Ha 100%-os műszaki biztonságot nyújt egy vállalkozásnak, egyszerűen nem tud profitot termelni. Ha a tranzakciók lebonyolítása vagy a banki termékek értékesítése során semmilyen védőkorlátot nem állít be, a csalók nagy valószínűséggel nem hagynak követetlenül.” Ennek jegyében zajlott beszélgetésünk Vaszilij Okuleszkij doktorral, a Moszkvai Bank Biztonsági Főosztályának információbiztonsági osztályának vezetőjével.
J.I.: Vaszilij Andrejevics, hogyan értékeli a bankszektorban tapasztalható csalások jelenlegi helyzetét?
BAN BEN.: Jelenleg 30-50%-os növekedést tapasztalunk a különböző típusú csalások számában a tavalyi évhez képest. A sajátos szerkezete is megváltozott: mindenekelőtt élesen visszatér az ATM-csalás.
Az elmúlt év során az orosz bankok teljes ATM-hálózata 40%-kal nőtt, ez a tisztán technikai tényező vált a bűnözés növekedésének hátterében. Változtak az ATM-ek támadásának módszerei is. Az úgynevezett "robbanóanyagok" megjelentek, és a "munka" nagy sebessége jellemzi őket - a lopás teljes művelete kevesebb mint egy percet vesz igénybe. Visszatértek a 2009-ben a népszerűség csúcsán lévő szoftveres támadási eszközök. Ezenkívül alapvetően új módszereket figyelnek meg: az ATM-eket távolról támadják meg, újraindítást provokálnak, vagy a támadás közvetlenül a végrehajtó eszközökhöz érkezik - ugyanahhoz a befizetőhöz. Az ilyen cselekményekből származó kár mértéke jelentősen meghaladja az egyéb típusú ATM-csalásokból származó veszteségeket.
Az orosz bankszektorban folyamatos tendencia figyelhető meg a magánszemélyek és jogi személyek webbanki funkcióinak fejlesztése felé. A csalók is kedvelik az új funkcionalitást, elsősorban amiatt, hogy potenciálisan pénzlopási lehetőségek nyílnak meg. Ennek megfelelően a bankok egyszerűen nem fektethetnek be internetes szolgáltatásaik biztonságának javításába. Megjegyzem, az összes orosz bank közül csak a Tinkoff Bank fektet be az információbiztonságba „csak úgy” - számára ez az egyetlen módja annak, hogy biztosítsa az üzleti biztonságot.
Az elmúlt hónapok trendje a bankok információs rendszereit ért támadások. Közvetlenül támadják a levelező számlák kezelésének eszközeit - ez lehetővé teszi a csalók számára, hogy egyszerre hatalmas összegeket vonjanak ki. Az ilyen műveletek magas képzettséget és komoly képzést igényelnek a támadóktól.
J.I.: Vagyis a támadások tárgya sokszor nem az ügyfél, hanem maga a bank?
BAN BEN.: Igen, ez több tényezőnek köszönhető. Először is, a bankok nagy erőfeszítéseket tesznek ügyfeleik védelmében, és ez valóban működik. Másodszor, az ügyfelek fejlettebbek az információbiztonsági kérdésekben. Most sokkal ritkábban fordul elő a „Vettem egy víruskeresőt, telepítettem a számítógépemre, de valamiért nem működik” megfogalmazás. Az ügyfelek már tudják, mit és hogyan kell telepíteni, frissíteni, milyen jogi következményei vannak a licencelt és licenc nélküli szoftverek használatának stb. Az emberek felkészültebbek, nehezebb lett megtámadni őket, mindez arra kényszeríti a csalókat, hogy „átálljanak” bankokra.
Megjegyzem, az ilyen támadások felépítése és eszközei alapvetően különböznek egymástól. Ezért szükséges a banki információs rendszerek kialakításának paradigmájának felülvizsgálata. A biztonsági őröket a rendszer életciklusának első szakaszában kell bevonni a munkába, nem pedig az üzembe helyezés szakaszában. Vagyis a fejlesztés során minden információbiztonsági kérdést figyelembe kell venni.
Sőt, az információbiztonság megértésének is meg kell változnia. Az információbiztonság nem egy diszkrét folyamat „betesszük a megoldást, minden működik, lazán”, hanem egy folyamatos tevékenység, a rendszerfejlesztők, bizalmas dokumentumokkal stb. dolgozók sajátos gondolkodásmódja.
J.I.: Pontosan mi legyen ez a gondolkodásmód?
BAN BEN.: A legegyszerűbb példát hozom fel az információbiztonság 3 fő összetevőjére - az adatok titkosságára, integritására és elérhetőségére. Ezzel a hármassal kapcsolatban van egy érdekes logikai paradoxon: ha a koncepció első pillantásra egyszerűnek és világosnak tűnik, a gyakorlati megvalósítása gyakorlatilag lehetetlen. Mi az integritás? Egyszerű kérdés. De amikor egy dokumentumot elektronikus aláírással ír alá, a fő követelmény az, hogy biztosnak kell lennie abban, hogy mit ír alá. Vagyis biztosítani kell az eredeti aláírás objektum és a képernyőn látható sértetlenségét. Az adatbázisban szereplő elektronikus dokumentum mennyiben felel meg a papír eredetinek? Mennyire legitim az aláírt elektronikus változat papíron történő reprodukálása? Akinek van fogalma arról, hogy mi az a Windows, az érti, hogy a fenti követelmény elvileg nem teljesíthető. Vagy fel kell hagynia egy ilyen népszerű operációs rendszerrel és többfeladatos technológiával, és ki kell találnia egy olyan módszert az elektronikus dokumentumok megjelenítésére, amelyek az átalakításuk minden szakaszában biztosítják az integritást.
A kérdés nem ilyen egyszerű, a technikai eszközökön, a munka technológiáján nyugszik. Ha nem a probléma kezdeti megfogalmazásának szintjén oldjuk meg, akkor egyszerűen nem értjük, mit is kell pontosan védenünk, mi az információbiztonság tárgya számunkra. Nem tény, hogy az általunk ténylegesen védendő dokumentum megfelel annak, ami a bevitelnél volt, és valóban védelem alatt állt.
J.I.: Milyen típusú csalás a legveszélyesebb jelenleg?
HANGSZÓ: Csakúgy, mint az elmúlt néhány évben, most is a belső csalásoké a pálma. Ellenintézkedési rendszerekkel nem blokkolhatók. Ha az alkalmazottak megegyeznek egymás között, durván szólva semmi sem segít. Nagyon nehéz azonosítani a bennfenteseket, és az ilyen összejátszás következményei sokkal nagyobbak, mint bármely más típusú csalásból származó kár.
J.I.: Mik a főbb megközelítések az információbiztonság biztosításában az Ön bankjában?
BAN BEN.: Rendszeresen erősítjük szolgáltatásaink biztonságát. Ám a figyelem középpontja az információbiztonság biztosításával kapcsolatban eltolódott. Ha korábban megvédtük az ügyfelet az ismétlődő fenyegetésektől - adathalászattól, adatai pótlásának lehetőségétől, biztosítottuk a hitelesítési eszközök védelmét, akkor most már eleve úgy gondoljuk, hogy az ügyfél mindig lenyűgözött. Az ügyfelek 80%-a kezdetben csalók ellenőrzése alatt veszi igénybe a banki szolgáltatásokat. Ezért meg kell változtatni a védelmi paradigmát. Feltételezzük, hogy a kerület már kellően védett, ezért figyelmünket a tranzakciókra fordítjuk. Valójában az egyik leghatékonyabb modern irány a tranzakciók elemzése.
J.I.: Talán egy bizonyos idő elteltével a bankok kénytelenek lesznek elismerni, hogy az infrastruktúrájuk is eleve sebezhető, és 80%-ban csalók irányítják. Ez pedig azt jelenti, hogy az egyetlen kiút a már bankon belüli tranzakciók ellenőrzése lesz az ügyféltranzakciók megfigyelésére szolgáló megoldásokhoz hasonló rendszerekkel.
BAN BEN.: Ebben van némi igazság. Nem nyitom ki Amerikát, ha azt mondom, hogy az információbiztonság spirálisan fejlődik, és minden fordulat alapvetően más szinten megy végbe. 10 évvel ezelőtt szinte ugyanarról beszéltünk - meg kell védeni a bank külső kerületét. Az évek során több ügyfélvédelmi körön mentünk keresztül, és ismét visszatértünk a kiindulóponthoz - a bankhoz. Csak most beszélünk az információs infrastruktúra kiépítésének ideológiájának megváltoztatásáról az információbiztonsági kérdések kezdeti mérlegelésére.
J.I.: Tudniillik az üzleti élet gyakran negatívan viszonyul az információbiztonság fejlesztéséhez, szigorításához. Hogyan sikerül összhangba hozni a bankot a modern információbiztonsági gyakorlattal?
BAN BEN.: A vállalaton belüli információbiztonsági szint javításának leghatékonyabb ösztönzője a vállalkozás kötelező részvétele a csalásból eredő anyagi károk behajtásában. Például egy új banki terméket fejlesztünk. Megnéztük az IB-triádunkat, megjegyzéseket tettünk, és bezártuk a látott lyukakat. Számunkra látható, hiszen minden fejlesztésben több összefüggő réteg van. A rétegekben lévő sebezhetőségeket megszüntetjük, de a fejlesztőcsapat sokkal jobban ismeri a köztük lévő kapcsolatok jellemzőit. A termékdokumentumokban, amelyekkel dolgozunk, ezek nincsenek előírva. Ugyanakkor gyakran ezek a kapcsolatok a támadások célpontjai. Ha a fejlesztőket teljesen érdektelen információbiztonsági szempontból helyesen felépíteni, akkor a termék megjelenése után fennáll annak a veszélye, hogy fokozott figyelmet kapunk a csalók részéről. Ha az anyagi veszteségek összefüggenek a fejlesztők és a termék megjelenését kezdeményező üzletágak fajlagos prémiumával, akkor ők maguk is törekednek a termék maximális „megtisztítására”.
Ha helyesen épít fel egy rendszert a részlegek közötti pénzügyi felelősség kiegyensúlyozására, akkor a nagyfokú frodulenciával járó üzleti folyamatok automatikusan biztonságosabbá válnak
Az információbiztonságot biztosító mechanizmus, amely már a termék piaci felkínálásának szakaszában működik, jól ismert stop loss. Amint több csalárd tranzakciót rögzítenek rajta, vagy a behatolók tevékenységéből származó kár összege meghaladja a megengedett értéket, a bank leállítja az ajánlatot. Elemezzük a terméket, megszüntetjük a szűk keresztmetszeteket, és csak ezután helyezzük újra üzembe. Természetesen minden vállalkozás számára a nyújtott szolgáltatásokból származó haszon a legfontosabb, ezért inkább a csalárd tranzakciók megengedett számának vagy a kár mértékének növelésében érdekelt. Valójában ez az információbiztonsági és az üzletág közötti alku tárgya, közös feladatunk a kompromisszum megtalálása. Ezt a megközelítést fokozatosan fejlesztettük ki. „Már tudjuk, hogy lesznek veszteségek és limitek, úgyhogy dolgozzunk együtt” – ez az üzlet álláspontja egy új termék bevezetésekor. Mobilbanki szolgáltatásunk példája annak, hogy egy vállalkozás felelősségteljesen közelíti meg az információbiztonsági kérdéseket: kezdetben az általunk javasoltnál szigorúbb feltételeket hirdetett a mobileszközökön történő ügyfélhitelesítésre.
J.I.: Tegyük fel, hogy a lehető leggyorsabban piacra kell vinni egy új szolgáltatást, hogy megelőzzük a versenytársakat, és ne veszítsünk el potenciális profitot. Ebben az esetben csökkentheti valamelyest az információbiztonság biztosításának kritikusságát?
BAN BEN.: Mindenesetre nem csukhatjuk be a szemünket, csak ugyanolyan intenzív tempóban dolgozunk, mint a fejlesztők. Azonnal leküzdjük a nyilvánvaló héjakat, a sebezhetőségeket, amelyeket nincs időnk alaposan és részletesen kidolgozni a termék kiadása előtt, a stop loss szakaszban kiküszöböljük.
Általánosságban elmondható, hogy ha egy vállalkozás nyers információbiztonsági szolgáltatást dob a piacra, akkor fel kell készülnie arra, hogy minden általa keresett millióból bizonyos százalékot adjon a csalóknak. A hivatalos kár itt 5 és 50% is lehet. A csalás kockázata ebben az esetben teljes mértékben az üzleti egység felelőssége, és ennek tükröződnie kell a vonatkozó üzleti megállapodásban.
Ahogy fentebb is mondtam, a felelősség megosztása kijózanító. Tegyük fel, hogy az információbiztonsági szakemberek riasztásokkal, videó megfigyeléssel stb. Egy modern ATM ára körülbelül 30 ezer dollár. Ha egy csaló feltöri, a javítás az általános bankszámlára, a feldolgozási számlára vagy az Ön kiskereskedelmi részlegére terhelhető. A jövőben hasonló helyzetben meghallgatják az információbiztonsági szakembereket. A vállalkozással a saját nyelvén beszélünk - a nyereség elvesztésével, a kockázatokkal, a pénzügyi felelősséggel stb.
J.I.: Nem is olyan régen a Moszkvai Bank egy csalásvédelmi rendszert vezetett be a távoli banki csatornákon jogi személyek számára. Mondja el, mik voltak a projekt céljai? Elérték?
BAN BEN.: Projektünk valamilyen szempontból egyedülálló – nem a biztonsági szint növelése volt a célunk, hanem magának a csalásfelderítési eljárásnak a költségeinek csökkentése. Ezt megelőzően 400 bankpénztáros minden új befizetést hívással igazolt vissza – naponta körülbelül 10 ezren voltak. Ennek eredményeként csökkentettük az ellenőrző hívások számát az első osztályokon a fizetések teljesítésekor - bizonyos területeken több mint 10-szeresére. Csökkent a pénztárosok terhelése, áttértek a banki termékek értékesítésére - ez a tevékenység közvetlenül termel profitot.
Vállalkozásunk megértette, hogy egyrészt a biztonság pénzbe kerül, másrészt enélkül sokkal kevesebb pénz lesz.
A projektcél helyes megfogalmazása részünkről - "olcsóbbá tegyük a biztonságot" - oda vezetett, hogy az üzletág vállalta a csalás elleni rendszer bevezetését, és erre saját költségvetését fordította.
J.I.: A megvalósított elemző eszköz tulajdonképpen önállóan hoz döntéseket. Hol húzódik a határ az automatizálás elégségessége és redundanciája között? Milyen döntéseket nem lehet a szoftveragyra bízni?
BAN BEN.: A határ folyamatosan mozgásban van, az automatikus feladás és a fizetés automatikus letiltása között helyezkedik el. Ha a csalás mértéke, amelyre a kockázati szint be van állítva a rendszerben, csökkent/növekedett, akkor abban módosítjuk a döntési szempontokat. Ugyanakkor lehetetlen teljesen automatizálni a műveletek kiértékelését, és a teljes folyamatot egy elemző eszköz kegyére adni. Vagyis van bizalom a csalásellenes rendszerben, de annak szintjét ellenőrizni kell. Néha csak egy személy tud dönteni a fizetésről, ezt többször is megerősítettük. Egy közmondás szerint az autó „bolond”: nem látja előre az összes árnyalatot. Például egy műszaki hiba miatt megnőtt a válaszidő a rendszerek között, ennek következtében a megoldás nem döntött a válasz mellett. Képzett szakembereink vannak, akik néha gyorsabban tudnak dolgozni, mint egy csalás elleni megoldás. Ezért esetünkben automatizált rendszerről beszélünk, nem automatikusról. Tehát bízunk, de ellenőrizzük.
J.I.: Egy komplex kockázatkezelési rendszer bevezetése és működtetése nagy munka a banki csapatnak. Milyen kompetenciákkal kell rendelkezniük az alkalmazottaknak az ilyen megoldások működéséhez? Hiány van ilyen személyzetből?
BAN BEN.: A kérdésre egy kérdéssel válaszolok: a vörösnek hány árnyalatát láthatja az átlagember? Nehéz megmondani. És a mi munkánkban ez a legfontosabb - hogy meg tudjuk különböztetni a rendszerben a kockázatos műveletek "árnyalatainak" maximális számát. A szakembernek képesnek kell lennie az esetleges csalásra utaló jelek azonosítására, akár szakmai intuíció segítségével is. Ez csak tapasztalattal jár. Szakterületünkön különböző kezdeti tudású emberek dolgoznak. Vannak, akik – informatikusok – jó háttérrel rendelkeznek nagy mennyiségű adat rendszerelemzésében, de soha nem dolgoztak csalárd tranzakciókkal. Mások - "opera" - a műveletek értékelése közben megették a kutyát, IP-címekben, naplókban gondolkodnak, ugyanakkor nem képzelik el az adatbázisok rendszerezésének elveit, nem tudják, hogyan kell rendszerelemzést lefolytatni. A tapasztalatcsere, az ilyen szakértők közös csapatmunkája szinergikus hatást fejt ki. Rendkívül fontos, hogy a csalásellenes egység hozzáértő vezetője legyen, aki felállítja a teljes folyamatot és helyesen helyezi el az ékezeteket. A fentieket összefoglalva: a szakterületünkön felkészült, képzett szakemberek „darabáru”.
J.I.: Részben már érintette az információbiztonsági szolgálat és az üzleti egységek közötti interakció kérdését. Mi az Ön elképzelése a csalás elleni funkció optimális felépítéséről?
BAN BEN.: A legfontosabb, hogy az információbiztonság és az üzlet közötti kölcsönhatást üzleti folyamat formájában kell leírni. Sőt, minden résztvevőnek világosan meg kell értenie, hogy mit kell tenni egy incidens esetén - hogy részletesen elképzelje a válaszadási eljárást. Ehhez a Moszkvai Banknak van egy szabályzata az interakciós eljárásról. Egy üzleti folyamat leírásánál el kell különíteni az egyes résztvevői csoportok zónáit és felelősségi mértékét (lehet, hogy lényeges). Emlékszem Leonyid Filatov „Fedot íjászról, egy vakmerő fiatalemberről” című művére: „Beismerem bűnömet. Meru. Fokozat. Mélység."
Biztonsági Osztályunk belső dokumentumokkal rendelkezik, amelyek leírják, hogy az információbiztonsági szakembereknek mit, hova, milyen formában és milyen gyorsan kell átadniuk egy incidens esetén. A percek gyakran számítanak, ezért elfogadhatatlan, hogy ülni és gondolkodni, hogy mit kell tenni, és ki a hibás. A munkavállalónak világos cselekvési algoritmussal kell rendelkeznie „egy-kettő-három”. Ugyanakkor kéznél van az összes elküldendő dokumentumsablon, az e-mail címek naprakész listája. Vagyis létre kell hozni egy folyamatot és ki kell képezni az embereket.
J.I.: Hogyan lehet értékelni azon egységek gazdasági hatékonyságát, amelyek funkciói a csalás elleni küzdelemhez kapcsolódnak?
BAN BEN.: Semmiképpen. Gazdasági hatékonyságunk nem mérhető. Például ebben a hónapban több csalási esetet azonosítottunk, mint a múlt hónapban. Mit mond? Jobban megyünk? Vagy a csalók vállalták a "gyártás" sokkoló ütemét? Az információbiztonsági osztály tevékenységét csak a feldolgozott és észlelt incidensek százalékos arányában tudja értékelni. Nagyjából, ha minden feltárt csalási tényt kidolgoztunk, akkor hatékonyak vagyunk. De mindenesetre marad egy vakfolt - nem lehet tudni, hogy mindent kiszámítottunk-e vagy sem.
Paradox módon a vállalkozás csak a veszteségek alapján tudja értékelni munkánk eredményességét. Van-e csalásból származó kár? Igen – előre látható, a tervezett veszteségek körébe tartozó. Ez azt jelenti, hogy a fent említett egyensúly teljesül, a biztonság jól működik. Ha a károsodás mértéke magasabb az elfogadhatónál, az azt jelenti, hogy valahol "lyuk" van. Ráadásul nem tény, hogy ez az információbiztonsági környezet hibája. Talán az egyik üzleti folyamat részletes áttekintést igényel az információbiztonság szintjének növelése érdekében. Ezen pedig együtt fogunk dolgozni a bank más részlegeiből álló szakértői csapattal.
J.I.: Köszönöm szépen, hogy időt szakított a beszélgetésre!
A bankok információbiztonsági stratégiája nagyban különbözik más cégek és szervezetek hasonló stratégiáitól. Ennek oka elsősorban a fenyegetések sajátossága, valamint a bankok nyilvános tevékenysége, amelyek kénytelenek az ügyfelek kényelme érdekében kellően egyszerűvé tenni a számlákhoz való hozzáférést.
Egy átlagos vállalat információbiztonságát csak a potenciális fenyegetések egy szűk körére építi - elsősorban a versenytársakkal szembeni információk védelmére (az orosz valóságban a fő feladat az, hogy megvédje az információkat az adóhatóságoktól és a bűnözői közösségtől annak érdekében, hogy csökkentse az ellenőrizetlen támadások valószínűségét. adóbefizetések növekedése és zsarolás). Az ilyen információk csak az érdeklődők és szervezetek szűk körét érdeklik, és ritkán likvidek, pl. készpénzre váltható.
A bank információbiztonsága során a következő konkrét tényezőket kell figyelembe venni:
1. A bankrendszerekben tárolt és feldolgozott információ valódi pénz. Számítógépes információk alapján fizetések bonyolíthatók le, hitelek nyithatók, jelentős összegek utalhatók át. Teljesen világos, hogy az ilyen információk illegális manipulálása komoly veszteségekhez vezethet. Ez a funkció drámaian kibővíti azon bűnözők körét, akik kifejezetten a bankok működésébe lépnek (ellentétben például az ipari társaságokkal, amelyek bennfentes információi senkit sem érdekelnek).
2. A banki rendszerekben lévő információk nagyszámú ember és szervezet – banki ügyfelek – érdekeit érintik. Általában bizalmas, és a bank felelős azért, hogy ügyfelei számára a szükséges titkosságot biztosítsa. Természetesen az ügyfeleknek joguk van elvárni, hogy a bank ügyeljen az érdekeikre, ellenkező esetben kockáztatja hírnevét az ebből eredő összes következménnyel együtt.
3. A bank versenyképessége attól függ, hogy mennyire kényelmes az ügyfél számára a bankkal való együttműködés, valamint attól, hogy milyen széles a nyújtott szolgáltatások köre, beleértve a távoli eléréshez kapcsolódó szolgáltatásokat is. Ezért az ügyfélnek képesnek kell lennie arra, hogy gyorsan és fárasztó eljárások nélkül kezelje a pénzét. A pénzhez való könnyű hozzáférés azonban növeli a bankrendszerekbe való bűnözés valószínűségét.
4. A bank információbiztonságának (ellentétben a legtöbb céggel) rendkívüli helyzetekben is biztosítania kell a számítógépes rendszerek nagy megbízhatóságát, hiszen a bank nem csak a saját forrásaiért, hanem az ügyfelek pénzéért is felelős.
5. A bank fontos információkat tárol ügyfeleiről, ami kiterjeszti az ilyen információk ellopásában vagy megrongálásában érdekelt potenciális behatolók körét.
A bankszektorban elkövetett bűnözésnek is megvannak a maga sajátosságai:
Számos, a pénzügyi szektorban elkövetett bűncselekmény ismeretlen marad a nagyközönség előtt, amiatt, hogy a bankvezetők nem akarják zavarni részvényeseiket, félnek új támadásoknak kitenni szervezetüket, félnek tönkretenni megbízható üzletként fennálló hírnevüket. forrásokból, és ennek eredményeként ügyfeleket veszítenek.
A támadók általában saját számláikat használják, ahová az ellopott összegeket átutalják. A legtöbb bűnöző nem tudja, hogyan kell tisztára mosni az ellopott pénzt. A bűncselekmény elkövetésének képessége és a pénzszerzés képessége nem ugyanaz.
A legtöbb számítógépes bűncselekmény kicsinyes. Az általuk okozott kár 10 000 és 50 000 dollár között mozog.
A sikeres számítógépes bûnözéshez általában nagyszámú (akár több száz) banki tranzakcióra van szükség. Nagy összegek azonban néhány tranzakcióval átutalhatók.
A legtöbb behatoló hivatalnok. Bár a bank vezető beosztású dolgozói is elkövethetnek bűncselekményeket, és sokkal több kárt okoznak a banknak, az ilyen esetek ritkák.
A számítógépes bűncselekmények nem mindig csúcstechnológiájúak. Elegendő az adatok meghamisítása, az ASOIB környezet paramétereinek megváltoztatása stb., és ezek a műveletek a karbantartók számára is elérhetőek.
Sok támadó azzal magyarázza tettét, hogy csak kölcsönt vesz fel a banktól, majd visszatérítéssel. A „visszatérés” azonban általában nem fordul elő.
A bankok automatizált információfeldolgozó rendszerei (ASOIB) védelmének sajátosságai az általuk megoldott feladatok sajátosságaiból fakadnak:
Általában az ASOIB folyamatosan érkező kérések nagy folyamát dolgozza fel valós időben, amelyek feldolgozása nem igényel sok erőforrást, de együttesen csak egy nagy teljesítményű rendszer képes feldolgozni őket;
Az ASOIB olyan bizalmas információkat tárol és dolgoz fel, amelyeket nem szánnak a nagyközönségnek. Hamisítása vagy kiszivárgása súlyos (a bank vagy ügyfelei számára) következményekkel járhat. Ezért az ASOIB arra van ítélve, hogy viszonylag zárt maradjon, meghatározott szoftverek irányítása alatt működjön, és nagy figyelmet fordít azok biztonságának biztosítására;
Az ASOIB másik jellemzője a hardver és szoftver megbízhatóságára vonatkozó fokozott követelmények. Emiatt sok modern ASOIB az úgynevezett hibatűrő számítógépes architektúra felé hajlik, amely lehetővé teszi az információk folyamatos feldolgozását különféle hibák és hibák esetén is.
Az ASOIB kétféle feladatot old meg:
1. Elemző. Ez a típus magában foglalja a tervezési, elszámolási feladatokat stb. Ezek nem azonnaliak, megoldásuk hosszú időt vehet igénybe, és eredményeik befolyásolhatják a bank politikáját egy adott ügyféllel vagy projekttel kapcsolatban. Ezért az alrendszert, amelynek segítségével az elemzési feladatokat megoldják, megbízhatóan el kell különíteni a fő információfeldolgozó rendszertől. Az ilyen problémák megoldása általában nem igényel nagy teljesítményű számítási erőforrásokat, általában elegendő a teljes rendszer teljesítményének 10-20%-a. Az eredmények lehetséges értékére tekintettel azonban védelmüknek tartósnak kell lennie.
2. Alkalmi. Ebbe a típusba tartoznak a napi tevékenységek során megoldott feladatok, elsősorban a befizetések és a számlakorrekciók. Ők határozzák meg a bank fő rendszerének méretét és erejét; megoldásuk általában sokkal több erőforrást igényel, mint az elemzési feladatok. Ugyanakkor az ilyen problémák megoldásában feldolgozott információk értéke átmeneti. Fokozatosan irrelevánssá válik az információ értéke, például a fizetés végrehajtásával kapcsolatban. Ez természetesen számos tényezőtől függ, mint például: a fizetés összege és ideje, számlaszám, további jellemzők stb. Ezért általában elegendő a fizetési védelem biztosítása a végrehajtás pillanatában. Ugyanakkor magának a feldolgozási folyamatnak és a végeredménynek állandónak kell lennie.
Milyen védelmi intézkedéseket részesítenek előnyben a külföldi szakértők az információfeldolgozó rendszerek esetében? Erre a kérdésre a Datapro Information Group által 1994-ben, bankok és pénzintézetek körében végzett felmérés eredményei alapján lehet választ adni:
A válaszadók 82%-a rendelkezik információbiztonsági szabályzattal. 1991-hez képest 13%-kal nőtt a biztonsági politikával rendelkező szervezetek aránya.
A megkérdezettek további 12%-a biztonsági politika kidolgozását tervezi. Egyértelmûen kifejezõdik a következõ tendencia: a nagy létszámú szervezetek jobban kedvelik a kidolgozott biztonsági politikát, mint a kis létszámú szervezetek. Például e felmérés szerint a 100 főnél kevesebbet foglalkoztató szervezeteknek csak 66%-a rendelkezik biztonsági politikával, míg az 5000 főnél nagyobb létszámú szervezeteknél az ilyen szervezetek aránya 99%.
Az információbiztonsági politikával rendelkező szervezetek 88%-ában létezik egy speciális egység, amely ennek végrehajtásáért felelős. Azokban a szervezetekben, amelyek nem tartanak fenn ilyen egységet, ezek a funkciók elsősorban a rendszergazdát (29%), az információs rendszergazdát (27%) vagy a fizikai biztonsági szolgálatot (25%) látják el. Ez azt jelenti, hogy hajlamosak a számítógépes biztonságért felelős munkatársak egy speciális egységre különülni.
A védelem terén kiemelt figyelmet fordítanak a számítógépes hálózatok (90%), a nagy számítógépek (82%), a balesetek és katasztrófák utáni információk visszanyerésére (73%), a számítógépes vírusok elleni védelemre (72%), a személyi számítógépek védelmére (69%). %).
A külföldi pénzügyi rendszerek információvédelmi jellemzőiről a következő következtetéseket vonhatjuk le:
A pénzügyi szervezetek védelmében a legfontosabb az információk gyors és lehetőség szerint teljes visszanyerése balesetek és meghibásodások után. A megkérdezett pénzintézetek mintegy 60%-a rendelkezik helyreállítási tervvel, amelyet több mint 80%-uk évente felülvizsgál. Alapvetően az információk megsemmisülés elleni védelmét biztonsági másolatok készítésével és azok külső tárolásával, szünetmentes tápegységek használatával és "forró" hardvertartalék megszervezésével érik el.
A pénzintézetek következő legfontosabb problémája a tárolt és feldolgozott információkhoz való felhasználói hozzáférés kezelése. Itt széles körben alkalmaznak különféle beléptető szoftverrendszereket, amelyek időnként helyettesíthetik a vírusirtó szoftvereket. Többnyire vásárolt beléptető szoftvert használnak. Sőt, a pénzintézetekben kiemelt figyelmet fordítanak a hálózaton belüli ilyen felhasználókezelésre. A hitelesített hozzáférés-szabályozás azonban rendkívül ritka (3%). Ez azzal magyarázható, hogy a tanúsított szoftverekkel nehéz dolgozni, és rendkívül költséges az üzemeltetése. Ez annak köszönhető, hogy a tanúsítási paramétereket a katonai rendszerek követelményeinek figyelembevételével dolgozták ki.
A számítógépes hálózatok védelmének megszervezésében a pénzügyi szervezeteknél tapasztalható különbségek közé tartozik a szabványos (azaz adaptált, de nem kifejezetten egy szervezet számára kifejlesztett) kereskedelmi szoftverek széles körben elterjedése a hálózati hozzáférés szabályozására (82%), a csatlakozási pontok védelme. a rendszer betárcsázós kommunikáción keresztül (69%). Ez valószínűleg a távközlés elterjedtebbé válásának köszönhető a pénzügyi szektorban, és annak a vágynak, hogy megvédjék magukat a külső beavatkozásoktól. Az egyéb védekezési módszereket, mint például a vírusirtó eszközök használata, a továbbított adatok végponttól végpontig és csatornáig történő titkosítása, üzenethitelesítés, megközelítőleg ugyanúgy és alapvetően (a vírusirtó eszközök kivételével) alkalmazzák. , a megkérdezett szervezetek kevesebb mint 50%-ában.
A pénzintézetekben nagy figyelmet fordítanak azon helyiségek fizikai védelmére, ahol a számítógépek találhatók (kb. 40%). Ez azt jelenti, hogy a számítógépek illetéktelen hozzáférés elleni védelme nemcsak szoftveres, hanem szervezési és technikai (biztonsági, kombinációs zár, stb.) segítségével is megoldott.
A helyi információk titkosítását a pénzintézetek valamivel több mint 20%-a használja. Ennek oka a kulcsok elosztásának bonyolultsága, a rendszerteljesítményre vonatkozó szigorú követelmények, valamint az információk gyors helyreállításának szükségessége meghibásodások és berendezések meghibásodása esetén.
Lényegesen kisebb figyelmet fordítanak a pénzügyi szervezetekben a telefonvonalak védelmére (4%) és a Tempest szabvány követelményeinek megfelelő számítógépek használatára (az elektromágneses sugárzáson és interferenciacsatornákon keresztüli információszivárgás elleni védelem). Az állami szervezetekben sokkal nagyobb figyelmet fordítanak az információfogadás elektromágneses sugárzással és hangszedők segítségével történő ellensúlyozásának megoldására.
A statisztikák elemzése lehetővé teszi egy fontos következtetés levonását: a pénzügyi szervezetek (beleértve a bankokat is) védelme némileg másképp épül fel, mint a hagyományos kereskedelmi és kormányzati szervezeteké. Ezért az ASOIB védelme érdekében nem alkalmazhatók ugyanazok a műszaki és szervezési megoldások, amelyeket standard helyzetekre fejlesztettek ki. Nem lehet ész nélkül másolni mások rendszereit – ezeket más körülményekre fejlesztették ki.
Bankok és minden ami velük van
összeköttetésben – mindig is mindenki célpontja volt
amolyan csalók. A mi korunkban ezek
e-mailekkel kapcsolatos csalások
bűn. És olyan vagyok, mint egy ember, aki
megpróbálja megakadályozni őket, szeretnék egy kicsit
hogy rávilágítsunk erre a kérdésre és megdöntsük a mítoszt arról
magányos hacker - behatol a bankszektorba
rendszert, és TELJES hozzáférést kap hozzá
információs források.
Kezdésként fontolja meg
biztonsági probléma
számítástechnikai komplexum. Alatt
megérteni a rendszer biztonságát -
a kísérleteknek ellenálló képesség
behatolás, jogosulatlan hozzáférés, jogok megszerzése és
kiváltságokat, valamint a megsemmisítés ill
információk torzítása. Mi vagyunk a legtöbben
a belső biztonság iránt érdeklődő, i.e.
a rendszer működésének biztosítása ben
normál működés és az integritás biztosítása,
biztonság és titoktartás
információ.
A lista elemzése
létező fenyegetések – azonosíthatók
a bankvédelem főbb irányai
rendszerek:
Miután mivel foglalkozott
ilyen biztonságot és miután belevágott
biztosításának kérdésének jelentősége, haladjunk tovább
az elektronikus védelmi eszközök lefedettségére
rendszerek.
Védőfelszereléshez
szoftvert, hardvert és
hardver és szoftver rendszerek.
Jellemzői szerint
a legmegbízhatóbb védelmi rendszer
csak hardvert és hardvert alkalmazzon -
szoftver. Ez összefügg a ténnyel
hogy ezek a rendszerek leggyakrabban
specializált, azaz előadó
bizonyos funkciókat, ami nagyszerű
előny, mert védeni ill
teszt specializált
készülék sokkal egyszerűbb, mint
egyetemes. Egy másik előny
speciális rendszerek az
fizikailag és logikailag lehetővé teszik
izolálja a blokkokat kritikussal
információ. Ezen kívül szoftver
hardverrendszerek megbízhatóságot biztosítanak
módosítás, törlés vagy lopás elleni védelem
információ a rendszerprogramozóktól ill
magasan képzett személyzet.
Általában szoftverben és hardverben
Biztonság
törlés funkció biztosított
titkos információ a próbálkozás során
fizikai behatolás a hardverbe
a rendszer része.
Figyelembe véve azt is
a rendszer gazdasági hatékonysága
gyakrabban használt biztonság
csak szoftveres eszközök, mert ár
speciális hardver modulok
elég magas. Használata
szoftvereszközöket, akkor nagyon
rugalmas, megfelelő szintet biztosítva
védelmet, és egyben jelentéktelen
szoftver karbantartási költségek
komplexek (a hardverhez képest,
rendszer. Egy másik fontos
szoftver implementáció előnye
védelem annak megváltoztatásának lehetősége
a bonyolítás vagy az egyszerűsítés irányába, be
a támogatási igényektől függően
Biztonság.
Szoftver segítségével
eszközökkel valósítható meg az alábbiak szerint
védelmi módszerek:
A fő hátrány
alapján épített védelmi rendszerek csak
szoftverrendszerek, is
elemzésük lehetőségét az NSD-ben. BAN BEN
ami nem zárható ki
módszerek kidolgozásának lehetősége
szoftvereszközök komplexumának leküzdése
biztonsági ill
módosítások.
Folytatjuk…
A banki tevékenység mindig is nagy mennyiségű bizalmas adat feldolgozásával és tárolásával járt. Először is ezek személyes adatok az ügyfelekről, a betéteikről és az összes végrehajtott tranzakcióról.
A hitelintézetek által tárolt és feldolgozott összes kereskedelmi információ sokféle kockázatnak van kitéve vírusokkal, hardverhibákkal, operációs rendszer hibáival stb. De ezek a problémák nem okozhatnak komoly károkat. Az adatok napi biztonsági mentése, amely nélkül egy vállalkozás információs rendszerének működése elképzelhetetlen, minimálisra csökkenti a helyrehozhatatlan információvesztés kockázatát. Ezen túlmenően jól kidolgozott és széles körben ismert védelmi módszerek e fenyegetésekkel szemben. Ezért előtérbe kerülnek a bizalmas információkhoz való jogosulatlan hozzáféréssel (UAI) kapcsolatos kockázatok.
Az illetéktelen hozzáférés valóság
A mai napig a bizalmas információk ellopásának három leggyakoribb módja. Először is, fizikai hozzáférés a tárolási és feldolgozási helyekhez. Sok lehetőség van itt. Például a támadók éjszaka betörhetnek egy banki irodába, és ellophatják az összes adatbázist tartalmazó merevlemezt. Akár fegyveres razzia is lehetséges, aminek nem a pénz a célja, hanem az információ. Lehetséges, hogy a banki alkalmazott maga viheti ki az adathordozót a területről.
Másodszor, a biztonsági mentések használata. A legtöbb bankban a fontos adatok biztonsági mentési rendszerei szalagos meghajtókon alapulnak. Az általuk készített másolatokat mágnesszalagokra rögzítik, amelyeket aztán külön helyen tárolnak. Az ezekhez való hozzáférést sokkal finomabban szabályozzák. Szállításuk és tárolásuk során viszonylag sok ember tud róluk másolatot készíteni. Az érzékeny adatok biztonsági mentésével kapcsolatos kockázatokat nem lehet alábecsülni. Például a legtöbb szakértő biztos abban, hogy az Orosz Föderáció Központi Bankjának 2005-ben eladásra került kiküldetési adatbázisait pontosan a mágnesszalagokról vett másolatoknak köszönhetően lopták el. A világgyakorlatban sok ilyen esemény van. Tavaly szeptemberben például a Chase Card Services (a JPMorgan Chase & Co. részlege), egy hitelkártya-szolgáltató alkalmazottai tévedésből kidobtak öt biztonsági szalagot, amelyek 2,6 millió Circuit City hitelszámla-tulajdonos adatait tartalmazták.
Harmadszor, a bizalmas információk kiszivárogtatásának legvalószínűbb módja a banki alkalmazottak illetéktelen hozzáférése. Ha csak szabványos operációs rendszer-eszközöket használnak a jogok szétválasztására, a felhasználóknak gyakran lehetőségük nyílik arra, hogy közvetetten (bizonyos szoftverek segítségével) teljesen lemásolják az általuk használt adatbázisokat, és azokat a vállalaton kívülre vigyék. Néha az alkalmazottak ezt minden rosszindulatú szándék nélkül teszik, csak azért, hogy otthon dolgozzanak az információkkal. Az ilyen cselekmények azonban súlyosan megsértik a biztonsági politikát, és a bizalmas adatok nyilvánosságra hozatalának indokaivá válhatnak (és azzá válhatnak!).
Ezen túlmenően, bármely bankban van egy csoport magas jogosultságokkal rendelkező ember a helyi hálózaton. Rendszergazdákról beszélünk. Egyrészt szükségük van rá hivatali feladataik ellátásához. De másrészt lehetőségük van bármilyen információhoz hozzáférni, és "elfedni a nyomaikat".
Így a banki információk jogosulatlan hozzáféréssel szembeni védelmét szolgáló rendszernek legalább három alrendszerből kell állnia, amelyek mindegyike védelmet nyújt a saját típusú fenyegetésekkel szemben. Ezek az adatok fizikai hozzáférése elleni védelmi alrendszer, a biztonsági mentések biztonságát biztosító alrendszer és a bennfentesek elleni védelem alrendszere. És tanácsos egyiket sem elhanyagolni, hiszen minden fenyegetés bizalmas adatok nyilvánosságra hozatalát okozhatja.
Bankok a törvény nincs megírva?
Jelenleg a bankok tevékenységét a bankokról és a banki tevékenységről szóló szövetségi törvény szabályozza. Többek között bevezeti a „banktitok” fogalmát. Eszerint minden hitelintézet köteles gondoskodni az ügyfelek betéteire vonatkozó valamennyi adat bizalmas kezeléséről. Felelős azok nyilvánosságra hozataláért, beleértve az információszivárgás által okozott kár megtérítését. Ugyanakkor a banki információs rendszerek biztonságát illetően nincsenek követelmények. Ez azt jelenti, hogy a bankok minden döntést a kereskedelmi adatok védelmével kapcsolatban saját maguk hozzák meg, szakembereik vagy harmadik fél (például információbiztonsági auditot végző) cégei tapasztalatai alapján. Az egyetlen ajánlás az Orosz Föderáció Központi Bankjának szabványa „Az Orosz Föderáció bankrendszerének szervezeteinek információbiztonságának biztosítása. Általános rendelkezések". 2004-ben jelent meg először, 2006-ban pedig új verziót fogadtak el. A tanszéki dokumentum elkészítésekor és véglegesítésekor a jelenlegi orosz és nemzetközi információbiztonsági szabványokat használtuk.
Az Orosz Föderáció Központi Bankja csak ajánlani tudja más bankoknak, de nem ragaszkodhat a kötelező végrehajtáshoz. Ezenkívül a szabványban kevés olyan egyértelmű követelmény található, amely meghatározza az egyes termékek kiválasztását. Természetesen fontos, de jelenleg nincs komoly gyakorlati jelentősége. Például a tanúsított termékekről ez áll: "...alkalmazhatók tanúsított vagy engedélyezett eszközök az információk illetéktelen hozzáféréstől való védelmére." Nincs megfelelő lista.
A szabvány felsorolja a banki információvédelmet szolgáló kriptográfiai eszközökre vonatkozó követelményeket is. És itt már van egy többé-kevésbé egyértelmű meghatározás: "A CIPF-et olyan algoritmusok alapján kell végrehajtani, amelyek megfelelnek az Orosz Föderáció nemzeti szabványainak, a partnerrel kötött szerződés feltételeinek és (vagy) a szabványoknak. a szervezettől." A kriptográfiai modul GOST 28147-89 szabványnak való megfelelését tanúsítással lehet megerősíteni. Ezért a banki titkosítási rendszerek használatakor kívánatos az Orosz Föderáció Szövetségi Biztonsági Szolgálata által hitelesített szoftver- vagy hardver-kriptoszolgáltatók használata, azaz olyan külső modulok használata, amelyek a szoftverhez csatlakoznak, és magát a titkosítási folyamatot hajtják végre.
Tavaly júliusban elfogadták az Orosz Föderáció "A személyes adatokról" szóló szövetségi törvényét, amely 2007. január 1-jén lépett hatályba. Egyes szakértők a banki biztonsági rendszerekre vonatkozó konkrétabb követelmények megjelenését hozták összefüggésbe, mivel a bankok személyes adatokat feldolgozó szervezetek. Maga a törvény azonban, amely általában nagyon fontos, jelenleg nem alkalmazható a gyakorlatban. A probléma abban rejlik, hogy hiányoznak a magánadatok védelmére vonatkozó szabványok és nincsenek olyan szervek, amelyek ellenőrizni tudnák azok végrehajtását. Vagyis kiderült, hogy jelenleg a bankok szabadon választhatnak rendszereket a kereskedelmi információk védelmére.
Fizikai hozzáférés védelem
A bankok hagyományosan nagy hangsúlyt fektetnek a működő irodák, letétkezelők és hasonlók fizikai biztonságára. Mindez csökkenti a kereskedelmi információkhoz való jogosulatlan hozzáférés kockázatát fizikai hozzáférés révén. A bankok irodái és azok a technikai helyiségek azonban, ahol a szerverek találhatók, általában nem különböznek a védelem mértékét tekintve más cégek irodáitól. Ezért a leírt kockázatok minimalizálása érdekében kriptográfiai védelmi rendszert kell alkalmazni.
Manapság számos olyan segédprogram létezik a piacon, amelyek titkosítják az adatokat. A banki feldolgozásuk sajátosságai azonban további követelményeket támasztanak a megfelelő szoftverrel szemben. Először is a transzparens titkosítás elvét kell megvalósítani a kriptográfiai védelmi rendszerben. Használata során a főtárban lévő adatok mindig csak kódolt formában vannak. Ezenkívül ez a technológia lehetővé teszi az adatokkal végzett rendszeres munka költségeinek minimalizálását. Nem kell minden nap visszafejteni és titkosítani őket. Az információkhoz való hozzáférés a szerverre telepített speciális szoftver segítségével történik. Hozzáféréskor automatikusan visszafejti az információkat, és titkosítja, mielőtt a merevlemezre írná. Ezeket a műveleteket közvetlenül a szerver RAM-jában hajtják végre.
Másodszor, a banki adatbázisok nagyon nagyok. Így a kriptográfiai információvédelmi rendszernek nem virtuális, hanem valós merevlemez-partíciókkal, RAID-tömbökkel és egyéb szervertárolókkal, például SAN-tárolókkal kell működnie. Az a tény, hogy a rendszerhez virtuális lemezként csatlakoztatható tárolófájlokat nem úgy tervezték, hogy nagy mennyiségű adattal működjenek. Abban az esetben, ha egy ilyen fájlból létrehozott virtuális lemez nagy, amikor akár többen is hozzáférnek egyidejűleg, akkor az információk olvasási és írási sebességének jelentős csökkenése figyelhető meg. Több tucat ember munkája egy nagy konténerfájllal igazi kínszenvedéssé fajulhat. Ezenkívül ügyeljen arra, hogy ezeket az objektumokat vírusok, fájlrendszer-összeomlások stb. veszélye fenyegeti. Végül is ezek közönséges fájlok, de meglehetősen nagy méretűek. És még egy enyhe változtatás is ahhoz vezethet, hogy nem lehet dekódolni a benne található összes információt. Mindkét kötelező követelmény jelentősen leszűkíti a védelem megvalósítására alkalmas termékek körét. Valójában ma már csak néhány ilyen rendszer van az orosz piacon.
A kriptográfiai információvédelmet szolgáló szerverrendszerek műszaki jellemzőit nem szükséges részletesen megvizsgálni, hiszen ezeket a termékeket már az előző számok egyikében összehasonlítottuk. ( Stolyarov N., Davletkhanov M. UTM-védelem.) De érdemes megjegyezni az ilyen rendszerek néhány jellemzőjét, amelyek jelenléte kívánatos a bankok számára. Az első a használt kriptográfiai modul már említett tanúsításához kapcsolódik. A megfelelő szoftver vagy hardver már elérhető a legtöbb bankban. Ezért a szerver információvédelmi rendszernek biztosítania kell azok összekapcsolásának és felhasználásának lehetőségét. Az információbiztonsági rendszerrel szemben támasztott második speciális követelmény az iroda és/vagy szerverterem fizikai biztonsági rendszerébe való integrálhatóság. Ez lehetővé teszi az információk védelmét a lopással, hackeléssel stb. kapcsolatos jogosulatlan hozzáféréstől.
A bankokban kiemelt figyelmet kell fordítani az információbiztonságra, hiszen az valójában az ügyfelek pénze. Ezért a védelmi rendszert olyan speciális tulajdonságokkal kell ellátni, amelyek minimálisra csökkentik az elvesztésének kockázatát. Az egyik legfigyelemreméltóbb a merevlemezen lévő rossz szektorok meghatározásának funkciója. Ezen túlmenően nagy jelentőséggel bír a lemez kezdeti titkosításának, visszafejtésének és újratitkosításának folyamatainak szüneteltetése és megszakítása. Ezek meglehetősen hosszadalmas eljárások, amelyek során minden hiba az összes adat teljes elvesztésével fenyeget.
Az emberi tényező nagyon nagy hatással van a bizalmas információkhoz való jogosulatlan hozzáféréssel járó kockázatokra. Ezért kívánatos, hogy a védelmi rendszer lehetőséget biztosítson ennek a kapcsolatnak a csökkentésére. Ezt a titkosítási kulcsok – intelligens kártyák vagy USB-kulcsok – megbízható tárolásával érik el. Ezeknek a tokeneknek a termékbe való beépítése optimális, nem csak a költségek optimalizálását teszi lehetővé, hanem a szoftver és a hardver teljes kompatibilitását is biztosítja.
Egy másik fontos funkció, amely lehetővé teszi az emberi tényező befolyásának minimalizálását a védelmi rendszer megbízhatóságára, a kulcsok határozatképessége. Lényege, hogy a titkosítási kulcsot több részre osztják, amelyek mindegyikét egy felelős alkalmazott használhatja. Zárt lemez csatlakoztatásához meghatározott számú alkatrész szükséges. Sőt, kisebb is lehet, mint a kulcs részeinek teljes száma. Ez a megközelítés lehetővé teszi az adatok védelmét a felelős munkatársak általi visszaélésekkel szemben, valamint biztosítja a bank munkájához szükséges rugalmasságot.
Biztonsági mentés
A bankban tárolt összes információ rendszeres biztonsági mentése feltétlenül szükséges. Lehetővé teszi a veszteségek jelentős csökkentését olyan problémák esetén, mint például vírusok által okozott adatsérülés, hardverhiba stb. Ugyanakkor növeli az illetéktelen hozzáféréssel járó kockázatokat. A gyakorlat azt mutatja, hogy az adathordozót, amelyre a mentések készülnek, nem a szerverszobában kell tárolni, hanem egy másik helyiségben vagy akár egy épületben. Ellenkező esetben tűz vagy más súlyos incidens esetén mind az adatok, mind az archívumaik helyrehozhatatlanul elveszhetnek. A biztonsági másolatok illetéktelen használat elleni biztonságos védelmének egyetlen módja a titkosítás. Ebben az esetben a biztonsági tiszt a titkosítási kulcsot magánál tartva biztonságosan továbbíthatja az archívumot tartalmazó adathordozókat a műszaki személyzetnek.
A biztonsági mentések kriptográfiai védelmének megszervezésének fő nehézsége az, hogy szét kell választani az adatarchiválás kezelésével kapcsolatos felelősségeket. A rendszergazdának vagy más műszaki alkalmazottnak magát a biztonsági mentési folyamatot kell konfigurálnia és végrehajtania. Az információk titkosítását egy felelős alkalmazottnak - egy biztonsági tisztnek - kell kezelnie. Ugyanakkor meg kell érteni, hogy az esetek túlnyomó többségében a foglalás automatikusan megtörténik. Ezt a problémát csak úgy lehet megoldani, ha egy titkosítási védelmi rendszert "beágyaznak" a mentéskezelő rendszer és az adatokat rögzítő eszközök (streamerek, DVD-meghajtók stb.) közé.
Így a kriptográfiai termékeknek ahhoz, hogy bankokban is használhatók legyenek, képesnek kell lenniük a különféle biztonsági mentések adathordozóra írásához használt eszközökkel való együttműködésre is: streamerek, CD- és DVD-meghajtók, cserélhető merevlemezek stb.
Ma háromféle termék létezik, amelyek célja a biztonsági másolatokhoz való jogosulatlan hozzáféréssel járó kockázatok minimalizálása. Az első speciális eszközöket tartalmaz. Az ilyen hardvermegoldások számos előnnyel rendelkeznek, beleértve az információk megbízható titkosítását és a nagy sebességet. Van azonban három jelentős hátrányuk, amelyek megakadályozzák a banki felhasználásukat. Először is: nagyon magas költségek (több tízezer dollár). Másodszor: lehetséges problémák az oroszországi importtal (nem szabad elfelejtenünk, hogy kriptográfiai eszközökről beszélünk). A harmadik hátrány, hogy nem lehet hozzájuk csatlakoztatni külső tanúsított kriptoszolgáltatókat. Ezek a táblák csak hardver szinten bennük implementált titkosítási algoritmusokkal működnek.
A biztonsági mentések kriptográfiai védelmét szolgáló védelmi rendszerek második csoportja olyan modulokból áll, amelyeket a szoftver- és hardverfejlesztők kínálnak ügyfeleiknek biztonsági mentés céljából. Léteznek ezen a területen az összes legismertebb termékhez: ArcServe, Veritas Backup Exec stb. Igaz, ezeknek is megvannak a sajátosságai. A legfontosabb dolog az, hogy csak a "saját" szoftverrel vagy meghajtóval dolgozzon. Eközben a bank információs rendszere folyamatosan fejlődik. És lehetséges, hogy a biztonsági rendszer cseréje vagy bővítése további költségeket igényelhet a védelmi rendszer módosításához. Ráadásul az ebbe a csoportba tartozó termékek többsége régi lassú titkosítási algoritmusokat valósít meg (például 3DES), nincsenek kulcskezelő eszközök, és nincs lehetőség külső kriptográfiai szolgáltatók csatlakoztatására.
Mindez arra kényszerít bennünket, hogy fokozott figyelmet fordítsunk a harmadik csoportba tartozó biztonsági mentések kriptográfiai védelmi rendszereire. Speciálisan tervezett szoftvereket, firmware- és hardvertermékeket foglal magában, amelyek nem kapcsolódnak konkrét adatarchiváló rendszerekhez. Az információrögzítő eszközök széles skáláját támogatják, ami lehetővé teszi azok használatát a bank egészében, beleértve annak minden fiókját is. Ez biztosítja az alkalmazott védelmi eszközök egységességét és az üzemeltetési költségek minimalizálását.
Igaz, érdemes megjegyezni, hogy minden előnyük ellenére a harmadik csoportból nagyon kevés termék van a piacon. Ennek valószínűleg az az oka, hogy nincs nagy kereslet a kriptográfiai biztonsági mentési védelmi rendszerek iránt. Amint a bankok és más nagy szervezetek vezetése ráébred a kereskedelmi információk archiválásával járó kockázatokra, a piac szereplőinek száma növekedni fog.
Bennfentes védelem
Az információbiztonság területén a közelmúltban végzett kutatások, mint például az éves CSI/FBI Computer Crime And Security Survey kimutatták, hogy a vállalatok pénzügyi veszteségei a legtöbb fenyegetés miatt évről évre csökkennek. Ennek ellenére több kockázat is felmerül, amelyekből származó veszteségek nőnek. Ezek egyike a bizalmas információ szándékos ellopása, illetve azok kezelési szabályainak megsértése azon munkavállalók részéről, akiknek a kereskedelmi adatokhoz való hozzáférése hivatali feladatai ellátásához szükséges. Bennfenteseknek hívják őket.
Az esetek túlnyomó többségében a bizalmas információk ellopása mobil adathordozók segítségével történik: CD-k és DVD-k, ZIP-eszközök és ami a legfontosabb, mindenféle USB-meghajtó. Tömeges terjesztésük vezetett a bennfentes kereskedelem virágzásához világszerte. A legtöbb bank vezetői jól tudják, mi fenyeget például, ha bűnszervezetek kezébe kerül egy olyan adatbázis, amely ügyfeleik személyes adatait vagy ráadásul a számláikon lévő tranzakciókat tartalmazza. Az esetleges információlopás ellen pedig a rendelkezésükre álló szervezési módszerekkel próbálnak küzdeni.
A szervezési módszerek azonban ebben az esetben hatástalanok. Ma már meg lehet szervezni az információátvitelt a számítógépek között miniatűr pendrive-on, mobiltelefonon, mp3 lejátszón, digitális fényképezőgépen... Természetesen meg lehet próbálni ezeknek az eszközöknek az irodába való behozatalát tiltani, de ez egyrészt negatívan befolyásolja az alkalmazottakkal fenntartott kapcsolatokat, másrészt még mindig nagyon nehéz valóban hatékony ellenőrzést kialakítani az emberek felett - a bank nem egy "postafiók". És még az sem segít, ha a számítógépeken minden olyan eszközt letiltunk, amelyekkel információkat lehet írni külső adathordozókra (FDD- és ZIP-meghajtók, CD- és DVD-meghajtók stb.) és USB-portokra. Hiszen előbbiekre a munkához van szükség, utóbbihoz pedig különféle perifériák csatlakoznak: nyomtatók, szkennerek stb. És senki sem akadályozhatja meg, hogy egy percre is kikapcsolja a nyomtatót, flash meghajtót helyezzen a felszabaduló portba, és fontos információkat másoljon rá. Természetesen megtalálhatja az eredeti védekezési módokat. Például az egyik bankban kipróbálták ezt a problémamegoldási módszert: az USB-port és a kábel találkozási pontját epoxigyantával töltötték meg, ez utóbbit szorosan „kötözték” a számítógéphez. De szerencsére ma már léteznek korszerűbb, megbízhatóbb és rugalmasabb ellenőrzési módszerek.
A bennfentesekkel kapcsolatos kockázatok minimalizálásának leghatékonyabb eszköze a speciális szoftver, amely dinamikusan kezeli az összes olyan eszközt és számítógép-portot, amely információk másolására használható. Munkájuk elve a következő. A különböző portok és eszközök használatára vonatkozó engedélyek minden felhasználói csoporthoz vagy minden felhasználóhoz külön-külön be vannak állítva. Az ilyen szoftverek legnagyobb előnye a rugalmasság. Meghatározott típusú eszközökhöz, azok modelljéhez és egyedi példányaihoz megadhat korlátozásokat. Ez lehetővé teszi a hozzáférési jogok elosztására vonatkozó nagyon összetett házirendek megvalósítását.
Például egyes alkalmazottak számára engedélyezhető az USB-portokhoz csatlakoztatott nyomtatók és szkennerek használata. Az ehhez a porthoz csatlakoztatott összes többi eszköz elérhetetlen marad. Ha a bank tokeneken alapuló felhasználó-hitelesítési rendszert használ, akkor a beállításokban megadhatja a használt kulcsmodellt. Ekkor a felhasználók csak a cég által vásárolt eszközöket használhatják, a többi pedig használhatatlan lesz.
A védelmi rendszerek fent leírt működési elve alapján megértheti, hogy mely pontok fontosak a rögzítőeszközök és a számítógépes portok dinamikus blokkolását megvalósító programok kiválasztásakor. Először is a sokoldalúság. A védelmi rendszernek le kell fednie a lehetséges portok és információbeviteli-kimeneti eszközök teljes körét. Ellenkező esetben a kereskedelmi információlopás kockázata elfogadhatatlanul magas marad. Másodszor, a kérdéses szoftvernek rugalmasnak kell lennie, és lehetővé kell tennie szabályok létrehozását az eszközökről szóló nagy mennyiségű információ felhasználásával: típusuk, modellgyártók, az egyes példányok egyedi számai stb. Harmadszor pedig a bennfentes védelmi rendszernek integrálhatónak kell lennie a bank információs rendszerével, különösen az Active Directoryval. Ellenkező esetben az adminisztrátornak vagy biztonsági tisztnek két adatbázist kell karbantartania a felhasználókról és a számítógépekről, ami nem csak kényelmetlen, de növeli a hibaveszélyt is.
Összegezve
Tehát ma már vannak olyan termékek a piacon, amelyek segítségével bármely bank megbízható rendszert tud kialakítani az információk illetéktelen hozzáféréssel és visszaélésekkel szembeni védelmére. Igaz, amikor kiválasztják őket, nagyon óvatosnak kell lenni. Ideális esetben ezt megfelelő szintű belső szakértőknek kell elvégezniük. Harmadik fél szolgáltatásainak használata megengedett. Ebben az esetben azonban előfordulhat olyan helyzet, amikor a bankot nem megfelelő szoftverrel, hanem a beszállító cég számára előnyös szoftverrel fogják ügyesen rákényszeríteni. Ráadásul a hazai információbiztonsági tanácsadási piac gyerekcipőben jár.
Eközben a helyes választás egyáltalán nem nehéz. Elég, ha felvértezi magát az általunk felsorolt kritériumokkal, és alaposan tanulmányozza a biztonsági rendszerek piacát. De van egy „csapda”, amire emlékezni kell. Ideális esetben egységes lenne a bank információbiztonsági rendszere. Vagyis minden alrendszert integrálni kell a meglévő információs rendszerbe, és lehetőleg közös menedzsmenttel kell rendelkeznie. Ellenkező esetben elkerülhetetlen a védelmi adminisztráció megnövekedett munkaerőköltsége és a vezetési hibák miatti kockázatok növekedése. Ezért a ma leírt három védelmi alrendszer felépítéséhez jobb, ha egy fejlesztő által kiadott termékeket választunk. Ma Oroszországban vannak olyan cégek, amelyek mindent létrehoznak, ami ahhoz szükséges, hogy megvédjék a banki információkat az illetéktelen hozzáféréstől.
A bankok információbiztonsága pedig egy audittal kezdődik. A kiberbiztonsági audit nemcsak bizonyos típusú tevékenységek végzésére adhat jogot a banknak, hanem feltárhatja a bank rendszereinek gyengeségeit is. Ezért körültekintően kell megközelíteni az ellenőrzés lefolytatására vonatkozó döntést és meg kell választani az ellenőrzés formáját.
A könyvvizsgálatról szóló, 2008. december 30-i 307-FZ szövetségi törvény szerint az audit egy „egy ellenőrzött szervezet számviteli (pénzügyi) kimutatásának független ellenőrzése annak érdekében, hogy véleményt nyilvánítsanak az ilyen kimutatások megbízhatóságáról ."
A törvényben említett fogalom meghatározásának semmi köze az információbiztonság területéhez. Az információbiztonsági szakemberek azonban meglehetősen aktívan használják beszédben. Ebben az esetben az audit egy szervezet, rendszer, folyamat, projekt vagy termék tevékenységének független értékelésének folyamatát jelenti.
A különböző hazai szabályozásokban nem mindig szerepel az „információbiztonsági audit” kifejezés – gyakran felváltja vagy a „megfelelőségi értékelés”, vagy a kissé elavult, de még mindig használt „tanúsítás” kifejezés. Néha találkozunk a „tanúsítás” kifejezéssel, de a nemzetközi külföldi szabályozással kapcsolatban.
Bármelyik kifejezést is használjuk, lényegében információbiztonsági auditot hajtanak végre az előírások betartásának, illetve az alkalmazott megoldások érvényességének és biztonságának ellenőrzésére. Az első esetben lehetetlen megtagadni az ellenőrzés lefolytatását, ellenkező esetben az előírások és pénzbírságok megsértésével, a tevékenység felfüggesztésével és egyéb büntetésekkel jár. A második esetben az ellenőrzés önkéntes, az elvégzéséről a szervezet maga dönt.
Kötelező audit végezhető:
Önkéntes audit bármilyen okból elvégezhető: távoli bankrendszer biztonságának ellenőrzése, felvásárolt bank vagyonának ellenőrzése, újonnan nyitott fiók ellenőrzése stb. Ebben az esetben nem lehet egyértelműen kijelölni a határokat, vagy leírni a beszámolási formákat, vagy beszélni az ellenőrzés szabályszerűségéről - mindezt a könyvvizsgáló és az ellenőrzött szervezet közötti szerződés dönti el. Térjünk rá a kötelező ellenőrzés formáira, amelyek fontosak a bankok információbiztonsága szempontjából.
Az ISO / IEC 27001: 2005 nemzetközi szabvány teljes orosz analógja - "GOST R ISO / IEC 27001-2006 - Információtechnológia - A biztonság biztosításának módszerei és eszközei. Információbiztonsági irányítási rendszerek – Követelmények.
Lényegében ezek a szabványok a nagy szervezetek információbiztonságának kezelésére vonatkozó legjobb gyakorlatok összességét jelentik. A kis szervezetek, beleértve a bankokat is, nem mindig képesek maradéktalanul megfelelni a szabvány követelményeinek. Mint minden oroszországi szabvány, az ISO 27001 is önkéntes dokumentum; minden bank dönti el, hogy elfogadja-e a feltételeit vagy sem. Az ISO 27001 azonban egy elszánt globális szabvány, és a különböző országok szakemberei univerzális útmutatóként használják mindenki számára, aki az információbiztonsággal foglalkozik.
Az ISO 27001 számos finom és ritkán említett, de fontos pontot tartalmaz.
Először is, nem a bank teljes információbiztonsági rendszere, hanem csak egy vagy több komponense tartozik e szabvány szerinti auditálás alá. Például egy távoli banki védelmi rendszer, egy banki központ védelmi rendszer vagy egy személyzeti menedzsment folyamatvédelmi rendszer. Más szóval, az audit részeként értékelt folyamatok valamelyikére vonatkozó megfelelőségi tanúsítvány megszerzése nem garantálja, hogy a többi folyamat az ideálishoz közeli állapotban van.
A második pont azzal a ténnyel kapcsolatos, hogy az ISO 27001 univerzális szabvány, azaz bármely szervezetre alkalmazható, ezért nem veszi figyelembe az iparág sajátosságait. Ez oda vezetett, hogy az ISO nemzetközi szabványügyi szervezet keretein belül régóta szó van az ISO 27015 szabvány megalkotásáról, amely az ISO 27001/27002 kiterjesztése a pénzügyi szektorra. A Bank of Russia aktívan részt vesz az iparági szabvány kidolgozásában. A már kidolgozott projektet a Visa és a MasterCard ellenezte. A Visa úgy véli, hogy túl kevés olyan információ található a projektben, amelyre a pénzügyi szektornak szüksége van, például a fizetési rendszerekről. Ha azonban hiányzó rendelkezéseket egészítenek ki, a szabványt át kell helyezni egy másik ISO-bizottsághoz. A MasterCard azt javasolja, hogy állítsák le az ISO 27015 fejlesztését, arra hivatkozva, hogy a pénzügyi szektornak már van elég dokumentuma, amely szabályozza az információbiztonság területét.
Harmadszor, sok javaslat az orosz piacon nem a megfelelőségi ellenőrzésekről, hanem az auditra való felkészülésről beszél. Az a tény, hogy a világon csak néhány szervezetnek van joga tanúsítani az ISO 27001 követelményeinek való megfelelést. Az integrátorok pedig csak abban segítik a cégeket, hogy megfeleljenek a szabvány követelményeinek, amit aztán hivatalos auditorok (nyilvántartók, tanúsító szervek) ellenőriznek.
Miközben a vita folytatódik, hogy a bankoknak be kell-e vezetniük az ISO 27001 szabványt vagy sem, néhány bátor lélek nekivág, és átesik a megfelelőségi audit három szakaszán:
Kinek van szüksége az ISO 27001 szabványra Oroszországban? Ha a szabványt nem csak a legjobb gyakorlatok összességének tekintjük, amelyet auditon átmenően is be kell vezetni, hanem egy tanúsítási folyamatnak is, amely megerősíti, hogy a bank megfelel a nemzetközi biztonsági követelményeknek, akkor érdemes az ISO 27001 bevezetését akár bankok esetében is alkalmazni. amelyek olyan bankcsoportok tagjai, ahol az ISO 27001 szabvány, vagy olyan bankok, amelyek nemzetközi színtérre kívánnak belépni. Más esetekben az ISO 27001-nek való megfelelés ellenőrzése és a tanúsítvány megszerzése legtöbbször nem szükséges. De csak a bank számára és csak Oroszországban, mert léteznek ISO 27001-en alapuló hazai szabványok. De facto egészen a közelmúltig az Oroszországi Bank pontosan az STO BR IBBS követelményeinek megfelelően végzett ellenőrzéseket.
Ez a szabvány vagy inkább szabványkészlet egységes megközelítést ír le a banki szervezetek információbiztonsági rendszerének felépítésére, figyelembe véve az orosz jogszabályok követelményeit. A dokumentumkészlet (a továbbiakban: STO BR IBBS) három szabványt és öt szabványosítási ajánlást tartalmaz. Az ISO 27001 szabványon és más nemzetközi információtechnológiai menedzsment és információbiztonsági szabványokon alapul. A szabvány, valamint az ISO 27001 követelményeinek való megfelelés ellenőrzésének és értékelésének kérdéseit külön dokumentumok határozzák meg:
Az STO BR IBBS szerinti megfelelőségértékelés során 423 konkrét IS mutató teljesülését ellenőrzik, amelyek 34 csoportmutatóra vannak felosztva. Az értékelés eredménye a végső mutató, amelynek a 4. vagy 5. szinten kell lennie az Oroszországi Bank által felállított ötfokú skálán. Ez a részlet különbözteti meg az STO BR IBBS szerinti auditot az információbiztonság területén egyéb szabályozások szerinti audittól. Az STO BR IBBS nem azt jelenti, hogy „nem megfelelő”, csak a megfelelőségi szint eltérő lehet: nullától ötig. Csak a 4 feletti szintek tekinthetők pozitívnak.
2011 végén a bankok 70-75%-a már bevezette vagy bevezette ezeket a szabványokat. De jure az STO BR IBBS tanácsadó jellegű, de de facto egészen a közelmúltig az Oroszországi Bank pontosan az STO BR IBBS előírásainak megfelelően végzett ellenőrzéseket, bár a feltételeket soha sehol nem határozták meg kifejezetten. A helyzet 2012. július 1-je óta változott, amikor hatályba lépett a „Nemzeti Fizetési Rendszerről” szóló törvény, valamint a kormány és az orosz jegybank annak végrehajtására kidolgozott szabályozó dokumentumai. Azóta ismét napirendre került az STO BR IBBS követelményeinek való megfelelés ellenőrzésének szükségessége.
Az a tény, hogy a nemzeti fizetési rendszerről (NPS) szóló jogszabály keretében javasolt megfelelőségértékelési módszertan és az STO BR IBBS-nek való megfelelés értékelésének módszertana a végső értékekben jelentősen eltérhet. Ezzel párhuzamosan az első módszer szerinti értékelés (NPS esetében) kötelezővé vált, míg az STO BR IBBS szerinti értékelés továbbra is de jure ajánló. A cikk írásakor maga a Bank of Russia még nem döntötte el ennek az értékelésnek a sorsát. Ha korábban az Orosz Bank Biztonsági és Információvédelmi Főigazgatóságán (GUBZI) minden szál összeforrt, akkor a GUBZI és az Elszámolásszabályozási Főosztály (LHH) közötti hatáskörmegosztással a kérdés nyitott maradt. Egyértelmű, hogy az NPS-re vonatkozó jogszabályok kötelező megfelelőségértékelést, azaz auditot írnak elő.
2012. június 9-én kiadott és jóváhagyott 382-P rendelet „A pénzátutalások során az információ védelmének biztosítására vonatkozó követelményekről, valamint az Oroszországi Bank által az információvédelem biztosítására vonatkozó követelmények betartásának ellenőrzésére vonatkozó eljárásról pénzátutalások végzésekor” a 2.15. pontban a megfelelőség kötelező értékelését, azaz az ellenőrzést írja elő. Az értékelést vagy önállóan, vagy külső szervezetek bevonásával végzik el.
A 382-P keretein belüli megfelelőségértékelési módszertan lényegében hasonló az STO BR IBBS megfelelőségértékelési módszertanához, de eltérő eredményeket ad. Ez a speciális korrekciós tényezők bevezetésének köszönhető.
A 382-P rendelet nem ír elő különleges követelményeket az auditálásban részt vevő szervezetek számára. Ez némi ellentmondást jelent a 2012. június 13-i, „A fizetési rendszerben található információ védelméről” szóló 584. számú kormányrendelettel, amely szintén előírja az információvédelmi követelményeknek való megfelelés ellenőrzésének és értékelésének megszervezését és lefolytatását 2 évente egyszer. . Az FSTEC által kidolgozott kormányrendelet azonban előírja, hogy külső auditot csak a bizalmas információk műszaki védelmére engedéllyel rendelkező szervezetek végezzenek.
A bankok számára új kötelezettségeket ró további követelményeket a 382-P rendelet 2.16. szakasza sorolja fel. Az előírások szerint a fizetési rendszer üzemeltetője köteles fejleszteni, a fizetési rendszerhez csatlakozott bankok pedig betartani a fizetési rendszer üzemeltetőjének rendszeres tájékoztatására vonatkozó követelményeket a bank különböző információbiztonsági kérdéseiről, ideértve:
Az NPS-ről szóló FZ-161 azt is megállapítja, hogy a szerződéses ellenőrzésen túl az 584. határozat, illetve a 382. rendelet követelményeinek való megfelelés ellenőrzését és felügyeletét az FSB, az FSTEC és a Bank of Russia végzi. . E cikk írásakor sem az FSTEC, sem az FSB nem rendelkezett kidolgozott eljárással a felügyelet lefolytatására. Ellentétben az Oroszországi Bankkal, amely két dokumentumot bocsátott ki:
2012. július 1-jén a Bank of Russia megkezdte a nemzeti fizetési rendszerben az információbiztonság területére vonatkozó szabályozás bűnüldözési gyakorlatának tesztelését és tények gyűjtését.
PCI DSS - Payment Card Industry Data Security Standard - fizetési kártya adatbiztonsági szabvány. A Payment Card Industry Security Standards Council (PCI SSC) fejlesztette ki, amelyet a Visa, MasterCard, American Express, JCB és Discover nemzetközi fizetési rendszerek hoztak létre.
A PCI DSS szabvány 12 magas szintű és több mint 200 részletes követelményből álló összességet képviseli a fizetőkártya-tulajdonosokra vonatkozó, a szervezetek információs rendszereiben továbbított, tárolt és feldolgozott adatok biztonságának biztosítására. A szabvány követelményei minden olyan vállalatra vonatkoznak, amely a Visa és a MasterCard nemzetközi fizetési rendszerekkel dolgozik. A feldolgozott tranzakciók számától függően minden vállalathoz hozzárendelnek egy szintet, minden szinthez - saját követelményrendszert. Az egyes fizetési rendszerek szintjei eltérőek.
A PCI DSS szabvány feltételeinek való megfelelés ellenőrzése a kötelező tanúsítás részeként történik, amelynek követelményei az ellenőrzött cég típusától függően eltérőek: áruk és szolgáltatások fizetésére kártyát elfogadó kereskedő vagy szállító, aki szolgáltatásokat nyújt kereskedőknek, bankoknak - elfogadóknak, kibocsátóknak és így tovább (feldolgozó központok, fizetési átjárók). Az értékelés különböző formákban történik:
Egy másik, a bankszektorra vonatkozó szabályozási dokumentum, amely meghatározza a megfelelőségértékelés követelményeit, a „Személyes adatokról” szóló szövetségi törvény. Azonban sem az ellenőrzés formája, sem gyakorisága, sem az ellenőrzést végző szervezettel szemben támasztott követelmények még nem kerültek meghatározásra. Talán 2012 őszén megoldódik a kérdés, amikor is megjelennek a kormány, az FSTEC és az FSZB azon dokumentumai, amelyek új szabványokat vezetnek be a személyes adatok védelmében. Míg a bankok önállóan határozzák meg a személyes adatok védelmének ellenőrzésének jellemzőit.
A 152-FZ törvény 19. cikkében meghatározott, a személyes adatok biztonságát biztosító szervezeti és technikai intézkedések végrehajtásának ellenőrzését és felügyeletét az FSB és az FSTEC végzi. De ez csak a személyes adatok állami információs rendszereire vonatkozik. A személyes adatok információbiztonságának biztosítása terén a törvény szerint egyelőre nincs, aki ellenőrzést gyakoroljon a kereskedelmi szervezetek felett. Amit nem lehet elmondani a személyes adatok alanyainak jogainak védelméről, azaz az ügyfelek, a szerződő felek és a bank csak látogatói jogainak védelméről. Ezt a feladatot a Roskomnadzor vállalta magára, amely aktívan látja el a felügyeleti feladatokat, és a bankokat a személyes adatokról szóló törvény rosszindulatú megsértőinek tekinti.
A főbb szabályozások mindegyike meghatározza a megfelelőségértékelésre vonatkozó saját követelményeit ilyen vagy olyan formában: a kérdőívek kitöltésével (PCI DSS) végzett önértékeléstől a kétévente egyszeri kötelező auditon át (382-P), vagy egyszeri év (ISO 27001). A megfelelőségértékelésnek más formái is léteznek: fizetési rendszerüzemeltetői értesítések, negyedéves ellenőrzések stb.
Másrészt az országnak továbbra sincs egységes nézetrendszere nemcsak a szervezetek és az informatikai rendszerek információbiztonsági auditjának állami szabályozása, hanem maga az információbiztonsági audit témakörében sem. Számos osztály és szervezet felelős az információbiztonságért Oroszországban: FSTEC, FSB, Bank of Russia, Roskomnadzor, PCI SSC és mások. Mindegyikük saját szabályzata és irányelvei alapján működik. Különböző megközelítések, eltérő színvonal, különböző érettségi szintek… Mindez akadályozza az egységes játékszabályok kialakítását.
A képet az is rontja, hogy megjelentek az egynapos cégek, amelyek haszonszerzés céljából alacsony színvonalú szolgáltatásokat nyújtanak az információbiztonsági követelményeknek való megfelelés felmérése terén. És nem valószínű, hogy a helyzet jobbra fog változni. Ha egyszer van igény, lesz, aki azt ki akarja elégíteni, miközben egyszerűen nincs mindenki számára elegendő képzett könyvvizsgáló. Az ellenőrzések csekély száma (lásd infografika) és a több héttől több hónapig terjedő ellenőrzési időtartam miatt egyértelmű, hogy az ellenőrzési kérelem súlyosan meghaladja az auditorok kapacitását.
Az „Informatikai rendszerek és szervezetek információbiztonsági auditálásának koncepciójában”, amelyet az FSTEC nem fogadott el, a következő mondat szerepelt:
„...ugyanakkor a szükséges nemzeti szabályozók hiányában az ilyen tevékenység [a magáncégek szabályozatlan könyvvizsgálata] helyrehozhatatlan károkat okozhat a szervezeteknek.”
A Koncepció készítői javaslatot tettek az auditálási megközelítések egységesítésére és a játékszabályok jogi rögzítésére, beleértve a könyvvizsgálók akkreditációjának szabályait, a képesítési követelményeket, valamint az ellenőrzés lefolytatásának rendjét. De a dolgok még mindig ott vannak. Bár tekintettel arra a figyelemre, hogy az információbiztonság területén a hazai szabályozók – és csak kilencen vannak – az információbiztonsági kérdésekre fordítanak figyelmet, lehetséges, hogy a téma hamarosan ismét aktuálissá válik. Csak az elmúlt naptári évben 52 információbiztonsági tárgyú jogszabályt fogadtak el vagy dolgoztak ki, és hetente egy jogszabályt!
A jelenlegi körülmények között sajnos el kell ismernünk, hogy egy bank információbiztonsági auditjának fő célja - a tevékenységébe vetett bizalom növelése - Oroszországban elérhetetlen. A bank orosz ügyfelei közül kevesen figyelnek a biztonsági szintre vagy a bankban végzett audit eredményeire. Ellenőrzésre vagy a bankot (részvényeseit és tulajdonosait) ért súlyos anyagi kárral járó nagyon súlyos incidens, vagy jogszabályi előírások esetén kell megkeresni.
Az 1. számú követelmény, amelyhez érdemes biztonsági audithoz fordulni, a Bank of Russia 382-P rendelkezése. A bankok védettségi szintjéről és a 382-P előírásainak teljesítéséről, amelyeket a jegybank területi osztályaitól kérnek, pontosan egy külső audit vagy önértékelés eredményeként szerzik meg.
A második helyen a személyes adatokról szóló törvény követelményeinek való megfelelés ellenőrzése áll. De érdemes egy ilyen ellenőrzést lefolytatni legkorábban abban a pillanatban, amikor az FSTEC és az FSB által ígért összes dokumentumot kiadják, és amikor világossá válik az STO BR IBBS sorsa. Ugyanakkor felvethető az STO BR IBBS követelményeinek való megfelelés ellenőrzésének lefolytatása.
Az audit sikeres befejezése nem jelenti azt, hogy a bank biztonságával minden rendben van. Számos trükk létezik, amelyek lehetővé teszik az ellenőrzött szervezet számára, hogy elrejtse a biztonsági rendszer hibáit. Sok múlik a könyvvizsgálók képesítésén és függetlenségén. A tapasztalat azt mutatja, hogy még azokban a szervezetekben is előfordulnak incidensek és súlyos incidensek, amelyek sikeresen átestek a PCI DSS, ISO 27001 vagy STO BR IBBS megfelelőségi auditján.
Dmitrij MARKIN, az AMT-GROUP audit és tanácsadó osztályának vezetője:
Egészen a közelmúltig a hitelintézetek információbiztonsági állapotának kötelező ellenőrzésének átadásának kérdéseit az orosz jogszabályok keretein belül csak az FZ-152 „A személyes adatokról” szabályozta a hitelintézetek biztonsága érdekében hozott intézkedések belső ellenőrzése tekintetében. PD, valamint az Orosz Föderáció Központi Bankjának 242-P „A hitelintézetek és bankcsoportok belső ellenőrzésének megszervezéséről” című rendelete. Ezen túlmenően a 242-P számú rendelet előírásaival összhangban az információbiztonság biztosításának ellenőrzésére vonatkozó eljárást a hitelintézet belső dokumentumai határozzák meg önállóan, az információbiztonság biztosítására vonatkozó konkrét követelményekre való hivatkozás nélkül. A nemzeti fizetési rendszerről szóló 161-es szövetségi törvény 27. cikkének hatálybalépésével összefüggésben, amely meghatározza a fizetési rendszerben található információ védelmére vonatkozó követelményeket, az Orosz Föderáció kormányának 584. sz. "A fizetési rendszerben található információk védelméről szóló rendelet jóváhagyásáról" és a Központi Bank RF №382-P. Az 584. számú rendelet és a 382-P. számú rendelet előírásai szerint a fizetési rendszerben az információvédelmet a jelen szabályzat előírásai, valamint a fizetési rendszer üzemeltetői által a fizetési szabályzatban foglalt követelmények szerint kell végrehajtani. rendszerek. A kulcspont itt a fizetési rendszerek üzemeltetőinek (például Visa és MasterCard) azon jogának nemzeti jogszabályi szinten történő megszilárdítása, hogy önállóan határozzák meg az információvédelmi követelményeket. A 382-P számú rendelet a hitelintézetek azon kötelezettségét is megjelöli, hogy az információbiztonság biztosítására vonatkozó követelményeknek való megfelelést legalább 2 évente értékeljék, a megfelelés értékelésének módszertana, az ellenőrzési szempontok és az eredmények dokumentálására vonatkozó eljárás egyértelműen meghatározott. Álláspontunk szerint a fenti szabályozás megjelenésével a vezető nemzetközi fizetési rendszerek, Visa és MasterCard részvételével kidolgozott PCI DSS 2.0 fizetésikártya-ipari adatbiztonsági szabvány követelményei szerint minősítést áteső hitelintézetek statisztikáit kellene növelni.
