Центрбанк. Создание модели предприятия и лвс
 Скачать 129.73 Kb.
|
 Федеральное агентство по образованиюГОУ ВПО Кубанский Государственный Технологический Университет Институт информационных технологий и безопасности Кафедра защиты информации Проект По дисциплине: «Безопасность вычислительных сетей» Тема: «Создание модели предприятия и ЛВС». Выполнили: студенты группы 09 – Б – КЗ2 Поддубный Д. А. Головня С. О. Ли Р. Ю. Троян В. А. Проверил: Тарасов Е. С. Краснодар 2013 Учебные вопросы: 1)Создание модели предприятия и ЛВС - 3 2)Провести аудит информационной системы банка - 5 3)Провести аудит ИБ -10 4) Показатели информационной безопасности - 14 Содержание проекта:
В данной библиотеке разрабатывается локально-вычислительная сеть с начальными элементами ЗИ; обрабатываются персональные данные и служебная тайна. ЛВС библиотеки:
2. Аудит информационной системы банка Сегодня практически вся работа банка связанна с компьютерной обработкой данных. Рост объема и спектра операций, необходимость сохранять конкурентноспособность требуют все более широкого применения компьютеризованых информационных систем. Поэтому последствия ошибок и нарушений в их функционировании информационных систем с высокой степенью вероятности ведут к блокированию работы, и вызвать цепную реакцию, которая будет иметь следствием значительные денежные потери для банка и его клиентов, потерю репутации банком. Поэтому естственным является особое внимание рискам, связанным с функционированием информационных систем. 1. Подходы к контролю и аудиту программного обеспечения. Аудит информационных систем ведется по двум направлениям: - Аудит вокруг компьютера - Аудит с использованием компьютера Весьма очевидно, что контроль программного обеспечения весьма сложен и имеет ряд особенностей. Его принято разделять на на общий контроль и прикладной контроль. Общий контроль — это контрольные операции, направленные на то, чтобы обеспечить обоснованную уверенность в непрерывном функционировании компьютерных систем. Общий контроль поддерживает функционирование программо прикладного контроля, и может быть разбитый на следующиее категории: - организационный контроль - контроль компьютерной техники - контроль операционной системы - физическая безопасность и контроль доступа - контроль помещений с компьютерной техникой - контроль планов на случай непредвиденных событий (стихийные бедствия и т.п.) - контроль разработки и поддержание работы системы 2. Организационный контроль Включает в себя разделение функций в пределах отдела информационных технологий и между этим и другими отделами. Так, работники отдела информационных технологий не должны иметь право давать разрешение на операции и регистрировать их, сохранять активы и ценности, кроме соответствующей техники и программного обеспечения. Следует проводить ротацию обязанностей работников и использовать двойной контроль (для этого нужно два работника). Процесс набора работников в отдел информационных технологий требует особо тщательного отбора и проверки опыта и предшествующей деятельности. Кроме того, кадры требуют соответствующей подготовки и организации периодической учебы. В отделе информационных технологий должна существовать формальная процедура увольнения работников, который включает немедленное ограничение доступа в помещения, где функционируют соответствующие системы, возвращение ключей, карточек-ключей и изменение паролей. 3. Контроль компьютерной техники Включает контроль среды и контроль поддержки. К контролю среды относятся: - контроль климатических условий (температуры, влажности, вентиляции - охрана входа - защитные устройства и сенсоры дыма, воды, системы пожаротушения - тревожная сигнализация - запрет употреблять пищу и курить в помещениях, оборудованных компьютерами К контролю поддержки относятся: - возможности компьютерной техники по выявлению ошибок и формированию отчетов о них - аппаратных и программных средств исправление ошибок - поддержка сети 4. Контроль операционной системы Включает в себя: - контроль полномочий доступа к компьютерной технике, программ, программной документации, файлов данных, данных на выходе - контроль “электронной подписи”, отчеты системы о дате, времени и месте несанкционированного доступа 5. Физическая защита и контроль доступа Элементами физической защиты являются: - ограничение физического доступа в помещения, оборудованных компьютерами, и к библиотекам данных (закрытые двери, карточки-ключей, охрана) - регистрация доступа к компьютерным системам с помощью паролей или карточек-ключей - предварительное разрешение руководства на работу вне расписания - физический контроль помещений перед закрытием Прикладной контроль — запрограммированные процедуры относительно конкретного прикладного программного обеспечения и связанных с ним ручных процедур. Он направлен на обеспечение обснованной уверенности в аолноте, своевременности, точности и правильности автоматической обработки данных. Прикладной контроль включает: - Контроль ввода - Контроль обработки - Контроль вывода 6. Контроль ввода Является наиболее слабым местом в любой информационной системе, ошибки в нем преимущественно можно обнаружить после завершения обработки информации. Основные средства контроля ввода: - контроль полномочий на ввод информации; - исправление ошибок; - использование контрольных цифр; - сверка контрольных сумм для проверки передачи данных во время обработки; - такие средства контроля передачи как подсчет сообщений, обратные сообщения, подсчет знаков и двойная пересылка; - контрольные суммы, такие как подсчет записей, итоги пачки 7. Контроль обработки информации Предусматривает следующие процедуры проверки информации: - сверка номеров счетов с данными файла-перечня; - тест разрядов, которые содержат коды самопроверки; - проверку остатка на определенных счетах (например, сумма основных фондов, которые не амортизированы полностью, меньше нуля); - проверка на буквенные символы в цифровом поле; - проверка на правильность соотношения между собою разных полей в записи; - проверка потери или пропуска данных; - проверка внутренних обозначений файлов, чтобы убедиться, что для ввода используются соответствующие файлы; 8. Контроль вывода Выполняется согласно следующих принципов: - соответствие сумм ввода и вывода (проверяется автоматически или вручную); - поэлементная проверка данных ввода и вывода в особенно важных случаях; - контроль доступа к данным на выходе . 9. Программа аудита информационных систем Аудит компьютерных систем банка должен включать следующее: - участие внутреннего аудитора в разработке информационной системы и прикладных пакетов программ; - обзор и подтверждение внутренним аудитором изменений в программном обеспечении. Аудитор должен проверить, включают ли предложенные изменения контроль, прошли ли они достаточную проверку, не ли входят они у противоречия с другими разделами системы, обеспечивают ли они возможность сквозной аудиторской проверки, и были ли они задокументированы; - аудитор должен проводить проверки внутреннего контроля и тестирования контроля на последовательной и постоянной основе; такой аудит должен включать проверки ручного и автоматизированного контроля работы, а также общий и прикладной контроль - аудитор должен следить за документацией по компьютерному обеспечению: проверять, имеется ли вся документация, обновляется ли она, является ли она доступной для сотрудников, отображает ли она реальное. Документация должна включать стандарты и нормативы по программированию, тестированию, критериях программного обеспечения. Документации по программному обеспечению банка должна содержать справочники для пользователей, механизмы отчетности, поддержку компьютерного оснащения, планы поведения в аварийных ситуациях - следует проводить проверки прграмного обеспечение на предмет того, не ли проводятся ли несанкционировнные изменения, поддерживается ли целостность данных, существуют ли достаточные и соответствующие процедуры создания архивных (back-up ) файлов и восстановления файлов - аудитор должен проводить оценку приобретенного программного обеспечения, на соответствие, описаниям подготовленным разработчиками системы - внутренний аудитор должен вести мониторинг операционной эффективности, работая непосредственно с работниками соответствующих отделов и тех отделов, которые непосредственно пользуются определенными услугами компьютерных систем. Аудитор программного обеспечения должен координировать свою работу, выводы и рекомендации относительно эффективности, точности и своевременности работы с другими внутренними аудиторами - следует ежеквартально проверять и возобновлять план действий в случае форс-мажорных обстоятельств (стихийные бедствия, такой как пожар, потоп) и критических ситуаций, таких как саботаж работников - внутренний аудитор должен пользоваться собственным специальным программным обеспечением для внутреннего аудита, что должно включать средства для создания статистической выборки, проверки результатов компьютерных расчетов и балансов счетов, проведение аналитических обзоров, используя данные непосредственно из базы данных банка, сравнение данных в двух ли больше базах, и т.п; - внутренний аудитор должен сохранять у себя и использовать для тестирования дубликаты пакетов программного обеспечения банка; - результаты тестирования следует сопоставлять с результатами работы реальной системы; это также разрешит внутреннему аудитору узнать, не ли были внесенные в программное обеспечение какие-то изменения без его ведома. Необходимым условием «профессиональной» пригодности является наличие у аудитора фундаментальной подготовки в области информационных технологий. Банки обычно стоят перед выбором: взять на эту должность человека с подготовкой и опытом в компьютерной сфере и подготовить его в сфере аудита или подготовить аудитора в сфере компьютерных технологий. Банки успешно использують обе альтернативы. Успех зависит от способностей кандидата, объема подготовки, которая предоставляется нему банком и отведенного на подготовку времени, а также от сложности компьютерной системы банка. 3. Аудит информационной безопасности банка
Требования бизнеса заказчика Для того, чтобы в будущем избежать нежелательных проникновений и атак, а также для формирования стратегии развития бизнеса и сопутствующей модернизации корпоративной информационной системы и системы защиты информации было необходимо:
оценить зрелость ИТ-инфраструктуры и системы информационной безопасности банка в соответствии с требованиями стандарта Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» (СТО БР ИББС-1.0-2006). Таким образом, руководство Банка поставило задачу проведения независимой компанией аудита текущего состояния системы защиты информации и оценки уязвимости корпоративной информационной системы, включая специализированные банковские системы Решение Задачами аудита текущего состояния системы защиты информации было получение аккумулированных достоверных данных об используемых подходах к обеспечению защиты информации, в том числе и об организационных мерах защиты, а также выявление «узких» мест системы. В качестве партнера для реализации данного проекта была выбрана компания «Микротест». Специалисты компании обладают высокой квалификацией, имеют опыт работы с крупными территориально-распределенными финансовыми структурами и обладают существенным опытом проведения аудитов систем информационной безопасности. В ходе работ специалистами «Микротест» было проведено полное обследование компонентов, входящих в состав системы защиты информации в соответствии с требованиями стандарта Банка России и тестирование информационной системы Банка на нежелательное проникновение со стороны. Наряду с проведением комплексного анализа всей политики безопасности банка было осуществлено тестирование СЗИ, где специалисты «Микротест» выступали в роли хакеров, имитируя проникновение в сеть, используя всю доступную информацию и соответствующий программный инструментарий. Кроме того, был проведен анализ существующей документации по ИБ, анализ конфигураций серверов, а также проведена выборочная проверка сотрудников с использованием элементов социальной инженерии. Таким образом, в рамках проекта были проведены следующие работы:
Достигнутые результаты Аудит был проведен в соответствии с утвержденным заданием на работы и был успешно завершен на пяти объектах Заказчика в течение 2-х кварталов после инициации проекта. Отличительной особенностью проведенного аудита стали сжатые сроки решения задач, несмотря на комплексность работ и территориальную распределенность ИТ-инфраструктуры Заказчика. В ходе работ были обнаружены уязвимости критичных информационных систем Банка, в частности:
По итогам аудита Банк получил от компании комплект документов, содержащий отчет о текущем состоянии системы защиты информации, рекомендации по устранению обнаруженных уязвимостей и концепцию развития информационной безопасности с учетом требований законодательства Российской Федерации в области защиты и информации и требований. ПОКАЗАТЕЛИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ Групповой показатель М1 "Обеспечение информационной безопасности при назначении и распределении ролей и обеспечении доверия к персоналу"
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||