Политика информационной безопасности банка

 

 

Политика  информационной безопасности банка

 

 

Политика информационной безопасности  определяет цели и задачи системы защиты информации, принципы ее организации, правовые основы, виды угроз информационной безопасности, ресурсы, подлежащие защите, а также основные направления разработки системы защиты информации, включая правовую, организационную и программно-техническую защиту. Политика информационной безопасности является неотъемлемой составляющей общей политики безопасности Банка и строится в точном соответствии с Концепцией безопасности Банка.

Главной целью  разработки и реализации Политики информационной безопасности является обеспечение устойчивого функционирования Банка и предотвращение угроз его информационной безопасности, недопущения хищения, разглашения, утраты, утечки, искажения и уничтожения сведений, подлежащих защите и нарушения работы программно-технических средств  приема, передачи, хранения и обработки информации.

Для реализации Политики информационной безопасности в Банке создается коллегиальный орган - Комитет по информационной безопасности. Председателем Комитета является Президент Банка, Заместителем председателя избирается один из Вице-президентов Банка, членами комитета являются все руководители подразделений Банка, исполнительным секретарем – начальник Отдела защиты информации.

Политика информационной безопасности разрабатывается Комитетом  и  утверждается Президентом Банка. Политика пересматривается по мере необходимости, но не реже одного раза в год по представлению  Комитета.   

 

1. Описание объектов защиты

Объектами защиты являются

 

• Любая информация (на бумажной, магнитной, оптической основе, информационные массивы и базы данных, программное обеспечение, информативные физические поля различного характера), содержащая сведения ограниченного доступа ("для служебного пользования", "конфиденциальная" и "строго конфиденциальная"), а также другая информация, имеющая важное (критическое) значение для деятельности Банка и подлежащая защите;
• средства и системы информатизации (программно-технические средства обработки информации, автоматизированные системы и вычислительные сети различного уровня и назначения, линии телеграфной, телефонной, факсимильной, радио и оптической связи, технические средства передачи информации, средства размножения и отображения информации, вспомогательные технические средства и системы);
• технические средства и системы защиты информационных ресурсов;
• технологические процедуры выполнения банковских операций и процедуры обработки банковской информации (в виде технологических инструкций выполнения операций, должностных инструкций и сложивших неписаных порядков и правил)

 

Особенности корпоративной сети Банка, влияющие на систему защиты информации:

• Значительное число территориально-распределенных  объектов, составляющих информационную систему Банка (ИС) и связанных с центральным объектом по линиям связи различного физического происхождения;
• Большая и разнообразная номенклатура технических средств связи, протоколов взаимодействия (TCP/IP, IPX, X-25, FDDI) и режимов (on-line, of-line) для обеспечения работы корпоративной сети ИС Банка;
• Непрерывность функционирования сетей и высокая интенсивность потоков информации в ИС, совместное использование как новых так и старых технологий и средств обработки информации;
• Широкое использование различных систем связи с внешними организациями и специальными системами (Internet, Reuter, S.W.I.F.T., SPRINT, СЭР ЦБРФ) как в качестве источников, так и потребителей информации;
• Широкая номенклатура применяемых программных и технических средств обработки информации;
• Большое разнообразие категорий пользователей и обслуживающего персонала ИС;
• Непрерывное развитие и совершенствование ИС Банка.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

2. Основные  угрозы информационной безопасности  банка

 

  2.1  К  угрозам информационной безопасности банка относятся события, связанные с нарушением основных  свойств безопасности.

 

 Доступность входной информации нарушается при:

• Отказах и неисправностях программно-технических средств приема, передачи, хранения и обработки информации;
• Несвоевременном изготовлении или отсутствии достаточного количества копий документов для одновременной работы нескольких пользователей;
• Несвоевременном предоставлении документов из технологической цепочки при последовательной обработке одного и того же документа несколькими исполнителями;
• Несвоевременном предоставлении исполнителям соответствующих прав доступа к информации либо к программно-техническим средствам ее обработки либо при дискредитации этих прав;
• компрометации ключей (средств) аутентификации систем связи и специальных систем (Reuter, S.W.I.F.T., СЭР ЦБ РФ, ГИВЦ ГТК и др.)

Целостность выходной информации нарушается при:

• ручном вводе информации в ЭВМ при отсутствии внешнего независимого механизма контроля ввода информации;
• распечатке документов на принтерах общего пользования, когда распечатанный документ не сверяется с первоисточником независимым механизмом, так как возможна распечатка документа любыми программами печати с подменой исходных данных;
• передаче информации по открытым каналам связи (модемная связь по телефонным открытым линиям, телеграфные линии, системы связи типа Internet, Sprint, телекс, факс и др.) без специальных средств поддержания целостности (ЭЦП, шифрования, контрольных кодовых групп, телеграфных и телексных ключей, других специальных идентификационных признаков);
• копировании документов без использования независимых механизмов сверки полученных и исходных документов;
• регистрации документов в журналах (книгах, папках) учета без использования специальных механизмов соответствия учетных данных и исходных документов;
• хранении документов без специальных средств контроля целостности хранилищ документов (документы дня и другие папки документов);
• ручном раскассировании документов в раскладки клиентов;
• ручном пересчитывании купюр 1 сотрудником без применения технических средств;
• принятии управляющих решений на основе неполных или неверных входных данных;
• передаче данных по телефону или факсу без соответствующей аппаратуры контроля приема и передачи информации;
• занесении в ИС вирусов и других вредоносных программ, нарушающих программную целостность информационной среды;

Конфиденциальность  информации нарушается при:

• передаче и приеме информации по незащищенным системам внешних и внутренних телекоммуникаций и локальным сетям без специальных средств поддержания конфиденциальности (аутентификации пользователей, шифровании сообщений);
• компрометации ключей (средств) аутентификации систем связи и специальных систем (Reuter, S.W.I.F.T., СЭР ЦБ РФ, ГИВЦ ГТК и др.)
• ведении конфиденциальных переговоров по незащищенным телефонам МГТС;
• передаче и приеме факсов на аппаратах общего пользования по линиям МГТС;
• размножении (в том числе копировании на отчуждаемые носители) документов (информации) ограниченного доступа без учета копий (отчуждаемых носителей) на технических средствах общего доступа;
• распечатке информации ограниченного доступа на принтерах на неучтенных носителях (бумаге);
• распечатке конфиденциальной или любой другой информации ограниченного доступа на принтерах общего пользования;
• неисправности механизмов контроля доступа к информации, функциям или техническим средствам, позволяющим выполнять функции, доступ к которым должен быть ограничен, при сохранении работоспособности остальных механизмов системы.

 

2.2   Неформальная  модель нарушителя

 

 Нарушитель - это лицо, предпринявшее попытку выполнения запрещенных операций (действий) по ошибке, незнанию или осознанно со злым умыслом (из корыстных интересов) или без такового (ради игры или удовольствия, с целью самоутверждения и т.п.) и использующее для этого различные возможности, методы и средства.

Злоумышленник - нарушитель, намеренно идущий на нарушение из корыстных побуждений.

 

Категории лиц, к которым  может принадлежать нарушитель:

 

Внутренним нарушителем может быть лицо из следующих категорий персонала:

• пользователи (операторы) системы, в первую очередь специалисты, обслуживающие критические банковские процедуры – прием-передача финансовой информации через внешние системы связи (начальник отдела и группа S.W.I.F.T. отдела корреспондентских отношений), выполнение внутренних банковских проводок (ответственные исполнители бухгалтерии и заместитель Главного бухгалтера), заключение сделок  через удаленные терминалы (дилеры отдела международных расчетов), установление курсов валют (начальник отдела международных расчетов), выполнение кредитных операций (специалисты кредитных подразделений);
• персонал, обслуживающий технические средства (инженеры, техники);
• сотрудники отделов разработки и сопровождения ПО (прикладные и системные программисты), в первую очередь администраторы сетей и специалисты, связанные с передачей информации через модемные пулы;
• технический персонал, обслуживающий здания (уборщики, электрики, сантехники и другие сотрудники, имеющие доступ в здания и помещения, где расположены компоненты ИС);
• сотрудники службы безопасности ИС (отдела компьютерного аудита и отдела защиты информации;
• руководители различных уровней должностной иерархии, утверждающие проведение и исполнение платежей, а также планирующие перемещение средств на корреспондентских счетах Банка

 

Посторонние лица, которые могут быть нарушителями:

• клиенты, представители внешних организаций, физические лица;
• посетители (приглашенные по какому-либо поводу);
• представители организаций, взаимодействующих по вопросам обеспечения жизнедеятельности организации (энерго-, водо-, теплоснабжения и т.п.);
• представители конкурирующих организаций (иностранных спецслужб) или лица, действующие по их заданию;
• лица, случайно или умышленно нарушившие пропускной режим (без цели нарушить безопасность АС);
• любые лица за пределами контролируемой территории.

 

 

 

2.2.2  Мотивация действий нарушителя (преследуемые нарушителем цели);

Можно выделить три основных мотива нарушений: безответственность, самоутверждение и корыстный интерес.

Безответственность, когда пользователь целенаправленно или случайно производит какие-либо разрушающие действия, не связанные тем не менее со злым умыслом. В большинстве случаев это следствие некомпетентности или небрежности.

Самоутверждение, когда некоторые пользователи считают получение доступа к данным ограниченного доступа крупным успехом, затевая своего рода игру "пользователь - против системы" ради самоутверждения либо в собственных глазах, либо в глазах коллег.

Корыстный интерес. В этом случае он будет целенаправленно пытаться преодолеть систему защиты для доступа к хранимой, передаваемой и обрабатываемой в ИС информации. Даже если ИС имеет средства, делающие такое проникновение чрезвычайно сложным, полностью защитить ее от проникновения практически невозможно.

 

2.2.3 Квалификации нарушителя

По уровню подготовки нарушители могут  быть разной квалификации

• знает функциональные особенности АС, основные закономерности формирования в ней массивов данных и потоков запросов к ним, умеет пользоваться штатными средствами;
• обладает высоким уровнем знаний и опытом работы с техническими средствами системы и их обслуживания;
• обладает высоким уровнем знаний в области программирования и вычислительной техники, проектирования и эксплуатации автоматизированных информационных систем;
• знает структуру, функции и механизм действия средств защиты, их сильные и слабые стороны.

 Наибольшую угрозу представляют  нарушители последних трех групп.

2.2.4  Возможные действия нарушителей. 

• использование недостатков в технологических процессах выполнения банковских операций
• применение чисто агентурных методов получения сведений;
• применение пассивных технических средства перехвата информации без модификации компонентов системы (несанкционированные подключения к локальной сети банка на свободные разъемы хабов либо вместо штатных рабочих мест, установка средств перехвата акустической, электромагнитной, акустовибрационной и другой информации);
• использование только штатных средств и недостатков систем защиты информации (несанкционированное копирование и размножение информации на отчуждаемые носители информации с использованием разрешенных средств);
• применение методов и средств активного воздействия (модификация и подключение дополнительных технических средств, подключение к внешним каналам передачи данных через дополнительные модемы, внедрение программных закладок и использование специальных инструментальных и технологических программ для преодоления систем защиты информации извне ИС Банка).

 

3. Требования  к системе защите информации 

 

Система защиты информации должна обеспечивать:

 

• защиту информации от вмешательства посторонних нарушителей извне (через подключения к каналам связи внутрибанковской сети, через внешние системы, включая Интернет) и комплексную систему антивирусной защиты;
• разграничение доступа законных пользователей к ресурсам системы по уровням доступа (к рабочим местам, ресурсам вычислительной сети, к различным информационным системам, в первую очередь Автоматизированной банковской системе, к средствам передачи информации, включая внутреннюю и внешнюю электронную почту, средства Интернет и другие);
• идентификацию и аутентификацию пользователей при работе в ИС;
• контроль над легитимностью действий пользователей и своевременное и соответствующее реагирование на нарушения;
• централизованный контроль целостности технических средств обработки информации;
• централизованное управление конфигурациями элементов корпоративной сети ИС Банка, контроль целостности конфигураций;
• защиту целостности и конфиденциальности информации на всех этапах ее обработки, включая методы шифрования, использования электронной цифровой подписи и антивирусные средства;
• соответствующие изменения в организации защиты информации при совершенствовании технологий выполнения банковских операций

 

 

 

4.  Принципы  построения системы защиты информации

 

4.1  Главными методологическими принципами построения системы защиты информации являются

 

Комплексность:

• обеспечение безопасности информации от возможных угроз всеми доступными законными средствами, методами и мероприятиями;
• обеспечение безопасности информационных ресурсов в течение всего их жизненного цикла, на всех технологических этапах их обработки (преобразования) и использования, во всех режимах функционирования;
• способность системы защиты информации к развитию и совершенствованию в соответствии с изменениями условий функционирования Банка.

Комплексность достигается:

• организацией системы управления доступа ко всем информационным ресурсам Банка;
• организацией специального делопроизводства (для учета всех видов отчуждаемых носителей информации) с ориентацией на защиту коммерческих секретов и банковской тайны;
• мероприятиями по подбору и расстановке кадров на всех критических для защиты информации местах;
• широким использованием программно-технических средств  защиты информации;