Комплексное обеспечение информационной безопасности хранилища коммерческого банка

Также в случае работы с эксклюзивной продукцией необходимо соблюдения режима защиты коммерческой тайны. Также в ряде случаев необходимо сохранять конфиденциальность внутриорганизационной информации кадрового характера (готовящиеся кадровые назначения, изменения в штатном расписании), экономического характера (данные о финансовом состоянии компании и т.п.).Также источниками опасных информативных сигналов могут являться устройства, на которых проводится обработка информации (компьютерная техника).Коммерческая тайна позволяет компании при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров.Также под коммерческой тайной могут подразумевать саму информацию,которая имеет действительную или потенциальную коммерческую ценность, к которой нет свободного доступа на законном основании. Данную информацию можно отнести к конфиденциальной,которая не может составлять коммерческую тайну в ст.5 закона «О коммерческой тайне». При всем выше сказанном коммерческую тайну нельзя разглашать без согласия обладателя информации. Данное сведение необходимо отнести к строго конфиденциальной степени защищенности.2.5Организация системы защиты информации в условиях СбербанкаВ качестве угроз безопасности в условиях Сбербанка рассматриваются:- непреднамеренные утечки информации вследствие халатности персонала (например, вследствие утери носителей информации с файлами, содержащими персональные данные, получение доступа к файлам, содержащим ПДн, вследствие отсутствия системы разграничения доступа на сервере и неиспользования систем защиты документов, оставление доступа к компьютерам при необходимости выхода с рабочего места и др.);- активность вредоносного ПО; - угрозы безопасности при проведении платежных операций; - угрозы сохранности персональных данных вследствие аппаратного сбоя;- угрозы злоумышленников, связанные с намеренным получением персональных данных;- угрозы, связанные с намеренными и непреднамеренными действиями сотрудников;- угрозы, связанные с утечками информативных сигналов с использованием специализированной аппаратуры.В рамках анализа программной части защиты информации проводится:- инвентаризация информационных ресурсов филиала Сбербанка;- определение пользователей и их ролей в контексте их достаточности при выполнении должностных обязанностей;- оценка эффективности применяемых средств программной защиты информации;- проведение мониторинга работы программной среды предприятия на предмет соответствия модели угроз.В качестве критериев оценки защищенности локальной сети Сбербанка от внешнихатак следует рассматривать следующие:- скорость работы сетевых приложений (проводится сравнение заявленной производительности сетевых приложений с фактическими);- использование файрволов, систем шифрования трафика, VPN-систем (анализируется статистика сетевых пакетов);- стабильность работы Web-сервера компании (анализ скорости работы Web-приложений, статистика отказов в обслуживании);- наличие утвержденных инструкций по работе пользователей с сетевыми ресурсами с доведением их до сотрудников под роспись;- количество прецедентов в работе сетевых ресурсов, связанных с отказом в обслуживании;- статистика обнаружения сетевых пакетов, источниками которых не являются установленные сетевые приложения.В таблице 9 приведена характеристика состояния защищенности информационной системы Сбербанка от основных видов угроз.Таблица - Характеристика состояния защищенности информационной системы Сбербанка от основных видов угрозНаправление защиты информацииТехнологияСтепень соответствия состоянию защищенностиАнтивирусная защитаKaspersky Security CenterСоответствуетЗащита сетевых соединенийVPNСоответствуетКриптографическая защитаКриптопровайдер СбербанкаСоответствуетФизическая защитаСКУД ОрионСоответствуетПарольная защитаJaCarta, Indeed-IDСоответствуетЗащита от перехвата информации с использованием специальных средствОтсутствуетНе соответствуетЗащита от действий пользователей, приводящих к инцидентам информационной безопасностиОтсутствуетНе соответствуетМониторинг активности внешней среды (сканирование уязвимостей)ОтсутствуетНе соответствуетОрганизационная защита информацииПакет нормативных документовСоответствует Системы резервированияAcronisСоответствует Охранно-пожарная сигнализацияУстановленаСоответствуетФизическая защита помещенийПосты охраныСоответствуетИспользование внешних носителей информацииРегламент использованияСоответствуетЗащита от установки нежелательного ПОСредства мониторинга АВЗ, ограничение прав пользователей, ведение реестра разрешенного ПОСоответствуетПредоставление доступа к информационным ресурсамСистема документооборота, таблицы управления доступомСоответствуетТаким образом, совершенствование архитектуры информационной безопасности Сбербанка необходимо осуществлять в направлениях:- Мониторинга активности внешней среды (сканирование уязвимостей);- Защиты от действий пользователей, приводящих к инцидентам информационной безопасности;- Защиты от перехвата конфиденциальной информации с использованием специальных средств съёма.3.Проект внедрения системы аудита информационной безопасности3.1. Использование ПО Nessusдля сканирования уязвимостей информационной системы СбербанкаВ рамках практической части работы для аудита защищенности информационной системы Сбербанка предлагается использование сканера уязвимостей Nessus.Сканер уязвимостей Nessus является одним из наиболее распространенных программных продуктов в области поиска уязвимостей в информационных системах. Ключевой особенностью использования приложения является необходимость подключения плагинов, каждый из которых отвечает за поиск уязвимостей определенного типа. Существуют 42 различных типа подключения внешних модулей: для проведения пентеста возможна активация как отдельных плагинов, так и всех плагинов определенного типа - например, для проведения всех локальных проверок на системах класса Ubuntu. Также пользователями системы, имеющими квалификацию в области работы с системами безопасности, возможно написание собственных модулей сканирования.Основные возможности системы NessusProfessional включают [3]: - наличие большого количества режимов анализа защищенности;- возможность управления настройками сканирования;- наличие сервиса обновлений программного продукта и базы знаний по уязвимостям;- Возможность создания отчетности об уязвимостях.В системе поддерживается несколько способов сканирования, включающих удаленное и локальное сканирование активов, сканирование с поддержкой аутентификации, автономный аудит конфигурации сетевых устройств [3]: Возможностиобнаружения и сканирования активов, включающих сетевые устройства, включая брандмауэры, операционные системы, базы данных, веб-приложения, виртуальные и облачные среды.Сервисы сетевого сканирования. Сканирование протоколов IPv4, IPv6 и гибридных сетях, поддерживается возможность запуска задач по расписанию. Возможности сканирования с настройкой времени и частоты запуска. Сканирование сетевых узлов по выборке Возможность автоматического анализа результатов сканирования. Выдача рекомендаций по восстановлению и настройке процесса поиска уязвимостей.В системе имеются возможности автоматической пересылки отчетов ответственным специалистам при обнаружении уязвимостей, с указанием уровня их опасности, формирования отчетности по расписанию, включая отчеты по устранению уязвимостей. Возможность создания отчетности с поддержкой сортировки по видам уязвимостей или хостам, создание аналитического отчета по результатам поиска уязвимостей и состоянию защищенности сети. Поддерживается множество форматов отчетов, включая: встроенные (XML), PDF, CSV и HTML. Возможна настройка рассылки уведомлений об отправке отчета, о получении или обновлении состояния защищенности сети. Рассмотрим функционал отдельных плагинов системы.1. NASL (NessusAttackScriptingLanguage).Данный плагин имеет раздельные серверную и клиентскую части. В последней 4.2 версии агент проводит открытие Web-сервера на 8834 порту, посредством которого возможно управление сканером с использованием интерфейса, реализованного на Flash, с использованием браузера. После установки сканера серверная часть запускается автоматически. При определении типа лицензии система открывает доступные возможности сканирования: по количеству IP-адресов и возможным действия с обнаруженными уязвимостями. Система администрирования Nessusпредлагает создание учетных записей, под которыми выполняются операции сканирование на наличие уязвимостей.Любой тест на проникновение начинается с создания так называемых Policies - правил, в соответствии с которыхыми сканер будет проводить анализ уязвимостей системы.При задании правил необходимо указать [2]:- виды сканирования портов (TCP Scan, UDP Scan, SynScan и т.д.);- количество одновременных подключений, а также типичные для Nessus настройки, как, например, SafeChecks. Последняя включает безопасное сканирование, деактивируя плагины, которые могут нанести вред сканируемой системе.Необходимым шагом при создании правил является подключение необходимых плагинов: возможна активация целыхгрупп, например, DefaultUnixAccounts, DNS, CISCO, SlackwareLocalSecurityChecks, Windows и т.д. Система проверяет признаки большого количества возможных атак и подозрительной активности приложений. Сканер никогда не будет анализировать активность сервиса только по номеру его порта. При изменении стандарно используемых приложениями портов – сканер обнаруживает изменение и проведет определение наличия подозрительной активности. Ниже приведен перечень общих настроек, к которым возможно получение доступа [2]:Basic: Посредством данного параметра возможно определение связанных с безопасностью и организационных аспектов проведения проверки или политики. Данные аспекты будут включать наименование шаблона сканирования, информацию о целях сканирования, в независимости от того, является ли данная операция запланированной.Discovery: в данной настройке проводится определение сканируемых портов и методов, которые будут использованы при проведении указанного исследования. Настройка содержит несколько разделов.Assessment: Данный параметр позволяет определять тип сканирования уязвимостей для выполнения и способы его исполнения. Система проводит проверку уязвимостей веб-приложений к возможным атакам, а также проверку устойчивости других приложений кDDoS-атакам.Report: В данной области настройки проводится работа с шаблонами формируемой отчетности по результатам сканирования уязвимостей. На рисунке 12 приведен режим настройки процесса сканирования уязвимостей, на рисунке 13 – настройки сканирования.Рисунок – Настройки сканирования уязвимостейРисунок – Настройки сканированияВ ходе проведения сканирования сети Сбербанкабыли обнаружены следы инцидентов:- обнаружение неопознанного потока запросов к базе данных MSSQLServer;- обнаружены внешние сетевые атаки на серверные ресурсы;- возможность авторизации в СУБД в автоматическом режиме без ввода пароля;- обнаружена активность неопознанного приложения на сервере.Уязвимости в информационной системе Сбербанка включают:- не отключенная учетная запись «администратор» на компьютерах пользователей без пароля;- пароль Администратора на сервере не соответствует требованиям безопасности;- пользователям доступен режим самостоятельного отключения и удаления антивирусного ПО;- пользователи на рабочих станциях имеют права локальных администраторов;- установлены прикладные программные продукты, использование которых требует административных прав;- не разграничен доступ к использованию flash-накопителей;- существуют служебные доменные учетные записи, не имеющие пароля (например, учетная запись для использования сетевого сканера);- отсутствует система защиты от СПАМа;- в разделяемых файловых ресурсах всем пользователям доступны режимы записи, изменения и удаления (что является для некоторых ресурсов избыточным), не проводится мониторинг активности учетных записей при работе с ресурсами файлового сервера; - ошибки в конфигурировании межсетевого экрана.Устранение указанных уязвимостей возможно при использовании дополнительных программных средств, позволяющих провести анализ состояния системы (например, антивирусного ПО).3.2. Проект выявления электронных средств съема в выделенных помещениях1. Детектор видеокамер "Hubble" ("Хаббл")Назначение: работы по обнаружению установленных скрытых видеокамер методом оптической локации[4].Метод обнаружения основывается на оптической локации и позволяет обнаруживать наличие объективов видеокамеры за счет эффекта световозвращения или "обратных бликов", характеризующегося тем, что распространение отраженного излучениявозможно в пределах узкого телесного угла и точно в направлении на зондирующие излучатели при однопозиционной локации.Детектор позволяет проводить трехкратное оптическое увеличение с регулировкой резкости;Полное заполнение поля зрения объектива обнаружителя подсветкой;Металлический корпус;Дистанция обнаружения определяется различными факторами (внешней освещённостью, особенностями объектива камеры, остротой зрения оператора) и может составлять 10 - 15 метров.На рисунке 5 показан вид детектора видеокамер «Хаббл»Рисунок – Детектор видеокамер«Хаббл»Для поиска электронных средств съема информации с использованием радиоканалов для передачи информации предполагается использование детектора поля S007.Детектор поля ST 007 - детектор поля, предназначенный для решения задач по обнаружению и локализации радиоизлучающих специальных технических средств (РСТС) электронного съема информации, к которым относятся ретрансляторы сигналов с телефонов, радиосигналов; видеокамер, работающей компьютерной техники (излучающей в процессе работы побочные сигналы). Принцип действия детектора ST 007 базируется на широкополосном детектировании электрических полей. Дает возможность обнаруживать сигналы любых видов модуляции.На рисунке 10 показан вид детектора поля ST 007Рисунок 10 - Вид детектора поля ST 007Детекторы обнаружения средств съема информации.Универсальный прибор для решения задач по обнаружению устройств скрытого съема информации       СРМ-700 - профессиональное поисковоеустройство, разработанное для быстрого и незаметного определения места установки электронных устройств для съема информации основных видов, к которым относятся: передатчики, работающие в диапазоне РЧ (от 40 кГц до 4 ГГц), ОНЧ (от 25 кГц до 2 МГц) и звуковых частот (от 90 Гц до 18 кГц).Устройство объединяет в одном модулеследующие наиболее необходимыев процессе поиска функции [4]:обнаружение скрытых радиомикрофонов (радиозакладок), импульсных передатчиков и сигналов для дистанционного управления, радиопередатчиков взрывных устройств.ОНЧ-зонд позволяет обнаруживать подслушивающие устройства - "жучки", используемые для передачи сигналов комнатную электропроводку.сверхчувствительные усилители на дополнительном входе позволяют проводить прослушивание подозрительных телефонов или проводкив целях обнаружения скрытых микрофонов стетоскопов или иных подслушивающих устройств.функционал "мониторинга опасности" т.е. мониторинга предназначена для защиты после поиска, система немедленно реагирует на наличие нового устройства.Функция выхода для непрерывной записи, сигнал с которого может подаваться на любой стандартный магнитофон, что позволяет записывать любые подозрительные звуки, поступившие с зонда или дополнительного входа. На рисунке 11 показан вид устройства СРМ-700Рисунок 11 - Вид устройства СРМ-700Прибор обнаружения средств негласного съема информации OSC-5000Спектральный коррелятор OSC-5000 предназначен для контроля различных каналов утечки информации. Способен в ручном и автоматическом режимах производить поиск и локализацию широкого спектра средств несанкционированного съема информации, таких как радиомикрофоны, телефонные передатчики, передатчики по электросети и проводным линиям, лазерного съема. Микропроцессорное управление позволяет быстро производить анализ полученных в сеансе работы данных, хранить их в памяти прибора и протоколировать их на встроенном плоттере.OSCOR имеет возможности [4]:24 часовой автоматический и ручной контроль различных каналов утечки информации;Спектральный анализ диапазона 10 кГц-3000 МГц;Анализ сигнала по типу модуляции;Контроль телефонных линий и проводных коммуникаций напряжением до 250В;Анализ инфракрасного канала;Пассивный коррелятор акустических сигналов с программируемыми режимами;Предварительная загрузка параметров эфира (фона) и режим быстрого анализа;Память на 7168 частот (расширение до 28672) с сохранением параметров сигналов (времени обнаружения, типа демодулятора, уровня тревоги);До 30 диапазонов обследования, задаваемых пользователем, в каждом из которых можно задать свой режим анализа;Анализ видеосигналов систем PAL/SECAM/NTSC;Встроенный плоттер для быстрого документирования;Коммуникационноепрограммное обеспечение, позволяющее создавать базы данных сигналов на PC и вести статистику контроля;Акустический локатор, определяющий расстояние до активных радиомикрофонов;Удобное функциональное меню, меняющееся в зависимости от режима работы.Сертификат №81 Гостехкомиссии РФ. На рисунке 8 показан общий вид устройства OSCOR.Рисунок 12 - Общий вид устройства OSCORИспользование портативного обнаружителя диктофонов и детектора радиопередатчиков TRD-800.              Компактный прибор для обнаружения устройств магнитной записи, а также радиопередающих устройств в диапазоне 1 - 1000МГц. Предназначен для скрытого ношения: зонд-детектор укрепляется на Вашем запястье, что позволяет незаметно поднести его к предполагаемому месту размещения диктофона. Об обнаружении подслушивающих и записывающих устройств сигнализирует с помощью бесшумного вибратора, не привлекая внимания окружающих.На рисунке 9 показан общий вид детектора микрофонов.Рисунок 13 - Общий вид детектора микрофоновТаким образом, указанное оборудование при использовании в кабинете руководителя офиса Сбербанка позволит детектировать наличие установленных электронных средств съёма.3.3. Использование DLP-системыЗащиту от действий пользователей от инцидентов информационной безопасности предлагается осуществлять с использованием DLP-системы.Предлагается ко внедрению DLP-система «КИБ СёрчИнформ» предлагает больше возможностей, чем классическая DLP. Благодаря аналитическим инструментам, а также ориентации не только на данные, но и на пользователя, система[5]:Защита от последствий, обусловленных утечками информации.Разоблачает мошеннические схемы (откаты, саботаж и другое).Помогает рассчитывать кадровые риски и прогнозировать поведение работников.Стимулирование соблюдения трудовой дисциплины и рабочего регламента.Помощь в повышении продуктивности деятельности персонала.Управление лояльностью коллектива.Архитектура системы показана на рисунке 14.Рисунок 14 - Архитектура системы "КИБ Серчинформ"В таблице 10 приведено описание режимов работы системы.Таблица 10 - Описание режимов работы системыSearchInformNetworkControllerSearchInformEndpointControllerКонтроль сетевой активности пользователей.Контроль активности пользователей на рабочих местах.Зеркалирует трафик на уровне корпоративной сети (коммутатора).Фиксирует действия сотрудников с помощью установленных на компьютеры программ-агентов.Теневая копия трафика сразу отправляется на сервер, где проходит проверку.Данные отправляются на сервер для проверки:  сразу, если компьютер находится в офисе.как только ПК подключается к Интернет, если сотрудник вне офиса (командировка, работа из дома и т.д.).Система может использоваться для проведения оперативных оповещений и реагированийпри возникновении внутренних и внешних угроз безопасности автоматизированных систем, а также контроля выполнения требований по безопасности информации. Особенности системы[4]: Сертификация ФСТЭК;Возможность централизованного сбора и анализа данных журналов событий систем информационной безопасности, рабочих станций, серверного и сетевого оборудования; Проведение удаленного контроля параметров конфигурации и функционала отслеживаемых объектов; Возможность оперативного оповещения и реагирования на возникновение внутренних и внешних угроз безопасности автоматизированной системы; Возможность контроля исполнения заданных требований по защите информации, сбора статистической информации и построения отчетов о состоянии защищенности; Масштабирование решения и создание системы для проведения мониторинга информационной безопасности в произвольном масштабе; Возможность взаимодействия с источниками данных о состоянии системы; Возможность интеграции со следующими отечественными защищенными платформами и системами защиты информации: ОС МСВС, ОС AstraLinux, Сканер-ВС, МЭ и СОВ Рубикон, Xspider.Дополнительные возможности системы: - проведение сбора данных из удалённых источников с использованием модуля SplunkForwarder;- проведениекорреляции сложных событий, охватывающих множество разнородных источников данных в среде.- проведениемасштабированияпри сборе и индексации данных в объеме сотни терабайт ежедневно;-Комбинированиеинформации традиционных реляционных БД и Hadoopи проведение их последующего анализа;- реализацияролевых моделей доступа к данным;-создание собственных приложений, панелей (dashboard'ы), из которых формируются собственные Splunk-приложения;- наличие большого количества готовых инструментов для проведения анализа. Наличие уникальной инфраструктуры сбора, хранения и анализа сетевого трафика и журналов событий, позволяющей со значительно более высокими скоростями проводить обработку данных для организаций любых масштабов; Возможность линейной масштабируемости как по параметрам объемов собираемой информации;Высокая производительность системы корреляции событий, что позволяет проводить анализ огромных потоков событий;Возможность реконструкции сетевых транзакций и анализа их содержимого; Анализ и реконструкция сетевых транзакций для произвольных TCP/IP протоколов; Представление сетевых сессий в унифицированном формате и данных журналов событий.Таким образом "КИБ Серчинформ" в настоящее время обладает необходимыми компонентами системы информационной безопасности предприятий.Система КИБ "Серчинформ" позволяет получать данные о состоянии защищенности информационной системы, посредством которых можно проводить оценку уровня принимаемых мер в области информационной безопасности. ЗаключениеВ рамках данной работы проведен анализ защищенности информационной системы Сбербанка, рассмотрены теоретические основы проведения поиска уязвимостей,рассмотрены теоретические аспекты проведения аудита системы информационной безопасности на примере структуры СБЕРБАНКА. Также показано, что проведение аудита системы информационной безопасности Сбербанка с использованием специализированных программных средств позволит выявить узкие места в системе защиты информации и дать рекомендации по их устранению. В теоретический части работы рассмотрены особенности проведения аудита информационной безопасности, проведен обзор функционала программных средств – сканеров безопасности. В ходе анализа архитектуры информационной системы компании Сбербанка был определен перечень информационных ресурсов, являющихся объектами защиты. к ним относятся базы данных, содержащие конфиденциальные сведения, коммерчески значимую информацию, персональные данные и криптографические системы. Обеспечение защиты указанных ресурсов требует применения специальных инструментов мониторинга обеспечения информационной безопасности.В ходе анализа состояния защищённости информационной системы Сбербанка было показано, что она соответствует требованиям по большинству направлений. Вместе с этим, в части обеспечения защиты от перехвата информации с использованием специализированных устройств, мониторинга активности сотрудников необходимо принятие ряда мер, перечень которых описан в рамках проектной части работы.В практический части работы проведен обзор программных решений в области мониторинга инцидентов информационной безопасности, проанализированы основные задачи, решаемые данными системами, приведены примеры наиболее распространённых программных продуктов данного класса. В ходе проведенного сканирования информационной системы Сбербанка были обнаружены следу инцидентов информационной безопасности, причинами которых могут являться уязвимости, связанные с ошибками в конфигурировании межсетевых экранов, настройки системы антивирусной защиты, прав доступа к файловым ресурсам, а также управления парольной защитой.Таким образом, совершенствование системы защиты информации Сбербанка предполагает необходимость проведение ряда мероприятий по настройке антивирусного ПО, разграничению доступа к информационным ресурсам, использовании систем защиты от СПАМа, ограничение использования flash-накопителей. Список использованных источниковSecurityTower. О системе. [Электронный ресурс]. Режим доступа: https://falcongaze.ru/Горев А. И., Симаков А. А. Обработка и защита информации в компьютерных системах : учебно-практическое пособие / А. И. Горев, А. А. Симаков. - Омск :ОмА МВД России, 2016. - 87 с. Белобородова Н. А. Информационная безопасность и защита информации : учебное пособие / Н. А. Белобородова; Минобрнауки России, Федеральное гос. бюджетное образовательное учреждение высш. проф. образования "Ухтинский гос. технический ун-т" (УГТУ). - Ухта : УГТУ, 2016. - 69 с.Кондратьев А. В. Техническая защита информации. Практика работ по оценке основных каналов утечки : [учебное пособие] / А. В. Кондратьев. - Москва : Горячая линия - Телеком, 2016. - 304 с. Смычёк М.А. Информационная безопасность и защита информации : учебное / М.А. Смычёк. - Нижний Новгород : Нижегородский государственный технический университет, 2016. – 125с.Герасименко В.А., Малюк А.А. Основы защиты информации. – СПб.: Питер, 2010. – 320сНикифоров С. Н. Защита информации: учебное пособие / С.Н. Никифоров; Министерство образования и науки Российской Федерации, Санкт-Петербургский государственный архитектурно-строительный университет. - Санкт-Петербург :СПбГАСУ, 2017. – 76 с.Никифоров С. Н., Ромаданова М. М. Защита информации. Пароли, скрытие, удаление данных : учебное пособие / С. Н. Никифоров, М. М. Ромаданова. - Санкт-Петербург :СПбГАСУ, 2017. - 107 с. Никифоров С. Н. Защита информации : защита от внешних вторжений : учебное пособие / С.Н. Никифоров. - Санкт-Петербург: Санкт-Петербургский государственный архитектурно-строительный университет, 2017. - 82 сШаньгин В.Ф. Информационная безопасность и защита информации [Электронный ресурс] : учебное пособие / В.Ф. Шаньгин. - Саратов: Профобразование, 2017. - 702 cМихайлова Е. М., Анурьева М. С. Организационная защита информации [Электронный ресурс]/ Михайлова Е. М., Анурьева М. С.. - Тамбов : ФГБОУ ВО "Тамбовский государственный университет имени Г. Р. Державина", 2017.