Кризис - нелегкая пора для отделов информационной безопасности. Во время увольнений, особенно массовых, отдельные недовольные служащие стараются унести со своего бывшего места работы все, до чего смогут дотянуться. Поэтому специалисты по информационной безопасности должны контролировать процесс увольнения, чтобы не возникло неприятностей. Увольняемого необходимо "на всякий случай" удалить из корпоративных приложений, лишить доступа к корпоративной электронной почте, доступа в Internet, возможности напечатать или еще как-то прихватить с собой информацию. (Подробнее о проблемах, связанных с утечкой информации с помощью мобильных устройств, можно прочитать в статье "Новые технологии, старые проблемы", Windows IT Pro/RE, № 2, 2009).
У банков перечисленные проблемы стоят еще более остро, чем у компаний других отраслей, ведь информация для них является основным активом, а от работоспособности информационной системы зависит работа всего банка. Возможно, поэтому семинар "Роль информационной безопасности в ИТ-инфраструктуре банка", который провела 19 марта компания R-Style Softlab, собрал довольно представительную аудиторию.
Несмотря на важность защиты банковской информации, по данным Центробанка России, половина банков фактически не заботится о безопасности своей информационной системы. Еще 42% имеют специалистов по информационной безопасности в составе ИТ-департаментов. И только в 8% банков созданы отделы информационной безопасности, как это предписано стандартами. Впрочем, возможно, все не так плохо. Так, в соответствии с требованиями SWIFT в банке должны быть специалисты в области информационной безопасности. А если банк обрабатывает пластиковые карты международных систем, то и стандарт PCI DSS предписывает наличие сотрудника, отвечающего за защиту информации. Однако эти сотрудники "растворены" в ИТ-департаменте и, как правило, не составляют отдельной организационной единицы.
Особенностью банковских систем защиты являются средства, встроенные в саму автоматизированную банковскую систему. Основную роль в ней играет механизм контроля доступа сотрудников к информационным активам банка. На семинаре были представлены средства защиты банковской системы RS-Bank самой R-Style Softlab. В ней защиту обеспечивают две основные подсистемы - механизм управления доступом и механизм прикладного применения криптографии. Первый дает администраторам систем безопасности возможность выдавать пользователям полномочия на доступ к определенным объектам АБС, объединять их в группы и приписывать роли. Для задания правил управления доступом предложен специальный язык описания ограничений. Механизм прикладного применения криптографии отвечает за управление ЭЦП и криптографической защитой информации, которая в АБС выполнена с использованием внешних сертифицированных криптопровайдеров.
В RS-Bank есть модуль, который позволяет интегрировать систему управления учетными записями пользователей с пакетом Oracle Identity&Access Management Suite. С помощью этого продукта можно, в частности, быстро удалить полномочия уволенных сотрудников. Продукт интегрируется с различными прикладными системами, в которых производится учет пользователей для встроенной системы управления полномочиями. Так, в "Аэрофлоте" он интегрирован с 14 прикладными системами, в том числе и работающими в центре управления полетами. Продукт был сертифицирован компанией во ФСТЭК как средство защиты, которое может быть использовано в системах класса до 1Г и для защиты персональных данных до второго класса включительно. Подобные системы управления учетными записями пользователей позволяют банкам оперативно ограничить доступ сотрудников к важной информации и защитить ее от кражи или искажения.