Аудит информационной безопасности в кредитных организациях

Дата: 23.07.2004
Источник: БРАТ5
Автор: Андрей Кудинов


... например, по тайм-ауту), дополнительные аппаратно-программные системы контроля доступа;
- запрет локального копирования информации на компьютерах, обеспечивающих доступ к информации (отсутствие дисковода; отсутствие COM-, LPT-, USB-портов).

Разграничение и контроль доступа к информационным ресурсам.
Администрирование системы и антивирусный контроль.

Современные банки – это организации со сложной разветвленной структурой, имеющее филиалы, дополнительные офисы, представительства, обменные пункты, внутренние подразделения и отделы, выполняющие работу в различных направлениях банковской деятельности. В связи с этим компьютерные сети кредитных организаций имеют сложную, разветвленную структуру, построенную на использовании сетевого и телекоммуникационного оборудования, средств связи и передачи информации. Кредитные организации широко используют в своей повседневной деятельности международную информационную сеть (Internet) для получения и передачи информации, а также для ведения расчетных операций (Internet-banking), предлагают своим клиентам ведение обслуживания по системе «Клиент-Банк».

Поэтому аудиторами в обязательном порядке проверяется защищенность информационных ресурсов кредитной организации от внешних угроз и проводимые организационные и технические мероприятия, направленные на их устранение:

- существует и действует определенный порядок и выполняемый регламент, по которому разрешается предоставление удаленного доступа к информационным ресурсам (определение объектов и сервисов, к которым требуется предоставлять удаленный доступ, а также групп пользователей, которым разрешен доступ к ним; процедура авторизации удаленного доступа);
- ведение обработки и хранения финансовой информации на специально выделенных серверах;
- обязательная защита внутренней компьютерной сети аппаратно-программными брандмауэрами (FireWall) (применение сертифицированных сетевых экранов; при создании правил доступа, использование основного принципа - "запрещено все, что не разрешено явно");
- применение систем обнаружения атак (IDS), обманных систем;
- организация доступа в Internet из внутренней сети c использованием proxy-сервера, контроль содержимого трафика;
- процедура аутенфикации клиентов, пользующихся услугами Internet-banking и «Клиент-Банк».

В информационной системе обязательно должны быть назначены системные администраторы (не менее двух), с документально определенными обязанностями и правами, доведенными до них под роспись.

Аудиторской проверкой также рассматривается, как в кредитной организации организована и применяется политика парольной защиты информационной системы. Управление паролями пользователей является одним из ключевых факторов безопасности любой компании. Требования к системе управления паролями достаточно очевидны и не нуждаются в особых комментариях на сегодняшний день. Единственное, на чем следует заострить внимание, это на том, что в политике парольной защиты должны применяться уникальные идентификаторы для каждого пользователя информационной системы и безопасность должна быть заложена не только на уровне операционных систем, но и на уровне приложений (прикладных программных продуктов и систем). Данные требования стандарта к безопасности прикладных систем должны быть учтены и обычно учитываются разработчиками программных продуктов.
Проверяются следующие организационные мероприятия:

- разработаны ли правила парольной защиты, включающие требования сохранения конфиденциальности личных паролей и предусматривающие ответственность пользователей за их нарушение, а также, ознакомлены ли с ними работники под роспись;
- существует и выполняется инструкция по безопасному использованию качественных паролей;
- качество применяемых паролей (отсутствие стандартных и легко подбираемых паролей; число знаков используемых паролей не должно быть менее 8-ми; применение букв и символов в паролях);
- периодичность смены паролей;
- существование специальных процедур по оперативному лишению пользователей прав доступа к системе в случае их увольнения, обязательной смены паролей при переводе работника на другой участок работы.

Особо следует отметить требование соответствия уровня доступа выполняемым бизнес задачам и политике безопасности организации, а также тому, что назначенный уровень доступа не противоречит принципам разделения обязанностей (ответственности). Необходимо обратить особое внимание на то, реализован ли в информационной системе принцип разграничения ответственности путем разделения обязанностей (все критичные операции выполняются не менее чем двумя сотрудниками) при выполнении наиболее критичных операций (например, администрировании систем).

Несмотря на то, что это требование чрезвычайно важно, оно часто нарушается на практике, когда пользователи имеют избыточные права, которые не требуются для выполнения текущих бизнес задач. Очень часто на практике, системные администраторы имеют неограниченные права в информационной системе, а работники подразделений информатизации имеют неограниченный доступ к информационным ресурсам.

Такие привилегии необходимо ограничить организационными мерами: назначением ответственными за информационные ресурсы руководителей подразделений, работающих с этими ресурсами; получение доступа к критичным ресурсам может производиться только по аккаунту, каждая независимая часть которого известна двум работникам (так называемый «принцип четырех глаз»).

Аудиторы также должны обратить внимание на выполнение внутри кредитной организации обязательных проверок легитимности каждого пользователя. Это означает, что необходимо проверять, действительно ли каждый конкретный пользователь информационной системы имеет разрешение для работы с данным ресурсом и был внесен в систему с разрешения ответственного работника или руководства. Выполнение этого требования является достаточно важным условием нормальной работы больших информационных систем. В подобных системах такую проверку рекомендуется проводить регулярно, чтобы исключить возможность случайного или целенаправленного внесения в систему неавторизованного пользователя (то есть пользователя, которого внесли в систему без разрешения руководства). Очевидно, что такую проверку должен осуществлять независимый от подразделений информатизации или службы безопасности работник службы внутреннего контроля. Рекомендуется осуществлять регулярную проверку прав пользователей каждые 6 месяцев или после каждого внесения изменений в систему. Для пользователей, имеющих особые привилегии доступа в систему, регулярная проверка прав должна проходить чаще - один раз в 3 месяца.

В обязательном порядке проверяется, проводятся ли системными администраторами следующие мероприятия:

- ведение и анализ лог-файлов на серверах с критичными данными;
- регулярно ли отслеживаются новые уязвимости и устанавливаются патчи (исправления) в используемом программном обеспечении.

Очень часто системные администраторы вносят исправления в программное обеспечение, установленное на серверах информационной системы, не уделяя внимания внесению исправлений в программное обеспечение компьютеров пользователей, что является недопустимым. При таком подходе клиентские компьютеры становятся открытыми для нападений, т.к. практически никогда не защищены локальными брандмауэрами, системами обнаружения вторжений (IDS) или другими защитными системами.

Отдельное внимание стандарты информационной безопасности уделяют системным утилитам. Их применение должно быть строго ограничено и подвергаться четкому контролю, так как неумелое или злонамеренное использование системных утилит может привести к нанесению серьезного вреда операционным системам. Поэтому, проводя аудиторскую проверку, следует обратить внимание на следующие организационные мероприятия:

- применение процесса аутентификации при использовании системных утилит;
- применение ограничений использования системных утилит, ограничивая их доступность минимально возможному числу доверенных авторизованных пользователей;
- раздельное хранение системных утилит и приложений.

Проверяется, производится ли антивирусный контроль в информационной системе:

- используемое программное обеспечение (наличие лицензии);
- организация антивирусного контроля (периодическая централизованная проверка пользовательских систем; мониторинг файловых систем; проверка электронной почты на сервере);
- периодичность обновления антивирусных баз;
- проведение тренингов персонала по вопросам защиты от вирусов.

Устойчивость информации и целостности электронных данных.

Для кредитной организации крайне важно обеспечение целостности обрабатываемой и накапливаемой электронной информации и, при ее частичной или полной потере по каким либо причинам, возможность ее быстрого восстановления. Проверкой устанавливается, какими организационными мероприятиями и техническими средствами обеспечивается сохранность и целостность информации:

- оборудование серверов и критичных рабочих станций источниками бесперебойного питания (UPS), либо применение другого оборудования, предназначенного для обеспечения средств вычислительной техники автономным электропитанием;
- применение аппаратно-программных средств устойчивости данных (зеркалирование дисковых массивов, наличие резервного сервера и др.);
- ведение архивов электронной информации и периодичность создания резервных копий;
- проведение практических тренингов персонала, с целью поддержания возможности восстановления данных в установленном порядке и за гарантированный период времени;
- применение регулярного контроля целостности критичных данных и программного обеспечения, обрабатывающего критичные данные;
- проведение...

Добавить комментарий

Всего 0 комментариев