воскресенье, 22 мая 2011 г.

Гарантированное уничтожение информации

Причины необходимости гарантированно уничтожения:
  • Прекращение использования информации.
  • Вывод из эксплуатации оборудования.
  • Замена вышедших из строя носителей информации.
  • Изменение роли оборудования.
  • Перемещение оборудования, в том числе передача/продажа/дарение.
Виды носителей информации:
  • Магнитные диски (HD, FD).
  • Оптические диски (CD/DVD).
  • Флэш-память (SSD диски, USB flash).
  • Бумажные документы.
Методы уничтожения информации:
  • Программный метод (простая перезапись информации, криптографические методы, включая различные ГОСТы).
  • Аппаратный метод (воздействие магнитным полем высокой напряженности, физическое измельчение. Также есть специальные ГОСТы).
Виды уничтожения:
  • На уровне файлов/папок, то есть части носителя информации.
  • На уровне всего носителя информации.
Что нужно для уничтожения на уровне файлов/папок:
  • На ПК пользователей должен стоять программный шредер.
  • На серверах должен стоять программный шредер.
  • СУБД должны иметь функции по затиранию определенных полей.
  • Специальное ПО должно иметь функции по уничтожению «своих» данных.
Что нужно для уничтожения на уровне носителей информации:
  • Должно быть специальное оборудование («хлопушки», шредеры).
  • Желательно иметь специальный стенд.
Организационные меры:
  • Политика информационной безопасности организации должна говорить о необходимости  гарантированного уничтожения информации.
  • Порядки или регламенты уничтожения, то есть детализированные документы, прописывающие, как и кто должен взаимодействовать в данном процессе и как должно проводиться уничтожение.
  • Инструкции, то есть документы высшей детализации,  направленные по конкретным видам и способам уничтожения, включая инструкции для администраторов и пользователей.
  • Правила для сотрудников организации должны предписывать гарантированное уничтожение информации, описывать случаи, когда следует их использовать и персональную ответственность, в том числе за возможное разглашение информации.
Ограничения и компенсационные меры: 
  • Программные методы не полностью удаляют информацию с флэш-памяти, содержащей
    механизмы нивелирования износа (weal leveling). Компенсация – не использовать удаление
    с таких носителей на уровне файлов, а использовать затирание всего диска, либо использовать
    шифрование для хранения информации.
  • Программные методы требуют большого количества времени. Компенсация – использовать
    небольшое количество циклов (допустим, российский ГОСТ Р50739-95 предусматривает
    всего 2 цикла перезаписи), использовать не зеркалированные RAID-массивы, по возможности,
    с бОльшим количеством дисков и «разбивать» их с последующим раздельным хранением дисков.
  • Аппаратные методы часто выводят из строя жесткие диски. Компенсация – использовать только
    в экстренных случаях или же перед их утилизацией. 

Примеры программных средств: Paragon Disk Wiper, Acronis Drive Cleaner.
Производители (марки) аппаратных средств: «Раскат» (www.runtex.ru, www.eraser.ru), «АБС» (www.nero.ru), «Цунами» (www.kcy.info), «Унидиск» (www.unidisk.ru).   

понедельник, 9 мая 2011 г.

Анализ Положения 242-П «Об организации СВК…» в части ИБ

Буду мелким шрифтом писать выдержки из положения, а крупным свои комментарии от имени ИБ банка.
3.1. Система внутреннего контроля кредитной организации должна включать следующие направления:
- контроль за управлением информационными потоками (получением и передачей информации) и обеспечением информационной безопасности;
Как ни крути, кто-то в банке должен заниматься ИБ, а СВК должно контролировать подразделение ИБ.
3.3. Контроль за функционированием системы управления банковскими рисками и оценка банковских рисков.
3.3.1. Контроль за функционированием системы управления банковскими рисками кредитная организация осуществляет на постоянной основе в порядке, установленном внутренними документами.
3.3.2. Оценка банковских рисков предусматривает выявление и анализ внутренних (сложность организационной структуры, уровень квалификации служащих, организационные изменения, текучесть кадров и т.д.) и внешних (изменение экономических условий деятельности кредитной организации, применяемые технологии и т.д.) факторов, оказывающих воздействие на деятельность кредитной организации. 
В банковские риски входят следующие риски:
-        Кредитный
-        Рыночный
-        Операционный
-        Ликвидности
-        Страновой
-        Правовой
-        Репутационный
-        Стратегический
В общем и целом, ИТ и ИБ риски входят в категорию операционных рисков и поэтому должны нами обрабатываться.
Внутренними документами кредитной организации должен быть предусмотрен порядок информирования соответствующих руководителей о факторах, влияющих на повышение банковских рисков.
В документах по обработке рисков ИБ прописываем информирование подразделений банка о выявленных рисках.
3.3.3. Оценка банковских рисков в кредитной организации должна проводиться на консолидированной основе с учетом всех организаций, являющихся по отношению к ней дочерними или зависимыми.
Обработка рисков в банке должна быть для всех их видов, но имеем в виду, что риски ИБ это часть операционных рисков и поэтому мы должны их обрабатывать сами и возможно сообщать о них, тем кто занимается операционными рисками и тем, кто консолидирует все виды банковских рисков.
3.4.3. Кредитная организация должна установить порядок выявления и контроля за областями потенциального конфликта интересов, проверки должностных обязанностей служащих, занимающих должности, предусмотренные частью третьей статьи 11.1 Федерального закона "О банках и банковской деятельности", а также иных служащих кредитной организации, с тем, чтобы исключить возможность сокрытия ими противоправных действий.
Прописываем в правилах ИБ для персонала о недопустимости конфликта интересов и если таковые могут быть, то пусть будет права та сторона, что более выгодна для бизнеса.
3.5. Контроль за управлением информационными потоками (получением и передачей информации) и обеспечением информационной безопасности.
Хорошо, что есть расшифровка понятия информационных потоков, в противном случае можно было бы притянуть за уши и мандатный принцип контроля доступа. Далее идет детализация этих требований.
3.5.1. Информация по направлениям деятельности кредитной организации должна быть своевременной, надежной, доступной и правильно оформленной. Информация состоит из сведений о деятельности кредитной организации и ее результатах, данных о соблюдении установленных требований нормативных правовых актов, стандартов саморегулируемых организаций (для профессиональных участников рынка ценных бумаг), учредительных и внутренних документов кредитной организации, а также из сведений о событиях и условиях, имеющих отношение к принятию решений. Форма представления информации должна быть определена с учетом потребностей конкретного получателя (органы управления, подразделения, служащие кредитной организации).
Мое мнение, что конфиденциальность нужна банкам больше на словах, чем на деле. В действительности банкам более важна доступность, так как  простой ориентированных на клиентов сервисов часто соотносится с прямыми финансовыми убытками. Здесь и говорится о доступности, а также о производных свойствах информации: своевременности и надежности. 
Порядок контроля за управлением информационными потоками (получением и передачей информации) и обеспечением информационной безопасности должен быть установлен внутренними документами кредитной организации с учетом положений данного и других подпунктов пункта 3.5 настоящего Положения и должен распространяться на все направления ее деятельности.
Должны быть отдельные политики ИБ по процессам, ориентированным на клиентов.
3.5.2. Внутренний контроль за автоматизированными информационными системами и техническими средствами состоит из общего контроля и программного контроля.
Общий пункт, его разъяснения идут дальше.
3.5.3. Общий контроль автоматизированных информационных систем предусматривает контроль компьютерных систем (контроль за главным компьютером, системой клиент-сервер и рабочими местами конечных пользователей и т.д.), проводимый с целью обеспечения бесперебойной и непрерывной работы.
Это можно понимать как контроль доступности систем (ping), как контроль производительности систем (счетчики производительности), как контроль целостности систем и данных (хэш-функции), как протоколирование событий (логи). Сюда же использование кластеров (отказоустойчивых или с распределением нагрузки), сюда же резервирование по электропитанию и системы климат-контроля. Вообще, здесь широкое поле для творчества.
Общий контроль состоит из осуществляемых кредитной организацией процедур резервирования (копирования) данных и процедур восстановления функций автоматизированных информационных систем, осуществления поддержки в течение времени использования автоматизированных информационных систем, включая определение правил приобретения, разработки и обслуживания (сопровождения) программного обеспечения, порядка осуществления контроля за безопасностью физического доступа.
Делаем политики резервного копирования и восстановления данных. Должна быть техническая поддержка для всех важных подсистем банка. Физическая составляющая - это контроль доступа в здания и помещения банка, а также опечатка серверов и рабочих компьютеров.
3.5.4. Программный контроль осуществляется встроенными в прикладные программы автоматизированными процедурами, а также выполняемыми вручную процедурами, контролирующими обработку банковских операций и других сделок (контрольное редактирование, контроль логического доступа, внутренние процедуры резервирования и восстановления данных и т.п.).
Здесь можно смело рассуждать о двойном контроле, разделении обязанностей, разделении секретов и так далее.
3.5.5. Кредитная организация устанавливает правила управления информационной деятельностью, включая порядок защиты от несанкционированного доступа и распространения конфиденциальной информации, а также от использования конфиденциальной информации в личных целях.
НСД может быть осуществлен на любом уровне модели OSI, поэтому здесь можно говорить практически о чем угодно. Что касается распространения информации, то здесь можно говорить о DLP и о контроле потоков. Что касаемо использования конфиденциальной информации в личных целях, то это можно парировать и организационно, включив требования в правила для персонала.
3.7. Кредитной организации необходимо обеспечить непрерывность деятельности и (или) восстановление деятельности, нарушенной в результате непредвиденных обстоятельств. В указанных целях кредитная организация должна иметь план действий, направленных на обеспечение непрерывности деятельности и (или) восстановление деятельности в случае возникновения непредвиденных обстоятельств, предусматривающий использование дублирующих (резервных) автоматизированных систем и (или) устройств, а также восстановление критически важных для деятельности кредитной организации систем, поддерживаемых внешним поставщиком (провайдером) услуг. Кредитная организация определяет порядок проверки возможности выполнения плана действий, направленных на обеспечение непрерывности деятельности и (или) восстановление деятельности в случае возникновения непредвиденных обстоятельств.
Самое сложное, но зато интересное требование - должна быть политика по непрерывности бизнеса, а также регулярно тестируемый план действий в подобных ситуациях. Более чем уверен, что пока гром не грянет, банк не перекрестится. Для описания этого требования имеется даже отдельное приложение.
Приложение №2 также требует наличие политик ИБ, а также мер по непрерывности бизнеса.
Приложение №5 целиком посвящено мерам по обеспечению непрерывности бизнеса, но это уже совсем другая история