Информационная безопасность в бизнесе на примере ОАО «Альфа-банк»

Межсетевой экран представляет собой систему или комбинацию систем, образующую между двумя или более сетями защитный барьер, предохраняющий от несанкционированного попадания в сеть или выхода из нее пакетов данных. Основной принцип действия межсетевых экранов. проверка каждого пакета данных на соответствие входящего и исходящего IP_адреса базе разрешенных адресов. Таким образом, межсетевые экраны значительно расширяют возможности сегментирования информационных сетей и контроля за циркулированием данных.

Говоря о криптографии и межсетевых экранах, следует упомянуть о защищенных виртуальных частных сетях (Virtual Private Network - VPN). Их использование позволяет решить проблемы конфиденциальности и целостности данных при их передаче по открытым коммуникационным каналам.

Эффективное средство защиты от потери конфиденциальной информации. Фильтрация содержимого входящей и исходящей электронной почты. Проверка самих почтовых сообщений и вложений в них на основе правил, установленных в организации, позволяет также обезопасить компании от ответственности по судебным искам и защитить их сотрудников от спама. Средства контентной фильтрации позволяют проверять файлы всех распространенных форматов, в том числе сжатые и графические. При этом пропускная способность сети практически не меняется.

Современные антивирусные технологии позволяют выявить практически все уже известные вирусные программы через сравнение кода подозрительного файла с образцами, хранящимися в антивирусной базе. Кроме того, разработаны технологии моделирования поведения, позволяющие обнаруживать вновь создаваемые вирусные программы. Обнаруживаемые объекты могут подвергаться лечению, изолироваться (помещаться в карантин) или удаляться. Защита от вирусов может быть установлена на рабочие станции, файловые и почтовые сервера, межсетевые экраны, работающие под практически любой из распространенных операционных систем (Windows, Unix- и Linux_системы, Novell) на процессорах различных типов. Фильтры спама значительно уменьшают непроизводительные трудозатраты, связанные с разбором спама, снижают трафик и загрузку серверов, улучшают психологический фон в коллективе и уменьшают риск вовлечения сотрудников компании в мошеннические операции. Кроме того, фильтры спама уменьшают риск заражения новыми вирусами, поскольку сообщения, содержащие вирусы (даже еще не вошедшие в базы антивирусных программ) часто имеют признаки спама и отфильтровываются. Правда, положительный эффект от фильтрации спама может быть перечеркнут, если фильтр наряду с мусорными удаляет или маркирует как спам и полезные сообщения, деловые или личные.

Можно выделить несколько наиболее типичных видов и способов информационных угроз:

- Рассекречивание и кража  коммерческой тайны. Если раньше  секреты хранились в потайных  местах, в массивных сейфах, под  надежной физической и (позднее) электронной защитой, то сегодня  многие служащие имеют доступ  к офисным базам данных, нередко  содержащим весьма чувствительную  информацию, например, те же данные  о клиентах.

- Распространение компрометирующих  материалов. То есть умышленное или случайное использование сотрудниками в электронной переписке таких сведений, которые бросают тень на репутацию банка.

- Посягательство на интеллектуальную  собственность. Важно не забывать, что любой интеллектуальный продукт, производимый в банках, как и в любой организации, принадлежит ей и не может использоваться сотрудниками (в том числе генераторами и авторами интеллектуальных ценностей) иначе как в интересах организации. Между тем, в России по этому поводу часто возникают конфликты между организациями и служащими, претендующими на созданный ими интеллектуальный продукт и использующими его в личных интересах, в ущерб организации. Это нередко происходит из-за расплывчатой правовой ситуации на предприятии, когда в трудовом контракте нет четко прописанных норм и правил, очерчивающих права и обязанности служащих.

- Распространение (часто  неумышленное) внутренней информации, не секретной, но могущей быть  полезной для конкурентов (других банках).

- Посещения сайтов банков-конкурентов. Сейчас все больше компаний используют на своих открытых сайтах программы (в частности, предназначенные для CRM), которые позволяют распознавать посетителей и детально отслеживать их маршруты, фиксировать время, длительность просмотра ими страниц сайта. Сайты конкурентов были и остаются ценным источником для анализа и прогноза.

- Злоупотребление офисными  коммуникациями в личных целях (прослушивание, просмотр музыкального  и прочего контента, не имеющего  отношения к работе, загрузка  офисного компьютера) не несет  прямой угрозы для информационной  безопасности, но создает дополнительные  нагрузки на корпоративную сеть, снижает эффективность, мешает работе  коллег.

- И, наконец, внешние угрозы - несанкционированные вторжения  и т.п.

Правила, принятые в банке, должны соответствовать как национальному, так и международно-признанным нормам защиты государственных и коммерческих тайн, персональной и приватной информации.

 

 

 

 

3.Организационная защита информации в «Альфа-Банке»

 

В ОАО «Альфа Банк» реализована политика безопасности, основанная на избирательном способе управления доступом. Такое управление в ОАО «Альфа Банк» характеризуется заданным администратором множеством разрешенных отношений доступа. Матрица доступа заполняется непосредственно системным администратором компании. Применение избирательной политики информационной безопасности соответствует требованиям руководства и требований по безопасности информации и разграничению доступа, подотчетности, а также имеет приемлемую стоимость ее организации. Реализацию политики информационной безопасности полностью возложено на системного администратора ОАО «Альфа Банк».

Наряду с существующей политикой безопасности в компании ОАО «Альфа Банк», используется специализированные аппаратные и программные средства обеспечения безопасности.

В качестве аппаратного средства обеспечения безопасности используется средство зашиты - Cisco 1605. Маршрутизатор снабжен двумя интерфейсами Ethernet (один имеет интерфейсы TP и AUI, второй - только TP) для локальной сети и одним слотом расширения для установки одного из модулей для маршрутизаторов серии Cisco 1600. В дополнение к этому программное обеспечение Cisco IOSFirewallFeatureSet делает из Cisco 1605-R идеальный гибкий маршрутизатор/систему безопасности для небольшого офиса. В зависимости от установленного модуля маршрутизатор может поддерживать соединение, как через ISDN, так и через коммутируемую линию или выделенную линию от 1200 бит/сек до 2Мбит/сек, FrameRelay, SMDS, x.25.

Для защиты информации владелец ЛВС должен обезопасить "периметр" сети, например, установив контроль в месте соединения внутренней сети с внешней сетью. Cisco IOS обеспечивает высокую гибкость и безопасность как стандартными средствами, такими как: Расширенные списки доступа (ACL), системами блокировки (динамические ACL) и авторизацией маршрутизации. Кроме того Cisco IOS FirewallFeatureSet доступный для маршрутизаторов серии 1600 и 2500 обеспечивает исчерпывающие функции системы защиты включая:

– контекстное Управление Доступом (CBAC)

– блокировка Java

– журнал учета

– обнаружение и предотвращение атак

– немедленное оповещение

 

Кроме того, маршрутизатор поддерживает работу виртуальных наложенных сетей, туннелей, систему управления приоритетами, систему резервирования ресурсов и различные методы управления маршрутизацией.

В качестве программного средства защиты используется решение KasperskyOpenSpaceSecurity. KasperskyOpenSpaceSecurity полностью отвечает современным требованиям, предъявляемым к системам защиты корпоративных сетей:

 

– решение для защиты всех типов узлов сети;

– защита от всех видов компьютерных угроз;

– эффективная техническая поддержка;

– «проактивные» технологии в сочетании с традиционной сигнатурной защитой;

– инновационные технологии и новое антивирусное ядро, повышающее производительность;

– готовая к использованию система защиты;

– централизованное управление;

– полноценная защита пользователей за пределами сети;

– совместимость с решениями сторонних производителей;

– эффективное использование сетевых ресурсов.

Разрабатываемая система должна обеспечивать полный контроль, автоматизированный учёт и анализ защиты персональной информации, позволять уменьшить время обслуживания клиентов, получать информацию о кодах защиты информации и персональных данных.

Для формирования требования к разрабатываемой системе, необходимо сформировать требования к организации БД, информационной совместимости к разрабатываемой системе.

В основу проектирования баз данных должны быть положены представления конечных пользователей конкретной организации - концептуальные требования к системе.

В данном случае, ИС содержит данные о сотрудниках фирмы. Одной из технологий, которая существенно иллюстрирует работу информационной системы, является разработка схемы документооборота для документов.

Функции разрабатываемой системы могут быть достигнуты, за счет использования вычислительной техники и программных средств. Учитывая, что поиск информации, сведений и документов учета в деятельности специалистов банка составляют порядка 30% рабочего времени, то внедрение автоматизированной системы учета позволит существенно высвободить квалифицированных специалистов, может привести к экономии фонда заработанной платы, уменьшения штата сотрудников, однако могут привести к и введению в штат сотрудников отдела штатной единицы оператора, в обязанности которого будет входить ввод сведений о протекающих бизнес-процессах: документов учета персональных данных и кодов доступа.

Необходимо отметить, что внедрение разрабатываемой системы, позволит снизить, а в идеале, полностью исключить ошибки учета персональной и информации и кодов защиты. Таким образом, внедрение автоматизированного рабочего места менеджера приведет к значительному экономическому эффекту, сокращению штата сотрудников на 1/3, экономии фонда заработанной платы, повышению производительности труда.

В «Альфа-Банке», как и  в любом другом банке разработана Политика информационной безопасности, которая  определяет систему взглядов на проблему обеспечения безопасности информации и представляет собой систематизированное изложение целей и задач защиты, как одно или несколько правил, процедур, практических приемов и руководящих принципов в области информационной безопасности.

Политика учитывает современное состояние и ближайшие перспективы развития информационных технологий в Банке, цели, задачи и правовые основы их эксплуатации, режимы функционирования, а также содержит анализ угроз безопасности для объектов и субъектов информационных отношений Банка.

Основные положения и требования данного документа распространяются на все структурные подразделения Банка, включая дополнительные офисы. Основные вопросы Политика также распространяются на другие организации и учреждения, взаимодействующие с Банком в качестве поставщиков и потребителей информационных ресурсов Банка в том или ином качестве.

Законодательной основой настоящей Политики являются Конституция Российской Федерации, Гражданский и Уголовный кодексы, законы, указы, постановления, другие нормативные документы действующего законодательства Российской Федерации, документы Государственной технической комиссии при Президенте Российской Федерации, Федерального агентства правительственной связи и информации при Президенте Российской Федерации.

Политика является методологической основой для:

• формирования и проведения единой политики в области обеспечения безопасности информации в Банке;
• принятия управленческих решений и разработке практических мер по воплощению политика безопасности информации и выработки комплекса согласованных мер, направленных на выявление, отражение и ликвидацию последствий реализации различных видов угроз безопасности информации;
• координации деятельности структурных подразделений Банка при проведении работ по созданию, развитию и эксплуатации информационных технологий с соблюдением требований по обеспечению безопасности информации;
• разработки предложений по совершенствованию правового, нормативного, технического и организационного обеспечения безопасности информации в Банке.

Системный подход к построению системы защиты информации в Банке предполагает учет всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов, значимых для понимания и решения проблемы обеспечения безопасности информации Банка.

Обеспечение безопасности информации - процесс, осуществляемый Руководством Банка, подразделениями защиты информации и сотрудниками всех уровней. Это не только и не столько процедура или политика, которая осуществляется в определенный отрезок времени или совокупность средств защиты, сколько процесс, который должен постоянно идти на всех уровнях внутри Банка и каждый сотрудник Банка должен принимать участие в этом процессе. Деятельность по обеспечению информационной безопасности является составной частью повседневной деятельности Банка. И ее эффективность зависит от участия руководства Банка в обеспечении информационной безопасности.

Кроме того, большинству физических и технических средств защиты для эффективного выполнения своих функций необходима постоянная организационная (административная) поддержка (своевременная смена и обеспечение правильного хранения и применения имен, паролей, ключей шифрования, переопределение полномочий и т.п.). Перерывы в работе средств защиты могут быть использованы злоумышленниками для анализа применяемых методов и средств защиты, для внедрения специальных программных и аппаратных "закладок" и других средств преодоления защиты.