Poboljanje informacione sigurnosti banke
NLB BANK D.D.Poboljanje informacione sigurnosti bankePregled
projektaOsnovna naela u poslovanju banke su naelo likvidnosti I
naelo solventnosti.Kako bi banka osigurala poslovanje u skladu sa
navedenim naelima banka je duna upravljati rizicima,posebno
rizicima koji proizilaze iz neadekvatnog upravljanja informacionim
tehnologijama.Informacioni sistemi imaju veoma znaajnu ulogu u
bankama.
Sama primjena informacionih tehnologija utie na efikasnost
bankarskog poslovanja.Banke u svom poslovanju u mnogome zavise od
koritenja informacija.Tane I potpune informacije kljune su za
ostvarivanje uspjenih poslovnih ciljevaSvrha projektaMotiv zbog
kojeg banka radi ovaj projekat jeste da pobolja informacionu
sigurnosti I na taj nain omogui pravovremene informacije
klijentima,zatitu klijenata I zatitu informacija.Na ovaj nain banka
bi poboljala svoje poslovanje I unaprijedila poslovanje.U dananje
vrijeme informaciona sigurnost banke je mnogo vana,kako za samu
banku tako I za njene uposlenike I klijente.
Cilj projektaZatita banke od moguih
napada(hakiranja,maskiranja,neovlatenih korisnikih aktivnosti)
Da se stvori svijest kod zaposlenika o informacionoj
sigurnosti
Da se stvori odziv kod zaposlenika i elja da uestvuju u
treninzima i obuci o informacionoj
sigurnostiEfikasnostFleksibilnost
Ogranienja projektaOgranienja koja se javljaju prilikom procesa
poboljanjainformaione sigurnosti su :Ogranienja vezana za ljudske
resurse ,Tehnika i organizacijska ogranienja ,Ogranienja u smislu
zatite podataka,LAN mreaPretpostavkeBazirat emo se na jedno
filijale banke koje posjeduje 15 raunara koji su svi meusobno
povezani u LAN (lokalnu) mreu.Izvrili smo analizu raunara kako
bismo utvrdili u kakvom je stanju oprema kojom banka
raspolae.Analizom je utvreno da neki raunari trebaju da budu
zamjenjeni tj.da imamo problema sa zastarjelom opremom,a preostali
raunari su dovoljno dobri da poslue za dalju upotrebu.Kao takve smo
ih svrstali u dvije kategorije:
Kategorija 1 predstavlja raunare koji su savremenije
konfiguracije,koji se redovno odravaju,auriraju te se kao takvi
mogu koristiti jo najmanje 6 godina tj.dui vremenski period.U ovoj
kategoriji imamo 9 raunara.
Kategorija 2 predstavlja preostalih 6 raunara koji su
zastarjeli,nemaju redovno odravanje i mogu se koristiti jo najvie 3
godine.
Izvodljivost projektato se tie izvodljivosti projekta banka je
izdvojila sredstva u iznosu od 70,000,00 KM za implementaciju
procesa poboljanja iformacione sigurnosti.Sredstva su se
raspodjelila na odreene djelove koje treba poboljati kako bi doslo
do poveanja informacione sigurnosti banke.
Odreeno je da e se sredstva raspodjeliti prema odreenim
prioritetima.Prvi prioritet I najvaniji pri troenju sredstava imat
e nabavka potrebne opreme za poboljanje IT sigurnosti.Tu
podrazumjevamo kupovinu dodatnih 6 raunara kako bi se zamjenili
zastarjeli raunari,zatim e se sredstva izdvojiti za kupovinu
licencirane antivirusne zatite koja je jako bitna da se nalazi na
svakom raunaru pojedinano.Kupovina modema,splitera.
Trokovi IT opreme
Generalni trokovi
Rezultati implementacije projektaPoboljanje koncepta poslovanja
kroz svakodnevne zadatke u smislu brzine rada i realizacije
trenutnih transakcijaUnaprjeen sistem bezbjednosti koji u svom irem
smislu predstavlja zatitu bankarskih dokumenata i klijentovih
podataka (dokumenti, novac).Izgraena LAN mrea unutar filijale u
kojoj se nalazi 15 raunara koji meusobno komuniciraju putem
Switch-a.Implementiran sistem razmjene dokumenata (DMS) s kojim se
ostvaruje uteda po pitanju vremena i brzine protoka elektronske
dokumentacije na principu klijent-server.Instaliran dodatni sistem
zatite informacionih sistema banke u vidu anvtivirusa koji je
nabavljen od strane vrhunskog vendora iz te oblasti Kaspersky Pure
3.0Posebno modulisan sistem sigurnosti od napada je i Firewall
server kao i isti sistem zatite ali u softverskom smislu.
ServisiZa potpunu realizaciju sistema, nepohodno je
implementirati adekvatne servise koji e se korisititi u
svakodnevnim situacijama. Bitno je napomenuti da e servisi, nakon
njihove instalacije, uveliko doprinijeti poboljanju poslovanja
banke. Intranet E-mail FirewallDMSPrintshareAntivirus WEB
stranica
Projektne strukture Projektni tim za informacionu sigurnost se
sastoji od niza pojedinaca koji imaju iskustva u jednom ili vie
aspekata iz potrebnih tehnikih i netehnikih podruja.lanovi tima
koji e raditi na poboljanju informacijske sigurnosti su:Rukovodilac
tima,Programer sigurnosne politike,Sistemski
administrator,Specijalista za procjenu rizika.
Uloge I odgovornostiRukovodioc tima je osoba tj.projektni
menader koji je zaduen za upravljanje projektom, osobljem i
razumije tehnike zahtjeve informacione sigurnosti.Programer
sigurnosne politike je osoba koja razumije organizacijsku kulturu
,trenutnu politiku i zahtjeve za razvoj i implementaciju uspjene
politike.Sistemski administrator je osoba ija je primarna
odgovornost upravljanje sigurnosnim sistemom koji organizacija
koristi.Specijalista za procjenu rizika je osoba koja razumije
tehnike procjene finansijskih rizika, znaaj organizacionih
sredstava i metode sigurnosti koje e biti koritene.
Pomoni tehniki procesiFAZA 1 - Plan razvoja i prezentovanje
projektne aplikacijeFAZA 2 - Unaprjeenje odjela za potrebe sistema
FAZA 3 - Investiranje u potrebnu opremuFAZA 4 - Instalacija opreme
i ostala infrastrukturna rjeenjaFAZA 5 - Povezivanje i testiranje
sistema
Plan kontrole projekta Projekat emo kontrolisati tako to emo
ovlasti dati rukovodiocu projekta koji ima diplomu,znanje i
iskustvo u voenju sloenih i manje sloenih projekata. Rukovodilac
projekta proces kontrole zapoinje sa temeljnim planom.Prati
aktualne rezultate projekta i usporeuje rezultate sa temeljnim
planom.Ako aktualni rezultati odstupaju od temeljnog plana projekta
rukovodilac projekta mora reagovati kako bi aktualne rezultate
doveo u liniju sa temeljim planom ili da zatrai odobrenje za
promjenu temeljnog plana ukoliko aktualne rezultate nije mogue
dovesti u red.Sav ovaj proces praenja i kontrole upravljanja
projektom zavrava u izvjetaju.Postojanje izvjetaja osigurava da e
posao biti izvren i jami da je posao praenja i kontrole prikladno
integrisan.
Rukovodilac projekta je 100% odgovoran za koritene procese za
upravljanje projektima,on takoer ima odgovornost za upravljanje
ljudima,te odgovornosti dijeli sa finansijskim rukovodiocem i
lanovima tima.Takoer jedan od kritinih faktora projekta jeste i
sama komunikacija izmeu lanova projekta.To ukljuuje izvjetavanje od
projektnog tima prema rukovodiocu i izvjetavanje od rukovodioca
prema sponzoru odnosno prema onome ko plaa izvravanje projekta u
ovom sluaju banka.Plan kontrole pristupaBanka je duna da uspostavi
adekvatan sistem upravljanja pristupom resursima informacionog
sistema koji e, kao minimum, obuhvatiti definiranje odgovarajuih
upravljakih, logikih i fizikih kontrola, upravljanje korisnikim
pravima pristupa koji obuhvata procese evidentiranja, autorizacije,
identifikacije i autentifikacije, te nadzora prava pristupa,
upravljanje povlatenim i udaljenim pristupima.
Duna je da u skladu sa procjenom rizika obezbijedi
izradu,redovno praenje i uvanje operativnih i sistemskih zapisa u
svrhu otkrivanja neovlatenih pristupa i radnji u informacionom
sistemu, identificiranja problema, rekonstruisanja dogaaja, te
utvrivanja odgovornosti.Banka je duna da definie i implementira
procedure upravljanja dokumentacijom (tehnikom,funkcionalnom,
korisnikom i dr.) koja se odnosi na informacioni sistem, a koja,
kao minimum, treba da ukljui obezbjeenje tane, potpune i aurne
dokumentacije, obezbjeenje pristupa uposlenika dokumentaciji, u
skladu sa njihovim poslovnim potrebama i klasifikaciji.Banka je
duna da uspostavi proces upravljanja incidentima, koji obuhvata
definiranje odgovornosti i procedura, a koji treba omoguiti brz,
efektivan i propisan odgovor u sluaju naruavanja sigurnosti i
funkcionalnosti informacionog sistema.Zavrni planOvaj segment
projekta se odnosi na proces finaliziranja svih aktivnosti koje su
predviene ovim projektom. U tu svrhu, ubrajaja se prije svega,
obuka slubenika jer osoba za koritenje sistema i reagovanje u datom
momentu mora biti kvalifikovana i obuena za taj model rada.Banka za
koju se radi sistem zatite je vrlo renomirana na tritu i kao takva
mora primjenjivati sistem zatite u skladu sa trinim principima.
Nakon to je projekat prezentovat upravi banke i nakon odranog
sastanka grupnog odluivanja (koritenjem GDSS sistema) uprava je
odluila da uloi novac i povjeri izvoenje radova domaoj firmi.
Nedugo zatim, projektnom aplikacijom je poelo unaprjeenje odjela
unutar banke. Kada su izvrene infrastrukturne pripremi, uslijedila
je faza nabavke dodatne opreme. Bitno je naglasiti da se trenutna
oprema za poslovanja bnake moe iskoristiti (ne u punom obimu). Kada
je oprema pribavljena ista se morala adekvatno instalirati.
Na samom kraju, cjelokupan sistem je prvobitno umreen a zatim i
testiran pod odreenim okolnostima.Pored toga, nabavljen je i sistem
zatite u smislu antivirusnih alata koje raunari u banci nisu imali,
odnosno, bili su instalirani ali sa trial periodom od 30 dana.
Sistem je implementiran sa prateom opremom. Firewall sistem kao
primarni sistem zatite informacionog sistema banke je hardverski i
softverski instaliran i predstavljat e znatno poboljanje do sada
vrlo nestabilnost sistema. Cijeli projekat je kotao 70.000,00KM i
trajao je 70 dana.Radili:Amir MuanoviAnela PoturakEdita BiiNejra
auevi
