«Непрерывное функционирование информационных систем и электронные архивы банков Украины» Ирина Ивченко Вадим Бадашин Предисловие Відповідно до статті 7 Закону України “Про Національний банк України”, статті 10 Закону України “Про захист інформації в інформаційно-телекомунікаційних системах” і статті 10 Закону України “Про стандартизацію”, з метою підвищення рівня інформаційної безпеки в банківській системі України Правління Національного банку України видало Постанову: №474 від 28 жовтня 2010р. “Про набрання чинності стандартами з управління інформаційною безпекою в банківській системі України” 06.05.2016 2 Цели внедрения СУИБ снизить и оптимизировать стоимость построения и поддержки системы информационной безопасности; постоянно отслеживать и оценивать риски с учетом всей бизнеса; эффективно выявлять наиболее критические риски и избегать их реализации; разработать эффективную политику информационной безопасности и обеспечить ее качественное выполнение; эффективно разрабатывать, внедрять и тестировать планы восстановления бизнеса; обеспечить понимание вопросов информационной безопасности руководством и всеми работниками; обеспечить повышение репутации и рыночной привлекательности; 06.05.2016 3 Наш опыт - Нам доверили Современные тенденции в банках • Отсутствие понимания необходимости и полезности внедрения СУИБ как на уровне руководства банка, так и иногда даже на уровне ответственных за информационную безопасность • Отсутствие понимание того, что СУИБ – это непрерывный процесс, целью которого является повышение информационной безопасности банка и уменьшение операционных рисков • Чрезмерная узкая специализация специалистов (как в ИТ так и в бизнесе) и, как следствие, отсутствие специалистов способных системно оценить ИТ-инфраструктуру. Это, в свою очередь, может привести к неэффективному использованию бюджета банка, предназначенного для ИТ • Отсутствие или неэффективность внутреннего ИТ-аудита • Отсутствие понимания принципов обеспечения непрерывности работы банка и различия между резервным копированием информации и обеспечением непрерывности бизнеса Основные проблемы с внедрением СУИБ в банках • Отсутствие или неактуальность внутренних нормативных документов банка • Отсутствие актуальной схемы сети банка и описания принципов управления сетью • Отсутствие или неактуальность перечня ресурсов СУИБ • Отсутствие или неактуальность матрицы прав доступа • Проведение тестирования программно-технических комплексов на копиях реальных промышленных баз данных • Отсутствие или неактуальность документов, описывающих резервное копирование и восстановление работоспособности программно-технических комплексов после сбоев • Отсутствие программ обучения персонала основам информационной безопасности Основные ошибки принципов обеспечения непрерывности работы банка • Отсутствие резервной площадки или ее расположение в том же здании, что и основные сервера • Хранение резервных копий информации в тех же серверных помещениях, что и основные сервера • Снятие полных копий баз данных слишком редко (раз в неделю) • Отсутствие полноценных электронных архивов 06.05.2016 7 Непрерывность деятельности Требования к непрерывности бизнеса определяются постановлением НБУ: №265 «Об утверждении положения по обеспечению непрерывного функционирования информационных систем НБУ и банков Украины». Под обеспечением непрерывной деятельности банка понимается – обеспечение выполнения его функций даже в тех случаях, когда на его деятельность оказывают влияние неблагоприятные факторы и чрезвычайные ситуации: 1. Необходимо обеспечивать непрерывность операций, а также защиту сотрудников, клиентов, инвесторов. 2. В защите нуждаются средства производства, инфраструктура, информация. 3. Если прежде подходы к обеспечению непрерывности были специфичными для каждой области деятельности, и зачастую каждое подразделение занималось этой проблемой независимо от остальных, то сегодня необходим единый подход к проблеме сохранения устойчивости бизнеса банка в целом. 06.05.2016 8 Управление непрерывностью деятельности Анализ структуры и бизнеспроцессов Определение стратегии обеспечения непрерывности Разработка и внедрение процедуры реагирования Тестирование и поддержка 06.05.2016 9 Управление непрерывностью деятельности Процесс обеспечения непрерывности деятельности нельзя свести к аварийному восстановлению, или к кризисному управлению, или к управлению рисками, или восстановлению технической архитектуры. Инициатором и движущей силой этого процесса должно быть высшее руководство банка. 06.05.2016 10 Основные уровни Бизнес-процессы (выполнение операций связанных с предоставлением услуг и сервисов) Информационное наполнение подсистем (базы данных, копии данных, системы хранения данных, электронные архивы) Инфраструктура банка (корпоративная сеть банка, каналы связи, сервера, коммутационное оборудование и т.д.) 06.05.2016 11 Основные уровни Инфраструктура банка должна быть построена соответствии с требованиями отказоустойчивой системы элементами зеркалирования, и бэкапирования. в с Бизнес-процессы процессы и должны быть описаны задокументированы. Информационное наполнение подсистем связано, прежде всего, с базами данных и системами хранения данных. Можно выделить основные источники информации: 1. Документооборот банка (неплатёжные документы). 2. Базы данных с платёжными документами (база данных основной системы банка и платёжных комплексов). 3. Базы данных международных платёжных систем (платёжные карточки и денежные переводы). 06.05.2016 12 План управления непрерывностью Этап 1. Анализ структуры банка и бизнес-процессов Этап 2. Определение стратегии обеспечения непрерывности деятельности Этап 3. Разработка и внедрение процедур реагирования Этап 4. Тестирование, поддержка и пересмотр мероприятий процесса управления непрерывностью деятельности. Этап 5. Встраивание процесса управления непрерывностью деятельности в корпоративную культуру. 06.05.2016 13 Этапы восстановительных работ Аварийное восстановление Обеспечение непрерывности деятельности ЧП ЧП 06.05.2016 Восстановление штатного функционирования Время 14 Электронный архив Электронный архив - это программно-аппаратный комплекс, обеспечивающий структурированное хранение документов в электронном виде. Программное обеспечение электронного архива может быть самостоятельным или интегрированным в систему документооборота. Нельзя путать электронный архив с копиями информации с подсистем банка 06.05.2016 резервными 15 Функции электронного архива К стандартным функциям электронного архива относятся: создание карточек электронных документов. создание структуры папок электронного архива. помещение карточек документов в папки. поиск документов в архиве. ведение классификаторов, таких как "Номенклатура дел" и "Виды документов". классификация карточек документов. управление правами доступа к папкам архива и карточкам документов. удаление карточек документов из электронного архива. 06.05.2016 16 Электронный архив Техническая возможность реализации электронных архивов появилась относительно недавно: 1.Появились дешевые носители библиотеки компакт и магнитооптических дисков. 2.Снизился показатель стоимость/производительность для высокоскоростных вычислительных систем, сетей и устройств. 3.Получили развитие аппаратно-программные системы, реализующие параллельную обработку запросов. 4.Повысился уровень интерфейса работы с СУБД. 5.Появились новые информационные технологии индексирования сверхбольших массивов данных. 6.Разработаны и развиваются отечественные технологии и программные продукты распознавания и анализа русскоязычных текстов. 7.Наметилось направление внедрения средств искусственного интеллекта, позволяющих моделировать и анализировать большие массивы информации. 06.05.2016 17 Жизненный цикл Создание Архивирование и уничтожение Поиск и повторное использован ие Использование 06.05.2016 Рецензирован ие Утверждение Распространен ие 18 Пример построения системы архивного хранения и обеспечения непрерывности работы банка В НБУ реализуется проект резервного копирования и восстановления информации на базе программного обеспечения Symantec NetBackup. В то время как резервное копирование может иметь множество форм, восстановление должно быть единообразным. NetBackup с технологией V-Ray представляет собой единое решение, которое позволяет восстанавливать данные по требованию — с ленты, диска, мгновенной копии или облака — в физической или виртуальной среде. Только NetBackup с технологией V-Ray позволяет унифицировать резервное копирование, дедупликацию, репликацию, создание мгновенных копий и работу с устройствами, поддерживая технологии VMware и Hyper-V в одном продукте. 06.05.2016 19 Команда SICenter Опыт, знания и навыки, а также реализованные проекты, позволяют команде SICenter решать задачи различной сложности в крупных государственных и коммерческих организациях. Сотрудничество с SICenter позволит оптимизировать расходы и увеличить прибыльность Вашего бизнеса, обеспечить безопасность и предотвратить хищение данных, обеспечить стабильность и непрерывность работы информационных систем, повысить эффективность управления ресурсами. 06.05.2016 20 Спасибо за внимание Вадим Бадашин [email protected] +380 50 310-48-18 Ирина Ивченко [email protected] +380 67 715-13-69