│внутренней почты.│количества разнородных│ │ │
│Novell NetWare│платформ │ │ │
│используется как│ │ │ │
│файловый сервер, a│ │ │ │
│Unix - для АБС XXX │ │ │ │
├─────────────────────┼────────────────────────┼────────────────────────────────────────────────┼──────────┤
│Отсутствие │Обслуживание базы данных│Мы рекомендуем назначить сертифицированного│ !! │
│сертифицированного │Oracle требует наличия│администратора базы данных Oracle (DBA) или│ │
│администратора базы│определенных навыков и│организовать специальное обучение│ │
│данных. Мы отметили,│опыта. Неадекватное│администраторов Oracle, работающих в настоящее│ │
│что в банке│обслуживание базы данных│время в банке │ │
│отсутствует │Oracle может привести к│ │ │
│сертифицированный │замедлению или даже сбою│ │ │
│администратор базы│в работе этой базы│ │ │
│данных Oracle │данных │ │ │
├─────────────────────┼────────────────────────┼────────────────────────────────────────────────┼──────────┤
│Использование │Дальнейшие разработки в│Банку следует рассмотреть возможность замены│ !!! │
│неподдерживаемого │системе SWIFT не будут│программного обеспечения, обеспечивающего│ │
│разработчиком ПО.│поддерживаться │интерфейс с системой SWIFT │ │
│Установленное │существующим интерфейсом│ │ │
│программное │SWIFT │ │ │
│обеспечение для SWIFT│ │ │ │
│не поддерживается│ │ │ │
│разработчиком (MERVA)│ │ │ │
├─────────────────────┼────────────────────────┼────────────────────────────────────────────────┼──────────┤
│Файлы аудита действий│Несанкционированные │Файлы аудита действий пользователей в ЛВС│ !! │
│пользователей ЛВС не│действия, которые│(лог-файлы) должны быть активизированы в│ │
│анализируются. Работа│потенциально могут быть│операционных системах - Windows NT, Novell│ │
│сотрудников и внешних│осуществлены │NetWare и Unix. Сотрудники службы ИТ или│ │
│консультантов в│пользователями, не будут│информационной безопасности должны иметь доступ│ │
│локальной │вовремя выявлены │к данным файлам и регулярно анализировать их в│ │
│вычислительной сети│ │целях контроля за действиями персонала. Также│ │
│контролируется при│ │можно рекомендовать использование специальных│ │
│помощи файлов аудита│ │программ для анализа и эффективного мониторинга│ │
│(лог-файлов), с│ │действий пользователей. В ходе процесса│ │
│помощью которых│ │резервирования необходимо также периодически│ │
│возможно │ │создавать резервные копии лог-файлов │ │
│протоколирование всех│ │ │ │
│действий │ │ │ │
│пользователей. Однако│ │ │ │
│сотрудники ИТ не│ │ │ │
│имеют возможности│ │ │ │
│регулярно │ │ │ │
│анализировать │ │ │ │
│информацию о работе│ │ │ │
│пользователей, в│ │ │ │
│основном из-за│ │ │ │
│нехватки кадровых│ │ │ │
│ресурсов │ │ │ │
├─────────────────────┼────────────────────────┼────────────────────────────────────────────────┼──────────┤
│Передача │Передача информации│Для защиты информации при передаче по внешним│ !!! │
│конфиденциальных │через открытые каналы│каналам связи необходимо применять│ │
│данных по открытым│повышает риск│соответствующие процедуры криптографической│ │
│каналам. В настоящее│несанкционированного │защиты на всех внешних каналах │ │
│время банк, его│доступа, модификации,│ │ │
│филиалы и внешние│раскрытия или потери│ │ │
│организации │информации │ │ │
│обмениваются │ │ │ │
│информацией через│ │ │ │
│открытые каналы, не│ │ │ │
│защищенные │ │ │ │
│криптографическими │ │ │ │
│механизмами │ │ │ │
├─────────────────────┼────────────────────────┼────────────────────────────────────────────────┼──────────┤
│Доступ к директории│Данный факт повышает│Мы рекомендуем банку ограничить существующие│ !! │
│платежей. В ходе│риск │права доступа к критичным сетевым директориям.│ │
│нашего обзора мы│несанкционированного │Права доступа к директории, предназначенной для│ │
│отметили, что четыре│доступа к платежной│отправки платежей в ЦБ РФ, должны быть│ │
│сотрудника расчетного│системе и мошенничества│предоставлены только тем сотрудникам, которые│ │
│отдела имеют доступ к│при осуществлении│работают с указанной директорией в ходе│ │
│директории платежей│платежных операций банка│выполнения возложенных на них функций.│ │
│ЦБ РФ. Кроме того, к│ │Сотрудники ИТ должны быть лишены права доступа к│ │
│указанной директории│ │данной директории │ │
│имеют доступ│ │ │ │
│некоторые сотрудники│ │ │ │
│подразделения ИТ │ │ │ │
├─────────────────────┼────────────────────────┼────────────────────────────────────────────────┼──────────┤
│Недостаточная длина│Пароли с│Банку необходимо провести проверку соблюдения│ !!! │
│паролей. Мы отметили,│несоответствующей длиной│парольной политики и не допускать использования│ │
│что некоторые│повышают риск│паролей менее чем из 6 символов │ │
│сотрудники ИТ не│несанкционированного │ │ │
│выполняют заявленных│доступа к базе данных,│ │ │
│внутренними │что в свою очередь может│ │ │
│регламентами │привести к│ │ │
│требований к│несанкционированному │ │ │
│количеству символов│раскрытию или изменению│ │ │
│пароля к ИС. Один из│информации │ │ │
│сотрудников службы ИТ│ │ │ │
│использует пароль для│ │ │ │
│системы "Новая│ │ │ │
│Афина", состоящий из│ │ │ │
│3 символов. При этом│ │ │ │
│он имеет полный│ │ │ │
│доступ к базе данных │ │ │ │
├─────────────────────┼────────────────────────┼────────────────────────────────────────────────┼──────────┤
│Доступ в серверную│Повышается риск│Серверная комната должна закрываться при помощи│ !! │
│комнату не ограничен│несанкционированного │электронного замка. Следует рассмотреть│ │
│как следует. Серверы│доступа к критичному│возможность установки системы видеонаблюдения │ │
│расположены в│компьютерному │ │ │
│комнате, которая│оборудованию │ │ │
│запирается на│ │ │ │
│стандартный замок.│ │ │ │
│Как правило, дверь│ │ │ │
│серверной комнаты не│ │ │ │
│закрывается. │ │ │ │
│Существует свободный│ │ │ │
│доступ к компьютерам│ │ │ │
│и ключевым системам │ │ │ │
├─────────────────────┼────────────────────────┼────────────────────────────────────────────────┼──────────┤