Обеспечение информационной безопасности автоматизированных систем что нужно знать

Обновлено: 02.07.2024

На сегодняшний день автоматизированные системы (АС) играют ключевую роль в обеспечении эффективного выполнения бизнес-процессов как коммерческих, так и государственных предприятий. Вместе с тем повсеместное использование АС для хранения, обработки и передачи информации приводит к повышению актуальности проблем, связанных с их защитой. Подтверждением этому служит тот факт, что за последние несколько лет, как в России, так и в ведущих зарубежных странах имеет место тенденция увеличения числа информационных атак, приводящих к значительным финансовым и материальным потерям.

Практически любая АС может выступать в качестве объекта информационной атаки , которая может быть определена как совокупность действий злоумышленника, направленная на нарушение одного из трёх свойств информации - конфиденциальности, целостности или доступности. Рассмотрим эти свойства более подробно. Свойство конфиденциальности позволяет не давать права на доступ к информации или не раскрывать ее неполномочным лицам, логическим объектам или процессам. Характерным примером нарушения конфиденциальности информации является кража из системы секретной информации с целью её дальнейшей перепродажи. Целостность информации подразумевает её способность не подвергаться изменению или уничтожению в результате несанкционированного доступа. В качестве примера нарушения этого свойства можно привести ситуацию, при которой злоумышленник преднамеренно искажает содержимое одного из электронных документов, хранящихся в системе. И, наконец, доступность информации определяется как её свойство быть доступной и используемой по запросу со стороны любого уполномоченного пользователя. Так, например, злоумышленник сможет нарушить доступность Интернет-портала если ни один из легальных пользователей не сможет получить доступ к его содержимому. Таким образом, в результате нарушения конфиденциальности, целостности или доступности информации злоумышленник тем самым может нарушить бизнес-процессы компании, которые базируются на информационных ресурсах, которые являлись объектом атаки.

Для реализации информационной атаки нарушителю необходимо активизировать или, другими словами, использовать определённую уязвимость АС. Под уязвимостью принято понимать слабое место АС, на основе которого возможна успешная реализация атаки. Примерами уязвимостей АС могут являться: некорректная конфигурация сетевых служб АС, наличие ПО без установленных модулей обновления, использование нестойких к угадыванию паролей, отсутствие необходимых средств защиты информации и др. Логическая связь уязвимости, атаки и её возможных последствий показана на рис. 1.



Рис. 1. Связь уязвимости, атаки и её возможных последствий

Уязвимости - ахиллесова пята автоматизированных систем

Уязвимости являются основной причиной возникновения информационных атак. Наличие самих слабых мест в АС может быть обусловлено самыми различными факторами, начиная с простой халатности сотрудников, и заканчивая преднамеренными действиями злоумышленников.

Уязвимости могут присутствовать как в программно-аппаратном, так и организационно-правовом обеспечении АС. Основная часть уязвимостей организационно-правового обеспечения обусловлена отсутствием на предприятиях нормативных документов, касающихся вопросов информационной безопасности. Примером уязвимости данного типа является отсутствие в организации утверждённой концепции или политики информационной безопасности, которая бы определяла требования к защите АС, а также конкретные пути их реализации. Уязвимости программно-аппаратного обеспечения могут присутствовать в программных или аппаратных компонентах рабочих станций пользователей АС, серверов, а также коммуникационного оборудования и каналов связи АС.

Уязвимости АС могут быть внесены как на технологическом, так и на эксплуатационном этапах жизненного цикла АС. На технологическом этапе нарушителями могут быть инженерно-технические работники, участвующие в процессе проектирования, разработки, установки и настройки программно-аппаратного обеспечения АС.

  • наличие слабых, не стойких к угадыванию паролей доступа к ресурсам АС. При активизации этой уязвимости нарушитель может получить несанкционированный доступ к АС путём взлома пароля при помощи метода полного перебора или подбора по словарю;
  • наличие в системе незаблокированных встроенных учётных записей пользователей, при помощи которых потенциальный нарушитель может собрать дополнительную информацию, необходимую для проведения атаки. Примерами таких учётных записей являются запись "Guest" в операционных системах или запись "Anonymous" в FTP-серверах;
  • неправильным образом установленные права доступа пользователей к информационным ресурсам АС. В случае если в результате ошибки администратора пользователи, работающие с системой, имеют больше прав доступа, чем это необходимо для выполнения их функциональных обязанностей, то это может привести к несанкционированному использованию дополнительных полномочий для проведения атак. Например, если пользователи будут иметь права доступа на чтение содержимого исходных текстов серверных сценариев, выполняемых на стороне Web-сервера, то этим может воспользоваться потенциальный нарушитель для изучения алгоритмов работы механизмов защиты Web-приложений и поиска в них уязвимых мест;
  • наличие в АС неиспользуемых, но потенциально опасных сетевых служб и программных компонентов. Так, например, большая часть сетевых серверных служб, таких как Web-серверы и серверы СУБД поставляются вместе с примерами программ, которые демонстрируют функциональные возможности этих продуктов. В некоторых случаях эти программы имеют высокий уровень привилегий в системе или содержат уязвимости, использование которых злоумышленником может привести к нарушению информационной безопасности системы. Примерами таких программ являются образцы CGI-модулей, которые поставляются вместе с Web-приложениями, а также примеры хранимых процедур в серверах СУБД;
  • неправильная конфигурация средств защиты, приводящая к возможности проведения сетевых атак. Так, например, ошибки в настройке межсетевого экрана могут привести к тому, что злоумышленник сможет передавать через него пакеты данных.
Информационные атаки

Схематично стадии жизненного цикла информационной атаки изображены на рис. 2.


Рис. 2. Жизненный цикл типовой информационной атаки на ресурсы АС

Информационные атаки могут быть классифицированы как внешние или внутренние. Внешние сетевые атаки проводятся извне АС, т.е. с тех узлов, которые не входят в состав системы. Примером внешней сетевой атаки являются вторжение нарушителя в ЛВС из сети Интернет. Внутренние атаки проводятся изнутри АС с одного из её серверов или рабочих станций. В качестве примера такой атаки можно привести действия сотрудника компании, направленные на утечку конфиденциальной информации.

Последствия информационных атак

Последствия, к которым могут привести информационные атаки, могут по-разному рассматриваться исходя из той или иной ситуации. Так, например, одно и тоже последствие атаки может сводиться к искажению системного файла на сервере для системного администратора, в то время как для руководителя компании - приостановкой одного из важнейших бизнес-процессов предприятия. Последствия информационных атак могут воздействовать на аппаратное, общесистемное или прикладное программное обеспечение, а также на информацию, которая хранится в АС. Так, например, воздействие на аппаратное обеспечение может быть направлено на несанкционированное изменение памяти микросхемы BIOS, расположенной на материнской плате инфицированного компьютера. В результате такой атаки может быть изменён пароль доступа к настройкам BIOS или полностью искажено содержимое памяти BIOS, что приведёт к блокированию возможности загрузки компьютера. Восстановление работоспособности хоста в этом случае может потребовать перепрограммирования памяти BIOS.

Существующие методы и средства защиты от информационных атак

В настоящее время существует большое количество организационных и технических мер защиты, которые могут использоваться для защиты от информационных атак. организационные и технические. Организационные средства связаны с разработкой и внедрением на предприятиях нормативно-правовых документов, определяющих требования к информационной безопасности АС. Примерами таких документов являются политика и концепция обеспечения информационной безопасности, должностные инструкции по работе персонала с АС и т.д. Технические же средства защиты АС реализуются при помощи соответствующих программных, аппаратных или программно-аппаратных комплексов.

  • средства криптографической защиты информации;
  • средства разграничения доступа пользователей к ресурсам АС;
  • средства межсетевого экранирования;
  • средства анализа защищённости АС;
  • средства обнаружения атак;
  • средства антивирусной защиты;
  • средства контентного анализа;
  • средства защиты от спама.

Средства криптографической защиты информации представляют собой средства вычислительной техники, осуществляющее криптографическое преобразование информации для обеспечения ее конфиденциальности и контроля целостности. Защита информации может осуществляться в процессе её передачи по каналам связи или в процессе хранения и обработки информации на узлах АС. Для решения этих задач используются различные типы СКЗИ, описание которых приводится ниже.

Средства разграничения доступа предназначены для защиты от несанкционированного доступа к информационным ресурсам системы. Разграничение доступа реализуется средствами защиты на основе процедур идентификации, аутентификации и авторизации пользователей, претендующих на получение доступа к информационным ресурсам АС.

На этапе собственной идентификации пользователь предоставляет свой идентификатор, в качестве которого, как правило, используется регистрационное имя учётной записи пользователя АС. После представления идентификатора, проводится проверка того, что этот идентификатор действительно принадлежит пользователю, претендующему на получение доступа к информации АС. Для этого выполняется процедура аутентификации, в процессе которой пользователь должен предоставить аутентификационный параметр, при помощи которого подтверждается принадлежность идентификатора пользователю. В качестве параметров аутентификации могут использоваться сетевые адреса, пароли, симметричные секретные ключи, цифровые сертификаты, биометрические данные (отпечатки пальцев, голосовая информация) и т.д. Необходимо отметить, что процедура идентификации и аутентификации пользователей в большинстве случаев проводится одновременно, т.е. пользователь сразу предъявляет идентификационные и аутентификационные параметры доступа.

В случае успешного завершения процедур идентификации и аутентификации проводится авторизация пользователя, в процессе которой определяется множество информационных ресурсов, с которыми может работать пользователь, а также множество операций которые могут быть выполнены с этими информационными ресурсами АС. Присвоение пользователям идентификационных и аутентификационных параметров, а также определение их прав доступа осуществляется на этапе регистрации пользователей в АС (рис. 3).


Рис. 3. Процедура входа пользователя в автоматизированную систему

Межсетевые экраны (МЭ) реализуют методы контроля за информацией, поступающей в АС и/или выходящей из АС, и обеспечения защиты АС посредством фильтрации информации на основе критериев, заданных администратором. Процедура фильтрации включает в себя анализ заголовков каждого пакета, проходящего через МЭ, и передачу его дальше по маршруту следования только в случае, если он удовлетворяет заданным правилам фильтрации. При помощи фильтрования МЭ позволяют обеспечить защиту от сетевых атак путём удаления из информационного потока тех пакетов данных, которые представляют потенциальную опасность для АС.

Средства анализа защищённости выделены в представленной выше классификации в обособленную группу, поскольку предназначены для выявления уязвимостей в программно-аппаратном обеспечении АС. Системы анализа защищённости являются превентивным средством защиты, которое позволяет выявлять уязвимости при помощи анализа исходных текстов ПО АС, анализа исполняемого кода ПО АС или анализа настроек программно-аппаратного обеспечения АС.

Средства антивирусной защиты предназначены для обнаружения и удаления вредоносного ПО, присутствующего в АС. К таким вредоносным программам относятся компьютерные вирусы, а также ПО типа "троянский конь", "spyware" и "adware".

  • модули-датчики, предназначенные для сбора необходимой информации о функционировании АС. Иногда датчики также называют сенсорами;
  • модуль выявления атак, выполняющий анализ данных, собранных датчиками, с целью обнаружения информационных атак;
  • модуль реагирования на обнаруженные атаки;
  • модуль хранения данных, в котором содержится вся конфигурационная информация, а также результаты работы средств обнаружения атак;
  • модуль управления компонентами средств обнаружения атак.
Комплексный подход к обеспечению информационной безопасности
  • меры по выявлению и устранению уязвимостей, на основе которых реализуются угрозы. Это позволит исключить причины возможного возникновения информационных атак;
  • меры, направленные на своевременное обнаружение и блокирование информационных атак;
  • меры, обеспечивающие выявление и ликвидацию последствий атак. Данный класс мер защиты направлен на минимизацию ущерба, нанесённого в результате реализации угроз безопасности.

Важно понимать, что эффективная реализация вышеперечисленных мер на предприятии возможна только при условии наличия нормативно-методического, технологического и кадрового обеспечения информационной безопасности (рис. 4).


Рис. 4. Основные направления обеспечения информационной безопасности

Нормативно-методическое обеспечение информационной безопасности предполагает создание сбалансированной правовой базы в области защиты от угроз. Для этого в компании должен быть разработан комплекс внутренних нормативных документов и процедур, обеспечивающих процесс эксплуатации системы информационной безопасности. Состав таких документов во многом зависит от размеров самой организации, уровня сложности АС, количества объектов защиты и т.д. Так, например, для крупных организаций основополагающим нормативным документом в области защиты информации должна быть концепция или политика безопасности.

В рамках кадрового обеспечения информационной безопасности в компании должен быть организован процесс обучения сотрудников по вопросам противодействия информационным атакам. В процессе обучения должны рассматриваться как теоретические, так и практические аспекты информационной защиты. При этом программа обучения может составляться в зависимости от должностных обязанностей сотрудника, а также от того к каким информационным ресурсам он имеет доступ.

Заключение

В настоящее время успешная работа предприятий, использующих те или иные информационные системы, зависит от того насколько хорошо они защищены от возможных угроз безопасности. Это позволяет утверждать, что проблема защиты информации является сегодня одной из наиболее злободневных и актуальных. В данной статье были рассмотрены основные понятия информационной безопасности, а также дано общее функциональное назначение основных типов средств защиты, представленных на рынке информационной безопасности.

ГОСТ Р ИСО/МЭК ТО 19791-2008

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ

Оценка безопасности автоматизированных систем

Information technology. Security techniques. Security assessment of operational systems

Дата введения - 2009-10-01

Цели и принципы стандартизации в Российской Федерации установлены Федеральным законом от 27 декабря 2002 г. N 184-ФЗ "О техническом регулировании", а правила применения национальных стандартов Российской Федерации - ГОСТ Р 1.0-2004 "Стандартизация в Российской Федерации. Основные положения"

Сведения о стандарте

1 ПОДГОТОВЛЕН Федеральным государственным учреждением "Государственный научно-исследовательский испытательный институт проблем технической защиты информации Федеральной службы по техническому и экспортному контролю" (ФГУ "ГНИИИ ПТЗИ ФСТЭК России"), Обществом с ограниченной ответственностью "Центр безопасности информации" (ООО "ЦБИ") на основе собственного аутентичного перевода стандарта, указанного в пункте 5

2 ВНЕСЕН Управлением технического регулирования и стандартизации Федерального агентства по техническому регулированию и метрологии

4 ВВЕДЕН ВПЕРВЫЕ

5 Настоящий стандарт идентичен международному стандарту ИСО/МЭК/ТО 19791:2006 "Информационная технология. Методы и средства обеспечения безопасности. Оценка безопасности автоматизированных систем" (ISO/IEC/TR 19791:2006 "Information technology - Security techniques - Security assessment of operational systems").

При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты Российской Федерации, сведения о которых приведены в дополнительном приложении E

Информация об изменениях к настоящему стандарту публикуется в ежегодно издаваемом информационном указателе "Национальные стандарты", а текст изменений и поправок - в ежемесячно издаваемых информационных указателях "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ежемесячно издаваемом информационном указателе "Национальные стандарты". Соответствующая информация, уведомления и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет

Введение

Настоящий стандарт содержит дополнительные критерии оценки и рекомендации по оценке аспектов безопасности, связанных как с информационными технологиями, так и с применением их в автоматизированных системах. Настоящий стандарт прежде всего предназначен для тех, кто связан с разработкой, интеграцией, развертыванием и управлением безопасностью автоматизированных систем, а также для организаций, оказывающих услуги по оценке, пытающихся применить требования стандартов серии ИСО/МЭК 15408 к подобным системам. Настоящий стандарт будет также необходим органам, осуществляющим оценку соответствия, ответственным за утверждение и подтверждение правильности действий организаций, оказывающих услуги по оценке. Заказчики оценки безопасности и другие стороны, заинтересованные в безопасности автоматизированных систем, будут дополнительными пользователями сведений общего характера в области безопасности информации.

Относительно определения и использования термина "система" существуют фундаментальные проблемы. В стандартах серии ИСО/МЭК 15408, целью которых является оценка продуктов информационных технологий, термин "система" используется для учета только аспектов информационных технологий конкретной системы. Определение термина "автоматизированная система", используемого в настоящем стандарте, включает в себя совокупность персонала, процедур и процессов, интегрированных с функциями и механизмами информационных технологий, применяемых совместно, чтобы установить приемлемый уровень остаточного риска в установленной среде функционирования автоматизированной системы.

1 Область применения

Настоящий стандарт содержит рекомендации и критерии оценки безопасности автоматизированных систем (далее - АС), а также обеспечивает расширение области применения стандартов серии ИСО/МЭК 15408, включая ряд критических аспектов, касающихся оценки среды эксплуатации объекта оценки и декомпозиции составных АС на домены безопасности, которые должны оцениваться отдельно.

Настоящий стандарт устанавливает:

a) определение и модель АС;

b) описание расширений концепции оценки безопасности с помощью стандартов серии ИСО/МЭК 15408, необходимых для оценки АС;

c) методологию и процесс выполнения оценки безопасности АС;

d) дополнительные критерии оценки безопасности, охватывающие те аспекты АС, которые не были охвачены критериями оценки безопасности в стандартах серии ИСО/МЭК 15408.

Настоящий стандарт дает возможность включать продукты безопасности, оцененные в соответствии с требованиями стандартов серии ИСО/МЭК 15408, в автоматизированные системы и проводить оценку как единого целого с использованием настоящего стандарта.

Настоящий стандарт ограничивается оценкой безопасности автоматизированных систем и не распространяется на другие формы оценки систем. Настоящий стандарт не определяет методы и средства идентификации, оценки и принятия эксплуатационного риска.

2 Нормативные ссылки

В настоящем стандарте использованы ссылки на следующие стандарты:

Примечание - При пользовании настоящим стандартом целесообразно проверить действие ссылочных стандартов в информационной системе общего пользования - на официальном сайте национального органа Российской Федерации по стандартизации в сети Интернет или по ежегодно издаваемому информационному указателю "Национальные стандарты", который опубликован по состоянию на 1 января текущего года, и по соответствующим ежемесячно издаваемым информационным указателям, опубликованным в текущем году. Если ссылочный стандарт заменен (изменен), то при пользовании настоящим стандартом следует руководствоваться замененным (измененным) стандартом. Если ссылочный стандарт отменен без замены, то положение, в котором дана ссылка на него, применяется в части, не затрагивающей эту ссылку.

3 Термины и определения

В настоящем стандарте применены следующие термины с соответствующими определениями:

3.1 компонент (component): Поддающаяся идентификации отдельная часть (элемент) автоматизированной системы, которая реализует часть функциональных возможностей системы.

3.2 внешняя автоматизированная система (external operational system): Отдельная автоматизированная система, которая имеет связи с автоматизированной системой, являющейся объектом оценки.

3.3 управленческие меры безопасности (management controls): Меры безопасности информационной системы, направленные на менеджмент рисков и менеджмент информационной безопасности информационных систем.

Примечание - Меры безопасности - меры защиты и контрмеры.

3.4 организационные меры безопасности (operational controls): Меры безопасности информационной системы, которые, главным образом, реализуются и выполняются операторами, а не системами.

Примечание - Меры безопасности - меры защиты и контрмеры.

3.5 автоматизированная система (operational system): Информационная система, включая элементы, не связанные с информационной технологией, рассматриваемые с учетом условий ее эксплуатации.

3.6 остаточный риск (residual risk): Риск, который остается после обработки рисков.

3.7 риск (risk): Потенциальная возможность нанесения ущерба организации в результате реализации некоторой угрозы с использованием уязвимостей активов или группы активов организаций.

Примечание - Риск измеряется в терминах сочетания вероятности события и его последствий.

3.8 анализ рисков (risk analysis): Cистемный подход к определению величины риска.

3.9 оценка рисков (risk assessment): Процесс, включающий в себя идентификацию рисков, анализ рисков и оценивание рисков.

3.10 менеджмент рисков (risk management): Весь процесс идентификации, контроля и управления или минимизации подозрительных (неопределенных) событий, которые могут оказать негативное воздействие на ресурсы системы.

Примечание - Адаптированный термин из ИСО/МЭК 13335-1 [1]. Менеджмент рисков обычно включает в себя анализ рисков, обработку рисков, принятие рисков, распространение информации о рисках (обмен или предоставление в совместное пользование информации о рисках между лицом, принимающим решение, и другими заинтересованными лицами).

3.11 обработка рисков (risk treatment): Процесс выбора и реализации мер обеспечения безопасности (security controls) для изменения рисков.

Примечание - Адаптированный термин из ИСО/МЭК 13335-1 [1].

3.12 меры обеспечения безопасности (security controls): Управленческие, организационные и технические меры обеспечения безопасности, применяемые в информационной системе для защиты и доступности системы и ее информации.

1 Данное определение распространяется также на меры обеспечения безопасности, связанные с обеспечением подотчетности, аутентичности, неотказуемости, приватности и надежности, которые иногда рассматриваются отдельно от конфиденциальности, целостности и доступности.

2 Меры безопасности - меры защиты и контрмеры.

3.13 домен безопасности (security domain): Часть автоматизированной системы, которая реализует одни и те же политики безопасности.

3.14 подсистема (subsystem): Один или более компонентов автоматизированной системы, которые допускают их выполнение отдельно от остальной системы.

3.15 система как объект оценки (system target of evaluation): Автоматизированная система, которая эксплуатируется в соответствии с рекомендациями по эксплуатации, включая технические и организационные меры обеспечения безопасности, и является предметом оценки.

Примечание - Организционные меры обеспечения безопасности образуют часть эксплуатационной среды. Они не оцениваются по критериям оценки в соответствии со стандартами серии ИСО/МЭК 15408.

3.16 технические меры безопасности (technical controls): Меры безопасности информационной системы, которые реализуются и выполняются самой информационной системой через механизмы, содержащиеся в аппаратных, программных или программно-аппаратных компонентах системы.

Примечание - Меры безопасности - меры защиты и контрмеры.

3.17 верификация (verification): Процессы оценки, используемые для подтверждения того, что меры обеспечения безопасности для автоматизированной системы реализованы корректно, и их применение является эффективным.

3.18 уязвимость (vulnerability): Недостатки или слабости в проекте или реализации информационной системы, включая меры обеспечения безопасности, которые могут быть преднамеренно или непреднамеренно использованы для оказания неблагоприятного воздействия на активы организации или ее функционирование.

Получить сведения о методах защиты информации, которые применяются в компьютерных системах обработки банковской информации.

Оглавление

7.1. Общие принципы защиты информации в банках на современном этапе развития компьютерных технологий

Со времени своего появления банки неизменно вызывали интерес со стороны преступного мира. И этот интерес был связан не только с хранением в кредитных организациях денежных средств, но и с тем, что в банках сосредоточивалась важная и зачастую секретная информация о финансовой и хозяйственной деятельности многих людей, компаний, организаций и даже целых государств. В настоящее время банковская тайна охраняется законом наряду с государственной тайной.

Компьютерные системы, без которых не может обойтись ни один современный банк, — источник совершенно новых, ранее неизвестных угроз. Большинство из них обусловлено использованием в банковском деле новых информационных технологий и характерны не только для банков.

Уровень оснащенности средствами автоматизации играет немаловажную роль в деятельности банка и, следовательно, напрямую отражается на его положении и доходах. Усиление конкуренции между банками приводит к необходимости сокращения времени на производство расчетов, увеличения номенклатуры и повышения качества предоставляемых услуг.

Чем меньше времени будут занимать расчеты между банком и клиентами, тем выше станет оборот банка и, следовательно, прибыль. Кроме того, банк более оперативно сможет реагировать на изменение финансовой ситуации. Разнообразие услуг банка (в первую очередь это относится к возможности безналичных расчетов между банком и его клиентами с использованием пластиковых карт) может существенно увеличить число его клиентов и, как следствие, повысить прибыль. В то же время АБС банка становится одним из наиболее уязвимых мест во всей организации, притягивающей злоумышленников как извне, так и из числа сотрудников самого банка. Чтобы обезопасить себя и своих клиентов, большинство банков предпринимают необходимые меры защиты, в числе которых защита АБС занимает одно из наиболее важных мест. Защита АБС банка — дорогостоящее и сложное мероприятие, она требует не только значительных единовременных вложений, но предусматривает затраты на поддержку системы защиты на должном уровне. В среднем банки в настоящий момент для поддержки достаточного уровня защиты тратят более $ 20 млн ежегодно.

Стратегия информационной безопасности банков весьма сильно отличается от аналогичных стратегий других компаний и организаций. Это обусловлено прежде всего специфическим характером угроз, а также публичной деятельностью банков, которые вынуждены делать доступ к счетам достаточно легким с целью удобства для клиентов.

Обычная компания строит свою информационную безопасность, исходя лишь из узкого круга потенциальных угроз — главным образом защита информации от конкурентов (в российских реалиях основной задачей является защита информации от налоговых органов и преступного сообщества с целью уменьшения вероятности неконтролируемого роста налоговых выплат и рэкета). Такая информация интересна лишь узкому кругу заинтересованных лиц и организаций и редко бывает ликвидна, т. е. обращаема в денежную форму.

7.2. Требования к информационной безопасности банка

Информационная безопасность банка должна учитывать следующие специфические факторы:

  1. Хранимая и обрабатываемая в банковских системах информация представляет собой реальные деньги. На основании информации компьютера могут производится выплаты, открываться кредиты, переводиться значительные суммы. Вполне понятно, что незаконное манипулирование с такой информацией может привести к серьезным убыткам. Эта особенность резко расширяет круг преступников, покушающихся именно на банки (в отличие например от промышленных компаний, внутренняя информация которых мало кому интересна).
  2. Информация в банковских системах затрагивает интересы большого количества людей и организаций — клиентов банка. Как правило, она конфиденциальна, и банк несет ответственность за обеспечение требуемой степени секретности перед своими клиентами. Естественно, клиенты вправе ожидать, что банк должен заботиться об их интересах, в противном случае он рискует своей репутацией со всеми вытекающими отсюда последствиями.
  3. Конкурентоспособность банка зависит от того, насколько клиенту удобно работать с банком, а также насколько широк спектр предоставляемых услуг, включая услуги, связанные с удаленным доступом. Поэтому клиент должен иметь возможность быстро и без утомительных процедур распоряжаться своими деньгами. Но такая легкость доступа к деньгам повышает вероятность преступного проникновения в банковские системы.
  4. Информационная безопасность банка (в отличие от большинства компаний) должна обеспечивать высокую надежность работы компьютерных систем даже в случае нештатных ситуаций, поскольку банк несет ответственность не только за свои средства, но и за деньги клиентов.
  5. Банк хранит важную информацию о своих клиентах, что расширяет круг потенциальных злоумышленников, заинтересованных в краже или порче такой информации.

Преступления в банковской сфере также имеют свои особенности:

Специфика защиты автоматизированных систем обработки информации банков (АБС) обусловлена особенностями решаемых ими задач:

  • АБС обрабатывают большой поток постоянно поступающих запросов в реальном масштабе времени, каждый из которых не требует для обработки многочисленных ресурсов, но все вместе они могут быть обработаны только высокопроизводительной системой.
  • В АБС хранится и обрабатывается конфиденциальная информация, не предназначенная для широкой публики. Ее подделка или утечка могут привести к серьезным (для банка или его клиентов) последствиям. Поэтому АБС обречены оставаться относительно закрытыми, работать под управлением специфического программного обеспечения и уделять большое внимание обеспечению своей безопасности.
  • Другой особенностью АБС являются повышенные требования к надежности аппаратного и программного обеспечения. Поэтому большинство современных АБС построены с применением отказоустойчивой архитектуры компьютерной сети, позволяющей осуществлять непрерывную обработку информации даже в условиях различных сбоев и отказов.

Можно выделить два типа задач, решаемых АБС:

  1. Аналитические. К этому типу относятся задачи планирования, анализа счетов и т. д. Они не являются оперативными и могут требовать для решения длительного времени, а их результаты могут оказать влияние на политику банка в отношении конкретного клиента или проекта. Поэтому подсистема, с помощью которой решаются аналитические задачи, должна быть надежно изолирована от основной системы обработки информации и, кроме того, ввиду возможной ценности результатов их защита должна быть постоянной.
  2. Оперативные. К этому типу относятся задачи, решаемые в повседневной деятельности, в первую очередь выполнение платежей и корректировка счетов. Именно они и определяют размер и мощность основной системы банка; для их решения обычно требуется гораздо больше ресурсов, чем для аналитических задач. В то же время ценность информации, обрабатываемой при решении таких задач, имеет временный характер. Постепенно ценность информации, например о выполнении какого-либо платежа, становиться неактуальной. Естественно, это зависит от многих факторов, как-то: суммы и времени платежа, номера счета, дополнительных характеристик и т. д. Поэтому обычно бывает достаточно обеспечить защиту платежа именно в момент его осуществления. При этом защита самого процесса обработки и конечных результатов должна быть постоянной.

7.3. Методы защиты информации в автоматизированных системах обработки данных

Под защитой информации в информационных системах (ИС) понимается регулярное использование в них средств и методов, принятие мер и осуществление мероприятий с целью системного обеспечения требуемой надежности хранимой и обрабатываемой информации. Надежность информации — интегральный показатель, характеризующий качество информации с точки зрения физической целостности (отсутствия искажений или уничтожения элементов информации), доверия к информации (уверенности в отсутствии подмены) и безопасности — отсутствия ее несанкционированного получения и копирования.

Компоненты интегральной информационной безопасности:

  • организационные меры обеспечения безопасности;
  • меры обеспечения физической безопасности: охрана и защита зданий, помещений, компьютеров, перевозимых документов и т. п.
  • обеспечение безопасности аппаратных средств: обеспечение надежной работы компьютеров и сетевого оборудования;
  • обеспечение безопасности каналов связи: защита каналов связи от внешних воздействий;
  • обеспечение безопасности программно-математического обеспечения: защита от вирусов, хакеров, вредоносных программ, ворующих конфиденциальную информацию.

Известно, что 80 % преступлений, связанных с кражей, повреждением или искажением информации, совершается при участии сотрудников фирмы. Поэтому важнейшая задача руководства, отдела кадров и службы безопасности — тщательный подбор сотрудников, распределение полномочий и построение системы допуска к элементам информации, а также контроль дисциплины и поведения сотрудников, создание хорошего морального климата в коллективе.

Организационные средства защиты информации — это специальные организационно-технические и организационно-правовые мероприятия, осуществляемые в процессе создания и эксплуатации системы, имеющие целью обеспечение защиты информации.

Законодательные средства защиты информации определяются как законодательные акты, которые регламентируют порядок использования и обработки информации, ограничения доступа и которые устанавливают ответственность и санкции за нарушение этих правил.

Технические средства делятся на физические (замки, решетки, системы сигнализации и др.) и аппаратные (замки, блокировки, сигнализации и другие устройства, применяемые непосредственно на средствах вычислительной техники и средствах передачи данных). Программные средства защиты информации — это специальные средства защиты информации, встроенные в состав программного обеспечения системы и осуществляющие самостоятельно или в комплексе с другими средствами защиту информации в системе.

Программные средства защиты информации:

  1. Программные средства идентификации пользователей и определения их полномочий.
  2. Программные средства идентификации терминалов.
  3. Программные средства защиты файлов.
  4. Программные средства защиты ОС, ЭВМ и программ пользователей.
  5. Вспомогательные программы различного назначения.

Криптографические средства защиты информации — методы специального кодирования, шифрования или иного преобразования информации в результате которого содержимое становится недоступным без предъявления некоторой специальной информации и обратного преобразования. Использование криптографических методов стало особенно актуальным в настоящее время в связи с передачей по открытой сети Интернет больших объемов информации государственного, военного, коммерческого и частного характера. В связи с высокой стоимостью ущерба от потерь, разглашения и искажения информации, хранящейся в базах данных и передаваемой по локальным сетям, в современных ИС рекомендуется хранить и передавать информацию в зашифрованном виде.

Криптографическая система - семейство алгоритмов преобразования открытого текста в шифртекст.

Алфавит - конечное множество используемых для кодирования информации знаков. В качестве примеров алфавитов, используемых в современных информационных системах можно привести следующие:

  • алфавит Z33 — 32 буквы русского алфавита и пробел;
  • алфавит Z256 — символы, входящие в стандартные коды ASCII;
  • бинарный алфавит — Z2 = .

По характеру использования ключа известные криптосистемы можно разделить на два типа: симметричные (одноключевые, с секретным ключом) и асимметричные (с открытым ключом).

В реальности шифрование производится в двоичном коде с использованием коротких ключей — в международном стандарте DES (Data Encryption Standard), который работает с блоками данных по 64 байта (1998 г.), в ГОСТ 28147 — 89 — 256 байт, что обеспечивает существенно большую криптостойкость. На основании короткого ключа компьютер создает длинный ключ-гамму, используя один из нескольких алгоритмов, изложенных в стандартах шифрования DES или ГОСТ. Алгоритмы создания гаммы — гаммирования — основаны на серии замен и сдвигов, возможно, с использованием шифртекста. Алгоритмы шифрования не секретны, секретны только ключи. Для распространения ключей по сетям общего пользования применяется следующая технология: через курьеров передаются ключи первого ранга, на их основе шифруются и передаются по сетям ключи второго ранга, используемые для шифрования документов.

Наиболее современные системы шифрования используют асимметричные алгоритмы с открытым и секретным ключами, где нет проблемы безопасной транспортировки ключа. К числу таких систем относится алгоритм rsa, названный по именам разработчиков (rivest-shamir-adleman — разработчики этой системы Рональд Ривест, Ади Шамир и Леонард Адлеман, 1977 г.), базирующийся на разложении больших чисел на множители.

Существует два основных способа защиты: программный и аппаратный. Программный способ защиты данных хорош тем, что при относительно небольшой затрате средств можно получить программу, обеспечивающую требуемую надежность хранения информации. Но программные средства обладают несколькими существенными недостатками, о которых следует знать при выборе данного пути:

  • обычно работают медленнее аппаратных;
  • любую программу можно вскрыть, это лишь вопрос времени и квалификации специалиста;
  • при хищении носителя информации похищается и программа.

Аппаратные средства тоже обладают рядом недостатков: их разработка обходится дороже, прибавляются расходы на производство и обслуживание, аппаратная система более сложна и также требует помимо аппаратной части программное обеспечение.

Но преимущества использования аппаратных средств очевидны:

  • быстрая работа без привлечения ресурсов системы;
  • проникнуть в программу аппаратного средства без его хищения невозможно;
  • не имея аппаратного средства, невозможно расшифровать защищенные данные.

7.4. Законодательные акты в области защиты информации

ГОСТ 28147-89. Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования;

ГОСТ Р 34. 10-94. Информационная технология. Криптографическая защита информации. Процедуры выработки и проверки электронной цифровой подписи на базе асимметричного криптографического алгоритма;

ГОСТ Р 34. 11-94. Информационная технология. Криптографическая защита информации. Функция хэширования;

ГОСТ Р 50739-95. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования.

С 2004 г. действует новый национальный стандарт безопасности ГОСТ/ИСО МЭК 15408 — 2002. Общие критерии оценки безопасности информационных технологий.

Годом рождения стандарта можно считать 1990-й — именно тогда были начаты работы по созданию стандарта в области оценки безопасности информационных технологий (ИТ) под эгидой Международной организации по стандартизации (ИСО). Этот документ был переведен и взят за основу при разработке ГОСТ/ИСО МЭК 15408 — 2002. Название стандарта сложилось исторически. Работы над ним велись при содействии государственных организаций по стандартизации США, Канады, Великобритании, Франции, Германии и Голландии и преследовали следующие концептуальные цели:

  • унификация различных национальных стандартов в области оценки безопасности ИТ;
  • повышение уровня доверия к оценке безопасности ИТ;
  • сокращение затрат на оценку безопасности ИТ на основе взаимного признания сертификатов.

Российский стандарт представляет собой точный перевод международного стандарта. Он принят постановлением Госстандарта России от 4.04.2002 г. № 133-ст с датой введения в действие 1 января 2004 г. Появление этого ГОСТа отражает не только процесс совершенствования российских стандартов с использованием международного опыта, но и часть правительственной программы по вступлению России в ВТО (как известно, при вступлении в эту организацию в стране-претенденте должны быть унифицированы пошлины, налоги, стандарты на производство, стандарты качества и некоторые стандарты в области информационной безопасности).

Все механизмы защиты, описанные в профиле, называются функциями безопасности объекта (ФБО). В профиль защиты включаются только те функции безопасности, которые должны защищать от угроз и соответствовать политике безопасности.

В соответствии с рекомендациями нового ГОСТа были разработаны отраслевые стандарты.

Один из наиболее сбалансированных и жизнеспособных документов — внутриотраслевой стандарт Банка России по ИБ. Его последняя редакция (2006 г.) свидетельствует о явном намерении Центробанка сменить рекомендательный характер документа на обязательный статус.

7.5. Стандарт защиты информации в области банковских карт

Payment Card Industry Data Security Standard (PCI DSS) — стандарт защиты информации в индустрии платежных карт, разработанный международными платежными системами Visa и MasterCard.

Решение о создании данного единого стандарта было принято международными платежными системами в связи с ростом числа компаний, сообщивших о том, что находившаяся у них конфиденциальная информация о счетах их клиентов была потеряна или украдена.

  • повышение защищенности электронных торговых и платежных систем;
  • обеспечение безопасной среды для хранения данных держателей карт;
  • сокращение несогласованности в требованиях к обеспечению безопасности в индустрии платежных карт;
  • модернизация и рационализация бизнес-процессов и снижение издержек.

Требования стандарта PCI DSS распространяются на все компании, работающие с международными платежными системами Visa и MasterCard. В зависимости от количества обрабатываемых транзакций каждой компании присваивается определенный уровень с соответствующим набором требований, которые они должны выполнять. В рамках требований стандарта предусматриваются ежегодные аудиторские проверки компаний, а также ежеквартальные сканирования сетей.

Стандарт PCI Data Security Standard с сентября 2006 г. введен международной платежной системой VISA на территории региона CEMEA как обязательный, соответственно его действие распространяется и на Россию. Поэтому поставщики услуг (процессинговые центры, платежные шлюзы, Интернет-провайдеры), работающие напрямую с VisaNet, должны пройти процедуру аудита на соответствие требованиям Стандарта. В противном случае VISA будет применять к компаниям определенные штрафные санкции.

Я не планирую бросать трейдинг, но хочу уйти из финансов: работодатель осенью выводит нас с удалённого формата работы в офис, а в офис я возвращаться больше не хочу. Равно как и искать новую работу в этой сфере тоже не хочу. У меня есть определённые накопления и относительно стабильный доход от трейдинга, поэтому офисную работу брошу без сожалений.

Буду признательна за полезные советы, наводки, рекомендации вузов (если дистанционно — возможно, зарубежных) и описание подводных камней. Если всё же необходимо вузовское образование, в этом году ещё не поздно подать документы на второе высшее, в приоритете — заочное/дистанционное обучение. Если лучше магистратура — морально готова потратить год на подготовку к поступлению.

Дискуссии. Обсуждаем финансовые вопросы и даем советы друг другу


Если цель "войти в айти", то ИБ это не самый лучший путь: зарплаты сильно ниже, чем у разработчиков, знаний нужно существенно больше, вакансий существенно меньше. Если хочется "войти в айти" потому что хайп и деньги, то лучше учить питон и идти разрабатывать или уйти в QA.

Если же нет, то Информационный безопасносник это все равно очень широкая область, сначала нужно понять что конкретно интересно, чтобы развиваться в этом направлении.
Информационным безопасником может быть: бумажный безопасник, который пишет приказы и другие документы; аудитор безопасности, который эти приказы проверяет в других организациях, также он проверяет соответствие стандартам, например pcidss или iso27001; пентестер - человек, который проверяет информационную инфраструктуру( внутреннюю(AD, сеть, компьютеры), внешнюю(веб-приложея)) компании на уязвимости; реверс-инженер, который проводит анализ различных программм; сотрудник SOC, который занимается анализом и реагированием на инциденты ИБ; appsec - обеспечение безопасности приложений компании; еще много различных направлений.

Если первые два, то хватит магистратуры или бакалавриата любого вуза, после этого можно пойти в какой-нибудь ФСТЭК даже без собеседования и получать свои 20к в месяц.

Если идти не на первых двух, то:
Вузы по ИБ это пустая трата времени, если идти туда за знаниями и опытом, если же нужна корочка, то можно пойти в ИТМО магистратуру, многому там не научат, но корочеа и связи появятся.

Лучше всего изучать все самому, благо БЕСПЛАТНЫХ курсов в интернете достаточно, платные это опять же пустая трата времени, вас там ничему не научат, может дадут какой-то обзор, но точно не больше.
Лучше всего учится на практике, постепенно подтягивая под это теорию, для этого множество площадок есть: hack the box, rootme, ctftime и тд. Обучающие видео и курсы: spbctf, liveoverflow, portswigger academy, hackerdom, курс от ugractf и много других.

Обязательно английский и какой-нибудь язык программирования.

Из теории, в среднем, надо знать устройство операционных систем windows и Linux, на уровне продвинутого пользователя, устройство сетей, принципы работы веб приложений, атаки на них и типичные уязвимости, методв защиты, основы криптографии, основы реверс-инжениринга.

Можно ходить на стажировки, но туда обычно порог вхождения высокий, и с наскока вы отвалитесь на отборе. Из стажировок могу посоветовать summer of hack от digital security.

После пары лет практики и теории можно пытаться подаваться на джунов на скромные зарплаты в различные компании, проходить собеседования, записывать вопросы и после собеседований искать на них ответы, если чего-то не знаешь. Через 5-10 собеседований скорее всего уже получиться устроиться на работу.

Oleg, пробейте, пожалуйста! Вторая сторона такая же



Устроиться на начальную должность в аналитический центр крупного интегратора.
Как правило на такие вакансии не требуются базовые знания. Поэтому вакансии есть всегда.

За 2-3 года вполне реально определиться с вектором развития: руководство проектами, внедрение, чистая аналитика, архитектура и проектирование, аудиты и тд.
Обычно за 2 года младший аналитик становится старшим и начинает вести свои проекты.

идти за каким-то дополнительным образованием в магистратуру совсем не обязательно. я физик по образованию. со старта в ИТ, в том числе безопасностью занимаюсь. Образование дает легкий бонус при устройстве, но крайне мало влияет на общий рост.

пытаться выучиться, а потом мощно "продавать" себя - бесполезно. Поскольку на старте можно вызывать "вау", а после пары месяцев работы разочарование будет у всех.

как и везде: надо уметь работать и давать тот результат, который от тебя просят. :)


Кирилл, но на самом деле почти везде в требованиях к кандидату на должность специалиста по ИБ пишут о профильном образовании, либо о переподготовке в объёме 500 часов.
Ибо нужна большая база в плане понимания технологий и прочих вещей.
Приведу пример, в руководящих документах ЦБ по инф. безопасности есть требование: необходимо обеспечить сетевую изоляцию на втором (канальном) уровне модели OSI.
Не думаю, что человек без хорошей переподготовки можно будет норм работать.
У нас есть случаи что люди учатся на ИТ/ИБ и не все понимают ))) а вы говорите гуманитарий курсы почитал в интернете и безопасник готов ))


Роман, "а вы говорите гуманитарий курсы почитал в интернете и безопасник готов ))"
я этого не говорил. Более того, я сказал, что не обязательно идти за дополнительным образованием. Опять же, потому что "учатся и не понимают"

надо просто начинать работать.
За 2 года, больше 3тысяч часов, вполне можно получить основы и более глубокие знания, достаточные для развития.
В нашем регионе на должность младшего аналитика есть несколько вакансий без требований каких-то навыков в области ИБ



Script, ну дык о чем и речь. Такое ощущение, что меня игнорируют и читают какого-то другого человека )))


Кирилл, так я с вами и согласилась)


Роман, писать могут что угодно. Переподготовка требуется только в гос.структуры, некоторые банки и компании, у которых есть лицензия на ТЗКИ. Состав этих 512 часов крайне грустный, а состав лекторов очень часто заставляет ещё больше унывать - преподают нихрена не те, кто работает в отрасли.

Сетевую изоляцию очень часто делать вы будете вместе с системными администраторами, чтоб ниче у вас там не попадало.))) очень (ну вот очень) редко вы будете полностью самостоятельно выполнять работы, связанные с риском потери работоспособности системы - скорее вы будете выступать таким себе консалтером, который говорит чего и как сделать. Нужно понимание, нужно желание учиться и развиваться.

ИБ одна из тех областей, где чем больше знаешь - тем больше не знаешь. Да и новые дырки каждый день появляются:)


Script, я этот пример привёл для того, чтобы показать, что надо знать базовые вещи:разные устройства работают на разных уровнях, по своим принципам, протоколам и тд )
Я не говорю о том, что специалист по ИБ будет заниматься настройкой коммутаторов/маршрутизаторов )


Igor, "Это замечание дано на основании секретного распоряжения и комментировать я его не буду" ну вот кстати гораздо проще объяснить таким образом, чем разжевывать всем и каждому своё решение. + с большой долей вероятности ваше руководство всегда в курсе, что и зачем сделала СИБ

Во-первых, стоит ответить себе на вопрос – что привлекает в профессии? Если убрать публичный флёр романтики, это обычная инженерно-техническая специальность (Дмитрий Татаров отлично описал варианты). Во внутреннем подразделении – чаще всего наделённом в рабочих процессах контрольно-карательной привилегией. В исполнительской среде – это сервисная, интеграторская, продуктовая деятельность, довольно схожая с ИТ или проектированием. По уровню зрелости отрасль в России отстаёт в развитии от ИТ на 5-7 лет. Отдача от усилий и вложений в сфере ИБ в целом ниже, чем в ИТ, логистике. Это довольно узкий специфический рынок, на котором нужно понимать, зачем вы в него идёте.

Во-вторых, если вы действительно планируете миграцию, традиционная зона ответственности и подход к обеспечению ИБ в России и на Западе несколько отличаются. Исходя из этого, есть смысл смотреть либо крупные международные компании, либо локальные филиалы западных, чтобы усвоить подходы и практики. Также из международных компаний с именем рекрутёры гораздо охотнее предлагают позиции за рубежом.
Соответственно, российское образование по ИБ (или проф. переподготовка 512 часов) вам не очень нужно, оно требуется больше для выполнения требований законодательства, чем для получения реальных знаний. Хотя базу всё равно где-то надо взять! Coursera, HackerU, Udemy – если это комфортно. Для западных компаний важно подтверждение знаний, поэтому дальнейшая профильная сертификация (CompTIA, CEH, CISM) будет полезной, в скобках в принципе в порядке возрастающей сложности.

Далее, полной удалёнкой вы несколько сужаете круг возможных для себя позиций, особенно без опыта в данной сфере. Прям очень сильно. Возможно, разумным подходом будет некое диагональное движение – переход на позицию в ИБ с минимальными требованиями к техническим навыкам: администратор проектов, технический писатель, аккаунт-менеджер, ручной QA. И параллельное движение в выбранную сторону развития с получением профильного образования. Попробуйте посмотреть на компании с гибридным режимом – 1-2 дня в офисе, 3-4 дня из дома.

При отклике на вакансии, чтобы не испугать рекрутёра (а вам при таком переходе скорее всего придётся проявлять активную позицию в поиске работы) – подумайте, как адаптировать CV под нужные для профессии навыки, сделайте какое-то небольшое сопровождение с пояснением, почему и зачем вы идёте в эту сферу.

В любом случае – успехов. Поиск себя – это здорово и важно.


И второе, если рассматриваете вариант уезжать - обязательно ищите сертификации, которые признаёт мир. Всякие Исаки, ISC2 и пр. В России не сильно на это смотрят, но за пределами найти че-то дельное будет тяжело без сертификатов

Читайте также: