Сучасні засоби захисту банківської інформації. Інформаційна безпека банку

23.04.2020

Банк даних є частиною будь-якої автоматизованої системитакий як САПР, АСУП, АСУТП тощо. Завданням банку даних є підтримка інформаційної моделіу вкрай важливому стані та забезпеченні запитів користувачем. Це вимагає, щоб у банку даних виконувались три операції: увімкнути, видалити, змінити. Ці операції забезпечують зберігання та модифікацію даних.

З розвитком автоматизованої системи змінюється склад об'єктів предметної області, змінюються зв'язки між ними. Все це має знаходити відображення в інформаційній системі. Т.ч., організація банку даних має бути гнучкою. Покажемо місце банку даних у складі автоматизованої системи.

При проектуванні банку даних дуже важливо враховувати два аспекти забезпечення запитів користувача.

1) Визначення меж конкретної предметної області та вироблення інформаційної моделі. Зазначимо, що банк даних має забезпечувати інформацією всю систему як у теперішньому, і у майбутньому з урахуванням її розвитку.

2) Розробка банку даних повинна орієнтуватися на ефективне обслуговування запитів користувачем. У зв'язку з цим дуже важливо аналізувати типи та види запитів користувачем. Також дуже важливо аналізувати функціональні завдання автоматизованої системи, для якої даний банкбуде джерелом інформації.

Користувачі банку даних розрізняються за наступними ознаками:

· За ознакою сталості спілкування з банком.

Користувачі : постійні і разові ;

· За рівнем допуску. Частина даних має бути захищена;

· За формою подання запитів. Запити можуть надавати програмісти, непрограмісти, користувачі завдання.

У зв'язку з великою різнорідністю користувачем у банку даних передбачається спеціальний засіб, що дозволяє привести всі запити до єдиної термінології. Цей засіб прийнято називати словник даних.

Виділимо основні вимоги , яким має відповідати банк даних з боку зовнішніх користувачів . Банк даних повинен:

1. Забезпечувати можливість зберігання та модифікації великих обсягів багатоаспектної інформації. Задовольняти сьогоднішнім та знову виникаючим вимогам з боку користувача.

Забезпечувати задані рівні достовірності та несуперечності інформації, що зберігається.

3. Забезпечувати доступ до даних лише тих користувачів, які мають відповідні повноваження.

4. Забезпечувати можливість пошуку інформації за довільною групою ознак.

5. Задовольняти заданим вимогам продуктивності під час обробки запитів.

6. Мати можливість реорганізації та розширення при зміні меж предметної області.

7. Забезпечувати видачу інформації користувачеві у різній формі.

8. Забезпечувати можливість одночасного обслуговування великої кількості зовнішніх користувачів.

Для задоволення цих вимог дуже важливо вводити централізоване керування даними.

Виділимо основні переваги централізованого управління даними порівняно з раніше використовуваним забезпеченням.

1) Скорочення надмірності даних, що зберігаються. Дані, що використовуються кількома додатками, структуруються (інтегруються) і зберігаються в єдиному екземплярі.

2) Усунення суперечливості даних, що зберігаються. У зв'язку з безмірністю даних усувається ситуація, коли при фактичній зміні даного воно здається зміненим не у всіх записах.

3) Багатоаспектне використання даних при одноразовому їх введенні.

4) Комплексна оптимізація з урахуванням аналізу вимог пользователя. Вибираються такі структури даних, які забезпечують найкраще обслуговування.

5) Забезпечення можливості стандартизації. При цьому полегшується обмін даними з іншими автоматизованими системами, а також процедури контролю та відновлення даних.

6) Забезпечення можливості санкціонованого доступу до даних, тобто. наявність механізмів захисту.

Слід наголосити, що основною проблемою централізованого управління даними є забезпечення незалежності прикладних програм від даних. Це пояснюється тим, що інтеграція даних, оптимізація структур даних вимагають зміни представлення даних, що зберігається, і методу доступу до даних.

Висновок: Головною відмінністю банку даних є наявність централізованого управління даними.

Глава 1. Особливості інформаційної безпеки банків.

Наказ Росстандарту від 28 березня 2018 року № 156-ст «Про затвердження національного стандарту Російської Федерації»

Наказ Росстандарту від 8 серпня 2017 року № 822-ст "Про затвердження національного стандарту Російської Федерації"

Основні цілі запровадження Стандарту «Забезпечення інформаційної безпеки організацій банківської системи Російської Федерації. загальні положення» СТО БР ІББС-1.0 (далі - Стандарт):

підвищення довіри до банківської системи Російської Федерації;
підвищення стабільності функціонування організацій банківської системи Російської Федерації і цій основі — стабільності функціонування банківської системи Російської Федерації загалом;
досягнення адекватності заходів щодо захисту від реальних загроз інформаційній безпеці;
запобігання та (або) зниження збитків від інцидентів інформаційної безпеки.

Основні завдання Стандарту:

встановлення єдиних вимогщодо забезпечення інформаційної безпеки організацій банківської системи Російської Федерації;
підвищення ефективності заходів щодо забезпечення та підтримання інформаційної безпеки організацій банківської системи Російської Федерації.

Захист інформації в електронних платіжних Internet-системах

Платіжна Internet-система– це система проведення розрахунків між фінансовими, бізнес-організаціями та Internet-користувачами у процесі купівлі/продажу товарів та послуг через Internet. Саме платіжна система дозволяє перетворити службу з обробки замовлень або електронну вітрину на повноцінний магазин з усіма стандартними атрибутами: обравши товар чи послугу на сайті продавця, покупець може здійснити платіж, не відходячи від комп'ютера.

У системі електронної комерції платежі здійснюються за дотримання низки умов:

1. Дотримання конфіденційності. Під час проведення платежів через Internet покупець хоче, щоб його дані (наприклад, номер кредитної картки) були відомі лише організаціям, які мають це законне право.

2. Збереження цілісності інформації. Інформація про покупку ніким не може бути змінена.

3. Аутентифікація. Покупці та продавці повинні бути впевнені, що всі сторони, які беруть участь у угоді, є тими, за кого вони видають себе.

4. Кошти оплати. Можливість оплати будь-якими доступними покупцеві платіжними засобами.

6. Гарантії ризиків продавця. Здійснюючи торгівлю в Internet, продавець схильний до безлічі ризиків, пов'язаних з відмовами від товару та несумлінністю покупця. Розмір ризиків повинен бути узгоджений з провайдером платіжної системи та іншими організаціями, включеними до торгових ланцюжків, за допомогою спеціальних угод.

7. Мінімізація плати за транзакцію. Плата за обробку транзакцій замовлення та оплати товарів, природно, входить у їхню вартість, тому зниження ціни транзакції збільшує конкурентоспроможність. Важливо, що транзакція має бути оплачена у разі, навіть за відмову покупця від товару.

Усі зазначені умови мають бути реалізовані в платіжній Internet-системі, яка, по суті, є електронними версіями традиційних платіжних систем.

Таким чином, усі платіжні системи діляться на:

Дебетові (працюючі з електронними чеками та цифровою готівкою);

Кредитні (що працюють із кредитними картками).

Дебетові системи

Дебетові схеми платежів побудовані аналогічно їх офлайнових прототипів: чековим та звичайним грошовим. До схеми залучені дві незалежні сторони: емітенти та користувачі. Під емітентом розуміється суб'єкт, керуючий платіжною системою. Він випускає деякі електронні одиниці, які мають платежі (наприклад, гроші на рахунках у банках).

Інформаційна безпека організацій банківської системи Російської Федерації

Користувачі систем виконують дві основні функції. Вони виробляють і приймають платежі до Інтернету, використовуючи випущені електронні одиниці.

Електронні чеки є аналогом звичайних паперових чеків. Це приписи платника своєму банку перерахувати гроші з рахунку на рахунок одержувача платежу. Операція відбувається при пред'явленні одержувачем чека у банку. Основних відмінностей тут дві. По-перше, виписуючи паперовий чек, платник ставить свій справжній підпис, а в онлайновому варіанті — електронний підпис. По-друге, самі чеки видаються в електронному вигляді.

Проведення платежів відбувається у кілька етапів:

1. Платник виписує електронний чек, підписує електронним підписом та пересилає його одержувачу. З метою забезпечення більшої надійності та безпеки номер чекового рахунку можна закодувати відкритим ключем банку.

2. Чек пред'являється до оплати платіжної системи. Далі (або тут, або в банку, який обслуговує одержувача) відбувається перевірка електронного підпису.

3. У разі підтвердження її справжності постачається товар або надається послуга. З рахунку платника гроші перераховуються на рахунок отримувача.

Простота схеми проведення платежів (рис. 43), на жаль, компенсується складнощами її впровадження через те, що чекові схеми поки не набули поширення і немає сертифікаційних центрів для реалізації електронного підпису.

В електронній цифровий підпис(ЕЦП) використовують систему шифрування з відкритим ключем. При цьому створюється особистий ключ для підпису та відкритий ключ для перевірки. Особистий ключ зберігається у користувача, а відкритий може бути доступний для всіх. Самий зручний спосібпоширення відкритих ключів – використання сертифікаційних центрів. Там зберігаються цифрові сертифікати, які містять відкритий ключ та інформацію про власника. Це звільняє користувача від обов'язку самому розсилати свій відкритий ключ. Крім того, сертифікаційні центри забезпечують автентифікацію, що гарантує, що ніхто не зможе згенерувати ключі від іншої людини.

Електронні гроші повністю моделюють реальні гроші. При цьому, емісійна організація - емітент - випускає їх електронні аналоги, які називаються в різних системахпо-різному (наприклад, купони). Далі, вони купуються користувачами, які з допомогою оплачують покупки, та був продавець погашає в емітента. За емісії кожна грошова одиницязасвідчується електронним друком, який перевіряється випускаючою структурою перед погашенням.

Одна з особливостей фізичних грошей — їхня анонімність, тобто на них не вказано, хто і коли їх використав. Деякі системи, за аналогією, дозволяють покупцеві отримувати електронну готівку так, щоб не можна було визначити зв'язок між ним та грошима. Це здійснюється за допомогою схеми сліпих підписів.

Варто зазначити, що при використанні електронних грошейвідпадає необхідність у аутентифікації, оскільки система заснована на випуску грошей в обіг перед їх використанням.

На малюнку 44 наведено схему платежу за допомогою електронних грошей.

Механізм здійснення платежу наступний:

1. Покупець заздалегідь обмінює реальні гроші на електронні. Зберігання готівки у клієнта може здійснюватися двома способами, що визначається системою, що використовується:

на жорсткому диску комп'ютера;

На смарт-картах.

Різні системи пропонують різні схеми обміну. Деякі відкривають спеціальні рахунки, куди перераховуються кошти з рахунку покупця за електронні купюри. Деякі банки можуть самі емітувати електронну готівку. При цьому вона емітується лише за запитом клієнта з подальшим її перерахуванням на комп'ютер або картку цього клієнта та зняттям грошового еквівалентаз його рахунку. При реалізації сліпого підпису покупець сам створює електронні купюри, пересилає їх у банк, де при вступі реальних грошейна рахунок вони засвідчуються печаткою та вирушають назад клієнту.

Поряд із зручностями такого зберігання, у нього є й недоліки. Псування диска або смарт-карти обертається незворотною втратою електронних грошей.

2. Покупець перераховує на сервер продавця електронні гроші за покупку.

3. Гроші пред'являються емітенту, який перевіряє їхню справжність.

4. У разі справжності електронних купюр рахунок продавця збільшується у сумі купівлі, а покупцю відвантажується товар чи надається послуга.

Однією з важливих відмінних рисЕлектронні гроші є можливість здійснювати мікроплатежі. Це з тим, що номінал купюр може відповідати реальним монетам (наприклад, 37 копійок).

Емітувати електронну готівку можуть як банки, так і небанківські організації. Однак досі не вироблено єдиної системи конвертування різних видів електронних грошей. Тому тільки самі емітенти можуть гасити випущену ними електронну готівку. Крім того, використання таких грошей від нефінансових структур не забезпечене гарантіями з боку держави. Проте, мала вартість транзакції робить електронну готівку привабливим інструментом платежів до Інтернету.

Кредитні системи

Internet-кредитні системи є аналогами традиційних систем, які працюють із кредитними картами. Відмінність полягає у проведенні всіх транзакцій через Internet, як наслідок, у необхідності додаткових засобів безпеки та аутентифікації.

У проведенні платежів через Internet за допомогою кредитних картокберуть участь:

1. Покупець. Клієнт, що має комп'ютер із Web-браузером та доступом до Internet.

2. Банк-емітент. Тут є розрахунковий рахунок покупця. Банк-емітент випускає картки та є гарантом виконання фінансових зобов'язань клієнта.

3. Продавці. Під продавцями розуміються сервери Електронної Комерції, на яких ведуться каталоги товарів та послуг та приймаються замовлення клієнтів на покупку.

4. Банки-еквайєри. Банки, які обслуговують продавців. Кожен продавець має єдиний банк, В якому він тримає свій розрахунковий рахунок.

5. Платіжна система Internet. Електронні компоненти є посередниками між рештою учасників.

6. Традиційна платіжна система. Комплекс фінансових та технологічних засобів для обслуговування карток даного типу. Серед основних завдань, що вирішуються платіжною системою, — забезпечення використання карток як засобу платежу за товари та послуги, користування банківськими послугами, Проведення взаємозаліків і т.д. Учасниками платіжної системи є фізичні та юридичні особи, об'єднані відносинами щодо використання кредитних карток.

7. Процесинговий центр платіжної системи. Організація, що забезпечує інформаційну та технологічну взаємодію між учасниками традиційної платіжної системи.

8. Розрахунковий банк платіжної системи. Кредитна організація, яка здійснює взаєморозрахунки між учасниками платіжної системи за дорученням процесингового центру.

Загальну схему платежів у такій системі наведено на малюнку 45.

1. Покупець в електронному магазині формує кошик товарів та обирає спосіб оплати "кредитна картка".

Через магазин, тобто параметри картки, вводяться безпосередньо на сайті магазину, після чого вони передаються платіжній системі Internet (2а);

На сервері платіжної системи (2б).

Очевидні переваги другого шляху.

У цьому випадку відомості про карти не залишаються в магазині, і, відповідно, знижується ризик отримання їх третіми особами чи обману продавцем. І в тому, і в іншому випадку при передачі реквізитів кредитної картки, все ж таки існує можливість їх перехоплення зловмисниками в мережі. Для запобігання цьому дані під час передачі шифруються.

Шифрування, звісно, знижує можливості перехоплення даних у мережі, тому зв'язку покупець/продавець, продавець/платіжна система Internet, покупець/платіжна система Internet бажано здійснювати з допомогою захищених протоколів. Найбільш поширеними з них на сьогоднішній день є протокол SSL (Secure Sockets Layer), а також стандарт захищених електронних транзакцій SET (Secure Electronic Transaction), покликаний згодом замінити SSL під час обробки транзакцій, пов'язаних із розрахунками за покупки кредитних карток в Internet.

3. Платіжна система Internet передає запит на авторизацію традиційної платіжної системи.

4. Наступний крок залежить від того, чи веде банк-емітент онлайнову базу даних (БД) рахунків. За наявності БД процесинговий центр передає банку-емітенту запит на авторизацію картки (див. вступ або словник) (4а) і потім (4б) отримує її результат. Якщо ж такої бази немає, процесінговий центр сам зберігає відомості про стан рахунків власників карток, стоп-листи і виконує запити на авторизацію. Ці відомості регулярно оновлюються банками-емітентами.

Магазин надає послугу або відвантажує товар (8а);

Процесинговий центр передає до розрахунковий банквідомості про скоєну транзакцію (8б). Гроші з рахунку покупця у банку-емітенті перераховуються через розрахунковий банк на рахунок магазину у банку-екваєрі.

Для проведення подібних платежів у більшості випадків потрібне спеціальне програмне забезпечення.

Воно може поставлятися покупцю (назване електронним гаманцем), продавцю та його обслуговуючого банку.

Попередня25262728293031323334353637383940Наступна

ПОДИВИТИСЯ ЩЕ:

У нашому житті Інтернет – це не лише засіб для спілкування, розваги та відпочинку, а й роботи, а також здійснення електронних платежів. Багато хто з нас користується послугами інтернет-банкінгу та робить покупки в онлайн-магазинах

Основні загрози для онлайн-операцій

Незважаючи на захищеність систем інтернет-банкінгів та онлайн-магазинів, використовуються такі методи захисту, як подвійна автентифікація, системи одноразових динамічних SMS-паролей, додатковий список одноразових паролівабо апаратні ключі, захищене протоколом SSL-з'єднання і так далі - сучасні методи атак дозволяють обходити навіть найнадійніші захисні механізми.

На сьогодні у зловмисників можна виділити три найбільш поширені підходи для атаки на фінансові дані інтернет-користувачів:

- Зараження комп'ютера жертви троянським програмами (кейлоггери, скрінлогери і т.д.), що використовують для перехоплення даних, що вводяться;
- використання методів соціальної інженерії - фішингові атаки через електронну пошту, веб-сайти, соціальні мережі та ін;
- технологічні атаки (сніффінг, заміна DNS/Proxy-серверів, заміна сертифікатів тощо).

Як захистити інтернет-банкінг?

Користувач не повинен сподіватися лише на банк, а використовувати захисні програми для посилення безпеки електронних платежів в Інтернеті.

Сучасні рішення Internet Security крім функцій антивірусу пропонують інструменти безпечних платежів (ізольовані віртуальні середовища для онлайн-операцій), а також сканер уразливостей, веб-захист з перевіркою посилань, блокування шкідливих скриптів і спливаючих вікон, захист даних від перехоплення. .

Серед комплексних рішень з окремою функцією захисту онлайн-платежів можна виділити Kaspersky Internet Security та компонент «Безпечні платежі», avast!

Інформаційна безпека у банківській сфері

Internet Security з avast! SafeZone та Bitdefender Internet Security з Bitdefender Safepay. Ці продукти дозволяють не турбуватися про додатковий захист.

Якщо у вас інший антивірус, можна придивитися до засобів додаткового захисту. Серед них: Bitdefender Safepay (ізольований веб-браузер), Trusteer Rapport та HitmanPro.Alert для захисту браузера від атак, плагіни та програми Netcraft Extension, McAfee SiteAdvisor, Adguard для захисту від фішингу.

Не варто забувати про фаєрвол і VPN-клієнт, якщо доводиться виконувати фінансові операції при підключенні до відкритих бездротових Wi-Fi мереж у громадських місцях. Наприклад, CyberGhost VPN використовує шифрування трафіку AES 256-bit, що унеможливлює використання даних зловмисником, навіть у разі перехоплення.

А які методи захисту онлайн-платежів ви використовуєте? Поділіться своїм досвідом у коментарях.

Інформаційна безпека банків починається з аудиту. ІБ-аудит може як дати банку право здійснення певних видів діяльності, а й показати слабкі місця у системах банку. Тому підходити до рішення про проведення та вибір форми аудиту необхідно виважено.

Згідно з Федеральним законом від 30 грудня 2008 року №307-ФЗ «Про аудиторської діяльності», аудит - це «незалежна перевірка бухгалтерської (фінансової) звітності особи, яка аудується, з метою вираження думки про достовірність такої звітності».

До сфери інформаційної безпеки визначення терміну, згадане в законі, не має відношення. Проте фахівці з інформаційної безпеки досить активно використовують його в мові. І тут під аудитом розуміється процес незалежної оцінки діяльності організації, системи, процесу, проекту чи продукту.

У різних вітчизняних нормативних актах термін «аудит інформаційної безпеки» застосовується не завжди — його часто замінюють або терміном «оцінка відповідності», або трохи застарілим, але все ще вживаним терміном «атестація». Іноді зустрічається термін «сертифікація», але стосовно міжнародних закордонних нормативним актам.

Який би термін не використовувався, по суті, аудит інформаційної безпеки проводиться, щоб перевірити виконання нормативних актів чи обґрунтованість та захищеність застосовуваних рішень. У першому випадку відмовитися від проведення аудиту неможливо, інакше це призведе до порушення вимог нормативних актів та штрафів, зупинення діяльності, інших форм покарання. У другому випадку аудит має добровільний характер, і рішення про проведення приймає сама організація.

Обов'язковий аудит може проводити:

сама банківська організація, наприклад, у формі самооцінки (щоправда, про «незалежність» вже не йдеться і термін «аудит» застосовувати не зовсім доречно);
зовнішня незалежна організація - аудитор;
регулюючі органи, наділені правом здійснювати відповідні наглядові заходи (цей варіант найчастіше називають не аудитом, а інспекційною перевіркою).

Добровільний аудит може проводитися з будь-якого приводу: для перевірки захищеності системи ДБО, контролю активів придбаного банку, перевірки філії, що знову відкривається, і так далі. У цьому випадку неможливо ні чітко окреслити кордони, ні описати форми звітності, ні говорити про регулярність аудиту — все це вирішується договором між аудитором та організацією, що перевіряється. Звернемося до форм обов'язкового аудиту, які є важливими для інформаційної безпеки саме банків.

За підсумками дослідження компаній РФ та світу, яке«СерчІнформ» провела у 2018 році, фінансисти, бухгалтери та економісти були винуватцями ІБ-інцидентів у 24% випадків. .

Міжнародний стандарт ISO 27001

Повний російський аналог міжнародного стандарту ISO/IEC 27001:2005 - ГОСТ Р ИСО/МЭК 27001-2006 - Інформаційна технологія - Методи та засоби забезпечення безпеки. Системи менеджменту інформаційної безпеки - Вимоги».

По суті, ці стандарти - це набір кращих практик з управління інформаційною безпекою у великих організаціях. Невеликі організації, у тому числі і банки, не завжди в змозі виконати вимоги стандарту повному обсязі. Як і будь-який стандарт у Росії, ISO 27001 – добровільний документ, приймати чи не приймати його умови кожен банк вирішує самостійно. Але ISO 27001 є покликаним світовим стандартом, і фахівці різних країнахвикористовують його як універсальне керівництво всім, хто займається інформаційної безпекою.

Із ISO 27001 пов'язані кілька неочевидних і нечасто згадуваних, але важливих моментів.

По-перше, аудиту за цим стандартом підлягає не вся система забезпечення інформаційної безпеки банку, а лише одна чи кілька складових частин. Наприклад, система захисту ДПВ, система захисту головного офісу банку або система захисту процесу управління персоналом. Іншими словами, отримання сертифіката відповідності на один із оцінюваних у рамках аудиту процесів не дає гарантії, що інші процеси знаходяться в такому ж близькому до ідеального стану.

Другий момент пов'язаний з тим, що ISO 27001 є стандартом універсальним, тобто застосовним до будь-якої організації, а отже, що не враховує специфіки галузі. Це призвело до того, що в рамках міжнародної організаціїщодо стандартизації ISO вже давно точаться розмови про створення стандарту ISO 27015, який є перекладенням ISO 27001/27002 на фінансову галузь. У розробці галузевого стандарту бере активну участь Банк Росії. Проти вже розробленого проекту виступили Visa та MasterCard. Visa вважає, що в проекті дуже мало інформації, необхідної для фінансової галузі, наприклад, щодо платіжних систем. Однак, якщо додати положення, стандарт доведеться перенести в інший комітет ISO. MasterCard пропонує припинити розробку ISO 27015, мотивуючи пропозицію тим, що у фінансовій галузі і так достатньо документів, що регулюють сферу інформаційної безпеки.

По-третє, багато пропозицій на російському ринкуговорять не про аудит відповідності, а про підготовку до аудиту. Справа в тому, що право проводити сертифікацію відповідності вимогам ISO 27001 мають лише кілька організацій у світі. А інтегратори лише допомагають компаніям виконати вимоги стандарту, які потім будуть перевірені офіційними аудиторами (реєстраторами, органами із сертифікації).

Поки точаться суперечки, впроваджувати банкам ISO 27001 чи ні, окремі сміливці йдуть на це і проходять три стадії аудиту відповідності:

попереднє неформальне вивчення аудитором основних документів як біля замовника аудиту, і поза;
формальний та глибший аудит та оцінка ефективності впроваджених заходів захисту, вивчення розроблених необхідних документів, після чого аудитор зазвичай підтверджує відповідність та видає сертифікат, визнаний у всьому світі.
щорічне виконання інспекційного аудиту на підтвердження отриманого сертифіката відповідності.

Кому потрібний ISO 27001 у Росії? Якщо розглядати стандарт не лише як набір найкращих практик, які слід впроваджувати і без проходження аудиту, а й як процес сертифікації, що підтверджує відповідність банку міжнародним вимогамбезпеки, то ISO 27001 має сенс впроваджувати або банкам, що входять до банківських груп, де ISO 27001 є стандартом, або банкам, що планують вихід на міжнародну арену. В інших випадках аудит відповідності ISO 27001 та отримання сертифікату найчастіше не потрібне. Але тільки для банку і тільки в Росії, тому що є вітчизняні стандарти на базі ISO 27001. Де-факто донедавна Банк Росії проводив інспекційні перевірки саме відповідно до вимог СТО БР ІХБС.

Комплекс документів Банку Росії СТО БР ІББС

Цей стандарт, а точніше, набір стандартів описує єдиний підхід до побудови системи забезпечення ІБ організацій банківської сфериз урахуванням вимог російського законодавства. Набір документів (далі - СТО БР ІХБС) включає три стандарти та п'ять рекомендацій щодо стандартизації. Він заснований на ISO 27001 та інших міжнародних стандартах з управління інформаційними технологіями та інформаційною безпекою. Питання аудиту та оцінки відповідності вимогам стандарту, як і для ISO 27001, прописані в окремих документах:

СТО БР ІББС-1.1-2007. Аудит інформаційної безпеки,
СТО БР ІББС-1.2-2010. Методика оцінки відповідності інформаційної безпеки організацій банківської системи Російської Федерації вимогам СТО БР ІББС-1.0-2010,
РС БР ІББС-2.1-2007. Посібник із самооцінки відповідності інформаційної безпеки організацій банківської системи Російської Федерації вимогам СТО БР ІББС-1.0.

Під час оцінки відповідності по СТО БР ІХС перевіряється виконання 423 приватних показників ІБ, які розділені на 34 групові показники. Результат оцінки - підсумковий показник, який має перебувати на 4-му чи 5-му рівні за п'ятибальною шкалою, встановленою Банком Росії. Ця деталь відрізняє аудит по СТО БР ІХС від аудиту за іншими нормативними актами в області ІБ. СТО БР ІХБС не має на увазі «невідповідності», просто рівень відповідності може бути різним: від нуля до п'яти. Позитивними вважаються лише рівні вище 4-го.

Станом на кінець 2011 року 70-75% банків запровадили чи перебувають у процесі впровадження цього набору стандартів. Де-юре СТО БР ІББС носить рекомендаційний характер, але де-факто донедавна Банку Росії проводив перевірки саме відповідно до вимог СТО БР ІХБС, хоча умови ніколи і ніде не звучали. Ситуація змінилася з 1 липня 2012 року, коли набрав чинності закон «Про національну платіжну систему» та розроблені для його виконання нормативні документи уряду та Банку Росії. З цього моменту питання щодо необхідності проводити аудит відповідності вимогам СТО БР ІХБС повернулося до порядку денного.

Справа в тому, що методика оцінки відповідності, запропонована в рамках законодавства про національну платіжну систему (НПС), та методика оцінки відповідності СТО БР ІХБС можуть дуже сильно розходитися у підсумкових значеннях. При цьому оцінка за першою методикою (для НПС) стала обов'язковою, тоді як оцінка за СТО БР ІХБС, як і раніше, де-юре носить рекомендаційний характер. У самому Банку Росії на момент написання статті ще не вирішили долю цієї оцінки. Якщо раніше всі нитки сходилися до Головного управління безпеки та захисту інформації Банку Росії (ГУБЗІ), то з поділом повноважень між ГУБЗІ та Департаментом регулювання розрахунків (LHH) питання залишалося відкритим. Зрозуміло, що законодавчі акти про НПС вимагають обов'язкової оцінки відповідності, тобто аудиту.

Законодавство про національну платіжну систему

Випущене та затверджене 9 червня 2012 року Положення 382-П «Про вимоги до забезпечення захисту інформації при здійсненні переказів грошових коштів та про порядок здійснення Банком Росії контролю за дотриманням вимог до забезпечення захисту інформації при здійсненні переказів грошових коштів» вимагає у пункті 2.15 обов'язкової оцінки відповідності , тобто аудиту. Оцінка здійснюється або самостійно, або із залученням сторонніх організацій.

Методика оцінки відповідності в рамках 382-П схожа за своєю суттю на методику оцінки відповідності за СТО БР ІХБС, але видає інші результати. Це з введенням спеціальних коригувальних коефіцієнтів.

Особливих вимог до організацій, що залучаються до аудиту, положення 382-П не встановлює. Це призводить до деякої суперечності із постановою Уряду від 13 червня 2012 року №584 «Про захисту інформаціїу платіжній системі», яке також потребує організації та проведення контролю та оцінки виконання вимог до захисту інформації один раз на 2 роки. Проте постанова уряду, розроблена ФСТЕК, вимагає, щоб зовнішній аудит проводили лише організації з ліцензією на діяльність із технічного захисту конфіденційної інформації.

Додаткові вимоги, які накладають на банки нові обов'язки, наведені в розділі 2.16 Положення 382-П. Згідно з вимогами, оператор платіжних систем зобов'язаний розробити, а банки, які приєдналися до платіжної системи, зобов'язані виконувати вимоги щодо регулярного інформування оператора платіжної системи щодо різних питань інформаційної безпеки в банку, включаючи:

виконання вимог щодо захисту інформації,
дані про виявлені інциденти,
результати проведених самооцінок,
відомості про виявлені загрози та вразливості.

Запобігти ІБ-інцидентам у банках допомагає. Попередні політики безпеки для фінансової галузі враховують основні інформаційні загрози.

ФЗ-161 про НПС також встановлює, що додатково до аудиту на договірній основі контроль та нагляд за виконанням вимог 584-ї постанови та 382-го положення здійснюють ФСБ, ФСТЕК та Банк Росії відповідно. На момент написання статті ні у ФСТЕК, ні у ФСБ не мали у своєму розпорядженні розробленого порядку проведення нагляду. На відміну від Банку Росії, який випустив два документи:

становище від 31 травня 2012 року №380-П «Про порядок здійснення спостереження у національній платіжній системі» (для кредитних організацій);
положення від 9 червня 2012 року №381-П «Про порядок здійснення нагляду за дотриманням операторами платіжних систем, що не є кредитними організаціями, операторами послуг платіжної інфраструктури вимог Федерального Закону від 27 червня 2011 року № 161-ФЗ «Про національну платіжну систему», прийнятих у відповідно до ним нормативних актів Банку Росії».

Банк Росії розпочав апробацію та збирання фактів щодо правозастосовчої практики нормативних актів у галузі захисту інформації в національній платіжній системі в 1 липня 2012 року.

Стандарт безпеки платіжних карток PCI DSS

PCI DSS – Payment Card Industry Data Security Standard – стандарт безпеки даних платіжних карток. Його розробила Рада зі стандартів безпеки індустрії платіжних карток (Payment Card Industry Security Standards Council, PCI SSC), яка була заснована міжнародними платіжними системами Visa, MasterCard, American Express, JCB та Discover.

Стандарт PCI DSS представляє сукупність 12 високорівневих та понад 200 детальних вимог щодо забезпечення безпеки даних про власників платіжних карток, які передаються, зберігаються та обробляються в інформаційних системах організацій. Вимоги стандарту поширюються на всі компанії, які працюють із міжнародними платіжними системами Visa та MasterCard. Кожній компанії в залежності від кількості транзакцій, що обробляються, присвоюють рівень, для кожного рівня - свій набором вимог. Рівні для кожної платіжної системи різняться.

Перевірка виконання умов стандарту PCI DSS здійснюється в рамках обов'язкової сертифікації, вимоги до якої відрізняються в залежності від типу компанії, що перевіряється: торгово-сервісне підприємство, що приймає картки до оплати товарів і послуг, або постачальник, що надає послуги торгово-сервісним підприємствам, банкам- еквайрерам, емітентам тощо (процесингові центри, платіжні шлюзи). Оцінка здійснюється у різних формах:

щорічні аудиторські перевіркиза допомогою акредитованих компаній, які мають статус Qualified Security Assessors (QSA);
щорічна самооцінка;
щоквартальне сканування мереж за допомогою уповноважених організацій, що мають статус Approved Scanning Vendor (ASV)

Законодавство про персональні дані

Ще один нормативний документ, який має відношення до банківської індустрії та встановлює вимоги щодо оцінки відповідності, - Федеральний закон «Про персональні дані». Однак ні форма, ні періодичність аудиту, ні вимоги до організації, яка проводить аудит, поки що не встановлено. Можливо, питання вирішиться восени 2012 року, коли вийде порція документів уряду, ФСТЕК та ФСБ, які запроваджують нові нормативи у сфері захисту персональних даних. Поки що банки самостійно визначають особливості аудиту захисту персональних даних.

Контроль та нагляд за виконанням організаційних та технічних заходів щодо забезпечення безпеки персональних даних, встановлених статтею 19 закону 152-ФЗ, здійснюють ФСБ та ФСТЕК. Але це стосується лише державних інформаційних систем персональних даних. Контроль комерційних організаційу сфері забезпечення інформаційної безпеки персональних даних поки що - за законом - здійснювати нікому. Чого не скажеш про захист прав суб'єктів персональних даних, тобто клієнтів, контрагентів та просто відвідувачів банку. Це завдання взяв він Роскомнагляд, який активно здійснює наглядові функції і бачить у банках злісних порушників закону про персональні дані.

Заключні положення

Кожен із основних нормативних актів встановлює свої вимоги щодо проведення оцінки відповідності у тій чи іншій формі: від самооцінки у вигляді заповнення опитувальних листів (PCI DSS) до проходження обов'язкового аудиту один раз на два роки (382-П) або один раз на рік (ISO 27001). Існують й інші форми оцінки відповідності: повідомлення оператора платіжної системи, щоквартальне сканування тощо.

З іншого боку, у країні досі немає єдиної системипоглядів не тільки на державне врегулюванняаудиту інформаційної безпеки організацій та систем інформаційних технологій, а й на саму тему аудиту інформаційної безпеки. За інформаційну безпеку у Росії відповідає ряд відомств та організацій: ФСТЕК, ФСБ, Банк Росії, Роскомнагляд, PCI SSC та інші. Усі вони діють виходячи з власних нормативних документівта посібників. Різні підходи, різні стандарти, рівні зрілості… Все це заважає встановленню єдиних правил гри.

Картину псує і поява фірм-одноденок, які в гонитві за прибутком пропонують неякісні послуги з оцінки відповідності вимогам з інформаційної безпеки. І на краще ситуація навряд чи зміниться. Якщо є потреба, будуть і охочі її задовольнити, тоді як на всіх кваліфікованих аудиторів просто не вистачить. При невеликій кількості (див. інфографіку) і тривалості аудиту від кількох тижнів до кількох місяців очевидно, що запит на аудит серйозно перевищує можливості аудиторів.

У так і не прийнятій ФСТЕК «Концепції аудиту інформаційної безпеки систем інформаційних технологій та організацій» була така фраза:

«…в той же час, у відсутності необхідних національних регуляторів така діяльність [за нерегульованим законодавством аудиту з боку приватних фірм] може завдати непоправної шкоди організаціям».

Автори Концепції пропонували уніфікувати підходи до аудиту та законодавчо встановити правила гри, включаючи правила акредитації аудиторів, вимоги до кваліфікації, процедури проведення аудиту. Але віз і нині там. Хоча з огляду на увагу, яку вітчизняні регулятори в галузі інформаційної безпеки, а їх лише дев'ять, приділяють питанням захисту інформації, не виключено, що тема незабаром знову стане актуальною. Тільки за минулий календарний рік було прийнято або розроблено 52 нормативні акти з питань інформаційної безпеки, і один нормативний актв тиждень!

СТАНДАРТИ АУДИТУ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ

У умовах, на жаль, доводиться визнавати: основна мета аудиту інформаційної безпеки банку - підвищення довіри до його діяльності - у Росії недосяжна. Небагато російських клієнтів банку звертають увагу на рівень безпеки або на результати проведеного в банку аудиту. До аудиту звертаються або у разі виявлення дуже серйозного інциденту з серйозними матеріальними збитками для банку (його акціонерам та власникам), або у разі законодавчих вимог.

Вимогою №1, заради якого варто звернутися до аудиту безпеки, є становище Банку Росії 382-П. Відомості про рівень захищеності банків та виконання вимог 382-П, які запитують із територіальних управлінь ЦП, виходять саме внаслідок зовнішнього аудиту чи проведеної самооцінки.

На другому місці – аудит виконання вимог закону «Про персональні дані». Але проводити подібний аудит варто не раніше моменту, коли буде випущено всі обіцяні ФСТЕК та ФСБ документи і коли стане зрозумілою доля СТО БР ІББС. Тоді ж можна порушити питання проведення аудиту відповідності вимогам СТО БР ІХБС.

Успішне проходження аудиту ще не означає, що з безпекою в банку все гаразд. Існує безліч хитрощів, які дозволяють перевіряється організації приховати недоліки в системі захисту. Дуже багато залежить від кваліфікації та незалежності аудиторів. Досвід показує, що навіть в організаціях, які успішно пройшли аудит відповідності стандартам PCI DSS, ISO 27001 або СТО БР ІХБС, трапляються інциденти, і інциденти серйозні.

ДУМКА ЕКСПЕРТУ

Дмитро МАРКІН, начальник відділу аудиту та консалтингу АМТ-ГРУП:

- Донедавна питання проходження обов'язкового аудиту стану ІБ для кредитних організацій у рамках російського законодавства регламентувалися лише ФЗ-152 «Про персональні дані» щодо здійснення внутрішнього контролюза заходами щодо забезпечення безпеки ПДн, а також положенням ЦБ РФ №242-П «Про організацію внутрішнього контролю в кредитних організаціяхі банківських групах». При цьому, згідно з вимогами положення №242-П, порядок контролю за забезпеченням ІБ встановлюється внутрішніми документами кредитної організації самостійно без прив'язки до конкретних вимог щодо забезпечення ІБ. У зв'язку з набранням чинності ст.27 ФЗ-161 «Про національну платіжну систему», що визначає вимоги щодо захисту інформації в платіжній системі, побачили світ постанова уряду РФ №584 «Про затвердження положення про захист інформації в платіжній системі» і положення ЦП РФ №382-П. Відповідно до вимог постанови №584 та положення №382-П захист інформації у платіжній системі має здійснюватися за вимогами даних нормативних актів та вимогами, включеними операторами платіжних систем до правил платіжних систем. Ключовим моментомтут є закріплення на рівні національного законодавства права операторів платіжних систем (наприклад, Visa та MasterCard) самостійно встановлювати вимоги щодо захисту інформації. У положенні №382-П також зазначено обов'язок проведення кредитними організаціями оцінки виконання вимог до забезпечення ІБ не рідше 1 разу на 2 роки, чітко визначено методику оцінки відповідності, критерії аудиту та порядок документування її результатів. На наш погляд, поява вищевказаних нормативних актів має підвищити статистику проходження кредитними організаціями сертифікації за вимогами стандарту безпеки даних індустрії платіжних карток PCI DSS 2.0, розробленого за участю провідних міжнародних платіжних карток систем Visaта MasterCard.

Банківська діяльність завжди була пов'язана з обробкою та зберіганням великої кількості конфіденційних даних. Насамперед це персональні дані про клієнтів, про їх вклади та про всі операції.

Вся комерційна інформація, що зберігається та обробляється в кредитних організаціях, наражається на найрізноманітніші ризики, пов'язані з вірусами, виходом з ладу апаратного забезпечення, збоями операційних систем тощо. Але ці проблеми не здатні завдати скільки-небудь серйозної шкоди. Щоденне резервне копіювання даних, без якого неможлива робота інформаційної системи будь-якого підприємства, зводить ризик безповоротної втрати інформації до мінімуму. Крім того, добре розроблені та широко відомі способи захисту від перерахованих загроз. Тому першому плані виходять ризики, пов'язані з несанкціонованим доступом до конфіденційної інформації (НСД).

Несанкціонований доступ – це реальність

На сьогоднішній день найбільш поширені три способи крадіжки конфіденційної інформації. По-перше, фізичний доступ до місць її зберігання та обробки. Тут є безліч варіантів. Наприклад, зловмисники можуть забратися в офіс банку вночі та вкрасти жорсткі диски з усіма базами даних. Можливий навіть озброєний наліт, який має на меті не гроші, а інформацію. Не виключено ситуації, коли сам співробітник банку може винести носій інформації за межі території.

По-друге, використання резервних копій. У більшості банків системи резервування важливих даних ґрунтуються на стрімерах. Вони записують копії на магнітні стрічки, які потім зберігаються в окремому місці. Доступ до них регламентується набагато м'якше. При їх транспортуванні та зберіганні відносно велика кількість людей може зняти з них копії. Ризики, пов'язані з резервним копіюванням конфіденційних даних, не можна недооцінювати. Наприклад, більшість експертів упевнені, що бази даних проводок, що з'явилися у продажу в 2005 році. Центрального БанкуРФ було вкрадено саме завдяки знятим з магнітних стрічок копіям. У світовій практиці відомо чимало таких інцидентів. Зокрема, у вересні минулого року співробітники компанії Chase Card Services (підрозділ JPMorgan Chase & Co.), постачальника кредитних карток, помилково викинули п'ять магнітних стрічок з резервними копіями, що містять інформацію про 2,6 млн. власників кредитних рахунків Circuit City.

По-третє, найімовірніший спосіб витоку конфіденційної інформації - несанкціонований доступ співробітниками банку. При використанні для поділу прав лише стандартних засобів операційних систем у користувачів нерідко існує можливість опосередковано (за допомогою певного програмного забезпечення) повністю скопіювати бази даних, з якими вони працюють, і винести їх за межі компанії. Іноді співробітники роблять це без жодного злого наміру, просто щоб попрацювати з інформацією вдома. Однак такі дії є серйозним порушенням політики безпеки і можуть стати (і стають!) причиною розголосу конфіденційних даних.

Крім того, у будь-якому банку є група людей, які мають у локальній мережі підвищені привілеї. Йдеться про системних адміністраторів. З одного боку, це необхідно їм для виконання службових обов'язків. Але, з іншого боку, у них з'являється можливість отримати доступ до будь-якої інформації та «замістити сліди».

Таким чином, система захисту банківської інформації від несанкціонованого доступу має складатися як мінімум із трьох підсистем, кожна з яких забезпечує захист від свого виду загроз. Це підсистема захисту від фізичного доступу до даних, підсистема безпеки резервних копій і підсистема захисту від інсайдерів. І бажано не нехтувати жодною з них, оскільки кожна загроза може спричинити розголошення конфіденційних даних.

Банкам закон не писаний?

В даний час діяльність банків регламентується федеральним законом «Про банки та банківської діяльності». У ньому, крім усього іншого, запроваджується поняття «банківська таємниця». Відповідно до нього будь-яка кредитна організація зобов'язана забезпечувати конфіденційність всіх даних про вклади клієнтів. За їх розголошення вона несе відповідальність, включаючи відшкодування завданих витоком інформації збитків. При цьому жодних вимог щодо безпеки банківських інформаційних систем не пред'являється. Це означає, що всі рішення щодо захисту комерційних даних банки приймають самостійно, ґрунтуючись на досвіді своїх фахівців або сторонніх компаній (наприклад, які здійснюють аудит інформаційної безпеки). Єдиною рекомендацією є стандарт ЦБ РФ «Забезпечення інформаційної безпеки організацій банківської системи Російської Федерації. Загальні положення". Вперше він з'явився у 2004 році, а у 2006 був прийнятий новий його варіант. При створенні та доопрацюванні цього відомчого документа використовувалися чинні російські та міжнародні стандартиу сфері інформаційної безпеки.

ЦБ РФ може лише рекомендувати його іншим банкам, але може наполягати на обов'язковому внедрении. З іншого боку, у стандарті мало чітких вимог, визначальних вибір конкретних продуктів. Він, безумовно, важливий, але в Наразінемає серйозного практичного значення. Наприклад, про сертифіковані продукти в ньому сказано так: «...можуть використовуватись сертифіковані або дозволені до застосування засоби захисту інформації від НСД». Відповідного списку немає.

Перераховані у стандарті та вимоги до криптографічних засобів захисту інформації в банках. І ось тут уже є більш-менш чітке визначення: «СКЗІ... мають бути реалізовані на основі алгоритмів, що відповідають національним стандартам РФ, умовам договору з контрагентом та (або) стандартам організації». Підтвердити відповідність модуля криптографічного ГОСТ 28147-89 можна шляхом сертифікації. Тому при використанні в банку систем шифрування бажано застосовувати сертифіковані ФСБ РФ програмні або апаратні криптопровайдери, тобто зовнішні модулі, що підключаються до програмного забезпечення та реалізують процес шифрування.

У липні минулого року було прийнято Федеральний законРосійської Федерації «Про персональні дані», який набрав чинності 1 січня 2007 року. Деякі експерти пов'язували з ним появу більш певних вимог до банківських систем захисту, оскільки банки належать до організацій, які обробляють персональні дані. Однак сам закон, безумовно дуже важливий в цілому, на сьогоднішній день не застосовується на практиці. Проблема полягає у відсутності стандартів захисту приватних даних та органів, які могли б контролювати їхнє виконання. Тобто виходить, що банки вільні у виборі систем захисту комерційної інформації.

Захист від фізичного доступу

Банки зазвичай приділяють дуже велику увагу фізичної безпеки операційних відділень, відділень зберігання цінностей тощо. Усе це знижує ризик несанкціонованого доступу до комерційної інформації фізичним доступом. Однак офіси банків та технічні приміщення, в яких розміщуються сервери, за ступенем захисту зазвичай не відрізняються від офісів інших компаній. Тому для мінімізації описаних ризиків необхідно використовувати систему криптографічного захисту.

Сьогодні на ринку є велика кількість утиліт, які здійснюють шифрування даних. Проте особливості їхньої обробки в банках пред'являють до відповідного ПЗ додаткові вимоги. По-перше, у системі криптографічного захисту має бути реалізований принцип прозорого шифрування. При використанні даних в основному сховище завжди знаходяться тільки в закодованому вигляді. Крім того, ця технологія дає змогу мінімізувати витрати на регулярну роботу з даними. Їх не потрібно щодня розшифровувати та зашифровувати. Доступ до інформації здійснюється за допомогою спеціального програмного забезпечення, встановленого на сервері. Воно автоматично розшифровує інформацію під час звернення до неї та зашифровує перед записом на жорсткий диск. Ці операції здійснюються прямо в оперативній пам'яті сервера.

По-друге, банківські бази даних є дуже об'ємними. Таким чином, криптографічна система захисту має працювати не з віртуальними, а з реальними розділами вінчестерів, RAID-масивами та іншими серверними носіями інформації, наприклад, зі сховищами SAN. Справа в тому, що файли-контейнери, які можуть підключатися до системи як віртуальні диски, не призначені для роботи з великими обсягами даних. У тому випадку, коли віртуальний диск, створений з такого файлу, має великий розмір, при зверненні до нього одночасно навіть кількох людей можна спостерігати значне зменшення швидкості читання та запису інформації. Робота ж кількох десятків людей з файлом-контейнером великого обсягу може перетворитися на муку. Крім того, потрібно враховувати, що ці об'єкти схильні до ризику пошкодження через віруси, збоїв файлової системи і т.д. Адже, по суті, вони є звичайними файлами, але досить великого розміру. І навіть невелика їх зміна може призвести до неможливості декодування всієї інформації, що міститься в ньому. Обидва ці обов'язкові вимогиЗначно звужують коло відповідних реалізації захисту товарів. Фактично сьогодні на російському ринку є лише кілька таких систем.

Детально розглядати технічні особливостісерверних систем криптографічного захисту інформації немає потреби, оскільки в одному з минулих номерів ми вже порівнювали ці продукти. (Столяров Н., Давлетханов М. UTM-захист.) Але слід зазначити деякі особливості таких систем, наявність яких бажано для банків. Перша пов'язана з вже згаданою сертифікацією криптографічного модуля, що використовується. Відповідне програмне чи апаратне забезпечення вже є у більшості банків. Тому система серверного захисту інформації повинна передбачати можливість їх підключення та використання. Другою особливою вимогою до системи захисту є можливість інтеграції в систему фізичної безпеки офісу та/або серверної кімнати. Це дозволяє захистити інформацію від несанкціонованого доступу, пов'язаного з крадіжкою, зломом тощо.

Особлива увага в банках має приділятися безпеці інформації, оскільки вона фактично є грошима клієнтів. Тому в системі захисту мають бути передбачені спеціальні можливості, які мінімізують ризик її втрати. Однією з найпомітніших є функція визначення зіпсованих секторів на жорсткому диску. Крім того, велику важливість має можливість призупинення та скасування процесів початкового зашифровування диска, його розшифровування та перешифрування. Це досить тривалі процедури, будь-який збій, під час яких загрожує повною втратою всіх даних.

Дуже значний вплив на ризики, пов'язані з несанкціонованим доступом до конфіденційної інформації, має людський чинник. Тому бажано, щоб система захисту передбачала можливість зменшення такого взаємозв'язку. Досягається це шляхом використання надійних засобів зберігання ключів шифрування – смарт-карток або USB-ключів. Оптимальним є входження цих токенів до складу продукту, воно дозволяє не тільки оптимізувати витрати, а й забезпечує повну сумісність програмного та апаратного забезпечення.

Інший важливою функцією, що дозволяє мінімізувати вплив людського фактора на надійність системи захисту, є кворум ключів. Суть його полягає у поділі ключа шифрування на кілька частин, кожна з яких віддається у користування одному відповідальному співробітнику. Для підключення закритого диска потрібна наявність заданої кількості частин. Причому воно може бути меншим від загальної кількості частин ключа. Такий підхід дозволяє убезпечити дані від нецільового використання відповідальними співробітниками, а також забезпечує необхідну для роботи банку гнучкість.

Захист резервних копій

Регулярне резервування всієї інформації, що зберігається в банку, - абсолютно необхідний захід. Вона дозволяє суттєво знизити збитки у разі виникнення таких проблем, як псування даних вірусами, вихід з ладу апаратного забезпечення тощо. Але вона посилює ризики, пов'язані з несанкціонованим доступом. Практика показує, що носії, на які записуються резервні копії, повинні зберігатися не в серверній кімнаті, а в іншому приміщенні або будівлі. В іншому випадку при виникненні пожежі або іншого серйозного інциденту безповоротно загубленими можуть виявитися як дані, так і їх архіви. Надійно захистити резервні копії від несанкціонованого використання можна лише за допомогою криптографії. У цьому випадку, зберігаючи ключ шифрування у себе, офіцер безпеки може спокійно передавати носії з архівами технічному персоналу.

Основна складність в організації криптографічного захисту резервних копій полягає в необхідності розподілу обов'язків з управління архівуванням даних. Налаштовувати та здійснювати процес резервного копіювання повинен системний адміністратор або інший технічний співробітник. Керувати ж шифруванням інформації має відповідальний співробітник – офіцер безпеки. При цьому необхідно розуміти, що резервування у переважній більшості випадків здійснюється в автоматичному режимі. Вирішити цю проблему можна лише шляхом «вбудовування» системи криптографічного захисту між системою керування резервним копіюванням та пристроями, що здійснюють запис даних (стримери, DVD-приводи тощо).

Таким чином, криптографічні продукти для можливості їх застосування в банках повинні також мати можливість роботи з різними пристроями, що використовуються для запису резервних копій на носії інформації: стримерами, CD-і DVD-приводами, жорсткими жорсткими дисками, що знімаються і т.п.

На сьогодні існує три типи продуктів, покликаних мінімізувати ризики, пов'язані з несанкціонованим доступом до резервних копій. До першого відносяться спеціальні пристрої. Такі апаратні рішення мають безліч переваг, у тому числі надійне шифрування інформації, і висока швидкість роботи. Однак вони мають три суттєві недоліки, які не дозволяють використовувати їх у банках. Перший: дуже висока вартість (десятки тисяч доларів). Другий: можливі проблеми c ввезенням до Росії (не можна забувати, що ми говоримо про криптографічні засоби). Третій мінус полягає у неможливості підключити до них зовнішні сертифіковані криптопровайдери. Ці плати працюють лише з реалізованими в них на апаратному рівні алгоритмами шифрування.

Другу групу систем захисту криптографічного захисту резервних копій складають модулі, які пропонують своїм клієнтам розробники програмного та апаратного забезпечення для резервного копіювання. Існують вони для всіх найбільш відомих у цій галузі продуктів: ArcServe, Veritas Backup Exec та ін. Правда, і вони мають свої особливості. Найголовніша – це робота тільки зі «своїм» ПЗ або накопичувачем. Тим часом інформаційна система банку постійно розвивається. І можлива ситуація, коли заміна чи розширення системи резервного копіювання може вимагати додаткових витрат на модифікацію системи захисту. Крім того, у більшості продуктів цієї групи реалізовані старі повільні алгоритми шифрування (наприклад, 3DES), немає засобів керування ключами, відсутня можливість підключення зовнішніх криптопровайдерів.

Все це змушує звернути найпильнішу увагу на системи криптографічного захисту резервних копій із третьої групи. До неї відносяться спеціально розроблені програмні, програмно-апаратні та апаратні продукти, які не прив'язані до конкретних систем архівування даних. Вони підтримують широкий спектр пристроїв запису інформації, що дозволяє застосовувати їх у всьому банку, включаючи всі його філії. Це забезпечує однаковість використовуваних засобів захисту та мінімізацію експлуатаційних витрат.

Щоправда, варто відзначити, що, незважаючи на всі їхні переваги, на ринку представлено зовсім небагато продуктів із третьої групи. Це, швидше за все, відсутністю великого попиту системи криптографічного захисту резервних копій. Щойно керівництво банків та інших великих організацій усвідомлює реальність ризиків, пов'язаних з архівуванням комерційної інформації, кількість гравців на цьому ринку зросте.

Захист від інсайдерів

Останні дослідження в галузі інформаційної безпеки, наприклад, щорічне CSI/FBI Computer Crime And Security Survey, показало, що фінансові втрати компаній від більшості загроз рік у рік знижуються. Проте є кілька ризиків, збитки яких зростають. Одне з них - навмисний крадіжка конфіденційної інформації або порушення правил поводження з нею тими співробітниками, доступ яких до комерційних даних необхідний для виконання службових обов'язків. Їх називають інсайдерами.

У переважній більшості випадків крадіжка конфіденційної інформації здійснюється за допомогою мобільних носіїв: CD та DVD-дисків, ZIP-пристроїв та, найголовніше, різноманітних USB-накопичувачів. Саме їхнє масове поширення і призвело до розквіту інсайдерства по всьому світу. Керівники більшості банків чудово розуміють, чим може загрожувати, наприклад, потрапляння бази даних із персональними даними їхніх клієнтів або, тим більше, проводками за їхніми рахунками до рук кримінальних структур. І вони намагаються боротися з ймовірним злодійством інформації доступними їм організаційними методами.

Проте організаційні методи даному випадкунеефективні. Сьогодні можна організувати перенесення інформації між комп'ютерами за допомогою мініатюрної флешки, стільникового телефону, mp3-плеєра, цифрового фотоапарата... Звичайно, можна спробувати заборонити проносити на територію офісу всі ці пристрої, проте це, по-перше, негативно позначиться на відносинах із співробітниками , а по-друге, налагодити реально дієвий контроль над людьми все одно дуже складно – банк не «поштова скринька». І навіть відключення на комп'ютерах всіх пристроїв, які можуть використовуватися для запису інформації на зовнішні носії (FDD та ZIP-диски, CD та DVD-приводи тощо), USB-портів не допоможе. Адже перші потрібні для роботи, а до других підключається різна периферія: принтери, сканери тощо. І ніхто не може завадити людині відключити на хвилину принтер, вставити в порт флеш-диск, що звільнився, і скопіювати на нього важливу інформацію. Можна, звісно, знайти оригінальні способи захисту. Наприклад, в одному банку спробували такий метод вирішення проблеми: залили місце з'єднання USB-порту та кабелю епоксидною смолою, намертво «прив'язавши» останній до комп'ютера. Але, на щастя, сьогодні існують більш сучасні, надійні та гнучкі способи контролю.

Самим ефективним засобоммінімізації ризиків, пов'язаних з інсайдерами, є спеціальне програмне забезпечення, що здійснює динамічне керування всіма пристроями та портами комп'ютера, які можуть використовуватись для копіювання інформації. Принцип їхньої роботи такий. Для кожної групи користувачів або для кожного користувача окремо надаються дозволи на використання різних портів та пристроїв. Найбільша перевага такого ПЗ - гнучкість. Вводити обмеження можна для конкретних типів пристроїв, їх моделей та окремих екземплярів. Це дозволяє реалізовувати дуже складні політикирозподілу прав доступу.

Наприклад, деяким співробітникам можна дозволити використовувати будь-які принтери та сканери, підключені до USB-портів. Однак інші пристрої, вставлені в цей порт, залишаться недоступними. Якщо ж у банку застосовується система аутентифікації користувачів, заснована на токена, то в налаштуваннях можна вказати модель ключів, що використовується. Тоді користувачам буде дозволено використовувати лише придбані компанією пристрої, а решта виявиться марними.

Виходячи з описаного вище принципу роботи систем захисту можна зрозуміти, які моменти важливі при виборі програм, що реалізують динамічне блокування пристроїв запису та портів комп'ютера. По-перше, це універсальність. Система захисту повинна охоплювати весь спектр можливих портів та пристроїв введення-виведення інформації. Інакше ризик крадіжки комерційної інформації залишається неприпустимо високим. По-друге, ПЗ, що розглядається, має бути гнучким і дозволяти створювати правила з використанням великої кількості різноманітної інформації про пристрої: їх типів, виробників моделей, унікальних номерів, які є у кожного екземпляра і т.п. Ну і, по-третє, система захисту від інсайдерів повинна мати можливість інтеграції з інформаційною системою банку, зокрема Active Directory. В іншому випадку адміністратору або офіцеру безпеки доведеться вести по дві бази користувачів та комп'ютерів, що не тільки незручно, а й збільшує ризик виникнення помилок.

Підбиваємо підсумки

Отже, сьогодні на ринку є продукти, за допомогою яких будь-який банк може організувати надійну систему захисту від несанкціонованого доступу та нецільового використання. Щоправда, при їх виборі потрібно бути дуже обережним. В ідеалі цим мають займатися власні спеціалісти відповідного рівня. Дозволяється використання послуг сторонніх компаній. Однак у цьому випадку можлива ситуація, коли банку буде майстерно нав'язане не адекватне програмне забезпечення, а те, що вигідне фірмі-постачальнику. Крім того, вітчизняний ринок консалтингу в галузі інформаційної безпеки перебуває у зародковому стані.

Тим часом зробити правильний вибірдуже просто. Достатньо озброїтись переліченими нами критеріями та уважно вивчити ринок систем безпеки. Але тут є підводний камінь, про який необхідно пам'ятати. В ідеальному випадку система інформаційної безпеки банку має бути єдиною. Тобто всі підсистеми повинні інтегруватися в існуючу інформаційну систему та, бажано, мати загальне управління. В іншому випадку неминучими є підвищені трудовитрати на адміністрування захисту та збільшення ризиків через помилки в управлінні. Тому для побудови всіх трьох описаних підсистем захисту краще вибирати продукти, випущені одним розробником. Сьогодні у Росії є компанії, які створюють усе необхідне захисту банківської інформації від несанкціонованого доступу.

Несанкціонований доступ – це реальність

По-друге, використання резервних копій. У більшості банків системи резервування важливих даних ґрунтуються на стрімерах. Вони записують копії на магнітні стрічки, які потім зберігаються в окремому місці. Доступ до них регламентується набагато м'якше. При їх транспортуванні та зберіганні відносно велика кількість людей може зняти з них копії. Ризики, пов'язані з резервним копіюванням конфіденційних даних, не можна недооцінювати. Наприклад, більшість експертів упевнені, що бази даних проводок Центрального Банку РФ, що з'явилися у продажу в 2005 році, були вкрадені саме завдяки знятим з магнітних стрічок копіям. У світовій практиці відомо чимало таких інцидентів. Зокрема, у вересні минулого року співробітники компанії Chase Card Services (підрозділ JPMorgan Chase & Co.), постачальника кредитних карток, помилково викинули п'ять магнітних стрічок з резервними копіями, що містять інформацію про 2,6 млн. власників кредитних рахунків Circuit City.

Банкам закон не писаний?

Нині діяльність банків регламентується федеральним законом «Про банки та банківську діяльність». У ньому, крім усього іншого, запроваджується поняття «банківська таємниця». Відповідно до нього будь-яка кредитна організація зобов'язана забезпечувати конфіденційність всіх даних про вклади клієнтів. За їх розголошення вона несе відповідальність, включаючи відшкодування завданих витоком інформації збитків. При цьому жодних вимог щодо безпеки банківських інформаційних систем не пред'являється. Це означає, що всі рішення щодо захисту комерційних даних банки приймають самостійно, ґрунтуючись на досвіді своїх фахівців або сторонніх компаній (наприклад, які здійснюють аудит інформаційної безпеки). Єдиною рекомендацією є стандарт ЦБ РФ «Забезпечення інформаційної безпеки організацій банківської системи Російської Федерації. Загальні положення". Вперше він з'явився у 2004 році, а у 2006 був прийнятий новий його варіант. При створенні та доопрацюванні цього відомчого документа використовувалися чинні російські та міжнародні стандарти у сфері інформаційної безпеки.

ЦБ РФ може лише рекомендувати його іншим банкам, але може наполягати на обов'язковому внедрении. З іншого боку, у стандарті мало чітких вимог, визначальних вибір конкретних продуктів. Він, безумовно, важливий, але зараз немає серйозного практичного значення. Наприклад, про сертифіковані продукти в ньому сказано так: «...можуть використовуватись сертифіковані або дозволені до застосування засоби захисту інформації від НСД». Відповідного списку немає.

У липні минулого року було прийнято федеральний закон Російської Федерації «Про персональні дані», який набрав чинності 1 січня 2007 року. Деякі експерти пов'язували з ним появу більш певних вимог до банківських систем захисту, оскільки банки належать до організацій, які обробляють персональні дані. Однак сам закон, безумовно дуже важливий в цілому, на сьогоднішній день не застосовується на практиці. Проблема полягає у відсутності стандартів захисту приватних даних та органів, які могли б контролювати їхнє виконання. Тобто виходить, що банки вільні у виборі систем захисту комерційної інформації.

Захист від фізичного доступу

По-друге, банківські бази даних є дуже об'ємними. Таким чином, криптографічна система захисту має працювати не з віртуальними, а з реальними розділами вінчестерів, RAID-масивами та іншими серверними носіями інформації, наприклад, зі сховищами SAN. Справа в тому, що файли-контейнери, які можуть підключатися до системи як віртуальні диски, не призначені для роботи з великими обсягами даних. У тому випадку, коли віртуальний диск, створений з такого файлу, має великий розмір, при зверненні до нього одночасно навіть кількох людей можна спостерігати значне зменшення швидкості читання та запису інформації. Робота ж кількох десятків людей з файлом-контейнером великого обсягу може перетворитися на муку. Крім того, потрібно враховувати, що ці об'єкти схильні до ризику пошкодження через віруси, збоїв файлової системи і т.д. Адже, по суті, вони є звичайними файлами, але досить великого розміру. І навіть невелика їх зміна може призвести до неможливості декодування всієї інформації, що міститься в ньому. Обидві ці обов'язкові вимоги суттєво звужують коло відповідних реалізації захисту продуктів. Фактично сьогодні російському ринку є лише кілька таких систем.

Докладно розглядати технічні особливості серверних систем криптографічного захисту інформації не потрібно, оскільки в одному з минулих номерів ми вже порівнювали ці продукти. (Столяров Н., Давлетханов М. UTM-захист.) Але слід зазначити деякі особливості таких систем, наявність яких бажано для банків. Перша пов'язана з вже згаданою сертифікацією криптографічного модуля, що використовується. Відповідне програмне чи апаратне забезпечення вже є у більшості банків. Тому система серверного захисту інформації має передбачати можливість їх підключення та використання. Другою особливою вимогою до системи захисту є можливість інтеграції в систему фізичної безпеки офісу та/або серверної кімнати. Це дозволяє захистити інформацію від несанкціонованого доступу, пов'язаного з крадіжкою, зломом тощо.

Іншою важливою функцією, що дозволяє мінімізувати вплив людського фактора на надійність системи захисту, є кворум ключів. Суть його полягає у поділі ключа шифрування на кілька частин, кожна з яких віддається у користування одному відповідальному співробітнику. Для підключення закритого диска потрібна наявність заданої кількості частин. Причому воно може бути меншим від загальної кількості частин ключа. Такий підхід дозволяє убезпечити дані від нецільового використання відповідальними співробітниками, а також забезпечує необхідну для роботи банку гнучкість.

Захист резервних копій

На сьогодні існує три типи продуктів, покликаних мінімізувати ризики, пов'язані з несанкціонованим доступом до резервних копій. До першого відносяться спеціальні пристрої. Такі апаратні рішення мають безліч переваг, у тому числі надійне шифрування інформації, і висока швидкість роботи. Однак вони мають три суттєві недоліки, які не дозволяють використовувати їх у банках. Перший: дуже висока вартість (десятки тисяч доларів). Другий: можливі проблеми із ввезенням до Росії (не можна забувати, що ми говоримо про криптографічні засоби). Третій мінус полягає у неможливості підключити до них зовнішні сертифіковані криптопровайдери. Ці плати працюють лише з реалізованими в них на апаратному рівні алгоритмами шифрування.

Захист від інсайдерів

Проте організаційні методи у разі неефективні. Сьогодні можна організувати перенесення інформації між комп'ютерами за допомогою мініатюрної флешки, стільникового телефону, mp3-плеєра, цифрового фотоапарата... Звичайно, можна спробувати заборонити проносити на територію офісу всі ці пристрої, проте це, по-перше, негативно позначиться на відносинах із співробітниками , а по-друге, налагодити реально дієвий контроль над людьми все одно дуже складно – банк не «поштова скринька». І навіть відключення на комп'ютерах всіх пристроїв, які можуть використовуватися для запису інформації на зовнішні носії (FDD та ZIP-диски, CD та DVD-приводи тощо), USB-портів не допоможе. Адже перші потрібні для роботи, а до других підключається різна периферія: принтери, сканери тощо. І ніхто не може завадити людині відключити на хвилину принтер, вставити в порт флеш-диск, що звільнився, і скопіювати на нього важливу інформацію. Можна, звісно, знайти оригінальні способи захисту. Наприклад, в одному банку спробували такий метод вирішення проблеми: залили місце з'єднання USB-порту та кабелю епоксидною смолою, намертво «прив'язавши» останній до комп'ютера. Але, на щастя, сьогодні існують більш сучасні, надійні та гнучкі способи контролю.

Найефективнішим засобом мінімізації ризиків, пов'язаних з інсайдерами, є спеціальне програмне забезпечення, що здійснює динамічне керування всіма пристроями та портами комп'ютера, які можуть використовуватись для копіювання інформації. Принцип їхньої роботи такий. Для кожної групи користувачів або для кожного користувача окремо надаються дозволи на використання різних портів та пристроїв. Найбільша перевага такого ПЗ - гнучкість. Вводити обмеження можна для конкретних типів пристроїв, їх моделей та окремих екземплярів. Це дозволяє реалізовувати дуже складні політики розподілу прав доступу.

Підбиваємо підсумки

Тим часом зробити правильний вибір зовсім нескладно. Достатньо озброїтись переліченими нами критеріями та уважно вивчити ринок систем безпеки. Але тут є підводний камінь, про який необхідно пам'ятати. В ідеальному випадку система інформаційної безпеки банку має бути єдиною. Тобто всі підсистеми повинні інтегруватися до існуючої інформаційної системи і, бажано, мати загальне управління. В іншому випадку неминучими є підвищені трудовитрати на адміністрування захисту та збільшення ризиків через помилки в управлінні. Тому для побудови всіх трьох описаних підсистем захисту краще вибирати продукти, випущені одним розробником. Сьогодні у Росії є компанії, які створюють усе необхідне захисту банківської інформації від несанкціонованого доступу.

ІНФОРМАЦІЙНА БЕЗПЕКА БАНКУ

С.С. МИТЕНКОВ

Як відомо, з часу появи банки незмінно викликали злочинний інтерес. І цей інтерес був пов'язаний не тільки зі зберіганням у кредитних організаціях грошових коштів, але й з тим, що в банках зосереджувалася важлива та найчастіше секретна інформація про фінансову та господарської діяльностібагатьох людей, підприємств, організацій і навіть країн.

У наші дні у зв'язку із загальною інформатизацією та комп'ютеризацією банківської діяльності значення інформаційної безпеки банків багаторазово зросло. Ще 30 років тому об'єктом інформаційних атак були дані про клієнтів банків або діяльність самого банку. Тоді такі атаки були рідкісними, коло їх замовників було дуже вузьким, а збитки могли бути значними лише в особливих випадках. В даний час в результаті повсюдного поширення електронних платежів, пластикових карток, комп'ютерних мереж, популярності послуг, що стрімко зростають, послуг, що надаються клієнтам за допомогою Інтернет-технологій, об'єктом інформаційних атак стали безпосередньо грошові коштияк банків, і їх клієнтів. Здійснити спробу розкрадання може будь-який - потрібна лише наявність комп'ютера, підключеного до мережі Інтернет. Причому для цього не потрібно фізично проникати до банку, можна «працювати» і за тисячі кілометрів від нього.

Наприклад, у серпні 1995 р. у Великобританії було заарештовано 24-річного російського математика Володимира Левіна, який за допомогою свого домашнього комп'ютера в Петербурзі зумів підібрати ключі до системи банківського захисту одного з найбільших американських банків Citibank і спробував зняти з його рахунків великі суми. За даними московського представництва Citibank, доти подібне нікому не вдавалося. Служба безпеки Citibank з'ясувала, що банк намагався викрасти 2,8 млн дол., але контролюючі системи вчасно це виявили і заблокували рахунки. Вкрасти ж Володимиру Левіну вдалося лише

400 тис. дол. для здобуття яких він виїхав до Англії, де і був заарештований.

Комп'ютеризація банківської діяльності дозволила значно підвищити продуктивність праці співробітників банку, запровадити нові фінансові продукти та технології. Однак прогрес у техніці злочинів йшов не менш швидкими темпами, ніж розвиток банківських технологій.

Нині понад 90% всіх злочинів у цій сфері пов'язані з використанням автоматизованих систем обробки інформації банку (АСОІБ). Отже, при створенні та модернізації АСОІБ банкам необхідно приділяти пильну увагу забезпеченню її безпеки.

Саме ця проблема є зараз найактуальнішою і, на жаль, найменш дослідженою. Якщо у забезпеченні фізичної та класичної інформаційної безпеки давно вже вироблені усталені підходи (хоча розвиток відбувається і тут), то у зв'язку з частими радикальними змінами в комп'ютерних технологіях методи безпеки АСОІБ потребують постійного вдосконалення та оновлення. Як показує практика, немає складних комп'ютерних систем, які містять помилок. А оскільки ідеологія побудови великих АСОІБ регулярно змінюється, то виправлення знайдених помилок і «дір» у системах безпеки вистачає ненадовго, оскільки нова комп'ютерна система приносить нові проблеми та нові помилки, потрібна адекватна перебудова та системи безпеки.

Особливо актуальною є дана проблема в Росії. У західних банкахПрограмне забезпечення (ПЗ) розробляються безпосередньо під кожен банк, і пристрій АСОІБ багато в чому є комерційною таємницею. У Росії отримали роз-

1 Під класичною інформаційною безпекою розуміється система поділу прав доступу до інформації, заходи щодо захисту від прослуховування, запобігання витокам з боку персоналу та інші заходи, які безпосередньо не пов'язані з АСОІБ.

простір «стандартні» банківські пакети, інформація про які широко відома, що полегшує несанкціонований доступ до банківських пакетів комп'ютерні системи. Причому, по-перше, надійність «стандартного» ПЗ нижча через те, що розробник не завжди добре представляє конкретні умови, в яких цьому доведеться працювати, а по-друге, деякі російські банківські пакети не задовольняли умовам безпеки. Наприклад, ранні версії (які й досі експлуатуються в невеликих банках) найпопулярнішого російського банківського пакету вимагали наявності дисковода у персонального комп'ютера та використовували ключову дискету як інструмент забезпечення безпеки. Таке рішення, по-перше, технічно ненадійне, а по-друге, одна з вимог безпеки АСОІБ - закриття дисководів та портів введення-виведення в комп'ютерах співробітників, які не працюють із зовнішніми даними.

Для банків (на відміну інших підприємств) інформаційна безпека має вирішальне значення. Не слід забувати і про розвиток банківських інформаційних технологій, оскільки саме ці технології багато в чому визначають систему інформаційної безпеки банку.

Розглянемо кілька схем (рис. 1-6), які ілюструють основні тенденції у розвитку управління інформаційними технологіями комерційний банкна основі спеціалізованого міжнародного джерела Forrester Research. Inc. Ці схеми обрані випадковому порядку, а цінні тим, що реально існують. Тому рекомендується враховувати їх при виборі та формуванні власної ІТ-стратегії.

Першою тенденцією, яку хотілося б відзначити, є підвищення значення економічних параметрів під час прийняття рішень щодо вибору проектів (рис. 1). Подана схема показує, що у 80% випадків формальним обгрунтуванням початку технологічного проекту є параметри повернення інвестицій чи термін окупності проекту.

Інші тенденції стосуються зміни ролі ІТ-підрозділу банку (рис. 2). Наведені дані ілюструють, що більшість респондентів відзначають зростання співпраці з бізнес-підрозділами. Також відзначаються такі зміни, як посилення централізації та контролю, спрямованості на результати бізнесу та впровадження нових технологій та рішень. Тільки близько 10% респондентів відзначають відсутність будь-яких змін.

Який формальний процес обґрунтування використовує Ваш банк, щоб вирішити чи варто починати технологічний проект?

Термін окупності

Мал. 1. Тенденції у підходах до обґрунтування проектів

НАЦІОНАЛЬНІ ІНТЕРЕСИ: пріоритети та безпека

Зростання співпраці з бізнесом

Посилення централізованого контролю

Збільшення спрямованості на результати бізнесу

Збільшення спрямованості на нові технології

Відсутність змін

Мал. 2. Зміна ролі ІТ-підрозділу

Наступний графік (рис. 3) ілюструє дедалі активніше залучення вищого керівництва банків процес прийняття ІТ-решений. Як вважають 40% респондентів, вимагають обов'язкового обґрунтування та погодження з вищим керівництвом будь-які проекти в галузі ІТ. А необхідність такого погодження для проектів вартістю понад 100 тис. дол. визнають близько 87% опитаних.

Останнім часом спостерігається суттєве підвищення частки сторонніх послуг, організації дедалі частіше використовують аутсорсинг. При цьому вони прагнуть передавати стороннім організаціям практично всі неключові для бізнесу функції (рис. 4). Сьогодні в середньому 28% коштів ІТ-бюджету дістаються стороннім постачальникам рішень та послуг, що не може не позначитися на безпеці загалом. Близько 40% опитаних зазначають, що вони передали (повністю чи частково) іншим постачальникам такі свої технологічні функції, як розробка, підтримка та експлуатація додатків.

Наступна схема (рис. 5) показує тенденції у зміні структури ІТ-служби та базових показників оцінки її діяльності. Серед основних тенденцій відзначаються: збільшення централізації, прагнення більше відповідати інтересам бізнесу, збільшення кількості використовуваних

□ Які інфроструктурні технологічні проектичи вимагають обґрунтування для вищого керівництва?

Будь-які 10 тис.$ і 25 тис.$ і 50 тис.$ і 100 тис.$ 250 тис.$ 500 тис.$ 1 млн.$ і 3 млн.$ і 5 млн.$ і 10 млн.$ та проекти більше більше більше і більше і більше і більше більше більше більше більше

Мал. 3. Залучення вищого керівництва до процесу прийняття ІТ-рішень

Який процент Вашого 1Т-бюджету призначений на оплату зовнішніх постачальників технологій?

П У найближчі 2 роки - середн. 34% П Сьогодні – середн. 28%

Технічне постачання

Розробка, підтримка та експлуатація лєе-додатків

Розробка, підтримка та експлуатація додатків

користувачів / робочих станцій

Інфраструктура / back office

Які технологічні функції Ви надаєте зовнішнім постачальникам (принаймні частково)?

Мал. 4. Використання сторонніх послуг (аутсорсинт)

Як зміниться організаційна структураВашого 1Т-підрозділу в найближчі два роки?

Які показники Ви використовуєте, щоб виміряти успіх 1Т-діяльності та продемонструвати її цінність?

Розробка загальних центрів обслуговування

Більше контролюючих стандартів

Ніяк: ми не можемо більше змінюватися

Більша відповідність бізнесу

Ніяк: існуюча структура повністю задовольняє потреб

Збільшиться централізація

Показники, орієнтовані на клієнтів банку

Зниження витрат

Ефективність бізнесу

Тільки тактичні показники

Мал. 5. Тенденції у зміні структури та оцінки ІТ-підрозділів

стандартів з метою контролю ІТ. У більшості банків обробка даних здійснюється централізовано з метою зниження витрат та підвищення ефективності процесів. Крім того, існують й інші доводи на користь прийняття такого рішення: підвищення ефективності управління та контролю, включаючи підготовку управлінської звітності та виключення дублювання інформації.

ції, а також організація інформаційної безпеки, зменшення витрат на обслуговування обладнання; скорочення персоналу; стандартизація системних та бухгалтерських процедур.

З точки зору оцінки діяльності управління інформаційних технологій використання тактичних показників відзначається більшістю як найбільш поширений підхід,

У комерційних банків відзначають показники ефективності бізнесу та зниження витрат.

Ще однією показовою тенденцією в управлінні інформаційними технологіями є збільшення швидкості ухвалення рішень при купівлі ІТ-рішень: переважна більшість усіх рішень у цій галузі приймаються менш як за три місяці (рис. 6).

Як видно з вищесказаного, ІТ-стратегія не може бути складена без розуміння бізнес-стратегії і повинна на ній базуватися. Стратегічний план доцільно складати у вигляді двох документів – довгострокової стратегії та короткострокової. Довгострокова стратегіяскладається на 3-5 років і включає відповідні завдання та цілі, короткострокова - на термін від 1 до 3 років.

Обидва документи мають регулярно оновлюватись. Для довгострокового документа це може відбуватися на піврічній основі, для короткострокового – на щоквартальній. Усі оновлення виробляються у тісній взаємодії з бізнес-менеджерами та узгоджуються з вищим керівництвом організації.

Стратегія в галузі ІТ затверджується вищим керівництвом банку за результатами спільного попереднього опрацювання керівників ІТ- та бізнес-підрозділів. Така робота можлива в

в рамках засідань інформаційно-технологічного (або технічного) комітету банку.

Також найважливішим елементом стратегічного планування є контролю над виконанням. Стратегія не повинна бути декларативним документом, і основним способом досягнення цього є контроль за її виконанням, у тому числі з боку вищого керівництва банку, інформаційно-технологічного комітету.

За даними статистики, найбільша частина злочинів проти банків скоєно з використанням інсайдерської інформації. У зв'язку з цим необхідно приділяти постійну увагу забезпеченню інформаційної безпеки у сфері роботи з персоналом.

У міру розвитку та розширення сфери застосування засобів обчислювальної техніки гострота проблеми забезпечення безпеки обчислювальних систем та захисту інформації, що зберігається та обробляється в них, від різних загроз дедалі більше зростає. Для цього є ціла низка об'єктивних причин.

Основна з них - рівень довіри до автоматизованих систем обробки інформації. Їм довіряють найвідповідальнішу роботу, від якості якої залежить життя та добробут багатьох людей. ЕОМ керують

мережеве обладнання

Накопичувачі інформації

■ менше 1 року П менше 6 місяців 30% □ менше 3 місяців ] 31% □ менше місяця Р менше тижня

Мал. 6. Швидкість прийняття ІТ-рішень НАЦІОНАЛЬНІ ІНТЕРЕСИ: пріоритети та безпека

технологічними процесамина підприємствах та атомних електростанціях, рухами літаків та поїздів, виконують фінансові операції, обробляють секретну інформацію.

Сьогодні проблема захисту обчислювальних систем стає ще більшою у зв'язку з розвитком та розповсюдженням мереж ЕОМ. Розподілені системи та системи з віддаленим доступом висунули на перший план питання захисту оброблюваної та переданої інформації.

Доступність засобів обчислювальної техніки, і персональних ЕОМ, призвела до поширення комп'ютерної грамотності у широких верствах населення. Це, своєю чергою, викликало численні спроби втручання у роботу державних і комерційних, зокрема банківських, систем, як із злим наміром, і із суто «спортивного інтересу». Багато з цих спроб мали успіх і завдали значної шкоди власникам інформації та обчислювальних систем.

Неабиякою мірою це стосується різних комерційних структур та організацій, особливо тих, хто за родом своєї діяльності зберігає та обробляє цінну (у грошовому вираженні) інформацію, що стосується також інтереси великої кількості людей. У банках, коли справа стосується електронних платежів та автоматизованого веденнярахунків, така інформація до певної міри і являє собою гроші.

Цілісну картину всіх можливостей захисту створити досить складно, оскільки поки що немає єдиної теорії захисту комп'ютерних систем. Існує багато підходів та точок зору на методологію її побудови. Проте в цьому напрямку докладаються серйозні зусилля, як у практичному, так і в теоретичному плані, використовуються останні досягнення науки, залучаються передові технології. Причому займаються цією проблемою провідні фірми з виробництва комп'ютерів та програмного забезпечення, університети та інститути, а також великі банкита міжнародні корпорації.

Відомі різні варіантизахисту інформації – від охоронця на вході до математично вивірених способів приховування даних від ознайомлення. Крім того, можна говорити про глобальний захист та її окремі аспекти: захист персональних комп'ютерів, мереж, баз даних та ін.

Слід зазначити, що абсолютно захищених систем немає. Можна говорити про надійність системи, по-перше, лише з певною ймовірністю, а по-друге, про захист від певної якості.

тегорії порушників. Проте, проникнення в комп'ютерну систему можна передбачити. Захист - це свого роду змагання оборони та нападу: хто більше знає та передбачає дієві заходи, той і виграв.

Організація захисту АСОІБ – це єдиний комплекс заходів, які мають враховувати всі особливості процесу обробки інформації. Незважаючи на незручності, які завдають користувачеві під час роботи, у багатьох випадках засоби захисту можуть виявитися абсолютно необхідними для нормального функціонування системи. До основних зі згаданих незручностей слід віднести:

1) додаткові труднощі роботи з більшістю захищених систем;

2) збільшення вартості захищеної системи;

3) додаткове навантаження на системні ресурси, що вимагатиме збільшення робочого часу для виконання одного й того ж завдання у зв'язку з уповільненням доступу до даних та виконання операцій загалом;

4) необхідність залучення додаткового персоналу, який відповідає за підтримку працездатності системи захисту.

Сучасний банк важко уявити без автоматизованої інформаційної системи. Комп'ютер на столі банківського службовця вже давно перетворився на звичний та необхідний інструмент. Зв'язок комп'ютерів між собою і більш потужними комп'ютерами, і навіть з ЕОМ інших банків - також необхідна умовауспішної діяльності банку: дуже велика кількість операцій, які необхідно виконати протягом короткого періоду часу.

Нині у сфері Російської Федерації відзначається складна криміногенна обстановка. Вразливість діючих інформаційних систем та мереж від різноманітних форм неправомірного впливу визначила широкий спектр напрямів злочинної активності. У період з 2000 по 2004 р. кількість зареєстрованих у Росії злочинів, вчинених з використанням інформаційних технологій, збільшилася більш ніж у 9 разів і в минулому році перевищила 13 тис. Причому необхідно враховувати не тільки суми прямої шкоди, але й дуже дорогі заходи, які проводяться після успішних спроб злому комп'ютерних систем.

Послуги, що надаються банками сьогодні, значною мірою засновані на використанні

засобів електронної взаємодії банків між собою, банків та їх клієнтів та торгових партнерів. В даний час доступ до послуг банків став можливим із різних віддалених точок, включаючи домашні термінали та службові комп'ютери. Цей факт змушує відійти від концепції «зачинених дверей», яка була характерна для банків 1960-х рр., коли комп'ютери використовувалися в більшості випадків у пакетному режимі як допоміжний засіб і не мали зв'язку із зовнішнім світом.

Комп'ютерні системи, без яких не може обійтися жоден сучасний банк, - Джерело абсолютно нових, раніше невідомих загроз. Більшість з них обумовлено використанням у банківській справінових інформаційних технологій і характерні не лише для банків. При цьому слід пам'ятати, що в багатьох країнах, незважаючи на роль електронних систем обробки, що збільшується, обсяг операцій з паперовими документами в 3-4 рази вище, ніж з їх електронними аналогами.

Рівень оснащеності засобами автоматизації відіграє важливу роль діяльності банку і, отже, безпосередньо відбивається з його становищі і доходах. Посилення конкуренції між банками призводить до необхідності скорочення часу на виробництво розрахунків, збільшення номенклатури та підвищення якості послуг.

Чим менше часу займатимуть розрахунки між банком та клієнтами, тим вищим стане оборот банку і, отже, прибуток. Крім того, банк більш оперативно зможе реагувати на зміну фінансової ситуації. Різноманітність послуг банку (у першу чергу це стосується можливості безготівкових розрахунків між банком та його клієнтами з використанням пластикових карток) може суттєво збільшити кількість його клієнтів і, як наслідок, підвищити прибуток.

Для підтвердження цієї тези можна навести кілька фактів:

Втрати банків та інших фінансових організаційвід впливів з їхньої системи обробки інформації становлять близько 3 млрд дол. на рік;.

Обсяг втрат, пов'язаних із використанням пластикових карток, оцінюється у 2 млрд дол. на рік, що становить 0,03-2% загального обсягу платежів залежно від використовуваної системи;

27 млн дол. фунтів стерлінгів було вкрадено з Лондонського відділення Union Bank of Switzerland;

5 млн марок вкрадено з Chase Bank (Франкфурт); службовець переказав гроші до банку Гонконгу; вони були взяті з великої кількості рахунків (атака салямі), крадіжка виявилася успішною;

3 млн дол. - банк Стокгольма, крадіжка була здійснена з використанням привілейованого становища кількох службовців в інформаційній системі банку і також виявилася успішною.

Щоб убезпечити себе та своїх клієнтів, більшість банків вживають необхідних заходів захисту, серед яких захист АСОІБ займає не останнє місце. При цьому необхідно враховувати, що захист АСОІБ банку – дорогий та складний захід. Так, наприклад, Barclays Bank витрачає на захист своєї автоматизованої системи близько 20 млн. дол. щороку.

У першій половині 1994 р. Datapro Information Services Group здійснила поштове опитування серед випадково обраних менеджерів інформаційних систем. Метою опитування стало з'ясування стану справ у сфері захисту. Було отримано 1,153 анкети, на основі яких отримані наведені нижче результати:

1) близько 25% всіх порушень становлять стихійні лиха;

2) близько половини систем відчували раптові перерви електроживлення або зв'язку, причини яких мали штучний характер;

3) близько 3% систем зазнавали зовнішніх порушень (проникнення в систему організації);

4) 70-75% - внутрішні порушення, їх:

10% скоєно скривдженими та незадоволеними службовцями-користувачами АСОІБ банку; - 10%

Вчинені з корисливих спонукань персоналом системи; - 50-55% - результат ненавмисних помилок персоналу та/або користувачів системи внаслідок недбалості, недбалості чи некомпетентності.

Ці дані свідчать про те, що найчастіше відбуваються не такі порушення, як напади хакерів або крадіжка комп'ютерів з цінною інформацією, а звичайнісінькі, що випливають із повсякденної діяльності. У той же час саме навмисні атаки на комп'ютерні системи завдають найбільших одноразових збитків, а заходи захисту від них найбільш складні та дорогі. У зв'язку з цим проблема оптимізації захисту АСОІБ є найбільш актуальною у сфері інформаційної безпеки банків.

Існують два аспекти, що виділяють банки з кола інших комерційних систем:

1. Інформація у банківських системах є «живі гроші», які можна отримати, передати, витратити, вкласти і т.д.

2. Вона торкається інтересів великої кількості організацій та окремих осіб.

Тому інформаційна безпека банку – критично важлива умовайого існування. З огляду на це до банківських систем пред'являються підвищені вимоги щодо безпеки зберігання та обробки інформації. Вітчизняні банки також не зможуть уникнути долі тотальної автоматизації з таких причин:

посилення конкуренції між банками;

Необхідність скорочення часу виробництва розрахунків;

Необхідність покращувати сервіс.

У США, країнах Західної Європита багатьох інших, які зіткнулися з цією проблемою досить давно, в даний час створена ціла індустрія захисту економічної інформації, Що включає розробку та виробництво безпечного апаратного та програмного забезпечення, периферійних пристроїв, наукові дослідження та ін.

Сфера інформаційної безпеки – найбільш динамічна галузь розвитку індустрії безпеки загалом. Якщо забезпечення фізичної безпеки має давню традицію та усталені підходи, то інформаційна безпека постійно потребує нових рішень, т.к. комп'ютерні та телекомунікаційні технології постійно оновлюються, на комп'ютерні системи покладається все більша відповідальність.

Статистика показує, що переважна більшість великих організацій мають план із правилами доступу до інформації, а також план

відновлення після аварій. p align="justify"> Безпека електронних банківських систем залежить від великої кількості факторів, які необхідно враховувати ще на етапі проектування цієї системи. При цьому для кожного окремого виду банківських операційта електронних платежів або інших способів обміну конфіденційною інформацією є свої специфічні особливості захисту. Таким чином, організація захисту банківських систем є цілим комплексом заходів, які повинні враховувати як загальні концепції, так і специфічні особливості.

Очевидно, що автоматизація та комп'ютеризація банківської діяльності (і грошового обігу загалом) продовжують зростати. Основні зміни у банківській індустрії за останні десятиліттяпов'язані саме з розвитком інформаційних технологій. Можна прогнозувати подальше зниження обороту готівки та поступовий перехід на безготівкові розрахункиз використанням пластикових карток, мережі Інтернет та віддалених терміналів управління рахунком юридичних осіб.

Виходячи з того, що фактори, що визначають тенденції розвитку злочинності у сфері інформаційних технологій, у найближчій перспективі можуть не зазнати суттєвих змін, очевидно, не слід очікувати і на кординальні зміни криміногенної обстановки в інформаційній сфері. За збереження щорічних темпів зростання кількості реєстрованих злочинів на рівні, що не перевищує 30%, до 2015 р. їх кількість може перевищити позначку 200 тис. злочинів на рік. Втім, прогноз може й не виправдатися, якщо буде вжито адекватних заходів із використанням закордонного досвіду?