Совершенствование системы информационной центра обработки данных на примере ОАО АКБ «Связь-Банк»

выпускник группы MBA CSO-05
Школы IT-менеджмента
РАНХиГС при Президенте РФ

Темой данной аттестационной работы является «Совершенствование системы информационной безопасности центра обработки данных на примере ОАО АКБ «Связь-Банк» (далее – Банк).

Данная тема получила свою актуальность в свете построения нового центра обработки данных (далее – ЦОД).

Его построение обусловлено наличием большого количества проблемных зон в информационно-технологической инфраструктуре Банка, не позволяющих осуществлять дальнейшее развитие деятельности Банка, а также обеспечить непрерывность банковских технологических процессов в случае возникновения непредвиденных обстоятельств.

Наличие указанных проблемных зон, в свою очередь, является причиной недостаточного уровня ИТ-поддержки деятельности Банка.

Наряду с этим, в соответствии с требованиями Указания Банка России № 2194-У от 05.03.2009 «О внесении изменений в Положение Банка России от 16.12.2003 № 242-П «Об организации внутреннего контроля в кредитных организациях и банковских группах», кредитной организации необходимо обеспечить непрерывность деятельности или восстановление деятельности, нарушенной в результате непредвиденных обстоятельств.

Руководствуясь вышеуказанным Положением, в Банке проведена детальная проверка информационно-технологической инфраструктуры, основанная на анализе нормативно-методической базы и сведений, предоставленных подразделениями Банка.

Результаты данной проверки подтвердили необходимость реорганизации информационно-технологического обеспечения. Однако, проведение данных мероприятий с использованием имеющегося серверного оборудования может повлечь за собой приостановку деятельности Банка. В этой связи проведение реорганизации становится возможным только на базе новой технологической площадки. По причине необходимости использования при построении ЦОД новых инфраструктурных решений, система информационной безопасности ЦОД также нуждается в усовершенствовании.

В соответствии с приказом в Банке введен в действие и считается обязательным для применения Комплекс документов в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации». В этой связи оценка текущего состояния системы информационной безопасности проводилась по групповым показателям М3, М4 и М21 документа СТО БР ИББС-1.2.2010 «Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0-2010», действовавшего на момент проведения оценки.

Проведенный анализ показал, что уровень выполнения требований данного стандарта по ряду показателей находится ниже рекомендованного Банком России. В частности, механизмы аутентификации в информационных системах и управления доступом в помещения требуют усовершенствования. Средства антивирусной защиты в Головном банке и филиалах не обладают отказоустойчивостью. Настройка политик обновления модулей и антивирусных баз не обеспечивает баланс между централизованной и распределенной схемой обеспечения антивирусной защиты корпоративной сети при локальных отказах каналов связи или серверов. Средства защиты трафика не позволяют выполнить требования государственных регуляторов к обеспечению безопасности персональных данных по причине отсутствия сертификации / разрешения ФСБ России и не позволяют обеспечить синхронизацию в системах хранения данных между основным и резервным ЦОД. Необходимые инструменты для осуществления мониторинга и контроля защитных мер в Банке отсутствуют.

Для обоснования требований к системе информационной безопасности разработана модель угроз информационной безопасности ЦОД. В ходе разработки данной модели определены источники угроз, объекты воздействий и способы реализации угроз.

В соответствии с методическими рекомендациями Банка России РС БР ИББС-2.2-2009 «Методика оценки рисков нарушения информационной безопасности» составлен перечень классов основных источников угроз информационной безопасности, а также их описание с указанием экспертной оценки Степени Возможной Реализации угроз (СВР), Степени Тяжести Последствий (СТП), уровня реализации угроз и описания основных последствий реализации угроз для ЦОД.

Обобщив полученные данные, выделены следующие основные актуальные угрозы ресурсам ЦОД:

• Атаки на информационные ресурсы (платежную и иную информацию) компании со стороны злоумышленников, осуществляющих целенаправленные деструктивные воздействия, в том числе с использованием компьютерных вирусов и других типов вредоносного кода, приводящие к сбоям, отказам, разрушению и/или повреждению программных и технических средств;
• Неправомерные действия поставщиков услуг, приводящие к прекращению (отказу) обслужива­ния вследствие выхода из строя аппаратных и/или программных средств;
• Санкции со стороны надзорных и регулирующих органов вследствие невыполнения предъявляемых ими требований;
• Несанкционированная деятельность персонала и пользователей автоматизированных систем, приводящая к изменению настроек оборудования, аппаратно-программных средств и комплексов, влияющих на информационную безопасность;
• Несанкционированное использование информационных ресурсов (чтение, копирование, публикация, искажение, уничтожение, ввод ложной информации и т.п.).

В соответствии с результатами анализа требований, предъявляемых к новой технологической площадке, подготовлено техническое задание на проведение работ по совершенствованию системы информационной безопасности (СИБ) ЦОД.

Данное техническое задание определяет плановые сроки начала и окончания работ, порядок предъявления и оформления результатов работ, а также устанавливает требования к структуре и функциям СИБ ЦОД.

Структура СИБ ЦОД включает в себя подсистему управления доступом, подсистему антивирусной защиты, подсистему сетевой защиты и подсистему анализа защищенности информационных активов.

Для организации физического доступа сотрудников в помещения Банка и логического доступа к информационным системам предлагается использовать единую карту доступа на базе бесконтактных карт RFID. Подсистема управления доступом реализована на базе программного комплекса «Indeed-Id», обеспечивающего дополнительную аутентификацию с применением бесконтактных карт ISO Prox 2. Интеграция «Indeed-Id Logon for Windows» с системами контроля и управления доступом реализуется за счет использования дополнительных продуктов: «Indeed-Id Rules System» и «Indeed-Id RS СКУД Connector» и позволяет добавить новый фактор в схему предоставления доступа к информационным ресурсам – фактор местоположения сотрудника.

Подсистема антивирусной защиты реализована на базе имеющихся в Банке программных продуктов компании Trend Micro. Для резервирования подсистемы антивирусной защиты на площадке основного ЦОД предполагается осуществить конвертацию существующих физических компонент (серверов) подсистемы в виртуальную среду. Таким образом, резервирование будет происходить посредством технологии синхронной репликации SRDF, что обеспечит своевременное восстановление необходимых сервисов антивирусной защиты на резервной площадке в случае сбоев элементов подсистемы на площадке резервного ЦОД.

• Подсистема сетевой защиты реализована в модулях защиты периметра со стороны сети Интернет и защиты сети со стороны WAN соединений. Модуль защиты периметра со стороны сети Интернет организован на двух межсетевых экранах, оснащенных модулем предотвращения вторжений и обнаружения угроз. Конфиденциальность информации, передаваемой по открытым (общедоступным) каналам связи между ЦОД и территориально распределенными объектами Банка, обеспечивается с помощью шифрования и с использованием технологий VPN. Конфиденциальность информации, передаваемой через неконтролируемую среду провайдера услуг по волоконно-оптическим линиям связи между основным и резервным ЦОД обеспечиваться с помощью шифрования на уровне протокола Fibre Channel. Оборудование, использующееся для шифрования информации при передачи её по каналам связи, сертифицировано либо имеет отдельное разрешение ФСБ России.
• Реализация проекта по совершенствованию СИБ ЦОД позволила вывести систему обеспечения информационной безопасности на современный уровень.
• В частности, внедрение подсистемы управления доступом на базе программного обеспечения «Indeed-Id» позволило исключить влияние «человеческого фактора» (работникам Банка нет необходимости запоминать и записывать логины и пароли, что предотвращает компрометацию этих данных), осуществить интеграцию с системой контроля и управления доступом в помещения (при доступе к определенным информационным системам учитывается физическое местоположение работника), снизить затраты на обслуживание ИТ-систем (использование ролевой модели и автоматизация процесса создания и изменения учетных записей, работники получают доступ ко всем приложениям с помощью одного аутентификатора).
• Внедрение средств защиты трафика Fibre Channel на базе программно-аппаратных комплексов Senetas Fibre Channel Encryptor позволило обеспечить синхронизацию данных между основным и резервным ЦОД в режиме реального времени, без потерь, оказывающих существенное влияние на производительность систем хранения данных. Кроме того, внедрение данного оборудования, а также средств защиты трафика Ethernet на базе программно-аппаратных комплексов S-Terra CSP VPN Gate 7000 позволило выполнить требования государственных регуляторов в области обеспечения безопасности персональных данных, благодаря наличию у шифраторов компании «Senetas» соответствующего разрешения ФСБ России и сертификации оборудования компании «С-Терра СиЭсПи» на соответствие требованиям по безопасности.
• Внедрение подсистемы анализа защищенности информационных активов на базе программного обеспечения «MaxPatrol» позволило получить единую картину происходящего в инфраструктуре. Средства управления уязвимостями/контроля за конфигурациями, входящие в состав подсистемы анализа защищенности информационных активов, позволяют получать данные по имеющимся уязвимостям в режиме реального времени, отслеживать динамику их устранения, контролировать производимые изменения, а также обеспечивать автоматизацию таких задач, как инвентаризация ресурсов и контроль за конфигурациями. Поиск уязвимостей критичных ресурсов стал возможен на постоянной основе, различными способами: посредством сетевого сканирования, теста на проникновение, системных проверок, анализа защищенности СУБД и Web-приложений.
• С учетом дополнительных мероприятий по разработке нормативных и организационно-распорядительных документов Банка, реализация проекта позволила значительно повысить показатели выполнения Стандарта Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации СТО БР ИББС-1.0-2010. Расчет групповых показателей свидетельствует о соответствии системы информационной безопасности Банка по инфраструктурным направлениям рекомендованному Банком России четвертому уровню.