Меры, позволяющие обеспечить информационную безопасность в банке Начальник управления прикладных и системно-технических разработок ОАО «Центр банковских технологий» Чурносов Иван Борисович ОАО «Центр банковских технологий» Беларусь, 220004 Минск, ул. Кальварийская 7 Тел.: +375 17 2032916 www.сbt.by Жизненный цикл в ИБ Изучение фактического состояния, включает: Организационная структура банка нормативно-распорядительная документация в области безопасности, их соответствие безопасности. целям и информационной Система управления доступом, в том числе угрозы несанкционированного доступа посторонних на объект. Защита речевой информации помещениях и каналах связи, в в том числе выявление естественных каналов утечки информации (оргтехника, коммуникации и т.п.), выявление искусственных каналов утечки информации (подслушивающие устройства, системы и т.д.). Безопасность компьютерных систем, в том числе проведение исследований специальными средствами сканирования безопасности в сети на предмет: -наличия уязвимостей в оборудовании, операционных системах, прикладном программном обеспечении; -угроз несанкционированного доступа к информации; -угроз утечки информации при передаче по каналам связи; - угроз нарушения целостности информации; - угроз нарушения устойчивой работы информационной системы в целом; - потенциальных угроз информационной безопасности со стороны работников организации при их санкционированном доступе к информационным ресурсам; - возможности проведения атак со стороны Internet посторонними пользователями (злоумышленниками) и др. Категории безопасности Карта уязвимостей: активы Карта уязвимостей: защита Концепция обеспечения информационной безопасности • Описывает общие принципы и подходы организации к обеспечению безопасности своих информационных ресурсов • Является методологической основой построения системы информационной безопасности для • Разрабатывается на основе информации полученной в ходе обследования , в соответствии с нормативными документами Республики Беларусь и использования опыта и материалов России и других стран. Политика информационной безопасности • Раскрывает: – цели и задачи построения системы информационной безопасности – виды угроз информационной системе – способы предотвращения угроз • Является связующим звеном между верхним уровнем управленческих решений руководства организации по защите своих информационных ресурсов и уровнем практической реализации таких решений в жизнь •Разрабатывается в соответствии с рекомендациями предстандарта СТБ П ISO/IEC 17799:2005 (ISO/IEC 27002:2005, 27001:2008) и использования опыта и материалов России и других стран. • • ПРЕДВАРИТЕЛЬНЫЙ СТБ П ISO/IEC 27001-2008 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ постановлением Госстандарта Республики Беларусь от 12 сентября 2008 г. № 46 в качестве предварительного государственного стандарта Республики Беларусь со сроком действия с 01.03.2009 г. по 01.03.2011 г. Постановление Совета Министров от 26 мая 2009 г. № 675 «О некоторых вопросах защиты информации» определяет, что все государственные информационные системы должны проходить обязательную аттестацию по обеспечению информационной безопасности до ввода в постоянную эксплуатацию. Аттестация ИС по ИБ Разработка задания по безопасности на информационную систему в соответствии с требованиями технических нормативных правовых актов в области защиты информации: 1. • • 2. 3. 4. СТБ 34.101.2,3-2004 СТБ 34.101.6-2003 Оценка задания по безопасности на соответствие требованиям технических нормативных правовых актов в области защиты информации (СТБ 34.101.6-2003); Реализация требований задания по безопасности в информационной системе; Подготовка к аттестации информационной системы на соответствие требованиям по ИБ Использование специализированных программно технических средств 1. В Регистрационных центрах БИОК и ГосСУОК; 2. При выдаче кредитов и при любых операциях с использованием паспорта клиента; 3. Для обеспечения дополнительных проверок, при обеспечении допуска и оформлении пропусков в специализированные помещения (здания). 4. При считывании информации с любых формализованных документов формата А4, А5. Полностраничный считыватель паспортов Задачи решаемые при обработке документов в банковской сфере: - Оперативный и безошибочный ввод информации - Проверка подлинности представленного документа - Сохранение изображений страниц документа в цифровом виде - Возможность получения и сохранения данных из электронных документов