إذا قدمت أمانًا تقنيًا بنسبة 100٪ للأعمال التجارية ، فلن تتمكن ببساطة من تحقيق ربح. إذا لم تضع أي قيود وقائية عند إجراء المعاملات أو بيع المنتجات المصرفية ، فإن المحتالين ، على الأرجح ، لن يتركوا حجرًا دون قلب ". في هذا السياق ، جرت محادثتنا مع Vasily Okulesky ، دكتوراه ، رئيس قسم أمن المعلومات في إدارة الأمن في بنك موسكو.
JI: فاسيلي أندريفيتش ، ما هو تقييمك للوضع الحالي مع الاحتيال في القطاع المصرفي؟
في.:الآن نشهد زيادة بنسبة 30 إلى 50٪ في أنواع مختلفة من الاحتيال مقارنة بالعام الماضي. لقد تغير هيكلها الخاص أيضًا: أولاً وقبل كل شيء ، هناك عودة حادة للاحتيال في أجهزة الصراف الآلي.
على مدار العام الماضي ، نمت شبكة أجهزة الصراف الآلي الإجمالية للبنوك الروسية بنسبة 40٪ ، وأصبح هذا العامل التقني البحت سببًا أساسيًا لزيادة الجريمة. كما تغيرت أساليب مهاجمة أجهزة الصراف الآلي. ظهر ما يسمى بـ "المتفجرات" ، وهي تتميز بسرعة "العمل" العالية - تستغرق عملية السرقة بأكملها أقل من دقيقة. عادت أدوات هجوم البرامج التي كانت في ذروة شعبيتها في عام 2009. علاوة على ذلك ، يتم ملاحظة طرق جديدة بشكل أساسي: يتم مهاجمة أجهزة الصراف الآلي عن بُعد ، أو إثارة إعادة التشغيل ، أو الانتقال مباشرة إلى أجهزة التنفيذ - إلى نفس المودع. إن مقدار الضرر الناجم عن مثل هذه الإجراءات يتجاوز بشكل كبير الخسائر الناجمة عن أنواع الاحتيال الأخرى في أجهزة الصراف الآلي.
في القطاع المصرفي الروسي ، هناك اتجاه ثابت نحو تطوير وظائف الخدمات المصرفية عبر الإنترنت للأفراد والكيانات القانونية. يحب المحتالون أيضًا الوظيفة الجديدة ، في المقام الأول من حيث احتمال فتح الفرص لسرقة الأموال. وفقًا لذلك ، لا يسع البنوك إلا أن تستثمر في تحسين أمان خدمات الإنترنت الخاصة بها. ألاحظ أنه من بين جميع البنوك الروسية ، لا يستثمر سوى بنك Tinkoff في أمن المعلومات الخاص به "تمامًا مثل هذا" - فهذه هي الطريقة الوحيدة لضمان أمن الأعمال.
الاتجاه السائد في الأشهر القليلة الماضية هو الهجمات على أنظمة المعلومات في البنوك. يهاجمون مباشرة وسائل إدارة حسابات المراسلين - وهذا يسمح للمحتالين بسحب مبالغ ضخمة من المال دفعة واحدة. تتطلب مثل هذه العمليات مؤهلات عالية وتدريبًا جادًا من المهاجمين.
يانسبيرجي: هذا يعني أن الهدف من الهجمات غالبًا ليس العميل ، ولكن البنك نفسه؟
في.:نعم ، هذا يرجع إلى عدة عوامل. أولاً ، بذلت البنوك الكثير من الجهد لحماية عملائها ، وقد نجح ذلك حقًا. ثانيًا ، أصبح العملاء أكثر تقدمًا في قضايا أمن المعلومات. الآن الصياغة "اشتريت برنامج مكافحة فيروسات ، وقمت بتثبيته على جهاز الكمبيوتر الخاص بي ، ولكنه لا يعمل لسبب ما" أقل شيوعًا. يعرف العملاء بالفعل ما وكيفية التثبيت والتحديث والعواقب القانونية لاستخدام البرامج المرخصة وغير المرخصة وما إلى ذلك. أصبح الناس أكثر استعدادًا ، وأصبح من الصعب مهاجمتهم ، كل هذا يجبر المحتالين على "التحول" إلى البنوك.
ألاحظ أن بنية مثل هذه الهجمات ووسائلها تختلف اختلافًا جوهريًا. لذلك ، من الضروري مراجعة نموذج تشكيل أنظمة المعلومات المصرفية. يجب أن يشارك حراس الأمن في العمل في المراحل الأولى من دورة حياة النظام ، وليس في مرحلة التكليف. وهذا يعني أنه من الضروري مراعاة جميع قضايا أمن المعلومات أثناء التطوير.
علاوة على ذلك ، يجب أن يتغير فهم أمن المعلومات. إن أمن المعلومات ليس عملية منفصلة "نضع حلاً ، كل شيء يعمل بشكل مريح" ، ولكنه نشاط مستمر ، وطريقة خاصة في تفكير الأشخاص الذين يطورون الأنظمة ، ويعملون بوثائق سرية ، وما إلى ذلك.
J.I: ما الذي يجب أن تكون عليه هذه العقلية بالضبط؟
في.:سأقدم أبسط مثال فيما يتعلق بالمكونات الثلاثة الرئيسية لأمن المعلومات - السرية والسلامة وتوافر البيانات. هناك مفارقة منطقية مثيرة للاهتمام فيما يتعلق بهذا الثالوث: إذا كان المفهوم للوهلة الأولى يبدو بسيطًا وواضحًا ، فإن تنفيذه عمليًا مستحيل عمليًا. ما هي النزاهة؟ سؤال بسيط. ولكن عند التوقيع على مستند بتوقيع إلكتروني ، فإن المطلب الرئيسي هو أنه يجب أن تكون متأكدًا مما تقوم بالتوقيع عليه. وهذا يعني أنه يجب ضمان سلامة كائن التوقيع الأصلي وما تراه على الشاشة. إلى أي مدى يتوافق المستند الإلكتروني في قاعدة البيانات مع المستند الأصلي الورقي؟ ما مدى شرعية النسخ الإلكترونية الموقعة على الورق؟ أي شخص لديه فكرة عن ماهية Windows يفهم أن المطلب أعلاه ، من حيث المبدأ ، غير ممكن. أو تحتاج إلى التخلي عن نظام التشغيل الشهير هذا والتكنولوجيا متعددة المهام ، وابتكار طريقة لتصور المستندات الإلكترونية التي تضمن النزاهة في جميع مراحل تحولها.
السؤال ليس بهذه البساطة ، فهو يعتمد على الوسائل التقنية ، تكنولوجيا العمل. إذا لم نحلها على مستوى البيان الأولي للمشكلة ، فعندئذ لا يمكننا ببساطة فهم ما يجب علينا حمايته بالضبط ، وما هو هدف أمن المعلومات بالنسبة لنا. إنها ليست حقيقة أن الوثيقة التي نحميها في الواقع تتوافق مع ما كان في المدخل وكان خاضعًا للحماية حقًا.
J.I: ما هو نوع الاحتيال الأكثر خطورة في الوقت الحالي؟
تعليق صوتي: الآن ، تمامًا مثل السنوات القليلة الماضية ، أصبحت عمليات الاحتيال الداخلي في متناول اليد. لا يمكن حظرها بواسطة أنظمة التدابير المضادة. إذا اتفق الموظفون فيما بينهم ، فلن يساعدك أي شيء تقريبًا. من الصعب للغاية التعرف على المطلعين ، وعواقب هذا التواطؤ أكبر بكثير من الضرر الناجم عن أي نوع آخر من الاحتيال.
JI: ما هي الأساليب الرئيسية لضمان أمن المعلومات في البنك الذي تتعامل معه؟
في.:نحن نعزز بشكل منهجي أمن خدماتنا. لكن تركيز الاهتمام فيما يتعلق بضمان أمن المعلومات قد تحول. إذا قمنا في وقت سابق بحماية العميل من التهديدات المتكررة - التصيد الاحتيالي ، وإمكانية استبدال تفاصيله ، وكفلنا حماية أدوات المصادقة ، فنحن الآن نعتقد بشكل مسبق أن العميل مندهش دائمًا. 80٪ من العملاء يستخدمون الخدمات المصرفية في البداية تحت سيطرة المحتالين. لذلك ، يجب تغيير نموذج الحماية. نفترض أن المحيط محمي بشكل كافٍ بالفعل ، لذلك نوجه انتباهنا إلى المعاملات. في الواقع ، أحد أكثر الاتجاهات الحديثة فعالية هو تحليل المعاملات.
JI: ربما ، بعد فترة زمنية معينة ، ستضطر البنوك إلى الاعتراف بأن بنيتها التحتية هي أيضًا ضعيفة بشكل مسبق وأن 80٪ يسيطر عليها المحتالون. وهذا يعني أن السبيل الوحيد للخروج هو التحكم بالفعل في المعاملات داخل البنوك باستخدام أنظمة مشابهة لحلول مراقبة معاملات العملاء.
في.:هناك بعض الحقيقة في ذلك. لن أفتح الباب أمام أمريكا إذا قلت إن أمن المعلومات يتطور في دوامة ، وكل منعطف يحدث على مستوى مختلف جوهريًا. قبل 10 سنوات ، تحدثنا عن نفس الشيء تقريبًا - تحتاج إلى حماية المحيط الخارجي للبنك. على مر السنين ، مررنا بعدة جولات لحماية العملاء وعادنا مرة أخرى إلى نقطة البداية - البنك. الآن فقط نحن نتحدث عن تغيير أيديولوجية بناء البنية التحتية للمعلومات للنظر الأولي في قضايا أمن المعلومات.
J.I: كما تعلم ، غالبًا ما يكون للأعمال موقف سلبي تجاه تطوير أمن المعلومات وتشديده. كيف يمكنك جعل البنك يتماشى مع ممارسات أمن المعلومات الحديثة؟
في.:الحافز الأكثر فعالية لتحسين مستوى أمن المعلومات في الشركة هو المشاركة الإلزامية للشركة في عملية استرداد الضرر المالي من الاحتيال. على سبيل المثال ، نحن نعمل على تطوير منتج مصرفي جديد. نظرنا إلى ثالوث البكالوريا الدولية وأصدرنا التعليقات وأغلقنا الثقوب التي رأيناها. إنه مرئي لنا ، حيث يوجد في كل تطوير عدة طبقات متصلة. نحن نقضي على نقاط الضعف في الطبقات ، لكن فريق التطوير يعرف ميزات الاتصالات بينها بشكل أفضل. في مستندات المنتج التي نعمل بها ، لم يتم وصفها. في الوقت نفسه ، غالبًا ما تكون هذه الاتصالات أهدافًا للهجوم. إذا كان المطورون غير مهتمين تمامًا ببنائها بشكل صحيح من وجهة نظر أمن المعلومات ، فبعد إصدار المنتج ، فإننا نخاطر بتجربة اهتمام متزايد من المحتالين. إذا ارتبطت الخسائر المالية بالأقساط المحددة للمطورين ووحدات الأعمال التي بدأت في ظهور المنتج ، فسوف يسعون هم أنفسهم إلى "تنظيفه" إلى أقصى حد.
إذا قمت ببناء نظام بشكل صحيح لموازنة المسؤولية المالية بين الإدارات ، فإن العمليات التجارية ذات الجودة العالية تصبح أكثر أمانًا تلقائيًا
آلية ضمان أمن المعلومات ، والتي تعمل بالفعل في مرحلة تقديم منتج في السوق ، هي وسيلة وقف خسارة معروفة. بمجرد تسجيل العديد من المعاملات الاحتيالية عليها أو تجاوز مقدار الضرر الناتج عن تصرفات المتسللين القيمة المسموح بها ، يقوم البنك بإيقاف العرض. نقوم بتحليل المنتج ، وإزالة الاختناقات ، وبعد ذلك فقط نعيد تشغيله. بطبيعة الحال ، يعتبر الربح من الخدمات المقدمة أمرًا بالغ الأهمية لأي عمل تجاري ، لذلك فهو مهتم بدلاً من ذلك بزيادة العدد المسموح به من المعاملات الاحتيالية أو مقدار الضرر. في الواقع ، هذا موضوع مساومة بين أقسام أمن المعلومات والأعمال ، مهمتنا المشتركة هي إيجاد حل وسط. لقد طورنا هذا النهج تدريجيًا. "نحن نعلم بالفعل أنه سيكون هناك وقف للخسائر وحدود ، لذلك دعونا نعمل معًا" - هذا هو موقف الشركة عند تقديم منتج جديد. تُعد الخدمات المصرفية عبر الهاتف المحمول مثالاً على كيفية تعامل الشركة مع قضايا أمن المعلومات بمسؤولية: في البداية ، أعلنت عن شروط أكثر صرامة لمصادقة العميل على الأجهزة المحمولة مما اقترحناه.
J.I: لنفترض أنك بحاجة إلى تقديم خدمة جديدة إلى السوق في أسرع وقت ممكن من أجل التقدم على المنافسين وعدم خسارة الأرباح المحتملة. في هذه الحالة ، هل يمكنك إلى حد ما تقليل أهمية مسألة ضمان أمن المعلومات؟
في.:على أي حال ، لا يمكننا "إغلاق أعيننا" ، فنحن نعمل بنفس الوتيرة الشديدة التي يعمل بها المطورون. نحن نكافح القشور الواضحة على الفور ، ونقاط الضعف التي ليس لدينا وقت للعمل بعمق وتفصيل قبل أن يتم التخلص من إصدار المنتج في مرحلة وقف الخسارة.
بشكل عام ، إذا أطلقت شركة ما خدمة أمن معلومات خام في السوق ، فيجب أن تكون مستعدة لمنح المحتالين نسبة معينة من كل مليون يتم تحقيقه من خلال ذلك. يمكن أن يكون الضرر الرسمي هنا 5 و 50٪. ستكون مخاطر الاحتيال في هذه الحالة مسؤولية وحدة الأعمال بالكامل ، وينبغي أن ينعكس ذلك في اتفاقية العمل ذات الصلة.
كما قلت أعلاه ، فإن توزيع المسؤولية يبعث على الواقعية. لنفترض أنك قمت بتثبيت جهاز صراف آلي في مكان يحتمل أن يكون خطيرًا ، على الرغم من توصيات متخصصي أمن المعلومات بشأن أجهزة الإنذار والمراقبة بالفيديو وما إلى ذلك. تبلغ تكلفة جهاز الصراف الآلي الحديث حوالي 30 ألف دولار. إذا قام أحد المحتالين بخرقه ، فيمكن تحميل تكلفة الإصلاح على الحساب المصرفي العام أو حساب المعالجة أو قسم البيع بالتجزئة الخاص بك. في موقف مشابه في المستقبل ، سيتم الاستماع إلى متخصصي أمن المعلومات. نتحدث مع الشركة بلغتها الخاصة - حول خسارة الأرباح ، والمخاطر ، والمسؤولية المالية ، وما إلى ذلك.
JI: منذ وقت ليس ببعيد ، أدخل بنك موسكو نظام حماية من الاحتيال في القنوات المصرفية البعيدة للكيانات القانونية. أخبرنا ما هي أهداف المشروع؟ هل تحققت؟
في.:مشروعنا فريد من نوعه إلى حد ما - لم يكن هدفنا زيادة مستوى الأمان ، ولكن تقليل تكلفة إجراء الكشف عن الاحتيال نفسه. قبل ذلك ، أكد 400 من صراف البنوك كل دفعة جديدة من خلال المكالمات - كان هناك حوالي 10 آلاف منهم في اليوم. نتيجة لذلك ، قمنا بتقليل عدد مكالمات التحكم في الأقسام الأمامية عند إجراء المدفوعات - في مناطق معينة بأكثر من 10 مرات. لقد انخفض العبء على الصرافين ، وتحولوا إلى بيع المنتجات المصرفية - وهو نشاط يدر أرباحًا مباشرة.
لقد فهمت أعمالنا أن الأمن يكلف المال من ناحية ، ومن ناحية أخرى ، سيكون المال أقل بكثير بدونه.
أدت الصياغة الصحيحة لهدف المشروع من جانبنا - "لنجعل الأمن أرخص" - إلى حقيقة أن وحدة الأعمال وافقت على تنفيذ نظام لمكافحة الاحتيال واستخدمت ميزانيتها الخاصة لهذا الغرض.
JI: الأداة التحليلية المطبقة ، في الواقع ، تتخذ القرارات من تلقاء نفسها. أين هو الخط الفاصل بين كفاية وتكرار الأتمتة؟ ما هي القرارات التي لا يمكن الوثوق بها لعقل البرنامج؟
في.:الحدود في حالة حركة مستمرة ، فهي تقع بين الترحيل التلقائي والحظر التلقائي للدفع. إذا انخفض / زاد مستوى الاحتيال ، الذي تم تحديد مستوى المخاطرة فيه في النظام ، فإننا نعدل معايير اتخاذ القرار فيه. في الوقت نفسه ، من المستحيل أتمتة تقييم العمليات بالكامل وإعطاء العملية برمتها تحت رحمة أداة تحليلية. أي أن هناك ثقة في نظام مكافحة الاحتيال ، لكن يجب التحكم في مستواه. في بعض الأحيان ، يمكن للفرد فقط اتخاذ قرار بشأن الدفع ، وقد أكدنا ذلك مرارًا وتكرارًا. كما يقول أحد الأمثال ، السيارة "أحمق": لا يمكنها التنبؤ بكل الفروق الدقيقة. على سبيل المثال ، أدى عطل فني إلى زيادة وقت الاستجابة بين الأنظمة ، ونتيجة لذلك ، لم يقرر الحل الإجابة. لقد قمنا بتدريب المتخصصين على الموظفين الذين يمكنهم أحيانًا العمل بشكل أسرع من حل مكافحة الاحتيال. لذلك ، في حالتنا ، نحن نتحدث عن نظام آلي ، وليس نظام آلي. لذلك نحن نثق ، لكننا نتحقق.
JI: إن تطبيق وتشغيل نظام معقد للتحكم في المخاطر يتطلب الكثير من العمل بالنسبة لفريق العمل المصرفي. ما هي الكفاءات التي يجب أن يتمتع بها الموظفون لضمان تشغيل هذه الحلول؟ هل هناك نقص في هؤلاء الأفراد؟
في.:سأجيب على السؤال بسؤال: كم عدد درجات اللون الأحمر التي يمكن أن يراها الشخص العادي؟ من الصعب قول هذا. وفي عملنا ، هذا هو الشيء الأكثر أهمية - أن تكون قادرًا على تمييز أكبر عدد من "ظلال" العمليات الخطرة في النظام. يجب أن يكون الأخصائي قادرًا على تحديد علامات الاحتيال المحتمل ، بما في ذلك بمساعدة الحدس المهني. هذا يأتي فقط مع الخبرة. يعمل الأشخاص الذين لديهم أمتعة معرفية أولية مختلفة في مجالنا. يتمتع البعض - الأشخاص في مجال تكنولوجيا المعلومات - بخلفية جيدة في تحليل النظام لكميات كبيرة من البيانات ، لكنهم لم يتعاملوا مطلقًا مع المعاملات الاحتيالية. آخرون - "أوبرا" - أكلوا الكلب عند تقييم العمليات ، فهم يفكرون من حيث عناوين IP ، والسجلات ، لكنهم في نفس الوقت لا يتخيلون مبادئ تنظيم قواعد البيانات ، فهم لا يعرفون كيفية إجراء تحليل النظام . تبادل الخبرات والعمل الجماعي المشترك لهؤلاء الخبراء يعطي تأثيرا تآزريا. من المهم للغاية أن يكون لديك رئيس مختص لوحدة مكافحة الاحتيال ، والذي سيبني العملية برمتها ويضع اللكنات بشكل صحيح. تلخيص كل ما سبق: المتخصصون المدربون والمجهزون في مجالنا هم "سلع بالقطعة".
JI: لقد تطرقت بالفعل جزئيًا إلى مسألة التفاعل بين خدمة أمن المعلومات ووحدات الأعمال. ما هي فكرتك عن الهيكل الأمثل لوظيفة مكافحة الاحتيال؟
في.:والأهم من ذلك ، يجب وصف التفاعل بين أمن المعلومات والأعمال في شكل عملية تجارية. علاوة على ذلك ، يجب على جميع المشاركين أن يفهموا بوضوح ما يجب القيام به في حالة وقوع حادث - لتخيل بالتفصيل إجراءات الاستجابة. للقيام بذلك ، لدى بنك موسكو لائحة بشأن إجراءات التفاعل. عند وصف عملية تجارية ، من الضروري فصل المناطق والقياس (من الممكن أن المادة) لمسؤولية كل مجموعة من المشاركين. أتذكر فيلم ليونيد فيلاتوف "حول فيدوت آرتشر ، الشاب الجريء": "أعترف بذنبي. ميرو. درجة. عمق."
لدى قسم الأمن لدينا وثائق داخلية تصف ماذا وأين وبأي شكل ومدى سرعة نقل متخصصي أمن المعلومات في حالة وقوع حادث. غالبًا ما يتم احتساب الدقائق ، لذا فإن الجلوس والتفكير في ما يجب القيام به ومن يقع اللوم أمر غير مقبول. يجب أن يكون لدى الموظف خوارزمية واضحة للإجراءات "واحد ، اثنان ، ثلاثة". في الوقت نفسه ، لديه جميع قوالب المستندات التي يجب إرسالها ، وقوائم محدثة لعناوين البريد الإلكتروني. أي أنك تحتاج إلى إنشاء عملية وتدريب الناس.
JI: كيف يمكنك تقييم الكفاءة الاقتصادية للوحدات التي ترتبط وظائفها بمكافحة الاحتيال؟
في.:مستحيل. لا يمكن قياس كفاءتنا الاقتصادية. على سبيل المثال ، لقد حددنا حالات احتيال هذا الشهر أكثر من الشهر الماضي. ماذا يقول؟ هل نقوم بعمل أفضل؟ أم أن المحتالين أخذوا الوتيرة المفاجئة "للإنتاج"؟ يمكن لإدارة أمن المعلومات تقييم أنشطتها فقط من حيث النسبة المئوية للحوادث المعالجة والمكتشفة. بشكل تقريبي ، إذا توصلنا إلى جميع الحقائق التي تم الكشف عنها للاحتيال ، فنحن فعالون. ولكن على أي حال ، لا تزال هناك نقطة عمياء - من المستحيل معرفة ما إذا كنا قد حسبنا كل شيء أم لا.
ومن المفارقات أن الشركة يمكنها تقييم فعالية عملنا على الخسائر فقط. هل يوجد ضرر احتيال؟ نعم - يمكن التنبؤ بها ، وتقع في نطاق الخسائر المخطط لها. هذا يعني أنه تم تحقيق التوازن الذي تحدثنا عنه أعلاه ، يعمل الأمان بشكل جيد. إذا كان مستوى الضرر أعلى من المقبول ، فهذا يعني أن هناك "ثقب" في مكان ما. علاوة على ذلك ، ليس حقيقة أن هذا عيب في مشهد أمن المعلومات. ربما تتطلب إحدى العمليات التجارية مراجعة مفصلة لزيادة مستوى أمن المعلومات. وسنعمل على هذا الأمر مع فريق من الخبراء من الأقسام الأخرى للبنك.
J.I: شكرًا جزيلاً لك على الوقت الذي قضيته في الدردشة!
تختلف استراتيجية أمن المعلومات الخاصة بالبنوك اختلافًا كبيرًا عن الاستراتيجيات المماثلة للشركات والمؤسسات الأخرى. ويرجع ذلك في المقام الأول إلى الطبيعة المحددة للتهديدات ، فضلاً عن الأنشطة العامة للبنوك ، والتي تضطر إلى جعل الوصول إلى الحسابات أمرًا سهلاً بدرجة كافية بغرض توفير الراحة للعملاء.
تقوم الشركة العادية ببناء أمن المعلومات الخاص بها بناءً على نطاق ضيق من التهديدات المحتملة - بشكل أساسي حماية المعلومات من المنافسين (في الواقع الروسي ، تتمثل المهمة الرئيسية في حماية المعلومات من السلطات الضريبية والمجتمع الإجرامي من أجل تقليل احتمالية حدوث حالة غير خاضعة للرقابة زيادة مدفوعات الضرائب والابتزاز). هذه المعلومات تهم فقط دائرة ضيقة من الأشخاص والمنظمات المهتمة ونادرًا ما تكون سائلة ، أي قابلة للتحويل إلى نقد.
يجب أن يأخذ أمن معلومات البنك في الاعتبار العوامل المحددة التالية:
1. المعلومات المخزنة والمعالجة في الأنظمة المصرفية هي أموال حقيقية. استنادًا إلى معلومات الكمبيوتر ، يمكن إجراء الدفعات وفتح القروض وتحويل مبالغ كبيرة. من الواضح تمامًا أن التلاعب غير المشروع بهذه المعلومات يمكن أن يؤدي إلى خسائر فادحة. توسع هذه الميزة بشكل كبير دائرة المجرمين الذين يتعدون على البنوك على وجه التحديد (على عكس ، على سبيل المثال ، الشركات الصناعية ، التي لا تهم معلوماتها الداخلية أي شخص).
2. المعلومات في النظم المصرفية تؤثر على مصالح عدد كبير من الناس والمنظمات - عملاء البنوك. كقاعدة عامة ، فهي سرية ، والبنك مسؤول عن توفير الدرجة المطلوبة من السرية لعملائه. بطبيعة الحال ، يحق للعملاء توقع أن يهتم البنك بمصالحهم ، وإلا فإنه يخاطر بسمعته مع كل العواقب المترتبة على ذلك.
3. تعتمد القدرة التنافسية للبنك على مدى ملاءمة عمل العميل مع البنك ، فضلاً عن مدى اتساع نطاق الخدمات المقدمة ، بما في ذلك الخدمات المتعلقة بالوصول عن بُعد. لذلك ، يجب أن يكون العميل قادرًا على إدارة أمواله بسرعة ودون إجراءات مملة. لكن سهولة الوصول إلى الأموال تزيد من احتمالية التدخل الإجرامي في الأنظمة المصرفية.
4. يجب أن يضمن أمن معلومات البنك (على عكس معظم الشركات) موثوقية عالية لأنظمة الكمبيوتر حتى في حالات الطوارئ ، حيث أن البنك مسؤول ليس فقط عن أمواله الخاصة ، ولكن أيضًا عن أموال العملاء.
5. يقوم البنك بتخزين معلومات مهمة عن عملائه مما يوسع دائرة المتطفلين المحتملين المهتمين بسرقة أو إتلاف مثل هذه المعلومات.
كما أن للجرائم في القطاع المصرفي خصائصها الخاصة:
لا تزال العديد من الجرائم المرتكبة في القطاع المالي غير معروفة لعامة الناس بسبب حقيقة أن مديري البنوك لا يريدون إزعاج مساهميهم ، فهم يخشون تعريض منظمتهم لهجمات جديدة ، فهم يخشون الإضرار بسمعتهم كمتجر موثوق من الأموال ، ونتيجة لذلك ، تفقد العملاء.
كقاعدة عامة ، يستخدم المهاجمون عادةً حساباتهم الخاصة ، والتي يتم تحويل المبالغ المسروقة إليها. معظم المجرمين لا يعرفون كيف يغسلون الأموال المسروقة. القدرة على ارتكاب جريمة والقدرة على الحصول على المال ليسا نفس الشيء.
معظم جرائم الكمبيوتر تافهة. الضرر الناجم عنهم يقع في حدود 10000 دولار إلى 50000 دولار.
تتطلب جرائم الكمبيوتر الناجحة عادةً عددًا كبيرًا من المعاملات المصرفية (تصل إلى عدة مئات). ومع ذلك ، يمكن تحويل مبالغ كبيرة في عدد قليل من المعاملات.
معظم المتسللين كتبة. على الرغم من أن كبار موظفي البنك يمكن أن يرتكبوا جرائم ويتسببوا في المزيد من الضرر للبنك ، فإن مثل هذه الحالات نادرة.
جرائم الكمبيوتر ليست دائما عالية التقنية. يكفي تزوير البيانات وتغيير معلمات بيئة ASOIB وما إلى ذلك ، وهذه الإجراءات متاحة أيضًا لموظفي الصيانة.
يشرح العديد من المهاجمين أفعالهم من خلال حقيقة أنهم يقترضون فقط من البنك بعائد لاحق. ومع ذلك ، "العودة" ، كقاعدة عامة ، لا يحدث.
ترجع تفاصيل حماية أنظمة معالجة المعلومات الآلية للبنوك (ASOIB) إلى خصائص المهام التي تحلها:
كقاعدة عامة ، يعالج ASOIB تدفقًا كبيرًا من الطلبات التي تصل باستمرار في الوقت الفعلي ، وكل منها لا يتطلب العديد من الموارد للمعالجة ، ولكن لا يمكن معالجتها معًا إلا من خلال نظام عالي الأداء ؛
يقوم ASOIB بتخزين ومعالجة المعلومات السرية غير المخصصة لعامة الناس. يمكن أن يؤدي تزويرها أو تسريبها إلى عواقب وخيمة (للبنك أو لعملائه). لذلك ، فإن ASOIB محكوم عليها أن تظل مغلقة نسبيًا ، وتعمل تحت سيطرة برامج معينة وتولي اهتمامًا كبيرًا لضمان أمنها ؛
ميزة أخرى لـ ASOIB هي المتطلبات المتزايدة لموثوقية الأجهزة والبرامج. ولهذا السبب ، تنجذب العديد من ASOIBs الحديثة نحو ما يسمى بهندسة الكمبيوتر المتسامحة مع الأخطاء ، والتي تسمح بمعالجة مستمرة للمعلومات حتى في مواجهة العديد من حالات الفشل والفشل.
هناك نوعان من المهام التي تم حلها بواسطة ASOIB:
1. تحليلي. يتضمن هذا النوع مهام التخطيط وتحليل الحسابات وما إلى ذلك. إنها ليست فورية وقد تستغرق وقتًا طويلاً لحلها ، وقد تؤثر نتائجها على سياسة البنك فيما يتعلق بعميل أو مشروع معين. لذلك ، يجب عزل النظام الفرعي ، بمساعدة حل المهام التحليلية ، بشكل موثوق عن نظام معالجة المعلومات الرئيسي. عادة لا يتطلب حل مثل هذه المشكلات موارد حوسبة قوية ، وعادة ما تكون 10-20٪ من قوة النظام بأكمله كافية. ومع ذلك ، في ضوء القيمة المحتملة للنتائج ، يجب أن تكون حمايتها دائمة.
2. عارضة. يتضمن هذا النوع المهام التي يتم حلها في الأنشطة اليومية ، والتي تتمثل في المقام الأول في إجراء المدفوعات وتعديل الحسابات. هم الذين يحددون حجم وسلطة النظام الرئيسي للبنك ؛ عادة ما يتطلب حلهم موارد أكثر بكثير من المهام التحليلية. في الوقت نفسه ، تعتبر قيمة المعلومات المعالجة في حل مثل هذه المشكلات مؤقتة. تدريجيًا ، تصبح قيمة المعلومات ، على سبيل المثال ، حول تنفيذ دفعة ، غير ذات صلة. وبطبيعة الحال ، يعتمد هذا على العديد من العوامل ، مثل: مقدار ووقت الدفع ، ورقم الحساب ، والخصائص الإضافية ، وما إلى ذلك. لذلك ، عادة ما يكون كافياً لضمان حماية الدفع في لحظة تنفيذها. في الوقت نفسه ، يجب أن تكون حماية عملية المعالجة نفسها والنتائج النهائية ثابتة.
ما نوع تدابير الحماية لأنظمة معالجة المعلومات التي يفضلها الخبراء الأجانب؟ يمكن الإجابة على هذا السؤال باستخدام نتائج استطلاع أجرته مجموعة داتابرو للمعلومات عام 1994 بين البنوك والمؤسسات المالية:
82٪ من المستجيبين لديهم سياسة أمن معلومات مصاغة. مقارنة بعام 1991 ، ارتفعت نسبة المنظمات التي لديها سياسة أمنية بنسبة 13٪.
يخطط 12٪ من الذين شملهم الاستطلاع لتطوير سياسة أمنية. يتم التعبير عن الاتجاه التالي بوضوح: المنظمات التي لديها عدد كبير من الموظفين تفضل أن يكون لديها سياسة أمنية متطورة إلى حد أكبر من المنظمات التي لديها عدد قليل من الموظفين. على سبيل المثال ، وفقًا لهذا الاستطلاع ، فإن 66٪ فقط من المؤسسات التي لديها أقل من 100 موظف لديها سياسة أمنية ، بينما بالنسبة للمؤسسات التي تضم أكثر من 5000 موظف ، فإن حصة هذه المنظمات هي 99٪.
في 88٪ من المنظمات التي لديها سياسة أمن المعلومات ، هناك وحدة خاصة مسؤولة عن تنفيذها. في تلك المؤسسات التي لا تحتفظ بهذه الوحدة ، يتم تعيين هذه الوظائف بشكل أساسي لمسؤول النظام (29٪) ، مدير نظام المعلومات (27٪) أو خدمة الأمن المادي (25٪). هذا يعني أن هناك اتجاهًا لفصل الموظفين المسؤولين عن أمان الكمبيوتر إلى وحدة خاصة.
فيما يتعلق بالحماية ، يتم إيلاء اهتمام خاص لحماية شبكات الكمبيوتر (90٪) ، وأجهزة الكمبيوتر الكبيرة (82٪) ، واستعادة المعلومات بعد الحوادث والكوارث (73٪) ، والحماية من فيروسات الكمبيوتر (72٪) ، وحماية أجهزة الكمبيوتر الشخصية (69) ٪).
يمكننا استخلاص الاستنتاجات التالية حول ميزات حماية المعلومات في الأنظمة المالية الأجنبية:
الشيء الرئيسي في حماية المؤسسات المالية هو الاستعادة السريعة ، وإذا أمكن ، الاسترداد الكامل للمعلومات بعد الحوادث والفشل. حوالي 60٪ من المؤسسات المالية التي شملتها الدراسة لديها خطة تعافي تتم مراجعتها سنويًا في أكثر من 80٪ منها. بشكل أساسي ، يتم تحقيق حماية المعلومات من التدمير عن طريق إنشاء نسخ احتياطية وتخزينها خارجيًا ، باستخدام مصادر طاقة غير منقطعة وتنظيم احتياطي "ساخن" من الأجهزة.
المشكلة التالية الأكثر أهمية بالنسبة للمؤسسات المالية هي إدارة وصول المستخدم إلى المعلومات المخزنة والمعالجة. تُستخدم أنظمة برمجيات التحكم في الوصول المختلفة على نطاق واسع هنا ، والتي يمكن أن تحل في بعض الأحيان محل برامج مكافحة الفيروسات. يتم استخدام برامج التحكم في الوصول التي يتم شراؤها في الغالب. علاوة على ذلك ، في المؤسسات المالية ، يتم إيلاء اهتمام خاص لإدارة المستخدمين في الشبكة. ومع ذلك ، فإن ضوابط الوصول المعتمدة نادرة للغاية (3٪). يمكن تفسير ذلك من خلال حقيقة أن البرامج المعتمدة يصعب العمل بها وباهظة الثمن لتشغيلها. هذا يرجع إلى حقيقة أنه تم تطوير معايير الاعتماد مع مراعاة متطلبات الأنظمة العسكرية.
تشمل الاختلافات في تنظيم حماية شبكات الكمبيوتر في المؤسسات المالية الاستخدام الواسع النطاق للمعيار (أي المكيف ، ولكن لم يتم تطويره خصيصًا لمنظمة معينة) البرمجيات التجارية للتحكم في الوصول إلى الشبكة (82٪) ، وحماية نقاط الاتصال بـ النظام من خلال اتصالات خطوط الطلب الهاتفي (69٪). على الأرجح أن هذا يرجع إلى انتشار الاتصالات في القطاع المالي والرغبة في حماية أنفسهم من التدخل الخارجي. تُستخدم طرق الحماية الأخرى ، مثل استخدام أدوات مكافحة الفيروسات ، والتشفير من طرف إلى طرف وتشفير القناة للبيانات المرسلة ، ومصادقة الرسائل ، بنفس الطريقة تقريبًا ، وبشكل أساسي (باستثناء أدوات مكافحة الفيروسات) ، في أقل من 50٪ من المنظمات التي شملتها الدراسة.
يتم إيلاء الكثير من الاهتمام في المؤسسات المالية للحماية المادية للمباني التي توجد بها أجهزة الكمبيوتر (حوالي 40 ٪). وهذا يعني أن حماية أجهزة الكمبيوتر من الوصول من قبل أشخاص غير مصرح لهم يتم حلها ليس فقط بمساعدة البرامج ، ولكن أيضًا من الناحية التنظيمية والتقنية (الأمان ، والأقفال المركبة ، وما إلى ذلك).
يستخدم تشفير المعلومات المحلي ما يزيد قليلاً عن 20٪ من المؤسسات المالية. أسباب ذلك هي تعقيد توزيع المفاتيح ، والمتطلبات الصارمة لأداء النظام ، فضلاً عن الحاجة إلى الاستعادة السريعة للمعلومات في حالة الأعطال وتعطل المعدات.
يتم إيلاء اهتمام أقل بكثير في المؤسسات المالية لحماية خطوط الهاتف (4 ٪) واستخدام أجهزة الكمبيوتر المصممة لتلبية متطلبات معيار Tempest (الحماية من تسرب المعلومات من خلال الإشعاع الكهرومغناطيسي وقنوات التداخل). في المنظمات الحكومية ، يتم إيلاء المزيد من الاهتمام لحل مشكلة مواجهة تلقي المعلومات باستخدام الإشعاع الكهرومغناطيسي والتقاطات.
يسمح لنا تحليل الإحصائيات باستخلاص نتيجة مهمة: حماية المؤسسات المالية (بما في ذلك البنوك) مبنية بشكل مختلف إلى حد ما عن المنظمات التجارية والحكومية العادية. لذلك ، لحماية ASOIB ، لا يمكن تطبيق نفس الحلول التقنية والتنظيمية التي تم تطويرها للمواقف القياسية. لا يمكنك نسخ أنظمة الآخرين بلا تفكير - فقد تم تطويرها لظروف أخرى.
البنوك وكل شيء معهم
متصل - لطالما كان هدفًا للجميع
نوع من المحتالين. في عصرنا هذه
عمليات الاحتيال المتعلقة بالبريد الإلكتروني
جريمة. وأنا مثل الشخص الذي
في محاولة لمنعهم ، أود قليلا
لتسليط الضوء على هذه القضية وفضح أسطورة
المتسلل الوحيد - اختراق الخدمات المصرفية
النظام والحصول على حق الوصول الكامل إلى
مصادر المعلومات.
للبدء ، فكر
قضية أمنية
مجمع الحوسبة. تحت
فهم أمان النظام -
القدرة على مقاومة المحاولات
الاختراق والوصول غير المصرح به والحصول على الحقوق و
الامتيازات ، فضلا عن تدمير أو
تشويه المعلومات. نحن الأكثر
مهتم بالأمن الداخلي ، أي
ضمان عمل النظام في
التشغيل العادي وضمان النزاهة ،
الأمان والسرية
معلومة.
تحليل القائمة
التهديدات الموجودة - يمكن تحديدها
الاتجاهات الرئيسية لحماية البنوك
الأنظمة:
بعد أن تعاملت مع ماذا
هذا الأمن وبعد أن قررت في
أهمية موضوع توفيره ، فلننتقل
لتغطية وسائل الحماية الالكترونية
الأنظمة.
لمعدات الحماية
يتضمن البرامج والأجهزة و
أنظمة الأجهزة والبرامج.
حسب خصائصه
نظام الحماية الأكثر موثوقية
تنفيذ الأجهزة والأجهزة فقط -
البرمجيات. هذا مرتبط بالحقيقة
أن هذه الأنظمة في أغلب الأحيان
المتخصصة ، وهذا هو ، الأداء
بعض الميزات ، وهو أمر رائع
ميزة ، لأن حماية أو
اختبار متخصص
الجهاز أبسط بكثير من
عالمي. ميزة أخرى
الأنظمة المتخصصة هي أن
تسمح بدنيا ومنطقيًا
عزل الكتل بالحرجة
معلومة. بالإضافة إلى ذلك ، البرمجيات
توفر أنظمة الأجهزة موثوقة
الحماية من التعديل أو الحذف أو السرقة
المعلومات بواسطة مبرمجي النظام أو
موظفين مؤهلين تأهيلا عاليا.
عادة في البرامج والأجهزة
الأمان
تم توفير وظيفة محو
معلومات سرية عند المحاولة
الاختراق المادي في الأجهزة
جزء من النظام.
النظر أيضا
الكفاءة الاقتصادية للنظام
الأمن ، في كثير من الأحيان
فقط أدوات البرمجيات ، لأن سعر
وحدات الأجهزة المتخصصة
مرتفع بما فيه الكفاية. استخدام
أدوات البرمجيات ، تحصل جدا
مرنة ، توفر مستوى كافياً
الحماية ، وفي نفس الوقت تافهة
تكاليف صيانة البرامج
المجمعات (بالمقارنة مع الأجهزة ،
النظام. مهم آخر
ميزة تنفيذ البرامج
الحماية هي إمكانية تغييرها
في اتجاه التعقيد أو التبسيط ، في
حسب احتياجات الدعم
الأمان.
بمساعدة البرنامج
يمكن تحقيق الوسائل من خلال ما يلي
طرق الحماية:
العيب الرئيسي
أنظمة الحماية المبنية على أساس فقط
أنظمة البرمجيات ، هو
إمكانية تحليلهم في NSD. في
التي لا يمكن استبعادها
إمكانية تطوير الأساليب
التغلب على مجموعة من الأدوات البرمجية
الأمن أو
التعديلات.
يتبع…
لطالما ارتبطت الأعمال المصرفية بمعالجة وتخزين كمية كبيرة من البيانات السرية. بادئ ذي بدء ، هذه بيانات شخصية عن العملاء ودائعهم وجميع المعاملات التي تم إجراؤها.
تتعرض جميع المعلومات التجارية المخزنة والمعالجة من قبل مؤسسات الائتمان لمجموعة متنوعة من المخاطر المرتبطة بالفيروسات ، وتعطل الأجهزة ، وفشل نظام التشغيل ، وما إلى ذلك. لكن هذه المشاكل ليست قادرة على إحداث أي ضرر جسيم. النسخ الاحتياطي اليومي للبيانات ، والذي بدونه لا يمكن تصور تشغيل نظام المعلومات لأي مؤسسة ، يقلل من مخاطر فقدان المعلومات الذي لا يمكن تعويضه إلى الحد الأدنى. بالإضافة إلى ذلك ، طرق متطورة ومعروفة على نطاق واسع للحماية من هذه التهديدات. لذلك ، تظهر المخاطر المرتبطة بالوصول غير المصرح به إلى المعلومات السرية (UAI) في المقدمة.
الوصول غير المصرح به هو حقيقة واقعة
حتى الآن ، أكثر الطرق الثلاثة شيوعًا لسرقة المعلومات السرية. أولاً ، الوصول المادي إلى أماكن تخزينه ومعالجته. هناك العديد من الخيارات هنا. على سبيل المثال ، يمكن للمهاجمين اقتحام مكتب بنك في الليل وسرقة محركات الأقراص الثابتة مع جميع قواعد البيانات. حتى الغارة المسلحة ممكنة ، والغرض منها ليس المال ، ولكن المعلومات. من الممكن أن يقوم موظف البنك بنفسه بإخراج وسيلة التخزين من المنطقة.
ثانيًا ، استخدام النسخ الاحتياطية. في معظم البنوك ، تعتمد أنظمة النسخ الاحتياطي للبيانات المهمة على محركات الأشرطة. يقومون بتسجيل النسخ التي يقومون بإنشائها على أشرطة مغناطيسية ، والتي يتم تخزينها بعد ذلك في مكان منفصل. يتم تنظيم الوصول إليها برفق أكبر. أثناء النقل والتخزين ، يمكن لعدد كبير نسبيًا من الأشخاص نسخها. لا يمكن التقليل من المخاطر المرتبطة بالنسخ الاحتياطي للبيانات الحساسة. على سبيل المثال ، فإن معظم الخبراء على يقين من أن قواعد بيانات منشورات البنك المركزي للاتحاد الروسي ، والتي ظهرت للبيع في عام 2005 ، قد سُرقت على وجه التحديد بفضل النسخ المأخوذة من الأشرطة الممغنطة. في الممارسة العالمية ، هناك العديد من هذه الحوادث. في سبتمبر الماضي ، على سبيل المثال ، قام موظفو Chase Card Services (قسم من JPMorgan Chase & Co.) ، مزود بطاقات الائتمان ، بإلقاء خمسة أشرطة احتياطية تحتوي على معلومات حول 2.6 مليون من أصحاب حسابات الائتمان في Circuit City.
ثالثًا ، الطريقة الأكثر احتمالًا لتسريب المعلومات السرية هي الوصول غير المصرح به من قبل موظفي البنك. عند استخدام أدوات نظام التشغيل القياسية فقط لفصل الحقوق ، غالبًا ما تتاح للمستخدمين الفرصة بشكل غير مباشر (بمساعدة برامج معينة) لنسخ قواعد البيانات التي يعملون معها بشكل كامل ونقلها إلى خارج الشركة. في بعض الأحيان يقوم الموظفون بذلك دون أي نية خبيثة ، فقط للعمل مع المعلومات في المنزل. ومع ذلك ، فإن مثل هذه الإجراءات تعد انتهاكًا خطيرًا للسياسة الأمنية ويمكن أن تصبح (وتصبح!) سبب الكشف عن البيانات السرية.
بالإضافة إلى ذلك ، يوجد في أي بنك مجموعة من الأشخاص ذوي الامتيازات المرتفعة في الشبكة المحلية. نحن نتحدث عن مسؤولي النظام. من ناحية ، يحتاجون إليها لأداء واجباتهم الرسمية. ولكن ، من ناحية أخرى ، لديهم الفرصة للوصول إلى أي معلومات و "تغطية مساراتهم".
وبالتالي ، يجب أن يتكون نظام حماية المعلومات المصرفية من الوصول غير المصرح به من ثلاثة أنظمة فرعية على الأقل ، يوفر كل منها الحماية ضد نوع التهديدات الخاص به. هذه هي النظام الفرعي للحماية من الوصول المادي إلى البيانات ، والنظام الفرعي لضمان أمان النسخ الاحتياطية ، والنظام الفرعي للحماية من المطلعين. وينصح بعدم إهمال أي منها ، لأن كل تهديد يمكن أن يتسبب في إفشاء بيانات سرية.
البنوك القانون لا يكتب؟
حاليًا ، يتم تنظيم أنشطة البنوك بموجب القانون الاتحادي "بشأن البنوك والنشاط المصرفي". يقدم ، من بين أمور أخرى ، مفهوم "السرية المصرفية". وفقًا لذلك ، فإن أي مؤسسة ائتمانية ملزمة بضمان سرية جميع البيانات الخاصة بإيداعات العملاء. وهي مسؤولة عن إفصاحها ، بما في ذلك التعويض عن الضرر الناجم عن تسرب المعلومات. في الوقت نفسه ، لا توجد متطلبات لأمن أنظمة المعلومات المصرفية. هذا يعني أن البنوك تتخذ جميع القرارات بشأن حماية البيانات التجارية من تلقاء نفسها ، بناءً على خبرة المتخصصين فيها أو شركات الطرف الثالث (على سبيل المثال ، أولئك الذين يقومون بإجراء عمليات تدقيق أمن المعلومات). التوصية الوحيدة هي معيار البنك المركزي للاتحاد الروسي “ضمان أمن المعلومات لمنظمات النظام المصرفي للاتحاد الروسي. الأحكام العامة". ظهر لأول مرة في عام 2004 ، وفي عام 2006 تم اعتماد نسخة جديدة. عند إنشاء هذه الوثيقة الإدارية ووضع اللمسات الأخيرة عليها ، تم استخدام المعايير الروسية والدولية الحالية في مجال أمن المعلومات.
يمكن للبنك المركزي للاتحاد الروسي أن يوصي بها للبنوك الأخرى فقط ، لكن لا يمكنه الإصرار على التنفيذ الإلزامي. بالإضافة إلى ذلك ، هناك القليل من المتطلبات الواضحة في المواصفة القياسية التي تحدد اختيار منتجات معينة. إنه أمر مهم بالتأكيد ، لكنه ليس له أهمية عملية جادة في الوقت الحالي. على سبيل المثال ، فيما يتعلق بالمنتجات المعتمدة ، يقول هذا: "... يمكن استخدام الوسائل المعتمدة أو المصرح بها لحماية المعلومات من الوصول غير المصرح به." لا توجد قائمة مقابلة.
يسرد المعيار أيضًا متطلبات وسائل التشفير لحماية المعلومات في البنوك. وهنا يوجد بالفعل تعريف واضح إلى حد ما: "CIPF ... يجب تنفيذه على أساس خوارزميات تتوافق مع المعايير الوطنية للاتحاد الروسي ، وشروط العقد مع الطرف المقابل و (أو) المعايير المنظمة." من الممكن تأكيد امتثال وحدة التشفير مع GOST 28147-89 من خلال الشهادة. لذلك ، عند استخدام أنظمة التشفير في أحد البنوك ، من المستحسن استخدام مزودي تشفير البرامج أو الأجهزة المعتمدين من قبل خدمة الأمن الفيدرالية في الاتحاد الروسي ، أي الوحدات الخارجية التي تتصل بالبرنامج وتنفذ عملية التشفير نفسها.
في يوليو من العام الماضي ، تم اعتماد القانون الفيدرالي "بشأن البيانات الشخصية" للاتحاد الروسي ، والذي دخل حيز التنفيذ في 1 يناير 2007. ارتبط بعض الخبراء به بظهور متطلبات أكثر تحديدًا لأنظمة الأمن المصرفي ، لأن البنوك هي مؤسسات تعالج البيانات الشخصية. ومع ذلك ، فإن القانون نفسه ، وهو بالتأكيد مهم جدًا بشكل عام ، لا ينطبق حاليًا في الممارسة العملية. تكمن المشكلة في عدم وجود معايير لحماية البيانات الخاصة والجهات التي يمكن أن تتحكم في تنفيذها. أي ، اتضح أن البنوك في الوقت الحاضر لها الحرية في اختيار أنظمة لحماية المعلومات التجارية.
حماية الوصول المادي
لطالما ركزت البنوك قدرًا كبيرًا من التركيز على الأمن المادي لمكاتب التشغيل وأمناء الحفظ وما شابه. كل هذا يقلل من مخاطر الوصول غير المصرح به إلى المعلومات التجارية من خلال الوصول المادي. ومع ذلك ، فإن مكاتب البنوك والمباني الفنية التي توجد بها الخوادم عادة لا تختلف من حيث درجة الحماية من مكاتب الشركات الأخرى. لذلك ، لتقليل المخاطر الموصوفة ، من الضروري استخدام نظام حماية مشفر.
يوجد اليوم عدد كبير من الأدوات المساعدة التي تقوم بتشفير البيانات في السوق. ومع ذلك ، فإن خصائص معالجتها في البنوك تفرض متطلبات إضافية على البرامج المقابلة. أولاً ، يجب تنفيذ مبدأ التشفير الشفاف في نظام حماية التشفير. عند استخدامه ، تكون البيانات الموجودة في وحدة التخزين الرئيسية دائمًا في شكل مشفر فقط. بالإضافة إلى ذلك ، تتيح لك هذه التقنية تقليل تكلفة العمل المنتظم مع البيانات. لا تحتاج إلى فك تشفيرها وتشفيرها كل يوم. يتم الوصول إلى المعلومات باستخدام برنامج خاص مثبت على الخادم. يقوم تلقائيًا بفك تشفير المعلومات عند الوصول إليها وتشفيرها قبل كتابتها على القرص الصلب. يتم تنفيذ هذه العمليات مباشرة في ذاكرة الوصول العشوائي للخادم.
ثانيًا ، قواعد البيانات المصرفية كبيرة جدًا. وبالتالي ، يجب ألا يعمل نظام حماية المعلومات المشفرة مع أقسام افتراضية ، ولكن مع أقسام محرك الأقراص الثابتة الحقيقية ، ومصفوفات RAID ووسائط تخزين الخادم الأخرى ، على سبيل المثال ، مخازن SAN. الحقيقة هي أن ملفات الحاوية التي يمكن توصيلها بالنظام كأقراص افتراضية ليست مصممة للعمل مع كميات كبيرة من البيانات. في حالة وجود قرص افتراضي تم إنشاؤه من مثل هذا الملف كبيرًا ، حتى عندما يصل إليه العديد من الأشخاص في نفس الوقت ، يمكنك ملاحظة انخفاض كبير في سرعة قراءة المعلومات وكتابتها. يمكن أن يتحول عمل عشرات الأشخاص الذين لديهم ملف حاوية كبير إلى عذاب حقيقي. اعلم أيضًا أن هذه الكائنات معرضة لخطر التلف بسبب الفيروسات وتعطل نظام الملفات وما إلى ذلك. بعد كل شيء ، في الواقع ، إنها ملفات عادية ، لكنها كبيرة الحجم إلى حد ما. وحتى التغيير الطفيف يمكن أن يؤدي إلى استحالة فك جميع المعلومات الواردة فيه. كل من هذه المتطلبات الإلزامية تضيق بشكل كبير نطاق المنتجات المناسبة لتنفيذ الحماية. في الواقع ، لا يوجد سوى عدد قليل من هذه الأنظمة في السوق الروسية اليوم.
ليست هناك حاجة للنظر بالتفصيل في الميزات التقنية لأنظمة الخادم لحماية معلومات التشفير ، حيث قمنا بالفعل بمقارنة هذه المنتجات في إحدى المشكلات السابقة. (Stolyarov N.، Davletkhanov M. UTM-protection.) ولكن تجدر الإشارة إلى بعض ميزات مثل هذه الأنظمة ، والتي يفضل وجودها للبنوك. الأول يتعلق بالشهادة التي سبق ذكرها لوحدة التشفير المستخدمة. البرامج أو الأجهزة المقابلة متاحة بالفعل في معظم البنوك. لذلك ، يجب أن يوفر نظام حماية معلومات الخادم إمكانية الاتصال والاستخدام. المطلب الخاص الثاني لنظام أمن المعلومات هو القدرة على الاندماج في نظام الأمن المادي للمكتب و / أو غرفة الخادم. يتيح لك هذا حماية المعلومات من الوصول غير المصرح به المرتبط بالسرقة والقرصنة وما إلى ذلك.
يجب إيلاء اهتمام خاص في البنوك لسلامة المعلومات ، لأنها في الواقع أموال العملاء. لذلك ، يجب تزويد نظام الحماية بميزات خاصة تقلل من مخاطر خسارته. واحدة من أبرزها هي وظيفة تحديد القطاعات التالفة على القرص الصلب. بالإضافة إلى ذلك ، فإن القدرة على الإيقاف المؤقت وإلغاء عمليات التشفير الأولي للقرص وفك تشفيره وإعادة تشفيره لها أهمية كبيرة. هذه إجراءات طويلة جدًا ، وأي فشل خلالها يهدد الفقد الكامل لجميع البيانات.
للعامل البشري تأثير كبير جدًا على المخاطر المرتبطة بالوصول غير المصرح به إلى المعلومات السرية. لذلك ، من المستحسن أن يوفر نظام الحماية إمكانية تقليل هذه العلاقة. يتم تحقيق ذلك باستخدام وسائل موثوقة لتخزين مفاتيح التشفير - البطاقات الذكية أو مفاتيح USB. يعد تضمين هذه الرموز المميزة في المنتج هو الأمثل ، فهو لا يسمح فقط بتحسين التكاليف ، ولكنه يضمن أيضًا التوافق الكامل للبرامج والأجهزة.
هناك وظيفة أخرى مهمة تسمح بتقليل تأثير العامل البشري على موثوقية نظام الحماية وهي النصاب القانوني للمفاتيح. يكمن جوهرها في تقسيم مفتاح التشفير إلى عدة أجزاء ، كل منها مخصص لاستخدام موظف واحد مسؤول. لتوصيل قرص مغلق ، يلزم عدد محدد من الأجزاء. علاوة على ذلك ، قد يكون أقل من العدد الإجمالي لأجزاء المفتاح. يتيح لك هذا النهج حماية البيانات من سوء الاستخدام من قبل الموظفين المسؤولين ، كما يوفر المرونة اللازمة لعمل البنك.
حماية النسخ الاحتياطي
النسخ الاحتياطي المنتظم لجميع المعلومات المخزنة في البنك هو إجراء ضروري للغاية. يسمح لك بتقليل الخسائر بشكل كبير في حالة حدوث مشكلات مثل تلف البيانات بسبب الفيروسات أو فشل الأجهزة وما إلى ذلك. ولكنه في الوقت نفسه يزيد من المخاطر المرتبطة بالوصول غير المصرح به. تدل الممارسة على أن الوسائط التي تتم كتابة النسخ الاحتياطية عليها لا ينبغي تخزينها في غرفة الخادم ، ولكن في غرفة أخرى أو حتى في مبنى. خلاف ذلك ، في حالة نشوب حريق أو أي حادث خطير آخر ، قد يتم فقد البيانات نفسها وأرشيفها بشكل غير قابل للاسترداد. الطريقة الوحيدة لحماية النسخ الاحتياطية بشكل آمن من الاستخدام غير المصرح به هي من خلال التشفير. في هذه الحالة ، مع الاحتفاظ بمفتاح التشفير معه ، يمكن لضابط الأمن نقل الوسائط بأمان مع المحفوظات إلى الموظفين الفنيين.
تتمثل الصعوبة الرئيسية في تنظيم الحماية المشفرة للنسخ الاحتياطية في الحاجة إلى فصل المسؤوليات عن إدارة أرشفة البيانات. يجب على مسؤول النظام أو أي موظف تقني آخر تكوين وتنفيذ عملية النسخ الاحتياطي نفسها. يجب أن تتم إدارة تشفير المعلومات من قبل موظف مسؤول - ضابط أمن. في الوقت نفسه ، من الضروري أن نفهم أنه في الغالبية العظمى من الحالات يتم الحجز تلقائيًا. يمكن حل هذه المشكلة فقط عن طريق "تضمين" نظام حماية مشفر بين نظام إدارة النسخ الاحتياطي والأجهزة التي تسجل البيانات (أجهزة البث ، ومحركات أقراص DVD ، وما إلى ذلك).
وبالتالي ، لكي تكون قابلة للاستخدام في البنوك ، يجب أن تكون منتجات التشفير أيضًا قادرة على العمل مع العديد من الأجهزة المستخدمة لكتابة نسخ احتياطية على وسائط التخزين: أجهزة البث ، ومحركات الأقراص المضغوطة وأقراص DVD ، ومحركات الأقراص الثابتة القابلة للإزالة ، وما إلى ذلك.
اليوم ، هناك ثلاثة أنواع من المنتجات المصممة لتقليل المخاطر المرتبطة بالوصول غير المصرح به إلى النسخ الاحتياطية. الأول يتضمن أجهزة خاصة. تتمتع حلول الأجهزة هذه بالعديد من المزايا ، بما في ذلك التشفير الموثوق للمعلومات والسرعة العالية. ومع ذلك ، فإن لها ثلاث عيوب كبيرة تمنع استخدامها في البنوك. أولاً: تكلفة عالية جداً (عشرات الآلاف من الدولارات). ثانيًا: المشاكل المحتملة مع الاستيراد إلى روسيا (يجب ألا ننسى أننا نتحدث عن أدوات التشفير). العيب الثالث هو عدم القدرة على توصيل موفري التشفير الخارجيين المعتمدين بهم. تعمل هذه اللوحات فقط مع خوارزميات التشفير المطبقة فيها على مستوى الأجهزة.
تتكون المجموعة الثانية من أنظمة الحماية لحماية التشفير للنسخ الاحتياطية من وحدات يتم تقديمها لعملائها من قبل مطوري البرامج والأجهزة للنسخ الاحتياطي. إنها موجودة لجميع المنتجات الأكثر شهرة في هذا المجال: ArcServe و Veritas Backup Exec وما إلى ذلك. صحيح ، لديهم أيضًا خصائصهم الخاصة. أهم شيء هو العمل فقط مع برنامجك أو محرك الأقراص الخاص بك. وفي الوقت نفسه ، يتطور نظام المعلومات الخاص بالبنك باستمرار. ومن الممكن أن يتطلب استبدال أو توسيع نظام النسخ الاحتياطي تكاليف إضافية لتعديل نظام الحماية. بالإضافة إلى ذلك ، تطبق معظم المنتجات في هذه المجموعة خوارزميات تشفير بطيئة قديمة (على سبيل المثال ، 3DES) ، ولا توجد أدوات إدارة رئيسية ، ولا توجد إمكانية للاتصال بمزودي التشفير الخارجيين.
كل هذا يجبرنا على إيلاء اهتمام وثيق لأنظمة الحماية المشفرة للنسخ الاحتياطية من المجموعة الثالثة. يتضمن برامج مصممة خصيصًا وبرامج ثابتة ومنتجات أجهزة غير مرتبطة بأنظمة أرشفة بيانات معينة. أنها تدعم مجموعة واسعة من أجهزة تسجيل المعلومات ، مما يسمح باستخدامها في جميع أنحاء البنك ، بما في ذلك جميع فروعه. هذا يضمن توحيد وسائل الحماية المستخدمة وتقليل تكاليف التشغيل.
صحيح ، تجدر الإشارة إلى أنه على الرغم من كل مزاياها ، هناك عدد قليل جدًا من المنتجات من المجموعة الثالثة في السوق. هذا على الأرجح بسبب عدم وجود طلب كبير على أنظمة حماية النسخ الاحتياطي المشفرة. بمجرد أن تدرك إدارة البنوك والمؤسسات الكبيرة الأخرى حقيقة المخاطر المرتبطة بأرشفة المعلومات التجارية ، سيزداد عدد اللاعبين في هذا السوق.
حماية المطلعين
أظهرت الأبحاث الحديثة في مجال أمن المعلومات ، مثل المسح السنوي للجريمة والأمن الحاسوبي CSI / FBI ، أن الخسائر المالية للشركات من معظم التهديدات تتناقص عامًا بعد عام. ومع ذلك ، هناك العديد من المخاطر التي تتزايد الخسائر الناجمة عنها. أحدها السرقة المتعمدة لمعلومات سرية أو انتهاك قواعد التعامل معها من قبل هؤلاء الموظفين الذين يكون وصولهم إلى البيانات التجارية ضروريًا لأداء واجباتهم الرسمية. يطلق عليهم المطلعين.
في الغالبية العظمى من الحالات ، تتم سرقة المعلومات السرية باستخدام وسائط الهاتف المحمول: الأقراص المضغوطة وأقراص DVD ، وأجهزة ZIP ، والأهم من ذلك ، جميع أنواع محركات أقراص USB. كان توزيعهم الشامل هو الذي أدى إلى ازدهار التجارة الداخلية في جميع أنحاء العالم. يدرك قادة معظم البنوك جيدًا ما يهدد ، على سبيل المثال ، إذا وقعت قاعدة بيانات تحتوي على بيانات شخصية لعملائهم أو ، علاوة على ذلك ، المعاملات على حساباتهم ، في أيدي الهياكل الإجرامية. وهم يحاولون محاربة السرقة المحتملة للمعلومات بالطرق التنظيمية المتاحة لهم.
ومع ذلك ، فإن الأساليب التنظيمية في هذه الحالة غير فعالة. اليوم من الممكن تنظيم نقل المعلومات بين أجهزة الكمبيوتر باستخدام محرك أقراص فلاش صغير ، وهاتف خلوي ، ومشغل mp3 ، وكاميرا رقمية ... بالطبع ، يمكنك محاولة منع جميع هذه الأجهزة من إدخالها إلى المكتب ، لكن هذا ، أولاً ، سيؤثر سلبًا على العلاقات مع الموظفين ، وثانيًا ، لا يزال من الصعب جدًا فرض سيطرة فعالة حقًا على الأشخاص - فالبنك ليس "صندوق بريد". وحتى تعطيل جميع الأجهزة الموجودة على أجهزة الكمبيوتر التي يمكن استخدامها لكتابة المعلومات إلى الوسائط الخارجية (محركات أقراص FDD و ZIP ومحركات الأقراص المضغوطة وأقراص DVD وما إلى ذلك) ومنافذ USB لن يساعد. بعد كل شيء ، هناك حاجة إلى الأول للعمل ، وترتبط الأجهزة الطرفية المختلفة بالأخيرة: الطابعات والماسحات الضوئية وما إلى ذلك. ولا يمكن لأحد أن يمنع أي شخص من إيقاف تشغيل الطابعة لمدة دقيقة ، وإدخال محرك أقراص فلاش في المنفذ الذي تم إخلاؤه ونسخ المعلومات المهمة إليه. يمكنك بالطبع إيجاد طرق أصلية للحماية. على سبيل المثال ، في أحد البنوك جربوا هذه الطريقة لحل المشكلة: لقد ملأوا تقاطع منفذ USB والكابل براتنج الإيبوكسي ، وربطوا الأخير بالكمبيوتر بإحكام. لكن لحسن الحظ ، توجد اليوم طرق تحكم أكثر حداثة وموثوقية ومرونة.
الوسيلة الأكثر فعالية لتقليل المخاطر المرتبطة بالمطلعين هي البرامج الخاصة التي تدير ديناميكيًا جميع الأجهزة ومنافذ الكمبيوتر التي يمكن استخدامها لنسخ المعلومات. مبدأ عملهم على النحو التالي. تم تعيين أذونات لاستخدام منافذ وأجهزة مختلفة لكل مجموعة مستخدمين أو لكل مستخدم على حدة. أكبر ميزة لهذه البرامج هي المرونة. يمكنك إدخال قيود لأنواع معينة من الأجهزة ونماذجها ومثيلاتها الفردية. هذا يسمح لك بتنفيذ سياسات معقدة للغاية لتوزيع حقوق الوصول.
على سبيل المثال ، يمكن السماح لبعض الموظفين باستخدام أي طابعات وماسحات ضوئية متصلة بمنافذ USB. ستظل جميع الأجهزة الأخرى التي تم إدخالها في هذا المنفذ غير قابلة للوصول. إذا كان البنك يستخدم نظام مصادقة مستخدم يعتمد على الرموز المميزة ، فيمكنك في الإعدادات تحديد نموذج المفتاح المستخدم. بعد ذلك ، سيُسمح للمستخدمين باستخدام الأجهزة التي اشترتها الشركة فقط ، وستكون جميع الأجهزة الأخرى عديمة الفائدة.
استنادًا إلى مبدأ تشغيل أنظمة الحماية الموصوفة أعلاه ، يمكنك فهم النقاط المهمة عند اختيار البرامج التي تنفذ الحظر الديناميكي لأجهزة التسجيل ومنافذ الكمبيوتر. أولاً ، إنها تعددية الاستخدامات. يجب أن يغطي نظام الحماية النطاق الكامل للمنافذ الممكنة وأجهزة إدخال وإخراج المعلومات. خلاف ذلك ، تظل مخاطر سرقة المعلومات التجارية عالية بشكل غير مقبول. ثانيًا ، يجب أن يكون البرنامج المعني مرنًا ويسمح لك بإنشاء قواعد باستخدام قدر كبير من المعلومات المتنوعة حول الأجهزة: أنواعها ، ومصنعي النماذج ، والأرقام الفريدة التي يمتلكها كل مثيل ، وما إلى ذلك. وثالثًا ، يجب أن يكون نظام الحماية من الداخل قادرًا على الاندماج مع نظام معلومات البنك ، ولا سيما مع Active Directory. خلاف ذلك ، سيتعين على المسؤول أو مسؤول الأمن الاحتفاظ بقاعدتي بيانات للمستخدمين وأجهزة الكمبيوتر ، وهذا ليس فقط غير مريح ، ولكنه يزيد أيضًا من مخاطر الأخطاء.
تلخيص لما سبق
لذلك ، توجد اليوم منتجات في السوق يمكن لأي بنك من خلالها تنظيم نظام موثوق به لحماية المعلومات من الوصول غير المصرح به وسوء الاستخدام. صحيح ، عند اختيارهم ، عليك أن تكون حذرًا للغاية. من الناحية المثالية ، يجب أن يتم ذلك من قبل خبراء داخليين من المستوى المناسب. يسمح باستخدام خدمات الطرف الثالث. ومع ذلك ، في هذه الحالة ، يكون الوضع ممكنًا عندما يُفرض على البنك بمهارة ليس باستخدام برامج مناسبة ، ولكن ببرنامج مفيد للشركة الموردة. بالإضافة إلى ذلك ، فإن سوق استشارات أمن المعلومات المحلي في مهده.
وفي الوقت نفسه ، فإن اتخاذ القرار الصحيح ليس بالأمر الصعب على الإطلاق. يكفي أن تتسلح بالمعايير التي قمنا بإدراجها وأن تدرس بعناية سوق أنظمة الأمان. لكن هناك "مأزق" يجب تذكره. من الناحية المثالية ، يجب أن يكون نظام أمن المعلومات الخاص بالبنك موحدًا. بمعنى أنه يجب دمج جميع الأنظمة الفرعية في نظام المعلومات الحالي ، ويفضل أن يكون لها إدارة مشتركة. خلاف ذلك ، فإن زيادة تكاليف العمالة لإدارة الحماية وزيادة المخاطر بسبب أخطاء الإدارة أمر لا مفر منه. لذلك ، لبناء أنظمة الحماية الفرعية الثلاثة الموصوفة اليوم ، من الأفضل اختيار المنتجات التي أصدرها مطور واحد. يوجد اليوم في روسيا شركات تنشئ كل ما هو ضروري لحماية المعلومات المصرفية من الوصول غير المصرح به.
ويبدأ أمن معلومات البنوك بالتدقيق. لا يمكن لمراجعة الأمن السيبراني أن تمنح البنك الحق في تنفيذ أنواع معينة من الأنشطة فحسب ، بل تظهر أيضًا نقاط الضعف في أنظمة البنك. لذلك ، من الضروري الاقتراب من قرار إجراء واختيار شكل التدقيق بعناية.
وفقًا للقانون الاتحادي الصادر في 30 ديسمبر 2008 رقم 307-FZ "بشأن التدقيق" ، فإن التدقيق هو "تحقق مستقل من البيانات المحاسبية (المالية) للكيان الخاضع للرقابة من أجل إبداء الرأي حول مصداقية هذه البيانات . "
تعريف المصطلح المذكور في القانون لا علاقة له بمجال أمن المعلومات. ومع ذلك ، يستخدمه متخصصو أمن المعلومات بنشاط كبير في الكلام. في هذه الحالة ، يشير التدقيق إلى عملية التقييم المستقل لأنشطة منظمة أو نظام أو عملية أو مشروع أو منتج.
في اللوائح المحلية المختلفة ، لا يتم استخدام مصطلح "تدقيق أمن المعلومات" دائمًا - غالبًا ما يتم استبداله إما بمصطلح "تقييم المطابقة" أو بمصطلح "شهادة" عفا عليه الزمن قليلاً ، ولكنه لا يزال مستخدمًا. في بعض الأحيان يتم العثور على مصطلح "شهادة" ، ولكن فيما يتعلق باللوائح الأجنبية الدولية.
أيًا كان المصطلح المستخدم ، في الأساس ، يتم إجراء تدقيق لأمن المعلومات للتحقق من الامتثال للوائح أو صحة وأمن الحلول المطبقة. في الحالة الأولى ، من المستحيل رفض إجراء التدقيق ، وإلا فسيؤدي ذلك إلى انتهاك متطلبات اللوائح والغرامات وتعليق الأنشطة وأشكال العقوبة الأخرى. في الحالة الثانية ، يكون التدقيق طوعيًا ، وتتخذ المنظمة نفسها قرار إجرائه.
يمكن إجراء التدقيق الإلزامي:
يمكن إجراء تدقيق طوعي لأي سبب: للتحقق من أمان النظام المصرفي عن بُعد ، والتحكم في أصول بنك تم الاستحواذ عليه ، والتحقق من فرع تم افتتاحه حديثًا ، وما إلى ذلك. في هذه الحالة ، من المستحيل تحديد الحدود بوضوح ، أو وصف أشكال التقارير ، أو التحدث عن انتظام التدقيق - كل هذا يقرره العقد المبرم بين المدقق والمنظمة الخاضعة للرقابة. دعنا ننتقل إلى أشكال التدقيق الإلزامي ، والتي تعتبر مهمة لأمن معلومات البنوك.
التناظرية الروسية الكاملة للمعيار الدولي ISO / IEC 27001: 2005 - "GOST R ISO / IEC 27001-2006 - تكنولوجيا المعلومات - طرق ووسائل ضمان الأمن. نظم إدارة أمن المعلومات - المتطلبات.
في جوهرها ، هذه المعايير هي مجموعة من أفضل الممارسات لإدارة أمن المعلومات في المؤسسات الكبيرة. لا تستطيع المؤسسات الصغيرة ، بما في ذلك البنوك ، دائمًا الامتثال لمتطلبات المعيار بالكامل. مثل أي معيار في روسيا ، يعتبر ISO 27001 وثيقة اختيارية ؛ يقرر كل بنك قبول شروطه أم لا. لكن ISO 27001 هو معيار عالمي مقصود ، ويستخدمه المتخصصون في مختلف البلدان كدليل عالمي لجميع المشاركين في أمن المعلومات.
يحتوي ISO 27001 على العديد من النقاط الدقيقة وغير المتكررة ، ولكنها مهمة.
أولاً ، لا يخضع نظام أمن المعلومات بالكامل للبنك ، ولكن مكونًا واحدًا أو عدة مكونات فقط ، للتدقيق وفقًا لهذا المعيار. على سبيل المثال ، نظام الحماية المصرفية عن بُعد ، أو نظام حماية المكتب الرئيسي للبنك ، أو نظام حماية عملية إدارة الأفراد. بمعنى آخر ، الحصول على شهادة المطابقة لإحدى العمليات التي تم تقييمها كجزء من التدقيق لا يضمن أن العمليات الأخرى في نفس الحالة المثالية.
تتعلق النقطة الثانية بحقيقة أن ISO 27001 هو معيار عالمي ، أي ينطبق على أي منظمة ، وبالتالي لا يأخذ في الاعتبار خصوصيات الصناعة. وقد أدى ذلك إلى حقيقة أنه في إطار المنظمة الدولية للتوحيد القياسي ISO ، كان هناك حديث طويل عن إنشاء معيار ISO 27015 ، وهو امتداد لـ ISO 27001/27002 في الصناعة المالية. يشارك بنك روسيا بنشاط في تطوير معيار الصناعة. تمت معارضة المشروع الذي تم تطويره بالفعل من قبل Visa و MasterCard. تعتقد Visa أن هناك القليل جدًا من المعلومات في المشروع المطلوبة للصناعة المالية ، على سبيل المثال ، حول أنظمة الدفع. ومع ذلك ، إذا تمت إضافة الأحكام المفقودة ، فسيتعين نقل المعيار إلى لجنة ISO أخرى. تقترح MasterCard إيقاف تطوير ISO 27015 ، مستشهدة بحقيقة أن الصناعة المالية لديها بالفعل مستندات كافية تنظم مجال أمن المعلومات.
ثالثًا ، لا تتحدث العديد من المقترحات في السوق الروسية عن عمليات تدقيق الامتثال ، ولكن عن التحضير للتدقيق. الحقيقة هي أن عددًا قليلاً فقط من المنظمات في العالم لها الحق في التصديق على الامتثال لمتطلبات ISO 27001. والمتكاملون يساعدون الشركات فقط على تلبية متطلبات المعيار ، والتي سيتم التحقق منها بعد ذلك من قبل المدققين الرسميين (المسجلين ، هيئات إصدار الشهادات).
بينما يستمر الجدل حول ما إذا كان يجب على البنوك تطبيق ISO 27001 أم لا ، فإن بعض الأشخاص الشجعان يتجهون إلى ذلك ويمرون بثلاث مراحل من تدقيق الامتثال:
من يحتاج ISO 27001 في روسيا؟ إذا اعتبرنا المعيار ليس فقط على أنه مجموعة من أفضل الممارسات التي يجب تنفيذها حتى بدون اجتياز تدقيق ، ولكن أيضًا كعملية اعتماد تؤكد امتثال البنك لمتطلبات الأمن الدولية ، فمن المنطقي تطبيق ISO 27001 إما للبنوك هم أعضاء في مجموعات مصرفية ، حيث يعتبر ISO 27001 معيارًا أو تخطط البنوك لدخول الساحة الدولية. في حالات أخرى ، غالبًا ما تكون مراجعة الامتثال لـ ISO 27001 والحصول على شهادة غير ضرورية. ولكن فقط للبنك وفقط في روسيا ، نظرًا لوجود معايير محلية تستند إلى ISO 27001. بحكم الواقع ، حتى وقت قريب ، أجرى بنك روسيا عمليات التفتيش بدقة وفقًا لمتطلبات STO BR IBBS.
يصف هذا المعيار ، أو بالأحرى مجموعة من المعايير ، نهجًا موحدًا لبناء نظام أمن المعلومات للمؤسسات المصرفية ، مع مراعاة متطلبات التشريع الروسي. تتضمن مجموعة الوثائق (المشار إليها فيما يلي باسم STO BR IBBS) ثلاثة معايير وخمس توصيات للتوحيد القياسي. يعتمد على ISO 27001 ومعايير دولية أخرى لإدارة تكنولوجيا المعلومات وأمن المعلومات. يتم تحديد قضايا التدقيق وتقييم الامتثال لمتطلبات المعيار ، وكذلك ISO 27001 ، في مستندات منفصلة:
أثناء تقييم المطابقة وفقًا لـ STO BR IBBS ، يتم التحقق من استيفاء 423 مؤشرًا معينًا من مؤشرات IS ، والتي تنقسم إلى 34 مؤشرًا للمجموعة. نتيجة التقييم هي المؤشر النهائي ، والذي يجب أن يكون في المستوى الرابع أو الخامس على مقياس من خمس نقاط وضعه بنك روسيا. يميز هذا التفصيل عملية التدقيق التي تتم بموجب STO BR IBBS عن التدقيق بموجب اللوائح الأخرى في مجال أمن المعلومات. لا يعني STO BR IBBS "عدم الامتثال" ، فقط مستوى الامتثال يمكن أن يكون مختلفًا: من صفر إلى خمسة. فقط المستويات فوق 4 تعتبر إيجابية.
اعتبارًا من نهاية عام 2011 ، قامت 70-75٪ من البنوك بتنفيذ هذه المجموعة من المعايير أو هي بصدد تنفيذها. بحكم القانون ، STO BR IBBS ذات طبيعة استشارية ، ولكن في الواقع ، حتى وقت قريب ، أجرى بنك روسيا عمليات التفتيش بدقة وفقًا لمتطلبات STO BR IBBS ، على الرغم من عدم ذكر الشروط صراحة في أي مكان. لقد تغير الوضع منذ 1 يوليو 2012 ، عندما دخل قانون "نظام الدفع الوطني" والوثائق التنظيمية للحكومة وبنك روسيا الذي تم تطويره لتنفيذه حيز التنفيذ. ومنذ ذلك الحين ، عادت مسألة الحاجة إلى تدقيق الامتثال لمتطلبات STO BR IBBS إلى جدول الأعمال.
الحقيقة هي أن منهجية تقييم المطابقة المقترحة في إطار التشريع الخاص بنظام الدفع الوطني (NPS) ومنهجية تقييم الامتثال لـ STO BR IBBS يمكن أن تختلف اختلافًا كبيرًا في القيم النهائية. في الوقت نفسه ، أصبح التقييم وفقًا للطريقة الأولى (لـ NPS) إلزاميًا ، في حين أن التقييم وفقًا لـ STO BR IBBS لا يزال قانونيًا. في وقت كتابة هذا التقرير ، لم يكن بنك روسيا نفسه قد قرر بعد مصير هذا التقييم. إذا تلاقت جميع الخيوط في وقت سابق في المديرية الرئيسية للأمن وحماية المعلومات في بنك روسيا (GUBZI) ، فمع تقسيم الصلاحيات بين GUBZI وإدارة تنظيم المستوطنات (LHH) ، ظلت القضية مفتوحة. من الواضح فقط أن القوانين التشريعية بشأن NPS تتطلب تقييم المطابقة الإلزامي ، أي التدقيق.
تم إصدار اللائحة 382-P والموافقة عليها في 9 حزيران (يونيو) 2012 "بشأن متطلبات ضمان حماية المعلومات عند إجراء تحويلات الأموال وبشأن الإجراءات التي يتبعها بنك روسيا لممارسة الرقابة على الامتثال لمتطلبات ضمان حماية المعلومات عند إجراء تحويلات مالية "تتطلب في الفقرة 2.15 تقييمًا إلزاميًا للامتثال ، أي المراجعة. يتم إجراء التقييم إما بشكل مستقل أو بمشاركة منظمات طرف ثالث.
تتشابه منهجية تقييم المطابقة ضمن 382-P في جوهرها مع منهجية تقييم المطابقة لـ STO BR IBBS ، ولكنها تعطي نتائج مختلفة. هذا يرجع إلى إدخال عوامل التصحيح الخاصة.
لا تحدد المادة 382-P متطلبات خاصة للمنظمات المشاركة في المراجعة. يؤدي هذا إلى بعض التناقض مع المرسوم الحكومي الصادر في 13 يونيو 2012 رقم 584 "بشأن حماية المعلومات في نظام الدفع" ، والذي يتطلب أيضًا تنظيم وإجراء مراقبة وتقييم الامتثال لمتطلبات حماية المعلومات مرة كل سنتين . ومع ذلك ، فإن المرسوم الحكومي الذي وضعه FSTEC يتطلب إجراء عمليات التدقيق الخارجية فقط من قبل المنظمات التي لديها ترخيص للحماية الفنية للمعلومات السرية.
ترد المتطلبات الإضافية التي تفرض التزامات جديدة على البنوك في القسم 2.16 من اللائحة 382-P. وفقًا للمتطلبات ، يتعين على مشغل نظام الدفع أن يتطور ، والبنوك التي انضمت إلى نظام الدفع ملزمة بالامتثال لمتطلبات إبلاغ مشغل نظام الدفع بانتظام حول مختلف قضايا أمن المعلومات في البنك ، بما في ذلك:
ينص FZ-161 على NPS أيضًا على أنه بالإضافة إلى التدقيق على أساس تعاقدي ، يتم تنفيذ الرقابة والإشراف على الامتثال لمتطلبات القرار 584 و 382 من قبل FSB و FSTEC و Bank of Russia ، على التوالي . في وقت كتابة هذا التقرير ، لم يكن لدى FSTEC ولا FSB إجراء مطور لإجراء الإشراف. على عكس بنك روسيا الذي أصدر وثيقتين:
في 1 يوليو 2012 ، بدأ بنك روسيا في اختبار وجمع الحقائق حول ممارسة إنفاذ القانون للوائح في مجال أمن المعلومات في نظام الدفع الوطني.
PCI DSS - معيار أمان بيانات صناعة بطاقات الدفع - معيار أمان بيانات بطاقة الدفع. تم تطويره من قبل مجلس معايير أمان صناعة بطاقات الدفع (PCI SSC) ، والذي تم إنشاؤه بواسطة أنظمة الدفع الدولية Visa و MasterCard و American Express و JCB و Discover.
يمثل معيار PCI DSS مجموعة من 12 متطلبًا عالي المستوى وأكثر من 200 من المتطلبات التفصيلية لضمان أمان البيانات على حاملي بطاقات الدفع التي يتم إرسالها وتخزينها ومعالجتها في أنظمة المعلومات الخاصة بالمؤسسات. تنطبق متطلبات المعيار على جميع الشركات التي تعمل بأنظمة الدفع الدولية Visa و MasterCard. اعتمادًا على عدد المعاملات التي تمت معالجتها ، يتم تعيين مستوى لكل شركة لكل مستوى - مجموعة المتطلبات الخاصة بها. تختلف مستويات كل نظام دفع.
يتم التحقق من الامتثال لشروط معيار PCI DSS كجزء من الشهادة الإلزامية ، والتي تختلف متطلباتها اعتمادًا على نوع الشركة التي يتم فحصها: تاجر يقبل بطاقات الدفع مقابل السلع والخدمات ، أو المورد الذي يقدم خدمات للتجار والبنوك - المشترون والمصدرون وما إلى ذلك (مراكز المعالجة وبوابات الدفع). يتم التقييم بأشكال مختلفة:
هناك وثيقة تنظيمية أخرى ذات صلة بالصناعة المصرفية وتحدد متطلبات تقييم المطابقة وهي القانون الفيدرالي "بشأن البيانات الشخصية". ومع ذلك ، لم يتم بعد تحديد شكل التدقيق أو تواتره أو متطلبات المنظمة التي تجري التدقيق. ربما سيتم حل المشكلة في خريف عام 2012 ، عندما يتم إصدار جزء من وثائق الحكومة ، FSTEC و FSB ، التي تقدم معايير جديدة في مجال حماية البيانات الشخصية. بينما تحدد البنوك بشكل مستقل ميزات تدقيق حماية البيانات الشخصية.
يتم تنفيذ الرقابة والإشراف على تنفيذ التدابير التنظيمية والتقنية لضمان أمن البيانات الشخصية المنصوص عليها في المادة 19 من القانون 152-FZ من قبل FSB و FSTEC. لكن هذا لا ينطبق إلا على أنظمة معلومات الدولة الخاصة بالبيانات الشخصية. حتى الآن ، وفقًا للقانون ، لا يوجد من يمارس الرقابة على المنظمات التجارية في مجال ضمان أمن معلومات البيانات الشخصية. ما لا يمكن قوله عن حماية حقوق أصحاب البيانات الشخصية ، أي العملاء والأطراف المقابلة وزوار البنك فقط. تم تنفيذ هذه المهمة من قبل Roskomnadzor ، التي تنفذ بنشاط وظائف إشرافية وتعتبر البنوك منتهكة ضارة لقانون البيانات الشخصية.
تحدد كل من اللوائح الرئيسية متطلباتها الخاصة لتقييم المطابقة بشكل أو بآخر: من التقييم الذاتي في شكل ملء استبيانات (PCI DSS) إلى اجتياز تدقيق إلزامي مرة كل عامين (382-P) أو مرة واحدة عام (ISO 27001). هناك أشكال أخرى لتقييم الامتثال: إشعارات مشغل نظام الدفع ، وعمليات الفحص ربع السنوية ، وما إلى ذلك.
من ناحية أخرى ، لا تزال الدولة تفتقر إلى نظام موحد للآراء ليس فقط بشأن تنظيم الدولة لتدقيق أمن المعلومات للمنظمات وأنظمة تكنولوجيا المعلومات ، ولكن أيضًا بشأن موضوع تدقيق أمن المعلومات ذاته. هناك عدد من الإدارات والمنظمات المسؤولة عن أمن المعلومات في روسيا: FSTEC و FSB و Bank of Russia و Roskomnadzor و PCI SSC وغيرها. كل منهم يعمل على أساس اللوائح والمبادئ التوجيهية الخاصة بهم. مناهج مختلفة ومعايير مختلفة ومستويات مختلفة من النضج ... كل هذا يعيق إنشاء قواعد موحدة للعبة.
لقد أفسدت الصورة أيضًا ظهور شركات ذات يوم واحد تقدم ، في سعيها لتحقيق الربح ، خدمات منخفضة الجودة في مجال تقييم الامتثال لمتطلبات أمن المعلومات. ومن غير المرجح أن يتغير الوضع للأفضل. بمجرد أن تكون هناك حاجة ، سيكون هناك من يريد إشباعها ، في حين أنه ببساطة لا يوجد ما يكفي من المراجعين المؤهلين للجميع. من خلال عدد قليل من عمليات التدقيق (انظر الرسم البياني) ومدة التدقيق التي تتراوح من عدة أسابيع إلى عدة أشهر ، من الواضح أن طلب المراجعة يتجاوز بشكل خطير قدرة المراجعين.
في "مفهوم تدقيق أمن المعلومات لأنظمة ومنظمات تكنولوجيا المعلومات" ، والذي لم يتم اعتماده من قبل FSTEC ، كانت هناك العبارة التالية:
"... في الوقت نفسه ، في ظل غياب المنظمين الوطنيين الضروريين ، يمكن أن يتسبب هذا النشاط [بشأن التدقيق غير المنظم من قبل الشركات الخاصة] في إلحاق ضرر لا يمكن إصلاحه بالمنظمات."
اقترح مؤلفو المفهوم توحيد مناهج التدقيق ووضع قواعد اللعبة بشكل قانوني ، بما في ذلك قواعد اعتماد المراجعين ، ومتطلبات المؤهلات ، وإجراءات إجراء التدقيق. لكن الأشياء لا تزال موجودة. على الرغم من الاهتمام بأن المنظمين المحليين في مجال أمن المعلومات ، ولا يوجد سوى تسعة منهم ، يدفعون قضايا أمن المعلومات ، فمن الممكن أن يصبح الموضوع قريبًا مرة أخرى. في السنة التقويمية الماضية وحدها ، تم تبني أو تطوير 52 قانونًا تنظيميًا بشأن قضايا أمن المعلومات ، وقانون تنظيمي واحد في الأسبوع!
في ظل الظروف الحالية ، للأسف ، علينا أن نعترف بأن الهدف الرئيسي من تدقيق أمن المعلومات للبنك - زيادة الثقة في أنشطته - بعيد المنال في روسيا. قلة من عملاء البنك الروس ينتبهون إلى مستوى الأمان أو نتائج التدقيق الذي يتم إجراؤه في البنك. يتم إجراء التدقيق إما في حالة وقوع حادث خطير للغاية مع ضرر مادي جسيم للبنك (المساهمين والمالكين) ، أو في حالة المتطلبات القانونية.
المطلب رقم 1 ، الذي يستحق اللجوء إلى تدقيق الأمان ، هو توفير بنك روسيا 382-P. يتم الحصول على معلومات حول مستوى حماية البنوك والوفاء بمتطلبات 382-P ، المطلوبة من الإدارات الإقليمية للبنك المركزي ، على وجه التحديد نتيجة للتدقيق الخارجي أو التقييم الذاتي.
في المرتبة الثانية ، يتم تدقيق الامتثال لمتطلبات قانون "البيانات الشخصية". ولكن الأمر يستحق إجراء مثل هذا التدقيق في موعد لا يتجاوز اللحظة التي يتم فيها إصدار جميع المستندات التي وعدت بها FSTEC و FSB وعندما يتضح مصير STO BR IBBS. في الوقت نفسه ، يمكن إثارة مسألة إجراء تدقيق الامتثال لمتطلبات STO BR IBBS.
لا يعني إكمال التدقيق بنجاح أن كل شيء على ما يرام مع الأمن في البنك. هناك العديد من الحيل التي تسمح للمؤسسة الخاضعة للرقابة بإخفاء العيوب في نظام الأمان. يعتمد الكثير على مؤهلات واستقلالية المدققين. تُظهر التجربة أنه حتى في المؤسسات التي نجحت في اجتياز تدقيق الامتثال لـ PCI DSS أو ISO 27001 أو STO BR IBBS ، تحدث حوادث وحوادث خطيرة.
ديمتري ماركين ، رئيس قسم التدقيق والاستشارات في AMT-GROUP:
حتى وقت قريب ، كانت قضايا تمرير التدقيق الإلزامي لحالة أمن المعلومات للمؤسسات الائتمانية في إطار التشريع الروسي تنظمها FZ-152 "على البيانات الشخصية" فقط من حيث الرقابة الداخلية على التدابير المتخذة لضمان أمن PD ، وكذلك لائحة البنك المركزي للاتحاد الروسي رقم 242-P "بشأن تنظيم الرقابة الداخلية في مؤسسات الائتمان والمجموعات المصرفية". علاوة على ذلك ، وفقًا لمتطلبات اللائحة رقم 242-P ، يتم تحديد إجراءات مراقبة توفير أمن المعلومات من خلال المستندات الداخلية لمؤسسة الائتمان بشكل مستقل دون الرجوع إلى متطلبات محددة لتوفير أمن المعلومات. فيما يتعلق بدخول المادة 27 من القانون الاتحادي رقم 161 "بشأن نظام الدفع الوطني" حيز التنفيذ ، والتي تحدد متطلبات حماية المعلومات في نظام الدفع ، فإن المرسوم الصادر عن حكومة الاتحاد الروسي رقم 584 "بشأن الموافقة على لائحة حماية المعلومات في نظام الدفع" ولائحة البنك المركزي RF №382-P. وفقًا لمتطلبات المرسوم رقم 584 واللائحة رقم 382-P ، يجب أن تتم حماية المعلومات في نظام الدفع وفقًا لمتطلبات هذه اللوائح والمتطلبات التي يدرجها مشغلو أنظمة الدفع في قواعد الدفع الأنظمة. النقطة الأساسية هنا هي التوحيد على مستوى التشريع الوطني لحق مشغلي أنظمة الدفع (على سبيل المثال ، Visa و MasterCard) لوضع متطلبات حماية المعلومات بشكل مستقل. تشير اللائحة رقم 382-P أيضًا إلى التزام مؤسسات الائتمان بتقييم الامتثال لمتطلبات ضمان أمن المعلومات مرة واحدة على الأقل كل عامين ، كما أن منهجية تقييم الامتثال ومعايير المراجعة وإجراءات توثيق نتائجه محددة بوضوح. في رأينا ، يجب أن يؤدي ظهور اللوائح المذكورة أعلاه إلى زيادة إحصائيات مؤسسات الائتمان التي تحصل على الشهادة وفقًا لمتطلبات معيار أمان بيانات صناعة بطاقات الدفع PCI DSS 2.0 ، والذي تم تطويره بمشاركة أنظمة الدفع الدولية الرائدة Visa و MasterCard.
