Разработка системы унифицированного защищенного доступа на основе PKI - инфраструктуры силами самой организации. Почему своими силами? Александр Широков,

Презентация:



Advertisements
Похожие презентации
Налоговая безопасность бизнеса Аспекты информационной безопасности в коммерческих организациях Ведущий специалист отдела терминальных технологий ООО «Праймтек»
Advertisements

Защита персональных данных на базе типовых решений ЭЛВИС-ПЛЮС © ОАО «ЭЛВИС-ПЛЮС», 2008 г.
Нормативно-методические документы Политики информационной безопасности города Москвы – практическая реализация требований Федерального и регионального.
1 Безопасность информации в компании. Ключевые точки защиты. Организация собственной Службы информационной безопасности Широков Александр, заместитель.
«1С:Документооборот 8». Зачем автоматизировать документооборот? Единая информационная база документов Возможность параллельного выполнения операций Непрерывность.
СОВЕРШЕНСТВОВАНИЕ СИСТЕМ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ И КОМПАНИЙ НА ОСНОВЕ ПРИМЕНЕНИЯ ПРОЦЕССНЫХ СТАНДАРТОВ «Уверенность в себе.
Практика проведения аудитов информационной безопасности на крупных предприятиях Виктор Сердюк, к.т.н., CISSP Генеральный директор ЗАО «ДиалогНаука»
Меры, позволяющие обеспечить информационную безопасность в банке ОАО «Центр банковских технологий» Беларусь, Минск, ул. Кальварийская 7 Тел.: +375.
Центр технической защиты информации ОАО «КП ВТИ» Начальник Центра ТЗИ Короленко Михаил Петрович.
Формирование информационно- технологической инфраструктуры «электронного государства» Росинформтехнологии Росинформтехнологии (Новосибирск, «ИнфоКоммуникации.
ЦЕНТРЫ КОМПЕТЕНЦИИ по информационной безопасности СОЗДАНИЕ ЕДИНОЙ СИСТЕМЫ АУДИТА И МОНИТОРИНГА В СФЕРЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Осенний документооборот 2014 Москва, 17 октября Вопросы информационной безопасности при использовании мобильных устройств для работы с корпоративными информационными.
ПОЛИТИКА КОРПОРАТИВНОЙ ИНФОРМАТИЗАЦИИ ОАО «РЖД». О А О « Р О С С И Й С К И Е Ж Е Л Е З Н Ы Е Д О Р О Г И » 2 Утверждена распоряжением президента ОАО «РЖД»
«Об инфраструктуре удостоверяющих центров в системе электронного документооборота» ДОКЛАД Докладчик: Логачев Александр Станиславович.
Проведение мониторинга технического обеспечения и соблюдения норм информационной безопасности в региональных центрах обработки информации субъектов Российской.
Построение политики безопасности организации УЦ «Bigone» 2007 год.
КОМПАНИЯ КРИПТО-ПРО ключевое слово в защите информации Правоприменительная практика ЭЦП в органах государственной власти ООО «КРИПТО-ПРО»
Доработки ядра СУБД Firebird для обеспечения соответствия требованиям класса 1Г ФСТЭК по защите конфиденциальной информации Николай Самофатов, Технический.
Digital Security LifeCycle Management System Эффективное решение для автоматизации процессов в рамках жизненного цикла СУИБ © 2008, Digital Security.
Москва, март 2006 г. 1 Формирование Российской национальной инфраструктуры открытых ключей ( PKI, Public Key Infrastructure )
Транксрипт:

Разработка системы унифицированного защищенного доступа на основе PKI - инфраструктуры силами самой организации. Почему своими силами? Александр Широков, заместитель начальника Службы – начальник отдела информационной безопасности АБС Службы информационной безопасности Банка «Возрождение» (ОАО) 3 июня 2008г.

2 АБС ЦФТ - Банк IB System Object (IBSO - технологическое ядро) АБС ЦФТ - Retail Bank Object (операции розничных клиентов) Модуль IBSO АБС "Расчеты по заработной плате" Система поддержки корпоративных продаж CRM SalesLogix Система поддержки розничных продаж CRM MS Dynamics Система управления кредитным портфелем Transact SM Система защищенного документооборота Защищенная электронная почта Система дистанционного обслуживания клиентов Центральный офис Филиал ….. …… Филиал … 60 филиалов пользователей УЦ КИС ДБОДБО ДБОДБО Банк «Возрождение» (ОАО) Основные централизованные банковские системы: ДБОДБО … пользователей Более 70 банковских систем!!!

3 Основные проблемы организации унифицированного защищенного доступа к приложениям Большое количество технологически разнообразных банковских систем Отсутствие единого механизма доступа к банковским системам Отсутствие единого механизма управления учетными записями пользователей банковских систем Отсутствие встроенной поддержки средств криптографической защиты информации в большинстве систем Отсутствие единой системы управления информационной безопасностью

4 Об информации, информ. технологиях и о защите информации О техническом регулировании О персональных данных О коммерческой тайне О лицензировании отдельных видов деятельности Об электронной цифровой подписи Федеральные законы ФЗ о технич. регламенте «О безопасности ИТ» (проект) ФЗ о технич. регламенте «О требованиях к СОБИТ» (проект) Постановления Правительства РФ Ф С Т Э КФ С Б Положение о разработке, пр-ве, эксплуатации шифровльных СЗИ ПКЗ Спецтреб.и реком. по техзащите КИ СТР - К (2002) РД : по ЗИ и НСД, БИТ-2003 (по 15408) Административные регламенты: - Организ. ведения ЕГР СКП УЦ (проект) - Организ. подтв. подл. ЭЦП (проект) СТО БР ИББС Общие положения Банк России ISO ISO\IEC ISO\IEC ISO\IEC ISO\IEC ISO\IEC _ 1-й уровень - корпоративная политика (концепция) ИБ ПИБ й уровень - частные политики ИБ (правила, требования, принципы), планы работ, стандарты технологий (регламенты) ПОЗБИ й уровень (требования ИБ к процедурам) - руководство (положение, порядок), инструкция, конфигурационные требования 4-й уровень (свидетельства выполненной деятельности) - протокол, акт, договор, отчет, журнал, реестр, обязательства … СТРУКТУРА ДОКУМЕНТАЦИИ ПО ОБЕСПЕЧЕНИЮ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ БАНКА М Ф П В Постановления Правительства РФ о технических регламентах Федеральные законы о технических регламентах ГОСТ Р ИСО\МЭК ч.1 –ч ФАТРМ По устройству и защите АС и СВТ от НСД, ПЭМИН и т.д. ГОСТ Р ИСО\МЭК ч.1,3,4, ГОСТ Р ИСО\МЭК ГОСТ Р ИСО _ (проект) ГОСТ Р ИСО\МЭК _ (проект) РЕГЛАМЕНТЫ ВТО ISO\IEC СТО БР ИББС Аудит СТО БР ИББС Методика соответствия РС БР ИББС -2.3-_ Классификация активов РС БР ИББС Оценка рисков РС БР ИББС Самооценка PCI DSS БАНК V isa\MasterCard РС БР ИББС Документация ФАИТ Об организации лицензирования отдельных видов деятельности О лицензировании деятельности по техзащите конфиденциальной информации Об утверждении положений о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами Об утв. положения об обеспечении безопасности ПД при их обработке в ИС ПД

5 Основные принципы реализации Принцип обеспечения единого универсального механизма защиты доступа ко всем централизованным приложениям Принцип масштабируемости системы Принцип высокой отказоустойчивости Принцип согласованности информационной системы Принцип адаптивности (гибкости) системы Принцип высокой доступности Принцип мобильности пользователей Принцип заданного уровня информационной безопасности Принцип строго соответствия отечественным и международным стандартам, требованиям государственных регуляторов Принцип двойного контроля и разделения знаний Принцип полноты аудита Принцип юридической значимости Принцип эффективного и экономичного использования каналов и оборудования

6 Управление информационной безопасностью в банковской системе Организационный аспект Технологический аспект Нормативно-правовой аспект В рамках отдельной банковской системы! Необходим проект по объединению решений в области ИБ «Интегратор интеграторов»

7 Почему своими силами? Экономически выгодно Работа ведется специалистами только по данному проекту Специалисты представляют внутреннюю организацию Банка Специалисты знают техническую структуру Банка Специалисты имеют опыт разработки программного обеспечения в области защиты информации Полный контроль над разработкой системы у руководства Эффективность полученного решения

8 Служба информационной безопасности Удостоверяющий Центр Корпоративной Информационной Системы Отдел внедрения и сопровождения систем обеспечения информационной безопасности Отдел криптографической защиты информации Отдел администраторов безопасности Отдел информационной безопасности автоматизированных банковских систем Отдел безопасности платежных систем Отдел аудита и аттестации информационных систем

9 Постановка Задачи АБС RBO АБС IBSO TransactSM CRM SalesLogix Расчеты по ЗП CRM Microsoft Dynamics 3.0 Кадровая система Центральный офис Идентификацию Двухфакторную аутентификацию Авторизацию Шифрование трафика Контроль целостности «Двойное управление» доступом Оперативный централизованный контроль доступа Контроль за использованием ключевых носителей Необходимо обеспечить выполнение требований: Как это сделать? Решение: Система защищенного доступа к централизованным ресурсам

10 Система управления ключевыми носителями и сертификатами

11 Национальная отраслевая премия «За укрепление безопасности России» в 2008г.

Спасибо за внимание. Вопросы? Александр Широков, заместитель начальника Службы – начальник отдела информационной безопасности АБС Службы информационной безопасности Банка «Возрождение» (ОАО) 3 июня 2008г.