Преподаватель который помогает студентам и школьникам в учёбе.

Защита сетевой инфраструктуры предприятия (Характеристика ПАО «Витабанк» и его деятельности)

Содержание:

Введение

Повсеместная компьютеризация, начавшаяся в конце XX века продолжается и в наши дни. Автоматизация процессов в организации повышает производительность труда сотрудников организации. Пользователи информационных систем могут быстро получать данные необходимые для выполнения их должностных обязанностей. Однако вместе с облегчением доступа к данным существует проблемах сохранности этих данных. Обладая доступом к различным информационным системам, злоумышленники могут использовать их в корыстных целях: сбор данных для продажи их на чёрном рынке, кража денежных средств у клиентов организации, кража коммерческой тайны организации.

Поэтому проблема защиты критично важной информации для организаций стоит очень остро. Всё чаще становится известно из СМИ о различных техниках или методиках кражи денежных средств посредством взлома информационных систем финансовых организаций. Получив доступ в информационные системы персональных данных, злоумышленник может своровать данные клиентов финансовых организаций, информацию об их финансовых операциях распространить их, нанеся клиенту банка как финансовый, так и репутационный вред. Кроме того, узнав данные о клиенте, мошенники могут напрямую позвонить клиенту, представившись сотрудниками банков и обманным путём, используя технику социального инжиниринга узнать пароли от систем дистанционного банковского обслуживания и вывести деньги со счета клиента.

В нашей стране проблема кражи и незаконного распространения персональных данных стоит очень остро. В сети Интернет существует большое количество ресурсов, на которых содержаться ворованные базы персональных данных, с помощью которых, например, по номеру мобильного телефона, можно найти очень подробную информацию по человеку, включая его паспортные данные, адреса проживания, фотографии и многое другое.

Целью исследования в данной работе является изучение процесса создания системы защиты персональных данных в ПАО «Витабанк».

Для реализации поставленной цели необходимо решить ряд задач:

определить информационные и технические ресурсы, подлежащие защите на объекте информатизации;
выявить потенциально возможные угрозы и технические каналы утечки информации;
построить модель вероятного нарушителя;
провести оценку уязвимости и рисков информации при имеющемся множестве угроз и каналов утечки;
определить требования к системе защиты.

Объект исследования – сетевая инфраструктура и информационные системы ПАО «Витабанк».

Предмет исследования - система защиты персональных данных в ПАО «Витабанк».

1.Характеристика ПАО «Витабанк» и его деятельности

ПАО «Витабанк» – финансово-кредитная организация Банковской системы Российской Федерации, осуществляющая финансовые операции с деньгами и ценными бумагами. Банк оказывает финансовые услуги физическим и юридическим лицам.

Основные направления деятельности — кредитование юридических и частных лиц, обслуживание счетов корпоративных клиентов, привлечение средств населения во вклады, операции на валютном и межбанковском рынках, вложения в облигации и векселя.

Банк осуществляет свою финансовую деятельность с 1 августа 1990 года, на основе Генеральной лицензии Банка России на осуществление банковской деятельности № 356.

В банке имеется три информационные системы персональных данных:

информационная система персональных данных сотрудников Банка – позволяет идентифицировать 243 субъекта персональных данных;
информационная система персональных данных системы контроля и управления доступом – позволяет идентифицировать 243 субъекта персональных данных;
информационная система персональных данных автоматизированной банковской системы – позволяет идентифицировать 9681 субъекта персональных данных.

1.1 Базы персональных данных

В банке необходимо защищать сразу несколько информационных персональных данных, а именно:

информационную систему персональных данных сотрудников Банка;
информационную систему персональных данных системы контроля и управления доступом;
информационную систему персональных данных автоматизированной банковской системы.

ИСПДн сотрудников банка используется для начисления сотрудникам Банка заработной платы, автоматизации работы сотрудников отдела по работе с персоналом, автоматизации работы сотрудников бухгалтерии банка и решения других кадровых и бухгалтерских вопросов. Состоит из базы данных 1С «Зарплата и управление персоналом», расположено на отдельном автоматизированном рабочем месте с возможностью подключения к рабочему месту по сети. АРМ расположен в кабинете отдела по работе с персоналом. На автоматизированном рабочем месте установлена операционная система Microsoft Windows XP. Подключение к сети Интернет на АРМ отсутствует.

Персональные данные, обрабатываемые в ИСПДн:

Фамилия, имя, отчество;
Дата рождения;
Пол;
Серия и номер паспорта;
ИНН;
СНИЛС;
Номер телефона;

Право работать с программным обеспечением 1С «Зарплата и управление персоналом» и базой данных персональных данных имеют:

Главный бухгалтер;
Заместитель главного бухгалтера;
Начальник отдела по работе с персоналом;
Сотрудник, ответственный за начисление заработной платы сотрудникам банка.

Доступ к автоматизированному рабочему месту имеют:

Системные администраторы, для администрирования автоматизированного рабочего места и программного обеспечения 1С «Зарплата и управление персоналом» и базы данных персональных данных;
Сотрудники подразделения, ответственного за информационную безопасность банка, для администрирования системы защиты информации АРМ.

В ИСПДн сотрудников банка могут выполняться следующие функции:

Автоматизированное удаление персональных данных;
Ручное удаление персональных данных;
Ручное добавление персональных данных;
Ручное изменение данных;
Автоматизированный поиск персональных данных.

В информационной системе персональных данных хранятся данные, позволяющие идентифицировать 243 сотрудника банка.

После достижения целей обработки персональных данных сотрудника, его персональные данные удаляются из ИСПДн.

Информационная система персональных данных системы контроля и управления доступом используется для хранения персональных данных сотрудников и посетителей банка, имеющих доступ в различные помещения банка. ИСПДН системы контроля и управления доступом используется отделом безопасности Банка. База данных ИСПДн установлена на АРМ, находящимся в комнате охраны отдела безопасности. На АРМ ИСПДн установлена операционная система Microsoft Windows 7, в качестве системы управления базой данных используется СУБД Microsoft SQL Server 2012. АРМ ИСПДн не имеет доступ в локальную сеть, а также не имеет доступ в сеть Интернет.

В ИСПДн хранятся следующие персональные данные:

Фамилия, имя, отчество;
Фотография сотрудника.

Право работать с ИСПДн системы контроля и управления доступом имеют:

Начальник отдела безопасности банка;
Заместитель начальника отдела безопасности банка;
Сотрудники отдела безопасности банка.

Доступ к автоматизированному рабочему месту системы контроля и управления доступом имеют:

Системные администраторы, для администрирования автоматизированного рабочего места и программного обеспечения 1С «Зарплата и управление персоналом» и базы данных персональных данных;
Сотрудники подразделения, ответственного за информационную безопасность банка, для администрирования системы защиты информации АРМ.

В ИСПДн сотрудников банка могут выполняться следующие функции:

Автоматизированное удаление персональных данных;
Ручное удаление персональных данных;
Ручное изменение данных;
Ручное добавление персональных данных;
Автоматизированный поиск персональных данных.

Информационная система персональных данных автоматизированной банковской системы предназначена для автоматизации работы большинства работников банка. Она позволяет повысить производительность труда сотрудников. В качестве автоматизированной банковской системы используется комплекс программных продуктов «ЦФТ-Банк», произведённых группой компаний «Центр финансовых технологий». В качестве системы управления базой данных используется программное обеспечение компании Oracle. ИСПДн развёрнута на сервере Банка, операционная система установленная на сервере – Microsoft Windows Server 2008 R2. ИСПДн автоматизированной банковской системы подключена к локальной вычислительной сети банка, но не имеет доступ в сеть Интернет. Подключение пользователей к базе ИСПДн производится с помощью программных продуктов «ЦФТ-Банк» с выделенных виртуальных терминалов. Каждый пользователь имеет в ИСПДн свой логин и пароль.

Персональные данные, обрабатываемые в ИСПДн:

Фамилия, имя, отчество;
Дата рождения;
Пол;
Серия и номер паспорта;
ИНН;
СНИЛС;
Номер телефона;

Право работать с программным обеспечением «ЦФТ-Банк» и базой данных персональных данных имеют:

Сотрудники бухгалтерии;
Сотрудники кредитного отдела;
Сотрудники отдела риск-менеджмента;
Сотрудники отдела залогов;
Персональные менеджеры;
Клиентские менеджеры;
Сотрудники отдела безопасности.

Доступ к автоматизированному рабочему месту имеют:

Системные администраторы, для администрирования сервера, базы данных персональных данных и программного обеспечения «ЦФТ-Банк»;
Сотрудники подразделения, ответственного за информационную безопасность Банка, для администрирования сервера, базы данных персональных данных и программного обеспечения «ЦФТ-Банк».

В ИСПДн сотрудников банка могут выполняться следующие функции:

Автоматизированное удаление персональных данных;
Ручное удаление персональных данных;
Ручное добавление персональных данных;
Ручное изменение данных;
Автоматизированный поиск персональных данных.

В информационной системе персональных данных хранятся данные, позволяющие идентифицировать 243 сотрудника Банка и 9438 клиентов Банка.

1.2 Устройство и угрозы локальной вычислительной сети ПАО «Витабанк»

В банке развёрнута сеть типа клиент-сервер. Имя домена, в котором состоят рабочие станции пользователей – vitabank.ru. Всего в банке 243 автоматизированных рабочих мест пользователей, а также 10 виртуальных серверов и 15 виртуальных рабочих станций. За работоспособностью сети следит отдел системного администрирования. Сеть построена преимущественно на сетевом оборудовании корпорации Cisco. Связь с дополнительными офисами поддерживается с помощью VPN-каналов с использованием сети Интернет через действующий и резервный каналы интернет-провайдера. Обмен информацией с Центральным Банком происходит через выделенный канал, а также через обычные каналы связи.

Доступ в интернет имеют все пользователи на локальных рабочих станциях, но работа с документами и информационными системами Банка ведётся только с использованием виртуальных рабочих станций, на которых доступ в сеть Интернет ограничен и загружаются только локальные ресурсы Банка.

Доступ в сеть Интернет с локальных рабочих станций разграничен группами доступа:

Минимальный доступ – доступ только на ресурсы федеральных служб, на сайт Банка России;
Обычный доступ – разрешены все ресурсы кроме развлекательных, социальных сетей, запрещён просмотр видео и загрузка файлов.
Полный доступ – разрешены все ресурсы и загрузка файлов;

Фильтрация ресурсов по группам доступа реализуется proxy-сервером.

Ниже представлена схема сети ПАО «Витабанк» (рис. 1).

Средства защиты информации – это совокупность инженерно-технических, электрических, электронных, оптических и других устройств и приспособлений, приборов и технических систем, а также иных элементов, используемых для решения различных задач по защите информации, в том числе предупреждения утечки и обеспечения безопасности защищаемой информации.[12]

Средства защиты информации в части предотвращения преднамеренных действий в зависимости от способа реализации можно разделить на группы:

Технические (аппаратные) средства. Это различные по типу устройства (механические, электромеханические, электронные и др.), которые аппаратными средствами решают задачи защиты информации. Они препятствуют доступу к информации, в том числе с помощью её маскировки. К аппаратным средствам относятся: генераторы шума, сетевые фильтры, сканирующие радиоприемники и множество других устройств, «перекрывающих» потенциальные каналы утечки информации или позволяющих их обнаружить. Преимущества технических средств связаны с их надежностью, независимостью от субъективных факторов, высокой устойчивостью к модификации. Слабые стороны – недостаточная гибкость, относительно большие объём и масса, высокая стоимость.[14]

$C:\Users\Антон\AppData\Local\Microsoft\Windows\INetCacheContent.Word\схема сети старая.jpg$

Все служебные помещения Банка контролируются службой охраны с помощью системы управления и контроля доступом, а так же системы видеонаблюдения. Вход в служебные помещения банка осуществляется при наличии соответствующих разрешений в системе контроля и управления доступом. Сотруднику, при устройстве на работу, или посетителю Банка, при необходимости доступа в служебные помещения Банка, выдаются бесконтактные карты, на которых записывается идентификатор пользователя и при попытке доступа в служебное помещение этот идентификатор передаётся на систему контроля и управления доступом. Система сопоставляет список в которые разрешен вход пользователю карты с в которое он хочет попасть и разрешает или ограничивает проход в помещение. На рабочих станциях Банка установлено антивирусное программное обеспечение 10, имеющее сертификат соответствия ФСТЭК России № 3025, действительный до 25 ноября 2019 года, обновление баз сигнатур вирусов производится централизованно серверной частью антивируса, установленной на сервере, находящимся в Банке. Для организации электронного документооборота с Центральным Банком органами в Банке проведена выделенная линия связи. Для организации электронного документооборота с федеральными службами (Федеральная налоговая служба, Пенсионный фонд России, Служба финансового мониторинга и т.д.) используется электронная подпись. Для работы с электронной подписью на локальных рабочих станциях исполнителей, ответственных за документооборот с федеральными службами, установлено специализированное программное обеспечение: Крипто-Про CSP; Крипто-АРМ; СКЗИ Верба; -COM CSP. Использование определённого программного обеспечения исполнителем зависит от требований определённого Федерального органа. На границе локальной сети Банка установлен межсетевой экран ASA 5512, производства корпорации. Так же критичные банковские системы (АРМ Клиента Банка России, SWIFT, Банка) дополнительно отделены от локальной сети Банка межсетевыми экранами. VPN-туннели для связи с дополнительным офисом организованы с помощью межсетевых экранов. 1.8 Организационные меры защиты Согласно исследованию, проведённому британской аудиторско-консалтинговой компанией & в 2014 году, 69 процентов компаний, участвовавших в исследовании, считают сотрудников компании основным информационной безопасности. Сотрудники компании могут по незнанию или своей некомпетентности в сфере информационной безопасности разгласить критическую информацию, необходимую для совершения целенаправленных атак на организацию. Так же злоумышленники рассылают сообщения с вложенным вредоносным программным обеспечением, позволяющим злоумышленникам получить контроль над рабочим местом сотрудника и с этого рабочего места провести атаку на информационные системы Банка. Поэтому в Банке отдел информационной безопасности обязан проводить работу по обучению сотрудников Банка основополагающим принципам информационной безопасности, осуществлять контроль за соблюдением требований безопасности при работе на рабочих местах, информировать сотрудников Банка о информационной безопасности с которыми они могут столкнуться. В ПАО «» все сотрудники проходят вводный инструктаж при устройстве на работу. Сотрудники отдела информационной безопасности Банка участвуют при разработке и внедрении новых информационных систем Банка на всех уровнях разработки систем. На этапе проектирования системы и составления технического задания на разработки информационной системы отдел информационной безопасности предъявляет требования по безопасности к системе. На этапе разработки информационной системы сотрудники отдела информационной безопасности изучают текущую документацию, тестируют программное обеспечение на возможные уязвимости в программном коде. На этапе тестирования и ввода в эксплуатацию информационной системы отдел информационной безопасности активно участвует в тестировании информационной системы, проводит тесты на проникновение в информационную систему и тесты отказа в обслуживании, так же распределяет права доступа к информационной системе. На этапе функционирования уже введённой в эксплуатацию информационной системы отдел информационной безопасности проводит мониторинг, выявляет подозрительную активность. На этапе доработки информационной системы отдел информационной безопасности, основываясь на данных, полученных при эксплуатации информационной системы, выстраивает новые требования к информационной системе. Отдел информационной безопасности в ПАО «» согласовывает все заявки на доступ к ресурсам в сети Интернет, а также ко внутренним ресурсам Банка. 1.9 Цикл обработки персональных данных Персональные данные, хранящиеся в Банке получены только законным путём. Полученные персональные данные сотрудника Банка обрабатываются только для выполнения Банком своих обязанностей по заключенному с сотрудником договору. Персональные данные сотрудника Банка получены от самого работника. Все сотрудники Банка ознакомлены под роспись с документами Банка, устанавливающими порядок обработки сотрудников Банка, а также об их правах и обязанностях в этой области. Персональные данные сотрудников банка, хранящиеся в системы контроля и управления доступом, предназначены для допуска сотрудника на рабочее место. Так же в автоматизированной банковской системы обрабатываются персональные данные лиц, не заключавших договор с Банком, но полученные законным путём, например персональные полученные и обрабатываемые по требованию Федерального закона №115-ФЗ

Рисунок 1.1 Схема сети ПАО «Витабанк»

Программные средства включают программы для идентификации пользователей, контроля доступа, шифрования информации, удаления остаточной (рабочей) информации типа временных файлов, тестового контроля системы защиты и др. Преимущества программных средств – универсальность, гибкость, надежность, простота установки, способность к модификации и развитию. Недостатки – ограниченная функциональность сети, использование части ресурсов файл-сервера и рабочих станций, высокая чувствительность к случайным или преднамеренным изменениям, возможная зависимость от типов компьютеров (их аппаратных средств).
Смешанные аппаратно-программные средства реализуют те же функции, что аппаратные и программные средства в отдельности, и имеют промежуточные свойства.

На рабочих станциях Банка установлено антивирусное программное обеспечение Kaspersky Endpoint Security 10, имеющее сертификат соответствия ФСТЭК России № 3025, действительный до 25 ноября 2019 года, обновление баз сигнатур вирусов производится централизованно серверной частью антивируса, установленной на сервере, находящимся в Банке.

Для организации электронного документооборота с Центральным Банком органами в Банке проведена выделенная линия связи.

Для организации электронного документооборота с федеральными службами (Федеральная налоговая служба, Пенсионный фонд России, Служба финансового мониторинга и т.д.) используется электронная подпись. Для работы с электронной подписью на локальных рабочих станциях исполнителей, ответственных за документооборот с федеральными службами, установлено специализированное программное обеспечение:

Крипто-Про CSP;
Крипто-АРМ;
СКЗИ Верба-OW;
СКЗИ Валидата;
Signal-COM CSP.

Использование определённого программного обеспечения исполнителем зависит от требований определённого Федерального органа.

На границе локальной сети Банка установлен межсетевой экран Cisco ASA 5512, производства корпорации Cisco. Так же критичные банковские системы (АРМ Клиента Банка России, SWIFT, ИСПДн Банка) дополнительно отделены от локальной сети Банка межсетевыми экранами Cisco. VPN-туннели для связи с дополнительным офисом организованы с помощью межсетевых экранов Cisco.

1.3 Организационные меры защиты

Согласно исследованию, проведённому британской аудиторско-консалтинговой компанией Ernst&Yong в 2014 году, 69 процентов компаний, участвовавших в исследовании, считают сотрудников компании основным источником угроз информационной безопасности.

Сотрудники компании могут по незнанию или своей некомпетентности в сфере информационной безопасности разгласить критическую информацию, необходимую для совершения целенаправленных атак на организацию. Так же злоумышленники рассылают фишинговые сообщения с вложенным вредоносным программным обеспечением, позволяющим злоумышленникам получить контроль над рабочим местом сотрудника и с этого рабочего места провести атаку на информационные системы Банка.

Поэтому в банке отдел информационной безопасности обязан проводить работу по обучению сотрудников банка основополагающим принципам информационной безопасности, осуществлять контроль за соблюдением требований безопасности при работе на рабочих местах, информировать сотрудников Банка о новых угрозах информационной безопасности с которыми они могут столкнуться.

В ПАО «Витабанк» все сотрудники проходят вводный инструктаж при устройстве на работу. Так же новые сотрудники, сотрудники переведённые из других структурных подразделений проходят первичный инструктаж в отделе информационной безопасности, в ходе которого сотрудникам разъясняются основные правила информационной безопасности при работе с информационными системами банка, правила безопасности при работе в сети Интернет, правила безопасности при работе с электронной почтой Банка, парольная политика банка.

Сотрудники отдела информационной безопасности банка участвуют при разработке и внедрении новых информационных систем банка на всех уровнях разработки систем.

На этапе проектирования системы и составления технического задания на разработки информационной системы отдел информационной безопасности предъявляет требования по безопасности к системе.

На этапе разработки информационной системы сотрудники отдела информационной безопасности изучают текущую документацию, тестируют программное обеспечение на возможные уязвимости в программном коде.

На этапе тестирования и ввода в эксплуатацию информационной системы отдел информационной безопасности активно участвует в тестировании информационной системы, проводит тесты на проникновение в информационную систему и тесты отказа в обслуживании, так же распределяет права доступа к информационной системе.

На этапе функционирования уже введённой в эксплуатацию информационной системы отдел информационной безопасности проводит мониторинг, выявляет подозрительную активность.

На этапе доработки информационной системы отдел информационной безопасности, основываясь на данных, полученных при эксплуатации информационной системы, выстраивает новые требования к информационной системе.

Отдел информационной безопасности в ПАО «Витабанк» согласовывает все заявки на доступ к ресурсам в сети Интернет, а также ко внутренним ресурсам банка.

Персональные данные, хранящиеся в банке, получены только законным путём.

Полученные персональные данные сотрудника банка обрабатываются только для выполнения банком своих обязанностей по заключенному с сотрудником договору. Персональные данные сотрудника банка получены от самого работника. Все сотрудники Банка ознакомлены под роспись с документами банка, устанавливающими порядок обработки персональных данных сотрудников банка, а также об их правах и обязанностях в этой области.

Персональные данные сотрудников банка, хранящиеся в ИСПДн системы контроля и управления доступом, предназначены для допуска сотрудника на рабочее место.

Персональные данные клиентов банка, хранящиеся в ИСПДн автоматизированной банковской системы, обрабатываются в ней только для исполнения Банком обязанностей по договору, заключенному с клиентом банка. Так же в ИСПДн автоматизированной банковской системы обрабатываются персональные данные лиц, не заключавших договор с Банком, но полученные законным путём, например персональные данные полученные и обрабатываемые по требованию Федерального закона №115-ФЗ от 7 августа 2001 года «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма».

После достижения целей обработки персональных данных они уничтожаются или обезличиваются.

2. Разработка мер защиты персональных данных в ПАО «Витабанк»

В ПАО «Витабанк» система защиты персональных данных регламентирована как законами государственного уровня, так и локальными нормативными актами.

В ПАО «Витабанк» система защиты персональных данных поставлена в достаточной степени, чтобы избежать простых атак типа фишинга и заражения рабочих станций вирусами-шифровальщиками, но она не способна противостоять таргетированным атакам, направленным на кражу персональных данных.

Мной была проведена работа по перестроению и модернизации системы защиты персональных данных.

2.1 Мероприятия по защите локальной вычислительной сети банка и информационной системы персональных данных

В сети ПАО «Витабанк» есть ярко выраженные слабые места, используя которые злоумышленники могут получить полный доступ к сети банка и перехватить над ней контроль, после чего смогут беспрепятственно украсть, изменить или удалить персональные данные клиентов или сотрудников банка.

Так как сеть банка представляет собой один единственный сегмент, то для минимизации рисков проникновения злоумышленников в сеть Банка, её необходимо разделить на несколько сегментов с использованием технологии виртуальных сетей.

Концепция технологии построения виртуальных сетей (VLAN) заключается в том, что администратор сети может создавать в ней логические группы пользователей независимо от того, к какому участку сети они подключены. Объединять пользователей в логические рабочие группы можно, например, по признакам общности выполняемой работы или совместно решаемой задачи. При этом группы пользователей могут взаимодействовать между собой или быть совершенно невидимыми друг для друга. Членство в группе можно изменять, и пользователь может быть членом нескольких логических групп. Виртуальные сети формируют логические широковещательные домены, ограничивая прохождение широковещательных пакетов по сети, так же, как и маршрутизаторы, изолирующие широковещательный трафик между сегментами сети. Таким образом, виртуальная сеть предотвращает возникновение широковещательных штормов, так как широковещательные сообщения ограничены членами виртуальной сети и не могут быть получены членами других виртуальных сетей. Виртуальные сети могут разрешать доступ членам другой виртуальной сети в случаях, где это необходимо для доступа в общие ресурсы, типа файловых серверов или серверов приложений, или где общая задача, требует взаимодействия различных служб, например кредитных и расчетных подразделений. Виртуальные сети могут создаваться по признакам портов коммутатора, физических адресов устройств, включаемых в сеть и логических адресов протоколов третьего уровня модели OSI. Преимущество виртуальных сетей состоит в высокой скорости работы коммутаторов, так как современные коммутаторы содержат специализированный набор интегральных схем специально разработанных для решения задач коммутации на втором уровне модели OSI. Виртуальные сети третьего уровня наиболее просты в установке, если не требуется переконфигурация клиентов сети, наиболее сложны в администрировании, т.к. любое действие с клиентом сети требует либо переконфигурации самого клиента либо маршрутизатора, и наименее гибки, так как для связи виртуальных сетей требуется маршрутизация, что увеличивает стоимость системы и снижает ее производительность.

Таким образом, создание виртуальных сетей в банке предотвратит атаки типа ARP-spoofing. Злоумышленники не смогут перехватить информацию, проходящую между сервером и клиентом. При проникновении в сеть злоумышленники смогут просканировать не всю сеть банка, а только сегмент сети в который они получили доступ.

При проникновении в сеть банка злоумышленники в первую очередь будут сканировать сеть для поиска критически важных узлов сети. Этими узлами являются:

Контроллер домена;
Proxy сервер;
Почтовый сервер;
Файловый сервер;
Сервер приложений.

Так как в банке локальная сеть будет организована с использованием технологии виртуальных сетей, злоумышленники не смогут без дополнительных действий обнаружить эти узлы. Для того чтобы усложнить злоумышленникам поиск критически важных узлов локальной сети и запутать их, а в дальнейшем изучить стратегию злоумышленников при проведении атаки в сети нужно использовать ложные объекты, которые будут привлекать злоумышленников. Эти объекты называются Honeypot.

Задача Honeypot – подвергнуться атаке или несанкционированному исследованию, что впоследствии позволит изучить стратегию злоумышленников и определить перечень средств, с помощью которых могут быть нанесены удары по реально существующим объектам безопасности. Реализация Honeypot может представлять собой как специальный выделенный сервер, так и один сетевой сервис, задача которого – привлечь внимание взломщиков.

Honeypot представляет собой ресурс, который без какого-либо воздействия на него ничего не делает. Honeypot собирает небольшое количество информации, после анализа которой строится статистика методов, которыми пользуются взломщики, а также определяется наличие каких-либо новых решений, которые впоследствии будут применяться в борьбе с ними.

Например, веб-сервер, который не имеет имени и фактически никому не известен, не должен, соответственно, иметь и гостей, заходящих на него, поэтому все лица, которые пытаются на него проникнуть, являются потенциальными взломщиками. Honeypot собирает информацию о характере поведения этих взломщиков и об их способах воздействия на сервер. После чего специалисты отдела информационной безопасности собирают информацию об атаке злоумышленников на ресурс и разрабатывают стратегии отражения атак в будущем.

Для контроля входящей из сети Интернет информации и обнаружения угроз информационной безопасности на этапе их передачи по сети, а также обнаружения активности злоумышленников, проникнувших в локальную сеть Банка необходимо на границе сети установить систему предотвращения вторжений.

Система предотвращения вторжений – программная или аппаратная система сетевой и компьютерной безопасности, обнаруживающая вторжения или нарушения безопасности и автоматически защищающая от них.

Системы предотвращения вторжений можно рассматривать как продолжение Систем обнаружения вторжений, так как задача отслеживания атак остается одинаковой. Однако, они отличаются в том, что система предотвращения вторжений отслеживает активность в реальном времени и быстро реализует действия по предотвращению атак.[15]

Системы обнаружения и предотвращения вторжений подразделяются на:

Сетевые системы предотвращения вторжений – анализируют трафик, направленный в сеть организации, проходящий в самой сети или направленный к конкретному компьютеру. Системы обнаружения и предотвращения вторжений могут быть реализованы программными или программно-аппаратными методами, устанавливаются на периметре корпоративной сети и иногда внутри нее.
Персональные системы предотвращения вторжений – это программное обеспечение, которое устанавливается на рабочие станции или серверы и позволяет контролировать деятельность приложений, а также отслеживать сетевую активность на наличие возможных атак.

Для развёртывания в сети Банка была выбрана сетевая система предотвращения вторжений.

Рассматривались сетевые системы вторжений компаний IBM, Check Point, Fortinet, Palo Alto, так как заявленный функционал производителей этих систем подходил под требования отдела информационной безопасности банка.

После развёртывания тестовых стендов и проведения тестирования систем предотвращения вторжений была выбрана система производства компании Check Point, так как она показала наилучшее быстродействие, лучшую подсистему обнаружения вирусного программного обеспечения, передаваемого по локальной сети, лучший инструментарий по протоколированию и журналированию важных событий и цене приобретения.

Система предотвращения вторжений компании IBM была отвержена из-за стоимости устройств, превышающей бюджет отдела информационной безопасности на покупку системы предотвращения вторжений.

Система предотвращения вторжений компании Fortinet была отвержена из-за неполного срабатывания при выполнении сотрудниками отдела информационной безопасности тестов по передаче заражённых файлов и недостаточно информативного инструментария журналирования важных событий.

Система предотвращения вторжений компании Palo Alto была отвержена из-за недостаточно информативного инструментария журналирования важных событий, чрезмерной сложности работы с системой и работе в большей степени как маршрутизатор.

Для внедрения в локальную сеть была выбрана система предотвращения вторжений компании Check Point. Эта система показала высокий уровень обнаружения угроз информационной безопасности, гибкие настройки, возможность расширения функционала за счёт приобретения дополнительных программных модулей, имеет мощную систему журналирования важных событий и мощный инструментарий по предоставлению отчётов о происшествиях, с помощью которого можно гораздо проще расследовать произошедшие инциденты информационной безопасности.

Для внедрения в локальную сеть банка выбрана модель Check Point 4600.

Характеристики модели системы предотвращения вторжений Check Point 4600 представлены в таблице 1.

Таблица 1. Характеристики модели

системы предотвращения вторжений Check Point 4600.

Устройство	Check Point 4600
Производительность
SecurityPower	405
Пропускная способность файрволла (Гб/с)
Тестовая	9
Производительная	3.4
Пропускная способность VPN AES-128 (Гб/с)	1.5
Пропускная способность IPS (Гб/с)
Рекомендованная	1
Производительная	0.63
Число одновременных соединений	1.2 млн
Соединений в секунду	50,000
Виртуальные системы
Поддержка виртуальных систем	Да
Максимальное/поддерживаемое число	10 / 10
Аппаратные спецификации
10/100/1000Base-T портов	8-12
1000Base-F SFP портов	0-4
10GBase-F SFP+ портов	--
Память	4 Гб
Хранилище	250 Гб на жестком диске
Слоты расширения I/O	1
Плата LOM	--
Физические характеристики
Корпус	1U
Размеры	438×410×44 мм
Вес	4 кг
Электропитание
Входное питание	100~240VAC, 50~60Hz
Максимальная мощность одного источника питания	250 Вт
Максимальная потребляемая мощность	90 Вт

Систему предотвращения вторжений было решено установить на границе сети за межсетевым экраном, заменяя при этом proxy-сервер системой предотвращения вторжений, так как она может работать одновременно и как proxy-сервер.

Схема сети ПАО «Витабанк» с изменённой архитектурой представлена на рисунке 2.

2.2 Программные и аппаратные средства защиты

Так как безопасность персональных данных не может быть обеспечена только защитой сети, потому что злоумышленники, не смотря на все предпринятые меры для защиты сети, могут получить доступ в сеть банка.

$C:\Users\Антон\AppData\Local\Microsoft\Windows\INetCacheContent.Word\схема сети новая c ips.jpg$

Рисунок 2.1 Схема сети ПАО «Витабанк» с дополнительными системами защиты

Для более устойчивой к атакам защите необходимо добавить к устройствам, предназначенным для защиты сети, программные и аппаратные устройства защиты локальных рабочих станций, виртуальных рабочих станций, виртуальных и обычных серверов.

Как известно антивирусные программы не дают полной защиты от вредоносного программного обеспечения, так как работают по принципу сигнатурного анализа. Компания-разработчик антивирусного программного обеспечения имеет в своём штате экспертов, которые отслеживают вирусную активность в сети Интернет, изучают поведение вирусного программного обеспечения на тестовых станциях и создают сигнатуры, которые в последствии рассылаются на компьютеры пользователей посредством обновления баз данных сигнатур антивирусного программного обеспечения. Антивирус, получив обновлённую базу данных сигнатур антивирусного программного обеспечения проверяет файлы на рабочей станции пользователя и ищет признаки вредоносного программного обеспечения, если в процессе проверки такие признаки обнаруживаются, то антивирус сигнализирует об этом и действует в соответствии с настройками, которые установлены пользователем или администратором антивируса. Таким образом, если вредоносное программное обеспечение не обнаружено и не проанализировано экспертами компании-разработчика антивирусного программного обеспечения, то антивирус будет не в состоянии выявить вредоносное программное обеспечение и не предпримет никаких действий, считая проверенный файл безопасным. Поэтому в банке, для снижения вероятности пропуска в сеть и запуска вредоносного программного обеспечения, был установлен второй контур антивирусной защиты. Так как компании-разработчики антивирусного программного обеспечения в большинстве своём работают отдельно друг от друга, то вредоносное программное обеспечение, пока не обнаруженное одной компанией-разработчиком антивирусного обеспечения, может быть обнаружено другой компанией-разработчиком и на обнаруженную угрозу уже могут быть созданы сигнатуры.

Для реализации такой схемы была создана виртуальная рабочая станция, на которой был установлен антивирус Doctor WEB Enterprise security suit, имеющий сертификат соответствия ФСТЭК России № 2446, действительный до 20 сентября 2019 года. Все файлы, которые сотрудники банка загружали во время своей работы, попадают на эту станцию и проверяются антивирусом. В случае обнаружения вредоносного программного обеспечения антивирус отправляет сотрудникам отдела информационной безопасности письмо с названием угрозы и путём, где хранится зараженный файл. Сотрудники отдела информационной безопасности предпринимают меры по удалению вредоносного программного обеспечения. Если загруженные пользователями файлы проходят проверку антивирусного программного обеспечения, пользователь, загрузивший файл делает заявку в отдел информационной безопасности и сотрудники отдела переносят загруженный файл пользователю.

Также большое количество вредоносного программного обеспечения приходит сотрудникам банка по электронной почте. Это могут быть и обычные вирусы-шифровальщики, так и вредоносное программное обеспечения, позволяющее злоумышленникам проникнуть на заражённый компьютер сотрудника Банка с помощью удалённого подключения.

Для минимизации рисков таких угроз на почтовый сервер банка было установлено антивирусное программное обеспечения ClamAW, предназначенное для защиты почтовых серверов.

Для защиты от несанкционированного доступа внутренних злоумышленников, каким-либо образом узнавших пароль пользователя локальной станции, имеющей доступ к информационным системам персональных данных, необходимо установить на локальные рабочие станции пользователей, работающих с информационными системами персональных данных систему защиты информации от несанкционированного доступа.

Для целей защиты персональных данных в ИСПДн было выбрано семейство система защиты информации, подключаемых к слотам расширения локальных рабочих станций.

Рассматривалось 2 вида программно-аппаратных комплексов от разных производителей[7]:

ПАК Соболь, производства НИП Информзащита;
ПАК СЗИ НСД Аккорд, производства ОКБ САПР.

После проведённых испытаний, ПАК СЗИ НСД Аккорд, показал лучшие результаты по сравнению с ПАК Соболь по ряду причин:

Количество отказов в срабатывании;
Меньшее количество ошибок при подсчёте контрольных сумм устройств.

Так же ПАК СЗИ НСД Аккорд имеет сертификат ФСТЭК России №246/7, действительный до 13 августа 2019 года.

ПАК СЗИ НСД Аккорд был установлен на следующие локальные рабочие станции:

Главного бухгалтера;
Заместителя главного бухгалтера;
Начальника отдела по работе с персоналом;
Сотрудника, ответственного за начисление заработной платы сотрудникам банка;
На локальной рабочей станции в центральном пункте охраны;
На локальных рабочих станциях сотрудников, имеющих право работать с информационной системой персональных данных автоматизированной системы персональных данных.

2.3 Базовая политика безопасности

После рассмотрения особенностей построения локальной сети ПАО «Витабанк», средств защиты персональных данных, организационных мер защиты персональных данных и самих информационных систем персональных данных была составлена базовая политика безопасность ПАО «Витабанк».

Политика безопасности в банке регламентирует:

Систему повышения осведомленности сотрудников в вопросах информационной безопасности;
Порядок доступа сотрудников к ресурсам сети Интернет;
Порядок доступа сотрудников к внутрибанковским ресурсам;
Порядок работы сотрудников с электронной почтой;
Парольную политику банка;
Правила доступа сотрудников к персональным данным.

Система повышения осведомлённости сотрудников в вопросах информационной безопасности состоит из:

Обучения сотрудников банка;
Регулярном информировании сотрудников Банка о новых угрозах информационной безопасности банка.

Обучение сотрудников банка проводится специалистом отдела информационной безопасности.

Сотрудник отдела информационной безопасности проводит обучение в определённом планом подразделении банка. После проведённого обучения, сотрудники подразделения проходят тесты, в которых подтверждают полученные на обучении знания.

Базовой политикой безопасности регламентируется проведение обучения в каждом подразделении не реже четырёх раз в год.

Так же параллельно с обучением сотрудников, сотрудники отдела информационной безопасности обязаны не реже раза в месяц рассылать всем сотрудникам Банка информационные письма, в которых описываются основные правила безопасности, новые угрозы информационной безопасности Банка, если такие обнаружены.

В Банке созданы 3 группы доступа в сеть Интернет, но такое разделение доступа неэффективно, поскольку у сотрудника, для выполнения его должностных обязанностей, может возникнуть потребность получить информацию с сетевого ресурса, входящего в группу полного доступа, тогда ему придётся давать полный доступ к сети Интернет, что небезопасно.

Для того, чтобы этого не происходило, было создано восемь групп доступа в сеть Интернет:

Группа 1: минимальный доступ – доступ только к сайту Центрального Банка и к внешнему сайту ПАО «Витабанк». Все новые сотрудники по умолчанию добавляются в эту группу;
Группа 2: федеральные службы – доступ к ресурсам группы 1 с добавлением ресурсов Федеральных служб Российской Федерации;
Группа 3:расширенный доступ – доступ к ресурсом групп 1 и 2 и ресурсы не запрещённые в следующих группах;
Группа 4: Социальные сети – доступ к социальным сетям;
Группа 5: Мультимедийный контент – предоставление доступа к сайтам, содержащим мультимедийный контент, без этой группы весь мультимедийный контент даже на разрешённых ресурсах блокируется;
Группа 6: скачивание архивов – группа не предоставляет какой-либо доступ к ресурсам сети Интернет;
Группа 7: скачивание исполняемых файлов – группа не предоставляет какой-либо доступ к ресурсам сети Интернет;
Группа 8: полный доступ в сеть Интернет – полный доступ к ресурсам сети Интернет, загрузка любых файлов.

Для получения доступа к ресурсам сети Интернет сотрудник создаёт заявку через систему ServiceDesk и после одобрения руководителем отдела или управления и сотрудником отдела информационной безопасности сотруднику предоставляется доступ к ресурсам сети Интернет согласно запрошенной группы.

Заключение

В данной работе я рассмотрела основные источники угроз безопасности персональных данных.

Опираясь на рассмотренные угрозы персональных, я проанализировала существующую систему защиты персональных данных в ПАО «Витабанк» и пришла к выводу, что она нуждается в серьёзной доработке.

В процессе данной работы были обнаружены слабые места в локальной сети банка. С учетом обнаруженных слабых мест в локальной сети банка определены меры по минимизации рисков информационной безопасности сети Банка.

Также рассмотрены и подобраны устройства и программное обеспечение для защиты локальных рабочих мест сотрудников, обрабатывающих персональные данные сотрудников и клиентов банка.

При моём участии была создана система повышения осведомлённости сотрудников в вопросах информационной безопасности.

Глубоко переработан порядок доступа сотрудников банка к сети Интернет, переработаны группы доступа в сеть Интернет. Новые группы доступа в сеть Интернет позволяют существенно минимизировать риски информационной безопасности за счёт ограниченных возможностей пользователей скачивать файлы, заходить на недоверенные ресурсы.

Список литературы

Постановление Правительства РФ от 01.11.2012 N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» // «Российская газета», N 256, 07.11.2012.
Приказ ФСТЭК России от 18.02.2013 N 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» (Зарегистрировано в Минюсте России 14.05.2013 N 28375) // «Российская газета», N 107, 22.05.2013.
«Стандарт Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» СТО БР ИББС-1.0-2014» (принят и введен в действие Распоряжением Банка России от 17.05.2014 N Р-399) // «Вестник Банка России», N 48-49, 30.05.2014.
«Положение о требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств» (утв. Банком России 09.06.2012 N 382-П) (ред. от 14.08.2014) (Зарегистрировано в Минюсте России 14.06.2012 N 24575) // В данном виде документ опубликован не был, первоначальный текст документа опубликован в «Вестник Банка России», N 32, 22.06.2012.
«Положение о порядке представления кредитными организациями в уполномоченный орган сведений, предусмотренных Федеральным законом «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма» (утв. Банком России 29.08.2008 N 321-П) (ред. от 15.10.2015) (вместе с «Порядком обеспечения информационной безопасности при передаче-приеме ОЭС», «Правилами формирования ОЭС и заполнения отдельных полей записей ОЭС») (Зарегистрировано в Минюсте России 16.09.2008 N 12296) // В данном виде документ опубликован не был, Первоначальный текст документа опубликован в «Вестник Банка России», N 54, 26.09.2008.
Приказ ФСТЭК России от 18.02.2013 N 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» (Зарегистрировано в Минюсте России 14.05.2013 N 28375) // «Российская газета», N 107, 22.05.2013.
Аверченков В.И., Рытов М.Ю., Гайнулин Т.Р. Защита персональных данных в организациях. М.: Флинта, 2011.
Агапов А. Б. Основы государственного управления в сфере информатизации в Российской Федерации. М.: Юристъ, 2012.
Костин А. А., Костина А. А., Латышев Д. М., Молдовян А. А. Программные комплексы серии „АУРА“ для защиты информационных систем персональных данных // Изв. вузов. приборостроение. 2012. Т. 55, № 11.
Молдовян А. А. Криптография для защиты компьютерной информации (часть 1) // Интеграл. 2014. № 4 (18).
Бабаш, А.В. Информационная безопасность. Лабораторный практикум: Учебное пособие / А.В. Бабаш, Е.К. Баранова, Ю.Н. Мельников. - М.: КноРус, 2013. - 136 c.
Бирюков, А.А. Информационная безопасность: защита и нападение / А.А. Бирюков. - М.: ДМК Пресс, 2013. - 474 c.
Баранова Е. К. Информационная безопасность и защита информации: Учебное пособие/Баранова Е. К., Бабаш А. В., 3-е изд. - М.: ИЦ РИОР, НИЦ ИНФРА-М, 2016. - 322 с. URL: http://znanium.com/bookread2.php?book=495249
Глинская Е. В. Информационная безопасность конструкций ЭВМ и систем: Учебное пособие/ГлинскаяЕ.В., ЧичваринН.В. - М.: НИЦ ИНФРА-М, 2016. - 118 с. URL: http://znanium.com/bookread2.php?book=507334
Жук А. П. Защита информации: Учебное пособие / А.П. Жук, Е.П. Жук, О.М. Лепешкин, А.И. Тимошкин. - 2-e изд. - М.: ИЦ РИОР: НИЦ ИНФРА-М, 2015. - 392 с. URL: http://znanium.com/bookread2.php?book=474838
Петров, С.В. Информационная безопасность: Учебное пособие / С.В. Петров, И.П. Слинькова, В.В. Гафнер. — М.: АРТА, 2012. — 296 c.