Поэтому специалисты по информационной безопасности должны контролировать процесс увольнения, чтобы не возникло неприятностей. Увольняемого необходимо "на всякий случай" удалить из корпоративных приложений, лишить доступа к корпоративной электронной почте, доступа в Internet, возможности напечатать или еще как-то прихватить с собой информацию. (Подробнее о проблемах, связанных с утечкой информации с помощью мобильных устройств, можно прочитать в статье "Новые технологии, старые проблемы", Windows IT Pro/RE, № 2, 2009).

У банков перечисленные проблемы стоят еще более остро, чем у компаний других отраслей, ведь информация для них является основным активом, а от работоспособности информационной системы зависит работа всего банка. Возможно, поэтому семинар "Роль информационной безопасности в ИТ-инфраструктуре банка", который провела 19 марта компания R-Style Softlab, собрал довольно представительную аудиторию.

Несмотря на важность защиты банковской информации, по данным Центробанка России, половина банков фактически не заботится о безопасности своей информационной системы. Еще 42% имеют специалистов по информационной безопасности в составе ИТ-департаментов. И только в 8% банков созданы отделы информационной безопасности, как это предписано стандартами. Впрочем, возможно, все не так плохо. Так, в соответствии с требованиями SWIFT в банке должны быть специалисты в области информационной безопасности. А если банк обрабатывает пластиковые карты международных систем, то и стандарт PCI DSS предписывает наличие сотрудника, отвечающего за защиту информации. Однако эти сотрудники "растворены" в ИТ-департаменте и, как правило, не составляют отдельной организационной единицы.

Особенностью банковских систем защиты являются средства, встроенные в саму автоматизированную банковскую систему. Основную роль в ней играет механизм контроля доступа сотрудников к информационным активам банка. На семинаре были представлены средства защиты банковской системы RS-Bank самой R-Style Softlab. В ней защиту обеспечивают две основные подсистемы - механизм управления доступом и механизм прикладного применения криптографии. Первый дает администраторам систем безопасности возможность выдавать пользователям полномочия на доступ к определенным объектам АБС, объединять их в группы и приписывать роли. Для задания правил управления доступом предложен специальный язык описания ограничений. Механизм прикладного применения криптографии отвечает за управление ЭЦП и криптографической защитой информации, которая в АБС выполнена с использованием внешних сертифицированных криптопровайдеров.

В RS-Bank есть модуль, который позволяет интегрировать систему управления учетными записями пользователей с пакетом Oracle Identity&Access Management Suite. С помощью этого продукта можно, в частности, быстро удалить полномочия уволенных сотрудников. Продукт интегрируется с различными прикладными системами, в которых производится учет пользователей для встроенной системы управления полномочиями. Так, в "Аэрофлоте" он интегрирован с 14 прикладными системами, в том числе и работающими в центре управления полетами. Продукт был сертифицирован компанией во ФСТЭК как средство защиты, которое может быть использовано в системах класса до 1Г и для защиты персональных данных до второго класса включительно. Подобные системы управления учетными записями пользователей позволяют банкам оперативно ограничить доступ сотрудников к важной информации и защитить ее от кражи или искажения.

Поделитесь материалом с коллегами и друзьями