2.1 Программно-аппаратное обеспечение

Как уже ранее говорилось к традиционным средствам физической защиты можно отнести: вневедомственную охрану, замки, сигнализации, видеонаблюдение, шлюзы, турникеты, метало детекторы, систему пропусков.

Данные системы позволяют препятствовать проникновению в здания посторонних лиц, а так же вести контроль деятельности собственных сотрудников, как одна из действенных мер борьбы с инсайдерами. В рамках одной дипломной работы не удастся спроектировать полную систему контроля физического доступа, но будут раскрыты основные требования к подобным системам. Хочется заметить, что системы контроля физического доступа является на сегодняшний момент единственной действенной системой упреждения, противодействия и быстрого расследования инсайда, как наиболее серьезной угрозы Автоматизированной Банковской Системе.

Система контроля и управления доступом будет строиться на программно-аппаратном комплексе компании «IDmatic». Основанием для выбора данной компании стали рекомендации клиентов компании, способность построить СКУД соответствующую моим запросам, самые современные средства реализации, наличие всех необходимых лицензий и сертификатов соответствия.

Следующим этапом является: «Жесткая регламентация действий персонала банка и его клиентов. Создание документированных правил работы с персональными ПК на территории банка, создание должностных инструкций и контроль за их соблюдением, аттестация работников банка по существующей схеме безопасности »

Мною был разработана должностная инструкция для специалиста по информационной безопасности, а так же общий, обязательный курс для сотрудников банка, с последующей аттестацией «политика информационной безопасности».

Средства защиты сетей будут реализованы на оборудовании Cisco. В банке будет развернута ЛВС, и как фрагмент - беспроводная сеть. Основной целью будет подбор инструментов сетевой безопасности, которые могут быть использованы для головного офиса крупного банка.

В качестве антивируса будет использоваться продукт сертифицированный ФСБ. Передовым антивирусом, содержащим все современные механизмы поиска малвари, программным firewall’ом. Последняя реакция апрель 2011 Таблица – 9

Таблица 9

В качестве системы патч-менеджмента для крупного банка может выступить System Center Configuration Manager. Для филиалов и небольших банков данную задачу может выполнить специалист по информационной безопасности.

Как основное средство аудита, будет использоваться Bank Security Assessment Tool (BSAT) . Как альтернатива, возможно использование стандартов ISO 17799 и 15408, однако стоит отметить, что они существенно устарели и могут не соответствовать требованиям СТО БР ИББС.

СКЗИ используемые в банке должны быть сертифицированы ФСТЭК и ФСБ. В моей дипломной работе будут использоваться программные продукты «Крипто-ПРО» : ЭЦП, СКЗИ со смарт-картами и USB токенами. Для ведения электронной преписки в особых случаях возможно использование PGP Desktop Professional , основной проблемой является использование алгоритма RSA, всвязи с чем, программа не сертифицирована ФСБ. Так же к системам криптозащиты стоит отнести протоколы TLS и SSL, которые обязательно будут использоваться на web- сервере.

Для резервного копирования на рабочих станциях и серверах будут использоваться продукты лидера в сфере резервного копирования, компании Acronics:

­-Acronis Backup & Recovery 11Server for Windows

-Acronis Backup & Recovery 11Server for Linux

-Acronis Backup & Recovery 11Workstation

Для таких важных объектов защиты как:

1. Контроль целостности СУБД

2. Контроль прав доступа пользователей, не давать прав больше, чем это необходимо

3. Парольная политика

Уже рассматривались средства защиты, такие как журналирование и просмтр логов журналов БД. Соблюдение правил парольной защиты и контроль доступа пользователей являются обязанностями системного администратора и специалиста по защите информации, так же частично прописаны в должностной инструкции, но основным фактором контроля, является профессионализм специалистов, который не возможно заменить ни одной программно-аппаратной платформой.