В банковской сфере изначально существовала проблема, связанная с конфиденциальностью информации, ее хранением и защитой. Безопасность данных банковских учреждений играет важную роль в бизнесе, поскольку конкуренты и преступные лица всегда интересуются такой информацией и прилагают все усилия для ее достижения. Во избежание возникновения такого рода проблем, необходимо научиться защищать банковские данные. Для того чтобы защита банковской информации была эффективной нужно, прежде всего учесть все возможные способы утечки информации. А именно: тщательно проверять данные людей при подборе кадров, проверять их биографические данные и предыдущие места работы.
Все информационные данные, находящиеся в обработке банковских и кредитных организаций, подвергаются риску. Это как данные клиентов, так и данные о непосредственной работе банков, их базы данных и так далее. Дело в том, что такая информация может быть полезна как конкурентам, так и физическим лицам, занимающимся преступной деятельностью. Их действия, по сравнению с проблемами, возникающими из-за вирусного поражения аппаратуры или сбоев операционных систем, приносят действительно колоссальный ущерб для организаций подобного рода.
Защита банковских серверов и локальных сетей от злоумышленников и несанкционированного доступа к материалам компании просто необходима в условиях жесткой конкуренции современного общества.
Информационная безопасность систем банковских учреждений имеет важное значение поскольку это гарантирует соблюдение конфиденциальности данных о клиентах банков. Проведение ежедневного резервного копирования, которое осуществляется организациями, снижает риск полной утери важной информации. Помимо этого, разработаны способы защиты данных от угроз, касающихся несанкционированного доступа. Утечка такого рода информации может возникать вследствие работы как шпионских служб, специально засланных в организацию, так и сотрудников, давно работающих и решившихся заработать на хищении информационного имущества банка. Безопасность обеспечивается благодаря работе профессионалов и специалистов, знающих свое дело.
Защита клиентов – это один из важнейших показателей, влияющих на репутацию банка в целом, в том числе и на доход организации. Поскольку только хорошие отзывы помогут банку выйти на высокий уровень обслуживания и обойти конкурентов.
Одним из самых частых способов кражи банковской информации является использование резервного копирования, вынос данных на носителе или имитация взлома, но не с целью кражи материальных средств, а чтобы получить доступ к информации на сервере. Поскольку резервные копии обычно хранятся на стримерах в отдельных местах, то во время их транспортировки в место назначения можно сделать копии. Вот почему сотрудники, которых берут на подобную работу, тщательно проверяются через различные государственные органы на наличие судимости, проблем с законом в прошлом, в том числе и достоверность предоставленной о себе информации. Поэтому не стоит недооценивать такую возможность хищения банковской информации, ведь мировая практика пестрит такими случаями.
К примеру, так в 2005 году были выставлены на продажу базы данных проводок Центрального Банка Российской Федерации. Не исключено, что эта информация просочилась за пределы банковской организации именно из-за недостаточной безопасности банковских систем. Похожая ситуация не раз происходила во всемирно известных компаниях Соединенных штатов Америки, информационная безопасность которых очень сильно страдала от этого.
Интервью с начальником службы безопасности банка:
Более того, еще один способ, вследствие которого может возникнуть утечка информации из систем, это банковские сотрудники, жаждущие заработать на этом. Несмотря на то, что в большинстве случаев несанкционированный доступ к информации банковских систем делается только лишь с целью получить возможность поработать дома, именно они становятся причиной распространения информации, которая носит конфиденциальный характер. К тому же это прямое нарушение политики безопасности систем банковских организаций.
Следует также учесть, что в любом банке работают люди, имеющие значительные привилегии по доступу к таким данным. Это, как правило, системные администраторы. С одной стороны, это производственная необходимость, которая дает возможность выполнять служебные обязанности, а с другой – они могут использовать ее в собственных целях и при этом умеют профессионально “заметать за собой следы”.
Защита банковской информации от несанкционированного доступа обычно включает в себя не менее 3 составляющих. Каждая из этих составляющих помогает обеспечить безопасность банков именно в той сфере, где она используется. Сюда можно отнести защиту от физического доступа, резервных копий и защиту от инсайдеров.
Поскольку банки с особым вниманием относятся к физическому доступу и стараются еще в корне исключить возможность несанкционированного доступа, то им приходится использовать специальные средства и способы шифрования и кодирования важной информации. Поскольку банки имеют похожие системы и средства для защиты данных, то лучше использовать криптографические защитные средства. Они помогают сохранить коммерческую информацию, а также сократить риски возникновения таких ситуаций. Лучше всего хранить информацию в закодированном виде, используя принцип прозрачного шифрования, который помогает снизить затраты на защиту информации, а также освобождает от необходимости постоянно расшифровывать и зашифровывать данные.
Учитывая тот факт, что все данные банковских систем фактически являются деньгами клиентов, следует уделять должное внимание их сохранности. Одним из способов является определение наличия вышедших из строя секторов на жестком диске. Функция отмены или приостановки процесса играет далеко не последнюю роль при первоначальном шифровании, зашифровывании, расшифровывании и перешифровании диска. Такая процедура имеет высокую продолжительность, и поэтому любой сбой может привести к полной утере информации. Наиболее надежный способ хранения ключей шифрования и систем – это смарт карты или USB-ключи.
Защита систем информации осуществляется более эффективно благодаря применению не только стримеров, но и съемных жестких дисков, DVD-носителей и прочего. Комплексное использование средств защиты от физического проникновения к источникам информации увеличивает шансы ее сохранности и неприкосновенности со стороны конкурентов и злоумышленников.
Из этого видео вы узнаете о мерах, которые стоит предпринять:
В основном хищение информации происходит с помощью мобильных носителей, различного рода USB-устройств, дисковых накопителей, карт памяти и прочих мобильных устройств. Поэтому одним из правильных решений, является запрет использования подобных устройств на рабочих местах. Все, что необходимо содержится на серверах и тщательно отслеживается, куда и откуда передается информация в среде банков. Кроме того, в крайних случаях разрешается использовать только те носители, которые приобретаются компанией. Можно установить специальные ограничения, благодаря которым компьютер не будет распознавать посторонние носители и карты памяти.
Защита информации – одна из важнейших задач банковских организаций, необходимая для эффективного функционирования. Современный рынок располагает большими возможностями для осуществления этих планов. Блокировка компьютеров и портов – важнейшее условие, которое следует соблюдать, чтобы защита систем была более надежной.
Не следует забывать и о том, что лица занимающиеся кражей данных тоже знакомы с набором систем, благодаря которым осуществляется защита коммерческой информации,и могут их обойти с помощью специалистов. Чтобы предотвратить возникновение таких рисков нужно постоянно работать над улучшением безопасности и стараться использовать усовершенствованные системы защиты.
Защите подлежит любая документированная информация, неправомерное обращение с которой может нанести ущерб Банку и/или клиенту, доверившей свою информацию Банку.
К такой информации относятся:
1. Все операции по лицевым счетам распорядителей ассигнований.
2. Сроки получения заработной платы учреждениями и организациями (по «зарплатным» договорам).
3. Планы контрольно-ревизионной работы.
4. Акты внешних и внутренних проверок.
5. Сведения о суммах, поступившего от конкретного плательщика.
6. Переписка с правоохранительными органами.
7. Сведения служебного характера, обсуждаемые в ходе совещаний, проводимых руководителями.
8. Сведения, составляющие коммерческую тайну предприятий, фирм, банков и других хозяйствующих субъектов.
9. Данные о программном обеспечении, используемом для обработки "операционного дня".
10. Схема движения документов "операционного дня".
11. Структура автоматизированных систем, порядок администрирования АС и информационных ресурсов, подлежащих защите, списки паролей и имен активного оборудования.
12. Описание информационных потоков, топология телекоммуникаций Управления, схемы размещения элементов АС.
13. Система защиты информации.
14. Сведения об организационно-технических мероприятиях по защите информации.
15. Штатное расписание и численность работников банка.
16. Персональные данные о сотрудниках.
17. Сведения из личного дела работающего, трудовой книжки, карточки Ф.№Т-2.
18. Сведения о доходах гражданина и имуществе, принадлежащего ему на праве собственности, данные о заработной плате и других выплатах сотрудникам.
19. Материалы расследований по заявлениям граждан и нарушениям трудовой дисциплины.
20. Иные сведения, касающиеся деятельности банка, ограничения на распространение которых диктуются служебной необходимостью.
Ресурсы АС включают данные, информацию, программное обеспечение, аппаратные средства, средства обслуживания и телекоммуникации.
Режим защиты информации устанавливается
1.4.2. Возможные угрозы защищаемым информационным ресурсам
К числу идентифицированных угроз относятся:
1. Несанкционированный доступ.
2. Преднамеренные и непреднамеренные сбои в работе средств вычислительной техники, электрооборудования и т.п., ведущие к потере или искажению информации.
3. Перехват, искажение или изменение информации, передаваемой по каналам связи.
4. Нелегальное ознакомление с информацией.
1.4.3. Защита информационных ресурсов
Предотвращение возможных угроз защищаемым информационным ресурсам осуществляется:
1. От несанкционированного доступа - созданием системы защиты информации от НСД, которая представляет собой комплекс программно-технических средств и организационных решений.
К организационным решениям относится:
· обеспечение охраны объекта, на котором расположена защищаемая АС с целью предотвращения хищения СВТ, информационных носителей, а также НСД к СВТ и линиям связи;
· выбор класса защищенности АС в соответствии с особенностями обработки информации и уровнем ее конфиденциальности;
· организация учета, хранения и выдачи информационных носителей, паролей, ключей, ведение служебной документации, приемку включаемых в АС новых программных средств, а также контроль за ходом технологического процесса обработки конфиденциальной информации;
· разработка соответствующей организационно-распорядительной документации.
Подключение к глобальным вычислительным сетям осуществляется только по установлению действительной необходимости такого подключения, выполнении полного комплекса защитных мероприятий.
2. От преднамеренных и непреднамеренных сбоев в работе СВТ, электрооборудования и т.п., ведущих к потере или искажению информации.
Программное обеспечение (ПО), необходимое для функционирования информационной и телекоммуникационной систем оформляется в виде перечня и должно быть утверждено руководителем к применению.
Установка на рабочие места любых программ производится только специалистами ИТО. Самостоятельная установка программного обеспечения категорически запрещена.
С целью обеспечения защиты конфиденциальной информации от искажения или уничтожения в случае сбоев в работе СВТ и оборудования ведется резервирование защищаемой информации, а также используются источники бесперебойного питания. Периодичность и порядок проведения резервного копирования определяет администратор ЛВС, исходя из необходимости сохранности информации, ПО баз данных.
3. Перехват, искажение или изменение информации, передаваемой по каналам связи.
Передача конфиденциальной информации с грифом «Для служебного пользования» по открытым каналам связи с использованием электронной почты, факсимильной связи и любых других видов связи без использования средств шифрования запрещена.
Электронная почта используется для осуществления документооборота банка с другими организациями. Места размещения коммутационного оборудования по истечении рабочего дня опечатываются, двери закрываются на замок, доступ в них посторонним лицам без сопровождения ответственного лица запрещен. (Посторонними являются и сотрудники банка, которые по своим функциональным обязанностям не имеют отношения к эксплуатации данного оборудования).
Ответственными лицами регулярно проводится визуальный контроль всех телекоммуникаций с целью выявления или своевременного предотвращения попыток подключения специальных устройств для съема информации.
4. Нелегальное ознакомление с информацией.
С целью предотвращения нелегального ознакомления с информацией вход в помещения, где обрабатывается информация, подлежащая защите, должен быть ограничен.
При организации своего рабочего места сотрудник так располагает экран дисплея, чтобы затруднить просмотр информации выведенной на экран посторонним лицам.
При оставлении по каким-либо причинам своего рабочего места сотрудник обязан выйти из сети или заблокировать экран монитора.
Какой должна быть антивирусная защита?
В общем случае, антивирусная защита банковской информационной системы должна строиться по иерархическому принципу:
Службы всех уровней объединяются в единую вычислительную сеть (образуют единую инфраструктуру), посредством локальной вычислительной сети.
Службы общекорпоративного уровня должны функционировать в непрерывном режиме.
Управление всех уровней должно осуществляться специальным персоналом, для чего должны быть предусмотрены средства централизованного администрирования.
Антивирусная система должна предоставлять следующие виды сервисов на общекорпоративном уровне:
на уровне подразделений:
Функциональные требования
Общие требования
Требования к надежности и функционированию системы
1. На первом уровне защищают подключение в Интернет или сеть поставщика услуг связи - это межсетевой экран и почтовые шлюзы, поскольку по статистике именно оттуда попадает около 80% вирусов. Необходимо отметить что таким образом будет обнаружено не более 30% вирусов, так как оставшиеся 70% будут обнаружены только в процессе выполнения.
Применение антивирусов для межсетевых экранов на сегодняшний день сводится к осуществлению фильтрации доступа в Интернет при одновременной проверке на вирусы проходящего трафика.
Осуществляемая такими продуктами антивирусная проверка сильно замедляет работу и имеет крайне не высокий уровень обнаружения, по этому в отсутвии необходимости фильтрации посещаемых пользователями веб-узлов применение таких продуктов является не целесообразным.
2. Как правило, защищают файл-сервера, сервера баз данных и сервера систем коллективной работы, поскольку именно они содержат наиболее важную информацию. Антивирус не является заменой средствам резервного копирования информации, однако без него можно столкнуться с ситуацией, когда резервные копии заражены, а вирус активизируется спустя полгода с момента заражения.
3. Ну и напоследок защищают рабочие станции, те хоть и не содержат важной информации, но защита может сильно снизить время аварийного восстановления.
Фактически, антивирусной защите подлежат все компоненты банковской информационной системы, связанные с транспортировкой информации и/или ее хранением:
Ø Файл-серверы;
Ø Рабочие станции;
Ø Рабочие станции мобильных пользователей;
Ø Сервера резервного копирования;
Ø Сервера электронной почты;
Ø Защита рабочих мест (в т.ч. мобильных пользователей) должна осуществляться антивирусными средствами и средствами сетевого экранирования рабочих станций.
Средства сетевого экранирования призваны в первую очередь обеспечивать защиту мобильных пользователей при работе через Интернет, а также обеспечивать защиту рабочих станций ЛВС компании от внутренних нарушителей политики безопасности.
Основные особенности сетевых экранов для рабочих станций:
Контролируют подключения в обе стороны
Позволяют известным приложениям получить доступ в Интернет без вмешательства пользователя (autoconfig)
Мастер конфигурирования на каждое приложение (только установленные приложения могут проявлять сетевую активность)
Делают ПК невидимым в Интернет (прячет порты)
Предотвращают известные хакерские атаки и троянские кони
Извещают пользователя о попытках взлома
Записывают информацию о подключениях в лог файл
Предотвращают отправку данных, определённых как конфиденциальные от отправки без предварительного уведомления
Не дают серверам получать информацию без ведома пользователя (cookies)
Антивирусная защита информационных систем - важнейшая и постоянная функция общей системы экономической безопасности банка. В этом деле недопустимы временные послабления и отступления от стандартов. Независимо от уже существующих в банке решений по антивирусной защите всегда полезно провести дополнительный аудит и оценить систему глазами независимого и компетентного эксперта.
Банковская деятельность связана с обработкой больших объемов информации, основную часть которых составляют конфиденциальные данные клиентов.
К ним относится личные данные пользователей, копии их документов, номера счетов, данные о проведенных операциях, транзакциях и пр.
В процессе работы с этой информацией важно, чтобы она не попала в руки злоумышленников, не была изменена или утеряна.
Учитывая важность архивов, хранимых в информационной среде банка, существенно возросла их ценность и требования к защите банковской информации.
Сложность поддержки безопасности данных заключается в том, что банки должны обеспечить доступность к этим данным их пользователям и блокировать любые попытки получить информацию чужими людьми и злоумышленниками.
Чтобы успешно реализовать эту задачу потребуется комплекс мер, предназначенный для поддержки конфиденциальности данных, сохранности и безопасности обрабатываемой информации, а также безотказный доступ к данным во время проведения финансовых операций.
Чтобы понять какую роль играет информационная безопасность в банковской деятельности, следует разобраться в том, какая данные банка требуют защиты и почему.
Важность банковской информационной безопасности
К банковским данным относится совокупность информации, которая обеспечивает возможность представления финансового учреждения в информационной среде, а также данные, обеспечивающие возможность проведения финансовых операций между клиентом и банком, а также между несколькими клиентами, использующих банковское учреждение в качестве финансового посредника.
Существует два вида банковской информации – это те данные, которые используются в информационной среде с целью представления деятельности финансового учреждения для его клиентов, а также совокупность данных клиентов финучреждения как юридических, так и физических.
Несмотря на то, что одна информация является открытой, а вторая закрытой, обе они требуют надежной защиты.
Как видим, защита информации в банковских системах – это очень важный аспект деятельности финансового учреждения, который всегда должен быть ключевым среди большого перечня задач, с которыми сталкиваются банки.
Среди способов несанкционированного доступа к данным банков на сегодня наиболее часто встречаются следующие.
Учитывая перечисленные выше угрозы потери важных данных, должны выбираться методы и средства защиты банковской информации.
Большинство банков уделяют достаточно большое внимание уровню физической безопасности своей информации.
Начинается этот процесс с того, что места, где хранятся информационные архивы и устанавливаются банковские сервера, имеют более высокий уровень защищенности от проникновения и возможности пребывания там сторонних физических лиц.
Кроме этого, активная работа ведется и по подбору персонала, который будет иметь доступ к конфиденциальным данным банка и его клиентов. Реализация перечисленных факторов существенно снижает вероятность кражи архивов, но не исключает ее полностью.
Резервирование информации и запись ее в архивы – это важный шаг чтобы сохранить нужные для себя данные.
Но чтобы исключить вероятность их попадания в руки злоумышленников, этот процесс должен происходить с применением систем шифрования.
Использование современной криптографической защиты сведет к нулю вероятность того, что даже украденная информация будет кем-то использована.
На сегодня есть много различных программных продуктов, которые обеспечивают шифрование данных в момент переноса их в архив.
Весь процесс полностью автоматизирован и не несет для банка существенных затрат в финансовом плане и в плане потребности дополнительных сотрудников.
Также важно, чтобы в процессе создания зашифрованного архива использовались хранилища, построенные на физических накопителях, а не на виртуальных.
Это гарантирует еще один уровень защищенности информации, ведь виртуальное хранилище легче взломать, нежели реальное.
Предотвратить утечку инсайдерской информации порой бывает труднее всего. Защитить ее с помощью различных и программных средств – это только половина решения поставленной задачи. В этом случае ключевую роль играет человеческий фактор.
Именно через сотрудников очень часто происходит потеря важных данных, что впоследствии влияет на будущее и текущую деятельность банка.
Поэтому подбор кадров, эффективная работа внутренней службы безопасности, а также использование системы ограничения доступа позволит минимизировать риски потери инсайдерской информации.
Выше были рассмотрены основные способы защиты банковской информации.
Чтобы гарантировать 100-процентую ее защиту важно использовать все существующие на сегодня способы в комплексе.
Учитывая, что киберпреступность в последнее время развивается очень сильно и защитить информацию становится все труднее, важно, чтобы этим процессом занимались профессионалы своего дела.
Они помогут подобрать правильные аппаратные и программные средства, а также создадут верную стратегию защиты данных в конкретной информационной среде банка.
Какие основные проблемы в области обеспечения безопасности вы выделяете на настоящий момент как в аспекте информационной безопасности, так и с точки зрения обеспечения безопасности бизнеса?
Андрей Богословских, директор Дирекции информационных технологий Росбанка:
Нацеленность хакерского сообщества на создание вредоносного кода, адаптированного к технологиям систем дистанционного банковского обслуживания. Кража паролей и ключевой информации с зараженных компьютеров клиентов.
Константин Меденцев, вице-президент по информационным технологиям Московского Банка Реконструкции и Развития:
Основной задачей информационной безопасности является обеспечение и совершенствование защиты информационной инфраструктуры. Информационные технологии все шире используются и в криминальных целях. Технологии становятся более доступными, и стоимость атак на информационные системы снижается, тогда как защита электронных информационных ресурсов обходится все дороже. С помощью информационных систем кредитным организациям удается существенно снизить издержки на обслуживание клиентов, что, в свою очередь, ведет к увеличению прибыли. Однако механизмы исполнения установленных регуляторами требований ведут к значительному удорожанию банковского обслуживания. Чем выше уровень защиты данных, тем, разумеется, труднее их получить, так как усложняется архитектура соответствующих автоматизированных систем. В этой связи важно найти интегрированный подход или алгоритм действий, реализация которого позволит выполнить законные требования, но при этом не скажется отрицательно на деятельности банка и не приведет к удорожанию продуктов и услуг для потребителя.
Владилен Новоселецкий, начальник Управления информационной безопасности БИНБАНКа:
Главная проблема - ограниченность финансирования ИБ. Она во многом определяет все остальные проблемы.
Вторая проблема - выбор для бизнеса той степени свободы, которая, с одной стороны, не позволит злоумышленникам разорить бизнес, с другой - не задушит бизнес. Очевидно, что инцидентов ИБ не будет, если все запретить. Но тогда и бизнес развиваться не будет. Поэтому нужно найти баланс между необходимой для бизнеса свободой действий и необходимой для обеспечения ИБ системой ограничений.
Третья проблема - проблема выбора СЗИ с требуемым функционалом, не оказывающих заметного негативного влияния на защищаемые средства (проблема функциональности и совместимости). СЗИ на рынке предлагается много, но... гладко было на бумаге.
Четвертая проблема - правовая - лицензирование деятельности с использованием СКЗИ, сертификация СЗИ и аттестация объектов автоматизации. Среди сертифицированных ФСТЭК России (ФСБ России) СЗИ большинство устарели. Поэтому при выборе СЗИ возникает дилемма: выполнить требования ФЗ, приобретя сертифицированное, но устаревшее СЗИ. Либо приобрести СЗИ новейшей разработки и, соответственно, более эффективное, но несертифицированное. Если выбран и уже приобретен несертифицированный вариант СЗИ, то его последующая сертификация превращается просто в кормушку для занимающихся этим организаций. В ходе сертификации СЗИ лучше не станет, но станет гораздо дороже. А если результат сертификации окажется отрицательным, то что делать с этим СЗИ? Вернуть продавцу?
Олег Подкопаев, директор по информационным технологиям Русфинанс Банка: Как всегда, основной угрозой информационной безопасности организации и бизнеса является инсайдер. И хотя последствия инсайдерских действий, как правило, менее заметны в явном виде, а иногда даже просто не видны - именно в этом заключается их основная опасность. Компрометация клиентской базы, например, помимо прямых юридических рисков в дальнейшем приводит к снижению бизнеса и потере доли на рынке, причем последствия становятся видны только тогда, когда делать что-либо уже поздно. Соответственно, основные усилия должны быть направлены на превентивные мероприятия, позволяющие не допустить подобной утечки либо вовремя ее выявить.
Александр Туркин, руководитель Центра верификации и информационного обеспечения БИНБАНКа: С аттестацией объектов информатизации картина такая: при любом изменении объект нужно переаттестовывать. Но в банке изменения происходят непрерывно! Меняется как компьютерное оборудование, так и программное обеспечение, технология работ. Таким образом, формально аттестация/переаттестация превращается в непрерывный бесконечный процесс с бесконечными расходами.
Как известно, для использования СКЗИ, подпадающих под постановление Правительства РФ от 29.12.2007 № 957, утвердившее Положения о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами, необходимы лицензии ФСБ России. Но тогда они нужны не только для банка, но и для всех клиентов системы Клиент-Банк. Аналогично для всех клиентов систем электронного обмена с ФНС, Пенсионным фондом и т. п. Получается, что лицензии ФСБ России нужны для большинства организаций страны.
Евгений Шевцов, вице-президент ЗАО АКБ «НОВИКОМБАНК»: Кредитно-финансовые организации сегодня все чаще сталкиваются с широким спектром существующих угроз, таких как компьютерное мошенничество, компьютерные вирусы, взлом компьютерных систем, отказ в обслуживании и т. д. Высокая зависимость этих организаций, нашего банка в частности, от информационных ресурсов, объединение корпоративных сетей и сетей общего доступа, совместное использование информационных ресурсов повышают уязвимость от подобных угроз. Поскольку существующие в банке информационные системы изначально не проектировались с необходимым уровнем защищенности, то в большинстве случаев возможности обеспечения информационной безопасности ограничены.
Важнейшей проблемой, стоящей перед руководством и службой безопасности, является проблема внутренних угроз информационной безопасности, или, иными словами, проблема защиты информации от инсайдеров.
Поэтому сегодня, как в аспекте информационной безопасности, так и с точки зрения обеспечения безопасности бизнеса, жизненно необходима комплексная система информационной безопасности, которая задействует не только технические, но и организационные ресурсы, создание которой может обойтись банку значительно дешевле, чем ликвидация последствий угроз ИБ.
Изменился ли в результате кризиса характер взаимоотношений между IT-подразделением банка и службой безопасности? Произошло ли перераспределение обязанностей и функций? Каким образом?
Андрей Богословских: Кризис не изменил взаимоотношения между IT и безопасностью.
Константин Меденцев: Финансово-экономический кризис оказал существенное влияние на характер ведения бизнеса, что в ряде случаев повлекло за собой заметные изменения в структуре кредитных организаций, связанные либо с сокращением, либо с перераспределением задач между подразделениями. В части информационной безопасности с основными смежными подразделениями, а именно - с подразделениями информационных технологий. Наблюдения показывают, что в ряде случаев имеет место передача функций, связанных с эксплуатацией систем обеспечения информационной безопасности, в подразделения информационных технологий. Однако негативное влияние данного перераспределения на ведение бизнеса в целом в основе своей может быть проявиться только в случае отсутствия оперативной корректировки процедур взаимодействия смежных подразделений. В случае грамотного описания процедур взаимодействия негативного влияния данное перераспределение не оказывает.
Владилен Новоселецкий: В связи со вступлением в действие Закона «О персональных данных» характер взаимоотношений должен был бы измениться в сторону ИБ. Но он не изменился. Возможно, что основной вклад в это внес кризис.
Олег Подкопаев: Кризис как таковой, конечно, на такие взаимоотношения не повлиял, поскольку его сущность была иной. Но с точки зрения взаимодействия подразделений банка действия стали слаженнее. В большей мере повлияли требования регуляторов, реализация которых требует более четкого взаимодействия служб IT и безопасности. При этом распределение функций не меняется: подразделения информационной безопасности являются регулирующими и контролирующими органами внутри банка, IT призвано реализовывать и обеспечивать информационную безопасность.
Евгений Шевцов: Характер взаимодействия не изменился. Обязанности и функции подразделений остались прежними, определяемыми нормативными документами банка.
Как вы оцениваете роль регулятора в области информационной безопасности банка? Насколько полезны, в частности, те шаги, которые ЦБ РФ предпринимает в законодательной сфере?
Андрей Богословских: Банк России разрабатывает стандарты ИБ, они носят рекомендательный характер (не являются законодательной сферой). Оценка двоякая. С одной стороны, стандарты ИБ ЦБ РФ полезны, так как они базируются на современных международных стандартах по ИБ. С другой стороны, в них много спорного, так как они базируются еще и на устаревших методиках и инструкциях Гостехкомиссии (ФСТЭК).
Константин Меденцев: Усилия Центрального банка не могут оставаться незамеченными. Важной вехой в становлении нормативно-методической базы Центрального банка в области информационной безопасности стал выпуск ряда регламентирующих документов. Таких как «Методика оценки соответствия информационной безопасности требованиям СТО БР ИБСС-1.0-2008» и «Методика оценки рисков нарушения информационной безопасности».
Олег Подкопаев: Я полагаю, ЦБ РФ поступает абсолютно правильно, приучая банки к мысли о возможной регуляции в области информационной безопасности. Причем это делается очень разумно, посредством выпуска сначала рекомендаций и методик самооценки, проведением пилотов по аудиту информационной безопасности, и лишь потом - а это вопрос времени - введением обязательных требований.
Александр Туркин: Регуляторов в области ИБ у нас три: ЦБ РФ, ФСТЭК России, ФСБ России. Шаги ЦБ в законодательной сфере предпринимаются в интересах банков, поэтому они, безусловно, для банков полезны, а вот насколько они окажутся эффективны - время покажет. Пока похоже, что какой-то эффект будет, хотя может и меньше, чем хотелось бы. Получили отсрочку на год, и ФСТЭК России снял гриф ДСП с четырех своих документов - уже хорошо. Вместе с тем хотелось бы подчеркнуть, что роль Банка России в этом вопросе, несомненно, позитивная. По приглашению Андрея Петровича Курило мы вошли в Рабочую группу АРБ по Закону № 152-ФЗ. Предложения и замечания по совершенствованию законодательства в сфере персональных данных, родившиеся в процессе совещаний Рабочей группы, я думаю, внесли значительный вклад в общую копилку.
Евгений Шевцов: Основным документом, которым руководствуется в своей деятельности служба информационной безопасности банка, является Стандарт Банка России: «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» (СТО БР ИББС-1.0-2008). Ожидаем, что новая редакция документа станет отраслевым стандартом для кредитно-финансовых организаций РФ.
Вступление в силу требований Закона № 152-ФЗ в полном объеме. Насколько сегодня банки готовы к этому? Что дает годичная отсрочка, которой удалось добиться?
Андрей Богословских: Банки не готовы. Годовая отсрочка мало что дает. Защищать ПД сильнее, чем банковскую и коммерческую тайну, - это нонсенс.
Константин Меденцев: Несмотря на то что Федеральный закон «О персональных данных» был принят еще в 2006 г., нормативно-методические документы, регламентирующие процессы построения систем защиты персональных данных, вышли в свет существенно позже. Учитывая немалые объемы финансовых затрат на реализацию систем защиты, у операторов обработки персональных данных на их реализацию осталось слишком мало времени. В этой связи годичная отсрочка пришлась очень кстати.
Олег Подкопаев: Естественно, никто, в том числе и банки, к введению Закона № 152-ФЗ в полном объеме не готов. Более того, не готовы регуляторы, что в общем-то и определило возможность переноса сроков. Причем годичная отсрочка здесь нужна не столько операторам, сколько законодателям, чтобы внести необходимые поправки, сформулированные в процессе попыток практической реализации требований Закона и соответствующих нормативных актов. Я думаю, это будет сделано в течение 2010 г. Будет также понятнее, что и как делать, требования станут больше соответствовать реалиям, и, наконец, у консультантов поднакопится опыт реализации на «пилотных» проектах.
Александр Туркин: Тут одна из проблем - толкование этого ФЗ и подзаконных актов. Если подходить формально и строго, то банки не готовы, и год отсрочки ситуацию кардинально не изменит. Если ряд требований будут скорректированы в сторону их ослабления, то степень готовности повысится.
Евгений Шевцов: Годичная отсрочка дает возможность сэкономить денежные средства при выполнении этих требований.
В связи с развитием дистанционного банковского обслуживания и планами активного развития банков в этом направлении насколько серьезной представляется проблема DDOS-атак на сайты банков, фишинга и прочих угроз для каналов ДБО?
Андрей Богословских: Угроза DDoS серьезна, но не сама по себе, а как средство сокрытия мошеннических транзакций с использованием украденных реквизитов клиентов.
Константин Меденцев: Как уже говорилось, развитие информационных технологий оказывает влияние и на криминальную сферу. Однако системы дистанционного банковского обслуживания при грамотном построении могут вполне уверенно противостоять некоторым видам угроз. Существующие в настоящее время средства мониторинга сетевой активности позволяют выявить источник DDOS-атаки достаточно быстро и наряду с этим позволяют предотвратить нанесение ущерба техническим средствам самой системы дистанционного банковского обслуживания. Однако проблемы, связанные с несанкционированным использованием ключевой информации, мало кого обошли стороной. Исключить данное явление возможно только совместными усилиями как со стороны кредитных организаций - путем внедрения более совершенных механизмов реализации криптографических процедур, так и со стороны самих клиентов - путем неукоснительного соблюдения рекомендаций по обеспечению информационной безопасности.
Александр Туркин: Проблема одна из самых серьезных. В некоторых банках накоплено много информации об источниках таких угроз. Ее консолидация, вероятно, могла бы существенно повысить раскрываемость в данной сфере. Но заинтересованного в такой информации консолидирующего правоохранительного органа не видно. И это при том, что в Доктрине информационной безопасности РФ эта угроза рассматривается как серьезная для экономики страны.
Евгений Шевцов: Считаю данную проблему серьезной. Банку необходимы инструменты, позволяющие предотвращать такие атаки на начальном этапе их действия. И не просто предотвращать, а защищать.
Какие основные проблемы/угрозы для своей деятельности с точки зрения ИБ вы видите на ближайшее будущее - 2010 г.?
Андрей Богословских: Соблюдение требований методических рекомендаций ФСБ и ФСТЭК по защите ПД. Развитие направления мошенничества с использованием каналов ДБО.
Константин Меденцев: Технический прогресс неуклонно идет вперед. Как уже отмечалось ранее, проникновение информационных технологий в криминальную сферу происходит ускоренными темпами. В этой связи представляется, что количество угроз информационной безопасности деятельности кредитных организаций может только возрастать. Однако более детальную оценку их характера и последствий сможет дать только время.
Владилен Новоселецкий: Основная проблема - приведение банка в соответствие с Законом «О персональных данных», а основная угроза - недопонимание или неверное понимание этой проблемы со стороны всех тех лиц, от которых зависит ее решение.
Евгений Шевцов: В рамках создания системы защиты персональных данных рассмотреть вопрос организации комплексной системы безопасности информационных ресурсов банка.
Оценить:
Система защиты информации банков весьма сильно отличается от аналогичных стратегий других компаний и организаций. Это обусловлено прежде всего специфическим характером угроз, а также публичной деятельностью банков, которые вынуждены делать доступ к счетам достаточно легким для удобства клиентов.
По мере развития и расширения сферы применения средств вычислительной техники, острота проблемы обеспечения безопасности вычислительных систем и защиты хранящейся и обрабатываемой в них информации от различных угроз все более возрастает. Для этого есть целый ряд объективных причин.
Основная из них -- возросший уровень доверия к автоматизированным системам обработки информации. Им доверяют самую ответственную работу, от качества которой зависит жизнь и благосостояние многих людей. ЭВМ управляют технологическими процессами на предприятиях и атомных электростанциях, движениями самолетов и поездов, выполняют финансовые операции, обрабатывают секретную информацию.
Известны различные варианты защиты информации -- от охранника на входе до математически выверенных способов сокрытия данных от ознакомления. Кроме того, можно говорить о глобальной защите и ее отдельных аспектах: защите персональных компьютерах, сетей, баз данных и др.
Необходимо отметить, что абсолютно защищенных систем нет. Можно говорить о надежности системы, во-первых, лишь с определенной вероятностью, а во-вторых, о защите от определенной категории нарушителей. Тем не менее, проникновения в компьютерную систему можно предусмотреть. Защита -- это своего рода соревнование обороны и нападения: кто больше знает и предусматривает действенные меры -- тот и выиграл.
Организация защиты автоматизированной системы обработки информации банка -- это единый комплекс мер, которые должны учитывать все особенности процесса обработки информации. Несмотря на неудобства, причиняемые пользователю во время работы, во многих случаях средства защиты могут оказаться совершенно необходимыми для нормального функционирования системы. К основным из упомянутых неудобств следует отнести Гайкович Ю.В., Першин А.С. Безопасность электронных банковских систем.-М.:Единая Европа,1994.- С..33:
Современный банк трудно представить себе без автоматизированной информационной системы. Связь компьютеров между собой и с более мощными компьютерами, а также с ЭВМ других банков -- также необходимое условие успешной деятельности банка -- слишком велико количество операций, которые необходимо выполнить в течение короткого периода времени.
В то же время информационные системы становятся одной из наиболее уязвимых сторон современного банка, притягивая к себе злоумышленников, как из числа персонала банка, так и со стороны. Оценки потерь от преступлений, связанных с вмешательством в деятельность информационной системы банков, очень сильно разнятся. Сказывается разнообразие методик для их подсчета. Средняя банковская кража с применением электронных средств составляет около $9.000, а один из самых громких скандалов связан с попыткой украсть $700 млн. (Первый национальный банк, Чикаго).
Причем необходимо учитывать не только суммы прямого ущерба, но и весьма дорогостоящие мероприятия, которые проводятся после успешных попыток взлома компьютерных систем. Так, одним из самых ярких примеров можно привести пропажу данных о работе с секретными счетами Bank of England в январе 1999 года. Эта пропажа заставила банк поменять коды всех корреспондентских счетов. В этой связи в Великобритании были подняты по тревоге все имеющиеся силы разведки и контрразведки для того, чтобы не допустить вероятной утечки информации, способной нанести огромный ущерб. Правительством предпринимались крайние меры с тем, чтобы посторонним не стали известны счета и адреса, по которым Bank of England направляет ежедневно сотни миллиардов долларов. Причем в Великобритании больше опасались ситуации, при которой данные могли оказаться в распоряжении иностранных спецслужб. В таком случае была бы вскрыта вся финансовая корреспондентская сеть Bank of England. Возможность ущерба была ликвидирована в течение нескольких недель.
Аджиев В. Мифы о безопасности программного обеспечения: уроки знаменитых катастроф//Открытые системы.-1999. -- №6.-- C..21-24
Услуги, предоставляемые банками сегодня, в немалой степени основаны на использовании средств электронного взаимодействия банков между собой, банков и их клиентов и торговых партнеров. В настоящее время доступ к услугам банков стал возможен из различных удаленных точек, включая домашние терминалы и служебные компьютеры. Этот факт заставляет отойти от концепции “запертых дверей”, которая была характерна для банков 60-х годов, когда компьютеры использовались в большинстве случаев в пакетном режиме как вспомогательное средство и не имели связи с внешним миром.
Уровень оснащенности средствами автоматизации играет немаловажную роль в деятельности банка и, следовательно, напрямую отражается на его положении и доходах. Усиление конкуренции между банками приводит к необходимости сокращения времени на производство расчетов, увеличения номенклатуры и повышения качества предоставляемых услуг. Чем меньше времени будут занимать расчеты между банком и клиентами, тем выше станет оборот банка и, следовательно, прибыль. Кроме того, банк более оперативно сможет реагировать на изменение финансовой ситуации. Разнообразие услуг банка (в первую очередь это относится к возможности безналичных расчетов между банком и его клиентами с использованием пластиковых карт) может существенно увеличить число его клиентов и, как следствие, повысить прибыль.
Информационная безопасность банка должна учитывать следующие специфические факторы:
Преступления в банковской сфере также имеют свои особенности Гамза В.А. , Ткачук И.Б. Безопасность коммерческого банка.- М..: Единая Европа, 2000.- C..24:
Как правило, злоумышленники обычно используют свои собственные счета, на который переводятся похищенные суммы. Большинство преступников не знают, как “отмыть” украденные деньги. Умение совершить преступление и умение получить деньги -- это не одно и то же.
Большинство компьютерных преступлений -- мелкие. Ущерб от них лежит в интервале от $10.000 до $50.000.
Успешные компьютерные преступления, как правило, требуют большого количества банковских операций (до нескольких сотен). Однако крупные суммы могут пересылаться и всего за несколько транзакций.
Большинство злоумышленников -- клерки. Хотя высший персонал банка также может совершать преступления и нанести банку гораздо больший ущерб -- такого рода случаи единичны.
Компьютерные преступления не всегда высокотехнологичны. Достаточно подделки данных, изменения параметров среды АСОИБ и т.д., а эти действия доступны и обслуживающему персоналу.
Многие злоумышленники объясняют свои действия тем, что они всего лишь берут в долг у банка с последующим возвратом. Впрочем “возврата”, как правило, не происходит.
Специфика защиты автоматизированных систем обработки информации банков обусловлена особенностями решаемых ими задач:
Как правило, АСОИБ обрабатывают большой поток постоянно поступающих запросов в реальном масштабе времени, каждый из которых не требует для обработки многочисленных ресурсов, но все вместе они могут быть обработаны только высокопроизводительной системой;
В АСОИБ хранится и обрабатывается конфиденциальная информация, не предназначенная для широкой публики. Ее подделка или утечка могут привести к серьезным (для банка или его клиентов) последствиям. Поэтому АСОИБ обречены оставаться относительно закрытыми, работать под управлением специфического программного обеспечения и уделять большое внимание обеспечению своей безопасности;
Другой особенностью АСОИБ является повышенные требования к надежности программно-аппаратного обеспечения. В силу этого многие современные АСОИБ тяготеют к так называемой отказоустойчивой архитектуре компьютеров, позволяющей осуществлять непрерывную обработку информации даже в условиях различных сбоев и отказов.
Использование банками АСОИ связано со спецификой защиты этих систем, поэтому банки должны уделять больше внимания защите своих автоматизированных систем.
Выводы по первой главе:
