15 марта 2011

О внедрении политик информационной безопасности в банках Украины


Эта зстатья является рекламной. Автор получит за неё особо щедрое вознаграждение.
Обычно в своих заметках я избегаю прямой рекламы продукта, производимого нашей компанией. Однако, поскольку этот эта статья является ответом на вопрос (не) одного из наших потенциальных клиентов «а насколько ваш продукт соответствует требованиям Нацбанка?» - то без его упоминания здесь никак не обойтись.
В статье не будут рассматриваться собственно требования Нацбанка, в связи с размытостью. Фактически – это общие слова, и рассылка документа не только не прояснила банкирам ситуацию, но и даже несколько запутала. Не будут также рассматриваться способы «законно» проигнорировать эти требования. Для этого есть штат юристов, пусть они дают рекомендации, а потом отвечают за свои слова. Мы будем исходить из того, что банк возьмёт высланные позже методические рекомендации Нацбанка по внедрению требований и станет добросовестно добиваться их исполнения. Благо, ничего невыполнимого в них нет.
Все возможные атаки на информацию, по большому счёту, были разделены на два типа по методу воздействия (физический и информационный), и на два типа по нахождению источника опасности (внутри и снаружи). Утверждать, что контур информационной безопасности Searchinform защищает от всех – было бы слишком самоуверенно. Это всё-таки довольно специализированный продукт.
Начнём с физического воздействия на целостность. В нашем случае источник непринципиален. Уничтожен носитель данных в результате землетрясения, пожара, неудачного ремонта или кражи – не важно. Важно лишь то, сохранилась ли копия. Если наш контур был установлен до воздействия, и сервер Alert Center «выжил» - информация у вас сохранилась. Индексация рабочих станций сохранила информацию с жёстких дисков, Mail Sniffer – почту и так далее. Однако, следует понимать, что функция резервного хранения – есть лишь побочная возможность нашего продукта, непосредственно для выполнения этих задач он не предназначался, и в обозримом будущем предназначаться не будет. С нашего сервера можно будет выдернуть утерянную пользователем информацию и вернуть владельцу, однако выдана она будет не в привычном порядке, а в порядке, удобном для наших поисковых алгоритмов.  Потому для создания бекапов рекомендуем использовать соответствующее ПО, а нас рассматривать лишь как последнюю линию обороны. Когда лучше хоть как-то, чем вообще никак.
Теперь об информационных воздействиях. От ударов снаружи мы не защищаем и не планируем. Антивирусы, файрволы, защита о ДОС-атак – это не к нам. Криптографическая защита ноутбуков и флешек от рассеянности – тоже. На рынке множество соответствующих решений. Наша цель – мошенник, помощник мошенника или жертва мошенника внутри банка. Цитата: «Особливу увагу слід звернути на людські джерела загроз, які можуть мати різну мотивацію від політичних причин до простого самоствердження. Найбільш вірогідними та найбільш серйозними можна вважати загрози від власних працівників банку, в тому числі ті загрози, які можуть виникати від недостатньої обізнаності персоналу в питаннях інформаційної безпеки». Особое внимание следует обратить на человеческие источники угроз, которые могут иметь разную мотивацию от политических причин до простого самоутверждения. Наиболее вероятными и наиболее вероятными можно считать угрозы от собственных работников банка, в том числе, те угрозы, которые могут возникать от недостаточной квалификации персонала в вопросах информационной безопасности. Именно из этой концепции мы и исходили при создании контура информационной безопасности Searchinform.
Именно поэтому агенты контура перехватывают весь создаваемый, удаляемый и изменяемый пользователем контент (вплоть до разговоров по Skype), а сервер индексирует информацию, сортирует её и по предустановленным или созданным службой информационной безопасности запросам (алертам) информирует уполномоченных сотрудников о фактах нарушения политики безопасности и даже о намерениях её нарушить. Какие именно агенты существуют и по каким алгоритмам мы определяем такие факты, описывать не буду, это тема не для отдельной статьи, а для небольшого цикла, который, возможно, будет написан позже. Если вам срочно – звоните, пишите, будем разговаривать.
Теперь по административным вопросам. В методике их поднято вполне приличное количество. И большинство из них не решается никакой электронной системой. Это просто нужно взять и сделать. Написав политики самостоятельно, или наняв консалтеров со стороны. А потом твёрдой рукой внедрив их. Цитата: «Банк має створити максимально докладний та зрозумілий перелік відомостей, які відносяться до інформації з обмеженим доступом. У цьому переліку повинні бути описані види інформації, які відносяться до кожної з категорій інформації з обмеженим доступом, що надасть можливість полегшити працівнику банку визначення відношення певної інформації до відповідної категорії». Банк должен создать максимально полный и понятный перечень сведений, относящихся к информации с ограниченным доступом. В этом перечне должны быть описаны виды информации, относящиеся к каждой из категорий информации с ограниченным доступом, что даст возможность облегчить сотруднику банку определение отношения определённой информации к соответствующей категории.
На этапе внедрения наша система также будет полезна. Определив перечень и описав соответствующие виды информации через вполне понятный интерфейс Alert Center – вы сможете задать поисковые запросы и найти все соответствующие документы и их копии в сети предприятия. После чего переместить или удалить то, что находится не на своём месте и определить круг лиц, фактически ознакомленных с соответствующей информацией. Причём, выдам маленький секрет, это можно даже сделать бесплатно, установив пробную версию контура информационной безопасности. Она полностью функциональна в течение тридцати календарных дней, чего хватит для выполнения данной задачи. Вас пробная версия ни к чему не обязывает, а мы – ничем не рискуем, напротив, рассчитываем, что из временной лицензии вам захочется сделать постоянную. Так что обращайтесь в ближайший региональный офис или к нашим дилерам. Россиян это тоже касается, требования Банка России принципиально не отличаются.
P.S. Сами методические указания Нацбанка с нашими комментариями – можно найти на сайте Searchinform. На украинском языке, разумеется.
 Александр Ерощев
специалист по информационной безопасности компании SearchInform

Комментариев нет:

Отправить комментарий