Аудит информационной безопасности в кредитных организациях
Дата: 23.07.2004Источник: БРАТ5
Автор: Андрей Кудинов
... критичные данные;
- проведение внесения изменений в исполняемые файлы и библиотеки на основании регламента и только после разрешения руководства и соответствующих тестов, обучения и информирования пользователей;
- использование средств криптографической защиты трафика и VPN-туннелей.
Следует обратить особое внимание на то, чтобы работы в информационной системе с удаленных терминалов и удаленное администрирование систем производились только через VPN-туннели с обязательным шифрованием данных. Важные информационные ресурсы, передаваемые по каналам связи, обязательно должны иметь электронную подпись.
В заключении, хотелось бы отметить, что аудит информационной безопасности должен включать в себя и проведение непосредственной проверки безопасности (pen testing), т.е. узко направленную проверку наличия уязвимостей и брешей в критических ресурсах системы. Такой проверкой должно проводится тестирование как на проникновение в систему извне, так и внутри системы. Также желательно, чтобы системные администраторы и персонал организации по возможности не знали о проводящемся тестировании информационной системы.
Проверка безопасности должна проводится специалистами высокого класса, владеющими определенными знаниями в области ИТ-индустрии и секьюрити, с использованием специализированных программных систем и продуктов, с обязательным отчетом о результатах проведенного тестирования. Специалистам, проводящим проверку, следует избегать деструктивных действий и не совершать действий, которые могут привести к отказу в обслуживании какого-либо сервиса или компьютера внутри исследуемой информационной системы.
Тестирование информационной системы на проникновение может выявить узкие места в организационно-технических мероприятиях, направленных организацией на обеспечение информационной безопасности, подтвердить насколько выполняется политика безопасности, принятая в организации, а также эффективность ее применения.
Программное обеспечение.
В настоящее время имеется два отечественных программных продукта, которые можно использовать в работе при проведении аудита информационной безопасности – «Гриф» и «Кондор+» (разработчик - консалтинговая компания Digital Security, Санкт-Петербург, http://www.dsec.ru)
«Гриф» – программный комплекс, предназначенный для анализа рисков информационных систем. Программный продукт позволяет пользователю оценить уровень рисков в информационной системе и дать оценку эффективности существующей практики по обеспечению информационной безопасности.
Зарубежными аналогами «Гриф» являются разработанные британской компанией Insight Consulting программные комплексы анализа и контроля информационных рисков CRAMM (http://www.insight.co.uk); программное обеспечение американской компании RiskWatch, Inc. (http://www.riskwatch.com).
«Кондор+» – программный комплекс проверки политики информационной безопасности компании, производимой в соответствии требованиям международного стандарта управления информационной безопасностью ISO 17799.
Программный комплекс включает в себя более двухсот вопросов, ответив на которые пользователь получает подробный отчет о состоянии существующей политики безопасности и оценку уровня рисков соответствия требованиям ISO 17799. В отчете программы отражаются все положения политики безопасности, которые соответствуют стандарту и все, которые не соответствуют, а также существующий уровень риска невыполнения требований политики безопасности в соответствии со стандартом.
Кроме того, программный продукт дает возможность пользователю отслеживать вносимые на основе выданных рекомендаций изменения в политику безопасности, постепенно приводя ее в полное соответствие с требованиями стандарта.
Зарубежным аналогом «Кондор» является разработанный британской компанией C &A Systems Security Ltd программный продукт COBRA ISO 17799 Consultant (http://www.riskworld.net).
Литература:
1. Ф. Даниловский. Информационная безопасность банковских систем. Финансовая газета, N 34, август 2003 г.
2. Федеральный закон РФ от 20 февраля 1995 г. Об информации, информатизации и защите информации. № 24 – ФЗ. (с изменениями от 10.01.2003)
3. Доктрина информационной безопасности РФ. № ПР – 1895. 9 сентября 2000 г.
4. Гостехкомиссия России. Руководящий документ. Защита от несанкционированного доступа к информации. М., 1992 г.
5. Гостехкомиссия России. Руководящий документ. Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации. М., 1992 г.
6. Гостехкомиссия России. Руководящий документ. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации. М., 1992 г.
7. Гостехкомиссия России. Руководящий документ. Положение по аттестации объектов информатизации по требованиям безопасности информации. М., 1994 г.
8. Гостехкомиссия России. Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации. М., 1997 г.
9. Гостехкомиссия России. Руководящий документ. Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации. М., 1997 г.
10. Гостехкомиссия России. Руководящий документ. Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей. М., 1999 г
11. International Organization for Standartization. The Common Criteria for Information Technology Security Evaluation / ISO 15408.
12. Банк России. О правилах ведения бухгалтерского учета в кредитных организациях, расположенных на территории Российской Федерации. 5 декабря 2002 г № 205 – П..
13. Банк России. Положение об организации внутреннего контроля в кредитных организациях и банковских группах. 16 декабря 2003 г. № 242-П.
14. Банк России. О рекомендациях по информационному содержанию и организации Web-сайтов кредитных организаций. 7 мая 2003 г. № 70 – Т.
15. International Organization for Standartization. Code of Practice for Information Security Management / ISO 17799.
Добавить комментарий |
Всего 0 комментариев |