За любой информацией обращайтесь к нашим специалистам:
Тел: +7(495) 787-20-58; электронная почта: security@microtest.ru.
 |
|
Активное развитие банковского сектора влечет за собой увеличение клиентских баз, в связи с чем особую актуальность приобретают вопросы защиты информации о клиентах банка. Сегодня уже известны ряд случаев, когда информационные системы крупнейших российских банков подвергались внешнему проникновению злоумышленников для получения несанкционированного доступа к сетевым ресурсам банка, либо для нарушения нормального режима работы сетевых сервисов. Проникновение в финансовую систему банка, а также на сервера баз данных может повлечь за собой исчезновение крупных сумм со счетов, разглашение тайны клиента о состоянии его счета, а взлом серверов баз данных чреват распространением сведений о клиенте. На сегодняшних день во всех существующих сетевых операционных системах имеется много уязвимых мест с точки зрения защиты информации. Поэтому необходимо проводить проактивные мероприятия борьбы с взломами и проникновениями в банковские системы. Одной из таких мер является проведение аудита систем обеспечения информационной безопасности, который позволяет на начальном этапе выявить уязвимые места и предпринять дальнейшие шаги для их устранения. Примером такого проекта является аудит системы защиты информации, проведённый компанией «Микротест» для одного из крупнейших российских банков. |
Требования бизнеса заказчика
Для того, чтобы в будущем избежать нежелательных проникновений и атак, а также для формирования стратегии развития бизнеса и сопутствующей модернизации корпоративной информационной системы и системы защиты информации было необходимо:
- получить объективную информацию об актуальном состоянии компонентов системы для обеспечения информационной безопасности;
- выявить «узкие» места системы информационной безопасности для принятия проактивных мер предотвращения атак;
- оценить стоимость развития системы обеспечения информационной безопасности;
оценить зрелость ИТ-инфраструктуры и системы информационной безопасности банка в соответствии с требованиями стандарта Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» (СТО БР ИББС-1.0-2006).
Таким образом, руководство Банка поставило задачу проведения независимой компанией аудита текущего состояния системы защиты информации и оценки уязвимости корпоративной информационной системы, включая специализированные банковские системы
Решение
Задачами аудита текущего состояния системы защиты информации было получение аккумулированных достоверных данных об используемых подходах к обеспечению защиты информации, в том числе и об организационных мерах защиты, а также выявление «узких» мест системы.
В качестве партнера для реализации данного проекта была выбрана компания «Микротест». Специалисты компании обладают высокой квалификацией, имеют опыт работы с крупными территориально-распределенными финансовыми структурами и обладают существенным опытом проведения аудитов систем информационной безопасности.
В ходе работ специалистами «Микротест» было проведено полное обследование компонентов, входящих в состав системы защиты информации в соответствии с требованиями стандарта Банка России и тестирование информационной системы Банка на нежелательное проникновение со стороны. Наряду с проведением комплексного анализа всей политики безопасности банка было осуществлено тестирование СЗИ, где специалисты «Микротест» выступали в роли хакеров, имитируя проникновение в сеть, используя всю доступную информацию и соответствующий программный инструментарий.
Кроме того, был проведен анализ существующей документации по ИБ, анализ конфигураций серверов, а также проведена выборочная проверка сотрудников с использованием элементов социальной инженерии.
Таким образом, в рамках проекта были проведены следующие работы:
- Анализ организационно-штатной структуры и нормативно-распорядительных документов Заказчика в области информационных технологий и защиты информации;
- Анализ конфигурации и топологии автоматизированных систем и систем связи в целом и их отдельных компонентов; физических, функциональных и технологических связей как внутри этих систем, так и с другими системами различного уровня и назначения;
- Анализ технических средств и систем, условий их расположения, общесистемного и прикладного программного обеспечения;
- Определение угроз безопасности информации и модели вероятного нарушителя применительно к конкретным условиям функционирования;
- Анализ угроз и качественная оценка информационных рисков;
- Анализ уязвимостей активного сетевого оборудования, серверов, рабочих станций, межсетевых экранов, прикладного программного обеспечения с помощью специальных средств анализа защищенности.
Достигнутые результаты
Аудит был проведен в соответствии с утвержденным заданием на работы и был успешно завершен на пяти объектах Заказчика в течение 2-х кварталов после инициации проекта.
Отличительной особенностью проведенного аудита стали сжатые сроки решения задач, несмотря на комплексность работ и территориальную распределенность ИТ-инфраструктуры Заказчика.
В ходе работ были обнаружены уязвимости критичных информационных систем Банка, в частности:
- Системы антивирусной защиты;
- Сервера кредитных историй;
- Файловых серверов;
- Серверов баз данных;
- Бухгалтерской системы.
По итогам аудита Банк получил от компании «Микротест» комплект документов, содержащий отчет о текущем состоянии системы защиты информации, рекомендации по устранению обнаруженных уязвимостей и концепцию развития информационной безопасности с учетом требований законодательства Российской Федерации в области защиты и информации и требований.
