Проект «БАНК — ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ»

Специализированное мероприятие «БАНК — ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ» состоялось 13 марта 2003 г. в здании бизнес-центра «Даев-Plaza». Семинар, посвященный защите банковских информационных ресурсов, посетили более 70 представителей финансового сектора рынка, Комитета по безопасности Государственной Думы РФ, Ассоциации «Россия», ФАПСИ и Гостехкомиссии РФ.

На семинаре был представлен новый комплекс защиты «БАНК — ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ», который был интегрирован специалистами ОАО «АНДЭК» в виде законченного решения, построенного на базе линейки продуктов компании Computer Associates Inc. (СА) — одного из мировых лидеров в области IT-безопасности (IT-Security).

Участники семинара смогли воочию убедиться в надежности предлагаемых решений: на семинаре был представлен модельный стенд, на котором демонстрировалась интеграция продуктов СА и других производителей. Специалисты компании «АНДЭК» показали работу уникальной системы «БАНК — ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ» в режиме реального времени, что вызвало массовый интерес среди участников семинара.

В ходе круглого стола были обсуждены актуальные проблемы российских банков в области безопасной передачи и хранения конфиденциальных данных. Конструктивный диалог между представителями банковских кругов и компаний, специализирующихся на защите информации, позволил взглянуть на проблемы финансового рынка изнутри и сформировать более полное представление о безопасности корпоративных банковских сетей.

В вопросах защиты информации для банка компромиссов нет. Сохранение строгой конфиденциальности и целостности данных является важнейшим критерием устойчивости позиции той или иной банковской структуры на финансовом рынке. Следовательно, защищенная корпоративная сеть должна отвечать самым высоким требованиям и соответствовать международным стандартам информационной безопасности.

Современный российский рынок IT-безопасности (IT-Security) находится сегодня на этапе насыщения разнообразными продуктами и решениями. Отечественные компании и представительства зарубежных организаций все как один декларируют комплексный подход «...к вашей безопасности» и готовы гарантировать блестящий результат. Однако эти предложения различны настолько же, насколько продукты их реализующие, и выбрать оптимальное решение подчас непросто даже профессионалу. Задача выбора существенно упрощается при наличии строгих критериев, которым должно отвечать то или иное решение.

Критерий первый

Итак, безопасность инфраструктуры любой корпоративной системы реализуется посредством централизованного управления системой защиты из единого центра. Именно централизация позволяет повысить производительность информационной инфраструктуры банка, сократить затраты на администрирование и поддержку корпоративной сети и, в конечном итоге, минимизировать риски, которым подвергается банковская система. Соответственно, первый критерий, которому должно отвечать выбираемое решение, — наличие централизованного управления.

Решение этой задачи должно обеспечиваться посредством реализации инфраструктуры, которая объединяет разобщенные подсистемы в единую платформу управления информационной безопасностью банка. На сегодняшний день существует несколько решений, выполняющих данную функцию, в частности продукт eTrust Command Center, который позволяет:

• повысить рост производительности;
• сократить затраты на администрирование;
• интегрировать в единое целое все имеющиеся в банке средства обеспечения корпоративной безопасности;
• минимизировать риски;
• централизовать контроль над всеми критичными для безопасности банка процессами.

Критерий второй

Отчетность по финансовым сделкам, информация об объемах кредитных и депозитных операций и операций с ценными бумагами, данные о котировках банковских долгов, арбитражная и судебная хроника — доступ к такой информации должен быть разграничен.

Управление доступом означает жесткий контроль и аутентификацию пользователей при попытке обращения к критичным узлам. Чем прогрессивнее система, обеспечивающая разграничение доступа, тем меньше вероятность того, что в банковскую сеть сможет проникнуть злоумышленник, или того, что конфиденциальная информация станет известной кому-либо, не имеющему прав доступа к ней (из числа банковских служащих). Одним из наиболее эффективных способов строгого разграничения доступа является продукт eTrust Access Management, к преимуществам которого относятся:

• централизованное управление средствами разграничения доступа;
• сокращение затрат на администрирование;
• применение единых политик информационной безопасности;
• обеспечение безопасности критичных узлов корпоративной банковской сети.

Критерий третий

Банковская система информационной безопасности в обязательном порядке должна обеспечивать надежную идентификацию внутренних пользователей и иметь эффективный механизм авторизации внешних пользователей и партнеров для доступа к общим ресурсам.

В сети банковских филиалов сложность решения задачи централизованного управления сетевой идентификацией возрастает на порядки. Современному банку нужны единые рычаги управления, что позволит сократить множество издержек и упростить администрирование, связанное с активным ростом и развитием информационных систем. Продукт eTrust Identity Management обеспечивает надежный механизм аутентификации с поддержкой аппаратной и биометрической составляющих. К уникальным возможностям eTrust Identity Management относятся такие важные составляющие, как:

• контроль за работой внутренних пользователей и партнеров;
• автоматическая перенастройка механизмов доступа;
• централизованное создание и удаление учетных записей на основе ролевой политики безопасности.

Критерий четвертый

Современные компании зачастую рассматривают возможности сети Интернет как перспективу развития бизнеса, однако финансовый рынок — очень специфическая структура, для которой «целостность границ» каждого отдельного элемента важнее, чем интерактивное получение информации. Один компьютер, подключенный к сети Интернет, подвергает риску всю корпоративную инфраструктуру банка в целом.

Безопасность корпоративной сети должна строиться на основе эффективного обнаружения, анализа, предотвращения и устранения последствий большинства типов атак.

В системе активной защиты сети eTrust Threat Management автоматизирован процесс обнаружения и блокирования вирусов (а также вторжений) и процесс принятия мер по противодействию.

Система eTrust Threat Management обеспечивает такие возможности, как:

• ликвидация последствий атак;
• сокращение затрат на управление безопасностью за счет постоянного пополнения базы сигнатур атак;
• постоянный мониторинг всех критичных узлов инфраструктуры с последующим уведомлением.

Подведем итоги...

Таким образом, для полноценной комплексной защиты банковской корпоративной системы от злоумышленников требуется эффективно совмещать три категории безопасности: управление доступом к сетевым ресурсам, централизованное управление сетевой идентификацией и активную защиту корпоративной сети под единым началом инфраструктуры управления безопасностью банка.

На базе продуктовой линейки e-Trust от фирмы Computer Associates Inc. (СА) — одного из лидеров в разработке ПО для обеспечения информационной защиты на предприятиях любого масштаба — основан интегрируемый пакет решений «БАНК — ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ».

Этот проект в комплексе представляет компания «АНДЭК» — основной партнер СА в России. Пакет «БАНК—ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ» включает в себя четыре группы решений, в полной мере отвечающих самым высоким, даже по международным меркам, требованиям:

• комплекс «Банк-Доступ» отвечает за строгое разграничение доступа внутри корпоративной сети и обеспечение безопасности критичных узлов;
• комплекс «Банк-Идентификация» реализует надежную идентификацию внутренних пользователей и эффективный механизм авторизации внешних пользователей;
• комплекс «Банк — Активная защита» позволяет автоматизировать процесс обнаружения и блокирования практически всех возможных атак;
• «Банк — Центр управления» представляет собой инфраструктуру, позволяющую централизованно управлять всей информационной системой банка.