Разработка системы унифицированного защищенного доступа на основе PKI - инфраструктуры силами самой организации. Почему своими силами? Александр Широков, - презентация

1 Разработка системы унифицированного защищенного доступа на основе PKI - инфраструктуры силами самой организации. Почему своими силами? Александр Широков, заместитель начальника Службы – начальник отдела информационной безопасности АБС Службы информационной безопасности Банка «Возрождение» (ОАО) 3 июня 2008г.

2 2 АБС ЦФТ - Банк IB System Object (IBSO - технологическое ядро) АБС ЦФТ - Retail Bank Object (операции розничных клиентов) Модуль IBSO АБС "Расчеты по заработной плате" Система поддержки корпоративных продаж CRM SalesLogix Система поддержки розничных продаж CRM MS Dynamics Система управления кредитным портфелем Transact SM Система защищенного документооборота Защищенная электронная почта Система дистанционного обслуживания клиентов Центральный офис Филиал ….. …… Филиал … 60 филиалов пользователей УЦ КИС ДБОДБО ДБОДБО Банк «Возрождение» (ОАО) Основные централизованные банковские системы: ДБОДБО … пользователей Более 70 банковских систем!!!

3 3 Основные проблемы организации унифицированного защищенного доступа к приложениям Большое количество технологически разнообразных банковских систем Отсутствие единого механизма доступа к банковским системам Отсутствие единого механизма управления учетными записями пользователей банковских систем Отсутствие встроенной поддержки средств криптографической защиты информации в большинстве систем Отсутствие единой системы управления информационной безопасностью

4 4 Об информации, информ. технологиях и о защите информации О техническом регулировании О персональных данных О коммерческой тайне О лицензировании отдельных видов деятельности Об электронной цифровой подписи Федеральные законы ФЗ о технич. регламенте «О безопасности ИТ» (проект) ФЗ о технич. регламенте «О требованиях к СОБИТ» (проект) Постановления Правительства РФ Ф С Т Э КФ С Б Положение о разработке, пр-ве, эксплуатации шифровльных СЗИ ПКЗ Спецтреб.и реком. по техзащите КИ СТР - К (2002) РД : по ЗИ и НСД, БИТ-2003 (по 15408) Административные регламенты: - Организ. ведения ЕГР СКП УЦ (проект) - Организ. подтв. подл. ЭЦП (проект) СТО БР ИББС Общие положения Банк России ISO ISO\IEC ISO\IEC ISO\IEC ISO\IEC ISO\IEC _ 1-й уровень - корпоративная политика (концепция) ИБ ПИБ й уровень - частные политики ИБ (правила, требования, принципы), планы работ, стандарты технологий (регламенты) ПОЗБИ й уровень (требования ИБ к процедурам) - руководство (положение, порядок), инструкция, конфигурационные требования 4-й уровень (свидетельства выполненной деятельности) - протокол, акт, договор, отчет, журнал, реестр, обязательства … СТРУКТУРА ДОКУМЕНТАЦИИ ПО ОБЕСПЕЧЕНИЮ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ БАНКА М Ф П В Постановления Правительства РФ о технических регламентах Федеральные законы о технических регламентах ГОСТ Р ИСО\МЭК ч.1 –ч ФАТРМ По устройству и защите АС и СВТ от НСД, ПЭМИН и т.д. ГОСТ Р ИСО\МЭК ч.1,3,4, ГОСТ Р ИСО\МЭК ГОСТ Р ИСО _ (проект) ГОСТ Р ИСО\МЭК _ (проект) РЕГЛАМЕНТЫ ВТО ISO\IEC СТО БР ИББС Аудит СТО БР ИББС Методика соответствия РС БР ИББС -2.3-_ Классификация активов РС БР ИББС Оценка рисков РС БР ИББС Самооценка PCI DSS БАНК V isa\MasterCard РС БР ИББС Документация ФАИТ Об организации лицензирования отдельных видов деятельности О лицензировании деятельности по техзащите конфиденциальной информации Об утверждении положений о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами Об утв. положения об обеспечении безопасности ПД при их обработке в ИС ПД

5 5 Основные принципы реализации Принцип обеспечения единого универсального механизма защиты доступа ко всем централизованным приложениям Принцип масштабируемости системы Принцип высокой отказоустойчивости Принцип согласованности информационной системы Принцип адаптивности (гибкости) системы Принцип высокой доступности Принцип мобильности пользователей Принцип заданного уровня информационной безопасности Принцип строго соответствия отечественным и международным стандартам, требованиям государственных регуляторов Принцип двойного контроля и разделения знаний Принцип полноты аудита Принцип юридической значимости Принцип эффективного и экономичного использования каналов и оборудования

6 6 Управление информационной безопасностью в банковской системе Организационный аспект Технологический аспект Нормативно-правовой аспект В рамках отдельной банковской системы! Необходим проект по объединению решений в области ИБ «Интегратор интеграторов»

7 7 Почему своими силами? Экономически выгодно Работа ведется специалистами только по данному проекту Специалисты представляют внутреннюю организацию Банка Специалисты знают техническую структуру Банка Специалисты имеют опыт разработки программного обеспечения в области защиты информации Полный контроль над разработкой системы у руководства Эффективность полученного решения

8 8 Служба информационной безопасности Удостоверяющий Центр Корпоративной Информационной Системы Отдел внедрения и сопровождения систем обеспечения информационной безопасности Отдел криптографической защиты информации Отдел администраторов безопасности Отдел информационной безопасности автоматизированных банковских систем Отдел безопасности платежных систем Отдел аудита и аттестации информационных систем

9 9 Постановка Задачи АБС RBO АБС IBSO TransactSM CRM SalesLogix Расчеты по ЗП CRM Microsoft Dynamics 3.0 Кадровая система Центральный офис Идентификацию Двухфакторную аутентификацию Авторизацию Шифрование трафика Контроль целостности «Двойное управление» доступом Оперативный централизованный контроль доступа Контроль за использованием ключевых носителей Необходимо обеспечить выполнение требований: Как это сделать? Решение: Система защищенного доступа к централизованным ресурсам

10 10 Система управления ключевыми носителями и сертификатами

11 11 Национальная отраслевая премия «За укрепление безопасности России» в 2008г.

12 Спасибо за внимание. Вопросы? Александр Широков, заместитель начальника Службы – начальник отдела информационной безопасности АБС Службы информационной безопасности Банка «Возрождение» (ОАО) 3 июня 2008г.