М.Д.Тарнавский, CityBank
Организация системы информационной безопасности
в банке.Методы аудита и контроля
Принцип аудирования является неотъемлемой частью
менеджмента информационных систем. Основной целю аудита информационных
систем является их контроль и анализ рисков, связанных с защищенностью
как от внешних так и от внутренних факторов. Независимость аудита.
Другими словами, люди ответственные за менеджмент информационных
систем не могут являться одновременно и их аудиторами. Аудит и анализ
как средство выявления провалов в защищенности информационных систем
или ошибок в конфигурации которые могут привести к нарушению работы.
Можно выделить четыре основных ошибки руководителей
по отношению к информационной безопасности:
- Отсутствие понимания взаимосвязи деятельности банка и информационной
безопасности. Руководители банков часто понимают важность физической
безопасности, но не придают значения низкому уровню информационной
безопасности. В Японии лишь 30% ИТ менеджеров осознают важность
информационной безопасности. Остальные не видят необходимости
предпринимать меры по защите информации. Однако никто в Японии
не делал анализа того сколько стоили всевозможные взломы систем,
кражи информации а так же урон нанесенный компьютерными вирусами.
- Отсутствие понимания того, какое материальное выражение имеет
информация и репутация банка.
- Одобрение временных, краткосрочных и часто дешевых мер по исправлению
уже имеющихся проблем.
- Делать вид, что проблема пропадет сама по себе, если на нее
не обращать внимания.
Не существует возможности создать полностью защищенную
систему. Даже при наличии неограниченного бюджета и ресурсов, всегда
остается возможность того, что кто-то найдет путь для несанкционированного
получения информации. Если совершенной безопасности невозможно достичь,
то организация или банк должны определить наиболее эффективный метод
защиты информации исходя из имеющихся ресурсов.
В конечном счете, этот процесс сводится к вопросу
Риска. Таким образом, для достижения наиболее качественного результата
должен быть произведен процесс оценки рисков.
Можно выделить следующие объекты анализа:
В ходе анализа определяется уровень риска информационной
системы или процесса.
Исходя из уровня риска определяются требования к
безопасности и защите информации.
Исходя из требований производится анализ ИС и определяются
слабые места.
На основании проделанного анализа разрабатываются
технические и организационные методы контроля и понижения риска
Принцип разделения полномочий
- Разделение функций системной администрации и информационной
безопасности для одной и той же системы.
- Все административные действия такие как создание и удаление
пользователей, изменение их прав, изменения паролей и другие,
требуют независимой верификации или создание процесса т. н. Maker/Checker
process
Принципы менеджмента изменений в информационных
системах
Данный вопрос тесно связан с принципом разделения
полномочий. Информационная система должна иметь возможность вести
журнал изменений.
Основные типы изменений:
- по пользователю, который произвел изменения;
- по характеру изменений;
- по объекту который был изменен.
Все изменения сделанные в системе и классифицированные
как рисковые (изменение прав пользователей, настроек системы, имеющих
отношение к ее защищенности и т.д.) должны быть независимо верифицированы
посредством анализа журнала. Другими словами должен быть проведен
независимый аудит изменений системы
Методы аудита информационных систем
Анализ уровня риска Системы(делается с учетом степени
конфиденциальности информации с которой оперирует система) и включают
в себя:
- регулярный аудит журнала изменений в системе;
- периодический анализ прав пользователей в системе;
- периодический анализ защищенности системы(AntiVirus, Patches
etc);
- периодический анализ практики менеджмента, процедур, положений
и т.д.
Человеческий фактор с точки зрения информационной
безопасности. создание "культуры информационной безопасности
Всегда существует техническая возможность взломать информационную
систему и проникнуть в сеть организации, но иногда гораздо легче
получить доступ через людей которые работают в организации. Такие
технологии проникновения получили название «Социального инжиниринга»
(СИ).
«Социальный инжиниринг» - это создание ложного чувства доверия
или давление авторитетом с целью получения доступа под видом доверенного
человека путем обхода существующих процедур физического или логического
контроля.
Этот термин используется для описания вводящих в
заблуждение, не технических методов проникновения, для получения
доступа который позволит «атакующему» получить выгоду и который
может обойти систему безопасности организации.
«Социальная Инжиниринг»- это человеческий фактор
проникновения в корпоративные сети. Организации имеющие эффективные
средства защиты, аутентификации, сетевые средства безопасности,
средства сетевого мониторинга по прежнему остаются широко открытыми
перед атаками, если сотрудники невольно или случайно распространяют
ключевую информацию через электронную почту, отвечая на вопросы
по телефону тем кого они не знают, или даже разговаривая со своими
сотрудниками о проектах организации в баре или ресторане после работы.
Основные цели СИ:
- получение паролей и кодов доступа;
- получение данных об инфраструктуре организации, ключевых фигурах;
- получение информации о клиентах компании (их счетах);
- получение информации о стратегических планах компании, маркетинговые
исследования и планы.
На кого направлено воздействие СИ:
- сотрудники имеющие прямое отношение к деятельности компании;
- руководители и начальники отделов;
- персонал отдела кадров;
- Сотрудники (новые, временные, те которые недовольны работой
в компании, увольняющиеся);
- сотрудники работающие с клиентами;
- секретари и персональные помощники.
Методы СИ:
- посещение компании;
- проникновение в компанию под видом клиентов, обслуживающего
персонала, знакомых, родственников и т. д.;
- поиск информации в открытых источниках;
- подглядывание паролей;
- ложные звонки в компанию или определенным сотрудникам компании
под видом. доверенного человека или сотрудника с целью получения
необходимой информации;
- исследование содержимого мусора;
- налаживание персональных отношений с сотрудниками компании;
- трудоустройство в компанию.
В заключении можно порекомендовать следующие методы противодействия
СИ:
- обучение персонала;
- создание в компании «культуры информационной безопасности»;
- повышение бдительности сотрудников;
- не передавать конфиденциальную информацию по телефону, особенно
тем кто незнаком;
- использования «обратного звонка» как средства подтверждения;
- информирование руководства о подозрительных происшествиях;
- повышение культуры обращения с конфиденциальной информацией.
Copyright © 2001 Crime-Research.org
. Все права защищены.
|