А. К. Плешков московский инженерно-физический институт (государственный университет) проблемы обеспечения информационной безопасности ит-ресурсов в кредитных организациях вдоклад

Вид материала

Доклад

Подобный материал:

• Ю. С. Барсуков 1, А. Ю. Окунев 2 1 Московский инженерно-физический институт (государственный, 29.25kb.
• О. в левченко Московский инженерно-физический институт (государственный университет), 44.77kb.
• И. П. Капочкина Московский инженерно-физический институт (государственный университет), 32.5kb.
• И. С. Окопный московский инженерно-физический институт (государственный университет), 27.87kb.
• Д. С. Варганов научный руководитель Н. П. Васильев, к т. н., доцент Московский инженерно-физический, 31.85kb.
• В. А. Курнаев Московский инженерно-физический институт (государственный университет),, 27.18kb.
• В. А. Карандасов научный руководитель В. П. Румянцев, к т. н., доцент Московский инженерно-физический, 28.6kb.
• В и. золотарева Московский инженерно-физический институт (государственный университет), 66.78kb.
• Д. В. Гуцко Московский инженерно-физический институт (государственный университет), 34.47kb.
• К. П. Ивкин московский инженерно-физический институт (государственный университет), 26.94kb.

А.К. ПЛЕШКОВ

Московский инженерно-физический институт (государственный университет)


ПРОБЛЕМЫ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ИТ-РЕСУРСОВ В КРЕДИТНЫХ ОРГАНИЗАЦИЯХ


В докладе обосновывается актуальность проблемы обеспечения информационной безопасности (ИБ) ИТ-ресурсов в кредитных организациях и рассматриваются подходы к ее решению.


В настоящее время ни одна из крупных кредитных организаций на российском рынке не может обойтись без развитой инфраструктуры, частью которой является вычислительная сеть, объединяющая не только территориально разнесенные объекты, но и совместно используемые ИТ-ресурсы, доступ к которым разграничивается в соответствии с политикой ИБ [1].

При наличии перечня правил, процедур и практических приемов в области ИБ, которыми руководствуются в своей деятельности сотрудники организации банковской системы Российской Федерации, внутренние контролирующие органы способны осуществлять мониторинг за событиями в доступных ИТ-ресурсах, осуществлять сбор, анализ и обобщение результатов наблюдений, а также воздействовать на состояние защищенности инфраструктуры в целом. Несмотря на это, остаются риски, связанные c событиями, вызывающими действительное, предпринимаемое или вероятное нарушение ИБ в части работы с ИТ-ресурсами. Сотрудники кредитной организации, принимающие участи в указанных выше инцидентах, относятся к категории «внутренних нарушителей» [1].

Результаты исследования ISBS 2006 [2] подтверждают мнение специалистов по ИБ о том, что наиболее опасной угрозой для крупных кредитных организаций являются внутренние нарушители политики ИБ. По статистике эти люди несут ответственность более чем за половину всех зафиксированных инцидентов нарушения политики ИБ.

Также в ходе исследования подтвердилось классическое суждение о том, что эффективность ведения бизнеса напрямую зависит от сохранения конфиденциальности, целостности и доступности информации, хранимой, обрабатываемой внутри замкнутой инфраструктуры кредитной организации. Помимо этого, для успешного ведения внутренних расследований инцидентов в сфере ИБ необходимо, чтобы любое действие пользователя протоколировалось. Это имеет смысл в том случае, если внутренние контролирующие органы способны найти соответствие между действием пользователя, его учетной записью в системе разграничения доступа к информационному ресурсу, учетной записью на локальной рабочей станции, с которой он осуществляет доступ к ИТ-ресурсу, а также рядом других фактов, наличие или отсутствие которых определяется архитектурой и логической топологией вычислительных сетей, через которые осуществляется доступ. Для выполнения указанных выше действий администраторам безопасности требуется сложный инструментарий, ядро которого способно выполнять математический расчет и анализ событий, полученных из различных по формату представления источников. Формализация сложного математического аппарата уже на протяжении нескольких лет служит целью выполнения НИР для специалистов по информационной безопасности [3].

Анализ бизнес процессов, связанных с использование ИТ-ресурсов, в крупных кредитных организациях позволил сделать выводы о том, что важнейшей на сегодняшний день является угроза утечки конфиденциальной информации. Исследования инцидентов, связанных с нарушением политики ИБ [3], позволили выявить две основные тенденции в этой области: во-первых, утечки информации из организации в 99% случаев происходят с помощью/по вине сотрудников этой организации; во-вторых, умелое использование полученной информации может оказывать корректирующее, во многих случаях, критическое воздействие на бизнес процессы в целом (нечестная конкуренция, враждебное поглощение, утерянная выгода и т.д.).

Однако внедрение современных методов и технологий анализа событий само по себе не решает проблем обеспечения ИБ ИТ-ресурсов в кредитной организаций, связанных с действиями внутренних нарушителей. Необходимо обучение персонала крупных организаций, а также обучение квалифицированных специалистов по ИБ, которые смогут в дальнейшем контролировать исполнение принятых политик ИБ.

В связи с этим целесообразным является разработка учебного курса, включающего в себя проведение лекционных и практических занятий, по тематике обеспечения ИБ ИТ-ресурсов.


Список литературы


1. Стандарт Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» СТО БР ИББС-1.0-2006.

2. Исследование DTI «Information Security Breaches Survey 2006»; ov.uk/files/files28343.pdf

3. Материалы интернет сайта ссылка скрыта