ويبدأ أمن معلومات البنوك بالتدقيق. لا يمكن لتدقيق الأمن السيبراني أن يمنح البنك الحق في تنفيذ أنواع معينة من الأنشطة فحسب ، بل يُظهر أيضًا نقاط الضعف في أنظمة البنك. لذلك ، من الضروري الاقتراب من قرار إجراء واختيار شكل المراجعة بعناية.
وفقًا للقانون الاتحادي الصادر في 30 ديسمبر 2008 رقم 307-FZ "بشأن التدقيق" ، فإن التدقيق هو "تحقق مستقل من البيانات المحاسبية (المالية) للكيان الخاضع للرقابة من أجل إبداء الرأي حول مصداقية هذه البيانات . "
تعريف المصطلح الوارد في القانون لا علاقة له بمجال أمن المعلومات. ومع ذلك ، يستخدمه متخصصو أمن المعلومات بنشاط كبير في الكلام. في هذه الحالة ، يشير التدقيق إلى عملية التقييم المستقل لأنشطة منظمة أو نظام أو عملية أو مشروع أو منتج.
في اللوائح المحلية المختلفة ، لا يُستخدم مصطلح "تدقيق أمن المعلومات" دائمًا - غالبًا ما يتم استبداله إما بمصطلح "تقييم المطابقة" أو بمصطلح "شهادة" عفا عليه الزمن قليلًا ، ولكنه لا يزال مستخدمًا. في بعض الأحيان يتم العثور على مصطلح "شهادة" ، ولكن فيما يتعلق باللوائح الأجنبية الدولية.
أيا كان المصطلح المستخدم ، في جوهره ، يتم إجراء تدقيق أمن المعلومات للتحقق من الامتثال للوائح أو صحة وأمن الحلول المطبقة. في الحالة الأولى ، من المستحيل رفض إجراء التدقيق ، وإلا فسيؤدي ذلك إلى انتهاك متطلبات اللوائح والغرامات وتعليق الأنشطة وأشكال العقوبة الأخرى. في الحالة الثانية ، يكون التدقيق طوعيًا ، وتتخذ المنظمة نفسها قرار إجرائه.
يمكن إجراء التدقيق الإلزامي:
يمكن إجراء تدقيق طوعي لأي سبب: للتحقق من أمان النظام المصرفي عن بُعد ، والتحكم في أصول بنك تم الاستحواذ عليه ، والتحقق من فرع تم افتتاحه حديثًا ، وما إلى ذلك. في هذه الحالة ، من المستحيل تحديد الحدود بوضوح ، أو وصف أشكال التقارير ، أو التحدث عن انتظام التدقيق - كل هذا يقرره العقد المبرم بين المدقق والمنظمة الخاضعة للرقابة. دعنا ننتقل إلى أشكال التدقيق الإلزامي ، والتي تعتبر مهمة لأمن معلومات البنوك.
التناظرية الروسية الكاملة للمعيار الدولي ISO / IEC 27001: 2005 - “GOST R ISO / IEC 27001-2006 - تكنولوجيا المعلومات - طرق ووسائل ضمان الأمن. نظم إدارة أمن المعلومات - المتطلبات.
في جوهرها ، هذه المعايير هي مجموعة من أفضل الممارسات لإدارة أمن المعلومات في المؤسسات الكبيرة. لا تستطيع المؤسسات الصغيرة ، بما في ذلك البنوك ، دائمًا الامتثال لمتطلبات المعيار بالكامل. مثل أي معيار في روسيا ، يعتبر ISO 27001 وثيقة اختيارية ؛ يقرر كل بنك قبول شروطه أم لا. لكن ISO 27001 هو معيار عالمي مقصود ، ويستخدمه المتخصصون في مختلف البلدان كدليل عالمي لجميع المشاركين في أمن المعلومات.
يحتوي ISO 27001 على العديد من النقاط الدقيقة والتي نادراً ما يتم ذكرها ، ولكنها مهمة.
أولاً ، لا يخضع نظام أمن المعلومات بالكامل للبنك للتدقيق وفقًا لهذا المعيار ، بل يخضع عنصر واحد فقط أو عدة مكونات. على سبيل المثال ، نظام حماية مصرفي عن بعد ، أو نظام حماية المكتب الرئيسي للبنك ، أو نظام حماية عملية إدارة شؤون الموظفين. بمعنى آخر ، لا يضمن الحصول على شهادة المطابقة لإحدى العمليات التي تم تقييمها كجزء من التدقيق أن العمليات الأخرى في نفس الحالة المثالية.
تتعلق النقطة الثانية بحقيقة أن ISO 27001 هو معيار عالمي ، أي ينطبق على أي منظمة ، وبالتالي لا يأخذ في الاعتبار خصوصيات الصناعة. وقد أدى ذلك إلى حقيقة أنه في إطار المنظمة الدولية للتوحيد القياسي ISO ، كان هناك حديث منذ فترة طويلة حول إنشاء معيار ISO 27015 ، وهو تعديل ISO 27001/27002 للصناعة المالية. يشارك بنك روسيا بنشاط في تطوير معيار الصناعة. تمت معارضة المشروع الذي تم تطويره بالفعل من قبل Visa و MasterCard. تعتقد Visa أن هناك القليل جدًا من المعلومات في المشروع المطلوبة للصناعة المالية ، على سبيل المثال ، حول أنظمة الدفع. ومع ذلك ، إذا تمت إضافة الأحكام المفقودة ، فسيتعين نقل المعيار إلى لجنة ISO أخرى. تقترح MasterCard إيقاف تطوير ISO 27015 ، مستشهدة بحقيقة أن الصناعة المالية لديها بالفعل مستندات كافية تنظم مجال أمن المعلومات.
ثالثًا ، لا تتحدث العديد من المقترحات في السوق الروسية عن عمليات تدقيق الامتثال ، بل تتحدث عن التحضير للتدقيق. الحقيقة هي أن عددًا قليلاً فقط من المنظمات في العالم لها الحق في التصديق على الامتثال لمتطلبات ISO 27001. والمتكاملون يساعدون الشركات فقط على تلبية متطلبات المعيار ، والتي سيتم التحقق منها بعد ذلك من قبل المدققين الرسميين (المسجلين ، هيئات إصدار الشهادات).
بينما يستمر الجدل حول ما إذا كان يجب على البنوك تطبيق ISO 27001 أم لا ، فإن بعض الأشخاص الشجعان يتجهون إلى ذلك ويمرون بثلاث مراحل من تدقيق الامتثال:
من يحتاج ISO 27001 في روسيا؟ إذا اعتبرنا المعيار ليس فقط مجموعة من أفضل الممارسات التي يجب تنفيذها حتى بدون اجتياز تدقيق ، ولكن أيضًا كعملية اعتماد تؤكد امتثال البنك لمتطلبات الأمن الدولية ، فمن المنطقي تطبيق ISO 27001 إما للبنوك هم أعضاء في مجموعات مصرفية ، حيث يعتبر ISO 27001 معيارًا أو تخطط البنوك لدخول الساحة الدولية. في حالات أخرى ، غالبًا ما تكون مراجعة الامتثال لـ ISO 27001 والحصول على شهادة غير ضرورية. ولكن فقط بالنسبة للبنك وفقط في روسيا ، نظرًا لوجود معايير محلية تستند إلى ISO 27001. بحكم الواقع ، حتى وقت قريب ، أجرى بنك روسيا عمليات التفتيش بدقة وفقًا لمتطلبات STO BR IBBS.
يصف هذا المعيار ، أو بالأحرى مجموعة من المعايير ، نهجًا موحدًا لبناء نظام أمن المعلومات للمؤسسات المصرفية ، مع مراعاة متطلبات التشريع الروسي. تتضمن مجموعة الوثائق (المشار إليها فيما يلي باسم STO BR IBBS) ثلاثة معايير وخمس توصيات للتوحيد القياسي. يعتمد على ISO 27001 ومعايير دولية أخرى لإدارة تكنولوجيا المعلومات وأمن المعلومات. يتم تحديد قضايا التدقيق وتقييم الامتثال لمتطلبات المعيار ، وكذلك ISO 27001 ، في مستندات منفصلة:
أثناء تقييم المطابقة وفقًا لـ STO BR IBBS ، يتم التحقق من استيفاء 423 مؤشرًا معينًا من مؤشرات IS ، والتي تنقسم إلى 34 مؤشرًا للمجموعة. نتيجة التقييم هي المؤشر النهائي ، والذي يجب أن يكون في المستوى الرابع أو الخامس على مقياس من خمس نقاط وضعه بنك روسيا. يميز هذا التفصيل عملية التدقيق التي تتم بموجب STO BR IBBS عن التدقيق بموجب اللوائح الأخرى في مجال أمن المعلومات. لا يعني STO BR IBBS "عدم الامتثال" ، فقط مستوى الامتثال يمكن أن يكون مختلفًا: من صفر إلى خمسة. فقط المستويات فوق 4 تعتبر إيجابية.
اعتبارًا من نهاية عام 2011 ، قامت 70-75٪ من البنوك بتنفيذ هذه المجموعة من المعايير أو هي بصدد تنفيذها. بحكم القانون ، STO BR IBBS ذات طبيعة استشارية ، ولكن في الواقع ، حتى وقت قريب ، أجرى بنك روسيا عمليات التفتيش بدقة وفقًا لمتطلبات STO BR IBBS ، على الرغم من عدم ذكر الشروط صراحة في أي مكان. لقد تغير الوضع منذ 1 يوليو 2012 ، عندما دخل قانون "نظام الدفع الوطني" والوثائق التنظيمية للحكومة وبنك روسيا الذي تم تطويره لتنفيذه حيز التنفيذ. ومنذ ذلك الحين ، عادت مسألة الحاجة إلى تدقيق الامتثال لمتطلبات STO BR IBBS إلى جدول الأعمال.
الحقيقة هي أن منهجية تقييم المطابقة المقترحة في إطار التشريع الخاص بنظام الدفع الوطني (NPS) ومنهجية تقييم الامتثال لـ STO BR IBBS يمكن أن تختلف اختلافًا كبيرًا في القيم النهائية. في الوقت نفسه ، أصبح التقييم وفقًا للطريقة الأولى (لـ NPS) إلزاميًا ، في حين أن التقييم وفقًا لـ STO BR IBBS لا يزال قانونيًا. في وقت كتابة هذا التقرير ، لم يكن بنك روسيا نفسه قد قرر بعد مصير هذا التقييم. إذا تلاقت جميع الخيوط في وقت سابق في المديرية الرئيسية للأمن وحماية المعلومات في بنك روسيا (GUBZI) ، فمع تقسيم الصلاحيات بين GUBZI وإدارة تنظيم المستوطنات (LHH) ، ظلت القضية مفتوحة. من الواضح فقط أن القوانين التشريعية بشأن NPS تتطلب تقييم المطابقة الإلزامي ، أي التدقيق.
تم إصدار اللائحة 382-P والموافقة عليها في 9 حزيران (يونيو) 2012 "بشأن متطلبات ضمان حماية المعلومات عند إجراء تحويلات الأموال وبشأن الإجراءات التي يتبعها بنك روسيا لممارسة الرقابة على الامتثال لمتطلبات ضمان حماية المعلومات عند إجراء تحويلات مالية "تتطلب في الفقرة 2.15 تقييمًا إلزاميًا للامتثال ، أي المراجعة. يتم إجراء التقييم إما بشكل مستقل أو بمشاركة منظمات طرف ثالث.
تتشابه منهجية تقييم المطابقة ضمن 382-P في جوهرها مع منهجية تقييم المطابقة لـ STO BR IBBS ، ولكنها تعطي نتائج مختلفة. هذا يرجع إلى إدخال عوامل التصحيح الخاصة.
لا تحدد اللائحة 382-P متطلبات خاصة للمنظمات المشاركة في المراجعة. يؤدي هذا إلى بعض التناقض مع المرسوم الحكومي الصادر في 13 يونيو 2012 رقم 584 "بشأن حماية المعلومات في نظام الدفع" ، والذي يتطلب أيضًا تنظيم وإجراء مراقبة وتقييم الامتثال لمتطلبات حماية المعلومات مرة كل سنتين . ومع ذلك ، فإن المرسوم الحكومي الذي وضعه FSTEC يتطلب إجراء عمليات التدقيق الخارجية فقط من قبل المنظمات التي لديها ترخيص للحماية الفنية للمعلومات السرية.
ترد المتطلبات الإضافية التي تفرض التزامات جديدة على البنوك في القسم 2.16 من اللائحة 382-P. وفقًا للمتطلبات ، فإن مشغل نظام الدفع ملزم بالتطوير ، والبنوك التي انضمت إلى نظام الدفع ملزمة بالامتثال لمتطلبات إبلاغ مشغل نظام الدفع بانتظام حول مختلف قضايا أمن المعلومات في البنك ، بما في ذلك:
ينص FZ-161 على NPS أيضًا على أنه بالإضافة إلى التدقيق على أساس تعاقدي ، يتم تنفيذ الرقابة والإشراف على الامتثال لمتطلبات القرار 584 ولائحة 382 من قبل FSB و FSTEC و Bank of Russia ، على التوالي . في وقت كتابة هذا التقرير ، لم يكن لدى FSTEC ولا FSB إجراء مطور لإجراء الإشراف. على عكس بنك روسيا الذي أصدر وثيقتين:
في 1 يوليو 2012 ، بدأ بنك روسيا في اختبار وجمع الحقائق حول ممارسة إنفاذ القانون للوائح في مجال حماية المعلومات في نظام الدفع الوطني.
PCI DSS - معيار أمان بيانات صناعة بطاقات الدفع - معيار أمان بيانات بطاقة الدفع. تم تطويره من قبل مجلس معايير أمان صناعة بطاقات الدفع (PCI SSC) ، والذي تم إنشاؤه بواسطة أنظمة الدفع الدولية Visa و MasterCard و American Express و JCB و Discover.
يمثل معيار PCI DSS مجموعة من 12 متطلبًا عالي المستوى وأكثر من 200 من المتطلبات التفصيلية لضمان أمان البيانات على حاملي بطاقات الدفع التي يتم إرسالها وتخزينها ومعالجتها في أنظمة المعلومات الخاصة بالمؤسسات. تنطبق متطلبات المعيار على جميع الشركات التي تعمل بأنظمة الدفع الدولية Visa و MasterCard. اعتمادًا على عدد المعاملات التي تمت معالجتها ، يتم تعيين مستوى لكل شركة لكل مستوى - مجموعة المتطلبات الخاصة بها. تختلف مستويات كل نظام دفع.
يتم التحقق من الامتثال لشروط معيار PCI DSS كجزء من الشهادة الإلزامية ، والتي تختلف متطلباتها اعتمادًا على نوع الشركة التي يتم فحصها: تاجر يقبل بطاقات الدفع مقابل السلع والخدمات ، أو المورد الذي يقدم خدمات للتجار والبنوك - المشترون والمصدرون وما إلى ذلك (مراكز المعالجة وبوابات الدفع). يتم التقييم بأشكال مختلفة:
هناك وثيقة تنظيمية أخرى ذات صلة بالصناعة المصرفية وتحدد متطلبات تقييم المطابقة وهي القانون الفيدرالي "بشأن البيانات الشخصية". ومع ذلك ، لم يتم حتى الآن تحديد شكل المراجعة أو تواترها أو متطلبات المنظمة التي تجري المراجعة. ربما سيتم حل المشكلة في خريف عام 2012 ، عندما يتم إصدار جزء من وثائق الحكومة ، FSTEC و FSB ، التي تقدم معايير جديدة في مجال حماية البيانات الشخصية. بينما تحدد البنوك بشكل مستقل ميزات تدقيق حماية البيانات الشخصية.
يتم تنفيذ الرقابة والإشراف على تنفيذ التدابير التنظيمية والتقنية لضمان أمن البيانات الشخصية المنصوص عليها في المادة 19 من القانون 152-FZ من قبل FSB و FSTEC. لكن هذا لا ينطبق إلا على أنظمة معلومات الحالة الخاصة بالبيانات الشخصية. حتى الآن ، وفقًا للقانون ، لا يوجد من يمارس الرقابة على المنظمات التجارية في مجال ضمان أمن معلومات البيانات الشخصية. ما لا يمكن قوله عن حماية حقوق أصحاب البيانات الشخصية ، أي العملاء والأطراف المقابلة وزوار البنك فقط. تم تنفيذ هذه المهمة من قبل Roskomnadzor ، التي تنفذ بنشاط وظائف إشرافية وتعتبر البنوك منتهكة ضارة لقانون البيانات الشخصية.
تحدد كل من اللوائح الرئيسية متطلباتها الخاصة لتقييم المطابقة بشكل أو بآخر: من التقييم الذاتي في شكل ملء استبيانات (PCI DSS) إلى اجتياز تدقيق إلزامي مرة كل عامين (382-P) أو مرة واحدة عام (ISO 27001). هناك أشكال أخرى لتقييم الامتثال: إشعارات مشغل نظام الدفع ، وعمليات الفحص ربع السنوية ، وما إلى ذلك.
من ناحية أخرى ، لا تزال الدولة تفتقر إلى نظام موحد للآراء ليس فقط بشأن تنظيم الدولة لتدقيق أمن المعلومات للمنظمات وأنظمة تكنولوجيا المعلومات ، ولكن أيضًا بشأن موضوع تدقيق أمن المعلومات ذاته. هناك عدد من الإدارات والمنظمات المسؤولة عن أمن المعلومات في روسيا: FSTEC و FSB و Bank of Russia و Roskomnadzor و PCI SSC وغيرها. كل منهم يعمل على أساس اللوائح والمبادئ التوجيهية الخاصة بهم. مناهج مختلفة ومعايير مختلفة ومستويات مختلفة من النضج ... كل هذا يعيق إنشاء قواعد موحدة للعبة.
لقد أفسدت الصورة أيضًا ظهور شركات ذات يوم واحد تقدم ، في سعيها لتحقيق الربح ، خدمات منخفضة الجودة في مجال تقييم الامتثال لمتطلبات أمن المعلومات. ومن غير المرجح أن يتغير الوضع للأفضل. بمجرد أن تكون هناك حاجة ، سيكون هناك من يريد إشباعها ، في حين أنه ببساطة لا يوجد ما يكفي من المراجعين المؤهلين للجميع. من خلال عدد قليل من عمليات التدقيق (انظر الرسم البياني) ومدة تدقيق من عدة أسابيع إلى عدة أشهر ، من الواضح أن طلب المراجعة يتجاوز بشكل خطير قدرة المراجعين.
في "مفهوم تدقيق أمن المعلومات لأنظمة ومنظمات تكنولوجيا المعلومات" ، والذي لم يتم اعتماده من قبل FSTEC ، كانت هناك العبارة التالية:
"... في الوقت نفسه ، في ظل غياب المنظمين الوطنيين الضروريين ، يمكن أن يتسبب هذا النشاط [بشأن التدقيق غير المنظم من قبل الشركات الخاصة] في إلحاق ضرر لا يمكن إصلاحه بالمنظمات."
اقترح مؤلفو المفهوم توحيد مناهج التدقيق ووضع قواعد اللعبة بشكل قانوني ، بما في ذلك قواعد اعتماد المراجعين ، ومتطلبات المؤهلات ، وإجراءات إجراء التدقيق. لكن الأشياء لا تزال موجودة. على الرغم من الاهتمام بأن المنظمين المحليين في مجال أمن المعلومات ، ولا يوجد سوى تسعة منهم ، يدفعون قضايا أمن المعلومات ، فمن الممكن أن يصبح الموضوع قريبًا مرة أخرى. في السنة التقويمية الماضية وحدها ، تم تبني أو تطوير 52 قانونًا تنظيميًا بشأن قضايا أمن المعلومات ، وقانون تنظيمي واحد في الأسبوع!
في ظل الظروف الحالية ، للأسف ، علينا أن نعترف بأن الهدف الرئيسي من تدقيق أمن المعلومات للبنك - زيادة الثقة في أنشطته - بعيد المنال في روسيا. قلة من عملاء البنك الروس ينتبهون إلى مستوى الأمان أو نتائج التدقيق الذي يتم إجراؤه في البنك. يتم إجراء التدقيق إما في حالة وقوع حادث خطير للغاية مع ضرر مادي جسيم للبنك (المساهمين والمالكين) ، أو في حالة المتطلبات القانونية.
المطلب رقم 1 ، الذي يستحق اللجوء إلى تدقيق الأمان ، هو توفير بنك روسيا 382-P. يتم الحصول على معلومات حول مستوى حماية البنوك والوفاء بمتطلبات 382-P ، المطلوبة من الإدارات الإقليمية للبنك المركزي ، على وجه التحديد نتيجة للتدقيق الخارجي أو التقييم الذاتي.
في المرتبة الثانية ، يتم تدقيق الامتثال لمتطلبات قانون "البيانات الشخصية". لكن الأمر يستحق إجراء مثل هذا التدقيق في موعد لا يتجاوز اللحظة التي يتم فيها إصدار جميع المستندات التي وعدت بها FSTEC و FSB وعندما يتضح مصير STO BR IBBS. في الوقت نفسه ، يمكن إثارة مسألة إجراء تدقيق الامتثال لمتطلبات STO BR IBBS.
لا يعني إكمال التدقيق بنجاح أن كل شيء على ما يرام مع الأمن في البنك. هناك العديد من الحيل التي تسمح للمؤسسة الخاضعة للرقابة بإخفاء العيوب في نظام الأمان. يعتمد الكثير على مؤهلات واستقلالية المراجعين. تُظهر التجربة أنه حتى في المؤسسات التي نجحت في اجتياز تدقيق الامتثال لـ PCI DSS أو ISO 27001 أو STO BR IBBS ، تحدث حوادث وحوادث خطيرة.
ديمتري ماركين ، رئيس قسم التدقيق والاستشارات في AMT-GROUP:
حتى وقت قريب ، كانت قضايا تمرير التدقيق الإلزامي لحالة أمن المعلومات للمؤسسات الائتمانية في إطار التشريع الروسي تنظمها FZ-152 "على البيانات الشخصية" فقط من حيث الرقابة الداخلية على التدابير المتخذة لضمان أمن PD ، وكذلك لائحة البنك المركزي للاتحاد الروسي رقم 242-P "بشأن تنظيم الرقابة الداخلية في مؤسسات الائتمان والمجموعات المصرفية". علاوة على ذلك ، وفقًا لمتطلبات اللائحة رقم 242-P ، يتم تحديد إجراءات مراقبة توفير أمن المعلومات من خلال المستندات الداخلية لمؤسسة الائتمان بشكل مستقل دون الرجوع إلى متطلبات محددة لتوفير أمن المعلومات. فيما يتعلق بدخول المادة 27 من القانون الاتحادي رقم 161 "بشأن نظام الدفع الوطني" حيز التنفيذ ، والتي تحدد متطلبات حماية المعلومات في نظام الدفع ، فإن المرسوم الصادر عن حكومة الاتحاد الروسي رقم 584 "بشأن الموافقة على لائحة حماية المعلومات في نظام الدفع" ولائحة البنك المركزي RF №382-P. وفقًا لمتطلبات المرسوم رقم 584 واللائحة رقم 382-P ، يجب أن تتم حماية المعلومات في نظام الدفع وفقًا لمتطلبات هذه اللوائح والمتطلبات التي يدرجها مشغلو أنظمة الدفع في قواعد الدفع أنظمة. النقطة الأساسية هنا هي التوحيد على مستوى التشريع الوطني لحق مشغلي أنظمة الدفع (على سبيل المثال ، Visa و MasterCard) لوضع متطلبات حماية المعلومات بشكل مستقل. تشير اللائحة رقم 382-P أيضًا إلى التزام مؤسسات الائتمان بتقييم الامتثال لمتطلبات ضمان أمن المعلومات مرة واحدة على الأقل كل عامين ، كما أن منهجية تقييم الامتثال ومعايير المراجعة وإجراءات توثيق نتائجه محددة بوضوح. في رأينا ، يجب أن يؤدي ظهور اللوائح المذكورة أعلاه إلى زيادة إحصائيات مؤسسات الائتمان التي تحصل على الشهادة وفقًا لمتطلبات معيار أمان بيانات صناعة بطاقات الدفع PCI DSS 2.0 ، والذي تم تطويره بمشاركة أنظمة الدفع الدولية الرائدة Visa و MasterCard.
يختلف نظام أمن المعلومات في البنوك اختلافًا كبيرًا عن الاستراتيجيات المماثلة للشركات والمؤسسات الأخرى. هذا يرجع في المقام الأول إلى الطبيعة المحددة للتهديدات ، فضلاً عن الأنشطة العامة للبنوك ، والتي تضطر إلى جعل الوصول إلى الحسابات أمرًا سهلاً بدرجة كافية لراحة العملاء.
مع تطور وتوسيع نطاق تكنولوجيا الكمبيوتر ، تتزايد حدة مشكلة ضمان أمن أنظمة الكمبيوتر وحماية المعلومات المخزنة والمعالجة فيها من التهديدات المختلفة. هناك عدد من الأسباب الموضوعية لهذا.
العامل الرئيسي هو زيادة مستوى الثقة في أنظمة معالجة المعلومات الآلية. إنهم مكلفون بأكثر الأعمال مسؤولية ، والتي تعتمد على جودة حياة العديد من الناس ورفاههم. تدير أجهزة الكمبيوتر العمليات التكنولوجية في المؤسسات ومحطات الطاقة النووية ، وتحركات الطائرات والقطارات ، وإجراء المعاملات المالية ، ومعالجة المعلومات السرية.
هناك خيارات مختلفة لحماية المعلومات معروفة - من حارس الأمن عند المدخل إلى طرق تم التحقق منها رياضيًا لإخفاء البيانات من المعارف. بالإضافة إلى ذلك ، يمكننا التحدث عن الحماية العالمية وجوانبها الفردية: حماية أجهزة الكمبيوتر الشخصية والشبكات وقواعد البيانات وما إلى ذلك.
وتجدر الإشارة إلى أنه لا توجد أنظمة آمنة تمامًا. يمكننا الحديث عن موثوقية النظام ، أولاً ، فقط مع وجود احتمال معين ، وثانياً ، عن الحماية من فئة معينة من المخالفين. ومع ذلك ، يمكن توقع الاختراقات في نظام الكمبيوتر. الدفاع هو نوع من المنافسة بين الدفاع والهجوم: من يعرف أكثر ويقدم تدابير فعالة هو الفائز.
تنظيم حماية نظام معالجة المعلومات الآلي للبنك عبارة عن مجموعة واحدة من الإجراءات التي يجب أن تأخذ في الاعتبار جميع ميزات عملية معالجة المعلومات. على الرغم من الإزعاج الذي يلحق بالمستخدم أثناء التشغيل ، في كثير من الحالات ، قد تكون تدابير الحماية ضرورية للغاية للتشغيل العادي للنظام. يجب أن تشمل المضايقات الرئيسية المذكورة Gaikovich Yu.V. و Pershin A.S. أمن الأنظمة المصرفية الإلكترونية. - م: أوروبا المتحدة ، 1994. - س 33:
من الصعب تخيل بنك حديث بدون نظام معلومات آلي. يعد اتصال أجهزة الكمبيوتر ببعضها البعض وبأجهزة كمبيوتر أكثر قوة ، وكذلك بأجهزة كمبيوتر البنوك الأخرى - شرطًا ضروريًا أيضًا للتشغيل الناجح للبنك - عدد العمليات التي يجب إجراؤها في فترة زمنية قصيرة هو كبير جدا.
في الوقت نفسه ، أصبحت أنظمة المعلومات أحد الجوانب الأكثر ضعفًا في أي بنك حديث ، حيث تجتذب المتسللين ، سواء من موظفي البنك أو من الخارج. تختلف تقديرات الخسائر من الجرائم المتعلقة بالتدخل في أنشطة نظام معلومات البنوك بشكل كبير. هناك مجموعة متنوعة من الطرق لحسابهم. يبلغ متوسط سرقة البنوك الإلكترونية حوالي 9000 دولار ، وتتضمن إحدى أكثر الفضائح شهرةً محاولة سرقة 700 مليون دولار (First National Bank ، شيكاغو).
علاوة على ذلك ، من الضروري مراعاة ليس فقط مقدار الضرر المباشر ، ولكن أيضًا الإجراءات الباهظة الثمن التي يتم تنفيذها بعد محاولات ناجحة لاختراق أنظمة الكمبيوتر. لذلك ، فإن أحد الأمثلة الأكثر لفتًا للانتباه هو فقدان البيانات المتعلقة بالعمل مع الحسابات السرية لبنك إنجلترا في يناير 1999. وأجبرت هذه الخسارة البنك على تغيير رموز جميع حسابات المراسلين. في هذا الصدد ، تم تنبيه جميع قوات الاستخبارات ومكافحة التجسس المتاحة في المملكة المتحدة من أجل منع التسرب المحتمل للمعلومات التي يمكن أن تسبب أضرارًا جسيمة. اتخذت الحكومة إجراءات متطرفة حتى لا يعلم الغرباء بالحسابات والعناوين التي يرسل إليها بنك إنجلترا مئات المليارات من الدولارات يوميًا. علاوة على ذلك ، كانوا في المملكة المتحدة أكثر خوفًا من الموقف الذي يمكن أن تكون فيه البيانات تحت تصرف أجهزة المخابرات الأجنبية. في هذه الحالة ، سيتم فتح شبكة المراسلين الماليين الكاملة لبنك إنجلترا. تم القضاء على احتمال الضرر في غضون أسابيع قليلة.
Adzhiev V. أساطير حول أمان البرامج: دروس من الكوارث الشهيرة // Open Systems.-1999. - №6. - ج 21-24
تعتمد الخدمات التي تقدمها البنوك اليوم بشكل كبير على استخدام الوسائل الإلكترونية للتفاعل بين البنوك والبنوك وعملائها وشركائها التجاريين. في الوقت الحاضر ، أصبح الوصول إلى الخدمات المصرفية ممكنًا من نقاط بعيدة مختلفة ، بما في ذلك المحطات الطرفية المنزلية وأجهزة الكمبيوتر المكتبية. هذه الحقيقة تجعلنا نبتعد عن مفهوم "الأبواب المغلقة" ، الذي كان نموذجيًا للبنوك في الستينيات ، عندما تم استخدام أجهزة الكمبيوتر في معظم الحالات في وضع الدُفعات كأداة مساعدة ولم يكن لها اتصال بالعالم الخارجي.
يلعب مستوى المعدات مع أدوات التشغيل الآلي دورًا مهمًا في أنشطة البنك ، وبالتالي يؤثر بشكل مباشر على وضعه ودخله. تؤدي زيادة المنافسة بين البنوك إلى الحاجة إلى تقليل وقت التسويات وزيادة النطاق وتحسين جودة الخدمات المقدمة. كلما قل الوقت الذي تستغرقه التسويات بين البنك والعملاء ، كلما ارتفع معدل دوران البنك ، وبالتالي الربح. بالإضافة إلى ذلك ، سيتمكن البنك من الاستجابة بسرعة أكبر للتغيرات في الوضع المالي. مجموعة متنوعة من الخدمات المصرفية (أولاً وقبل كل شيء ، يشير هذا إلى إمكانية المدفوعات غير النقدية بين البنك وعملائه باستخدام البطاقات البلاستيكية) يمكن أن تزيد بشكل كبير من عدد عملائها ، وبالتالي زيادة الأرباح.
يجب أن يأخذ أمن معلومات البنك في الاعتبار العوامل المحددة التالية:
الجرائم في القطاع المصرفي لها خصائصها الخاصة Gamza V.A. ، Tkachuk I.B. ضمان بنك تجاري. - م: أوروبا المتحدة ، 2000. - 24 م:
كقاعدة عامة ، يستخدم المهاجمون عادةً حساباتهم الخاصة ، والتي يتم تحويل المبالغ المسروقة إليها. معظم المجرمين لا يعرفون كيف يغسلون الأموال المسروقة. القدرة على ارتكاب جريمة والقدرة على الحصول على المال ليسا نفس الشيء.
معظم جرائم الكمبيوتر تافهة. الضرر الناجم عنهم يقع في حدود 10000 دولار إلى 50000 دولار.
تتطلب جرائم الكمبيوتر الناجحة عادةً عددًا كبيرًا من المعاملات المصرفية (تصل إلى عدة مئات). ومع ذلك ، يمكن تحويل مبالغ كبيرة في عدد قليل من المعاملات.
معظم المتسللين كتبة. على الرغم من أن كبار موظفي البنك قد يرتكبون جرائم ويحدثوا المزيد من الضرر للبنك ، فإن مثل هذه الحالات نادرة.
جرائم الكمبيوتر ليست دائما عالية التقنية. يكفي تزوير البيانات وتغيير معلمات بيئة ASOIB وما إلى ذلك ، وهذه الإجراءات متاحة أيضًا لموظفي الصيانة.
يشرح العديد من المهاجمين أفعالهم من خلال حقيقة أنهم يقترضون فقط من البنك بعائد لاحق. ومع ذلك ، "العودة" ، كقاعدة عامة ، لا يحدث.
ترجع تفاصيل حماية أنظمة معالجة المعلومات الآلية للبنوك إلى خصائص المهام التي تحلها:
كقاعدة عامة ، يعالج ASOIB تدفقًا كبيرًا من الطلبات التي تصل باستمرار في الوقت الفعلي ، وكل منها لا يتطلب العديد من الموارد للمعالجة ، ولكن لا يمكن معالجتها معًا إلا من خلال نظام عالي الأداء ؛
يقوم ASOIB بتخزين ومعالجة المعلومات السرية غير المخصصة لعامة الناس. يمكن أن يؤدي تزويرها أو تسريبها إلى عواقب وخيمة (للبنك أو لعملائه). لذلك ، فإن ASOIB محكوم عليها أن تظل مغلقة نسبيًا ، وتعمل تحت سيطرة برامج معينة وتولي اهتمامًا كبيرًا لضمان أمنها ؛
ميزة أخرى لـ ASOIB هي المتطلبات المتزايدة لموثوقية البرامج والأجهزة. ولهذا السبب ، تنجذب العديد من ASOIBs الحديثة نحو ما يسمى بهندسة الكمبيوتر المتسامحة مع الأخطاء ، والتي تسمح بالمعالجة المستمرة للمعلومات حتى في مواجهة العديد من حالات الفشل والفشل.
يرتبط استخدام ASOI من قبل البنوك بخصائص حماية هذه الأنظمة ، لذلك يجب على البنوك إيلاء المزيد من الاهتمام لحماية أنظمتها الآلية.
استنتاجات بشأن الفصل الأول:
هذا المقال مخصص لضمان أمن المعلومات في المؤسسات المصرفية بناءً على المتطلبات التنظيمية المحلية لمعايير الصناعة لبنك روسيا STO BR IBBS-1.0-2014. بعض جوانب الحماية في الأنظمة المصرفية الآلية (ABS) ، وقضايا حماية البيانات الشخصية في القطاع المصرفي ، والتدقيق الداخلي والتقييم الذاتي للامتثال لمتطلبات أمن المعلومات ، بالإضافة إلى بعض الميزات ومجالات المشاكل المتعلقة بخصائص أمن المعلومات في البنوك.
ولا يخفى على أحد أن البنوك هي حجر الزاوية في النظام الائتماني والمالي للدولة وأهم مؤسسة مالية في المجتمع الحديث. في هذا الصدد ، لديهم متطلبات خاصة لضمان أمن المعلومات. حتى ظهور معايير أمن المعلومات الصناعية المحلية STO BR IBBS ، كانت البنوك تدير الأمن بناءً على أحكام المستندات التنظيمية الداخلية. ولكن حتى بعد اعتماد هذه الوثائق ، لا يزال هناك العديد من الأسئلة التي تحتاج إلى معالجة. تتعلق بعض القضايا التي نوقشت في المقالة بحل "الاختناقات" في نظام IS للبنوك وتكييف السياسة الأمنية مع المتطلبات الجديدة ، مع الأخذ في الاعتبار "الأمتعة" الموجودة بالفعل في مجال أمن المعلومات.
في روسيا ، حتى منتصف العقد الأول من القرن الحادي والعشرين ، كانت الكلمة "الأمان"يرتبط في الغالب بالإدارة "مخاطر البنك"، بمعنى آخر. السيطرة على المواقف التي قد تؤدي إلى تكبد مؤسسة الائتمان خسائر و / أو تدهور السيولة بسبب الأحداث المعاكسة. فئات مثل "أمن المعلومات"أو "حماية المعلومات"في الأساس لم يكن موجودًا. فقط القانون الاتحادي "بشأن البنوك" بتاريخ 02/12/1990 N 395-1 FZ في المادة 26 من السرية المصرفية أعطى حقًا وفرصة محدودة لحماية المعلومات السرية في القطاع المصرفي. بعد أكثر من عقد ، نشر اليمينيون المحليون القانون الاتحادي "بشأن الأسرار التجارية" 07/29/2004 N 98-FZ ، والذي يسمح أخيرًا بالإعلان الكامل عن نوع جديد من النشاط وفئة منفصلة من القضايا مثل "المعلومات أمن البنوك ".
في نفس السنوات ، كانت هناك اتجاهات في المجتمع المصرفي المحلي لاعتماد المعايير المصرفية الدولية ، ولا سيما معيار بازل الثاني. في تفسيره ، اعتبر هذا المعيار أمن المعلومات كمخاطر تشغيلية ، وبشكل عام ، التدابير المطلوبة للتدقيق والسيطرة على مجال المعلومات ، والذي كان ابتكارًا مطلقًا للبنوك الروسية في ذلك الوقت. ومع ذلك ، لم يكن هذا كافيًا - فقد تطلب تطوير تقنيات المعلومات الحديثة والرغبة المستمرة في تقديم منتجات مصرفية جديدة إلى السوق مزيدًا من الاهتمام بهذه القضايا.
كان المعلم التطوري التالي في التطور عام 2004 بإصدار البنك المركزي لروسيا الإصدار الأول من حزمة معايير الصناعة المحلية لأمن المعلومات STO BR IBSS. اعتبر معيار البنك المركزي لأمن تكنولوجيا المعلومات هو أفضل معيار صناعي في ذلك الوقت ، لأنه يتضمن أفضل الخبرات والممارسات العالمية ، ويجمع بين الأحكام الرئيسية لمعايير إدارة أمن تكنولوجيا المعلومات (ISO 17799 ، 13335) ، وينظم وصف عمر البرنامج. دورة ومعايير تقييم أمن تكنولوجيا المعلومات (GOST R ISO / IEC 15408-1-2-3). تعكس الوثيقة أيضًا التكنولوجيا لتقييم التهديدات ونقاط الضعف ، وبعض أحكام المنهجية البريطانية لتقييم مخاطر المعلومات CRAMM (انظر الشكل 1).
الشكل 1. الترابط بين المتطلبات والمعايير المختلفة في مجال تكنولوجيا المعلومات والأمن والإدارة
من بين الأحكام الرئيسية لمعيار البنك المركزي ، كان من الممكن ملاحظة التوجه نحو حل مشكلة المطلعين. للقيام بذلك ، يعزز بنك روسيا سيطرته على تداول المعلومات السرية داخل بيئة الشركة. يتم إيلاء اهتمام كبير للتهديدات الخارجية: تتطلب أحكام المعيار أن تتمتع البنوك بحماية ضد الفيروسات مع قواعد بيانات محدثة بانتظام ، وأدوات تصفية البريد العشوائي ، والتحكم في الوصول ، وتنظيم إجراءات التدقيق الداخلي ، واستخدام التشفير للحماية من الوصول غير المصرح به ، وما إلى ذلك.
على الرغم من كل هذه المزايا الواضحة ، كان المعيار استشاريًا بطبيعته - لا يمكن تطبيق أحكامه من قبل البنوك المحلية إلا على أساس طوعي. ومع ذلك ، وفقًا لنتائج دراسة المستجيبين المقدمة في المؤتمر الثالث بين البنوك ، كان هناك اتجاه واضح نحو اعتماد هذه الوثائق كأساس إلزامي للبنوك الروسية.
بالتوازي مع تطوير المعايير المصرفية في روسيا في منتصف العقد الأول من القرن الحادي والعشرين ، كانت عملية تشكيل التشريعات المحلية في مجال أمن المعلومات جارية. كانت النقطة الأساسية هي تحديث القانون الفيدرالي "بشأن المعلومات وتكنولوجيا المعلومات وحماية المعلومات" بتاريخ 27 يوليو 2006 N 149-FZ ، والذي يقدم تعريفات جديدة ذات صلة للمعلومات وتكنولوجيا المعلومات والعمليات ، مع عنوان منفصل "حماية المعلومات ". بعده ، تم تمييز فئة منفصلة في ممارسة حماية المعلومات بإصدار قانون "البيانات الشخصية" بتاريخ 27 يوليو 2006 N 152-FZ.
مع الأخذ في الاعتبار كل هذه الابتكارات والواقع المتغير للمجتمع ، تم أيضًا نشر إصدارات جديدة من STO BR IBBS. لذلك ، في الإصدار الثالث من المعيار من عام 2008 ، تمت مراجعة حزمة الوثائق بشكل كبير ، وتم تقديم مصطلحات ومفاهيم جديدة ، وتم توضيح وتفصيل بعض متطلبات الأمان ؛ المتطلبات المحدثة لنظام إدارة أمن المعلومات. اكتسب المعيار أيضًا نموذجًا خاصًا به من التهديدات والمخالفين لأمن المعلومات لمنظمات RF BS. تم إدخال كتل جديدة لمتطلبات أمن المعلومات في الأنظمة المصرفية الآلية ، وتم تنظيم عملية الدفع المصرفي وعمليات تكنولوجيا المعلومات ، وقيل بشكل منفصل عن استخدام أدوات حماية المعلومات المشفرة.
على خلفية الأحداث العالمية الأخيرة في عام 2014 والعقوبات الاقتصادية التي فرضتها الدول الغربية على روسيا ، كان هناك اتجاه واضح نحو تطوير نظام بطاقات الدفع الوطني والانتقال إليه. وهذا ، بالتالي ، يفرض متطلبات إضافية على موثوقية وأمن هذه الأنظمة ، مما يستلزم زيادة في أهمية معايير أمن المعلومات المحلية.
كانت نتيجة كل هذه الأحداث إعادة إصدار آخر للمعيار. وفي يونيو 2014 ، دخل الإصدار الخامس المحدث ، والأخير حتى الآن ، من STO BR IBBS - 2014 حيز التنفيذ. في الإصدار الجديد ، تم تصحيح عيوب الإصدارات السابقة ، وهو أمر مهم للغاية ، حيث تم مواءمة متطلبات وتوصيات STO مع 382-P الموصوفة أعلاه. لذلك ، على سبيل المثال ، تم توضيح قائمة العمليات التي تتطلب التسجيل في RBS ، وتم توسيع قائمة المعلومات المحمية بناءً على P-382 ، وجدول المطابقة بين مؤشرات التقييم الخاصة من STO والمؤشرات من الإصدار الحالي من 382 تم توفير -P.
وتمثل الإنجاز المهم بنفس القدر في القاعدة المحدثة للمتطلبات التنظيمية ، مع مراعاة أحدث التغييرات في التشريع في مجال حماية البيانات الشخصية ، وهي الروابط التي أضيفت إلى المرسوم الحكومي رقم 1119 وأمر FSTEC لروسيا رقم 21.
كل هذا شكل منصة منهجية وتنظيمية واحدة لضمان أمن المعلومات الشامل ، مع مراعاة المواصفات المصرفية. عزلت حزمة المستندات STO BR IBBS البنوك الروسية من خلال بناء نظام أمان فيها من وجهة نظر الصناعة ، ولكنها في الوقت نفسه استوعبت أفضل الممارسات العالمية وخبرة الزملاء الأجانب في ضمان أمن المعلومات.
في الوقت الحالي ، بأمر من بنك روسيا ، تتكون حزمة مستندات STO BR IBBS من الأجزاء التالية:
بالإضافة إلى ذلك ، قام بنك روسيا بتطوير وتقديم التوصيات التالية في مجال توحيد معايير IS:
الوثائق الثلاثة الأولى إلزامية لجميع البنوك التي اعتمدت هذا المعيار كسياسة أساسية. وثيقة "الأحكام العامة"هي الأساس لتشكيل جميع التدابير لحماية المعلومات. الهيكل كله مقسم إلى كتل منفصلة. يصفون بالتفصيل متطلبات ضمان الأمن ، ويقدمون قوائم محددة لتدابير الحماية لكتلة معينة. (انظر الجدول 1)
الجدول 1. متطلبات أمن المعلومات
| - عند تعيين الأدوار وتوزيعها وضمان الثقة في الموظفين ؛ |
| - في الأنظمة المصرفية الآلية (ABS) في مراحل دورة الحياة ؛ |
| - عند إدارة الوصول وتسجيل المستخدمين ؛ |
| - لوسائل الحماية من الفيروسات ؛ |
| - عند استخدام موارد الإنترنت ؛ |
| - عند استخدام وسائل حماية المعلومات المشفرة ؛ |
| - في العمليات التكنولوجية للدفع المصرفي ؛ |
| - في معالجة البيانات الشخصية ؛ |
| - ترد متطلبات نظام إدارة أمن المعلومات كعنوان منفصل. |
وثيقة "تدقيق أمن المعلومات"الأصغر على الإطلاق ، يشير إلى الحاجة إلى تدقيق نظام أمن المعلومات ، ويعطي أيضًا إشارة إلى التقييم الذاتي السنوي وفقًا لمتطلبات المعيار. تُستخدم بيانات التقييم الذاتي النهائي كأساس لكل من نموذج الإبلاغ في حالة التحقق من قبل البنك المركزي ، وللاستنتاج أن مستوى أمان نظام أمن معلومات البنك يتوافق مع مخاطر وتهديدات نظم المعلومات المحددة.
والوثيقة الأخيرة قيد النظر "منهجية لتقييم الامتثال لمتطلبات أمن المعلومات"- هذه مجموعة من طرق التقييم والجداول مع الحقول المقابلة لملءها. يعطي كل حدث وقياس حماية وزناً معيناً في التقييم يسمى مؤشر المجموعة. بناءً على نتائج مؤشرات المجموعة ، تم إنشاء مخطط دائري للامتثال لمتطلبات STO BR IBBS (انظر الشكل 2). تقع جميع قيم مؤشرات المجموعة في النطاق من 0 قبل 1 ، حيث يتم تخصيص 6 مستويات أخرى من الامتثال للمعيار لتحديد النتيجة ، بدءًا من الصفر. أوصى بنك روسيا بالمستويين 4 و 5 (انظر الشكل 2). وفقًا لذلك ، كلما ارتفعت القيمة ، زاد أمان النظام. على الرسم البياني الدائري ، تظهر هذه القطاعات باللون الأخضر ، بينما يمثل اللون الأحمر مؤشرًا على المستوى الحرج.
الشكل 2. مخطط دائري للامتثال لمتطلبات STO BR IBBS
ما الذي يمكن إضافته أيضًا - يتم إيلاء الكثير من الاهتمام لعمليات إدارة نظام أمن المعلومات ، على وجه الخصوص ، يمكننا تسليط الضوء دورة ديمنج، التي يستخدمها كبار المديرين في إدارة الجودة (الشكل 3).
الشكل 3. دورة Deming لنظام صيانة IS STO BR IBBS
في الإصدار الجديد ، قام بنك روسيا بتحديث منهجية تقييم الامتثال لأمن المعلومات. التغييرات الرئيسية أثرت على نهج التقييم:
وتجدر الإشارة إلى حقيقة أنه قد تم إيلاء المزيد من الاهتمام لتوثيق الإجراءات الأمنية في الوثائق التنظيمية الداخلية للبنوك. وبالتالي ، حتى لو لم يتم تنفيذ الإجراء فعليًا ، ولكن تم توفيره وتوثيقه ، فإن هذا يحسن نتيجة التدقيق الداخلي.
مقارنة بالإصدار السابق ، زاد عدد المؤشرات الخاصة ، كما تغيرت قيم ترجيح التقييمات (انظر الشكل 4).
الشكل 4. التغييرات في الإصدار السابق والحالي من STO BR IBBS (وفقًا لـ InfoConstal Management ، www.km-ltd.com ، 2014)
يجب أن يقال عن إضافة أخرى مهمة فيما يتعلق بآليات الحماية المضمنة في ABS - أصدر بنك روسيا توصيات "ضمان أمن المعلومات في مراحل دورة حياة الأنظمة المصرفية الآلية" (RS BR IBBS-2.6-2014 ) ". يكمن جوهرها في حقيقة أنه يمكن للبنوك الآن ، بالإشارة إلى هذه الوثيقة ، تحديد متطلبات للمطورين لوظائف البرنامج من حيث آليات الحماية. يجب ألا ننسى أن هذه توصيات وليست متطلبات ، ولا يستطيع بنك روسيا نفسه فرض أي شيء ، ومع ذلك ، فإنه يسمح ببث هذه التوصيات نيابة عن المجتمع المصرفي ، وهذا بالفعل تغيير نحو الأفضل.
قبل إصدار الإصدار الخامس من STO BR IBBS-2014 ، كانت حماية البيانات الشخصية في البنوك تستند إلى وثيقتين: BR IBBS-2.3-2010. "متطلبات ضمان أمن البيانات الشخصية في أنظمة المعلومات الخاصة بالبيانات الشخصية لمؤسسات النظام المصرفي للاتحاد الروسي" و RS BR IBBS-2.4-2010. "نموذج خاص بالصناعة للتهديدات التي يتعرض لها أمن البيانات الشخصية أثناء معالجتها في أنظمة معلومات البيانات الشخصية لمنظمات النظام المصرفي للاتحاد الروسي."
من الناحية العملية ، بدا الأمر على النحو التالي: لقد اتخذنا نموذج تهديد القطاع الخاص الذي اقترحه البنك المركزي دون تغيير ، وحددنا متطلبات حماية كل ISPD بناءً على التوصيات المنهجية ، بناءً على كمية وقائمة البيانات المعالجة ، ثم قمنا ببناء قائمة التدابير اللازمة بناءً عليها.
كان الصداع الرئيسي للمتخصصين حتى اليوم هو أن هذه المتطلبات كانت سارية حتى الإصدار التالي من STO BR IBBS - 2014 ، على الرغم من أنه في ذلك الوقت كانت حماية البيانات الشخصية مُصممة بالفعل وفقًا لـ PP-1119 وأمر FSTEC رقم 21. نظرًا لحقيقة أن البنوك يجب أن تمتثل لحزمة STO BR IBBS المعتمدة ، فإن العديد منها لم يستخدم طرقًا حديثة ، ونتيجة لذلك ، لم تتوافق مع الحقائق الأمنية الجديدة.
مع إصدار هاتين الوثيقتين التنظيميتين المذكورتين ، تغير الوضع للأفضل - تم إلغاء بعض متطلبات الترخيص الصارمة ، وتم تبسيط إجراءات تصنيف ISPD ، وتم منح مشغل PD المزيد من الحقوق لاختيار تدابير الحماية. يتم تحديد متطلبات حماية ISPD من خلال جدول المراسلات بين "مستوى الأمن" والإجراءات الأمنية المطبقة عليهم ، والتي تم تقديم تفاصيلها بواسطة أمر FSTEC رقم 21. وهذا جعل من الممكن تسوية الاختلافات في طرق حماية PD في معيار الصناعة للبنك المركزي والتشريعات الروسية العامة.
في المعيار المحدث ، ظهر مصطلح جديد "مورد PD" ، والذي تم تشكيل متطلبات توثيق الإجراءات الفردية المتعلقة بمعالجة البيانات الشخصية (القسم 7.10). يتم النظر في القضايا المتعلقة بتدمير البيانات الشخصية بشكل منفصل: يتم منح المنظمات الفرصة لتدمير PD ليس على الفور ، ولكن على أساس دوري ، ولكن مرة واحدة على الأقل كل ستة أشهر.
قدمت Roskomnadzor بشكل منفصل توضيحات بشأن البيانات الشخصية البيومترية ، على سبيل المثال ، صور الموظفين ، إذا تم استخدامها لغرض تنفيذ نظام التحكم في الوصول أو تم نشرها على موقع الشركة كمعلومات متاحة للجمهور حول الإدارة ، فلا تخضع لنظام خاص متطلبات الحماية.
البنوك التي استوفت سابقًا متطلبات حماية PD وفقًا للمعيار القديم ، من أجل الامتثال للمتطلبات الجديدة ، تحتاج إلى تعديل وثائقها التنظيمية الداخلية ، وإعادة تصنيف وإعادة توجيه ISPD ، ووفقًا لمستوى الأمان ، تحديد قائمة جديدة من تدابير الحماية. أود أن أشير إلى أن البنوك تتمتع الآن بمزيد من الحرية في اختيار وسائل وأساليب الحماية ، ومع ذلك ، فإن استخدام أدوات أمن المعلومات المصنفة بواسطة FSTEC لا يزال إلزاميًا.
أصبح نظام الدفع الوطني (NPS) ، في ضوء الأحداث الأخيرة ، مجالًا ذا أولوية متزايدة في السياسة المحلية للدولة. وقع الرئيس الروسي فلاديمير بوتين قانونًا بشأن إنشاء نظام بطاقات الدفع الوطني (NSPK) في روسيا وضمان التشغيل السلس لأنظمة الدفع الدولية. تم إنشاء مشغل NSPK في شكل OJSC ، 100٪ من أصوله مملوكة لبنك روسيا. الهدف من المشروع هو إغلاق عملية إجراء تحويلات الأموال داخل روسيا من حيث البنية التحتية والمعلومات ، لتأمين المراكز التشغيلية ومراكز مقاصة الدفع على المستوى الإقليمي داخل البلاد.
في الواقع ، قبل تمرير القانون ، كان من الممكن أن تظهر الأموال من "العدم" وتختفي إلى "اللامكان". مع صدور القانون ، يتغير الوضع ، حيث تتيح NPS إمكانية تتبع جميع المعاملات النقدية ، بما في ذلك تمويل المعاملات المشبوهة والمعاملات الاحتيالية التي قد تهدد أمن المواطنين أو الدولة ككل. بالإضافة إلى ذلك ، فإن الابتعاد عن النقد ، وفقًا للحكومة ، هو خطوة أخرى في مكافحة الرشوة.
لضمان أمن NPS ، تم إصدار مجموعة كاملة من اللوائح ، بما في ذلك اللائحة الأساسية لحماية المعلومات في نظام الدفع "بتاريخ 06/13/2012 رقم 584. ولكن إلى حد كبير ، فإن اللائحة المتعلقة بمتطلبات ضمان حماية المعلومات عند إجراء تحويلات الأموال الصادرة عن الإدارة المسؤولة في بنك روسيا تتماشى بشكل أكبر ... "بتاريخ 09.06.2012 N 382-P)
مع تحديث P-382 ، تحولت اتجاهات الحماية الآن إلى الجانب:
يتطور وضع مماثل مع استخدام البطاقات البلاستيكية. في المجتمع العالمي ، يعتبر معيار أمان بيانات صناعة بطاقات الدفع (PCI DSS) ، الذي تم تطويره بواسطة PCI SSC ، معيار أمان معترف به. وهي تشمل علامات تجارية للبطاقات مثل Visa و MasterCard و American Express و JCB و Discovery.
يصف معيار PCI DSS متطلبات حماية بيانات حامل البطاقة ، مجمعة في اثني عشر قسمًا موضوعيًا. ينصب التركيز الرئيسي في معيار PCI DSS على ضمان أمان البنية التحتية للشبكة وحماية البيانات المخزنة حول حاملي بطاقات الدفع ، كأكثر الأماكن ضعفًا من حيث تهديدات الخصوصية. وتجدر الإشارة أيضًا إلى أن المعيار ينظم قواعد التطوير الآمن ودعم وتشغيل أنظمة الدفع ، بما في ذلك إجراءات مراقبتها. يعين المعيار دورًا مهمًا بنفس القدر لتطوير ودعم قاعدة الوثائق التنظيمية لنظام إدارة أمن المعلومات.
تُلزم أنظمة الدفع الدولية المنظمات التي تخضع لمتطلبات المعيار بالخضوع للتحقق المنتظم من الامتثال لهذه المتطلبات ، والتي قد تؤثر ، عاجلاً أو آجلاً ، على NSPK. ومع ذلك ، فإن اعتماد البنوك الروسية وفقًا لمعيار PCI DSS الأجنبي كان بطيئًا نوعًا ما ، ولا يوجد نظير محلي حتى الآن.
ومع ذلك ، من خلال تلبية متطلبات P-382 والإصدار الأخير من STO BR IBBS-2014 ، يمكنك الاستعداد بشكل كبير للحصول على شهادة PCI DSS ، لأن العديد من أحكامها تتقاطع مع متطلبات المستند المحلي: الحماية من الفيروسات ، والتشفير ، التصفية باستخدام جدران الحماية ، والوصول التمايز ، وتتبع جلسات الاتصال ، وكذلك مراقبة وتدقيق وإدارة نظام أمن المعلومات (انظر الشكل 5).
الشكل 5. مقارنة بين فئات المعلومات المحمية بمعايير مختلفة (وفقًا لمركز أورال لأنظمة الأمن ، www.usssc.ru ، 2014)
على عكس جميع المعايير الأجنبية ، يهدف المعيار 382-P الروسي إلى تحفيز المطورين والمصنعين المحليين لأدوات أمن المعلومات (IPS) ، على سبيل المثال ، إلزام كيانات NPS بضمان استخدام IPS غير المشفر من الوصول غير المصرح به ، بما في ذلك تلك التي اجتازت إجراء تقييم المطابقة بالطريقة المحددة. في الوقت نفسه ، يُسمح صراحة بتطبيق قرارات الإنتاج الأجنبي.
علاوة على ذلك ، يعزز بنك روسيا سيطرته على الامتثال للقواعد المعمول بها. في وثيقته ، التوجيه رقم 2831-U بتاريخ 09.06.2012 "بشأن الإبلاغ عن ضمان حماية المعلومات في أنظمة الدفع ..." يشير بوضوح إلى الشكل والوتيرة التي يجب على موضوعات أنظمة الدفع الإبلاغ عنها عن حالة أمن المعلومات في أنظمة الدفع.
على الرغم من الشعبية والتوزيع الواسع لـ PCI DSS ، هناك معايير أمان دولية أخرى لأنظمة الحالة ، والتي أود أيضًا أن أتحدث عنها قليلاً. أحدها هو معيار أمان بيانات تطبيقات الدفع ببطاقات الدفع (PCI PA-DSS) ، والذي يحدد متطلبات التطبيقات التي تعالج بيانات حامل البطاقة وعملية تطويرها. والثاني - أمان معاملات PIN الخاص بصناعة بطاقات الدفع (PCI PTS) ، المعروف سابقًا باسم PCI PED ، يتعلق بالمصنعين الذين يضعون وينفذون المعلمات التقنية ونظام التحكم للأجهزة التي تدعم مجموعة رموز PIN وتستخدم لإجراء معاملات الدفع بالبطاقة.
يعد STO BR IBBS معلمًا مهمًا للغاية في التطور التطوري لنظام أمن المعلومات المحلي. هذا هو أحد معايير الصناعة الأولى التي تم تكييفها مع الواقع الروسي. بالطبع ، هذا ليس الدواء الشافي لجميع العلل ، لا يزال هناك العديد من المشاكل التي يعاني منها الخبراء ، ولكن هذه هي التجربة الأولى والناجحة للغاية التي تقربنا من معايير أفضل الممارسات الأجنبية.
من خلال استيفاء متطلبات المعيار ، تعد العديد من البنوك نفسها للحصول على شهادة أمان PCI DSS الدولية. ضمان حماية البيانات الشخصية وفق أحدث متطلبات الجهات الرقابية. يسمح لك التدقيق الداخلي السنوي المستمر بالتحقق بشكل موضوعي من أمن البنوك ضد المخاطر والتهديدات الكبيرة لأمن المعلومات ، ويخطط المديرون بشكل أكثر فاعلية لبناء وإدارة نظام حماية شامل.
ونأمل أن يتم تصحيح العيوب الموجودة والأخطاء الواضحة في الإصدارات القادمة ، والتي لم يعد إصدارها بعيد المنال. بالفعل في ربيع عام 2015 ، ينتظرنا الطراز P-382 المحدث ، وقد يتبع ذلك تغييرات في مجمع IBBS BR. في غضون ذلك ، نحن راضون عن إصدار أكتوبر "معيار المعاملات المالية" TK 122 ولا تنسوا أنه بغض النظر عن مدى جودة جميع جهود السلطات العليا ، فإن أمننا لا يزال في أيدينا فقط!
إذا قدمت أمانًا تقنيًا بنسبة 100٪ للأعمال التجارية ، فلن تتمكن ببساطة من تحقيق ربح. إذا لم تضع أي قيود وقائية عند إجراء المعاملات أو بيع المنتجات المصرفية ، فإن المحتالين ، على الأرجح ، لن يتركوا حجرًا دون قلب ". في هذا السياق ، جرت محادثتنا مع Vasily Okulesky ، دكتوراه ، رئيس قسم أمن المعلومات في إدارة الأمن في بنك موسكو.
JI: فاسيلي أندريفيتش ، ما هو تقييمك للوضع الحالي مع الاحتيال في القطاع المصرفي؟
في.:الآن نشهد زيادة بنسبة 30 إلى 50٪ في أنواع مختلفة من الاحتيال مقارنة بالعام الماضي. لقد تغير هيكلها الخاص أيضًا: أولاً وقبل كل شيء ، هناك عودة حادة للاحتيال على أجهزة الصراف الآلي.
على مدار العام الماضي ، نمت شبكة أجهزة الصراف الآلي الإجمالية للبنوك الروسية بنسبة 40٪ ، وأصبح هذا العامل التقني البحت سببًا أساسيًا لزيادة الجريمة. كما تغيرت أساليب مهاجمة أجهزة الصراف الآلي. ظهرت ما يسمى بـ "المتفجرات" ، وتتميز بسرعة "العمل" العالية - تستغرق عملية السرقة بأكملها أقل من دقيقة. عادت أدوات هجوم البرامج التي كانت في ذروة شعبيتها في عام 2009. علاوة على ذلك ، يتم ملاحظة طرق جديدة بشكل أساسي: يتم مهاجمة أجهزة الصراف الآلي عن بُعد ، أو إثارة إعادة التشغيل ، أو الانتقال مباشرة إلى أجهزة التنفيذ - إلى نفس المودع. إن مقدار الضرر الناجم عن مثل هذه الإجراءات يتجاوز بشكل كبير الخسائر من أنواع الاحتيال الأخرى في أجهزة الصراف الآلي.
في القطاع المصرفي الروسي ، هناك اتجاه ثابت نحو تطوير وظائف الخدمات المصرفية عبر الإنترنت للأفراد والكيانات القانونية. يحب المحتالون أيضًا الوظيفة الجديدة ، في المقام الأول من حيث احتمال فتح الفرص لسرقة الأموال. وفقًا لذلك ، لا يسع البنوك إلا الاستثمار في تحسين أمان خدمات الإنترنت الخاصة بهم. ألاحظ أنه من بين جميع البنوك الروسية ، فإن Tinkoff Bank فقط هو الذي يستثمر في أمن المعلومات الخاص به "تمامًا مثل هذا" - فهذه هي الطريقة الوحيدة لضمان أمن الأعمال.
الاتجاه السائد في الأشهر القليلة الماضية هو الهجمات على أنظمة المعلومات في البنوك. يهاجمون مباشرة وسائل إدارة حسابات المراسلين - وهذا يسمح للمحتالين بسحب مبالغ ضخمة من المال دفعة واحدة. تتطلب مثل هذه العمليات مؤهلات عالية وتدريبًا جادًا من المهاجمين.
يانسبيرجي: أي أن الهدف من الهجمات غالبًا ليس العميل ، ولكن البنك نفسه؟
في.:نعم ، هذا يرجع إلى عدة عوامل. أولاً ، بذلت البنوك الكثير من الجهد لحماية عملائها ، وقد نجح ذلك حقًا. ثانيًا ، أصبح العملاء أكثر تقدمًا في قضايا أمن المعلومات. الآن الصياغة "اشتريت برنامج مكافحة فيروسات ، وقمت بتثبيته على جهاز الكمبيوتر الخاص بي ، ولكنه لا يعمل لسبب ما" أقل شيوعًا. يعرف العملاء بالفعل ما وكيفية التثبيت والتحديث والعواقب القانونية لاستخدام البرامج المرخصة وغير المرخصة وما إلى ذلك. أصبح الناس أكثر استعدادًا ، وأصبح من الصعب مهاجمتهم ، كل هذا يجبر المحتالين على "التحول" إلى البنوك.
ألاحظ أن بنية مثل هذه الهجمات ووسائلها تختلف اختلافًا جوهريًا. لذلك ، من الضروري مراجعة نموذج تشكيل نظم المعلومات المصرفية. يجب أن يشارك حراس الأمن في العمل في المراحل الأولى من دورة حياة النظام ، وليس في مرحلة التكليف. وهذا يعني أنه من الضروري مراعاة جميع قضايا أمن المعلومات أثناء التطوير.
علاوة على ذلك ، يجب أن يتغير فهم أمن المعلومات. إن أمن المعلومات ليس عملية منفصلة "نضع حلاً ، كل شيء يعمل بشكل مريح" ، ولكنه نشاط مستمر ، وطريقة خاصة في تفكير الأشخاص الذين يطورون أنظمة ، ويعملون بوثائق سرية ، وما إلى ذلك.
J.I: ما الذي يجب أن تكون عليه هذه العقلية بالضبط؟
في.:سأقدم أبسط مثال فيما يتعلق بالمكونات الثلاثة الرئيسية لأمن المعلومات - السرية والسلامة وتوافر البيانات. هناك مفارقة منطقية مثيرة للاهتمام فيما يتعلق بهذا الثالوث: إذا كان المفهوم للوهلة الأولى يبدو بسيطًا وواضحًا ، فإن تنفيذه عمليًا مستحيل عمليًا. ما هي النزاهة؟ سؤال بسيط. ولكن عند التوقيع على مستند بتوقيع إلكتروني ، فإن المطلب الرئيسي هو أنه يجب أن تكون متأكدًا مما تقوم بالتوقيع عليه. وهذا يعني أنه يجب ضمان سلامة كائن التوقيع الأصلي وما تراه على الشاشة. إلى أي مدى يتوافق المستند الإلكتروني في قاعدة البيانات مع المستند الأصلي الورقي؟ ما مدى شرعية النسخ الإلكترونية الموقعة على الورق؟ أي شخص لديه فكرة عن ماهية Windows يفهم أن المطلب أعلاه ، من حيث المبدأ ، غير ممكن. أو تحتاج إلى التخلي عن نظام التشغيل الشهير وتكنولوجيا تعدد المهام ، وابتكار طريقة لتصور المستندات الإلكترونية التي تضمن النزاهة في جميع مراحل تحولها.
السؤال ليس بهذه البساطة ، فهو يعتمد على الوسائل التقنية ، تكنولوجيا العمل. إذا لم نحلها على مستوى البيان الأولي للمشكلة ، فعندئذ لا يمكننا ببساطة فهم ما يجب علينا حمايته بالضبط ، وما هو هدف أمن المعلومات بالنسبة لنا. ليست حقيقة أن الوثيقة التي نحميها في الواقع تتوافق مع ما كان في المدخلات وكانت خاضعة للحماية حقًا.
J.I: ما هو نوع الاحتيال الأكثر خطورة في الوقت الحالي؟
تعليق صوتي: الآن ، تمامًا مثل السنوات القليلة الماضية ، أصبحت عمليات الاحتيال الداخلي في متناول اليد. لا يمكن حظرها بواسطة أنظمة التدابير المضادة. إذا اتفق الموظفون فيما بينهم ، فلن يساعدك أي شيء تقريبًا. من الصعب للغاية تحديد المطلعين ، وعواقب هذا التواطؤ أكبر بكثير من الضرر الناجم عن أي نوع آخر من الاحتيال.
JI: ما هي الأساليب الرئيسية لضمان أمن المعلومات في البنك الذي تتعامل معه؟
في.:نحن نعزز بشكل منهجي أمن خدماتنا. لكن تركيز الاهتمام فيما يتعلق بضمان أمن المعلومات قد تحول. إذا قمنا في وقت سابق بحماية العميل من التهديدات المتكررة - التصيد الاحتيالي ، وإمكانية استبدال تفاصيله ، وكفلنا حماية أدوات المصادقة ، فنحن الآن نعتقد بشكل مسبق أن العميل مندهش دائمًا. 80٪ من العملاء يستخدمون الخدمات المصرفية في البداية تحت سيطرة المحتالين. لذلك ، يجب تغيير نموذج الحماية. نفترض أن المحيط محمي بشكل كافٍ بالفعل ، لذلك نوجه انتباهنا إلى المعاملات. في الواقع ، أحد أكثر الاتجاهات الحديثة فعالية هو تحليل المعاملات.
JI: ربما ، بعد فترة زمنية معينة ، ستضطر البنوك إلى الاعتراف بأن بنيتها التحتية هي أيضًا ضعيفة بشكل مسبق وأن 80٪ يسيطر عليها المحتالون. وهذا يعني أن المخرج الوحيد هو التحكم بالفعل في المعاملات داخل البنوك باستخدام أنظمة مشابهة لحلول مراقبة معاملات العملاء.
في.:هناك بعض الحقيقة في ذلك. لن أفتح الباب أمام أمريكا إذا قلت إن أمن المعلومات يتطور في دوامة ، وكل منعطف يحدث على مستوى مختلف جوهريًا. قبل 10 سنوات ، تحدثنا عن نفس الشيء تقريبًا - تحتاج إلى حماية المحيط الخارجي للبنك. على مر السنين ، مررنا بعدة جولات لحماية العملاء وعادنا مرة أخرى إلى نقطة البداية - البنك. الآن فقط نحن نتحدث عن تغيير أيديولوجية بناء البنية التحتية للمعلومات للنظر الأولي في قضايا أمن المعلومات.
J.I: كما تعلم ، غالبًا ما يكون للأعمال موقف سلبي تجاه تطوير أمن المعلومات وتشديده. كيف يمكنك جعل البنك يتماشى مع ممارسات أمن المعلومات الحديثة؟
في.:الحافز الأكثر فعالية لتحسين مستوى أمن المعلومات في الشركة هو المشاركة الإلزامية للشركة في عملية استرداد الضرر المالي من الاحتيال. على سبيل المثال ، نحن نعمل على تطوير منتج مصرفي جديد. نظرنا إلى ثالوث البكالوريا الدولية وأصدرنا التعليقات وأغلقنا الثقوب التي رأيناها. إنه مرئي لنا ، حيث يوجد في كل تطوير عدة طبقات متصلة. نحن نقضي على نقاط الضعف في الطبقات ، لكن فريق التطوير يعرف ميزات الاتصالات بينها بشكل أفضل. في مستندات المنتج التي نعمل بها ، لم يتم وصفها. في الوقت نفسه ، غالبًا ما تكون هذه الاتصالات أهدافًا للهجوم. إذا كان المطورون غير مهتمين تمامًا ببنائها بشكل صحيح من وجهة نظر أمن المعلومات ، فبعد إصدار المنتج ، فإننا نخاطر بتجربة اهتمام متزايد من المحتالين. إذا ارتبطت الخسائر المالية بالأقساط المحددة للمطورين ووحدات الأعمال التي بدأت في ظهور المنتج ، فسوف يسعون هم أنفسهم إلى "تنظيفه" إلى أقصى حد.
إذا قمت ببناء نظام بشكل صحيح لموازنة المسؤولية المالية بين الإدارات ، فإن العمليات التجارية ذات الجودة العالية تصبح أكثر أمانًا تلقائيًا
آلية ضمان أمن المعلومات ، والتي تعمل بالفعل في مرحلة تقديم منتج في السوق ، هي وسيلة وقف خسارة معروفة. بمجرد تسجيل العديد من المعاملات الاحتيالية عليها أو تجاوز مقدار الضرر من تصرفات المتسللين القيمة المسموح بها ، يقوم البنك بإيقاف العرض. نقوم بتحليل المنتج ، وإزالة الاختناقات ، وبعد ذلك فقط نعيد تشغيله. بطبيعة الحال ، يعد الربح من الخدمات المقدمة أمرًا بالغ الأهمية لأي عمل تجاري ، لذلك فهو مهتم بدلاً من ذلك بزيادة العدد المسموح به من المعاملات الاحتيالية أو مقدار الضرر. في الواقع ، هذا موضوع مساومة بين أقسام أمن المعلومات والأعمال ، مهمتنا المشتركة هي إيجاد حل وسط. لقد طورنا هذا النهج تدريجيًا. "نحن نعلم بالفعل أنه سيكون هناك وقف خسائر وحدود ، لذلك دعونا نعمل معًا" - هذا هو موقف الشركة عند تقديم منتج جديد. تعد الخدمات المصرفية عبر الهاتف المحمول مثالاً على كيفية تعامل الشركة مع قضايا أمن المعلومات بمسؤولية: في البداية ، أعلنت عن شروط أكثر صرامة لمصادقة العميل على الأجهزة المحمولة مما اقترحناه.
J.I: لنفترض أنك بحاجة إلى تقديم خدمة جديدة إلى السوق في أسرع وقت ممكن من أجل التقدم على المنافسين وعدم خسارة الأرباح المحتملة. في هذه الحالة ، هل يمكنك إلى حد ما تقليل أهمية مسألة ضمان أمن المعلومات؟
في.:على أي حال ، لا يمكننا "إغلاق أعيننا" ، فنحن نعمل بنفس الوتيرة الشديدة التي يعمل بها المطورون. نحن نحارب القشرة الواضحة على الفور ، ونقاط الضعف التي ليس لدينا وقت للعمل بعمق وتفصيل قبل أن يتم التخلص من إصدار المنتج في مرحلة وقف الخسارة.
بشكل عام ، إذا أطلقت شركة ما خدمة أمن معلومات خام في السوق ، فيجب أن تكون مستعدة لمنح المحتالين نسبة معينة من كل مليون يتم تحقيقه من خلال ذلك. يمكن أن يكون الضرر الرسمي هنا 5 و 50٪. تقع مخاطر الاحتيال في هذه الحالة على عاتق وحدة الأعمال بالكامل ، وينبغي أن ينعكس ذلك في اتفاقية العمل ذات الصلة.
كما قلت أعلاه ، فإن توزيع المسؤوليات واقعي. لنفترض أنك قمت بتثبيت ماكينة صراف آلي في مكان يحتمل أن يكون خطيرًا ، على الرغم من توصيات متخصصي أمن المعلومات بخصوص أجهزة الإنذار والمراقبة بالفيديو وما إلى ذلك. تبلغ تكلفة جهاز الصراف الآلي الحديث حوالي 30 ألف دولار. إذا قام أحد المحتالين بخرقه ، فيمكن تحميل تكلفة الإصلاح على الحساب المصرفي العام أو حساب المعالجة أو قسم البيع بالتجزئة الخاص بك. في موقف مشابه في المستقبل ، سيتم الاستماع إلى متخصصي أمن المعلومات. نتحدث مع الشركة بلغتها الخاصة - حول خسارة الأرباح ، والمخاطر ، والمسؤولية المالية ، وما إلى ذلك.
JI: منذ وقت ليس ببعيد ، أدخل بنك موسكو نظام حماية من الاحتيال في القنوات المصرفية البعيدة للكيانات القانونية. أخبرنا ما هي أهداف المشروع؟ هل تحققت؟
في.:مشروعنا فريد من نوعه إلى حد ما - لم يكن هدفنا زيادة مستوى الأمان ، ولكن تقليل تكلفة إجراء الكشف عن الاحتيال نفسه. قبل ذلك ، أكد 400 من صراف البنوك كل دفعة جديدة من خلال المكالمات - كان هناك حوالي 10 آلاف منهم في اليوم. نتيجة لذلك ، قمنا بتقليل عدد مكالمات التحكم في الأقسام الأمامية عند إجراء المدفوعات - في مناطق معينة بأكثر من 10 مرات. لقد انخفض العبء على الصرافين ، وتحولوا إلى بيع المنتجات المصرفية - وهو نشاط يدر أرباحًا مباشرة.
لقد فهمت أعمالنا أن الأمن يكلف المال من ناحية ، ومن ناحية أخرى ، سيكون المال أقل بكثير بدونه.
أدت الصياغة الصحيحة لهدف المشروع من جانبنا - "لنجعل الأمن أرخص" - إلى حقيقة أن وحدة الأعمال وافقت على تنفيذ نظام لمكافحة الاحتيال واستخدمت ميزانيتها الخاصة لهذا الغرض.
JI: الأداة التحليلية المطبقة ، في الواقع ، تتخذ القرارات من تلقاء نفسها. أين هو الخط الفاصل بين كفاية وتكرار الأتمتة؟ ما هي القرارات التي لا يمكن الوثوق بها لعقل البرنامج؟
في.:الحدود في حالة حركة مستمرة ، فهي تقع بين الترحيل التلقائي والحظر التلقائي للدفع. إذا انخفض / زاد مستوى الاحتيال ، الذي تم تحديد مستوى المخاطرة فيه في النظام ، فإننا نقوم بتعديل معايير اتخاذ القرار فيه. في الوقت نفسه ، من المستحيل أتمتة تقييم العمليات بالكامل وإعطاء العملية برمتها تحت رحمة أداة تحليلية. أي أن هناك ثقة في نظام مكافحة الاحتيال ، لكن يجب التحكم في مستواه. في بعض الأحيان ، يمكن للفرد فقط اتخاذ قرار بشأن الدفع ، وقد أكدنا ذلك مرارًا وتكرارًا. كما يقول أحد الأمثال ، السيارة "أحمق": لا يمكنها التنبؤ بكل الفروق الدقيقة. على سبيل المثال ، أدى عطل فني إلى زيادة وقت الاستجابة بين الأنظمة ، ونتيجة لذلك لم يقرر الحل الإجابة. لقد قمنا بتدريب المتخصصين على الموظفين الذين يمكنهم أحيانًا العمل بشكل أسرع من حل مكافحة الاحتيال. لذلك ، في حالتنا ، نحن نتحدث عن نظام آلي وليس نظام آلي. لذلك نحن نثق ، لكننا نتحقق.
JI: إن تطبيق وتشغيل نظام معقد للتحكم في المخاطر يتطلب الكثير من العمل بالنسبة لفريق العمل المصرفي. ما هي الكفاءات التي يجب أن يتمتع بها الموظفون لضمان تشغيل هذه الحلول؟ هل هناك نقص في هؤلاء الأفراد؟
في.:سأجيب على السؤال بسؤال: كم عدد درجات اللون الأحمر التي يمكن أن يراها الشخص العادي؟ من الصعب قول هذا. وفي عملنا ، هذا هو الشيء الأكثر أهمية - أن تكون قادرًا على تمييز أكبر عدد من "ظلال" العمليات المحفوفة بالمخاطر في النظام. يجب أن يكون الأخصائي قادرًا على تحديد علامات الاحتيال المحتمل ، بما في ذلك بمساعدة الحدس المهني. هذا يأتي فقط مع الخبرة. يعمل الأشخاص الذين لديهم أمتعة أولية مختلفة من المعرفة في منطقتنا. يتمتع البعض - خبراء تكنولوجيا المعلومات - بخلفية جيدة في تحليل النظام لكميات كبيرة من البيانات ، لكنهم لم يتعاملوا مطلقًا مع المعاملات الاحتيالية. آخرون - "أوبرا" - أكلوا الكلب عند تقييم العمليات ، فهم يفكرون من حيث عناوين IP ، والسجلات ، لكنهم في نفس الوقت لا يتخيلون مبادئ تنظيم قواعد البيانات ، فهم لا يعرفون كيفية إجراء تحليل النظام . تبادل الخبرات والعمل الجماعي المشترك لهؤلاء الخبراء يعطي تأثيرا تآزريا. من المهم للغاية أن يكون لديك رئيس مختص لوحدة مكافحة الاحتيال ، والذي سيبني العملية برمتها ويضع اللكنات بشكل صحيح. تلخيص كل ما سبق: المتخصصون المدربون والمجهزون في مجالنا هم "سلع بالقطعة".
JI: لقد تطرقت بالفعل جزئيًا إلى مسألة التفاعل بين خدمة أمن المعلومات ووحدات الأعمال. ما هي فكرتك عن الهيكل الأمثل لوظيفة مكافحة الاحتيال؟
في.:والأهم من ذلك ، يجب وصف التفاعل بين أمن المعلومات والأعمال في شكل عملية تجارية. علاوة على ذلك ، يجب على جميع المشاركين أن يفهموا بوضوح ما يجب القيام به في حالة وقوع حادث - لتخيل بالتفصيل إجراءات الاستجابة. للقيام بذلك ، لدى بنك موسكو لائحة بشأن إجراءات التفاعل. عند وصف عملية تجارية ، من الضروري فصل المناطق والقياس (من الممكن أن المادة) لمسؤولية كل مجموعة من المشاركين. أتذكر فيلم ليونيد فيلاتوف "حول فيدوت آرتشر ، الشاب الجريء": "أعترف بذنبي. ميرو. الدرجة العلمية. عمق."
لدى قسم الأمن لدينا مستندات داخلية تصف ماذا وأين وبأي شكل ومدى سرعة نقل متخصصي أمن المعلومات في حالة وقوع حادث. غالبًا ما يتم احتساب الدقائق ، لذا فإن الجلوس والتفكير في ما يجب القيام به ومن يقع اللوم أمر غير مقبول. يجب أن يكون لدى الموظف خوارزمية واضحة للإجراءات "واحد ، اثنان ، ثلاثة". في الوقت نفسه ، لديه جميع قوالب المستندات التي يجب إرسالها ، وقوائم محدثة لعناوين البريد الإلكتروني. أي أنك تحتاج إلى إنشاء عملية وتدريب الناس.
JI: كيف يمكنك تقييم الكفاءة الاقتصادية للوحدات التي ترتبط وظائفها بمكافحة الاحتيال؟
في.:مستحيل. لا يمكن قياس كفاءتنا الاقتصادية. على سبيل المثال ، اكتشفنا حالات احتيال هذا الشهر أكثر من الشهر الماضي. ماذا يقول؟ هل نقوم بعمل أفضل؟ أم أن المحتالين أخذوا الوتيرة المفاجئة "للإنتاج"؟ يمكن لإدارة أمن المعلومات تقييم أنشطتها فقط من حيث النسبة المئوية للحوادث المعالجة والمكتشفة. بشكل تقريبي ، إذا توصلنا إلى جميع الحقائق التي تم الكشف عنها للاحتيال ، فنحن فعالون. ولكن على أي حال ، لا تزال هناك نقطة عمياء - من المستحيل معرفة ما إذا كنا قد حسبنا كل شيء أم لا.
ومن المفارقات أن الشركة يمكنها تقييم فعالية عملنا فقط على الخسائر. هل يوجد ضرر احتيال؟ نعم - يمكن التنبؤ بها ، وتقع في نطاق الخسائر المخطط لها. هذا يعني أنه تم تحقيق التوازن الذي تحدثنا عنه أعلاه ، يعمل الأمان بشكل جيد. إذا كان مستوى الضرر أعلى من المقبول ، فهذا يعني أن هناك "ثقب" في مكان ما. علاوة على ذلك ، ليس حقيقة أن هذا عيب في مشهد أمن المعلومات. ربما تتطلب إحدى العمليات التجارية مراجعة مفصلة لزيادة مستوى أمن المعلومات. وسنعمل على هذا الأمر مع فريق من الخبراء من الأقسام الأخرى للبنك.
J.I: شكرًا جزيلاً لك على الوقت الذي قضيته في الدردشة!
ما هي القضايا الأمنية الرئيسية التي تسلط الضوء عليها في الوقت الحالي ، سواء من حيث أمن المعلومات أو من حيث أمن الأعمال؟
أندري بوغوسلوفسكيك ، مدير إدارة تكنولوجيا المعلومات في Rosbank:تركيز مجتمع المتسللين على إنشاء كود خبيث يتكيف مع تقنيات الأنظمة المصرفية البعيدة. سرقة كلمات المرور والمعلومات الأساسية من أجهزة الكمبيوتر العميلة المصابة.
كونستانتين ميدينتسيف ، نائب الرئيس لتقنيات المعلومات ، بنك موسكو للإنشاء والتعمير: المهمة الرئيسية لأمن المعلومات هي ضمان وتحسين حماية البنية التحتية للمعلومات. يتزايد استخدام تكنولوجيا المعلومات لأغراض إجرامية. أصبحت التكنولوجيا أكثر سهولة ، كما أن تكلفة الهجمات على أنظمة المعلومات آخذة في التناقص ، بينما أصبحت حماية موارد المعلومات الإلكترونية أكثر تكلفة. بمساعدة أنظمة المعلومات ، يمكن لمؤسسات الائتمان تقليل تكاليف خدمة العملاء بشكل كبير ، مما يؤدي بدوره إلى زيادة الأرباح. ومع ذلك ، فإن آليات تلبية المتطلبات التي حددها المنظمون تؤدي إلى ارتفاع كبير في تكلفة الخدمات المصرفية. كلما ارتفع مستوى حماية البيانات ، زادت صعوبة الحصول عليها ، بالطبع ، لأن بنية الأنظمة المؤتمتة المقابلة تصبح أكثر تعقيدًا. في هذا الصدد ، من المهم إيجاد نهج متكامل أو خوارزمية إجراءات ، سيسمح تنفيذها بالوفاء بالمتطلبات القانونية ، ولكن في نفس الوقت لن يؤثر سلبًا على أنشطة البنك ولن يؤدي إلى ارتفاع تكلفة المنتجات والخدمات للمستهلك.
فلاديلين نوفوسيليتسكي ، رئيس قسم أمن المعلومات في BINBANK:المشكلة الرئيسية هي التمويل المحدود لأمن المعلومات. إنه يحدد إلى حد كبير جميع المشاكل الأخرى.
المشكلة الثانية هي اختيار الأعمال بهذه الدرجة من الحرية ، والتي ، من ناحية ، لن تسمح للمجرمين بإفساد العمل ، ومن ناحية أخرى ، لن تخنق العمل. من الواضح أنه لن تكون هناك حوادث تتعلق بأمن المعلومات إذا تم حظر كل شيء. ولكن بعد ذلك لن تتطور الأعمال. لذلك ، من الضروري إيجاد توازن بين حرية التصرف اللازمة للأعمال ونظام القيود اللازمة لضمان أمن المعلومات.
المشكلة الثالثة هي مشكلة اختيار مرفق لأمن المعلومات بالوظائف المطلوبة التي ليس لها تأثير سلبي ملحوظ على الوسائل المحمية (مشكلة الوظيفة والتوافق). يوجد الكثير من SZI في السوق ، لكن ... كان سلسًا على الورق.
المشكلة الرابعة قانونية - ترخيص الأنشطة باستخدام CIPF ، وشهادة CIPF وتوثيق كائنات الأتمتة. من بين FSTEC الروسية المعتمدة (FSB of Russia) ، فإن غالبية مرافق أمن المعلومات قديمة. لذلك ، عند اختيار منشأة لأمن المعلومات ، تظهر معضلة: تلبية متطلبات القانون الاتحادي من خلال شراء منشأة أمن معلومات معتمدة ولكنها قديمة. أو قم بشراء أحدث نظام لحماية معلومات التطوير ، وبالتالي أكثر كفاءة ، ولكن غير معتمد. إذا تم تحديد إصدار غير معتمد من نظام أمن المعلومات وتم شراؤه بالفعل ، فإن شهادته اللاحقة تتحول إلى حوض بسيط للمنظمات المشاركة في ذلك. في سياق الحصول على الشهادة ، لن يتحسن نظام أمن المعلومات ، لكنه سيصبح أكثر تكلفة. وإذا تبين أن نتيجة الشهادة سلبية ، فماذا تفعل بمرفق أمن المعلومات هذا؟ العودة إلى البائع؟
أوليج بودكوبايف ، رئيس قسم المعلومات في بنك Rusfinance:كما هو الحال دائمًا ، فإن التهديد الرئيسي لأمن المعلومات للمؤسسة والأعمال هو من الداخل. وعلى الرغم من أن عواقب الأفعال من الداخل ، كقاعدة عامة ، تكون أقل وضوحًا في شكل صريح ، وأحيانًا تكون ببساطة غير مرئية - فهذا بالتحديد هو الخطر الرئيسي. يؤدي التنازل عن قاعدة العملاء ، على سبيل المثال ، بالإضافة إلى المخاطر القانونية المباشرة ، إلى انخفاض الأعمال وفقدان الحصة السوقية ، ولا تظهر العواقب إلا بعد فوات الأوان لفعل أي شيء. وعليه ، ينبغي توجيه الجهود الرئيسية نحو الإجراءات الوقائية لمنع مثل هذا التسرب أو الكشف عنه في الوقت المناسب.
الكسندر توركين ، رئيس مركز التحقق ودعم المعلومات في BINBANK:مع اعتماد كائنات المعلوماتية ، تكون الصورة كما يلي: مع أي تغيير ، يجب إعادة اعتماد الكائن. لكن في البنك ، تحدث التغييرات في كل وقت! تتغير كل من أجهزة وبرامج الكمبيوتر ، وكذلك تكنولوجيا العمل. وبالتالي ، تتحول الشهادة / إعادة الاعتماد رسميًا إلى عملية مستمرة لا نهاية لها بتكاليف لا نهاية لها.
كما تعلمون ، لاستخدام أدوات حماية المعلومات المشفرة التي تندرج تحت المرسوم الصادر عن حكومة الاتحاد الروسي بتاريخ 29 ديسمبر 2007 رقم 957 ، والذي وافق على اللوائح الخاصة بترخيص أنواع معينة من الأنشطة المتعلقة بوسائل التشفير (التشفير) ، مطلوب تراخيص من خدمة الأمن الفيدرالية لروسيا. ولكن بعد ذلك ، هناك حاجة إليها ليس فقط للبنك ، ولكن أيضًا لجميع عملاء نظام Client-Bank. وبالمثل ، بالنسبة لجميع عملاء أنظمة التبادل الإلكتروني مع مصلحة الضرائب الفيدرالية ، وصندوق المعاشات التقاعدية ، وما إلى ذلك ، فقد اتضح أن هناك حاجة إلى تراخيص من FSB في روسيا لمعظم المنظمات في الدولة.
إيفجيني شيفتسوف ، نائب رئيس CJSC JSCB NOVIKOMBANK:تواجه المؤسسات المالية والائتمانية اليوم بشكل متزايد مجموعة واسعة من التهديدات الحالية ، مثل الاحتيال على الكمبيوتر ، وفيروسات الكمبيوتر ، واختراق أنظمة الكمبيوتر ، ورفض الخدمة ، وما إلى ذلك. الاعتماد الكبير لهذه المؤسسات ، وبنكنا على وجه الخصوص ، على موارد المعلومات ، إن توحيد شبكات الشركات وشبكات الوصول العام ومشاركة موارد المعلومات يزيد من التعرض لمثل هذه التهديدات. نظرًا لأن أنظمة المعلومات الموجودة في البنك لم يتم تصميمها في الأصل بالمستوى المطلوب من الأمان ، فإن احتمالات ضمان أمن المعلومات محدودة في معظم الحالات.
إن أهم مشكلة تواجه الإدارة وخدمة الأمن هي مشكلة التهديدات الداخلية لأمن المعلومات ، أو بعبارة أخرى مشكلة حماية المعلومات من المطلعين.
لذلك ، اليوم ، في كل من جانب أمن المعلومات وأمن الأعمال ، يعد نظام أمن المعلومات الشامل أمرًا حيويًا ، والذي لا يتضمن فقط الموارد التقنية ، ولكن أيضًا الموارد التنظيمية ، والتي يمكن أن يكلف إنشاءها البنك أرخص بكثير من الإلغاء. من عواقب تهديدات داعش.
هل تغيرت طبيعة العلاقة بين قسم تقنية المعلومات بالبنك وجهاز الأمن نتيجة الأزمة؟ هل كان هناك إعادة توزيع للمسؤوليات والوظائف؟ كيف؟
أندريه بوغوسلوفسكيك:لم تغير الأزمة العلاقة بين تكنولوجيا المعلومات والأمن.
كونستانتين ميدينتسيف:كان للأزمة المالية والاقتصادية تأثير كبير على طبيعة ممارسة الأعمال التجارية ، مما أدى في بعض الحالات إلى تغييرات ملحوظة في هيكل المؤسسات الائتمانية ، مرتبطة إما بتقليص المهام أو إعادة توزيعها بين الإدارات. من حيث أمن المعلومات ، مع الأقسام الرئيسية ذات الصلة ، أي مع أقسام تكنولوجيا المعلومات. تظهر الملاحظات أنه في بعض الحالات يتم نقل الوظائف المتعلقة بتشغيل أنظمة أمن المعلومات إلى وحدات تكنولوجيا المعلومات. ومع ذلك ، فإن التأثير السلبي لإعادة التوزيع هذا على ممارسة الأعمال التجارية ككل لا يمكن أن يظهر بشكل أساسي إلا إذا لم يكن هناك تعديل سريع للإجراءات الخاصة بالتفاعل بين الإدارات ذات الصلة. في حالة الوصف المختص لإجراءات التفاعل ، لا يكون لإعادة التوزيع تأثير سلبي.
فلاديلين نوفوسيليتسكي:فيما يتعلق بدخول قانون "البيانات الشخصية" حيز التنفيذ ، يجب أن تتغير طبيعة العلاقة في اتجاه أمن المعلومات. لكنه لم يتغير. من الممكن أن تكون المساهمة الرئيسية في ذلك هي الأزمة.
أوليج بودكوبايف:وبالطبع فإن الأزمة في حد ذاتها لم تؤثر على مثل هذه العلاقات ، لأن جوهرها كان مختلفًا. ولكن من وجهة نظر التفاعل بين أقسام البنك ، أصبحت الإجراءات أكثر تنسيقًا. إلى حد كبير ، تأثرت متطلبات المنظمين ، التي يتطلب تنفيذها تفاعلًا أوضح بين تكنولوجيا المعلومات وخدمات الأمن. في الوقت نفسه ، لا يتغير توزيع الوظائف: وحدات أمن المعلومات هي هيئات تنظيمية وإشرافية داخل البنك ، وقد تم تصميم تكنولوجيا المعلومات لتنفيذ وضمان أمن المعلومات.
يفجيني شيفتسوف:طبيعة التفاعل لم تتغير. ظلت واجبات ووظائف الإدارات كما هي ، والتي تحددها الوثائق التنظيمية للبنك.
كيف تقيم دور الجهة الرقابية في مجال أمن المعلومات المصرفية؟ ما مدى فائدة الخطوات التي يتخذها البنك المركزي للاتحاد الروسي في المجال التشريعي على وجه الخصوص؟
أندريه بوغوسلوفسكيك:يطور بنك روسيا معايير IS ، فهي ذات طبيعة استشارية (فهي ليست منطقة تشريعية). النتيجة ذات شقين. من ناحية أخرى ، تعد معايير IS للبنك المركزي للاتحاد الروسي مفيدة ، لأنها تستند إلى معايير IS الدولية الحديثة. من ناحية أخرى ، هناك الكثير من الجدل فيها ، لأنها تستند أيضًا إلى أساليب وتعليمات قديمة من اللجنة الفنية الحكومية (FSTEC).
كونستانتين ميدينتسيف:جهود البنك المركزي لا يمكن أن تمر مرور الكرام. كان إصدار عدد من الوثائق التنظيمية معلما هاما في تطوير الإطار التنظيمي والمنهجي للبنك المركزي في مجال أمن المعلومات. مثل "منهجية لتقييم الامتثال لأمن المعلومات مع متطلبات STO BR IBSS-1.0-2008" و "منهجية لتقييم مخاطر انتهاكات أمن المعلومات".
أوليج بودكوبايف:أعتقد أن البنك المركزي للاتحاد الروسي يقوم بالشيء الصحيح تمامًا ، ويعوِّل البنوك على فكرة التنظيم المحتمل في مجال أمن المعلومات. علاوة على ذلك ، يتم ذلك بشكل معقول للغاية ، من خلال إصدار التوصيات وطرق التقييم الذاتي أولاً ، وإجراء برامج تجريبية لتدقيق أمن المعلومات ، وبعد ذلك فقط - وهذه مسألة وقت - من خلال تقديم متطلبات إلزامية.
الكسندر توركين:لدينا ثلاث جهات تنظيمية في مجال أمن المعلومات: البنك المركزي للاتحاد الروسي ، و FSTEC لروسيا ، و FSB لروسيا. الخطوات التي اتخذها البنك المركزي في المجال التشريعي هي في مصلحة البنوك ، لذا فهي بالتأكيد مفيدة للبنوك ، لكن الوقت سيوضح مدى فعاليتها. حتى الآن ، يبدو أنه سيكون هناك بعض التأثير ، على الرغم من أنه قد يكون أقل مما نود. تلقينا تأجيلًا لمدة عام ، وأزال FSTEC لروسيا ختم اللوح من أربعة من مستنداته - وهي جيدة بالفعل. في الوقت نفسه ، أود أن أؤكد أن دور بنك روسيا في هذا الأمر إيجابي بلا شك. بدعوة من Andrei Petrovich Kurilo ، انضممنا إلى مجموعة عمل ARB بموجب القانون رقم 152-FZ. إن الاقتراحات والتعليقات حول تحسين التشريعات في مجال البيانات الشخصية ، والتي ولدت أثناء اجتماعات مجموعة العمل ، على ما أعتقد ، قد ساهمت بشكل كبير في الخزانة العامة.
يفجيني شيفتسوف:الوثيقة الرئيسية التي توجه خدمة أمن المعلومات للبنك في أنشطتها هي معيار بنك روسيا: "ضمان أمن المعلومات لمؤسسات النظام المصرفي للاتحاد الروسي. أحكام عامة ”(STO BR IBBS-1.0-2008). نتوقع أن تصبح النسخة الجديدة من الوثيقة هي المعيار الصناعي للمؤسسات المالية الروسية.
دخول متطلبات القانون رقم 152-FZ حيز التنفيذ بالكامل. إلى أي مدى البنوك جاهزة لهذا اليوم؟ ما الذي يعطي تأخير لمدة عام واحد ، وهو ما تم تحقيقه؟
أندريه بوغوسلوفسكيك:البنوك ليست جاهزة. التأخير لمدة عام لا يفعل الكثير. إن حماية PD أقوى من الأسرار المصرفية والتجارية هو هراء.
كونستانتين ميدينتسيف:على الرغم من اعتماد القانون الفيدرالي "بشأن البيانات الشخصية" في عام 2006 ، فقد تم نشر الوثائق التنظيمية والمنهجية التي تنظم عمليات بناء أنظمة حماية البيانات الشخصية في وقت لاحق. بالنظر إلى التكاليف المالية الباهظة لتنفيذ أنظمة الحماية ، فإن مشغلي معالجة البيانات الشخصية لديهم وقت قليل جدًا لتنفيذها. في هذا الصدد ، كان التأخير لمدة عام مفيدًا جدًا.
أوليج بودكوبايف:بطبيعة الحال ، لا أحد ، بما في ذلك البنوك ، مستعد تمامًا لتطبيق القانون رقم 152-FZ. علاوة على ذلك ، فإن المنظمين ليسوا مستعدين ، الأمر الذي حدد بشكل عام إمكانية تأجيل المواعيد النهائية. علاوة على ذلك ، هناك حاجة إلى تأخير لمدة عام هنا ليس من قبل المشغلين بقدر ما يحتاجه المشرعون من أجل إجراء التعديلات اللازمة التي تمت صياغتها في عملية محاولة تنفيذ متطلبات القانون واللوائح ذات الصلة في الممارسة. أعتقد أن هذا سيتم خلال عام 2010. وسيصبح من الواضح أيضًا ماذا وكيف نفعل ، وستصبح المتطلبات أكثر اتساقًا مع الواقع ، وأخيراً ، سيكتسب المستشارون خبرة في تنفيذ المشاريع "التجريبية".
الكسندر توركين:تتمثل إحدى المشكلات هنا في تفسير هذا القانون الاتحادي واللوائح الداخلية. إذا تم الاقتراب رسميًا وصارمًا ، فلن تكون البنوك جاهزة ، ولن يؤدي التأخير لمدة عام إلى تغيير الوضع بشكل جذري. إذا تم تعديل عدد من المتطلبات في اتجاه إضعافها ، فستزداد درجة الاستعداد.
يفجيني شيفتسوف:يوفر التأجيل لمدة عام فرصة لتوفير المال من خلال تلبية هذه المتطلبات.
فيما يتعلق بتطوير الخدمات المصرفية عن بعد وخطط التطوير النشط للبنوك في هذا الاتجاه ، ما مدى خطورة مشكلة هجمات DDOS على مواقع البنوك والتصيد والتهديدات الأخرى لقنوات RBS؟
أندريه بوغوسلوفسكيك:تهديد DDoS خطير ، ليس في حد ذاته ، ولكن كوسيلة لإخفاء المعاملات الاحتيالية باستخدام تفاصيل العميل المسروقة.
كونستانتين ميدينتسيف:كما سبق ذكره ، فإن تطوير تكنولوجيا المعلومات له تأثير على المجال الإجرامي. ومع ذلك ، يمكن للأنظمة المصرفية عن بُعد ، إذا تم تصميمها بشكل صحيح ، أن تتحمل بثقة أنواعًا معينة من التهديدات. تتيح أدوات مراقبة نشاط الشبكة الموجودة حاليًا تحديد مصدر هجوم DDOS بسرعة إلى حد ما ، وفي الوقت نفسه ، تمنع إلحاق الضرر بالوسائل التقنية للنظام المصرفي عن بُعد نفسه. ومع ذلك ، تم تجاوز المشاكل المرتبطة بالاستخدام غير المصرح به للمعلومات الأساسية. من الممكن استبعاد هذه الظاهرة فقط من خلال الجهود المشتركة من جانب المؤسسات الائتمانية - من خلال تقديم آليات أكثر تقدمًا لتنفيذ إجراءات التشفير ، ومن جانب العملاء أنفسهم - من خلال اتباع التوصيات لضمان أمن المعلومات بدقة.
الكسندر توركين:المشكلة هي واحدة من أخطر المشاكل. جمعت بعض البنوك الكثير من المعلومات حول مصادر مثل هذه التهديدات. من المحتمل أن يؤدي توطيدها إلى زيادة معدل الإفصاح في هذا المجال بشكل كبير. ولكن لا توجد وكالة موحدة لإنفاذ القانون مهتمة بمثل هذه المعلومات. وهذا على الرغم من حقيقة أن هذا التهديد يعتبر خطيرًا على اقتصاد البلاد في عقيدة أمن المعلومات في الاتحاد الروسي.
يفجيني شيفتسوف:أنا أعتبر هذه المشكلة خطيرة. يحتاج البنك إلى أدوات لمنع مثل هذه الهجمات في المرحلة الأولى من عملها. وليس فقط للوقاية ، بل للحماية.
ما هي المشاكل / التهديدات الرئيسية لأنشطتك فيما يتعلق بأمن المعلومات التي تراها في المستقبل القريب - 2010؟
أندريه بوغوسلوفسكيك:الامتثال لمتطلبات التوصيات المنهجية لـ FSB و FSTEC لحماية البيانات الشخصية. تطوير اتجاه الاحتيال باستخدام القنوات المصرفية عن بعد.
كونستانتين ميدينتسيف:التقدم التكنولوجي يتقدم باطراد. كما أشرنا سابقاً ، فإن تغلغل تكنولوجيا المعلومات في المجال الإجرامي يحدث بوتيرة متسارعة. في هذا الصدد ، يبدو أن عدد التهديدات لأمن المعلومات لأنشطة مؤسسات الائتمان يمكن أن تزداد فقط. ومع ذلك ، فقط الوقت يمكن أن يعطي تقييماً أكثر تفصيلاً لطبيعتها ونتائجها.
فلاديلين نوفوسيليتسكي:تكمن المشكلة الرئيسية في جعل البنك يتماشى مع قانون "البيانات الشخصية" ، والتهديد الرئيسي هو سوء فهم أو سوء فهم هذه المشكلة من جانب جميع الأشخاص الذين يعتمد حلها عليهم.
يفجيني شيفتسوف:كجزء من إنشاء نظام حماية البيانات الشخصية ، ضع في اعتبارك تنظيم نظام أمان متكامل لموارد معلومات البنك.
تقدير:
