Автор Анна Евкова
Преподаватель который помогает студентам и школьникам в учёбе.

Система защиты информации в системах страхования (Основные определения)

Содержание:

Введение

Долгое время рынок ИТ в российском страховом секторе оставался в тени. В 2004 — 2006 гг. его доля в общих расходах на информационные технологии не превышала 2% при средних темпах роста около 25% в год. Однако ситуация меняется, в том числе и в сегменте информационной безопасности, локомотивом роста которого могут стать построение комплексных систем управления безопасностью и подготовка к сертификации на соответствие стандарту ISO 27001.

Медленно, но верно страховой сектор России очищается от «специалистов» по «серым» схемам и переходит в разряд «солидного» бизнеса. Примеров тому масса (особенно с учетом перспектив вступления России в ВТО) — это и отказ от принципа «кэптивности», появление серьезной конкуренции, альянсы с иностранными страховщиками, планы IPO, освоение регионов страны и СНГ, и главное — бурное развитие массовых видов страхования.

Кэптивный сегмент (как стартовый этап развития страхования в России) полностью исчерпал себя. По мнению экспертов Energy Consulting, «…с одной стороны, сами страховщики, «порожденные» материнскими компаниями, накопили и солидную финансовую базу, и ценный опыт работы с различными рисками. Им уже тесно в рамках финансово — промышленных групп. Более того, собственные ресурсы этих компаний уже позволяют им осваивать новые просторы на рынке, где потенциальный спрос на их услуги достаточно высок. Этот процесс заставляет страховщиков автоматизировать бизнес-процессы. Однако даже лидеры рынка сегодня не могут похвастаться тем, что обладают удовлетворяющей их единой информационной системой. Многие страховщики автоматизировали пока лишь отдельные бизнес-процессы, обычно вспомогательные — например, бухгалтерию.

Острая необходимость автоматизировать работу возникла только с началом  развития массового страхования в России. Катализатором процесса стало введение обязательного страхования автогражданской ответственности (ОСАГО) и, как следствие, развитие сети представительств в регионах, обслуживание возросшего потока клиентов и увеличение объемов отчетности. Если раньше ИТ-бюджеты страховщиков формировались по остаточному принципу, то сегодня ситуация резко изменилась. Совокупные расходы страхового сектора на информационные технологии, включая программное обеспечение, в 2004 г. составили, по разным оценкам, не менее 150 млн долларов. В 2005 г., по предварительным данным, эта цифра приблизилась к отметке в 200 млн долларов. В дальнейшем эти показатели будут только увеличиваться. Например, в ближайшие три года один только «Ингосстрах» планирует инвестировать в развитие информационных систем порядка 25 млн долларов. А в более отдаленной перспективе сумма инвестиций компании в этот сектор может превысить 75 млн долларов». По данным CNews Analytics в 2006 году страховщики потратили на ИТ уже более 260 млн.

Если сравнить затраты на ИБ, как части рынка ИТ, в страховом бизнесе России и развитых стран, то пока разница впечатляет. Если сейчас у нас доля этого вертикального рынка в общих затратах на ИБ не превышает 4%, то в развитых странах эта цифра сопоставима с расходами банков или даже в несколько раз больше.

Тема работы: Система защиты информации в системах страхования

Цель работы: Изучить системы защиты информации в системах страхования

Предмет и объект исследования: системы страхования

Задачи работы:

Изучить основы ИБ

Изучить опыт зарубежных стран и российских проихводителей в области систем защиты информации в системах страхования

Глава 1. Основы информационной безопасности.

1.1 Основные определения

Информационная безопасность – это сохранение и защита информации, а также ее важнейших элементов, в том числе системы и оборудование, предназначенные для использования, сбережения и передачи этой информации. Другими словами, это набор технологий, стандартов и методов управления, которые необходимы для защиты информационной безопасности.

Цель обеспечения информационной безопасности – защитить информационные данные и поддерживающую инфраструктуру от случайного или преднамеренного вмешательства, что может стать причиной потери данных или их несанкционированного изменения. Информационная безопасность помогает обеспечить непрерывность бизнеса.

Для успешного внедрения систем информационной безопасности на предприятии необходимо придерживаться трех главных принципов:

Конфиденциальность. Это значит ввести в действие контроль, чтобы гарантировать достаточный уровень безопасности с данными предприятия, активами и информацией на разных этапах деловых операций для предотвращения нежелательного или несанкционированного раскрытия. Конфиденциальность должна поддерживаться при сохранении информации, а также при транзите через рядовые организации независимо от ее формата.

Целостность. Целостность имеет дело с элементами управления, которые связаны с обеспечением того, чтобы корпоративная информация была внутренне и внешне последовательной. Целостность также гарантирует предотвращение искажения информации.

Доступность. Доступность обеспечивает надежный и эффективный доступ к информации уполномоченных лиц. Сетевая среда должна вести себя предсказуемым образом с целью получить доступ к информации и данным, когда это необходимо. Восстановление системы по причине сбоя является важным фактором, когда речь идет о доступности информации, и такое восстановление также должно быть обеспечено таким образом, чтобы это не влияло на работу отрицательно.

Защита информационных систем (ИС), обрабатывающих конфиденциальную информацию организации – это необходимость, благодаря которой можно существенно снизить риск утечки важных сведений. Защита ИС поможет предприятиям любой формы собственности грамотно и правильно организовать процесс обработки, хранения и передачи конфиденциальных сведений, находящихся в информационной системе. Разработка системы защиты информации сделает передачу и обработку персональных данных более безопасным.

Правила организации и защиты информации в автоматизированных системах описаны Федеральном законе №149-ФЗ "Об информации, информационных технологиях и о защите информации". В этом законе описаны все основные пункты:

- описание понятия личных сведений;

- описание требований к защите ИС;

- порядок обработки информации.

Установка средств защиты информации - необходимая мера, ведь именно благодаря им можно быть уверенным в безопасности данных предприятия. Защита информации в информационных системах требуется абсолютно любой организации. Особое внимание этому вопросу следует уделить государственным учреждениям (органам самоуправления, клиникам, учреждениям образования и т.п.).

Средства защиты информации и их необходимость.

Система защиты АС и правила проведения охранных мер регламентируются нормативными документами. Безопасность и защита информационных систем – программа, по результатам которой минимизируются риски, в том числе снижается вероятность утери сведений.

Защита данных в информационных системах подразумевает под собой:

Определение угроз безопасности и защиту информации в компьютерных системах.

Применение специализированных мер, технологий и систем защиты, установление которых обеспечивает все уровни защищенности личных данных.

Анализ системы защиты информации в организации (СЗИ)и оценка ее эффективности.

Качественную СЗИ, НСД к информации, с помощью которой, будет невозможен.

1.2 Контроль информационной безопасности

Нужно понимать, что лишь системный и комплексный подход к защите может обеспечить информационную безопасность. В системе информационной безопасности нужно учитывать все актуальные и вероятные угрозы и уязвимости. Для этого необходим непрерывный контроль в реальном времени. Контроль должен производиться 24/7 и охватывать весь жизненный цикл информации – от момента, когда она поступает в организацию, и до ее уничтожения или потери актуальности.

Выбор и внедрение подходящих видов контроля безопасности поможет организации снизить риск до приемлемых уровней. Выделяют следующие виды контроля:

Административный. Административный вид контроля состоит из утвержденных процедур, стандартов и принципов. Он формирует рамки для ведения бизнеса и управления людьми. Законы и нормативные акты, созданные государственными органами, также являются одним из видов административного контроля. Другие примеры административного контроля включают политику корпоративной безопасности, паролей, найма и дисциплинарные меры.

Логический. Логические средства управления (еще называемые техническими средствами контроля) базируются на защите доступа к информационным системам, программном обеспечении, паролях, брандмауэрах, информации для мониторинга и контроле доступа к системам информации.

Физический. Это контроль среды рабочего места и вычислительных средств (отопление и кондиционирование воздуха, дымовые и пожарные сигнализации, противопожарные системы, камеры, баррикады, ограждения, замки, двери и др.).

Большинство компаний уделяют достаточно большое внимание уровню физической безопасности своей информации.

Начинается этот процесс с того, что места, где хранятся информационные архивы и устанавливаются сервера, имеют более высокий уровень защищенности от проникновения и возможности пребывания там сторонних физических лиц.

Кроме этого, активная работа ведется и по подбору персонала, который будет иметь доступ к конфиденциальным данным компании и ее клиентов. Реализация перечисленных факторов существенно снижает вероятность кражи архивов, но не исключает ее полностью.

Поскольку страховые компании с особым вниманием относятся к физическому доступу и стараются еще в корне исключить возможность несанкционированного доступа, то им приходится использовать специальные средства и способы шифрования и кодирования важной информации. Поскольку страховые компании имеют похожие системы и средства для защиты данных, то лучше использовать криптографические защитные средства. Они помогают сохранить коммерческую информацию, а также сократить риски возникновения таких ситуаций. Лучше всего хранить информацию в закодированном виде, используя принцип прозрачного шифрования, который помогает снизить затраты на защиту информации, а также освобождает от необходимости постоянно расшифровывать и зашифровывать данные. Учитывая тот факт, что все данные страховых систем фактически являются персональными данными клиентов, следует уделять должное внимание их сохранности [4].

Одним из способов является определение наличия вышедших из строя секторов на жестком диске. Функция отмены или приостановки процесса играет далеко не последнюю роль при первоначальном шифровании, зашифровывании, расшифровывании и перешифровании диска.

Такая процедура имеет высокую продолжительность, и поэтому любой сбой может привести к полной утере информации. Наиболее надежный способ хранения ключей шифрования и систем – это смарт карты или USB-ключи. Защита систем информации осуществляется более эффективно благодаря применению не только стримеров, но и съемных жестких дисков, DVD-носителей и прочего. Комплексное использование средств защиты от физического проникновения к источникам информации увеличивает шансы ее сохранности и неприкосновенности со стороны конкурентов и злоумышленников.

Наряду с традиционным штатом сотрудников охраны, занимающихся выполнением этих функций, используются различные технические системы, расширяющие возможности и функциональность служб охраны [8]. 

1.3 Угрозы информационной безопасности

Угрозы информационной безопасности можно разделить на следующие:

Естественные (катаклизмы, независящие от человека: пожары, ураганы, наводнение, удары молнии и т.д.).

Искусственные, которые также делятся на:

- непреднамеренные (совершаются людьми по неосторожности или незнанию);

- преднамеренные (хакерские атаки, противоправные действия конкурентов, месть сотрудников и пр.).

Внутренние (источники угрозы, которые находятся внутри системы).

Внешние (источники угроз за пределами системы)

Так как угрозы могут по-разному воздействовать на информационную систему, их делят на пассивные (те, которые не изменяют структуру и содержание информации) и активные (те, которые меняют структуру и содержание системы, например, применение специальных программ).

Наиболее опасны преднамеренные угрозы, которые все чаще пополняются новыми разновидностями, что связано, в первую очередь, с компьютеризацией экономики и распространением электронных транзакций. Злоумышленники не стоят на месте, а ищут новые пути получить конфиденциальные данные и нанести потери компании.

Чтобы обезопасить компанию от потери денежных средств и интеллектуальной собственности, необходимо уделять больше внимания информационной безопасности. Это возможно благодаря средствам защиты информации в лице передовых технологий.

1.4 Средства защиты информационной безопасности

Средства защиты информационной безопасности — это набор технических приспособлений, устройств, приборов различного характера, которые препятствуют утечке информации и выполняют функцию ее защиты.

Средства защиты информации делятся на:

Организационные. Это совокупность организационно-технических (обеспечение компьютерными помещениями, настройка кабельной системы и др.) и организационно-правовых (законодательная база, статут конкретной организации) средств.

В числе организационных мер обеспечения информационной безопасности можно назвать следующие:

установление различных степеней допуска сотрудников к сведениям, содержащим коммерческую тайну;

ограничение круга лиц, имеющих допуск к конфиденциальной информации страховой компании;

организация порядка использования материальных носителей, установление контроля над копированием и сканированием документов, ограничение доступа сотрудников к внешней электронной почте;

проведение периодических проверок соблюдения регламентов;

привлечение специалистов для проведения тренингов по защите информации;

проведение мероприятий по созданию режима коммерческой тайны;

внесение в договоры компании с клиентами норм, касающихся обязательств соблюдения последними режима коммерческой тайны в отношении переданной им информации;

привлечение к ответственности лиц, виновных в разглашении информации.

Иногда система работы с безопасностью информации требует создания в компании специального подразделения, в чьи функции будет входить только эта деятельность.

Также следует учитывать, что при проектировании большинства информационных систем уровень защиты от внешнего проникновения был значительно ниже, чем необходим в настоящее время. Среди организационных мер может быть и их аудит, который установит соответствие современным стандартам.

Существуют дополнительные меры организационного характера, позволяющие снизить потери от утечек информации. Уже несколько лет сами страховщики реализуют такой продукт, как страхование от угроз информационной безопасности. Он достаточно популярен. Применение этого способа защиты поможет минимизировать ущерб в случае расспрос транения коммерческой тайны.

Программные. Те программы, которые помогают контролировать, хранить и защищать информацию и доступ к ней.

Защита собственно системы должна использовать мощные средства аутентификации и контроля действий как внутренних пользователей, так и клиентов. Общепринято, что наиболее надежную защиту могут обеспечить средства двухфакторной аутентификации, будь то электронные ключи (токены) или генераторы одноразовых паролей.

Аутентификация пользователя может быть выполнена по разным признакам. Одним из распространенных методов аутентификации является установление личности пользователя по тем специфическим сведениям, которыми он располагает. Пользователь вводит свой идентификатор, и затем секретный пароль. Считается, что эти сведения хранятся исключительно в памяти пользователя и не могут стать известны посторонним [8].

Разработка системы управления доступом направлена на обеспечение защиты информации, хранящейся в базе данных, от несанкционированного доступа, то есть обеспечение конфиденциальности информации [12].

Система управления доступом включает процедуры, охватывающие порядок регистрации нового пользователя в ИС, контроль доступа пользователей к базе данных, удаление учетных записей пользователей, которые больше не нуждаются в доступе к информационным ресурсам [10].

Аутентификация может производиться следующими способами:

средствами операционной системы (WindowsAuthentication);

средствами СУБД

В качестве учетной записи выступает имя пользователя и пароль (идентификатор).

Пользователей СУБД можно разбить на две категории:

администратор СУБД, занимающийся установкой, конфигурированием сервера, регистрацией пользователей, ролей;

пользователи, которые оперируют данными, хранящимися в базе, в рамках выделенных прав.

Права доступа пользователей к информации, хранящейся в базе данных, определяются должностными инструкциями.

В результате разграничений прав доступа обеспечивается санкционированный доступ к конфиденциальной информации [19].

Защите также подлежит программное обеспечение, с помощью которого производится обработка ценной информации:

СУБД (серверная часть);

операционная система и сервисное программное обеспечение.

Данный вид защиты организуется путем ограничения прав доступа пользователей операционной системы (доступ к системным файлам, разрешение на установку нового программного обеспечения), а также ограничения доступа к средствам конфигурирования и администрирования СУБД [9].

Для каждого отдельного пользователя выделяется однозначно определенная роль, разграничивающая его права, возможности.

Безопасность данных при хранении требует использования средств шифрования, которые смогут работать либо на уровне хранилищ данных, либо на уровне отдельных компонентов системы, например, таблиц баз данных.

Безопасность баз данных должна обеспечиваться с использованием традиционных средств — антивирусной защиты. Но в то же время специфика таких устройств требует применения дополнительных средств защиты, включая создание «замкнутой про-граммно-аппаратной среды», полностью исключающей установку любого стороннего ПО и подключение внешних устройств.

Наконец, контроль процессов и событий в системе и своевременное обнаружение нарушений — это, наверное, наиболее сложная часть любой комплексной системы безопасности. Ведь в данном случае недостаточно просто приобрести пусть даже самую мощную и современную систему контроля вторжений или предотвращения утечек (DLP).

Внедрение таких систем требует досконального знания всех возможных «слабых точек», а очень часто и практически полного пересмотра и стандартизации бизнес-процессов.

Не каждой организации, особенно небольшой, по силам полноценное внедрение подобных систем. Но в таком случае, на помощь могут прийти менее сложные в использовании информационные сервисы, способные, например, отследить подозрительный исходящий трафик, связанный с активностью вредоносных программ, в том числе используемых и для хищения информации. Это позволит вовремя обнаружить любую подозрительную активность в пределах защищенной сети.

СКЗИ (средство криптографической защиты информации) — это программа или устройство, которое шифрует документы и генерирует электронную подпись (ЭП). Все операции производятся с помощью ключа электронной подписи, который невозможно подобрать вручную, так как он представляет собой сложный набор символов. Тем самым обеспечивается надежная защита информации.

Как работает СКЗИ

Отправитель создает документ

При помощи СКЗИ и закрытого ключа ЭП добавляет файл подписи, зашифровывает документ и объединяет все в файл, который отправляется получателю

Файл передается получателю

Получатель расшифровывает документ, используя СКЗИ и закрытый ключ своей электронной подписи

Получатель проверяет целостность ЭП, убеждаясь, что в документ не вносились изменения

Виды СКЗИ для электронной подписи

Есть два вида средств криптографической защиты информации: устанавливаемые отдельно и встроенные в носитель.

СКЗИ, устанавливаемое отдельно — это программа, которая устанавливается на любое компьютерное устройство. Такие СКЗИ используются повсеместно, но имеют один недостаток: жесткую привязку к одному рабочему месту. Вы сможете работать с любым количеством электронных подписей, но только на том компьютере или ноутбуке, на котором установлена СКЗИ. Чтобы работать на разных компьютерах, придется для каждого покупать дополнительную лицензию.

При работе с электронными подписями в качестве устанавливаемого СКЗИ чаще всего используется криптопровайдер КриптоПро CSP. Программа работает в Windows, Unix и других операционных системах, поддерживает отечественные стандарты безопасности ГОСТ Р 34.11-2012 и ГОСТ Р 34.10-2012.

Реже используются другие СКЗИ:

Signal-COM CSP

LISSI-CSP

VipNet CSP

Все перечисленные СКЗИ сертифицированы ФСБ и ФСТЭК, соответствуют стандартам безопасности, принятым в России. Для полноценной работы также требуют покупки лицензии.

СКЗИ, встроенные в носитель, представляют собой «вшитые» в устройство средства шифрования, которые запрограммированы на самостоятельную работу. Они удобны своей самодостаточностью. Все необходимое для того, чтобы подписать договор или отчет, уже есть на самом носителе. Не надо покупать лицензии и устанавливать дополнительное ПО. Достаточно компьютера или ноутбука с выходом в интернет. Шифрование и расшифровка данных производятся внутри носителя. К носителям со встроенным СКЗИ относятся Рутокен ЭЦП, Рутокен ЭЦП 2.0 и JaCarta SE.

Технические (аппаратные). Это технические виды устройств, которые защищают информацию от проникновения и утечки.

Сеть страховой компании, как сеть любого предприятия или организации, содержит в своем составе вполне стандартный набор объектов: рабочие станции сотрудников, инфраструктурные и специализированные серверы, сетевые шлюзы.

С развитием мобильности к этому набору все чаще добавляются ноутбуки, смартфоны и планшеты, с которых осуществляется доступ сотрудников к информационной системе.

Информационная система должна также быть доступна для клиентов. Наконец, не стоит забывать о том, что сеть даже сравнительно небольшой компании представляет собой распределенную систему с многочисленными филиалами и отделениями [10].

Таким образом, задача защиты информации хотя и близка по схеме и используемым средствам к задачам, решаемым для обычной организации, также должна иметь ярко выраженную страховую специфику. Необходимо:

— Обеспечить надежную и безопасную работу АИС (автоматизированной информационной системы).

— Обеспечить безопасный доступ сотрудников и клиентов к системе в территориально распределенной сети.

— Обеспечить доступ сотрудников к внешним информационным сетям (Интернету).

— Иметь возможность контроля всех процессов в системе и своевременного обнаружения любых нарушений.

Все эти задачи необходимо решать комплексно, начиная с архитектуры сети.

Хорошей и достаточно распространенной практикой является создание нескольких изолированных сетей с минимальным количеством точек взаимодействия (шлюзов) с применением самых современных средств защиты. Как правило, в системе создаются изолированная операционная сеть и сеть с доступом к ресурсам Интернета.

Такое разделение сетей позволяет избежать многих проблем связанных с утечкой информации и распространением вредоносного кода, но, естественно, для надежного обеспечения безопасности требуется внедрение специализированного ПО.

Следует также избегать часто встречающегося заблуждения, что изолированная сеть не нуждается в столь же серьезных средствах защиты, что и сети общего доступа – такой подход не раз приводил к серьезным проблемам.

Для обеспечения надежной связи между подразделениями и филиалами должны использоваться выделенные каналы связи с применением шифрования данных. Естественно, что для отдельных подразделений должен использоваться тот же принцип разделения сетей, что и для основной сети компании.

Virtual Private Network (VPN) переводится с английского языка как «виртуальная частная сеть». Это технологии, объединенные в одну группу. Они предназначаются для обеспечения одного или нескольких соединений помимо другой сети. Казалось бы, ничего особенного. Суть технологии состоит в том, что к основному VPN-серверу при установленном соединении можно подключиться еще раз. В таком случае образуется зашифрованный канал, обеспечивающий надежность передачи данных.

VPN используется для соединения локальных сетей в одну виртуальную. Отдельные операторы связи предоставляют все необходимое для выхода в мировую сеть.

В настоящее время есть несколько вариантов подключения VPN с использованием стандартов IPSec, SSL/TLS и PPTP. В зависимости от используемых протоколов и применения виртуальных сетей можно создавать соединение трех видов: сеть-сеть, узел-сеть, узел-узел.

Настройка vpn соединений должна выполняться специалистами. Только они смогут учесть все нюансы подключения виртуальной сети и избежать ошибок. Если все сделано правильно, надежная защита от потери данных будет обеспечена.

Виртуальные сети стандартно устанавливаются не выше сетевого уровня. Здесь использование криптографии дает возможность не изменять некоторые транспортные протоколы. Обычно для создания VPN-соединения берут инкапсуляцию протокола РРР с другим протоколом: IP, Ethernet.

Преимущества VPN соединения

Профессиональное подключение и отладка виртуальных сетей (настройка vpn соединения) обеспечивает надежную защиту данных при передаче по каналам. Имеются и другие плюсы VPN-соединения. Очень важно, что локальная сеть и Интернет с виртуальной сетью работают гораздо быстрее. Пропускаются виртуальные каналы связи, платить за кабельные линии не требуется.

Настраивание виртуальной сети обходится дешевле, чем монтаж удаленного доступа. Нет необходимости в приобретении дополнительного сетевого оборудования и его установке. Самое главное, что нужно сделать — это подключить виртуальную сеть и наладить контроль трафика удаленного доступа. Для VPN-соединения необходимо только соответствующее программное обеспечение.

Что касается специализированного ПО, то по-прежнему основой систем информационной безопасности являются антивирусные программы. За несколько последних лет они эволюционировали от «просто антивирусов» до комплексных систем защиты контроля рабочих станций. При помощи современного антивируса можно решить целый комплекс задач, включая защиту от несанкционированного подключения любых внешних устройств и установки программ. Эшелонированная мультивендорная защита интернет-шлюзов и почтовых систем также не теряет своей актуальности.

Развитие мобильности также привносит свои настоятельные требования: сейчас антивирусная защита должна в обязательном порядке распространяться на все типы мобильных устройств, используемых сотрудниками вне зависимости от того, применяются такие устройства в работе с АИС или только с сетями общего пользования.

Смешанные аппаратно-программные. Выполняют функции как аппаратных, так и программных средств.

Межсетевой экран (МСЭ), Network Firewall– это сетевое устройство, которое делит сеть на сегменты с разными политиками безопасности и контролирует эти политики. Например, сегмент Интернет – там можно все что угодно. И сегмент вашего ЦОД – там можно работать только выделенному списку сотрудников по разрешенным приложениям. Внутри одного хоста VMware может быть несколько виртуальных сетей с виртуальными машинами и разными политиками доступа к ним.

Политика безопасности firewall содержит правила, которые приводит в действие программный код устройства, анализируя каждый фрейм и пакет пришедший и исходящий с firewall. В правилах firewall задаются критерии проверки (квалификаторы), по которым принимается решение пропускать или блокировать трафик. Примерами квалификаторов в правилах являются: адрес, порт, приложение, пользователь, зона.

Межсетевой экран последовательно, правило за правилом, сверху внизу по списку просматривает критерии и если входящий трафик соответствует всем критериям правила, (логическая операция «И» между критериями) то применяется указанное действие: заблокировать или пропустить. Действие выполняется как для первого пакета, так и для всех последующих пакетов одного TCP/IP соединения.

Глава 2 Опыт России и зарубежных стран

2.1 Опыт зарубежных стран

«Информационная безопасность — главный приоритет для страховых групп в США. — прокомментировал Мэтью Джозефович (Matthew Josefowicz), менеджер страховой группы исследовательской компании Celent. — Оценка текущих уязвимостей и разработка комплексной стратегии защиты становятся приоритетом».

Кроме того, как показывает мировой опыт, уровень расходов на ИБ в страховании, ориентированном на ритейл, прямо пропорционален расходам на ИТ в здравоохранении. Если сейчас этот показатель в России составляют не более 1% от общих расходов на ИТ, то, например, в Израиле, славящимся заботой о здоровье своих граждан, приближается к 6%.

В свете старта национальной программы «Здоровье» и иных инициатив правительства страны в вопросах демографии нужно ожидать цепной реакции и в смежных со здравоохранением секторах экономики — например, в страховании и медицинской промышленности.

Немецкая компания SAP выделяет 18-20 ключевых бизнес-подразделений в страховых компаниях, главной особенностью которых является территориальная экспансия и большое количество мобильных пользователей ИТ–инфраструктуры, прежде всего — страховых агентов при единой базе данных страховой информации. Именно эти два фактора и привели к тому, что обеспечение защиты данных в этих условиях становится нетривиальной задачей.

2.2 Российский опыт

По мнению аналитиков, развитие систем ИБ в российском страховании отстает в технологическом аспекте от банковского примерно на семь лет. Именно на столько этот рынок считается моложе массового банковского ритейла. Однако здесь есть и преимущества — уже существуют проверенные мировым сообществом стандарты и методики. Наиболее передовые отечественны страховщики предпочитают не изобретать велосипед, а внимательно изучить и применить чужой опыт.

Что касается «Инфосистем Джет», то г-н Трифаленков этот проект оценил, как «значимый этап» для компании не только с точки зрения работы в России, но и для выхода на другие рынки, в том числе и стран дальнего зарубежья.

В рамках технической составляющей проекта был разработан план обеспечения непрерывности бизнеса, создана система управления инцидентами на базе ПО HP OpenView, проведена ревизия и модернизация технических средств внешней защиты (firewall Check Point и Cisco, антивирусные продукты Symantec и Trend Micro).

Большим сюрпризом для экспертов рынка ИБ стало анонсированное 16 мая 2007 года успешное завершение проекта по построению системы управления информационной безопасностью (СУИБ) в одной из крупнейших страховых компании страны — «Росно» при поддержке интегратора «Инфосистемы Джет» и российского подразделения BSI Management Systems. СК «Росно» стала первой среди российских страховых компаний, обеспечившей соответствие информационной безопасности основных бизнес-процессов международным требованиям, что и было подтверждено сертификационным аудитом на соответствие требованиям стандарта ISO/IEC 27001:2005.

Собственно говоря, удивление вызвал не сам факт сертификации, а то, что именно страховая компания стала шестой по счету организацией в России, которая смогла это сделать, опередив при этом почти всех банкиров, нефтяников, металлургов и связистов.

Реализованный проект позволит компании вовлечь в обеспечение информационной безопасности все свои подразделения. Созданная СУИБ стала частью общей системы управления «Росно». Система включает организационные, процедурные и технические средства, позволяющие минимизировать традиционные для страховой компании риски: нарушение конфиденциальности, обеспечение доступности данных и их целость.

Наиболее близкой к лидеру в плане систем ИБ можно назвать универсальную страховую компанию «КапиталЪ Страхование». Она движется в схожем с «Росно» направлении. Так, в начале 2007 года «ДиалогНаука» — системный интегратор в сфере ИБ — объявил о завершении проекта по разработке корпоративной политики информационной безопасности этого страховщика.

По словам члена правления страховой группы «КапиталЪ», директора департамента информационных технологий «КапиталЪ Страхование» Николая Паращенко, «разработка корпоративной политики информационной безопасности является необходимым шагом для осуществления эффективной защиты многофункциональной и территориально-распределённой автоматизированной системы от современных угроз информационной безопасности.

В реальных условиях лишь поэтапная реализация целостного подхода может обеспечить адекватный уровень информационной безопасности страховой организации». Первым результатом сотрудничества компаний «ДиалогНаука» и «КапиталЪ Страхования» стала разработка политики информационной безопасности и стратегии её реализации. В рамках создания политики была проведена оценка рисков ИБ и разработана  нормативная основа для обеспечения комплексной защиты от угроз, предусматривающая применение как организационных, так и программно-технических методов защиты.

Интересен опыт компании «Альфастрахование», которая завершила проект по подключению своих региональных офисов к централизованным корпоративным информационным ресурсам. Специфика страхового бизнеса требует ведения единой базы данных. База подобного типа сложна в администрировании и эксплуатации, так как репликация данных из центрального офиса в региональные и наоборот осуществляется не всегда корректно и быстро.  Процесс осложняется необходимостью обеспечивать информационную безопасность передаваемых по сети конфиденциальных данных. В результате компания «Альфастрахование» сделала выбор в пользу терминальных технологий и остановилась на специализированном программно-аппаратном решении компании Citrix под общим названием Citrix MetaFrame Access Suite, позволяющим практически полностью устранить проблемы объединения удаленных офисов. В качестве исполнителя проекта был привлечен российский системный интегратор — компания BCC.

В основе технического решения, предложенного BCC, лежат терминальные серверы Citrix MetaFrame XP Presentation Server, установленные в центральном офисе. На них стоят все приложения, работающие с базой данных. Это позволило провести полную централизацию как базы данных, так и приложений.  Теперь вся обработка информации осуществляется на терминальных серверах в центральном офисе компании, а сотрудники удаленных представительств работают через интернет путем подключения к терминальным серверам и запуска на них необходимых приложений.

В решении был применен так называемый шлюз безопасности, Citrix Secure Gateway (CSG), который остается единственной точкой, опубликованной в сети, а вся коммуникация с терминальными серверами происходит только через него. Удаленный пользователь со своего рабочего места, где установлено клиентское приложение,  подключается по протоколу https через интернет к Web-серверу Web Interface for MetaFrame (NFuse Classic) и проходит на нем авторизацию. Этот сервер с установленной службой Citrix Secure Gateway находится в демилитаризованной зоне (DMZ) сети центрального офиса группы «Альфастрахование». При этом модуль безопасного доступа Citrix Secure Gateway установлен на двух серверах, работающих в режиме распределения нагрузки для обеспечения повышенного уровня надежности.

2.3 Обзор программ для защиты страховой информации

СёрчИнформ КИБ» предлагает больше возможностей, чем классическая DLP. Благодаря аналитическим инструментам, а также ориентации не только на данные, но и на пользователя, система:

Защищает от последствий, связанных с утечками информации.

Разоблачает мошеннические схемы (откаты, саботаж и другое).

Помогает рассчитывать кадровые риски и прогнозировать поведение работников.

Стимулирует соблюдение трудовой дисциплины и рабочего регламента.

Помогает повысить продуктивность персонала.

Позволяет управлять лояльностью коллектива.

Наиболее полный контроль информационных потоков

«СёрчИнформ КИБ» позволяет контролировать все критичные каналы коммуникации. Поддерживается полный список как корпоративных средств коммуникации (Exchange, Lync, Skype и т.д.), так и личных (Telegram, Viber и др.). Благодаря этому возможно безопасное использование сетевых каналов без их блокировки.

Уникальные технологии анализа текста, аудио и видео

Помимо «классических» технологий анализа (морфология, словари, регулярные выражения, цифровые отпечатки, OCR) в КИБ доступен ряд уникальных технологий, повышающих эффективность системы. Детектирование текстов, близких по смыслу с эталоном. Поиск изображений, похожих на эталон. Поиск по любым аудио- или видеозаписям действий пользователя.

Удобные инструменты для проведения расследований

Продукт позволяет производить аудио- и видеозапись действий пользователя, фиксировать любые действия с файлами или папками, журналами аудита, устройствами или ПО. Инструменты пристального наблюдения позволяют точно восстанавливать цепочки событий и устанавливать всех причастных к нарушениям.

Возможность контроля эффективности работы пользователей

В КИБ встроена возможность оценки продуктивности работы пользователей в приложениях и на сайтах. Это позволяет расширить область применения DLP, повысить уровень общей дисциплины в компании, определять проблемы бизнес-процессов.

Совместимость с операционными системами на Linux

Систему можно развернуть на большинстве ОС из семейства Linux. КИБ совместим со свободно распространяемыми ОС Ubuntu/Kubuntu/Lubuntu/Xubuntu, Debian, CentOS, Fedora/RHEL, ZorinOS, Mint, ElementaryOS. А также с системами, созданными российскими разработчиками на базе ядра Linux – RedOS, ROSA, AstraLinux, Runtu, GosLinux.

Staffcop — программное решение, выполняющие сбор и анализ информации с функциональностью DLP и SIEM. Для работы StaffCop Enterprise необходим только один сервер под управлением ОС семейства GNU/Linux, предназначенный для сбора, хранения, анализа и просмотра информации об активности пользователей.

Подключение к серверу осуществляется по защищенному соединению. Поддерживается работа в любых сетевых инфраструктурах, обеспечивающих подключение от клиента к серверу: через VPN, NAT и другие каналы подключения.

Программа агент запускается на рабочих станциях или терминальных серверах, с операционной системой Windows, отслеживает действия пользователя и события на его компьютере, передает их на сервер, а также реализует различные блокировки и запреты доступа. Агент StaffCop Enterprise может работать на удаленном компьютере, не находящемся в локальной сети компании.

«Континент» – семейство продуктов для обеспечения сетевой безопасности при подключении к сетям общего пользования посредством межсетевого экранирования, построения частных виртуальных сетей (VPN) и системы обнаружения вторжений (СОВ).

Надежные высокопроизводительные платформы, высокая криптостойкость шифрования каналов связи, поддержка защиты самых современных коммуникационных приложений в сочетании с простотой внедрения и эксплуатации гарантируют качественное решение с помощью продуктов семейства «Континент» самых сложных задач защиты корпоративных сетей.

Основные возможности:

Надежная криптозащита

Шифрование трафика по ГОСТ 28147–89 с современной ключевой схемой обеспечивает гарантированную криптостойкость VPN-сети

Межсетевой экран

Маршрутизация трафика

Управление трафиком

Высокая доступность

Интеграция с системами IDS

Имеет сертификаты соответствия ФСБ России и ФСТЭК России.

Производитель ООО «Код Безопасности»

ПМ ЛИССИ-CSP - программный комплекс защиты информации, позволяющий использовать российские криптографические алгоритмы в операционных системах Microsoft через стандартные интерфейсы: MS CryptoAPI, MS CAPICOM, MSXML версии 5.0, MS SSPI, MS Certificate Enrollment Control.

ПМ ЛИССИ-CSP входит в состав сертифицированного многофункционального СКЗИ «ЛИРССЛ-CSP». В качестве криптоядра ПМ ЛИССИ-CSP может использовать также СКЗИ в виде токенов/смарткарт с интерфейсом PKCS#11 и поддержкой российской криптографии, включая облачный токен LS11CLOUD. Поддерживаются, например, токены с аппаратной реализацией российской криптографии Рутокен ЭЦП (сертификат ФСБ) и eToken ГОСТ (сертификат ФСБ) и обеспечивает выполнение на них следующих операций:

генерация ключевой пары с неизвлекаемым закрытым ключом;

формирование ЭП;

использование механизмов аппаратного токена для формирования и разбора криптографического сообщения (подписанного, зашифрованного) в формате PKCS#7/CMS.

ПМ ЛИССИ-CSP обеспечивает:

шифрование данных по ГОСТ 28147-89, ГОСТ Р 34.12-2015 и ГОСТ Р 34.13-2015 («Кузнечик», «Магма»);

формирование/проверку электронной подписи (ЭП) в соответствии с ГОСТ Р 34.10-2001;

формирование/проверку электронной подписи (ЭП) в соответствии с ГОСТ Р 34.10-2012;

контроль целостности данных посредством вычисления имитовставки по ГОСТ 28147-89, ГОСТ Р 34.12-2015 и ГОСТ Р 34.13-2015;

вычисление значения хэш-функции в соответствии с ГОСТ Р 34.11-94;

вычисление значения хэш-функции в соответствии с ГОСТ Р 34.11-2012;

генерацию ключевой информации;

поддержку протоколов SSL v3 и TLS v1 с использованием российских криптоалгоритмов.

Все криптографические операции выполняются с учетом требований и рекомендаций руководящих документов Технического комитета по стандартизации «Криптографическая защита информации» ТК26.

Используется для аутентификации, обеспечения конфиденциальности и контроля целостности информации, в системах защищённого документооборота, для организации безопасного взаимодействия с веб-серверами, серверами электронной почты, удостоверяющими центрами и другими ресурсами сети.

Заключение

Как показывают реализованные различными страховыми компаниями проекты, этот бизнес все активнее вовлекается в процесс подготовки к работе в условиях жесткой конкуренции как между собой, так и с мировыми лидерами страховой индустрии. Нет надобности много говорить об ИБ, как одном из конкурентных преимуществ в этой борьбе.

Информация очень важна для успешного развития бизнеса, следовательно, нуждается в соответствующей защите. Особенно актуально это стало в бизнес-среде, где на передний план вышли информационные технологии. Так как мы живем в эпоху цифровой экономики, без них рост компании просто невозможен.

Информация сейчас подвергается все большему числу угроз и уязвимостей. Хакерские атаки, перехват данных по сети, воздействие вирусного ПО и прочие угрозы приобретают более изощренный характер и набирают огромный темп. Отсюда возникает необходимость внедрять системы информационной безопасности, которые могли бы защитить данные компании.

На выбор подходящих средств защиты информации влияют многие факторы, включая сферу деятельности компании, ее размер, техническую сторону, а также знания сотрудников в области информационной безопасности.

Комплексное применение современных технических средств в работе службы безопасности страховой компании может обеспечить высокий уровень защиты информации от утечек и несанкционированного доступа. Следует учитывать, что все предпринимаемые действия должны в полной мере соответствовать требованиям российского законодательства.

Список литературы

  1. Бирюков, А.А. Информационная безопасность: защита и нападение / А.А. Бирюков. - М.: ДМК Пресс, 2015. - 474 c.
  2. Гафнер, В.В. Информационная безопасность: Учебное пособие / В.В. Гафнер. - Рн/Д: Феникс, 2016. - 324 c.
  3. Громов, Ю.Ю. Информационная безопасность и защита информации: Учебное пособие / Ю.Ю. Громов, В.О. Драчев, О.Г. Иванова. - Ст. Оскол: ТНТ, 2010. - 384 c.
  4. Запечинков, С.В. Информационная безопасность открытых систем в 2-х томах т.1 / С.В. Запечинков. - М.: ГЛТ, 2016. - 536 c.
  5. Запечинков, С.В. Информационная безопасность открытых систем в 2-х томах т.2 / С.В. Запечинков. - М.: ГЛТ, 2016. - 558 c.
  6. Малюк A.A. Введение в защиту информации в автоматизированны системах: Учебн. пособие для вузов / Малюк A.A., Пaзизин C.B., Погожий H.C. - M.: Горячая линия - Телеком, 2014. - 147 c.
  7. Малюк, А.А. Информационная безопасность: концептуальные и методологические основы защиты информации / А.А. Малюк. — М.: ГЛТ, 2015. — 280 c.
  8. Мельников, Д.А. Информационная безопасность открытых систем: учебник / Д.А. Мельников. - М.: Флинта, 2015. - 448 c
  9. Партыка, Т.Л. Информационная безопасность: Учебное пособие / Т.Л. Партыка, И.И. Попов. - М.: Форум, 2015. - 432 c.
  10. Петров, С.В. Информационная безопасность: Учебное пособие / С.В. Петров, И.П. Слинькова, В.В. Гафнер. - М.: АРТА, 2015. - 296 c.
  11. Семененко, В.А. Информационная безопасность / В.А. Семененко. - М.: МГИУ, 2011. - 277 c.
  12. Чипига, А.Ф. Информационная безопасность автоматизированных систем / А.Ф. Чипига. - М.: Гелиос АРВ, 2016. - 336 c.
  13. Шаньгин, В.Ф. Информационная безопасность компьютерных систем и сетей: Учебное пособие / В.Ф. Шаньгин. - М.: ИД ФОРУМ, НИЦ ИНФРА-М, 2015. - 416 c.
  14. Шаньгин, В.Ф. Информационная безопасность и защита информации / В.Ф. Шаньгин. - М.: ДМК, 2016. - 702 c.