию с руководителем предприятия или заместителем директора предприятия по коммерческим вопросам привлекать экспертов и специалистов в сфере защиты информации для консультаций, подготовки заключений, рекомендаций и предложений.

8. …

9. …

VI. Взаимоотношения (служебные связи)

Для выполнения функций и реализации прав, предусмотренных настоящим положением, отдел по защите информации взаимодействует:

1. С отделом кадров по вопросам:

1.1. Получения:

— личных дел сотрудников предприятия;

— сведений о кандидатурах на должности специалистов по защите информации;

— сведений о кандидатурах на должности специалистов, выполняющих работы, содержание которых является коммерческой или государственной тайной;

— …

1.2. Представления:

— оценок деятельности работников предприятия и соблюдения ими режима работ, содержание которых является коммерческой или государственной тайной;

— сведений о нарушениях и нарушителях режима доступа к информации;

— характеристик на работников, явившихся виновниками утечки, повреждения информации;

— предложений и рекомендаций по поиску специалистов, в должностные обязанности которых входит работа с информацией, являющейся государственной или коммерческой тайной;

— установленных ограничений по медицинским показаниям для осуществления работы с использованием сведений, составляющих государственную или коммерческую тайну;

— …

2. С отделом по организации и оплаты труда по вопросам:

2.1. Получения:

— расчетов фондов оплаты труда;

— копий должностных инструкций на работников, выполняющих работы, содержание которых является коммерческой или государственной тайной;

— предложений по закреплению в должностных инструкциях и иных кадровых документах повышенной степени ответственности за несоблюдение отдельными специалистами обязанностей по использованию информации, являющейся коммерческой или государственной тайной в неслужебных целях;

— …

2.2. Предоставления:

— проектов обязательств работников о неразглашении сведений, являющихся государственной или коммерческой тайной;

— проектов письменного согласия специалистов предприятия на частные, временные ограничения их прав;

— перечня видов, размеров и порядка предоставления льгот и доплат работникам, допущенным к сведениям, являющимся коммерческой или государственной тайной (процентных надбавок к заработной плате, преимущественного права при прочих равных условиях на оставление на работе при проведении организационных и (или) штатных мероприятий, пр.);

— копий принятых В руководителем предприятия решений о допуске работника к сведениям, составляющим государственную или коммерческую тайну;

— памяток работникам предприятия о сохранении коммерческой тайны предприятия для согласования и выдачи работникам предприятия;

— отчетов о расходовании фонда заработной платы;

— …

3. С отделом подготовки кадров по вопросам:

3.1. Получения:

— итогов зачетов, экзаменов работников, прошедших обучение в учебных центрах по переквалификации работников предприятия;

— …

3.2. Предоставления:

— предложений о направлении сотрудников отдела на курсы повышения квалификации, а также в учебные центры, на курсы для изучения новых технологий защиты информации;

— …

4. С финансовым отделом по вопросам:

4.1. Получения:

— финансовых и кредитных планов с приложением оценки степени конфиденциальности и перечнем руководителей подразделений и специалистов, которым эти документы попадают в распоряжение;

— информации о подготовке к торгам или аукционам, их результатах, условиях коммерческих контрактов, платежей и услуг, сведений о методах расчетов, системах ценообразования, уровнях цен на продукцию, сведений об инвестициях, для принятия мер по их защите;

— …

4.2. Предоставления:

— определения потребности подразделения в оборудовании, материальных, финансовых и других ресурсах, необходимых для проведения работ;

— перечня мер по защите финансовой и экономической информации;

— …

5. С юридическим отделом по вопросам:

— проверки соответствия закону ограничений принимаемых отделом по защите информации;

— разработки порядка привлечения к ответственности работников и сторонних лиц, виновных в разглашении сведений, являющихся коммерческой и служебной тайной, утечке информации, повреждении информационных баз предприятия;

— …

6. Со всеми производственными и технологическими подразделениями, выполняющими работы, содержание которых составляет государственную или коммерческую тайну, по вопросам:

6.1. Получения:

— сведений о планах расширения или свертывания производства различных видов продукции;

— сведений об особенностях используемых и разрабатываемых технологий и специфике их применения;

— прочей информации, подлежащей защите;

— списков сотрудников предприятия, выполняющих работы, связанные с использованием информации, являющийся коммерческой или государственной тайной;

— …

6.2. Предоставления:

— отчетов о порядке и состоянии организации защиты коммерческой тайны;

— данных о защищенности информационных баз предприятия от несанкционированного доступа;

— оценки надежности защиты информации предприятия, переданной контрагентам в рамках договорных отношений;

— оценки деловых и моральных качеств сотрудников подразделений;

— …

7. С

по вопросам:

(наименование структурного подразделения)

7.1. Получения:

— …

— …

7.2. Предоставления:

— …

— …

VII. Ответственность

1. Ответственность за надлежащее и своевременное выполнение функций отдела несет начальник отдела по защите информации.

2. На него, в частности, возлагается персональная ответственность в случае:

2.1. Необеспечения сохранности принятых на ответственное хранение программных и технических средств.

2.2. Необеспечения сохранности принимаемой информации и достоверности передаваемой.

2.3. Несвоевременного, а также некачественного исполнения документов и поручений руководства предприятия.

2.4. Допущения использования информации сотрудниками отдела в неслужебных целях.

2.5. Ненадлежащего контроля за режимом доступа к информации, повлекшего утечку информации, повреждение информационных баз данных.

2.6. Несоблюдения трудового распорядка сотрудниками отдела.

2.7. …

2.8.

3. Ответственность сотрудников отдела по защите информации устанавливается олжностными инструкциями.

4. …

(руководитель структурного

(подпись)

(фамилия, инициалы)

подразделения)

00.00.0000

СОГЛАСОВАНО

(должностное лицо, с которым

согласовывается Положение)

(подпись)

(фамилия, инициалы)

00.00.0000

Начальник юридического отдела

(подпись)

(фамилия, инициалы)

00.00.0000

В начало

Деятельность по обеспечению безопасности РФ неоднородна, в ней выделяются следующие основные направления (функции):

  • своевременное прогнозирование и выявление внешних и внутренних угроз безопасности РФ, реализация оперативных и долгосрочных мер по их предупреждению и нейтрализации;
  • создание и поддержка в готовности сил и средств обеспечения безопасности;
  • управление силами и средствами обеспечения безопасности в повседневных условиях и при чрезвычайных ситуациях;
  • осуществление системы мер по восстановлению нормального функционирования объектов безопасности в регионах, пострадавших в результате возникновения чрезвычайной ситуации;
  • участие в мероприятиях по обеспечению безопасности за пределами РФ в соответствии с международными договорами и соглашениями, заключенными или признанными РФ.

В соответствии с указанными направлениями Концепция национальной безопасности определяет задачи в обеспечении национальной безопасности РФ:

  • обеспечение суверенитета и территориальной целостности РФ, безопасности ее пограничного пространства;
  • подъем экономики страны, проведение независимого и социально ориентированного экономического курса;
  • преодоление научно-технической и технологической зависимости РФ от внешних источников;
  • обеспечение на территории РФ личной безопасности человека и гражданина, его конституционных прав и свобод;
  • совершенствование системы государственной власти РФ, федеративных отношений, местного самоуправления и законодательства РФ, формирование гармоничных межнациональных отношений, укрепление правопорядка и сохранение социально-политической стабильности общества;
  • обеспечение неукоснительного соблюдения законодательства всеми гражданами, должностными лицами, государственными органами, политическими партиями, общественными и религиозными организациями;
  • обеспечение равноправного сотрудничества России, прежде всего с ведущими государствами мира;
  • подъем и поддержка на достаточно высоком уровне военного потенциала государства;
  • укрепление режима нераспространения оружия массового уничтожения и средств его доставки;
  • принятие эффективных мер по выявлению, предупреждению и пресечению разведывательной и подрывной деятельности иностранных государств, направленных против РФ;
  • коренное улучшение экологической ситуации в стране.

Важнейшими задачами в области борьбы с преступностью и криминализацией общественных отношений, представляющих угрозу безопасности РФ, в соответствии с Концепцией национальной безопасности являются: выявление, устранение и предупреждение причин и условий, порождающих преступность; усиление роли государства как гаранта безопасности личности и общества, создание необходимой для этого правовой базы механизма ее применения; укрепление системы правоохранительных органов, прежде всего структур, противодействующих организованной преступности и терроризму, создание условий для их эффективной деятельности; привлечение государственных органов в пределах их компетенции к деятельности по предупреждению противоправных деяний; расширение взаимовыгодного сотрудничества в правоохранительной сфере, в первую очередь с государствами – участниками Содружества Независимых Государств.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *