СОДЕРЖАНИЕ

Введение...................................................................................................................3
Общая характеристика работы...............................................................................4
Глава 1 Анализ способов построения сетей фин. организаций..........................6
1.1 Понятие корпоративной сети и ее составных частей....................................6
1.2 Организация виртуальных частных сетей....................................................10
1.3 Мониторинг корпоративных сетей................................................................14
Глава 2 Особенности построения сетей на основе оборудования MikroTik . .16
2.1 Общая характеристика производителя MikroTik.........................................16
2.1.1 RouterOS........................................................................................................16
2.1.2 Особенности RouterOS.................................................................................16
2.1.3 RouterBOARD...............................................................................................17
2.1.4 Маршрутизаторы CloudCore.......................................................................17
2.1.5 Реализованные проекты...............................................................................18
2.1.6 Уязвимости....................................................................................................18
2.2 Достоинства и недостатки платформы Mikrotik..........................................19
2.2.1 Достоинства..................................................................................................20
2.2.2 Недостатки....................................................................................................20
Глава 3 Анализ проблем безопасности в инф. сетях фин. огранизаций..........22
3.1 Понятие информационной безопасности......................................................22
3.2 Проблемы информационной безопасности..................................................25
3.3 Анализ современных угроз безопасности.....................................................28
3.4 Анализ подходов по обеспечению информационной безопасности..........29
3.5 Анализ методов обеспечения информационной безопасности финансовых
учреждений............................................................................................................33
3.6 Общее положение концепции информационной безопасности
финансовых учреждений......................................................................................38
3.7 Правовое обеспечение информационной безопасности..............................39
3.8 Объекты защиты..............................................................................................41
3.9 Основные виды угроз объектам информационной безопасности..............41
3.10 Перечень требований к объектам защиты..................................................43
3.11 Перечень требований к средствам защиты инф. безопасности................44
3.12 Перечень требований к системе мониторинга информационной
безопасности..........................................................................................................45
Глава 4 Концепция построения сети финансовой организации.......................50
4.1 Постановка задачи...........................................................................................50
4.2 Решение поставленных задач.........................................................................52
4.3 Настройка автоматического переключения..................................................57
Заключение............................................................................................................63
Список использованных источников..................................................................64
 ВВЕДЕНИЕ

Актуальность темы диссертации определяется обострением проблем

информационной безопасности в условиях интенсивного совершенствования
технологий и инструментов защиты данных. В современных
информационных системах проблема безопасности финансовых учреждений
является одной из самых значимых, поскольку работа финансовых
учреждений связана с получением и передачей конфиденциальной
информации, утечка которой может нанести ущерб, связанный с её
репутацией и финансовыми потерями.
Следовательно, информацию в финансовых учреждениях необходимо
защищать и постоянно совершенствовать подходы и методы по обеспечению
информационной безопасности.
Цель диссертации состоит в разработке концепции обеспечения
информационной безопасности финансового учреждения на уровне сети
передачи данных, позволяющей снизить его информационные риски.
Применение иных методов защиты информации в финансовых организациях
рассматриваться в данной работе не будут (или же будут затронуты
косвенно).
Поставленная цель обусловила следующие задачи диссертации:
 проанализировать способы построения сетей финансовых
организаций;
 изучить особенности построения сетей с использованием
оборудования производителя Mikrotik;
 проанализировать проблемы безопасности в информационных сетях
финансовых организаций;
 разработать концепцию построения сети с использованием
наработок в сфере информационной безопасности, приведенных в данной
работе.
Объектом исследования является информационная безопасность.
Предметом исследования является информационная безопасность
финансовых учреждений.

3
 ОБЩАЯ ХАРАКТЕРИСТИКА РАБОТЫ

Цель диссертации состоит в разработке концепции по обеспечению

информационной безопасности сети финансового учреждения, позволяющей
снизить его информационные риски.
Задачи диссертации:
 проанализировать способы построения сетей финансовых
организаций;
 изучить особенности построения сетей с использованием
оборудования производителя Mikrotik;
 проанализировать проблемы безопасности в информационных сетях
финансовых организаций;
 разработать концепцию построения сети с использованием
наработок в сфере информационной безопасности, приведенных в данной
работе.
Положения, выносимые на защиту.
В работе описаны принципы защиты информационных систем
финансовых учреждений, само понятие информационных систем, способов
построения локальных и глобальных сетей финансовых структур.
Разработана концепция защиты сети передачи данных финансового
предприятия среднего масштаба.
Личный вклад магистранта.
В ходе написания работы самостоятельно выполнен информационный
поиск и анализ научной литературы, разработана индивидуальная концепция
информационной безопасности для финансовой организации, с точки зрения
сетей передачи данных. Для проверки работоспособности выбранной схемы и
проверки грамотности полученного результата было произведено
компьютерное моделирование данной схемы в системе Graphical Network
Simulator 3 и системе QEMU 2.4.0.
Апробация результатов диссертации.
Результаты работы были представлены на XXIII научной-практической
конференции «Комплексная защита информации», а также на XVIII научно-
технической конференции «Новые информационные технологии в
телекоммуникациях и почтовой связи».
Структура и объем диссертации.
Диссертация состоит из четырёх основных разделов.

4
 В первой главе проводится анализ способов построения сетей
финансовых учреждений, в которой дается понятие корпоративной сети,
элементов корпоративных сетей, виртуальных частных сетей (VPN).
Во второй главе проводится описание особенностей построения
корпоративных/финансовых сетей в целом и с использованием оборудования
MikroTik, в частности.
В третьей главе описаны проблемы безопасности в информационных
сетях корпоративных/финансовых организаций, проводится анализ
информационной безопасности финансовых учреждений, в которой дается
понятие информационной безопасности, выделяются основные проблемы
информационной безопасности финансовых учреждений, а также проводится
анализ современных угроз безопасности. Проводится анализ современных
подходов и методов обеспечения информационной безопасности финансовых
учреждений. Производится разработка концепции информационной
безопасности финансового учреждения, которая состоит из идентификации
объектов защиты, перечня основных видов угроз объектам информационной
безопасности, а также перечня требований к объектам защиты, средствам
защиты информационной безопасности, системе мониторинга
информационной безопасности финансовых учреждений.
В четвертой главе приводится разработанная концепция построения
сети финансовой организации с использованием всемирных разработок в
сфере информационной безопасности и проектирования сетей передачи
данных.
Диссертация состоит из введения, общей характеристики работы,
четырех глав, заключения и списка использованных источников.
Общий объем работы составляет 65 страницы, из них 55 основного
текста, 6 рисунков на 6 страницах, 12 файлов конфигурации на 6 страницах,
35 источников литературы на 3 страницах.

5
 ГЛАВА 1 АНАЛИЗ СПОСОБОВ ПОСТРОЕНИЯ СЕТЕЙ
ФИНАНСОВЫХ ОРГАНИЗАЦИЙ

1.1 Понятие корпоративной сети и ее составных частей

Корпоративная сеть - это сложная система, включающая тысячи самых

разнообразных компонентов: компьютеры разных типов, начиная с
настольных и кончая целыми серверными стойками, системное и прикладное
программное обеспечение, сетевые адаптеры, коммутаторы и
маршрутизаторы, кабельную систему.
Успешная деятельность промышленной, финансовой или иной
организации во многом определяется наличием единого информационного
пространства. Развитая информационная система позволяет эффективно
справляться с обработкой потоков информации, циркулирующих между
сотрудниками предприятия и принимать им своевременные и рациональные
решения, обеспечивающие выживание предприятия в жесткой конкурентной
борьбе.
Корпоративная сеть - это сложная система, обеспечивающая передачу
данных широкого спектра между различными приложениями,
используемыми в единой информационной системе организации.
Корпоративная сеть позволяет создать единую для всех подразделений
базу данных, вести электронный документооборот, организовать
селекторные совещания и проводить видеоконференции с отдаленными
подразделениями, обеспечить все потребности организации в
высококачественной телефонной и факсимильной местной, международной и
междугородной связи, доступе в Интернет и другие интерактивные сети. Все
это уменьшает время реакции на изменения, происходящие в компании, и
обеспечивает оптимальное управление всеми процессами в реальном
масштабе времени. При этом, снижается зависимость организации от
операторов фиксированной и мобильной связи. Частичный отказ от услуг
этих операторов позволяет существенно сократит расходы организации.
Появляется возможность передавать любую конфиденциальную
информацию производственного и финансового характера с уверенностью,
что никто, кроме уполномоченных сотрудников компании, не имеет к ней
доступа. 
Основная задача системных интеграторов и администраторов состоит в
том, чтобы эта громоздкая и весьма дорогостоящая система как можно лучше
справлялась с обработкой потоков информации, циркулирующих между
сотрудниками предприятия и позволяла принимать им своевременные и
рациональные решения, обеспечивающие выживание предприятия в жесткой
6
конкурентной борьбе. А так как жизнь не стоит на месте, то и содержание
корпоративной информации, интенсивность ее потоков и способы ее
обработки постоянно меняются. Транспорт Интернет - недорогой и
доступный практически всем предприятиям - существенно облегчил задачу
построения территориальной корпоративной сети, одновременно выдвинув
на первый план задачу защиты корпоративных данных при передаче их
через, в высшей степени общедоступную, публичную сеть с
многомиллионным "населением".

Рис 1.1 – Пример схемы корпоративной сети

Выделим основные устройства:

– Компьютер. Под ним подразумевается стандартное рабочее место,
чаще всего подключенное к локальной сети через кабель типа витая пара. На
компьютере установлено ПО необходимое для работы персонала (офисные
приложения, 1С, почтовые агенты и т.п.), а также средства для удаленного
администрирования данного компьютера.
– Переносное устройство. Это может быть ноутбук, планшет,
мобильное устройство. Чаще всего подключение таких устройств к сети
производится с помощью беспроводной связи. Несет те же функции, что и

7
компьютер, но имеет главное отличие от стационарного компьютера -
мобильность.
– Сетевое МФУ. МФУ – многофункциональное устройство,
выполняющее функции принтера, сканера, копира. Подключение к сети
осуществляется путем сетевого кабеля. Если МФУ не имеет сетевого порта,
то оно подключается к компьютеру и с помощью средств операционной
системы открывается на доступ по сети другим пользователям.
– Wi-Fi точка доступа. Устройство, с помощью которого создаются
беспроводные сети. Используется для подключения ноутбуков и других
портативных устройств, имеющих модуль Wi-Fi. Преимущество перед
кабельной системой заключается в мобильности и ненужности протягивать
кабель и портить интерьер. Скорость доступа в зависимости от
используемого стандарта может быть от 50 до 125 мбит/сек. Для защиты
доступа к сети есть несколько стандартов обеспечения безопасности: WEP,
WPA, WPA2 и т.д.
– IP-телефония. Система связи, обеспечивающая передачу речевого
сигнала по сети Интернет или по любым другим IP-сетям. Сигнал по каналу
связи передаётся в цифровом виде и, как правило, перед передачей
преобразовывается (сжимается) с тем, чтобы удалить избыточность.
– Коммутатор. Устройство, предназначенное для соединения
нескольких узлов компьютерной сети в пределах одного или нескольких
сегментов сети. Коммутатор передаёт данные только непосредственно
получателю, исключение составляет широковещательный трафик (на MAC-
адрес FF:FF:FF:FF:FF:FF) всем узлам сети. Это повышает
производительность и безопасность сети, избавляя остальные сегменты сети
от необходимости (и возможности) обрабатывать данные, которые им не
предназначались.
– Маршрутизатор. Сетевое устройство, на основании информации о
топологии сети и определённых правил принимающее решения о пересылке
пакетов сетевого уровня (уровень 3 модели OSI) между различными
сегментами сети. Проще говоря, это устройство, которое связывает 2 и более
разные сети (в нашем случае это локальная сеть офиса и Интернет).
Маршрутизатор может быть типа hardware и software. Аппаратный (hardware)
маршрутизатор - это готовое устройство, в программную оболочку которого
вшиты базовые функции маршрутизатора. Программный (softaware)
маршрутизатор - это отдельный сервер, обычно с *nix операционной
системой, на базе которой с помощью средств Firewall настраивается
маршрутизация и правила обмена трафиком. При выборе того или иного типа
маршрутизатора обычно руководствуются количеством конечных
пользователей, сложностью правил и требуемой надежностью.

8
 – Терминальный сервер (сервер терминалов). Сервер,
предоставляющий клиентам вычислительные ресурсы (процессорное время,
память, дисковое пространство) для решения задач. Технически
терминальный сервер представляет собой очень мощный компьютер (либо
кластер), соединенный по сети с терминальными клиентами, которые, как
правило, представляют собой маломощные или устаревшие рабочие станции
или специализированные решения для доступа к терминальному серверу.
Терминал сервер служит для удалённого обслуживания пользователя с
предоставлением рабочего стола.

Преимущества терминального сервера:

– Снижение временных расходов на администрирование;

– Повышение безопасности – снижение риска взломов;
– Снижение затрат на программное и аппаратное обеспечение.

Чаще всего в роли операционной системы выступает Microsoft

Windows Server.
– Файловый сервер. Это выделенный сервер, оптимизированный для
выполнения файловых операций ввода-вывода. Предназначен для хранения
файлов любого типа. Как правило, обладает большим объемом дискового
пространства, и, как правило, файл-сервер оборудован RAIDконтроллером
для обеспечения быстрой записи и чтения данных.
– Web-сервер. Это сервер, принимающий HTTP-запросы от клиентов,
обычно веб-браузеров, и выдающий им HTTP-ответы, обычно вместе с
HTML-страницей, изображением, файлом, медиа-потоком или другими
данными. На нем может быть расположен корпоративный сайт или любой
другой веб-сервис. Чаще всего используется операционная система
семейства linux/unix, так как они по сравнению с другими более надежны и
более производительны. В роли самого веб-сервера выступает специальное
программное обеспечение, например, Apache или nginx.
– Сервер приложений. Это программная платформа, предназначенная
для эффективного исполнения процедур (программ, механических операций,
скриптов) которые поддерживают построение приложений. Сервер
приложений действует как набор компонент доступных разработчику
программного обеспечения через API (Интерфейс прикладного
программирования) определенный самой платформой.
На предприятии, очень часто используется приложение 1С. У этой
программы есть несколько вариантов работы с базой данных: файловый
режим - вся база находится в одном файле (имеет смысл, когда работающих с

9
базой клиентов не больше 10-15 человек), клиент-серверный режим - база
данных находится на sql сервере. В клиент-серверном режиме пользователи
не напрямую работают с базой данных, а через 1С сервер, который
обрабатывает запросы в понимаемую форму для sql сервера.
Этот режим повышает производительность, надежность, и улучшает
процессы администрирования базы данных.
Как раз для таких целей и существует сервер приложений.

– Сервер БД. Сервер БД обслуживает базу данных и отвечает за

целостность и сохранность данных, а также обеспечивает операции ввода-
вывода при доступе клиента к информации. Большинство СУБД используют
язык SQL (Structured Query Language – язык структурированных запросов),
так как он удобен для описания логических подмножеств БД.

Назначение SQL:

– создание БД и таблицы с полным описанием их структуры;

– выполнение основных операций манипулирования данными (такие
как вставка, модификация и удаление данных из таблиц);
– выполнение простых и сложных запросов.

Одна из ключевых особенностей языка SQL заключается в том, что с

его помощью формируются запросы, описывающие какую информацию из
базы данных необходимо получить, а пути решения этой задачи программа
определяет сама.

1.2 Организация виртуальных частных сетей

В современных условиях развития информационных технологий,

преимущества создания виртуальных частных сетей неоспоримы. Прежде
чем перечислить наиболее очевидные и полезные способы организации
виртуальных частных сетей, необходимо привести само понятие.
Виртуальная частная сеть или просто VPN (Virtual Private Network) -
это технология, при которой происходит обмен информацией с удаленной
локальной сетью по виртуальному каналу через сеть общего пользования с
имитацией частного подключения «точка-точка». Под сетью общего
пользования можно подразумевать как Интернет, так и другую интрасеть.
Виртуальные частные сети позволяют удаленному пользователю,
прошедшему аутентификацию, воспользоваться корпоративной сетью
наравне с клиентами центральной корпоративной сети.
10
 Центральная сеть любой организации может аутентифицировать
пользователей несмотря на то, что они получают доступ через публичную
сеть.

11
 Удачно спроектированная VPN может принести организации немало
выгод. Ее внедрение позволяет:
– расширить географию доступа сотрудников к инфраструктуре
организации;
– повысить безопасность передачи информации;
– уменьшить эксплуатационные затраты по сравнению с
традиционными глобальными сетями;
– сократить время передачи информации и снизить командировочные
расходы;
– повысить производительность труда;
– упростить топологию сети;
– увеличить мобильность пользователей и дать им более гибкий
график работы.

Основные свойства VPN:

– безопасность;
– надежность;
– масштабируемость;
– управляемость.

Рассмотрим вариант организации сети учреждения с филиалами с

использованием виртуальных частных сетей:

Рис 1.2 – Организация сети учреждения с филиалами с использованием VPN

12
 Особенности такой организации:

– Скорость передачи данных. Провайдеры могут обеспечить

достаточно высокоскоростной доступ в Интернет, однако с локальной,
проверенной временем 100 Мбит сетью он все равно не сравнится. Но так ли
важно каждый день перекачивать сотни мегабайт информации через
организованную сеть? Для доступа к локальному сайту предприятия,
пересылки электронного письма с документом вполне достаточно скорости,
которой могут обеспечить Интернет-провайдеры;
– Безопасность передаваемых данных. При организации VPN
передаваемая информация попадает во внешнюю сеть, поэтому об
организации безопасности придется позаботиться заранее. Но уже сегодня
существуют достаточно стойкие к атакам алгоритмы шифрования
информации, которые позволяют владельцам передаваемых данных не
беспокоиться за безопасность;
– За организованную сеть никому не надо платить. Плата за
использование Интернета в наши дни сама по себе достаточно
демократичная, а гибкие тарифы позволяю выбрать каждому оптимальный
пакет;
– Масштабируемость системы. При открытии нового филиала или
добавления сотрудника, которому позволено пользоваться удаленным
доступом не нужно никаких дополнительных затрат на коммуникации;
– Гибкость системы. Для VPN не важно, откуда вы осуществляете
доступ. Отдельно взятый сотрудник может работать из дома, а может во
время чтения почты из корпоративного почтового ящика фирмы пребывать в
командировке в абсолютно другом государстве.

Способы реализации VPN:

– В виде специального программно-аппаратного обеспечения:

реализация VPN сети осуществляется при помощи специального комплекса
программно-аппаратных средств. Такая реализация обеспечивает высокую
производительность и, как правило, высокую степень защищённости;
– В виде программного решения: используют персональный
компьютер со специальным программным обеспечением, обеспечивающим
функциональность VPN;
– Интегрированное решение: функциональность VPN обеспечивает
комплекс, решающий также задачи фильтрации сетевого трафика,
организации сетевого экрана и обеспечения качества обслуживания.

13
 Способы организации VPN:

– Удаленный доступ отдельно взятых сотрудников к корпоративной

сети организации через модем либо общедоступную сеть: организация такой
модели виртуальной частной сети предполагает наличие VPN-сервера в
центральном офисе, к которому подключаются удаленные клиенты.
Удаленные клиенты могут работать на дому, либо, используя переносной
компьютер, из любого места планеты, где есть доступ к всемирной паутине.
Данный способ организации виртуальной частной сети целесообразно
применять в случае географически не привязанного доступа сотрудников к
корпоративной сети организации.
– Связь в одну общую сеть территориально распределенных филиалов
фирмы. Этот способ называется Intranet VPN. При организации такой схемы
подключения требуется наличие VPN серверов равное количеству
связываемых офисов. Данный способ целесообразно использовать как для
обыкновенных филиалов, так и для мобильных офисов, которые будут иметь
доступ к ресурсам головного офиса, а также без проблем обмениваться
данными между собой.
– Так называемый Extranet VPN, когда через безопасные каналы
доступа предоставляется доступ для клиентов организации. Набирает
широкое распространение в связи с популярностью электронной коммерции.
В этом случае для удаленных клиентов будут очень урезаны возможности по
использованию корпоративной сети, фактически они будут ограничены
доступом к тем ресурсам компании, которые необходимы при работе со
своими клиентами, например, сайта с коммерческими предложениями, а VPN
используется в этом случае для безопасной пересылки конфиденциальных
данных. Средства защиты информации - протоколы шифрования.
– Client/Server VPN. Он обеспечивает защиту передаваемых данных
между двумя узлами (не сетями) корпоративной сети. Особенность данного
варианта в том, что VPN строится между узлами, находящимися, как
правило, в одном сегменте сети, например, между рабочей станцией и
сервером. Такая необходимость очень часто возникает в тех случаях, когда в
одной физической сети необходимо создать несколько логических сетей.
Например, когда надо разделить трафик между финансовым департаментом и
отделом кадров, обращающихся к серверам, находящимся в одном
физическом сегменте. Этот вариант похож на технологию VLAN, но вместо
разделения трафика, используется его шифрование.

14
 1.3 Мониторинг корпоративных сетей

Для повышения надежности работы корпоративной сети, необходимо

решить вопросы её мониторинга.
Термином мониторинг сети называют работу системы, которая
выполняет постоянное наблюдение за компьютерной сетью в поисках
медленных или неисправных систем, и которая при обнаружении сбоев
сообщает о них сетевому администратору с помощью электронной почты,
мессенджера или других средств оповещения. Эти задачи являются
подмножеством задач управления сетью.
В то время как система обнаружения вторжений следит за появлением
угроз извне, система мониторинга сети выполняет наблюдение за сетью в
поисках проблем, вызванных перегруженными и/или отказавшими
серверами, другими устройствами или сетевыми соединениями.
Например, для того, чтобы определить состояние веб-сервера,
программа, выполняющая мониторинг, может периодически отправлять
запрос HTTP на получение страницы; для почтовых серверов можно
отправить тестовое сообщение по SMTP и получить по IMAP или POP3.
Неудавшиеся запросы (например, в том случае, когда соединение не
может быть установлено, оно завершается по тайм-ауту, или когда
сообщение не было доставлено) обычно вызывают реакцию со стороны
системы мониторинга.

В качестве реакции может быть:

– отправлен сигнал тревоги системному администратору;

– автоматически активирована система защиты от сбоев, которая
временно выведет проблемный сервер из эксплуатации, заменив его
резервным, до тех пор, пока проблема не будет решена.

Кроме отказов систем, процессов, оборудования, также следят и за их

состоянием в целом.
Зная, какой поток информации проходит через сетевой интерфейс,
можно будет выбрать оптимальный пакет Интернета у поставщика,
сэкономив при этом не малые деньги. Сейчас это довольно актуальная
проблема, так как часто в бизнес центрах существует договоренность с
провайдером о том, что только они имеют право давать доступ в Интернет.
Следовательно, и ценовая политика полностью устанавливается
провайдером. Цены совершенно несопоставимы с теми, что устанавливаются
в процессе жесткой конкуренции.

15
 По графикам нагрузки на процессор, объему занимаемой оперативной
памяти, можно судить о достаточности ресурсов сервера для задач,
исполняемых на нем. Это дает обоснование для обновления сервера.
Практически во всех фирмах есть большие объемы информации,
которые включают в себя важные документы, базы данных, архивы и т.д.
Потеря этих документов принесет фирме большие убытки. Для того чтобы
всегда иметь резервную копию этих файлов, настраиваются планы
резервного копирования данных. Создаются образы данных и складываются
на файл-сервере. За свободным местом на файл-сервере и за созданием
образов тоже необходимо настраивать слежение.
Слежение чаще всего производится за состоянием серверов,
маршрутизаторов и другого сетевого оборудования. Грамотно настроенная
система мониторинга может снизить кол-во отказов сети и увеличить её
отказоустойчивость. В то же время, администраторы сети будут быстро и
вовремя оповещены о неполадках.
Единственным недостатком таких систем является сложность создания
и настройки. Существует множество готовых комплексных решений, но не
всегда по тем или иным причинам они подходят под уже настроенную и
отлаженную корпоративную сеть. Поэтому приходиться выбирать и
комбинировать эти системы для достижения желаемого результата.

Выводы

Информационные технологии, которые могут быть применены на

практике в финансовой сфере, сейчас получили крайне широкое
распространение во всемирной практике организации и защиты сетей
передачи данных в финансовом секторе. Применяемые технологии
затрагивают как простейшие топологии вроде «звезда», которые наиболее
популярны в малом-среднем бизнесе, так и использование технологий для
дата-центров, которых в последние годы появляется всё больше и больше во
всём мире, и в Беларуси в частности. Примерами могут служить дата-центры
Банковского процессингового центра, Белорусской финансовой телесети,
операторов Velcom, Белтелеком и Деловая сеть.

16
 ГЛАВА 2 ОСОБЕННОСТИ ПОСТРОЕНИЯ СЕТЕЙ С
ИСПОЛЬЗОВАНИЕМ ОБОРУДОВАНИЯ MIKROTIK

2.1 Общая характеристика производителя MikroTik

MikroTik (англ. [ˌmiːkɹoʊˈtiːk], от латышского mikrotīkls «микросеть»)

— латвийский производитель сетевого оборудования. Компания
разрабатывает и продает проводное и беспроводное сетевое оборудование, в
частности маршрутизаторы, сетевые коммутаторы (свитчи), точки доступа, а
также программное обеспечение — операционные системы и
вспомогательное ПО.
Компания была основана в 1996 году с целью продажи оборудования
на развивающихся рынках. По состоянию на сентябрь 2018 года, в компании
работало более 140 сотрудников.

2.1.1 RouterOS

Одним из продуктов MikroTik является RouterOS — сетевая

операционная система на базе Linux. RouterOS предназначена для установки
на маршрутизаторы MikroTik RouterBoard. Также данная система может быть
установлена на ПК, превращая его в маршрутизатор с функциями
брандмауэра, VPN-сервера/клиента, QoS, точки доступа и другими. Система
также может служить в качестве Captive-портала на основе системы
беспроводного доступа.
Операционная система имеет несколько уровней лицензий с
возрастающим числом функций. Кроме того, существует программное
обеспечение под названием Winbox, которое предоставляет графический
интерфейс для настройки RouterOS. Доступ к устройствам под управлением
RouterOS возможен также через FTP, Telnet, и SSH. Существует также API,
позволяющий создавать специализированные приложения для управления и
мониторинга.

2.1.2 Особенности RouterOS

RouterOS поддерживает множество сервисов и протоколов, которые

могут быть использованы средними или крупными провайдерами — таких,
как OSPF, BGP, VPLS/MPLS. RouterOS — достаточно гибкая система, и
очень хорошо поддерживается Mikrotik, как в рамках форума и
предоставления различных Wiki-материалов, так и специализированных
примеров конфигураций.
17
 RouterOS обеспечивает поддержку практически всех сетевых
интерфейсов на ядре Linux. Из беспроводных чипсетов поддерживаются
решения на основе Atheros и Prism (по состоянию RouterOS версии 3.x).
Mikrotik также работает над модернизацией программного обеспечения,
которая обеспечит полную совместимость устройств и ПО Mikrotik с
набирающими популярность сетевыми технологиями, такими как IPv6.
RouterOS предоставляет системному администратору графический
интерфейс (WinBox) для наглядной и быстрой настройки файервола,
маршрутизации и управления QoS. В том числе, в интерфейсе WinBox
практически полностью реализована функциональность Linux-утилит
iptables, iproute2, управление трафиком и QoS на основе алгоритма HTB.

История версий:
– RouterOS v6: май 2013 — н.в. (основана на ядре Linux 3.3.5)
– RouterOS v5: март 2011 — сентябрь 2013 (основана на ядре Linux
2.6.35)
– RouterOS v4: октябрь 2009 — март 2011 (основана на ядре Linux
2.6.26)
– RouterOS v3: январь 2008 — октябрь 2009 (основана на ядре Linux
2.4.31)

2.1.3 RouterBOARD

RouterBOARD — аппаратная платформа от MikroTik, представляющая

собой линейку маршрутизаторов под управлением операционной системы
RouterOS. Различные варианты RouterBOARD позволяют решать на их
основе различные варианты сетевых задач: от простой беспроводной точки
доступа и управляемого коммутатора до мощного маршрутизатора с
брандмауэром и QoS.
Практически все модели RouterBOARD устройств могут питаться с
помощью PoE и имеют разъем для подключения внешнего источника
питания.
Модели, предназначенные для работы с беспроводными технологиями,
имеют слот (miniPCI/miniPCIe) для подключения радиомодулей.
Большинство моделей также имеет разъем для подключения к COM-порту
ПК. В бюджетных моделях или в зависимости от конкретного
предназначения модели те или иные элементы могут отсутствовать.

2.1.4 Маршрутизаторы CloudCore

18
 В ноябре 2012 года, MikroTik выпустила маршрутизаторы нового
семейства CloudCore Router (CCR), которые базируются на процессоре Tilera,
содержащем от 9 до 72 процессорных ядер. По состоянию на сентябрь 2017 в
семействе 10 моделей с заявленной производительностью на коротких
пакетах от 17 до 120 млн пакетов в секунду. Эти устройства предназначаются
для средних сетевых провайдеров, а также являются хорошей ценовой
альтернативой другим более известным брендам.

2.1.5 Реализованные проекты

Последний проект строительства недорогой интернет-инфраструктуры

в Мали выбрал маршрутизаторы и операционные системы MikroTik из-за
низкой стоимости системы, гибкости, известности и удобства интерфейса.
Маршрутизаторы MikroTik также предпочли для проекта WLAN в Буркина-
Фасо, поскольку по условиям проекта собственный протокол Nstreme у
MikroTik выполнен лучше, чем IEEE 802.11.
В 2008 году было решено, что маршрутизаторы MikroTik будут
исключительно использоваться муниципалитетом Пирипири в Бразилии для
создания инфраструктуры свободного доступа в Интернет. Маршрутизаторы
MikroTik также популярны в Чешской Республике.
В рамках программы OLPC Уругвай развернула общенациональную
беспроводную сеть в школах Probaby на основе оборудования Mikrotik.
Приблизительно 200 тыс. студентов получили небольшие ноутбуки, которые
подключены к точкам доступа Mikrotik.

2.1.6 Уязвимости

15 июня 2015 года онлайн журналист Брайан Кребс (Brian Krebs)

сообщил, что исследователи Центра операционной безопасности Fujitsu
(Fujitsu Security Operations Center), что в Уоррингтоне (Warrington),
Великобритания, начали отслеживать троянскую программу Upatre,
орудующую на сотнях взломанных домашних маршрутизаторов, в частности,
на маршрутизаторах MikroTik и Ubiquiti.
19 февраля 2018 года исследователи из компании Core Security
уведомили разработчиков из MikroTik о наличии RCE-уязвимости на
маршрутизаторах, управляемых RouterOS. Суть проблемы сводится к тому,
что буфер устройства может переполняться, причем еще до авторизации
пользователя, что и может быть использовано злоумышленником для
получения доступа к маршрутизатору и исполнения на нем произвольного
кода.
19
 25 марта 2018 года была обнаружена брешь в защите RouterOS при
использовании специального программного обеспечения WINBOX для
настройки маршрутизаторов MikroTik.
Впервые, информация о том, что в роутерах MikroTik присутствует
критическая уязвимость, позволяющая злоумышленнику исполнить
произвольный код в случае успешной эксплуатации, появилась на WikiLeaks,
в рамках серии публикаций об средствах, которыми пользуется ЦРУ для
взлома электронных устройств, под названием Vault 7. Эта программа для
использования уязвимости (эксплоит) получила название Chimay Red.

Особенности Chimay Red:

– удаленно выполнить код, в командной строке роутера. Например,
перезагрузить устройство без ведома владельца;
– извлекать пользовательские логины и пароли;
– на моделях роутеров с жидкокристаллическим экраном, можно
вывести на него какое-либо сообщение;
– скрыть все логи устройства и т.д.

Благодаря уязвимости Chimay Red, позже стало возможным создание

вредоносных инструментов для проведения ряда атак.
VPNFILTER: вредоносное ПО, которое обнаружило подразделение
кибербезопасности Cisco Talos. Помимо роутеров MikroTik, данное ПО
могло приносить вред и другим устройствам потребительского сегмента
рынка. Было выяснено, что уязвимость содержится в веб-сервере MikroTik.
Несмотря на то, что ПО получило название VPNfilter, ничего общего с
технологией VPN он не имеет. Это ПО способно перехватывать трафик с
устройства, внедрять вредоносный контент в трафик устройства, вносить
аппаратные повреждения в сам роутер, а также добавлять устройство в сеть
«ботнет».
Hajime: «ботнет»-ПО, ранее захватывавшее устройства класса IoT
(интернет вещей), затем перешедшее на устройства MikroTik. Сканирует
порты 80 (веб) и 8291 (консоль управления Winbox), дабы внедрить через
интерфейсы управления устройство в собственный «ботнет». На данный
момент данный «ботнет» не был замечен в крупномасштабных атаках вроде
DDoS-атак или рассылки спама.

2.2 Достоинства и недостатки платформы Mikrotik

20
 Как любой из производителей телекоммуникационных устройств,
оборудование MikroTik имеет свои преимущества и недостатки, о которых
информация последует ниже.
2.2.1 Достоинства

– стоимость — в своей ценовой категории конкурентов просто нет;

– функциональность — По сравнению с D-Link, TP-Link, Zyxel и пр.
устройствами класса SOHO функционал намного шире и более доступен в
настройке каждого параметра системы. В сравнении с Cisco, Juniper или с
другими крупными производителями аппаратно-программных продуктов на
рынке телекоммуникаций, функционала и наличия каких-либо
специфических опций будет не хватать, не говоря уже о функционале дата-
центров. Однако, подавляющее большинство сетевых технологий было
реализовано в RouterOS на достойном уровне;
– надёжность и стабильность — если устройство MikroTik настроено и
протестировано в реальных условиях, то продолжительность работы будет
заметно выше, по сравнению с рынком домашних устройств. Также имеется
собственный встроенный скриптовый язык (с помощью которого можно
настроить всевозможные действия на проблемы) и технология WatchDog,
которая спасает при зависании устройства. Подавляющее большинство
проблем связано с питанием от бытовой сети. При наличии хорошего
заземления и ИБП, проблем практически нет;
– документация и обновления — есть вполне подробная официальная
документация, доступная бесплатно и без ограничений. Всё ПО на сайте
производителя доступно для скачивания даже без авторизации. В отличии от
той же Cisco, где произвести обновление устройства без вмешательства
технической поддержки Cisco или без статуса сертифицированного
покупателя, крайне затруднительно.
– единая ОС и система конфигурации — т.к. везде используется
RouterOS, это позволяет и быстро менять оборудование, оперативно
восстанавливать конфигурацию;
– масштабируемость — есть предложения практически для каждого
сегмента малого и среднего бизнеса (для крупного бизнеса рекомендуется
использовать более профессиональное оборудование). Причём, если есть
необходимость в мощном устройстве, близкого к оборудованию дата-центра,
есть возможность развернуть RouterOS на платформе х86-64 с
высокопроизводительной аппаратной начинкой.

2.2.2 Недостатки

21
 – в базовой реализации отсутствует многократный резерв аппаратной
платформы, в т.ч. блоков питания. Однако есть примеры внедрения на
RouterOS на нескольких х86 серверов + VMware Fault Tolerance +VRRP;
– если требуется маршрутизировать более 10 Гбит/с трафика
ежесекундно (да, имеется серия Core, но не без нареканий);
– когда требуется шифрование по ГОСТу, динамическая
маршрутизация Cisco EIGRP или иные возможности, заложенные другими
производителями в собственное оборудование (разработанные возможности
для собственного оборудования);
– если нет квалификации специалиста по сетевым технологиям, то
конфигурировать устройства без квалификации по инструкциям из
Интернета попросту небезопасно;
– если в компании, где внедряется MikroTik, особое отношение к
лицензированию ПО, т.к. разработчики MikroTik многократно нарушали
лицензию GPL;
– сниженная частота обращений клиентов для обслуживания
оборудования MikroTik (администраторам-по-вызову такая устойчивость
оборудования снижает поступление средств в кошелек);
– отсутствует должная корпоративная техподдержка и гарантии, в
отличие от других производителей – произвести крайне оперативную замену
в течение 2 часов вряд ли возможно. Здесь спасает обращение к аутсорс-
фирмам, специализирующимся на оборудовании MikroTik, либо ожидание
специалистов производителя дольше двух часов;
– малое распространение марки — это достаточно существенный
минус. И он как для потребителей, так и для специалистов. Так как RouterOS
слабо распространен, то и спрос на специалистов, разбирающихся в ней, мал.

Выводы

Достоинства платформы MikroTik RouterOS x86-64 очевидны и

указаны выше. Однако, с имеющимися недостатками (среди особенно
критичных указаны плохая степень резервирования электропитания и
отсутствие грамотной технической поддержки), устройства на данной
платформе не рекомендуются к использованию в крупных финансовых
структурах – требования к инфраструктуре превосходят возможности
платформы, не говоря уже об устойчивости к уязвимостям. Платформы от
ведущих производителей (Cisco, Juniper, Hewlett-Packard) наибольшим
образом годятся к применению в крупных финансовых учреждениях. Судя по
проведенным исследованиям и реальным примерам инфраструктуры,
платформа MikroTik практически не используется в финансовом секторе.

22
Следовательно, данная работа рассматривает лишь ограниченный круг
применения стека технологий от MikroTik.

23
 ГЛАВА 3 АНАЛИЗ ПРОБЛЕМ БЕЗОПАСНОСТИ В
ИНФОРМАЦИОННЫХ СЕТЯХ ФИНАНСОВЫХ ОРГАНИЗАЦИЙ
3
3.1 Понятие информационной безопасности

Для того, чтобы рассматривать понятие «информационная

безопасность» необходимо обратить внимание на понятие «информация».
Информацию можно определить, как любые сведения,
являющиеся объектом хранения, передачи и преобразования, также можно
рассматривать, как совокупность сведений, о всевозможных протекающих
процессах, которые могут быть восприняты электронными машинами и
другими информационными системами.
Под информационной безопасностью (ИБ) понимают состояние
защищенности информации от случайного либо преднамеренного
воздействия на неё, которые могут нанести вред информационной системе.
Информационная безопасность направлена на обеспечение целостности,
доступности и конфиденциальности обрабатываемой информации.
Целостность информации – это состояние, при котором информация
сохраняет свою структуру, содержание и является актуальной в процессе её
хранения и передачи. Таким образом, это свойство, которое характеризует её
устойчивость к преднамеренному или случайному искажению.
Доступность информации – это возможность за достаточно короткое
время получить доступ к информации, а также возможность её обработки,
копирования, модификации, в случае если этот доступ санкционированный.
Под санкционированным доступом понимается доступ, при котором не
нарушены правила разграничения доступа, соответственно под
несанкционированным доступом понимается нарушение правил
разграничения доступа.
Конфиденциальность информации – это состояние информации, при
котором она может быть доступна только определенному кругу субъектов
(пользователи, программы, процессы), которые прошли предварительную
проверку. Конфиденциальность – это защита от несанкционированного
доступа к информации.
Выделяют и другие не всегда обязательные направления
информационной безопасности:
– неотказуемость;
– подотчётность;
– достоверность;
– аутентичность.
24
 Неотказуемость – способность удостоверять действие или событие так,
что эти события или действия не могли быть позже отвергнуты, то есть это
невозможность отказа от авторства. Лицо, направившее информацию
другому лицу, не может отречься от факта направления информации, а лицо,
получившее информацию, не может отречься от факта ее получения.
Подотчетность – обеспечение идентификации субъекта доступа и
регистрации его действий.
Достоверность – соответствие предусмотренному действию или
результату.
Аутентичность – свойство, гарантирующее, что субъект или ресурс
идентичны заявленным.
Для успешного обеспечения информационной безопасности
необходимо использовать комплексный подход, который включает в себя
конфиденциальность, целостность, доступность и который должен сочетать в
себе следующие уровни информационной безопасности:
– законодательный;
– административный;
– процедурный;
– программно-технический.
Законодательный уровень заключается в создании механизма, который
позволяет согласовывать разработку законов с совершенствованием
информационных технологий, таким образом законодательный уровень
должен выполнять координирующую и направляющую роль.
Административный уровень заключается в создании политики
безопасности организации. Политика безопасности – совокупность
руководящих принципов, правил и процедур, которыми руководствуется
организация при управлении, защите и распространении конфиденциальной
информации.
Процедурный уровень заключается в выполнении организационных
мер, таких как управление персоналом, поддержание работоспособности,
планирование восстановительных работ, физическая защита, реагирование на
нарушение безопасного режима, то есть этот уровень направленный на меры
безопасности, ориентированные на людей.
Программно-технический уровень заключается в контроле
оборудования, программ, данных и достигается за счет использования
следующих механизмов безопасности: управление доступом, проверка
подлинности пользователей, идентификация пользователей,
протоколирование и аудит, экранирование, криптография и др.
Информационная безопасность может подвергаться случайным либо
преднамеренным воздействиям, которые способны нанести ущерб

25
информационной системе, такие воздействия называют угрозой
информационной безопасности.
Угроза информационной безопасности – совокупность условий и
факторов, которые могут стать причиной нарушения информационной
безопасности.
Основными угрозами информационной безопасности являются
следующие:
– аппаратные средства – компьютеры, и их составные части, а именно
процессоры, мониторы, терминалы, периферийные устройства: дисководы,
принтеры, контроллеры, кабели, линии связи;
– программное обеспечение – программы, операционные системы и
системные программы (компиляторы, компоновщики и др.), утилиты,
диагностические программы и т.д.;
– данные – хранимые временно и постоянно, на магнитных носителях,
печатные, архивы, системные журналы и т.д.;
– персонал – обслуживающий персонал и пользователи.
Воздействие на информационную систему можно подразделить на
случайное и преднамеренное.
Под случайным воздействием понимают сбои в работе аппаратуры,
аварийные ситуации, вызванные стихийным бедствием, ошибки в работе
программного обеспечения, ошибки в работе персонала, помехи в линиях
связи, вызванные внешней средой.
Под преднамеренным воздействием понимают преступные действия
злоумышленника, направленные на получение несанкционированного
доступа.
Меры по обеспечению информационной безопасности направлены на:
– предупреждение угроз, предупредительные меры по обеспечению
информационной безопасности направленных на опережение возможности
их возникновения;
– выявление угроз. Выявление угроз направлено на регулярном
анализе и контроле возможности появления угроз, основано на анализе
сведений о возможной готовящейся атаке со стороны злоумышленника.
Угрозы могут быть как реальные, так и потенциальные;
– обнаружение угроз, направленно на выявление реальных угроз и их
источников, которые могут принести любой вид ущерба. Например,
обнаружение факта хищения информации, мошенничества,
несанкционированного доступа к информации, разглашения
конфиденциальной информации;
– локализацию угроз, данная мера направлена на устранение
действующей угрозы. Например, угроза копирования либо хищения

26
информации на USB накопитель решается путем запрета записи, при помощи
редактирования реестра;
– ликвидация последствий направлена на восстановление состояния,
предшествовавшего наступлению угроз.
Таким образом, информационная безопасность – это состояние
защищенности информации, а также деятельность, направленная на
обеспечение и поддержание защищенного состояния объекта
информатизации, путем обеспечения целостности, доступности,
конфиденциальности, неотказуемости, подотчетности, достоверности,
аутентичности обрабатываемой информации, с целью предотвращения
случайных либо преднамеренных воздействий естественного или
искусственного характера, которые могут нанести неприемлемый ущерб
(ущерб, которым нельзя пренебречь) субъектам информационных
отношений.
Так как информационные системы представляют собой совокупность
взаимосвязанных элементов, необходимо обеспечивать комплексную защиту
информации для того, чтобы объединить все составляющие защиты в единое
целое, в котором каждый компонент, выполняя свою функцию,
одновременно обеспечивает выполнение функций других компонентов.
Следовательно, комплексный подход обеспечивает безопасность всей
совокупности информации, которая подлежит защите.

3.2 Проблемы информационной безопасности

В настоящее время в финансовом секторе наблюдается рост уровня

информационной безопасности. Данная тенденция обусловлена ростом угроз
информационной безопасности, таким образом организации финансовой
сферы переходят от «бумажной» безопасности к реальному
эшелонированному подходу, который основан на оценке рисков.
На сегодняшний день можно выделить следующие проблемы
информационной безопасности финансовых учреждений:
– низкий уровень культуры ИБ;
– фишинг и DDoS-атаки;
– слабое взаимодействие специалистов по информационной
безопасности и специалистов по информационным технологиям (ИТ);
– несертифицированные средства защиты информации;
– финансирование киберпреступности.
Под культурой ИБ подразумевается не только четко
сформулированные требования, методы и подходы к защите информации,
изложенные на бумажном носителе (законодательные акты, постановления
оперативно аналитического центра, государственные стандарты Республики
27
Беларусь (СТБ), локальные нормативно-правовые акты), а также в осознание
важности всех мер и методов защиты информации всеми сотрудниками
подразделений ИБ и ИТ.
Решением данной проблемы служит информирование всех
сотрудников о важности безопасности путем проведения инструктажей по
основам информационной безопасности, ознакомление с правилами работы в
сети интернет и правилами пользования корпоративной интернет-почтой с
обязательным приведением примеров нарушения ИБ из практики
организации. Обязательное ознакомление с перечнем защищаемых
информационных активов, которые данный сотрудник использует в рамках
своих должностных обязанностей. Ввод личной ответственность каждого
сотрудника и при необходимости привлекать административные взыскания.
Наиболее часто компании из финансового сектора сталкиваются
с фишингом (30%) и DDoS-атаками (26%).
Фишинг – вид интернет-мошенничества, который направлен на
получение доступа к конфиденциальным данным пользователей, в основном
это логины и пароли. Данное мошенничество достигается путем проведения
интернет-рассылки от имени известных кампаний, а также сообщений внутри
различных сервисов, например, от имени банков или внутри социальных
сетей. В письмах данного характера содержится прямая ссылка на сайт,
которую сложно отличить от настоящей, либо на сайт с ридиректором, после
того как пользователь переходит по ссылке, он попадает на страницу
мошенника. Он в свою очередь различными способами вынуждает
пользователя ввести свои логин и пароль на поддельной странице,
использующиеся к данному подлинному ресурсу, в следствии чего мошенник
получает доступ к аккаунту пользователя, к его банковскому счету.
Решением данной проблемы является донесение до сотрудников
правил использования сети Интернет и интернет-почты, а именно не
переходить по подозрительным ссылкам, не вводить свои данные для
авторизации, если соединение не защищенно по протоколу HTPPS.
Рекомендуется ограничивать доступ в сеть Интернет сотрудников
организации. Использование proxy-сервера и изолированной среды, которая
защищает основную систему в любом случае, даже если вирус прошел все
барьеры и правила, такая среда называется «песочница»
DDoS-атака – это вид распределенной атаки, который направлен на то,
чтобы довести систему до ошибки типа «отказ в обслуживании».
Представим, что у организации есть веб-сервер, который отдает
пользователям страницы веб-сайта, допустим, на такую процедуру у веб-
сервера уходит полсекунды, если запросов в один момент времени поступает
много, то данные запросы ставятся в очередь и будут обрабатываться по мере

28
освобождения веб-сервера. Однако, если в короткое время посылать
миллионы запросов с различных ip-адресов, то рано или поздно очередь
заполнится и веб-сервер перестанет обрабатывать запросы. В качестве
устройств используются обычные компьютеры пользователей, зараженные
вирусами, которые в свою очередь входят в ботнет. Пользователи зачастую
даже не догадываются о том, что входят в сеть “ботнет”.
Проблема, заключающая в слабом взаимодействии сотрудников ИБ и
ИТ подразделений, обусловлена тем что специалисты ИБ не участвуют в
процессе проектирования/модернизации систем, а только согласовывают
документацию. Защита информации заключается в размещении
оборудования в защищенном сегменте. Обеспечением сетевого доступа и
разграничением прав пользователей, а после ввода системы на нее
«навешиваются» средства защиты информации. В результате начинаются
проблемы с производительностью.
Решить данную проблему позволит четко сформулированные
требования к взаимодействию с компонентами системы ИБ. Также должно
быть регламентировано обязательное включение специалиста по ИБ в
проектную команду еще на этапе проектирования или модернизации
системы.
Большинство организаций, в том числе и финансовые учреждения
используют несертифицированные системы безопасности, это обусловлено
тем, что сертифицированный продукт не всегда подходит под
инфраструктуру организации, а также финансированием проектов по защите
информации. На сегодняшний день небольшое количество систем защиты
информации, а именно системы предотвращения утечки информации,
системы мониторинга и корреляции событий соответствуют требованиям
Оперативно-аналитического центра.
Далеко не всегда от кибератак защищают антивирусные программы
или технологии защиты данных потому, что технологии хакеров
совершенствуются быстрее, чем инструменты безопасности. Основная
проблема в том, что финансирование киберпреступности на порядок выше
финансирования компаний, которые борются с ней.
Проблемы информационной безопасности решить полностью
невозможно, однако, если основываться на обеспечение баланса интересов
сотрудников ИБ и ИТ подразделений, регуляторов в сфере информационной
безопасности, а также согласованной деятельностью по противодействию
угрозам ИБ, то можно добиться формирования культуры ИБ, важнейшим
компонентом которой является активная деятельность всех подразделений по
выявлению, оценке и реализации мер противодействия угрозам ИБ.

29
 3.3 Анализ современных угроз безопасности

Под угрозой информационной безопасности понимают явление,

процесс или действие, реализация которого может привести к нарушению
целостности, доступности, конфиденциальности обрабатываемой
информации.
Из наиболее актуальных на сегодняшний день угроз можно выделить
внутренние угрозы и внешние угрозы.
Под внутренней угрозой понимают злоупотребление сотрудников в
виде разглашения, хищения, нарушения целостности конфиденциальной
информации.
Под внешней угрозой понимают воздействие на информационную
систему из вне (хакеры, промышленный шпионаж), которые приводят к
утечке конфиденциальной информации, хищению денежных средств.
По состоянию на 2018 год более 92,6% компаний сталкивались с
утечкой информации. В 55,2% случаев причиной утечки информации
являлись целенаправленные, неправомерные действия сотрудников.
Сотрудники представляют угрозу информационной безопасности не
меньше, чем хакерские группировки. Сотрудники по своей халатности либо
преднамеренно могут отправить конфиденциальную информацию, с которой
они работают, третьим лицам. Зачастую это сведения о клиентах,
включающие их персональные данные, номера счетов, что по Банковскому
кодексу Республики Беларусь, является банковской тайной, которая
подлежит защите. Также проблемой является то, что даже при переписке с
клиентом и отправке ему документов на доработку, в которых содержится
информация о клиенте, не исключается утечка информации, многие
сотрудники забывают или даже не знают об атаке типа «человек по
середине».
По результатам исследования компании «Стахановец» среди
похитителей являются работники:
– работающие с клиентами – 25,4%;
– руководители среднего звена – 23,5%;
– руководители управлений, департаментов – 21,5%;
– стажеры, временные подрядчики – 11,7%;
– системные администраторы – 7,8%;
– секретари – 3,9%;
– сотрудники бухгалтерии – 1,9%;
– остальной персонал – 4,3%.
Основными причинами, из-за которых сотрудники могут совершить
хищение информации, является:
30
 – отсутствие системы контроля и утечки конфиденциальной
информации;
– отсутствие ответственности;
– большой круг лиц имеет доступ к информации (плохо организована
система распределения доступа к информации).
Наибольшую ценность для финансовых учреждений представляет:
– информация о клиентах;
– бизнес-процессы;
– финансовая и юридическая документация;
– информация о проектах;
– личные данные сотрудников.
Внешние угрозы сейчас в большинстве своих случаев нацелены не
только на аппаратную часть, а на главную уязвимость любой системы
защиты – человека. Примером внешних угроз, нацеленных на человека,
является фишинг. Многоходовые атаки с рассылкой писем с вредоносными
вложениями и клонами сайтов, которые путем социальной инженерии
вынуждают пользователя ввести свои идентификационные данные.
В 2017 году фишинг дополнился новым инструментом, а именно,
вирусами-шифровальщиками. Это особый вид программного обеспечения,
который осуществляет шифрование всех файлов на жестком диске.
Противостоять современным угрозам может помочь использование
системы контроля и утечки конфиденциальной информации, использование
антивирусного программного обеспечения, межсетевых экранов и proxy-
сервера, а самое главное, это доведения до сотрудников учреждений
важности сохранности информации и ответственности за реализацию её
утечки.

3.4 Анализ подходов по обеспечению информационной

безопасности

В информационной безопасности выделяют три основных подхода:

– фрагментарный;
– комплексный;
– интегральный.
Фрагментарный подход направлен на противодействие четко
определенным угрозам в заданных условиях. В качестве примеров
реализации такого подхода можно указать отдельные средства управления
доступом, автономные средства шифрования, специализированные
антивирусные программы и т.п.

31
 Достоинство этого подхода заключается в высокой избирательности к
конкретной угрозе.
Недостатком подхода является отсутствие единой защищенной среды
обработки информации.
Фрагментарные меры защиты информации обеспечивают защиту
конкретных объектов автоматизированной сети только от конкретной
угрозы. Даже небольшое видоизменение угрозы ведет к потере
эффективности защиты.
В информационной безопасности выделяют три основных компонента:
предотвращение, сдерживание, обнаружение.
Все компоненты информационной безопасности не могут эффективно
работать без комплексного похода, то есть без использования всех
компонентов единовременно.
Предотвращение нацелено на противодействие угроз информационной
безопасности, что не дает проникнуть злоумышленникам проникнуть в
защищаемую информационную систему.
Сдерживание нацелено на ослабление ущерба бизнес-процессов.
Обнаружение способствует информированию о нарушениях, связанных
с информационной безопасностью.
Очевидно, что для эффективного обеспечения информационной
безопасности необходимо использовать все три компонента, которые
составляют комплексный подход к обеспечению информационной
безопасности.
Комплексный подход позволяет объединить целый ряд автономных
систем путем их интеграции в так называемые интегрированные системы
безопасности.
Интегральный подход направлен на достижение интегральной
безопасности. Основной смысл понятия интегральной безопасности состоит
в необходимости обеспечить такое состояние условий функционирования
организации, при котором она надежно защищена от всевозможных видов
угроз в ходе всего непрерывного производственного процесса. Понятие
интегральной безопасности предполагает обязательную непрерывность
процесса обеспечения безопасности как во времени, так и в пространстве (по
всему технологическому циклу деятельности) с обязательным учетом всех
возможных видов угроз (несанкционированный доступ, съем информации,
терроризм, пожар, стихийные бедствия). В какой бы форме ни применялся
комплексный или интегральный подход, он всегда направлен на решение
ряда частных задач в их тесной взаимосвязи с использованием общих
технических средств, каналов связи, программного обеспечения. Например,
применительно к информационной безопасности наиболее очевидными из

32
них являются задачи ограничения доступа к информации, технического и
криптографического закрытия информации. Поэтому объективно обеспечить
полную безопасность информации могут лишь интегральные системы
безопасности, индифферентные к виду угроз безопасности и
обеспечивающие требуемую защиту непрерывно, как во времени, так и в
пространстве, в ходе всего процесса подготовки, обработки, передачи и
хранения информации.
Угрозы информационной безопасности постоянно меняются и
совершенствуются, соответственно необходимо постоянно совершенствовать
системы безопасности
Помимо описанных особенностей комплексного подхода, следует
учесть, важный фактор, то, что угрозы информационной безопасности
постоянно меняются и совершенствуются, и в следствии этого системам
безопасности постоянно необходимо совершенствоваться. В связи с этим на
сегодняшний день одного комплексного подхода недостаточно, поэтому
применяют еще такие подходы, как управление инцидентами, тестирование
на проникновение в автоматизированную систему, подход адаптивной
безопасности.
Основной задачей системы управления инцидентами является
корректная обработка всех выявляемых нарушений вне зависимости от их
типа, критичности или конфиденциальности. В случае наступления
инцидента информационной безопасности перед организацией встают
следующие задачи:
– обеспечение своевременной реакции, остановка и предотвращение
распространения атаки;
– минимизация ущерба от инцидента;
– корректный сбор и обеспечение юридической значимости
собираемой доказательной информации по инцидентам;
– выявление обстоятельств инцидентов;
– устранение уязвимостей, с помощью которых была реализована
атака;
– предоставление возможности преследовать злоумышленников и
привлекать их к ответственности, предусмотренной законодательством;
– возмещение ущерба от инцидента в соответствии с
законодательством.
Для достижения требуемого результата система управления
инцидентами информационной безопасности должна представлять собой
совокупность последовательных действий, направленных на решение
указанных задач. Следовательно, система управления инцидентами - это
непрерывный процесс взаимосвязанных мероприятий, в котором заранее

33
определены действия ответственных лиц, перечень разрабатываемых и
запрашиваемых документов.
Тестирования на проникновения позволяет находить уязвимые места в
системе безопасности, с целью ее развития. Основный принцип данной
методики – реализация проникновения глазами злоумышленника.
Подход адаптивной безопасности используют, чтобы успевать за
изменением окружающей и внутренней среды. Данный подход включает в
себя:
– анализ защищенности;
– управление рисками.
Анализ защищенности – это поиск уязвимых мест в сети. Сеть состоит
из соединений, узлов, хостов, рабочих станций, приложений и баз данных.
Все они нуждаются как в оценке эффективности их защиты, так и в поиске
неизвестных уязвимостей в них. Технологии анализа защищенности
исследуют сеть и ищут «слабые» места в ней, обобщают эти сведения и
печатают по ним отчет. Если система, реализующая эту технологию,
содержит и адаптивный компонент, то устранение найденной уязвимости
будет осуществляться не вручную, а автоматически. Технология анализа
защищенности является действенным методом, позволяющим реализовать
политику сетевой безопасности прежде, чем осуществится попытка ее
нарушения снаружи или изнутри организации.
Перечислим некоторые из проблем, идентифицируемых технологией
анализа защищенности:
– слабые пароли;
– восприимчивость к проникновению из незащищенных систем и
атакам типа «отказ в обслуживании»;
– отсутствие необходимых обновлений ОС;
– некорректная настройка межсетевых экранов, Web-серверов и баз
данных.
Управление рисками ИБ представляет собой непрерывный процесс,
обеспечивающий выявление, оценку и минимизацию рисков от реализации
угроз информационной безопасности, направленных на активы организации.
Управление рисками ИБ позволяет:
– получить актуальное представление об уровне обеспечения
информационной безопасности организации в текущий момент,
– определить наиболее уязвимые места в обеспечении защиты
информации организации,
– определить стоимостное обоснование затрат на обеспечение ИБ,
– минимизировать издержки на обеспечение ИБ.
Управление рисками предполагает решение следующих задач:

34
 – построение модели взаимодействия бизнес процессов организации и
информационных систем с целью выделения наиболее критичных активов
организации,
– построение модели нарушителя ИБ и модели угроз ИБ организации,
– оценка рисков реализации угроз ИБ, направленных на критичные
активы организации,
– выявление мер по снижению рисков угроз ИБ организации,
– разработка плана по снижению рисков ИБ организации,
– оценка остаточного риска ИБ организации после внедрения мер по
снижению.
Таким образом, комплексный подход к обеспечению информационной
безопасности является наиболее удачным за счёт того, что данный подход
позволяет объединить целый ряд автономных систем путем их интеграции в
системы безопасности.
Комплексный подход позволяет объединить целый ряд автономных
систем путем их интеграции в так называемые интегрированные системы
безопасности. В связи с тем, что угрозы информационной безопасности
совершенствуются, то одного комплексного подхода недостаточно, поэтому
необходимо применять еще такие подходы, как управление инцидентами,
тестирование на проникновение в автоматизированную систему, подход
адаптивной безопасности.

3.5 Анализ методов обеспечения информационной

безопасности финансовых учреждений

В настоящее время основными методами для обеспечения

информационной безопасности финансовых учреждений являются:
– средства идентификации и аутентификации пользователей,
разграничение доступа;
– межсетевые экраны;
– средства шифрования информации, хранящейся на компьютерах и
передаваемой по сетям;
– средства антивирусной защиты;
– системы обнаружения вторжений;
– системы предотвращения утечки конфиденциальной информации;
– системы сбора и корреляции событий информационной
безопасности.
Идентификация представляет собой присвоение субъекту или объекту
доступа уникального имени (идентификатора), а также сравнение

35
предъявляемого идентификатора с перечнем присвоенных
идентификаторов.
Аутентификация – это проверка принадлежности субъекту доступа
предъявляемого им идентификатора, подтверждение подлинности. Задачей
установления подлинности какого-либо субъекта или объекта является
подтверждение того, что обратившийся субъект или предъявляемый объект
являются именно теми, которые должны участвовать в данном процессе.
Функция авторизации отвечает за то, к каким ресурсам конкретный
пользователь имеет доступ. Функция администрирования заключается в
наделении пользователя определенными идентификационными
особенностями в рамках данной сети и определении объема допустимых для
него действий.
Межсетевые экраны, основанные на фильтрации пакетов, представляют
собой фильтрующий маршрутизатор, расположенный между защищаемой
сетью и Интернетом. Фильтрующий маршрутизатор сконфигурирован для
блокирования или фильтрации входящих и исходящих пакетов на основе
анализа их адресов и портов.
Компьютеры, находящиеся в защищаемой сети, имеют прямой доступ в
Интернет, в то время как большая часть доступа к ним из Интернета
блокируется. В принципе, фильтрующий маршрутизатор может реализовать
любую из политик безопасности, описанных ранее. Однако, если
маршрутизатор не фильтрует пакеты по порту источника и номеру входного
и выходного порта, то реализация политики «запрещено все, что не
разрешено» в явной форме может быть затруднена.
Системы шифрования позволяют минимизировать потери в случае
несанкционированного доступа к данным, хранящимся на жестком диске или
ином носителе, а также перехвата информации при ее пересылке по
электронной почте или передаче по сетевым протоколам. Задача данного
средства защиты – обеспечение конфиденциальности. Основные требования,
предъявляемые к системам шифрования – высокий уровень криптостойкости
и легальность использования.
Антивирусная программная система обеспечивает высокий уровень
защиты персональных компьютеров от вредоносных программ, осуществляет
проверку сайта с помощью мониторинга ссылок, перед переходом на неё
путем сравнения сигнатуры вируса (признака по которому можно
обнаружить вирус) со своей базой сигнатур. База сигнатур постоянно
обновляется, в случае совпадения, сообщает об этом пользователю
персонального компьютера, а также осуществляет анализ программ и, если
находит какой-либо подозрительный участок кода, то предупреждает об
этом.

36
 Система обнаружений вторжений предназначена для выявления
сетевых атак и аудита работы сети, которые основаны на круглосуточном
отслеживании угроз.
Основные возможности:
разбирает 218 различных протоколов, включая протоколы уровня
приложений и форматы данных;
 более 3000 алгоритмов используется при анализе трафика для
защиты от уязвимостей;
режим активного мониторинга;
наличие встроенных и внешних модулей для непрерывной передачи
данных через устройство в случае системной ошибки или отключения
энергоснабжения;
логирование пакетов атаки;
детализированная настройка политик;
запись трафика атаки;
поддержка пользовательских сигнатур.
Система предотвращения утечек конфиденциальной информации из
информационной системы вовне строится на анализе потоков данных,
пересекающих периметр защищаемой информационной системы.
Помимо своей основной задачи, связанной с предотвращением утечек
информации, данная система применяются для решения следующих
неосновных для себя задач:
контроль использования рабочего времени и рабочих ресурсов
сотрудниками;
мониторинг общения сотрудников;
контроль правомерности действий сотрудников (предотвращение
печати поддельных документов).
Система предотвращения утечки конфиденциальной информации
имеет следующие функциональные возможности: 
унифицированная консоль управления позволяет повсеместно
применять единожды созданные политики и быстро устранять последствия
инцидентов на основе автоматизированных рабочих процессов;
позволяет контролировать доступ пользователей к
конфиденциальной информации через практически все приложения;
выполняет блокировку копирования в буфер обмена для
определенного контента. К примеру, копирование информации через буфер
обмена, содержащей словосочетание «финансовый отчет» из программы
Excel в Word может быть запрещено;
позволяет анализировать исходящие сообщения в электронной почте
и блокировать утечку конфиденциальной информации;
37
 позволяет отслеживать перемещение конфиденциальной
информации между контролируемыми компьютерами, а также ее
копирование на сменные носители;
позволяет блокировать передачу конфиденциальной информации
через сетевые протоколы TCP\IP;
позволяет выполнять анализ и, в случае необходимости, блокировку
печати документов (doc, pdf), если контент отправленных на печать
документов содержит конфиденциальную информацию;
позволяет детектировать, и в случае необходимости, блокировать
передачу на внешний носитель конфиденциальной информации;
позволяет блокировать выполнение операции «Print Screen» для
определенных приложений.
Сканер уязвимостей позволяет сканировать сеть на предмет наличия
уязвимостей, сканирует порты в сети, собирает информацию и определяет
наличие уязвимых мест для устранения брешей в безопасности.
Для обеспечения комплексной защиты и контроля информационной
безопасности используются различные методы информационной
безопасности, однако система сбора и корреляции событий информационной
безопасности позволяет анализировать данные по инцидентам из
разрозненных решений и обеспечивать контроль информационной
безопасности. Решения этого класса предназначены для отслеживания и
комплексного анализа в реальном времени всех событий информационной
безопасности, исходящих от приложений и сетевых устройств.
Совместная работа систем безопасности и системы сбора и корреляции
событий информационной безопасности даст возможность контролировать
события в сети в режиме реального времени, видеть корреляции между
разными типами событий и выявлять уязвимые точки. Поскольку система
содержит архив записей о событиях (логов), совместная работа позволяет при
необходимости восстановить историю событий, что бывает необходимо,
например, в случае служебного расследования.
Методы обеспечения безопасности призваны выполнять контроль
информационной безопасности путем своевременного обнаружения атак на
автоматизированную банковскую систему, осуществлять фильтрацию
входящих и исходящих пакетов, с целью предотвращения сетевых атак.
Обеспечивают контроль распространения конфиденциальной информации, а
также регистрации действий сотрудников банка, проверку корпоративной
почты, контроль ввода-вывода информации с целью предотвращения утечки
конфиденциальной информации, распространение которой может нанести не
только финансовый ущерб, но и репутационный. Призваны обеспечивать
выявление вредоносного программного обеспечения и уязвимостей.
38
 Совместная работа систем безопасности и системы сбора и корреляции
событий информационной безопасности обеспечивает предотвращение
несанкционированного изменения политик и правил привилегированным
сотрудникам, предотвращения нелегитимного доступа к системам
безопасности и данным, хранящимся в них. Обеспечивает мониторинг
работоспособности систем безопасности, предотвращение случайного или
преднамеренного выведения их из строя, сопоставление событий систем
безопасности, передающих информацию в систему сбора и корреляции, для
комплексного анализа ситуации и оперативного выявления реальных
инцидентов, а также упрощает процесс расследования инцидентов.
Концепция информационной безопасности – совокупность мер,
методик, подходов, обобщенных взглядов, представляет собой документ, на
основании которого будет строится информационная безопасность.
Концепция опирается на государственные стандарты и нацелена на
решение проблем информационной безопасности
Концепция информационной безопасности для финансового
учреждения будет состоять из следующих основных разделов:
общее положение;
принципы организации и функционирования системы
информационной безопасности;
правовое обеспечение информационной безопасности;
основные виды угроз объектам информационной безопасности;
объекты защиты
перечень требований к объектам защиты;
требования к средствам обеспечения информационной безопасности;
требования к мониторингу информационной безопасности.
В разделе «Принципы организации и функционирования системы
информационной безопасности» определяются общие правила (положения)
формирования систем, обеспечивающие их упорядоченность и целостность
функционирования.
В разделе «Правовое обеспечение информационной безопасности»
описывается перечень основных нормативно-правовых актов Республики
Беларусь, на которых строится информационная безопасность финансовых
учреждений.
В разделе «Общее положение» определяются цели и задачи
обеспечения информационной безопасности, указывается перечень
государственных стандартов, на которых основывается данная концепция,
перечень основных принципов, которые положены в основу построения
системы информационной безопасности.

39
 В разделе «Объекты защиты» необходимо указать основные объекты,
на которые направлена информационная безопасность.
В разделе «Основные виды угроз объектам информационной
безопасности» определяется перечень актуальных угроз, которые
воздействуют на объекты информационной безопасности.
В разделе «Требования к объектам защиты информационной
безопасности» необходимо перечислить основные требования к объектам
защиты для обеспечения информационной безопасности.
В разделе «Требования к средствам обеспечения информационной
безопасности» необходимо перечислить основные методы и средства
обеспечения информационной безопасности, а также требования к ним для
осуществления комплексного подхода к обеспечению информационной
безопасности.
В разделе «Требования к мониторингу информационной безопасности»
необходимо перечислить основные объекты и требования к мониторингу
информационной безопасности.

3.6 Общее положение концепции информационной

безопасности финансовых учреждений

Концепция информационной безопасности основана на СТБ 34.101.41-

2013 «Информационные технологии и безопасность. Обеспечение
информационной безопасности банков Республики Беларусь. Общие
положения», СТБ ISO/IEC 27000-2012 «Информационные технологии.
Методы обеспечения безопасности. Системы менеджмента информационной
безопасности. Основные положения и словарь».
Принципы управления информационной безопасностью финансового
учреждения:
– постоянный и всесторонний анализ информационной системы с
целью выявления уязвимости информационных активов финансового
учреждения;
– своевременное обнаружение проблем, потенциально способных
повлиять на информационную безопасность, корректировка моделей угроз и
нарушителя;
– разработка и внедрение защитных мер, адекватных характеру
выявленных угроз, с учетом затрат на их реализацию и совместимости этих
мер с действующим технологическим процессом. При этом меры,
принимаемые для обеспечения информационной безопасности, не должны
усложнять достижение уставных целей, а также повышать трудоемкость

40
технологических процессов обработки информации и создавать
дополнительные сложности для клиентов;
– контроль эффективности принимаемых защитных мер.
Основными целями информационной безопасности являются:
– повышение стабильности функционирования банка в целом;
– достижение адекватности мер по защите от реальных угроз
информационной безопасности;
– предотвращение и/или снижение ущерба от инцидентов
информационной безопасности. Инцидент в области информационной
безопасности: одно или ряд нежелательных, или непредвиденных событий в
области информационной безопасности, при которых имеется значительная
вероятность компрометации бизнес-операций и угрозы информационной
безопасности.
Для достижения поставленных целей подразделение информационной
безопасности должно решать следующие задачи:
– разработка требований по обеспечению информационной
безопасности;
– контроль выполнения установленных требований по обеспечению
информационной безопасности;
– повышение эффективности мероприятий по обеспечению и
поддержанию информационной безопасности;
– разработка и совершенствование нормативно-правовой базы
обеспечения информационной безопасности;
– разработка и реализация программы по повышению
осведомленности пользователей по вопросам информационной безопасности;
– выявление, оценка и прогнозирование угроз информационной
безопасности;
– организация антивирусной защиты информационных активов.
– защита информации от несанкционированного доступа и утечки по
техническим каналам связи;
– требования к мониторингу информационной безопасности.

3.7 Правовое обеспечение информационной безопасности

 Правовая форма защиты информации – защита информации,

базирующаяся на применении Гражданского и Уголовного кодексов,
государственных законов и других нормативно-правовых актов,
регулирующих деятельность в области информатики, информационных
отношений и защиты информации.

41
 Настоящая Концепция базируется на следующих нормативно-правовых
актах:
– Закон Республики Беларусь «Об информации, информатизации и
защите информации» от 10 ноября 2008 г. № 455-З.
– Закон Республики Беларусь «Об электронном документе и
электронной цифровой подписи» от 28 декабря 2009 г. № 113-З.
– Закон Республики Беларусь «О государственных секретах» от 19
июля 2010 г. № 170-З.
– Закон Республики Беларусь «О коммерческой тайне» от 5 января
2013 г. № 16-З.
– СТБ ISO/IEC 27001-2011 «Информационные технологии. Методы
обеспечения безопасности. Системы менеджмента информационной
безопасности. Требования».
– СТБ ISO/IEC 27005-2012 «Информационные технологии. Методы
обеспечения безопасности. Менеджмент рисков информационной
безопасности».
– СТБ 34.101.8-2006 «Информационные технологии. Методы и
средства безопасности. Программные средства защиты от воздействия
вредоносных программ и антивирусные программные средства. Общие
требования».
– СТБ 34.101.9-2004 «Информационные технологии. Требования к
защите информации от несанкционированного доступа, устанавливаемые в
техническом задании на создание автоматизированной системы».
– СТБ 34.101.10-2004 «Информационные технологии. Средства
защиты информации от несанкционированного доступа в
автоматизированных системах. Общие требования»
– СТБ 34.101.13-2009 «Информационные технологии и безопасность.
Критерии оценки безопасности информационных технологий. Профиль
защиты операционной системы сервера для использования в
демилитаризованной зоне корпоративной сети».
– СТБ 34.101.15-2007 «Информационные технологии. Методы и
средства безопасности. Программные средства защиты от воздействия
вредоносных программ и антивирусные программные средства. Типовая
программа и методика испытаний».
– СТБ 34.101.30-2007 «Информационные технологии. Методы и
средства безопасности. Объекты информатизации. Классификация».
– СТБ 34.101.35-2011 «Информационные технологии. Методы и
средства безопасности. Объекты информатизации. Профиль защиты класса
Б3».

42
 – СТБ 34.101.36-2011 «Информационные технологии. Методы и
средства безопасности. Объекты информатизации. Профиль защиты класса
А2».
– СТБ 34.101.42-2013 «Информационные технологии и безопасность.
Обеспечение информационной безопасности банков Республики Беларусь.
Аудит информационной безопасности».
– СТБ 34.101.61-2013 «Информационные технологии и безопасность.
Обеспечение информационной безопасности банков Республики Беларусь.
Методика оценки рисков нарушения информационной безопасности».

3.8 Объекты защиты

Основными объектами защиты являются:

– информационные ресурсы, содержащие коммерческую тайну,
банковскую тайну, персональные данные физических лиц, сведения
ограниченного распространения, а также открыто распространяемая
информация, необходимая для работы финансового учреждения, независимо
от формы и вида ее представления;
– информационные ресурсы, содержащие конфиденциальную
информацию, включая персональные данные физических лиц, а также
открыто распространяемая информация, необходимая для работы
финансового учреждения, независимо от формы и вида ее представления;
– информация о сотрудниках финансового учреждения, являющихся
разработчиками и пользователями информационных систем;
– информационная инфраструктура, включающая системы обработки
и анализа информации, технические и программные средства ее обработки,
передачи и отображения, в том числе каналы информационного обмена и
телекоммуникации, системы и средства защиты информации, объекты и
помещения, в которых размещены такие системы.

3.9 Основные виды угроз объектам информационной

безопасности

Определение и прогнозирование возможных угроз и степени их

опасности необходимы для обоснования, выбора и реализации защитных
мероприятий. Комплексный подход к проблеме защиты информации
необходимо проводить с учётом двух факторов: предполагаемой вероятности
возникновения угрозы и возможного ущерба от её осуществления.
Объективность оценки достигается проведением детального аудита

43
функционирования финансового учреждения. Аудит проводится
собственными силами или с привлечением сторонних организаций.
Угрозы можно разделить на внешние и внутренние. При этом
последние могут представлять особую опасность. Угрозы объектам
информационной безопасности проявляются в виде:
– разглашения конфиденциальной информации;
– утечки конфиденциальной информации через технические средства
различного назначения;
– несанкционированного доступа к охраняемым информационным
ресурсам;
– несанкционированного уничтожения и модификации
информационных ресурсов;
– нарушения работы автоматизированных систем и сетей.
Источниками угроз могут быть:
– некомпетентность или халатность пользователей/персонала;
– злой умысел, независимо от того, внешним или внутренним
относительно систем является источник угрозы;
– умышленное проникновение сторонних лиц в помещения, к
аппаратуре и оборудованию;
– случайные события и стихийные бедствия.
Ситуация, возникающая в результате воздействия какой-либо угрозы,
называется кризисной. Кризисные ситуации могут быть преднамеренными и
непреднамеренными и иметь различную степень тяжести в зависимости от
вызвавших их факторов риска, степени их воздействия, уязвимого места,
категории информации. Кризисные ситуации могут иметь следующие
степени тяжести:
– угрожающая – воздействие на объект информационной
безопасности, которое может привести к полному выходу его из строя, а
также уничтожение, модификацию или компрометацию (утечку) наиболее
важной для Банка информации. Для устранения угрожающей ситуации
требуется, как правило, полная или частичная замена оборудования,
программ и данных.
– серьезная – воздействие на объект информационной безопасности,
которое может привести к выходу из строя отдельных компонентов, потере
производительности, а также осуществлению несанкционированного доступа
к программам и данным. В этом случае система сохраняет
работоспособность. Для устранения серьезной ситуации требуется, как
правило, частичная замена (восстановление) оборудования, программ и
данных, корректировка параметров системы, проведение организационно-
технических мероприятий.

44
 – обычная – попытка воздействия на объект информационной
безопасности, не наносящая ощутимого ущерба, но требующая реакции и
расследования. Для устранения обычной ситуации, как правило, требуется
корректировка параметров защиты.

3.10 Перечень требований к объектам защиты

1. Подсистема управления доступом.

1.1 Идентификация, проверка подлинности и контроль доступа
субъектов:
– в систему;
– к терминалам ЭВМ;
– узлам сети ЭВМ;
– каналам связи;
– внешним устройствам ЭВМ;
– к программам;
– к томам, каталогам, файлам, записям, полям записей.
1.2 Управление потоками информации .
2. Подсистема регистрации и учета
2.1 Регистрация и учет:
– входа (выхода) субъектов доступа в (из) систему (узел сети);
– выдачи печатных (графических) выходных документов;
– запуска (завершения) программ и процессов (заданий, задач);
– доступа программ субъектов доступа к защищаемым файлам,
включая их создание и удаление, передачу по линиям и каналам связи;
– доступа программ субъектов доступа к терминалам, ЭВМ, узлам сети
ЭВМ, каналам связи, внешним устройствам ЭВМ, программам, томам,
каталогам, файлам, записям, полям записей;
– изменения полномочий субъектов доступа;
– создаваемых защищаемых объектов доступа;
2.2 Учет носителей информации.
2.3 Очистка (обнуление, обезличивание) освобождаемых областей
оперативной памяти ЭВМ и внешних накопителей.
2.4 Сигнализация попыток нарушения защиты
3. Криптографическая подсистема.
3.1 Шифрование конфиденциальной информации.
3.2 Шифрование информации, принадлежащей различным субъектам
доступа (группам субъектов) на разных ключах.
3.3 Использование аттестованных (сертифицированных)
криптографических средств.

45
 4. Подсистема обеспечения целостности.
4.1 Обеспечение целостности программных средств и обрабатываемой
информации.
4.2 Физическая охрана средств вычислительной техники и носителей
информации.
4.3 Наличие администратора (службы) защиты информации в АС.
4.4 Периодическое тестирование средств защиты информации.
4.5 Наличие средств восстановления средств защиты информации.
4.6 Использование сертифицированных средств защиты.

3.11 Перечень требований к средствам защиты информационной

безопасности

Требования по обеспечению информационной безопасности

автоматизированных банковских систем банка на стадиях жизненного цикла:
– информационной безопасности автоматизированных банковских
систем обеспечивается на всех стадиях жизненного цикла,
автоматизирующих технологические процессы банка, с учетом всех сторон,
вовлеченных в процессы жизненного цикла (разработчиков, заказчиков,
поставщиков продуктов и услуг, эксплуатирующих и обслуживающих
автоматизированную банковскую систему подразделений банка);
– приобретение и установка средств и систем защиты
автоматизированной банковской системы (средства защиты от
несанкционированного доступа, антивирусные программы) осуществляются
по согласованию с Департаментом информационных технологий и
ответственным за информационную безопасность;
– ввод в действие и снятие с эксплуатации систем защиты
автоматизированных банковских систем осуществляются при участии
ответственных за информационную безопасность.
Требования по обеспечению информационной безопасности при
управлении доступом и регистрации.
– использовать только сертифицированные или разрешенные к
применению средства защиты информации;
– обеспечить авторизацию, контроль и управление доступом к
информационным активам, в том числе: функционирование системы
парольной защиты, регистрация действий сотрудников и пользователей в
журналах событий системного и прикладного программного обеспечения.
Данные электронные журналы доступны для чтения, анализа и резервного
копирования только администратору соответствующего программного
обеспечения, который несет персональную ответственность за полноту и
точность отражения в журнале имевших место событий. Все журналы
46
доступны для чтения ответственным за информационную безопасность,
которые осуществляют контроль использования информационных активов
банка.
Требования по обеспечению информационной безопасности
средствами антивирусной защиты:
– установить и регулярно обновлять средства антивирусной защиты на
автоматизированных рабочих местах и на серверах;
– отключение или отказ от автоматического обновления антивирусных
средств не допускается.
Требования по обеспечению информационной безопасности при
использовании ресурсов сети Интернет:
– пользователи, имеющие доступ в Интернет, должны использовать
его только для обмена информацией, но не программами;
– пользователи не должны игнорировать предупреждения о
возможном снижении уровня безопасности или опасности содержимого при
передаче, получении информации через Интернет;
– для контроля трафика в Банке предусмотрена биллинговая система,
учитывающая объем и содержание трафика каждого пользователя;
– необходимо обеспечить ведение статистики посещений ресурсов
Интернета, которые архивируются и хранятся в течение одного года.
Требования по обеспечению информационной безопасности при
использовании корпоративной электронной почты:
– пользователи, имеющие адрес электронной почты должны понимать,
что при отправке и получении почты через Интернет, её конфиденциальность
не обеспечивается;
– пользователи должны использовать электронную почту только для
передачи сообщений и текстовых документов, связанных с производственной
деятельностью;
– администраторы могут выдвигать дополнительные требования по
содержимому сообщений, обусловленные соображениями совместимости
форматов сообщений и документов, пересылаемых по электронной почте,
как для внутреннего, так и для внешнего обмена.

3.12 Перечень требований к системе мониторинга

информационной безопасности

Одним из основных способов контроля информационной безопасности

банка является мониторинг событий, который обеспечивает обнаружение
отклонений от политики безопасности и расследование в случае
возникновения инцидентов безопасности.

47
 Мониторинга информационной безопасности – комплекс задач: сбор,
анализ (корреляция) и контроль событий информационной безопасности от
различных средств защиты. Мониторинг информационной безопасности
помогает в режиме реального времени обнаружить инциденты
информационной безопасности, получить реальные данные для анализа и
оценки рисков, для принятия решений по обеспечению информационной
безопасности.
Объектами мониторинга информационной безопасности являются:
– сервера Active Directory;
– сетевое оборудование;
– сервера баз данных Oracle, SQL;
– виртуальные сервера;
– события Антивирусной защиты;
– система предотвращения утечки конфиденциальная информация;
– система обнаружений вторжений;
– межсетевые экраны.
Требования к серверам Active Directory:
– регистрация удачных/неудачных попыток входа в систему;
– регистрация событий подбор паролей;
– регистрация событий подбор логинов;
– блокировка/разблокировка учетных записей пользователей;
– создание/удаление учетных записей пользователей;
– события смены пароля пользователя администратором домена;
– попытки входа под несуществующим/заблокированным
пользователем;
– события давно неактивных пользователей;
– регистрация событий в изменении состава групп пользователей.
Требования к мониторингу сетевого оборудования:
– входящие и исходящие подключения;
– события входа в консоль;
– изменение конфигураций сетевого оборудования;
– события входа под привилегированным пользователем;
– уведомления об атаках;
Требования к серверам баз данных:
– регистрация событий удачные/неудачные попытки входа;
– регистрация событий создание/удаление пользователей;
– регистрация событий создание/удаление ролей;
– регистрация событий блокировка/разблокировка пользователей;
– регистрация событий изменения паролей пользователей.
Требования к мониторингу виртуальных серверов:

48
 – регистрация удачных/неудачных попыток доступа к гипервизору;
– создание/удаление виртуальных машин;
– регистрация удачных/неудачных попыток доступа к виртуальным
машинам;
– регистрация событий изменения прав доступа к гипервизору и
виртуальным машинам;
– регистрация событий удаления директорий виртуальных машин;
– регистрация событий неудачных попыток входа;
– регистрация событий создания группы пользователей;
– регистрация событий удаления снапшотов.
Требования к мониторингу антивирусного программного обеспечения:
– регистрация выполнения проверок с целью обнаружения зараженных
объектов в файловых областях носителей информации;
– регистрация выполнения проверок с целью обнаружения зараженных
объектов сигнатурными методами;
– регистрация удаления (если удаление технически возможно) кода из
файлов и системных областей носителей информации;
– регистрация получения и установки обновлений;
– возможность уполномоченным пользователям (ролям) управлять
режимом выполнения функций безопасности средств антивирусной защиты;
– регистрация управления параметрами настройки функций
безопасности;
– регистрация изменения ролей.
Требования к мониторингу конфиденциальной информации:
контролировать доступ пользователей к конфиденциальной
информации через все приложения;
выполняет блокировку копирования в буфер обмена для
определенного контента, например, копирование информации через буфер
обмена, содержащей словосочетание «финансовый отчет» из программы
Excel в Word;
анализировать исходящие сообщения в электронной почте и
блокировать утечку конфиденциальной информации;
отслеживать перемещение конфиденциальной информации между
контролируемыми компьютерами, а также ее копирование на сменные
носители;
блокировать передачу конфиденциальной информации через сетевые
протоколы TCP\IP;
выполнять анализ и, в случае необходимости, блокировку печати
документов (doc, pdf), если контент отправленных на печать документов
содержит конфиденциальную информацию;
49
 позволяет детектировать и в случае необходимости блокировать
передачу на внешний носитель конфиденциальной информации;
блокировать выполнение операции «Print Screen» для определенных
приложений;
перехватывать запросы в браузерах – например, исходящие почтовые
сообщения на веб-почте (mail.ru, yandex.ru).
Требования к системе обнаружения вторжений:
регистрация информации о сетевом трафике, проходящем через
контролируемые узлы,
регистрация событий об обращении к ресурсам;
фиксировать информацию о дате и времени, результате анализа,
идентификаторе источника данных, протоколе, используемом для
проведения вторжения;
регистрация событий вторжений по отношению к контролируемым
узлам;
регистрация аномалий сетевого трафика и аномалий в действиях
пользователя;
возможность фиксации факта обнаружения вторжений или
нарушений;
регистрация событий автоматизированного обновления базы
решающих правил;
регистрация событий доступа к аудиту системы обнаружения
вторжений.
Требования к межсетевым экранам:
регистрация информационных потоков по протоколу передачи
гипертекста, проходящих к веб-серверу и от веб-сервера;
регистрация управляющих сигналов от средств защиты информации
и блокирование соответствующего трафика;
регистрация доступа к управлению межсетевого экрана и
параметрами на основе ролей уполномоченных лиц;
события идентификация и аутентификация администраторов
межсетевого экрана;
регистрации о возможных нарушениях безопасности.

Выводы

Комплексный подход позволяет объединить целый ряд автономных

систем путем их интеграции в так называемые интегрированные системы
безопасности. В связи с тем, что угрозы информационной безопасности

50
совершенствуются, то одного комплексного подхода недостаточно, поэтому
необходимо применять еще такие подходы как управление инцидентами,
тестирование на проникновение в автоматизированную систему, подход
адаптивной безопасности.
Методы защиты информации обеспечивают своевременное
обнаружение атак на автоматизированную банковскую систему, что
позволяет вести контроль информационной безопасности. Выполняют
предотвращение сетевых атак, обеспечивают контроль распространения
конфиденциальной информации. Осуществляют регистрацию действий
сотрудников банка с целью предотвращения утечки конфиденциальной
информации, распространение которой может нанести не только финансовый
ущерб, но и репутационный.
Совместная работа систем безопасности и системы сбора и корреляции
событий информационной безопасности обеспечивает предотвращение
несанкционированного изменения политик и правил привилегированным
сотрудникам, предотвращения нелегитимного доступа к системам
безопасности и данным, хранящимся в них, мониторинг работоспособности
систем безопасности, предотвращение случайного или преднамеренного
выведения их из строя, сопоставление событий систем безопасности,
передающих информацию в систему сбора и корреляции, для комплексного
анализа ситуации и оперативного выявления реальных инцидентов, а также
упрощает процесс расследования инцидентов.
Соблюдение основных требований информационной безопасности
банка помогут повысить уровень информационной безопасности финансовых
учреждений, а также минимизировать возможные потери, вызванные
действиями злоумышленников, аварийными сбоями и ошибками персонала.
В данной главе представлены ключевые требования к объектам
защиты, к средствам обеспечения информационной безопасности
финансовых учреждений, а также требования к мониторингу событий
информационной безопасности, приведены критические события, которые
необходимо регистрировать в системе мониторинга информационной
безопасности.
Мониторинг событий информационной безопасности является
неотъемлемой частью информационной безопасности. При помощи
мониторинга событий можно собирать и анализировать все события
информационной безопасности, на начальной стадии выявить уязвимости
информационной безопасности, увеличить скорость выявления,
расследования и реагирования на инциденты безопасности, определить
попытки несанкционированного доступа к конфиденциальной информации и
к критически важным ресурсам сети, а также осуществлять контроль

51
информационной безопасности, контроль выполнения требований
нормативных документов и политики безопасности.

ГЛАВА 4 КОНЦЕПЦИЯ ПОСТРОЕНИЯ СЕТИ

ФИНАНСОВОЙ ОРГАНИЗАЦИИ

4.1 Постановка задачи

Цель, с которой производилось исследование на тему диссертации,

была подана реальными клиентами одного из системных интеграторов,
специализирующихся на оборудовании MikroTik. Этим клиентам
предоставляются услуги по организации ЛВС для связи между
распределенными филиалами организации.
С технической точки зрения, провайдер предоставляет внутри своей
сети отдельный VLAN. Все объекты (а именно, 12) подключены при помощи
технологий FTTx (Ethernet и PON). Ниже приведена схема предприятия до
модернизации.

Рис. 4.1 – Схема финансовой сети до плановой модернизации

На двух объектах и на центральном узле подключение организовано по

технологии Ethernet, на остальных – xPON с терминалами ONU Huawei
HG810.
Оборудование данной компании имеет специфические функции.
Которые с одной стороны не нужны для пользователей ISP и играют
позитивную роль в плане дизайна сети абонентского доступа. С другой

52
стороны, эти функции могут иметь негативный эффект для корпоративных
клиентов., а именно:
В сети PON построенной на оборудовании компании Huawei, по
умолчанию запрещен обмен трафиком, между ONU работающих от одной
базовой станции (OLT – Optical Line Terminal). Эту проблему нам удалось
решить, используя специальные профили для корпоративных VLAN.
ONU не пропускает DHCP пакеты со стороны абонента по
направлению в сеть провайдера. Из сети провайдера в сторону абонента – все
ходит. Если подключить главный офис с DHCP сервером к распределенной
корпоративной сети через ONU, то сервер находящийся в офисе не сможет
раздать адреса узлам, которые находятся за пределами офиса.
Аналогичная проблема с проходимостью Multicast – пакетов. Все
Multicast пакеты, не проходят через ONU и не видятся в других участках
сети.
С остальным трафиком проблем нет, никаких фильтраций и
ограничений.
На момент обращения, сеть объектов представляла из себя плоскую,
неуправляемую сеть, с одним маршрутизатором под управлением Kerio
Control Server.
В сети все IP устройства из всех магазинов были видны друг другу.
Таблица FDB на коммутаторах провайдера насчитывала более 350 устройств
в их VLAN. Все эти устройства были в одном большом broadcast-домене.
Из-за этого в сети происходили различные сбои которые мешали
работе магазинов, поэтому сеть нуждалась в сегментации. Иногда случались
аварии у провайдера из-за которых терялась связь между офисом и
отдельным магазинов.
Хуже, когда случается потеря связи между центральным офисом и
сетью провайдера. Именно в таком случае все 12 распределенных по городу
объекта, остаются без связи с серверами, расположенными на центральном
узле, и без доступа к сети Интернет. В этот период работа объектов
существенно ограничивается, пропадают возможности безналичных
операций, перестает быть возможным проводить прием и ревизию товаров, а
также невозможно синхронизировать актуальные цены и остатки на складе.
Центральный узел был подключен через Ethernet, т.к. им требовалось
раздавать DHCP для устройств во всех магазинах. Оптика из ЦУ идет в
ближайший многоквартирный дом, где размещается узел связи провайдера.
Когда на узле провайдера пропадает электропитание – все объекты теряют
связь с центральным офисом. Чтобы работать в случае аварии по питанию, к
ЦУ подведена линия PON. Использовалась она лишь как резерв на случай

53
падения Ethernet, т.к. через нее не проходили DHCP пакеты. Переключение
между каналами связи Ethernet и PON осуществлялось вручную.

54
 Задачи, которые были поставлены заказчиками:

сегментировать сеть и разбить ее на множество мелких broadcast-

доменов, чтобы исключить негативное влияние в одном из них на общую
сеть;
внедрить способ автоматического переключения внутренних каналов
связи на случай если между главным офисом и провайдером пропадет связь
через Ethernet или PON;
внедрить способ автоматического переключения связи с офисом, на
случай если в каком-то конкретном магазине пропадает связь с ISP – а значит
локальная связь с офисом и выход в интернет;
внедрить возможность автоматического уведомления системных
администраторов предприятия об аварии на том или ином участке сети
(пропала связь с офисом или пропал резервный интернет).

4.2 Решение поставленных задач

Для выполнения данных задач куплено оборудование фирмы MikroTik.

В центральный офис куплена модель RB1100AHx2, а в каждый из 12-ти
объектов MikroTik hEx (RB750Gr2). В центральном офисе и во всех
магазинах подключается второй провайдер – Белтелеком. У которого
компания покупает только доступ в интернет. В центральном офисе
подключение выполняется кабелем (FTTH), в магазинах через ADSL.
Модемы арендуются у провайдера и работают исключительно в режиме
моста (bridge). 

В сети предприятия введена распределенная схема адресации:

192.168.1.0/24 – сеть центрального офиса.

192.168.2.0/24 – 192.168.13.0/24 локальные сети каждого из 12
магазинов.

Для работы маршрутизации между офисами были введены две

вспомогательные сети в которых организована связь между
маршрутизаторами MikroTik:

10.10.10.0/24 – сеть, приходящая в главный офис через основной

Ethernet канал
10.10.20.0/24 – сеть, приходящая в главный офис через резервный
канал (PON)

55
56
 Главный офис имеет доступ в сеть интернет через 3 канала:

ISP1-A – через Ethernet канал, с префиксом /30 IP – 1.1.1.1

ISP1-B – через PON канал, с префиксом /30 IP – 2.2.2.2
ISP-2 (Белтелеком) — через PPPoE, IP — 3.3.3.3

Конфигурация:

Для PPPoE провайдера №2:

Для организации работы удаленных магазинов в случае пропажи связи

между магазином и ISP-1, на главном роутере в офисе созданы по 2
пользователя VPN для каждого магазина. Это сделано чтобы каждый из
магазинов имел одновременно два активных подключения через внешнюю
сеть интернет на два внешних IP адреса в офисе от обоих провайдеров.
Вводим еще 2 вспомогательные сети для обмена трафиком между
офисом и магазинами уже через VPN:

– 10.20.30.0/24 – сеть внутри VPN, для магазинов, цепляющихся через

внешнюю сеть на IP от ISP-1
– 10.30.40.0/24 сеть внутри VPN, для магазинов, цепляющихся через
внешнюю сеть на IP от ISP-2

57
58
 Включаем L2TP Server на роутере и создаем профили пользователей:

Командой /interface l2tp-server добавляется жесткая привязка в разделе

PPP для каждого объекта. Это делается для удобного определения, какие
объекты подключены, и через что идет трафик. У нас получаются четыре
сети для обмена трафиком.

Для удобства была спланирована адресация таким образом, что сеть

192.168.15.0/24, будет доступна через 10.10.10.15, 10.10.20.15, 10.20.30.15 и
10.30.40.15, другие подсети будут иметь другие адреса соответственно.
Теперь можно добавить маршруты.

Рекомендуется использовать для разных маршрутов разные значения

административного расстояния. В штатном режиме данные на объект будут
переданы через сеть 10.10.10.15, т.к. у нее самый низкое значение
59
административного расстояния – 10. Сеть 10.10.10.0/24 доступна через eth-1
(ISP-1, технология Ethernet).
В случае выхода из строя канала связи eth-1, данные будут идти по сети
eth-2 через PON, а если и сеть PON недоступна, тогда трафик будет
проходить по VPN через PPPoE от ISP-2.

Рис 4.2 – Пример подключения сети на центральном узле.

Аналогичную конфигурацию настроить на удаленном объекте:

Добавление подключения L2TP-VPN:

60
 Рис. 4.3 – Схема подключения на удаленном объекте.

В случае выхода канала из строя eth-1 на удаленном объекте, он

автоматически теряет связь с офисом через оба локальных маршрута, идущих
через ISP-1. Здесь будут использованы VPN сети 10.20.30.1 и 10.30.40.1,
которые всегда активны, причем, активны они всегда через резервный
интернет-канал для магазина.
Для реализации такого механизма была создана отдельная таблица
маршрутизации для ISP-2. Также это делается для того, чтобы роутер всегда
мог ответить на запросы, приходящие со стороны ISP-2 через тот-же
интерфейс.
Процесс создания таблицы маршрутизации для ISP-2 в магазине:

Были созданы выше правила маршрутизации, согласно которым

трафик до обоих IP-адресов VPN сервера в офисе будет переходить только
через резервный интернет.
Теперь здесь всегда доступен и активен VPN вне зависимости от того,
через какой из каналов работает интернет на объекте и на центральном
маршрутизаторе. Сеть VPN будет работать всегда только через резервный
канал и всегда готова принять на себя миссию по связи с офисом.

61
 Сам интернет по умолчанию работает через ISP-1 от офиса, поэтому
созданы также 2 отдельные таблицы маршрутизации для доступа в интернет
через офис.

Т.о., можно убедиться в том, что трафик до 10.10.10.1 и 10.10.20.1 не

будет проходить по маршруту-по-умолчанию, откуда с некоторой
вероятность может прийти обратный трафик. Указана жесткая привязка, где
в таблице маршрутизации искать узлы 10.10.10.1 и 10.10.20.1.
Последним действием добавляются маршруты к ЦУ.
На этом, с таблицей маршрутизацией можно закончить. Теперь нужно
добавить автопереключение на резерв каналов связи, в случае выхода из
строя одного из них.

4.3 Настройка автоматического переключения

Т.к. пожеланием заказчика было использование оборудования

MikroTik, есть вопросы с использованием динамической маршрутизации
OSPF, поэтому была применена статическая маршрутизация, совместно со
скриптами, выполняющими функции IP SLA/NQA.

62
63
64
 Принцип работы скрипта прост. Происходит проверка доступности по
7 раз каждый из интерфейсов на главном роутере большими пакетами по
1500 байт. Удовлетворительным результат считается, если вернулось не
менее 5 пакетов. Такой метод очень чуток к вероятным проблемам со связью
в канале. Если проблемы есть – канал считается не доступным.
В зависимости от результата, устанавливается значение
административного расстояния. Скрипт увеличивает его на 100, если канал
недоступен. Если пропадают оба канала, подключенных локально, то скрипт
инициирует запуск другого скрипта, отсылающего письмо о падении, либо о
восстановлении.
Кто-то заметил, что здесь четыре маршрута, а скрипт проверяет только
три. Это делается с целью экономии времени, т.к. все три интерфейсах (два –
локально, один через интернет) завязаны на основного провайдера. И если у
него будет провал на всех 3х интерфейсах, тогда уже остается только

65
последний резервный внешний VPN через ISP-2, который всегда имеет
административную дистанцию 40.
Здесь приведен скрипт с объекта, аналогичный скрипт работает на
главном роутере, для каждого объекта свой скрипт. Возникает вопрос -
сколько скриптов постоянно будут работать? И вообще, сколько времени
нужно чтобы скрипт отработал? С каким интервалом его запускать?
Здесь, для коммуникации, критично время реакции по доступности
маршрута. При проверке скрипта были попытки засекать время отработки. В
случае, когда все штатно, это примерно 7 секунд. Если какой-то из каналов
не доступен и скрипт ждет ответа по тайм-ауту, то время увеличивается
примерно до 15 секунд, что значительно быстрее чем OSPF, интервал
реакции которого 40 секунд.
Когда созданы маршруты и созданы скрипты для проверки надежности
канала и уведомления об аварии, необходимо задействовать триггер запуска
этих скриптов. Создается Netwatch для всех 3х адресов:

Поясним – NetWatch проверяет хост 10.10.10.1 каждые 10 секунд, с

тайм-аутом в 2 секунды. В случае падения, превентивно устанавливается
административное расстояние +100 — маршрут становится
неактивным. После этого, инициализируется запуск скрипта с более точной
проверкой состояния доступности локальной сети, которая в случае ложной
тревоги вернет приоритет маршрута назад, а в случае действительного
падения обоих локальных каналов отправит письмо администраторам.
В случае восстановления пинга, маршрут в качестве активного сразу не
возвращается. Запускается более детальная проверка, которая уже решит,
можно ли вернуться на основной канал или нет.
Такие NetWatch созданы для всех трех внутренних адресов в сети ISP-
1. Которые регулярно проверяют друг друга с двух сторон и в случае
проблем, моментально меняют административную и запускают более
детальную проверку скриптом.

66
 Выводы

Данная реализация схемы сети передачи данных для предприятий

малого-среднего масштаба будет максимально практичной в соотношении
цена-качество, однако, узость возможностей платформы MikroTik не
позволит более гибким образом реализовать массу полезных функций, чем
поддержка функций «из коробки» и с поддержкой производителя более
крупных игроков на рынке телекоммуникационного оборудования,
наподобие Cisco, Juniper. Опять же, малому-среднему бизнесу не имеет
смысла приобретать серьезный парк устройств за сотни тысяч условных
единиц, когда масштабы предприятия не выходят за пределы 15-20
филиалов. А, с усиленным интересом производителя в развитии
собственного продукта и наличия нишевости своего продукта, платформа
MikroTik будет актуальна еще долго.

67
 ЗАКЛЮЧЕНИЕ

Главной целью информационной безопасности финансовой

организации является исключение финансовых потерь, исключение
нанесения ущерба его репутации, вызванного злоумышленными или
случайными действиями сотрудников или сторонних лиц.
Информационные системы представляют собой совокупность
взаимосвязанных элементов, которым необходимо обеспечивать
комплексную защиту информации для того, чтобы объединить все
составляющие защиты в единое целое, в котором каждый компонент,
выполняя свою функцию, одновременно обеспечивает выполнение функций
других компонентов. Следовательно, комплексный подход обеспечивает
безопасность всей совокупности информации, которая подлежит защите.
Комплексный подход позволяет объединить целый ряд автономных
систем путем их интеграции в так называемые интегрированные системы
безопасности. В связи с тем, что угрозы информационной безопасности
совершенствуются, то одного комплексного подхода недостаточно, поэтому
необходимо применять еще такие подходы, как управление инцидентами,
тестирование на проникновение в автоматизированную систему, подход
адаптивной безопасности.
Соблюдение основных требований информационной безопасности
помогут повысить уровень информационной безопасности финансовых
учреждений, а также минимизировать возможные потери, вызванные
действиями злоумышленников, аварийными сбоями и ошибками персонала.
В данной работе представлены ключевые требования к объектам
защиты, к средствам обеспечения информационной безопасности
финансовых учреждений, а также требования к мониторингу событий
информационной безопасности, приведены критические события, которые
необходимо регистрировать в системе мониторинга информационной
безопасности.
Объединяя выводы из глав данной работы, платформа, выбранная в
качестве объекта исследования и разработки, не дает возможности
использовать ее крупным предприятиям – платформа попросту не готова к
работе в больших сетях как в финансовых учреждениях, так и в сетях
интернет-провайдеров. Хотя, у продукции данного производителя
получилось создать универсальный продукт начального/среднего уровня,
позволяющий достаточно быстро развернуть сеть предприятия за небольшие
средства.

68
 СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ

1 Таненбаум Э. Компьютерные сети. Пятое издание / Э. Таненбаум –

СПб.: Питер, 2012. – 960с.
2 Network Warrior, Second Edition / G.A. Donahue – O’Reilly Media,
Sebastopol, CA, 2011.
3 Juniper Networks Warrior / P. Southwick – O’Reilly Media, Sebastopol,
CA, 2013.
4 Arista Warrior, Second Edition / G.A. Donahue – O’Reilly Media,
Sebastopol, CA, 2013.
5 Стандарт предприятия. Курсовое и дипломное проектирование.
Общие требования. / сост.: Е.А. Ленковец, С.И. Половеня – Минск: УО
«Белорусская государственная академия связи», 2016. – 106 с.
6 ISO/IEC 27033-2:2012, Information technology – Security Techniques –
Network Security – Part 2: Guidelines for the design and implementation of
network security.
7 ISO/IEC 27033-3:2010, Information technology – Security Techniques –
Network Security – Part 3: Reference networking scenarios – Threats, design
techniques and control issues.
8 ISO/IEC 27033-4:2014, Information technology – Security Techniques –
Network Security – Part 4: Securing communications between networks using
security gateways.
9 ISO/IEC 27033-5:2013, Information technology – Security Techniques –
Network Security – Part 5: Securing communications across networks using
Virtual Private Networks (VPNs).
10 ISO/IEC 27001:2013, Information technology – Security techniques –
Information security management systems – Requirements.
11 ISO/IEC 27002:2013, Information technology – Security techniques –
Code of practice for information security management.
12 ISO/IEC 27005:2018, Information technology – Security techniques –
Information security risk management.
13 ISO/IEC 27033-1:2015, Information technology – Security techniques –
Network security – Part 1: Overview and concepts.
14 ITU-T X.805, Security architecture for systems providing end-to-end
communications.
15 RFC 5246, The Transport Layer Security (TLS) Protocol Version 1.2,
IETF, August 2008
16 Зельдович Н., Микенс Дж. Курс MIT «Безопасность компьютерных
систем». [Электронный ресурс]. – Режим доступа:

69
https://ocw.mit.edu/courses/electrical-engineering-and-computer-science/6-858-
computer-systems-security-fall-2014.
17 Галицкий А. В. Защита информации в сети — анализ технологий и
синтез решений. / Галицкий А. В., Рябко С. Д., Шаньгин В. Ф. – М.: ДМК
Пресс, 2004. – 616 с.
18 Закер К. Компьютерные сети. Модернизация и поиск
неисправностей. / Закер К. – СПб.: БХВ-Петербург, 2001. – 1008 с.
19 Информационная безопасность банковских безналичных платежей.
Часть 2 – Типовая IT-инфраструктура банка. Habr.com [Электронный ресурс].
– Режим доступа: https://habr.com/post/345194/
20 Информационная безопасность банковских безналичных платежей.
Часть 3 – Формирование требований к системе защиты. Habr.com
[Электронный ресурс]. – Режим доступа: https://habr.com/post/350852/
21 Информационная безопасность банковских безналичных платежей.
Часть 4 – Обзор стандартов моделирования угроз. Habr.com [Электронный
ресурс]. – Режим доступа: https://habr.com/post/351326/
22 Информационная безопасность банковских безналичных платежей.
Часть 7 – Базовая модель угроз. Habr.com [Электронный ресурс]. – Режим
доступа: https://habr.com/post/421161/
23 Информационная безопасность банковских безналичных платежей.
Часть 8 – Типовые модели угроз. Habr.com [Электронный ресурс]. – Режим
доступа: https://habr.com/post/422329/
24 Исследование «Глобальное состояние информационной
безопасности 2015» (GSISS 2015). Habr.com [Электронный ресурс]. – Режим
доступа: https://habr.com/post/264385/
25 Навыки и требования к специалистам по информационной
безопасности. Habr.com [Электронный ресурс]. – Режим доступа:
https://habr.com/post/306336/
26 Разработка защищенных банковских приложений: главные
проблемы и как их избежать. Habr.com [Электронный ресурс]. – Режим
доступа: https://habr.com/company/pt/blog/271287/
27 Безопасность веб-ресурсов банков России. Habr.com [Электронный
ресурс]. Режим доступа: https://habr.com/company/dsec/blog/274273/
28 Атаки на банкоматы: прошлое, настоящее и будущее. Habr.com
[Электронный ресурс]. Режим доступа:
https://habr.com/company/kaspersky/blog/311622
29 Сети для самых маленьких: Часть пятая. NAT и ACL. Linkmeup.ru
[Электронный ресурс]. Режим доступа: http://linkmeup.ru/blog/16.html

70
 30 Сети для самых маленьких. Часть шестая. Динамическая
маршрутизация. Linkmeup.ru [Электронный ресурс]. Режим доступа:
http://linkmeup.ru/blog/33.html
31 Сети для самых маленьких. Часть седьмая. VPN. Linkmeup.ru
[Электронный ресурс]. Режим доступа: http://linkmeup.ru/blog/50.html
32 Mikrotik – сбор и анализ NetFlow трафика. Habr.com [Электронный
ресурс]. Режим доступа: https://habr.com/post/354720/
33 RouterOS software documentation.[Электронный ресурс]. Режим
доступа:https://wiki.mikrotik.com/wiki/Manual:TOC
34 RouterBOARD hardware documentation. Mikrotik Wiki [Электронный
ресурс]. Режим доступа: https://wiki.mikrotik.com/wiki/RouterBOARDhardware
35 Оперативно-аналитический центр при Президенте Республики
Беларусь [Электронный ресурс]. Режим доступа: https://oac.gov.by/

71