Слайд 1 - PC Week/UE

реклама
«Непрерывное
функционирование
информационных
систем
и
электронные архивы банков Украины»
Ирина Ивченко
Вадим Бадашин
Предисловие
Відповідно до статті 7 Закону України “Про Національний банк
України”, статті 10 Закону України “Про захист інформації в
інформаційно-телекомунікаційних системах” і статті 10 Закону
України “Про стандартизацію”, з метою підвищення рівня
інформаційної безпеки в банківській системі України Правління
Національного банку України видало
Постанову:
№474 від 28 жовтня 2010р. “Про набрання чинності стандартами з
управління інформаційною безпекою в банківській системі
України”
06.05.2016
2
Цели внедрения СУИБ
 снизить и оптимизировать стоимость построения и поддержки
системы информационной безопасности;
 постоянно отслеживать и оценивать риски с учетом всей
бизнеса;
 эффективно выявлять наиболее критические риски и избегать
их реализации;
 разработать
эффективную
политику
информационной
безопасности и обеспечить ее качественное выполнение;
 эффективно разрабатывать, внедрять и тестировать
планы восстановления бизнеса;
 обеспечить понимание вопросов информационной безопасности
руководством и всеми работниками;
 обеспечить
повышение
репутации
и
рыночной
привлекательности;
06.05.2016
3
Наш опыт - Нам доверили
Современные тенденции в банках
• Отсутствие понимания необходимости и полезности внедрения
СУИБ как на уровне руководства банка, так и иногда даже на
уровне ответственных за информационную безопасность
• Отсутствие понимание того, что СУИБ – это непрерывный
процесс, целью которого является повышение информационной
безопасности банка и уменьшение операционных рисков
• Чрезмерная узкая специализация специалистов (как в ИТ так и
в бизнесе) и, как следствие, отсутствие специалистов
способных системно оценить ИТ-инфраструктуру.
Это, в свою очередь, может привести к неэффективному
использованию бюджета банка, предназначенного для ИТ
• Отсутствие или неэффективность внутреннего ИТ-аудита
• Отсутствие понимания принципов обеспечения непрерывности
работы банка и различия между резервным копированием
информации и обеспечением непрерывности бизнеса
Основные проблемы с
внедрением СУИБ в банках
• Отсутствие или неактуальность внутренних нормативных
документов банка
• Отсутствие актуальной схемы сети банка и описания принципов
управления сетью
• Отсутствие или неактуальность перечня ресурсов СУИБ
• Отсутствие или неактуальность матрицы прав доступа
• Проведение тестирования программно-технических комплексов
на копиях реальных промышленных баз данных
• Отсутствие или неактуальность документов, описывающих
резервное копирование и восстановление работоспособности
программно-технических комплексов после сбоев
• Отсутствие программ обучения персонала основам
информационной безопасности
Основные ошибки принципов
обеспечения непрерывности
работы банка
• Отсутствие резервной площадки или ее
расположение в том же здании, что и основные
сервера
• Хранение резервных копий информации в тех же
серверных помещениях, что и основные сервера
• Снятие полных копий баз данных слишком редко (раз
в неделю)
• Отсутствие полноценных электронных архивов
06.05.2016
7
Непрерывность
деятельности
 Требования к непрерывности бизнеса определяются постановлением
НБУ: №265 «Об утверждении положения по обеспечению непрерывного
функционирования информационных систем НБУ и банков Украины».
 Под
обеспечением
непрерывной
деятельности
банка
понимается – обеспечение выполнения его функций даже в тех
случаях, когда на его деятельность оказывают влияние
неблагоприятные факторы и чрезвычайные ситуации:
1. Необходимо обеспечивать непрерывность операций, а также защиту
сотрудников, клиентов, инвесторов.
2. В защите нуждаются средства производства, инфраструктура,
информация.
3. Если прежде подходы к обеспечению непрерывности были
специфичными для каждой области деятельности, и зачастую каждое
подразделение занималось этой проблемой независимо от остальных,
то сегодня необходим единый подход к проблеме сохранения
устойчивости бизнеса банка в целом.
06.05.2016
8
Управление непрерывностью
деятельности
Анализ структуры и бизнеспроцессов
Определение стратегии
обеспечения непрерывности
Разработка и внедрение
процедуры реагирования
Тестирование и поддержка
06.05.2016
9
Управление непрерывностью
деятельности
 Процесс
обеспечения
непрерывности
деятельности нельзя свести к аварийному
восстановлению, или к кризисному управлению,
или к управлению рисками, или восстановлению
технической архитектуры.
 Инициатором и движущей силой этого процесса
должно быть высшее руководство банка.
06.05.2016
10
Основные уровни
Бизнес-процессы
(выполнение операций связанных с предоставлением услуг и
сервисов)
Информационное наполнение подсистем
(базы данных, копии данных, системы хранения данных,
электронные архивы)
Инфраструктура банка
(корпоративная сеть банка, каналы связи, сервера,
коммутационное оборудование и т.д.)
06.05.2016
11
Основные уровни
Инфраструктура
банка
должна быть
построена
соответствии с требованиями отказоустойчивой системы
элементами зеркалирования, и бэкапирования.
в
с
Бизнес-процессы
процессы
и
должны
быть
описаны
задокументированы.
Информационное
наполнение
подсистем
связано,
прежде всего, с базами данных и системами хранения данных.
Можно выделить основные источники информации:
1. Документооборот банка (неплатёжные документы).
2. Базы данных с платёжными документами (база данных основной
системы банка и платёжных комплексов).
3. Базы данных международных платёжных систем (платёжные
карточки и денежные переводы).
06.05.2016
12
План управления непрерывностью
Этап 1. Анализ структуры банка и бизнес-процессов
Этап 2. Определение стратегии обеспечения
непрерывности деятельности
Этап 3. Разработка и внедрение процедур реагирования
Этап 4. Тестирование, поддержка и пересмотр
мероприятий процесса управления непрерывностью
деятельности.
Этап 5. Встраивание процесса управления
непрерывностью деятельности в корпоративную
культуру.
06.05.2016
13
Этапы восстановительных работ
Аварийное
восстановление
Обеспечение
непрерывности
деятельности
ЧП
ЧП
06.05.2016
Восстановление штатного
функционирования
Время
14
Электронный архив
Электронный архив - это программно-аппаратный
комплекс,
обеспечивающий
структурированное
хранение
документов
в
электронном
виде.
Программное обеспечение электронного архива может
быть самостоятельным или интегрированным в систему
документооборота.
Нельзя путать электронный архив с
копиями информации с подсистем банка
06.05.2016
резервными
15
Функции электронного архива
К стандартным функциям электронного архива
относятся:
 создание карточек электронных документов.
 создание структуры папок электронного архива.
 помещение карточек документов в папки.
 поиск документов в архиве.
 ведение классификаторов, таких как "Номенклатура
дел" и "Виды документов".
 классификация карточек документов.
 управление правами доступа к папкам архива и
карточкам документов.
 удаление карточек документов из электронного
архива.
06.05.2016
16
Электронный архив
Техническая возможность реализации электронных архивов появилась
относительно недавно:
1.Появились дешевые носители библиотеки компакт и магнитооптических
дисков.
2.Снизился
показатель
стоимость/производительность
для
высокоскоростных вычислительных систем, сетей и устройств.
3.Получили развитие аппаратно-программные системы, реализующие
параллельную обработку запросов.
4.Повысился уровень интерфейса работы с СУБД.
5.Появились новые информационные технологии индексирования
сверхбольших массивов данных.
6.Разработаны и развиваются отечественные технологии и программные
продукты распознавания и анализа русскоязычных текстов.
7.Наметилось
направление
внедрения
средств
искусственного
интеллекта, позволяющих моделировать и анализировать большие
массивы информации.
06.05.2016
17
Жизненный цикл
Создание
Архивирование и
уничтожение
Поиск и
повторное
использован
ие
Использование
06.05.2016
Рецензирован
ие
Утверждение
Распространен
ие
18
Пример построения системы
архивного хранения и обеспечения
непрерывности работы банка
В НБУ реализуется проект резервного копирования и
восстановления информации на базе программного
обеспечения Symantec NetBackup.
В то время как резервное копирование может иметь множество
форм, восстановление должно быть единообразным. NetBackup с
технологией V-Ray представляет собой единое решение, которое
позволяет восстанавливать данные по требованию — с ленты,
диска, мгновенной копии или облака — в физической или
виртуальной среде. Только NetBackup с технологией V-Ray
позволяет унифицировать резервное копирование, дедупликацию,
репликацию, создание мгновенных копий и работу с устройствами,
поддерживая технологии VMware и Hyper-V в одном продукте.
06.05.2016
19
Команда SICenter
 Опыт, знания и навыки, а также реализованные
проекты, позволяют команде SICenter решать задачи
различной сложности в крупных государственных и
коммерческих организациях.
 Сотрудничество с SICenter позволит оптимизировать
расходы и увеличить прибыльность Вашего бизнеса,
обеспечить безопасность и предотвратить хищение
данных, обеспечить стабильность и непрерывность
работы
информационных
систем,
повысить
эффективность управления ресурсами.
06.05.2016
20
Спасибо за внимание
Вадим Бадашин
Vadim.Badashin@sicenter.net
+380 50 310-48-18
Ирина Ивченко
Irina.Ivchenko@sicenter.net
+380 67 715-13-69
Скачать