Информационная безопасность Сбербанка России

Модель комплексной оценки СЗИ банка.

Предлагается следующая методика создания и комплексной оценки системы защиты информации для КСБ.

Модель СЗИ представлена в виде следующих основных блоков показателей:

- Блок показателей «ОСНОВЫ»; - Блок показателей «НАПРАВЛЕНИЯ»; - Блок показателей «ЭТАПЫ».

Блок показателей «ОСНОВЫ» (Oi)

Проведенный анализ основных подходов к созданию СЗИ позволяет выделить следующие основные составные части СЗИ:

Нормативно-правовая и научная база;

Структура и задачи органов;

Организационные меры и методы (политика безопасности) ;

Программно-технические способы и средства.

Каждая из перечисленных составных частей блока «ОСНОВЫ» должна быть детализирована для конкретной КСБ.

Блок показателей «НАПРАВЛЕНИЯ» (Hj)

Проведенный анализ существующих способов и методов защиты информации позволяет выделить следующие основные исторически сложившиеся этапы создания и оценки СЗИ:

Защита объектов корпоративных систем;

Защита процессов, процедур и программ обработки информации;

Защита каналов связи;

Подавление побочных электромагнитных излучений;

Управление системой защиты.

Совершенно очевидно, что каждое из НАПРАВЛЕНИЙ должно быть детализировано в зависимости от структуры КСБ и заданной глубины детализации.

Блок показателей «ЭТАПЫ» (Mk)

В настоящее время рассматривают различные этапы построения СЗИ все они достаточно эффективны и позволяют решать поставленные задачи. На основе проведенного анализа предлагается рассмотрение следующих этапов создания СЗИ, подлежащих оценке:

Определение информации, подлежащей защите;

Выявление полного множество потенциально возможных угроз и каналов утечки информации;

Проведение оценки уязвимости и рисков информации при имеющемся множестве угроз и каналов утечки;

Определение требований к системе защиты;

Осуществление выбора средств защиты информации и их характеристик; 6. Внедрение и организация использования выбранных мер, способов и средств защиты;

7. Осуществление контроля целостности и управление системой защиты.

Этапы могут быть разбиты на более детальные пункты (шаги).

Матрица оценок.

Структура модели оценки СЗИ заключается в логическом объединении показателей блоков «ОСНОВЫ», «НАПРАВЛЕНИЯ» и «ЭТАПЫ» в МАТРИЦУ ОЦЕНОК, состоящую из К элементов.

В общем случае количество элементов «матрицы» может быть определено из соотношения

K=Oi*Hj*Mk

На основе проведенного выше анализа в данном варианте (при условии, что Oi=4, Hj=5, Mk=7) общее количество элементов «матрицы» составляет K=4*5*7=140.

Следует обратить внимание на содержание обозначения каждого из элементов матрицы:

Первое знакоместо обозначает номер показателя «ЭТАПЫ», второе знакоместо - номер показателя «НАПРАВЛЕНИЯ», а третье знакоместо - номер показателя «ОСНОВЫ».

Элемента матрицы 321 формируется с учетом следующих показателей:

3 - Проведение оценки уязвимости и рисков (показатель № 3 блока

«ЭТАПЫ») ;

2 - Защита процессов и программ (показатель № 2 блока «НАПРАВЛЕНИЯ»)

1 - Нормативная база (показатель № 1 блока «ОСНОВЫ»)

В зависимости от этапов работ по созданию СЗИ «матрица» имеет различное содержание. Другими словами это несколько одинаковых по структуре, но разных по содержанию «матриц», а именно:

«Матрица» полноты и качества состояний элементов СЗИ;

«Матрица» требований к СЗИ;

«Матрица» оценок эффективности функционирования элементов СЗИ. Могут рассматриваться и другие функции этой же «матрицы», главное чтобы содержание каждого из элементов «матрицы» описывало взаимосвязь составляющих создаваемой СЗИ.

Оценки могут формироваться по различным группам элементов матрицы, в зависимости от целей проверки.

Оценка достигнутого частного профиля защиты производится из соотношения

Пдост= Пр / Пзад;

При этом достигнутый профиль защиты считается удовлетворительным при условии, что

Пдост > 1;

Оценка результирующего профиля защиты СЗИ осуществляется на основе оценок частных профилей защиты (с использованием «Матрицы знаний»).

Достоинства предложенной модели оценки СЗИ

Следует выделить следующие преимущества предложенной модели оценки СЗИ:

Универсальность применения;

Наглядность и простота представления процесса создания СЗИ;

Возможность маневра силами и средствами;

Учет индивидуальных особенностей КСБ и требований заказчика;

Позволяет создать «свою» систему защиты;

Возможность наращивания СЗИ;

Поэтапное и рациональное вложение материальных и денежных средств.

Заключение

Банки играют огромную роль в экономической жизни общества, их часто называют кровеносной системой экономики. Благодаря своей специфической роли, со времени своего появления они всегда притягивали преступников. К 90-м годам XX века банки перешли к компьютерной обработке информации, что значительно повысило производительность труда, ускорило расчеты и привело к появлению новых услуг. Однако компьютерные системы, без которых в настоящее время не может обойтись ни один банк, являются также источником совершенно новых угроз, неизвестных ранее. Большинство из них обусловлены новыми информационными технологиями и не являются специфическими исключительно для банков.

Существуют однако два аспекта, выделяющих банки из круга остальных коммерческих систем:

Информация в банковских системах представляет собой «живые деньги», которые можно получить, передать, истратить, вложить и т. д.

Она затрагивает интересы большого количества организаций и отдельных лиц.

Поэтому информационная безопасность банка - критически важное условие его существования.

В силу этих обстоятельств, к банковским системам предъявляются повышенные требования относительно безопасности хранения и обработки информации. Отечественные банки также не смогут избежать участи тотальной автоматизации по следующим причинам:

усиления конкуренции между банками;

необходимости сокращения времени на производство расчетов; - необходимости улучшать сервис.

В США, странах Западной Европы и многих других, столкнувшихся с этой проблемой довольно давно, в настоящее время создана целая индустрия

защиты экономической информации, включающая разработку и производство безопасного аппаратного и программного обеспечения, периферийных устройств, научные изыскания и др.

Сфера информационной безопасности - наиболее динамичная область развития индустрии безопасности в целом. Если обеспечение физической безопасности имеет давнюю традицию и устоявшиеся подходы, то информационная безопасность постоянно требует новых решений, т. к. компьютерные и телекоммуникационные технологии постоянно обновляются, на компьютерные системы возлагается все большая ответственность.

Статистика показывает, что подавляющее большинство крупных организаций имеют план с правилами доступа к информации, а также план восстановления после аварий.

Безопасность электронных банковских систем зависит от большого количества факторов, которые необходимо учитывать еще на этапе проектирования этой системы.

При этом для каждого отдельного вида банковских операций и электронных платежей или других способов обмена конфиденциальной информацией существуют свои специфические особенности защиты. Таким образом, организация защиты банковских систем есть целый комплекс мер, которые должны учитывать как общие концепции, но и специфические особенности.

Основной вывод, который можно сделать из анализа развития банковской отрасли, заключается в том, что автоматизация и компьютеризация банковской деятельности (и денежного обращения в целом) продолжает возрастать. Основные изменения в банковской индустрии за последние десятилетия связаны именно с развитием информационных технологий. Можно прогнозировать дальнейшее снижение оборота наличных денег и постепенный переход на безналичные расчеты с использованием пластиковых карт, сети Интернет и удаленных терминалов управления счетом юридических лиц.

В связи с этим следует ожидать дальнейшее динамичное развитие средств информационной безопасности банков, поскольку их значение постоянно возрастает.