Обеспечение информационной безопасности современного банка

В первую очередь, необходимо обратить внимание на защиту внутренних ресурсов. Здесь важны системы разграничения доступа и контроля трафика. Для этого могут быть использованы, например, продукты Check Point Interspect и Infowatch.

При наличии сервиса интернет-банкинга или телефонного банкинга, необходимо обеспечение строгой аутентификации, то есть использование двухфакторной аутентификации, например, токенов Vasco или RSA SecureID. А также необходима защита рабочих мест клиентов банка – для этого могут быть использованы продукты Check Point Integrity или Cisco Security Agent. Также стоит уделить внимание защите шлюзов Интернет-банкинга – здесь можно порекомендовать продукт Check Point Connectra.

Необходимо обеспечить жесткий мониторинг и аудит системы ИБ. Здесь стоить отметить продукты Check Point Eventia Analyzer или CISCO Systems MARS, Особое внимание целесообразно уделить аспектам непрерывности ведения бизнеса и восстановления после катастроф, а также управления инцидентами ИБ.

Заключение

При проведении такого рода работ банк часто обращается за помощью к внешним консультантам. Как выбрать надежного партнера, которому можно было бы доверить одну из самых критичных областей бизнеса? В-первую очередь, компания-консультант должна иметь хорошую репутацию на рынке. Во-вторых, необходимо убедиться в обширном опыте работы в сфере ИБ как самой компании-консультанта, так и конкретных сотрудников, задействованных в проекте. В-третьих, необходимо наличие у исполнителя программно-аппаратных средств для построения тестовых стендов, проведения работ по проектированию и моделированию системы ИБ. Кроме того, наличие у исполнителя высоких партнерских статусов с поставщиками программно-аппаратных комплексов является определенной гарантией опыта компании-консультанта, а также дает право на расширенную поддержку и консультации с разработчиками решений. И, главное - необходимо наличие у исполнителя центра поддержки, работающего в круглосуточном режиме.

Исходя из нашего опыта, наиболее востребованными сегодня являются услуги по построению системы управления ИБ (СУИБ), соответствующей стандарту ЦБ РФ, а иногда и «с прицелом» на дальнейшую сертификацию по ISO 27001. Наша компания выработала подход к построению процессно-ролевой модели системы управления ИБ, основываясь на стандарте и методике аудита ЦБ РФ, лучшей практике ITIL, NIST SP800-35 «Guide to Information Technology Security Services», рекомендациях Microsoft service management function (SMF), ISO 27701, а также существующих моделях ISM3, «The Systems Security Engineering Capability Maturity Model». В результате выделяются процессы обеспечения ИБ, описывается их связь с ИТ-процессами, строится ролевая модель. Это обеспечивает «прозрачность» СУИБ, основанной на оценке рисков, позволяет эффективно отслеживать изменения, вносимые в систему ИБ, дает преимущество в страховании информационных рисков, а также позволяет эффективно управлять системой в критичных ситуациях, снижать и оптимизировать стоимость поддержки системы ИБ, получать другие преимущества.

Список литературы

1. Галатенко, В.А. Основы информационной безопасности. Интернет-университет информационных технологий. – М.: ИНТУИТ.ру, 2008.

2. Галатенко, В.А. Стандарты информационной безопасности. Интернет-университет информационных технологий. – М.: ИНТУИТ.ру, 2005.

3. Лопатин, В.Н. Информационная безопасность России: Человек, общество, государство. Серия: Безопасность человека и общества. - М.: 2000.

4. Шаньгин, В.Ф. Защита компьютерной информации. Эффективные методы и средства. - М.: ДМК Пресс, 2008.

5. http://www.journal.ib-bank.ru/ - Журнал «BIS Journal - Информационная безопасность банков»