Защите подлежит любая документированная информация, неправомерное обращение с которой может нанести ущерб Банку и/или клиенту, доверившей свою информацию Банку.
К такой информации относятся:
1. Все операции по лицевым счетам распорядителей ассигнований.
2. Сроки получения заработной платы учреждениями и организациями (по «зарплатным» договорам).
3. Планы контрольно-ревизионной работы.
4. Акты внешних и внутренних проверок.
5. Сведения о суммах, поступившего от конкретного плательщика.
6. Переписка с правоохранительными органами.
7. Сведения служебного характера, обсуждаемые в ходе совещаний, проводимых руководителями.
8. Сведения, составляющие коммерческую тайну предприятий, фирм, банков и других хозяйствующих субъектов.
9. Данные о программном обеспечении, используемом для обработки "операционного дня".
10. Схема движения документов "операционного дня".
11. Структура автоматизированных систем, порядок администрирования АС и информационных ресурсов, подлежащих защите, списки паролей и имен активного оборудования.
12. Описание информационных потоков, топология телекоммуникаций Управления, схемы размещения элементов АС.
13. Система защиты информации.
14. Сведения об организационно-технических мероприятиях по защите информации.
15. Штатное расписание и численность работников банка.
16. Персональные данные о сотрудниках.
17. Сведения из личного дела работающего, трудовой книжки, карточки Ф.№Т-2.
18. Сведения о доходах гражданина и имуществе, принадлежащего ему на праве собственности, данные о заработной плате и других выплатах сотрудникам.
19. Материалы расследований по заявлениям граждан и нарушениям трудовой дисциплины.
20. Иные сведения, касающиеся деятельности банка, ограничения на распространение которых диктуются служебной необходимостью.
Ресурсы АС включают данные, информацию, программное обеспечение, аппаратные средства, средства обслуживания и телекоммуникации.
Режим защиты информации устанавливается
1.4.2. Возможные угрозы защищаемым информационным ресурсам
К числу идентифицированных угроз относятся:
1. Несанкционированный доступ.
2. Преднамеренные и непреднамеренные сбои в работе средств вычислительной техники, электрооборудования и т.п., ведущие к потере или искажению информации.
3. Перехват, искажение или изменение информации, передаваемой по каналам связи.
4. Нелегальное ознакомление с информацией.
1.4.3. Защита информационных ресурсов
Предотвращение возможных угроз защищаемым информационным ресурсам осуществляется:
1. От несанкционированного доступа - созданием системы защиты информации от НСД, которая представляет собой комплекс программно-технических средств и организационных решений.
К организационным решениям относится:
· обеспечение охраны объекта, на котором расположена защищаемая АС с целью предотвращения хищения СВТ, информационных носителей, а также НСД к СВТ и линиям связи;
· выбор класса защищенности АС в соответствии с особенностями обработки информации и уровнем ее конфиденциальности;
· организация учета, хранения и выдачи информационных носителей, паролей, ключей, ведение служебной документации, приемку включаемых в АС новых программных средств, а также контроль за ходом технологического процесса обработки конфиденциальной информации;
· разработка соответствующей организационно-распорядительной документации.
Подключение к глобальным вычислительным сетям осуществляется только по установлению действительной необходимости такого подключения, выполнении полного комплекса защитных мероприятий.
2. От преднамеренных и непреднамеренных сбоев в работе СВТ, электрооборудования и т.п., ведущих к потере или искажению информации.
Программное обеспечение (ПО), необходимое для функционирования информационной и телекоммуникационной систем оформляется в виде перечня и должно быть утверждено руководителем к применению.
Установка на рабочие места любых программ производится только специалистами ИТО. Самостоятельная установка программного обеспечения категорически запрещена.
С целью обеспечения защиты конфиденциальной информации от искажения или уничтожения в случае сбоев в работе СВТ и оборудования ведется резервирование защищаемой информации, а также используются источники бесперебойного питания. Периодичность и порядок проведения резервного копирования определяет администратор ЛВС, исходя из необходимости сохранности информации, ПО баз данных.
3. Перехват, искажение или изменение информации, передаваемой по каналам связи.
Передача конфиденциальной информации с грифом «Для служебного пользования» по открытым каналам связи с использованием электронной почты, факсимильной связи и любых других видов связи без использования средств шифрования запрещена.
Электронная почта используется для осуществления документооборота банка с другими организациями. Места размещения коммутационного оборудования по истечении рабочего дня опечатываются, двери закрываются на замок, доступ в них посторонним лицам без сопровождения ответственного лица запрещен. (Посторонними являются и сотрудники банка, которые по своим функциональным обязанностям не имеют отношения к эксплуатации данного оборудования).
Ответственными лицами регулярно проводится визуальный контроль всех телекоммуникаций с целью выявления или своевременного предотвращения попыток подключения специальных устройств для съема информации.
4. Нелегальное ознакомление с информацией.
С целью предотвращения нелегального ознакомления с информацией вход в помещения, где обрабатывается информация, подлежащая защите, должен быть ограничен.
При организации своего рабочего места сотрудник так располагает экран дисплея, чтобы затруднить просмотр информации выведенной на экран посторонним лицам.
При оставлении по каким-либо причинам своего рабочего места сотрудник обязан выйти из сети или заблокировать экран монитора.
Какой должна быть антивирусная защита?
В общем случае, антивирусная защита банковской информационной системы должна строиться по иерархическому принципу:
Службы всех уровней объединяются в единую вычислительную сеть (образуют единую инфраструктуру), посредством локальной вычислительной сети.
Службы общекорпоративного уровня должны функционировать в непрерывном режиме.
Управление всех уровней должно осуществляться специальным персоналом, для чего должны быть предусмотрены средства централизованного администрирования.
Антивирусная система должна предоставлять следующие виды сервисов на общекорпоративном уровне:
на уровне подразделений:
Функциональные требования
Общие требования
Требования к надежности и функционированию системы
1. На первом уровне защищают подключение в Интернет или сеть поставщика услуг связи - это межсетевой экран и почтовые шлюзы, поскольку по статистике именно оттуда попадает около 80% вирусов. Необходимо отметить что таким образом будет обнаружено не более 30% вирусов, так как оставшиеся 70% будут обнаружены только в процессе выполнения.
Применение антивирусов для межсетевых экранов на сегодняшний день сводится к осуществлению фильтрации доступа в Интернет при одновременной проверке на вирусы проходящего трафика.
Осуществляемая такими продуктами антивирусная проверка сильно замедляет работу и имеет крайне не высокий уровень обнаружения, по этому в отсутвии необходимости фильтрации посещаемых пользователями веб-узлов применение таких продуктов является не целесообразным.
2. Как правило, защищают файл-сервера, сервера баз данных и сервера систем коллективной работы, поскольку именно они содержат наиболее важную информацию. Антивирус не является заменой средствам резервного копирования информации, однако без него можно столкнуться с ситуацией, когда резервные копии заражены, а вирус активизируется спустя полгода с момента заражения.
3. Ну и напоследок защищают рабочие станции, те хоть и не содержат важной информации, но защита может сильно снизить время аварийного восстановления.
Фактически, антивирусной защите подлежат все компоненты банковской информационной системы, связанные с транспортировкой информации и/или ее хранением:
Ø Файл-серверы;
Ø Рабочие станции;
Ø Рабочие станции мобильных пользователей;
Ø Сервера резервного копирования;
Ø Сервера электронной почты;
Ø Защита рабочих мест (в т.ч. мобильных пользователей) должна осуществляться антивирусными средствами и средствами сетевого экранирования рабочих станций.
Средства сетевого экранирования призваны в первую очередь обеспечивать защиту мобильных пользователей при работе через Интернет, а также обеспечивать защиту рабочих станций ЛВС компании от внутренних нарушителей политики безопасности.
Основные особенности сетевых экранов для рабочих станций:
Контролируют подключения в обе стороны
Позволяют известным приложениям получить доступ в Интернет без вмешательства пользователя (autoconfig)
Мастер конфигурирования на каждое приложение (только установленные приложения могут проявлять сетевую активность)
Делают ПК невидимым в Интернет (прячет порты)
Предотвращают известные хакерские атаки и троянские кони
Извещают пользователя о попытках взлома
Записывают информацию о подключениях в лог файл
Предотвращают отправку данных, определённых как конфиденциальные от отправки без предварительного уведомления
Не дают серверам получать информацию без ведома пользователя (cookies)
Антивирусная защита информационных систем - важнейшая и постоянная функция общей системы экономической безопасности банка. В этом деле недопустимы временные послабления и отступления от стандартов. Независимо от уже существующих в банке решений по антивирусной защите всегда полезно провести дополнительный аудит и оценить систему глазами независимого и компетентного эксперта.
В 2004 году (а затем с внесенными поправками в 2006 году) банковскому сообществу был предложен стандарт Банка России «Обеспечение информационной безопасности организаций банковской системы РФ или СТО БР ИББС», кот призван предотвратить возникновение угроз в системе информационной безопасности банков и связанных с ними рисков. Сегодня система стандартов насчитывает уже пять документов, включая стандарт аудита, методику оценок соответствия требованиям Стандарта, а также соответствующие рекомендации по стандартизации (РС).
Таблица 1
|
Обеспечение информационной безопасности организаций банковской системы Российской Федерации Стандарты (СТО) и рекомендации по стандартизации (РС) |
|||
|
Классификатор СТО БР ИББС – 0.0 |
Термины и определения СТО БР ИББС – 0.1 |
||
|
Общие положения СТО БР ИББС – 1.0 |
Аудит информационной безопасности СТО БР ИББС – 1.1 |
Методика оценки соответствия СТО БР ИББС – 1.2 |
|
|
Документы по обеспечению информационной безопасности РС БР ИББС – 2.0 |
Руководство по самооценке РС БР ИББС – 2.1 |
||
|
Методика классификации активов РС БР ИББС – 2.2 |
Методика оценки рисков РС БР ИББС – 2.3 |
||
В основу комплекса стандартов положена идеология международного стандарта качества ISO (The International Organization for Standartization) серии 9000. Смысл этого стандарта заключается в следующем: если при производстве какого–либо продукта обеспечены и контролируются постоянные условия производства, то качество продукции будет всегда соответствовать исходным, заранее заданным требованиям. Идеология международной системы стандартов серии ISO 9000 была положена в основу идеологии стандартов COBIT, ISO/IES 17799, 15408, а затем и серии 27000, которые являются основополагающими стандартами информационной безопасности.
Следующее, что положено в основу идеологии стандартов безопасности Банка России – риски информационной безопасности, которые в соответствии с рекомендациями Базель II входят в операционные риски.
Для разработки стандарта были проведены исследования зарубежных аналогов, лучших практик национальных стандартов, международных стандартов ISO, выполнены научно–исследовательские работы, был создан специальный подкомитет по стандартизации (подкомитет № 3 «Защита информации в кредитно–финансовой сфере» Технического комитета № 362 «Защита информации» Федеральной службы по техническому регулированию и метрологии).
Подкомитет является постоянно действующим органом, обеспечивающим на государственном уровне разработку, согласование, подготовку к утверждению и экспертизу документов в области стандартизации по защите информации и обеспечения информационной безопасности в кредитно–финансовой сфере Российской Федерации. Сегодня он включает более двадцати крупнейших кредитных организаций плюс организации, занимающие значимое место на рынке средств и услуг в области информационной безопасности, и представители органов технического регулирования.
Кроме того, чтобы поддержать процедуру внедрения Стандарта в практической деятельности, было создано сообщество ABISS (Association for Banking Information Security Standards) – Сообщество пользователей стандартов Центрального Банка РФ по обеспечению информационной безопасности организаций банковской системы РФ. В сообщество вошли все заинтересованные кредитно-финансовые организации, в том числе и многие банки.
Принципы обеспечения информационной безопасности по Стандарту Банка России (не очень внятный ответ, все в куче, но лучшего нет)
Зачем нужен стандарт?
Банк работает с деньгами других экономических и финансовых субъектов. В случае возникновения у него серьезных трудностей, о которых непременно и очень быстро станет известно, другие кредитные учреждения будут вынуждены закрыть ему линии рефинансирования, клиентов же это побудит забрать либо не возобновлять свои вклады – а это неизбежно приведет к кризису ликвидности. Дестабилизация работы даже одного из ее компонентов может привести к системному обвалу, что уже создает угрозу государству.
Основные принципы обеспечения ИБ Cтандарта.
Общие принципы безопасного функционирования организации, отражают суть понятия «информационная безопасность организации банковской системы РФ», которое в стандарте определено как «состояние защищенности интересов (целей) организации банковской системы (БС) РФ в условиях угроз в информационной сфере».
В частности они ориентированы на то, чтобы не допустить таких ситуаций, когда в системе собственника устанавливается сверхмощная, дорогая и сертифицированная по высочайшему уровню система управления доступом, а на поверке через месяц оказывается, что в системе всем и все разрешено. При этом собственник остается уверенным, что он, вложив значительные средства, имеет надежную систему безопасности, а на практике все обстоит иначе. Таким образом, в систему должны устанавливаться только те защитные меры, правильность работы которых может быть проверена.
Модели угроз и нарушителей ИБ стандарта.
Деятельность организации БС РФ поддерживается входящей в ее состав информационной инфраструктурой, которая обеспечивает реализацию банковских технологий и может быть представлена в виде иерархии следующих основных уровней:
– физического (линии связи, аппаратные средства и пр.);
– сетевого (сетевые аппаратные средства: маршрутизаторы, коммутаторы, концентраторы и пр.);
– сетевых приложений и сервисов;
– операционных систем (ОС);
– систем управления базами данных (СУБД);
– банковских технологических процессов и приложений;
– бизнес–процессов организации.
При этом на каждом из перечисленных уровней угрозы и их источники (в том числе злоумышленники), методы и средства защиты и подходы к оценке эффективности являются различными. Организация должна определить конкретные объекты защиты на каждом из уровней информационной инфраструктуры.
Также положениями стандарта определено, возможна разработка моделей угроз и нарушителей ИБ для данной организации. Требования к модели угроз ИБ, включающие описание источников угрозы, уязвимостей, используемых угрозами, методов и объектов нападений, пригодных для реализации угрозы, типов возможной потери, масштабов потенциального ущерба, основываются на соответствующих требованиях стандартов международных стандартов.
Для источников угроз – людей может быть разработана модель злоумышленников (нарушителей), включающая описание опыта, знаний, доступных ресурсов, необходимых для реализации угрозы, и возможной мотивации их действий.
Политика ИБ стандарта.
В стандарт включены общие требования (правила) ИБ по следующим восьми областям, которые должны найти отражение в политике ИБ организации:
1. назначение и распределение ролей и обеспечение доверия к персоналу;
2. ИБ автоматизированных банковских систем на стадиях жизненного цикла;
3. обеспечение ИБ при управлении доступом и регистрация;
4. обеспечение ИБ средствами антивирусной защиты;
5. обеспечение ИБ при использовании ресурсов сети Интернет;
6. обеспечение ИБ при использовании средств криптографической защиты информации;
7. обеспечение ИБ банковских платежных технологических процессов;
8. обеспечение ИБ банковских информационных технологических процессов.
В то же время в политике ИБ организации могут быть рассмотрены и другие области обеспечения ИБ, которые отвечают ее бизнес–целям.
Компьютерные преступления в банке – это реализация угроз безопасности информации.
Угрозы делят на общие (характерные для любой информационной системы) и специфические (связанные с функциями кредитной организации). Обобщенно можно привести следующую классификацию:
Природные угрозы:
Стихийные бедствия (Нарушение работы инф. системы. Физическое уничтожение людей, носителей)
Магнитные бури и Радиоактивное излучение (Воздействие на магнитные носители информации, электронные средства обработки и передачи данных. Отказы и сбои аппаратуры)
Технические:
Отключение электропитания (Потери информации)
Отказы и сбои аппаратуры (Искажение и потеря информации)
Электромагнитные излучения и наводки (Несанкционированный перенос информации за пределы информационной системы)
Утечки через каналы связи (за счет имеющейся возможности снятия ее специальными датчиками или посредством прямого подключения.)
Человеческий фактор
Непреднамеренные или преднамеренные действия управленческого и обслуживающего персонала, программистов, пользователей информационной системы, службы безопасности и др
Конкретно для банковской системы важными являются следующие специфические угрозы:
– несанкционированный доступ посторонних лиц, не принадлежащих к числу банковских служащих, и ознакомление с хранимой конфиденциальной информацией;
– ознакомление банковских служащих с информацией, к которой они не должны иметь доступа;
– несанкционированное копирование программ и данных;
– перехват и последующее раскрытие конфиденциальной информации, передаваемой по каналам связи;
– кража магнитных носителей, содержащих конфиденциальную информацию;
– кража распечатанных банковских документов;
– случайное или умышленное уничтожение информации;
– несанкционированная модификация банковскими служащими финансовых документов, отчетности и баз данных.
– фальсификация сообщений, передаваемых по каналам связи, в том числе и навязывание ранее переданного сообщения;
– отказ от факта получения информации;
– разрушение файловой структуры из–за некорректной работы программ или аппаратных средств;
– разрушение информации, вызванное вирусными воздействиями;
– разрушение архивной банковской информации, хранящейся на магнитных носителях;
– кража оборудования;
– ошибки в программном обеспечении;
– сбои оборудования, в том числе и за счет отключения электропитания и других факторов, препятствующих работе оборудования.
НА ВСЯКИЙ СЛУЧАЙ КАК СДЕЛАТЬ БЕЗОПАСНО В БАНКЕ
Комплексная система обеспечения банковской безопасности – это совокупность взаимосвязанных мероприятий организационно–правового характера, осуществляемых в целях защиты банка от реальных или потенциальных действий физических и юридических лиц, которые могут привести к существенным потерям.
Основными задачами системы безопасности являются:
обеспечение безопасности функционирования банка
организация специального делопроизводства, исключающего несанкционированное получение конфиденциальных сведений;
выявление и локализация возможных каналов разглашения, утечки и несанкционированного доступа к конфиденциальной информации в процессе повседневной деятельности и в экстремальных ситуациях;
обеспечение режима безопасности при проведении всех видов деятельности, включая встречи, переговоры, совещания, связанные с деловым сотрудничеством на национальном и международном уровне;
обеспечение охраны зданий, помещений, оборудования и технических средств обеспечения производственной деятельности;
обеспечение безопасности персонала;
Система безопасности действует на основе следующих организационно–правовых документов:
Устава банка;
Положения о системе безопасности;
Руководства по защите конфиденциальной информации;
Инструкции о порядке работы с иностранными специалистами;
Руководства по инженерно–технической защите помещений и технических средств.
Система защиты информации банков весьма сильно отличается от аналогичных стратегий других компаний и организаций. Это обусловлено прежде всего специфическим характером угроз, а также публичной деятельностью банков, которые вынуждены делать доступ к счетам достаточно легким для удобства клиентов.
По мере развития и расширения сферы применения средств вычислительной техники, острота проблемы обеспечения безопасности вычислительных систем и защиты хранящейся и обрабатываемой в них информации от различных угроз все более возрастает. Для этого есть целый ряд объективных причин.
Основная из них -- возросший уровень доверия к автоматизированным системам обработки информации. Им доверяют самую ответственную работу, от качества которой зависит жизнь и благосостояние многих людей. ЭВМ управляют технологическими процессами на предприятиях и атомных электростанциях, движениями самолетов и поездов, выполняют финансовые операции, обрабатывают секретную информацию.
Известны различные варианты защиты информации -- от охранника на входе до математически выверенных способов сокрытия данных от ознакомления. Кроме того, можно говорить о глобальной защите и ее отдельных аспектах: защите персональных компьютерах, сетей, баз данных и др.
Необходимо отметить, что абсолютно защищенных систем нет. Можно говорить о надежности системы, во-первых, лишь с определенной вероятностью, а во-вторых, о защите от определенной категории нарушителей. Тем не менее, проникновения в компьютерную систему можно предусмотреть. Защита -- это своего рода соревнование обороны и нападения: кто больше знает и предусматривает действенные меры -- тот и выиграл.
Организация защиты автоматизированной системы обработки информации банка -- это единый комплекс мер, которые должны учитывать все особенности процесса обработки информации. Несмотря на неудобства, причиняемые пользователю во время работы, во многих случаях средства защиты могут оказаться совершенно необходимыми для нормального функционирования системы. К основным из упомянутых неудобств следует отнести Гайкович Ю.В., Першин А.С. Безопасность электронных банковских систем.-М.:Единая Европа,1994.- С..33:
Современный банк трудно представить себе без автоматизированной информационной системы. Связь компьютеров между собой и с более мощными компьютерами, а также с ЭВМ других банков -- также необходимое условие успешной деятельности банка -- слишком велико количество операций, которые необходимо выполнить в течение короткого периода времени.
В то же время информационные системы становятся одной из наиболее уязвимых сторон современного банка, притягивая к себе злоумышленников, как из числа персонала банка, так и со стороны. Оценки потерь от преступлений, связанных с вмешательством в деятельность информационной системы банков, очень сильно разнятся. Сказывается разнообразие методик для их подсчета. Средняя банковская кража с применением электронных средств составляет около $9.000, а один из самых громких скандалов связан с попыткой украсть $700 млн. (Первый национальный банк, Чикаго).
Причем необходимо учитывать не только суммы прямого ущерба, но и весьма дорогостоящие мероприятия, которые проводятся после успешных попыток взлома компьютерных систем. Так, одним из самых ярких примеров можно привести пропажу данных о работе с секретными счетами Bank of England в январе 1999 года. Эта пропажа заставила банк поменять коды всех корреспондентских счетов. В этой связи в Великобритании были подняты по тревоге все имеющиеся силы разведки и контрразведки для того, чтобы не допустить вероятной утечки информации, способной нанести огромный ущерб. Правительством предпринимались крайние меры с тем, чтобы посторонним не стали известны счета и адреса, по которым Bank of England направляет ежедневно сотни миллиардов долларов. Причем в Великобритании больше опасались ситуации, при которой данные могли оказаться в распоряжении иностранных спецслужб. В таком случае была бы вскрыта вся финансовая корреспондентская сеть Bank of England. Возможность ущерба была ликвидирована в течение нескольких недель.
Аджиев В. Мифы о безопасности программного обеспечения: уроки знаменитых катастроф//Открытые системы.-1999. -- №6.-- C..21-24
Услуги, предоставляемые банками сегодня, в немалой степени основаны на использовании средств электронного взаимодействия банков между собой, банков и их клиентов и торговых партнеров. В настоящее время доступ к услугам банков стал возможен из различных удаленных точек, включая домашние терминалы и служебные компьютеры. Этот факт заставляет отойти от концепции “запертых дверей”, которая была характерна для банков 60-х годов, когда компьютеры использовались в большинстве случаев в пакетном режиме как вспомогательное средство и не имели связи с внешним миром.
Уровень оснащенности средствами автоматизации играет немаловажную роль в деятельности банка и, следовательно, напрямую отражается на его положении и доходах. Усиление конкуренции между банками приводит к необходимости сокращения времени на производство расчетов, увеличения номенклатуры и повышения качества предоставляемых услуг. Чем меньше времени будут занимать расчеты между банком и клиентами, тем выше станет оборот банка и, следовательно, прибыль. Кроме того, банк более оперативно сможет реагировать на изменение финансовой ситуации. Разнообразие услуг банка (в первую очередь это относится к возможности безналичных расчетов между банком и его клиентами с использованием пластиковых карт) может существенно увеличить число его клиентов и, как следствие, повысить прибыль.
Информационная безопасность банка должна учитывать следующие специфические факторы:
Преступления в банковской сфере также имеют свои особенности Гамза В.А. , Ткачук И.Б. Безопасность коммерческого банка.- М..: Единая Европа, 2000.- C..24:
Как правило, злоумышленники обычно используют свои собственные счета, на который переводятся похищенные суммы. Большинство преступников не знают, как “отмыть” украденные деньги. Умение совершить преступление и умение получить деньги -- это не одно и то же.
Большинство компьютерных преступлений -- мелкие. Ущерб от них лежит в интервале от $10.000 до $50.000.
Успешные компьютерные преступления, как правило, требуют большого количества банковских операций (до нескольких сотен). Однако крупные суммы могут пересылаться и всего за несколько транзакций.
Большинство злоумышленников -- клерки. Хотя высший персонал банка также может совершать преступления и нанести банку гораздо больший ущерб -- такого рода случаи единичны.
Компьютерные преступления не всегда высокотехнологичны. Достаточно подделки данных, изменения параметров среды АСОИБ и т.д., а эти действия доступны и обслуживающему персоналу.
Многие злоумышленники объясняют свои действия тем, что они всего лишь берут в долг у банка с последующим возвратом. Впрочем “возврата”, как правило, не происходит.
Специфика защиты автоматизированных систем обработки информации банков обусловлена особенностями решаемых ими задач:
Как правило, АСОИБ обрабатывают большой поток постоянно поступающих запросов в реальном масштабе времени, каждый из которых не требует для обработки многочисленных ресурсов, но все вместе они могут быть обработаны только высокопроизводительной системой;
В АСОИБ хранится и обрабатывается конфиденциальная информация, не предназначенная для широкой публики. Ее подделка или утечка могут привести к серьезным (для банка или его клиентов) последствиям. Поэтому АСОИБ обречены оставаться относительно закрытыми, работать под управлением специфического программного обеспечения и уделять большое внимание обеспечению своей безопасности;
Другой особенностью АСОИБ является повышенные требования к надежности программно-аппаратного обеспечения. В силу этого многие современные АСОИБ тяготеют к так называемой отказоустойчивой архитектуре компьютеров, позволяющей осуществлять непрерывную обработку информации даже в условиях различных сбоев и отказов.
Использование банками АСОИ связано со спецификой защиты этих систем, поэтому банки должны уделять больше внимания защите своих автоматизированных систем.
Выводы по первой главе:
Банковская деятельность связана с обработкой больших объемов информации, основную часть которых составляют конфиденциальные данные клиентов.
К ним относится личные данные пользователей, копии их документов, номера счетов, данные о проведенных операциях, транзакциях и пр.
В процессе работы с этой информацией важно, чтобы она не попала в руки злоумышленников, не была изменена или утеряна.
Учитывая важность архивов, хранимых в информационной среде банка, существенно возросла их ценность и требования к защите банковской информации.
Сложность поддержки безопасности данных заключается в том, что банки должны обеспечить доступность к этим данным их пользователям и блокировать любые попытки получить информацию чужими людьми и злоумышленниками.
Чтобы успешно реализовать эту задачу потребуется комплекс мер, предназначенный для поддержки конфиденциальности данных, сохранности и безопасности обрабатываемой информации, а также безотказный доступ к данным во время проведения финансовых операций.
Чтобы понять какую роль играет информационная безопасность в банковской деятельности, следует разобраться в том, какая данные банка требуют защиты и почему.
Важность банковской информационной безопасности
К банковским данным относится совокупность информации, которая обеспечивает возможность представления финансового учреждения в информационной среде, а также данные, обеспечивающие возможность проведения финансовых операций между клиентом и банком, а также между несколькими клиентами, использующих банковское учреждение в качестве финансового посредника.
Существует два вида банковской информации – это те данные, которые используются в информационной среде с целью представления деятельности финансового учреждения для его клиентов, а также совокупность данных клиентов финучреждения как юридических, так и физических.
Несмотря на то, что одна информация является открытой, а вторая закрытой, обе они требуют надежной защиты.
Как видим, защита информации в банковских системах – это очень важный аспект деятельности финансового учреждения, который всегда должен быть ключевым среди большого перечня задач, с которыми сталкиваются банки.
Среди способов несанкционированного доступа к данным банков на сегодня наиболее часто встречаются следующие.
Учитывая перечисленные выше угрозы потери важных данных, должны выбираться методы и средства защиты банковской информации.
Большинство банков уделяют достаточно большое внимание уровню физической безопасности своей информации.
Начинается этот процесс с того, что места, где хранятся информационные архивы и устанавливаются банковские сервера, имеют более высокий уровень защищенности от проникновения и возможности пребывания там сторонних физических лиц.
Кроме этого, активная работа ведется и по подбору персонала, который будет иметь доступ к конфиденциальным данным банка и его клиентов. Реализация перечисленных факторов существенно снижает вероятность кражи архивов, но не исключает ее полностью.
Резервирование информации и запись ее в архивы – это важный шаг чтобы сохранить нужные для себя данные.
Но чтобы исключить вероятность их попадания в руки злоумышленников, этот процесс должен происходить с применением систем шифрования.
Использование современной криптографической защиты сведет к нулю вероятность того, что даже украденная информация будет кем-то использована.
На сегодня есть много различных программных продуктов, которые обеспечивают шифрование данных в момент переноса их в архив.
Весь процесс полностью автоматизирован и не несет для банка существенных затрат в финансовом плане и в плане потребности дополнительных сотрудников.
Также важно, чтобы в процессе создания зашифрованного архива использовались хранилища, построенные на физических накопителях, а не на виртуальных.
Это гарантирует еще один уровень защищенности информации, ведь виртуальное хранилище легче взломать, нежели реальное.
Предотвратить утечку инсайдерской информации порой бывает труднее всего. Защитить ее с помощью различных и программных средств – это только половина решения поставленной задачи. В этом случае ключевую роль играет человеческий фактор.
Именно через сотрудников очень часто происходит потеря важных данных, что впоследствии влияет на будущее и текущую деятельность банка.
Поэтому подбор кадров, эффективная работа внутренней службы безопасности, а также использование системы ограничения доступа позволит минимизировать риски потери инсайдерской информации.
Выше были рассмотрены основные способы защиты банковской информации.
Чтобы гарантировать 100-процентую ее защиту важно использовать все существующие на сегодня способы в комплексе.
Учитывая, что киберпреступность в последнее время развивается очень сильно и защитить информацию становится все труднее, важно, чтобы этим процессом занимались профессионалы своего дела.
Они помогут подобрать правильные аппаратные и программные средства, а также создадут верную стратегию защиты данных в конкретной информационной среде банка.
Стратегия информационной безопасности банков весьма сильно отличается от аналогичных стратегий других компаний и организаций. Это обусловлено прежде всего специфическим характером угроз, а также публичной деятельностью банков, которые вынуждены делать доступ к счетам достаточно легким с целью удобства для клиентов.
Обычная компания строит свою информационную безопасность, исходя лишь из узкого круга потенциальных угроз - главным образом защита информации от конкурентов (в российских реалиях основной задачей является защита информации от налоговых органов и преступного сообщества с целью уменьшения вероятности неконтролируемого роста налоговых выплат и рэкета). Такая информация интересна лишь узкому кругу заинтересованных лиц и организаций и редко бывает ликвидна, т.е. обращаема в денежную форму.
Информационная безопасность банка должна учитывать следующие специфические факторы:
1. Хранимая и обрабатываемая в банковских системах информация представляет собой реальные деньги. На основании информации компьютера могут производится выплаты, открываться кредиты, переводиться значительные суммы. Вполне понятно, что незаконное манипулирование с такой информацией может привести к серьезным убыткам. Эта особенность резко расширяет круг преступников, покушающихся именно на банки (в отличие от, например, промышленных компаний, внутренняя информация которых мало кому интересна).
2. Информация в банковских системах затрагивает интересы большого количества людей и организаций - клиентов банка. Как правило, она конфиденциальна, и банк несет ответственность за обеспечение требуемой степени секретности перед своими клиентами. Естественно, клиенты вправе ожидать, что банк должен заботиться об их интересах, в противном случае он рискует своей репутацией со всеми вытекающими отсюда последствиями.
3. Конкурентоспособность банка зависит от того, насколько клиенту удобно работать с банком, а также насколько широк спектр предоставляемых услуг, включая услуги, связанные с удаленным доступом. Поэтому клиент должен иметь возможность быстро и без утомительных процедур распоряжаться своими деньгами. Но такая легкость доступа к деньгам повышает вероятность преступного проникновения в банковские системы.
4. Информационная безопасность банка (в отличие от большинства компаний) должна обеспечивать высокую надежность работы компьютерных систем даже в случае нештатных ситуаций, поскольку банк несет ответственность не только за свои средства, но и за деньги клиентов.
5. Банк хранит важную информацию о своих клиентах, что расширяет круг потенциальных злоумышленников, заинтересованных в краже или порче такой информации.
Преступления в банковской сфере также имеют свои особенности :
Многие преступления, совершенные в финансовой сфере остаются неизвестными для широкой публики в связи с тем, что руководители банков не хотят тревожить своих акционеров, боятся подвергнуть свою организацию новым атакам, опасаются подпортить свою репутацию надежного хранилища средств и, как следствие, потерять клиентов.
Как правило, злоумышленники обычно используют свои собственные счета, на который переводятся похищенные суммы. Большинство преступников не знают, как «отмыть» украденные деньги. Умение совершить преступление и умение получить деньги - это не одно и то же.
Большинство компьютерных преступлений - мелкие. Ущерб от них лежит в интервале от $10.000 до $50.000.
Успешные компьютерные преступления, как правило, требуют большого количества банковских операций (до нескольких сотен). Однако крупные суммы могут пересылаться и всего за несколько транзакций.
Большинство злоумышленников - клерки. Хотя высший персонал банка также может совершать преступления и нанести банку гораздо больший ущерб - такого рода случаи единичны.
Компьютерные преступления не всегда высокотехнологичны. Достаточно подделки данных, изменения параметров среды АСОИБ и т.д., а эти действия доступны и обслуживающему персоналу.
Многие злоумышленники объясняют свои действия тем, что они всего лишь берут в долг у банка с последующим возвратом. Впрочем «возврата», как правило, не происходит.
Специфика защиты автоматизированных систем обработки информации банков (АСОИБ) обусловлена особенностями решаемых ими задач:
Как правило АСОИБ обрабатывают большой поток постоянно поступающих запросов в реальном масштабе времени, каждый из которых не требует для обработки многочисленных ресурсов, но все вместе они могут быть обработаны только высокопроизводительной системой;
В АСОИБ хранится и обрабатывается конфиденциальная информация, не предназначенная для широкой публики. Ее подделка или утечка могут привести к серьезным (для банка или его клиентов) последствиям. Поэтому АСОИБ обречены оставаться относительно закрытыми, работать под управлением специфического программного обеспечения и уделять большое внимание обеспечению своей безопасности;
Другой особенностью АСОИБ является повышенные требования к надежности аппаратного и программного обеспечения. В силу этого многие современные АСОИБ тяготеют к так называемой отказоустойчивой архитектуре компьютеров, позволяющей осуществлять непрерывную обработку информации даже в условиях различных сбоев и отказов.
Можно выделить два типа задач, решаемых АСОИБ:
1. Аналитические. К этому типу относятся задачи планирования, анализа счетов и т.д. Они не являются оперативными и могут требовать для решения длительного времени, а их результаты могут оказать влияние на политику банка в отношении конкретного клиента или проекта. Поэтому подсистема, с помощью которой решаются аналитические задачи, должна быть надежно изолирована от основной системы обработки информации. Для решения такого рода задач обычно не требуется мощных вычислительных ресурсов, обычно достаточно 10-20% мощности всей системы. Однако ввиду возможной ценности результатов их защита должна быть постоянной.
2. Повседневные. К этому типу относятся задачи, решаемые в повседневной деятельности, в первую очередь выполнение платежей и корректировка счетов. Именно они и определяют размер и мощность основной системы банка; для их решения обычно требуется гораздо больше ресурсов, чем для аналитических задач. В то же время ценность информации, обрабатываемой при решении таких задач, имеет временный характер. Постепенно ценность информации, например, о выполнении какого-либо платежа, становиться не актуальной. Естественно, это зависит от многих факторов, как-то: суммы и времени платежа, номера счета, дополнительных характеристик и т.д. Поэтому, обычно бывает достаточным обеспечить защиту платежа именно в момент его осуществления. При этом защита самого процесса обработки и конечных результатов должна быть постоянной.
Каким же мерам защиты систем обработки информации отдают предпочтение зарубежные специалисты? На этот вопрос можно ответить, используя результаты опроса, проведенного Datapro Information Group в 1994 году среди банков и финансовых организаций :
Сформулированную политику информационной безопасности имеют 82% опрошенных. По сравнению с 1991 годом процент организаций, имеющих политику безопасности, увеличился на 13%.
Еще 12% опрошенных планируют разработать политику безопасности. Четко выражена следующая тенденция: организации с большим числом персонала предпочитают иметь разработанную политику безопасности в большей степени, чем организации с небольшим количеством персонала. Например, по данным этого опроса, всего лишь 66% организаций, с числом сотрудников менее 100 человек имеют политику безопасности, тогда как для организаций с числом сотрудников более 5000 человек доля таких организаций составляет 99%.
В 88% организаций, имеющих политику информационной безопасности, существует специальное подразделение, которое отвечает за ее реализацию. В тех организациях, которые не содержат такое подразделение, эти функции, в основном, возложены на администратора системы (29%), на менеджера информационной системы (27%) или на службу физической безопасности (25%). Это означает, что существует тенденция выделения сотрудников, отвечающих за компьютерную безопасность, в специальное подразделение.
В плане защиты особое внимание уделяется защите компьютерных сетей (90%), больших ЭВМ (82%), восстановлению информации после аварий и катастроф (73%), защите от компьютерных вирусов (72%), защите персональных ЭВМ (69%).
Можно сделать следующие выводы об особенностях защиты информации в зарубежных финансовых системах :
Главное в защите финансовых организаций - оперативное и по возможности полное восстановление информации после аварий и сбоев. Около 60% опрошенных финансовых организаций имеют план такого восстановления, который ежегодно пересматривается в более чем 80% из них. В основном, защита информации от разрушения достигается созданием резервных копий и их внешним хранением, использованием средств бесперебойного электропитания и организацией «горячего» резерва аппаратных средств.
Следующая по важности для финансовых организаций проблема - это управление доступом пользователей к хранимой и обрабатываемой информации. Здесь широко используются различные программные системы управления доступом, которые иногда могут заменять и антивирусные программные средства. В основном используются приобретенные программные средства управления доступом. Причем в финансовых организациях особое внимание уделяют такому управлению пользователей именно в сети. Однако сертифицированные средства управления доступом встречаются крайне редко (3%). Это можно объяснить тем, что с сертифицированными программными средствами трудно работать и они крайне дороги в эксплуатации. Это объясняется тем, что параметры сертификации разрабатывались с учетом требований, предъявляемым к военным системам.
К отличиям организации защиты сетей ЭВМ в финансовых организациях можно отнести широкое использование стандартного (т.е. адаптированного, но не специально разработанного для конкретной организации) коммерческого программного обеспечения для управления доступом к сети (82%), защита точек подключения к системе через коммутируемые линии связи (69%). Скорее всего это связано с большей распространенностью средств телекоммуникаций в финансовых сферах и желание защититься от вмешательства извне. Другие способы защиты, такие как применение антивирусных средств, оконечное и канальное шифрование передаваемых данных, аутентификация сообщений применяются примерно одинаково и, в основном (за исключением антивирусных средств), менее чем в 50% опрошенных организаций.
Большое внимание в финансовых организациях уделяется физической защите помещений, в которых расположены компьютеры (около 40%). Это означает, что защита ЭВМ от доступа посторонних лиц решается не только с помощью программных средств, но и организационно-технических (охрана, кодовые замки и т.д.).
Шифрование локальной информации применяют чуть более 20% финансовых организаций. Причинами этого являются сложность распространения ключей, жесткие требования к быстродействию системы, а также необходимость оперативного восстановления информации при сбоях и отказах оборудования.
Значительно меньшее внимание в финансовых организациях уделяется защите телефонных линий связи (4%) и использованию ЭВМ, разработанных с учетом требования стандарта Tempest (защита от утечки информации по каналам электромагнитных излучений и наводок). В государственных организациях решению проблемы противодействия получению информации с использованием электромагнитных излучений и наводок уделяют гораздо большее внимание.
Анализ статистики позволяет сделать важный вывод: защита финансовых организаций (в том числе и банков) строится несколько иначе, чем обычных коммерческих и государственных организаций. Следовательно для защиты АСОИБ нельзя применять те же самые технические и организационные решения, которые были разработаны для стандартных ситуаций. Нельзя бездумно копировать чужие системы - они разрабатывались для иных условий.
