A bankok információbiztonsága az audittal kezdődik. Az IB-audit nemcsak bizonyos típusú tevékenységek végzésére adhat jogot a banknak, hanem a bank rendszereinek gyengeségeit is kimutathatja. Ezért kiegyensúlyozottan kell hozzáállni az ellenőrzés lefolytatására és az ellenőrzési forma megválasztására vonatkozó döntéshez.
A könyvvizsgálatról szóló, 2008. december 30-i 307-FZ szövetségi törvény szerint a könyvvizsgálat "az ellenőrzött jogalany számviteli (pénzügyi) kimutatásának független ellenőrzése annak érdekében, hogy véleményt nyilvánítsanak az ilyen kimutatások megbízhatóságáról ."
A törvényben említett fogalom meghatározásának semmi köze az információbiztonság területéhez. Az információbiztonsági szakemberek azonban meglehetősen aktívan használják a beszédben. Ebben az esetben az audit egy szervezet, rendszer, folyamat, projekt vagy termék tevékenységének független értékelésének folyamatát jelenti.
A különböző hazai szabályozásokban nem mindig szerepel az „információbiztonsági audit” kifejezés – gyakran felváltja vagy a „megfelelőségi értékelés”, vagy a kissé elavult, de még mindig használt „tanúsítás” kifejezés. Néha előfordul a "tanúsítvány" kifejezés, de a nemzetközi külföldi szabályozással kapcsolatban.
Bármelyik kifejezést is használjuk, lényegében információbiztonsági auditot végeznek a szabályozásnak való megfelelés, illetve az alkalmazott megoldások érvényességének és biztonságának ellenőrzésére. Az első esetben lehetetlen megtagadni az ellenőrzés lefolytatását, ellenkező esetben a jogszabályi előírások megsértésével és pénzbírsággal, a tevékenység felfüggesztésével és egyéb büntetésekkel jár. A második esetben az ellenőrzés önkéntes, a lebonyolítási döntést maga a szervezet hozza meg.
A kötelező könyvvizsgálatot a következők végezhetik:
Önkéntes audit bármilyen okból elvégezhető: az RBS rendszer biztonságának ellenőrzése, egy felvásárolt bank vagyonának ellenőrzése, újonnan nyitott fiók ellenőrzése stb. Ebben az esetben nem lehet egyértelműen kijelölni a határokat, vagy leírni a jelentési formákat, vagy beszélni az ellenőrzés szabályszerűségéről - mindezt a könyvvizsgáló és az ellenőrzött megállapodás dönti el. Térjünk rá a kötelező könyvvizsgálat formáira, amelyek fontosak a bankok információbiztonsága szempontjából.
Az ISO / IEC 27001: 2005 nemzetközi szabvány teljes orosz analógja - "GOST R ISO / IEC 27001-2006 - Információtechnológia - A biztonság biztosításának módszerei és eszközei. Információbiztonsági irányítási rendszerek – Követelmények”.
Valójában ezek a szabványok a nagy szervezetek információbiztonság-kezelésének legjobb gyakorlatait jelentik. A kis szervezetek, beleértve a bankokat is, nem mindig képesek maradéktalanul megfelelni a szabvány követelményeinek. Mint minden oroszországi szabvány, az ISO 27001 is önkéntes dokumentum, minden bank önállóan dönt, hogy elfogadja-e vagy sem. De az ISO 27001 a hívó világszabvány, és a különböző országok szakértői univerzális útmutatóként használják mindenki számára, aki az információbiztonsággal foglalkozik.
Az ISO 27001-hez számos finom és ritkán említett, de fontos szempont kapcsolódik.
Először is, nem a bank teljes információbiztonsági rendszerét kell e szabvány szerint auditálni, hanem csak egy vagy több összetevőt. Például egy RBS védelmi rendszer, egy banki központ védelmi rendszer vagy egy személyzetirányítási folyamatvédelmi rendszer. Vagyis az audit keretében értékelt folyamatok valamelyikére vonatkozó megfelelőségi tanúsítvány megszerzése nem garantálja, hogy a többi folyamat az ideálishoz közeli állapotban van.
A második pont azzal kapcsolatos, hogy az ISO 27001 univerzális szabvány, azaz bármely szervezetre alkalmazható, ezért nem veszi figyelembe az iparág sajátosságait. Ez oda vezetett, hogy a nemzetközi szabványosítási szervezeten belül az ISO régóta beszél az ISO 27015 szabvány megalkotásáról, amely az ISO 27001/27002 átültetése a pénzügyi szektor számára. A Bank of Russia aktívan részt vesz az iparági szabvány kidolgozásában. A már kidolgozott projektet a Visa és a MasterCard ellenezte. A Visa úgy véli, hogy a projektben túl kevés olyan információ található, amely a pénzügyi szektor számára szükséges, például a fizetési rendszerekről. Ha azonban a hiányzó rendelkezéseket hozzáadnák, a szabványt egy másik ISO-bizottsághoz kellene áthelyezni. A MasterCard az ISO 27015 fejlesztésének leállítását javasolja, azzal érvelve, hogy a pénzügyi szektorban már elég dokumentum van, amely szabályozza az információbiztonság területét.
Harmadszor, az orosz piacon számos javaslat nem a megfelelőségi ellenőrzésről, hanem az auditra való felkészülésről szól. Az a tény, hogy a világon csak néhány szervezetnek van joga az ISO 27001 követelményeinek való megfelelés tanúsítására. Az integrátorok pedig csak segítik a cégeket a szabvány követelményeinek teljesítésében, amit aztán hivatalos auditorok (nyilvántartók, tanúsító szervek) ellenőriznek.
Miközben folytatódik a vita arról, hogy a bankoknak be kell-e vezetniük az ISO 27001 szabványt vagy sem, néhány vakmerő rááll, és átesik a megfelelőségi audit három szakaszán:
Kinek van szüksége az ISO 27001 szabványra Oroszországban? Ha a szabványt nem csak a legjobb gyakorlatok összességének tekintjük, amelyeket audit nélkül kell megvalósítani, hanem egy tanúsítási folyamatnak is, amely megerősíti, hogy a bank megfelel a nemzetközi biztonsági követelményeknek, akkor ésszerű az ISO 27001 bevezetése akár a bankok által. bankcsoportokhoz, ahol az ISO 27001 szabvány, vagy a nemzetközi színtérre lépést tervező bankokhoz. Más esetekben az ISO 27001-nek való megfelelés ellenőrzése és a tanúsítvány megszerzése legtöbbször nem szükséges. De csak a bank számára és csak Oroszországban, mert léteznek ISO 27001-en alapuló hazai szabványok. De facto egészen a közelmúltig az Oroszországi Bank az STO BR IBBS követelményeinek megfelelően végzett ellenőrzéseket.
Ez a szabvány vagy inkább szabványkészlet egységes megközelítést ír le a banki szervezetek információbiztonsági rendszerének felépítésére, figyelembe véve az orosz jogszabályok követelményeit. A dokumentumkészlet (a továbbiakban - STO BR IBBS) három szabványt és öt szabványosítási ajánlást tartalmaz. Az ISO 27001 szabványon és más nemzetközi információtechnológiai menedzsment és információbiztonsági szabványokon alapul. A szabvány követelményeinek való megfelelés ellenőrzésének és értékelésének kérdései, akárcsak az ISO 27001 esetében, külön dokumentumokban vannak rögzítve:
Az STO BR IBBS szerinti megfelelőségértékelés során 423 privát IS mutató teljesülését ellenőrzik, melyek 34 csoportmutatóra vannak felosztva. Az értékelés eredménye a végső mutató, amelynek a 4. vagy 5. szinten kell lennie az Oroszországi Bank által felállított ötfokú skála szerint. Ez a részlet különbözteti meg az STO BR IBBS szerinti auditot az információbiztonság területén más szabályozási aktusok szerinti audittól. Az STO BR IBBS nem jelent "inkonzisztenciát", csak a megfelelési szint eltérő lehet: nullától ötig. Csak a 4. feletti szintek számítanak pozitívnak.
2011 végén a bankok 70-75%-a már bevezette vagy bevezette ezeket a szabványokat. De jure az STO BR IBBS tanácsadó jellegű, de de facto, egészen a közelmúltig, a Bank of Russia pontosan az STO BR IBBS követelményeinek megfelelően végzett ellenőrzéseket, bár a feltételeket nyilvánvalóan soha nem említették sehol. A helyzet megváltozott 2012. július 1-je óta, amikor hatályba lépett a „Nemzeti fizetési rendszerről” szóló törvény, valamint a kormány és az Orosz Nemzeti Bank szabályozó dokumentumai, amelyeket ennek végrehajtására dolgoztak ki. Ettől a pillanattól kezdve ismét napirendre került az STO BR IBBS követelményeinek való megfelelés ellenőrzésének szükségessége.
Az a tény, hogy a nemzeti fizetési rendszerről (NPS) szóló jogszabály keretében javasolt megfelelőségértékelési módszertan és az STO BR IBBS megfelelőségének értékelési módszertana a végső értékekben jelentősen eltérhet. Ezzel párhuzamosan az első módszer szerinti értékelés (az NPS esetében) kötelezővé vált, míg az STO BR IBBS szerinti értékelés de jure továbbra is ajánló jellegű. E cikk írásakor maga az Orosz Bank még nem döntötte el ennek az értékelésnek a sorsát. Ha korábban az Orosz Bank Biztonsági és Információvédelmi Főigazgatóságán (GUBZI) minden szál összeforrt, akkor a GUBZI és a Fizetési Minisztérium Szabályozási Minisztériuma (LHH) közötti hatáskörmegosztással a kérdés nyitott maradt. Egyértelmű, hogy az NPS-re vonatkozó jogszabályi aktusok kötelező megfelelőségértékelést, azaz auditot írnak elő.
A 2012. június 9-én kibocsátott és jóváhagyott 382-P rendelet „A pénzátutalások során az információbiztonság biztosítására vonatkozó követelményekről és az Oroszországi Bank által a pénzátutalások végrehajtásakor az információbiztonsági követelmények betartásának ellenőrzésére vonatkozó eljárásról” 2.15. kötelező megfelelőségértékelés , azaz audit. Az értékelést vagy önállóan, vagy külső szervezetek bevonásával végzik el.
A 382-P keretében a megfelelőségértékelési módszertan lényegében hasonló az STO BR IBBS szerinti megfelelőségértékelési módszertanhoz, de eltérő eredményeket ad. Ez a speciális korrekciós tényezők bevezetésének köszönhető.
A 382-P rendelet nem ír elő különleges követelményeket az ellenőrzésben részt vevő szervezetek számára. Ez némi ellentmondáshoz vezet a 2012. június 13-i, „A fizetési rendszerben található információ védelméről” szóló 584. számú kormányrendelettel, amely szintén előírja az információvédelmi követelményeknek való megfelelés ellenőrzésének és értékelésének megszervezését és végrehajtását 2 évente egyszer. . Az FSTEC által kidolgozott kormányrendelet azonban előírja, hogy kizárólag a bizalmas információk műszaki védelmére engedéllyel rendelkező szervezetek végezzenek külső auditot.
Az új kötelezettségek által a bankokra rótt további követelményeket a 382-P rendelet 2.16. szakasza sorolja fel. Az előírások szerint a fizetési rendszer üzemeltetője köteles fejleszteni, a fizetési rendszerhez csatlakozott bankok pedig kötelesek betartani a fizetési rendszer üzemeltetőjének rendszeres tájékoztatását a bank különböző információbiztonsági kérdéseiről, ideértve:
Az NPS-ről szóló FZ-161 azt is megállapítja, hogy a szerződéses ellenőrzésen túl az 584. határozatban és a 382. számú rendeletben foglalt követelmények teljesítésének ellenőrzését és felügyeletét az FSB, az FSTEC és a Bank of Russia gyakorolja. E cikk írásakor sem az FSTEC, sem az FSB nem rendelkezett kidolgozott felügyeleti eljárással. Ellentétben az Oroszországi Bankkal, amely két dokumentumot bocsátott ki:
A Bank of Russia 2012. július 1-jén kezdte meg a nemzeti fizetési rendszerben az információvédelemre vonatkozó szabályozás bűnüldözési gyakorlatának tesztelését és tények gyűjtését.
PCI DSS - Payment Card Industry Data Security Standard - fizetési kártya adatbiztonsági szabvány. A Payment Card Industry Security Standards Council (PCI SSC) fejlesztette ki, amelyet a Visa, MasterCard, American Express, JCB és Discover nemzetközi fizetési rendszerek hoztak létre.
A PCI DSS szabvány 12 magas szintű és több mint 200 részletes követelményből álló összességet képviseli a fizetőkártya-tulajdonosokra vonatkozó, a szervezetek információs rendszereiben továbbított, tárolt és feldolgozott adatok biztonságának biztosítására. A szabvány követelményei minden olyan vállalatra vonatkoznak, amely Visa és MasterCard nemzetközi fizetési rendszerekkel dolgozik. Minden vállalat, a feldolgozott tranzakciók számától függően, hozzá van rendelve egy szinthez, minden szinthez - saját követelményrendszere. Az egyes fizetési rendszerek szintjei eltérőek.
A PCI DSS szabványnak való megfelelés ellenőrzése kötelező tanúsítás keretében történik, amelynek követelményei az auditált vállalat típusától függően eltérőek: áruk és szolgáltatások fizetésére kártyát elfogadó kereskedő vagy szolgáltatást nyújtó szállító. kereskedőknek, bankoknak – elfogadóknak, kibocsátóknak és így tovább (feldolgozó központok, fizetési átjárók). Az értékelés különböző formákban történik:
Egy másik szabályozó dokumentum, amely a bankszektorhoz kapcsolódik, és meghatározza a megfelelőségértékelés követelményeit, a „Személyes adatokról” szóló szövetségi törvény. Azonban sem az ellenőrzés formája, sem gyakorisága, sem az ellenőrzést végző szervezettel szemben támasztott követelmények még nem kerültek meghatározásra. A kérdés talán 2012 őszén megoldódik, amikor is megjelennek a kormány, az FSTEC és az FSB dokumentumok egy része, amelyek új szabványokat vezetnek be a személyes adatok védelme terén. A bankok egyelőre önállóan határozzák meg a személyes adatok védelmének ellenőrzésének jellemzőit.
A 152-FZ törvény 19. cikkében meghatározott, a személyes adatok biztonságát biztosító szervezeti és technikai intézkedések végrehajtásának ellenőrzését és felügyeletét az FSB és az FSTEC végzi. De ez csak a személyes adatok állami információs rendszereire vonatkozik. A személyes adatok információs biztonságának biztosításában a kereskedelmi szervezeteket egyelőre a törvény szerint senki sem ellenőrzi. Ugyanez nem mondható el a személyes adatok alanyainak, azaz az ügyfeleknek, a partnereknek és egyszerűen a bank látogatóinak jogainak védelméről. Ezt a feladatot a Roszkomnadzor vállalta magára, amely aktívan látja el a felügyeleti feladatokat, és a bankokat a személyes adatokra vonatkozó törvény kitartó megsértőinek tekinti.
A főbb szabályozások mindegyike meghatározza a saját követelményeit a megfelelőségértékelés elvégzésére vonatkozóan: a kérdőívek kitöltésével (PCI DSS) végzett önértékeléstől a kétévente egyszeri (382-P) vagy egyszeri kötelező könyvvizsgálatig. egy év (ISO 27001). A megfelelőségértékelésnek más formái is léteznek: fizetési rendszerüzemeltetői értesítések, negyedéves ellenőrzések stb.
Másrészt az országban továbbra sincs egységes nézetrendszer nemcsak a szervezetek és informatikai rendszerek információbiztonsági auditjának állami szabályozásáról, hanem magának az információbiztonsági auditnak a témájában sem. Számos osztály és szervezet felelős az információbiztonságért Oroszországban: FSTEC, FSB, Bank of Russia, Roskomnadzor, PCI SSC és mások. Mindegyikük saját szabályzata és irányelvei alapján működik. Különböző megközelítések, eltérő szabványok, különböző érettségi szintek... Mindez akadályozza az egységes játékszabályok kialakítását.
A képet rontja a légyott cégek megjelenése is, amelyek haszonszerzés céljából alacsony színvonalú szolgáltatásokat nyújtanak az információbiztonsági követelményeknek való megfelelés felmérése terén. És nem valószínű, hogy a helyzet jobbra fog változni. Mivel igény van, lesz, aki ezt szeretné kielégíteni, miközben egyszerűen nem lesz mindenki számára elegendő képzett könyvvizsgáló. Kis számuk (lásd infografika) és több héttől több hónapig terjedő ellenőrzési időtartam mellett nyilvánvaló, hogy az ellenőrzési kérés jelentősen meghaladja az auditorok lehetőségeit.
Az „Informatikai rendszerek és szervezetek információbiztonsági auditjának koncepciója”, amelyet az FSTEC még nem fogadott el, a következő mondatot tartalmazta:
"... ugyanakkor a szükséges nemzeti szabályozók hiányában az ilyen tevékenységek [a magáncégek által végzett szabályozatlan könyvvizsgálattal kapcsolatban] helyrehozhatatlan károkat okozhatnak a szervezeteknek."
A Koncepció készítői javaslatot tettek az ellenőrzési szemlélet egységesítésére és a játékszabályok jogszabályi rögzítésére, beleértve a könyvvizsgálók akkreditációjára vonatkozó szabályokat, a minősítési követelményeket és az ellenőrzési eljárást. De a dolgok még mindig ott vannak. Bár tekintettel arra, hogy az információbiztonság területén a hazai szabályozók – és csak kilencen vannak – az információbiztonsági kérdésekre fordítanak figyelmet, elképzelhető, hogy a téma hamarosan ismét aktuálissá válik. Csak az elmúlt naptári évben 52 információbiztonsági tárgyú normatív aktust fogadtak el vagy dolgoztak ki, és hetente egy normatív aktust!
A jelenlegi viszonyok között sajnos el kell ismernünk, hogy egy bank információbiztonsági ellenőrzésének fő célja - a tevékenységébe vetett bizalom növelése - Oroszországban elérhetetlen. A bank orosz ügyfelei közül kevesen figyelnek a biztonsági szintre vagy a banknál lefolytatott audit eredményére. Ellenőrzésre akkor kerül sor, ha a banknak (részvényeseinek és tulajdonosainak) súlyos anyagi kárt okozó nagyon súlyos incidens történik, vagy ha jogszabályi előírásokat írnak elő.
Az 1. követelmény, amelynek érdekében érdemes biztonsági audithoz fordulni, a Bank of Russia 382-P. A jegybank területi osztályaitól kért bankbiztonsági szintről és a 382-P követelmények teljesítéséről pontosan egy külső audit vagy önértékelés eredményeként jutunk információhoz.
A második helyen a személyes adatokról szóló törvény követelményeinek való megfelelés ellenőrzése áll. De egy ilyen ellenőrzést legkorábban abban a pillanatban kell elvégezni, amikor az FSTEC és az FSB által ígért összes dokumentumot közzéteszik, és amikor világossá válik az STO BR IBBS sorsa. Ugyanakkor felveheti az STO BR IBBS követelményeinek való megfelelés ellenőrzésének lefolytatását.
Az audit sikeres befejezése nem jelenti azt, hogy a bankban minden rendben van a biztonsággal. Számos trükk van, amely lehetővé teszi az auditált számára, hogy elrejtse a biztonsági hibákat. Sok múlik a könyvvizsgálók képesítésén és függetlenségén. A tapasztalat azt mutatja, hogy a PCI DSS, ISO 27001 vagy STO BR IBBS szabványoknak való megfelelés ellenőrzésén sikeresen átesett szervezetekben is előfordulnak incidensek és súlyos incidensek.
Dmitry MARKIN, az AMT-GROUP Audit és Tanácsadó Osztályának vezetője:
Egészen a közelmúltig a hitelintézetek információbiztonsági állapotának kötelező ellenőrzésének átadásának kérdéseit az orosz jogszabályok keretein belül csak az FZ-152 „A személyes adatokról” szabályozta a megtett intézkedések belső ellenőrzésének végrehajtása tekintetében. biztosítják a személyes adatok biztonságát, valamint az Orosz Föderáció Központi Bankjának 242-P „A hitelintézetek és bankcsoportok belső ellenőrzésének megszervezéséről” című rendelete alapján. Ezen túlmenően a 242-P számú rendelet előírásaival összhangban az információbiztonság felügyeletére vonatkozó eljárást a hitelintézet belső dokumentumai önállóan, az információbiztonság biztosítására vonatkozó konkrét követelményekre való hivatkozás nélkül határozzák meg. Az FZ-161 „A nemzeti fizetési rendszerről” szóló 27. cikkének hatálybalépésével összefüggésben, amely meghatározza a fizetési rendszerben található információk védelmére vonatkozó követelményeket, az Orosz Föderáció kormánya kiadta a jóváhagyásról szóló 584. sz. a fizetési rendszerben található információk védelméről szóló rendelet" és a 382-P. számú RF központi banki rendelet. Az 584. számú határozat és a 382-P. számú rendelet előírásai szerint a fizetési rendszerben az információvédelmet a jelen jogszabályi előírásoknak, valamint a fizetési rendszerek üzemeltetői által a fizetési rendszerben foglalt követelményeknek megfelelően kell végrehajtani. fizetési rendszerek szabályai. A kulcspont itt a fizetési rendszerek üzemeltetőinek (például Visa és MasterCard) azon jogának nemzeti jogszabályi szinten történő megszilárdítása, hogy önállóan határozzák meg az információvédelmi követelményeket. A 382-P számú előírás meghatározza azt is, hogy a hitelintézetek kötelesek legalább 2 évente értékelni az IS-követelmények teljesítését, egyértelműen meghatározzák a megfelelőségértékelés módszertanát, az ellenőrzési szempontokat és az eredmények dokumentálására vonatkozó eljárást. Álláspontunk szerint a fenti szabályozás megjelenésével a vezető nemzetközi fizetési rendszerek, a Visa és a MasterCard közreműködésével kidolgozott PCI DSS 2.0 fizetésikártya-ipari adatbiztonsági szabvány követelményeinek megfelelő minősítést áteső hitelintézetek statisztikáit is növelni kell.
A bankok információvédelmi rendszere nagyban különbözik más cégek és szervezetek hasonló stratégiáitól. Ennek oka elsősorban a fenyegetések sajátossága, valamint a bankok nyilvános tevékenysége, amelyek az ügyfelek kényelme érdekében kénytelenek kellően egyszerűvé tenni a számlákhoz való hozzáférést.
A számítástechnika fejlődésével és terjedelmével egyre élesebbé válik a számítógépes rendszerek biztonságának biztosításának, a bennük tárolt és feldolgozott információknak a különféle fenyegetésekkel szembeni védelmének problémája. Ennek számos objektív oka van.
A legfontosabb az automatizált információfeldolgozó rendszerek iránti fokozott bizalom. A legfelelősségteljesebb munkát bízzák rájuk, melynek minősége sok ember életét és közérzetét határozza meg. Számítógépek irányítják a vállalatok és atomerőművek technológiai folyamatait, repülőgépek és vonatok mozgását, pénzügyi tranzakciókat hajtanak végre, minősített információkat dolgoznak fel.
Az információk védelmének különféle lehetőségei vannak - a bejáratnál lévő biztonsági őrtől a matematikailag ellenőrzött módszerekig az adatok elrejtésére az ismerősök elől. Emellett beszélhetünk globális védelemről és annak egyedi vonatkozásairól: személyi számítógépek, hálózatok, adatbázisok védelme stb.
Meg kell jegyezni, hogy nincsenek teljesen biztonságos rendszerek. A rendszer megbízhatóságáról egyrészt csak bizonyos valószínűséggel, másrészt a jogsértők egy bizonyos kategóriájával szembeni védelemről beszélhetünk. Ennek ellenére előre láthatók a számítógépes rendszerbe való behatolások. A védekezés egyfajta versengés a védekezés és a támadás között: aki többet tud és hatékony intézkedéseket hoz, az nyer.
A bank automatizált információfeldolgozó rendszerének védelmének megszervezése egyetlen intézkedéscsomag, amelynek figyelembe kell vennie az információfeldolgozási folyamat összes jellemzőjét. A felhasználót a munkavégzés során okozott kellemetlenségek ellenére sok esetben feltétlenül szükséges lehet a védőfelszerelés a rendszer normál működéséhez. A fent említett kellemetlenségek közül a főbbek közé tartozik Yu.V. Gaikovich, A.S. Pershin. Elektronikus banki rendszerek biztonsága.-M.: Egyesült Európa, 1994.- S. 33:
Nehéz elképzelni egy modern bankot automatizált információs rendszer nélkül. A számítógépek egymással és a nagyobb teljesítményű számítógépekkel, valamint más bankok számítógépeivel való összekapcsolása is elengedhetetlen feltétele a bank sikeres működésének - túl sok a rövid időn belül végrehajtandó művelet .
Ugyanakkor az információs rendszerek a modern bankok egyik legsebezhetőbb oldalává válnak, vonzzák a behatolókat, mind a bank munkatársaiból, mind pedig kívülről. A banki információs rendszerekbe való beavatkozással összefüggő bűncselekményekből származó veszteségekre vonatkozó becslések nagyon eltérőek. Befolyásolják a számítási módszerek sokfélesége. Az átlagos banki lopás elektronikus pénzeszközök felhasználásával körülbelül 9000 dollár, és az egyik legnagyobb horderejű botrány 700 millió dollár eltulajdonítási kísérlete (First National Bank, Chicago).
Ezenkívül nem csak a közvetlen kár mértékét kell figyelembe venni, hanem a nagyon költséges intézkedéseket is, amelyeket a számítógépes rendszerekbe való sikeres betörési kísérletek után hajtanak végre. Tehát az egyik legszembetűnőbb példa a Bank of England titkos számláival végzett munka adatainak elvesztése 1999 januárjában. Ez a veszteség arra kényszerítette a bankot, hogy módosítsa az összes levelező számla kódját. Ezzel kapcsolatban az Egyesült Királyságban az összes rendelkezésre álló hírszerző és kémelhárító erőt riadókészültségbe vonták, hogy megakadályozzák az információ esetleges kiszivárgását, amely óriási károkat okozhat. A kormány szélsőséges intézkedéseket hozott annak megakadályozására, hogy kívülállók megismerjék azokat a számlákat és címeket, amelyekre a Bank of England több százmilliárd dollárt küld naponta. Ráadásul az Egyesült Királyságban jobban féltek attól a helyzettől, amikor az adatok a külföldi titkosszolgálatok rendelkezésére állnak. Ebben az esetben a Bank of England teljes pénzügyi tudósítói hálózata lelepleződött volna. A károkat néhány héten belül sikerült megszüntetni.
Adzhiev V. Mítoszok a szoftverbiztonságról: tanulságok híres katasztrófákból // Nyílt rendszerek.-1999. - 6. szám .-- C..21-24
A bankok által nyújtott szolgáltatások ma nagyrészt a bankok, bankok, ügyfeleik és kereskedelmi partnereik közötti elektronikus interakción alapulnak. Jelenleg a banki szolgáltatások elérése különböző távoli helyekről lehetséges, beleértve az otthoni terminálokat és az irodai számítógépeket. Ez a tény arra készteti az embert, hogy eltávolodjunk a „zárt ajtók” fogalmától, amely a 60-as években volt jellemző a bankokra, amikor a számítógépeket a legtöbb esetben kötegelt üzemmódban használták segédeszközként, és nem volt kapcsolatuk a külvilággal.
Az automatizálási felszereltség szintje fontos szerepet játszik a bank tevékenységében, ezért közvetlenül befolyásolja pozícióját és bevételeit. A bankok közötti verseny erősödése miatt csökkenteni kell az elszámolási időt, bővíteni kell a kínált szolgáltatások körét és javítani kell a szolgáltatások minőségét. Minél rövidebb ideig tart az elszámolás a bank és az ügyfelek között, annál nagyobb lesz a bank forgalma, és ebből következően a profit. Emellett a bank gyorsabban tud majd reagálni a pénzügyi helyzet változásaira. A különféle banki szolgáltatások (elsősorban a készpénz nélküli fizetés lehetőségére utal a bank és ügyfelei között plasztikkártyás kártyával) jelentősen növelheti ügyfelei számát, és ennek eredményeként a profitot.
A banki információbiztonságnak a következő konkrét tényezőket kell figyelembe vennie:
A bankszektorban elkövetett bűncselekményeknek is megvannak a sajátosságai Gamza V.A. , Tkachuk I.B. Kereskedelmi bank biztonsága.- M ..: Egyesült Európa, 2000.- C..24:
A támadók általában saját számláikat használják, ahová az ellopott összegeket átutalják. A legtöbb bűnöző nem tudja, hogyan kell tisztára mosni az ellopott pénzt. Tudni, hogyan kell bűncselekményt elkövetni, és tudni, hogyan kell pénzt szerezni, nem ugyanaz.
A legtöbb számítógépes bűncselekmény kicsinyes. Az általuk okozott kár 10 000 és 50 000 dollár között mozog.
A sikeres számítógépes bűnözéshez általában nagyszámú banki tranzakcióra van szükség (akár több százra). Nagy összegek azonban néhány tranzakcióval átutalhatók.
A legtöbb támadó hivatalnok. Bár a bank legfelsőbb munkatársai is elkövethetnek bűncselekményeket, és sokkal több kárt okoznak a banknak, az ilyen esetek ritkák.
A számítógépes bűncselekmények nem mindig csúcstechnológiájúak. Elegendő az adatok hamisítása, az ASOIB környezet paramétereinek megváltoztatása stb., és ezek a műveletek a karbantartók rendelkezésére állnak.
Sok kiberbûnözõ azzal magyarázza tettét, hogy éppen hitelt vesz fel egy banktól, utólagos visszafizetéssel. Azonban általában nincs „visszatérés”.
A bankok információfeldolgozására szolgáló automatizált rendszerek védelmének sajátossága az általuk megoldott feladatok sajátosságaiból fakad:
Általában az ASOIB folyamatosan érkező kérések nagy áramlását dolgozza fel valós időben, amelyek mindegyikének feldolgozása nem igényel sok erőforrást, de együttesen csak egy nagy teljesítményű rendszerrel lehet feldolgozni;
Az ASOIB olyan bizalmas információkat tárol és dolgoz fel, amelyeket nem szánnak a nagyközönségnek. Hamisítása vagy kiszivárogtatása súlyos (a bank vagy ügyfelei számára) következményekkel járhat. Ezért az ASOIB arra van ítélve, hogy viszonylag zárt maradjon, meghatározott szoftverek felügyelete alatt dolgozzon, és nagy figyelmet fordít azok biztonságának biztosítására;
Az ASOIB másik jellemzője a megnövekedett követelmények a szoftverek és hardverek megbízhatóságával szemben. Emiatt sok modern ASOIB a számítógépek úgynevezett hibatűrő architektúrája felé hajlik, amely lehetővé teszi az információk folyamatos feldolgozását különféle meghibásodások és hibák esetén is.
Az ASOI bankok általi használata összefügg ezen rendszerek védelmének sajátosságaival, ezért a bankoknak nagyobb figyelmet kell fordítaniuk automatizált rendszereik védelmére.
Az első fejezet következtetései:
A cikk a banki intézmények információbiztonságának biztosítására szolgál a Bank of Russia STO BR IBBS-1.0-2014 iparági szabványainak hazai szabályozási követelményei alapján. Az automatizált banki rendszerek (ABS) védelmének egyes szempontjai, a bankszektorban a személyes adatok védelmének kérdései, az IS követelményeknek való megfelelés belső ellenőrzése és önértékelése, valamint az információbiztonság sajátosságaihoz kapcsolódó egyes jellemzők és problématerületek a bankszektorban. bankokat tekintik.
Nem titok, hogy a bankok az állam hitel- és pénzügyi rendszerének sarokkövei, és a modern társadalom legfontosabb pénzintézetei. Ezzel kapcsolatban speciális követelményeket támasztanak velük szemben az információbiztonság biztosítására. A hazai iparági információbiztonsági szabványok, az STO BR IBBS megjelenéséig a bankok a belső szabályozó dokumentumok előírásai alapján kezelték a biztonságot. De még ezeknek a dokumentumoknak az elfogadása után is sok kérdés maradt még megoldásra. A cikkben tárgyalt kérdések egy része a bankok IS rendszere szűk keresztmetszetek feloldásához, a biztonsági politika új követelményekhez való hozzáigazításához kapcsolódik, figyelembe véve az információvédelem területén meglévő „poggyászt”.
Oroszországban a 2000-es évek közepéig a szó "Biztonság" túlnyomórészt a menedzsmenttel kapcsolatos "banki kockázatok", azaz azon helyzetek ellenőrzése, amelyek a hitelintézet veszteségéhez és/vagy likviditásának romlásához vezethetnek kedvezőtlen események bekövetkezte miatt. Kategóriák, mint pl "Információ biztonság" vagy "információvédelem" elvileg nem létezett. Csak az 1990.12.02-i N 395-1 FZ szövetségi törvény, a banktitok korlátozott jogot és lehetőséget adott a bizalmas információk védelmére a bankszektorban. Több mint egy évtizeddel később a hazai bűnüldöző tisztek 2004. július 29-én kiadták az „Üzleti titkokról” szóló szövetségi törvényt, az N 98-FZ, amely végre lehetővé teszi egy új típusú tevékenység teljes körű kinyilvánítását és egy különálló kérdéskategóriát, mint pl. "a bankok információbiztonsága".
Ugyanebben az években a hazai bankközösségben a nemzetközi banki standardok, ezen belül is a Bázel II. Értelmezése szerint ez a szabvány az információbiztonságot működési kockázatnak tekintette, és általában az információs szféra ellenőrzésére és ellenőrzésére irányuló intézkedéseket ír elő, ami akkoriban abszolút újítás volt az orosz bankok számára. Ez azonban nem volt elég - a modern információs technológiák fejlődése és az állandó vágy, hogy új banki termékeket kínáljanak a piacon, nagyobb figyelmet igényelt ezekre a kérdésekre.
A fejlesztés következő evolúciós mérföldköve 2004 volt, amikor az Orosz Központi Bank kiadta az információbiztonságra vonatkozó hazai ipari szabványok STO BR IBSS csomagjának első kiadását. Az informatikai biztonság jegybanki szabványa akkoriban a legjobb iparági szabványnak számított, mert magába foglalta a világ legjobb tapasztalatait és gyakorlatát, egyesíti az IT-biztonsági menedzsment szabványok (ISO 17799, 13335) főbb rendelkezéseit, szabályozza az életciklus leírását. szoftver és IT biztonsági értékelési kritériumok (GOST R ISO / IEC 15408-1-2-3). A dokumentum tükrözi a fenyegetések és sebezhetőségek felmérésére szolgáló technológiákat is, a brit CRAMM információs kockázatok felmérésére szolgáló módszertan néhány rendelkezését (lásd 1. ábra).
1. ábra Különböző informatikai, biztonsági és irányítási követelmények és szabványok kapcsolata
A jegybanki szabvány főbb rendelkezései között meg lehetett említeni a bennfentesek problémájának megoldására irányuló orientációt. Ennek érdekében a Bank of Russia megszilárdítja a bizalmas információk vállalati környezetben történő áramlását. Jelentős figyelmet fordítanak a külső fenyegetésekre: a szabvány előírásai megkövetelik a bankoktól, hogy rendelkezzenek vírusvédelemmel rendszeresen frissített adatbázisokkal, spamszűréssel, hozzáférés-szabályozással, szabályozzák a belső ellenőrzési eljárásokat, titkosítást alkalmazzanak a jogosulatlan hozzáférés ellen stb.
Mindezen nyilvánvaló előnyök ellenére a szabvány ajánló jellegű volt, rendelkezéseit a hazai bankok csak önkéntes alapon alkalmazhatták. Mindazonáltal a III. bankközi konferencián képviselt válaszadók körében végzett felmérés eredményei szerint egyértelmű tendencia mutatkozott afelé, hogy ezeket a dokumentumokat az orosz bankok kötelező alapjaként fogadják el.
A 2000-es évek közepén a banki szabványok fejlődésével párhuzamosan Oroszországban zajlott az információbiztonság területén a hazai jogszabályok kialakítása. A kulcsfontosságú pillanat az „Információról, információtechnológiáról és információvédelemről” szóló, 2006. július 27-i N 149-FZ szövetségi törvény frissítése volt, amely új releváns definíciókat ad az információra, információs technológiákra és folyamatokra, és kiemeli az „információvédelmet”. külön. Ezt követően az információvédelem gyakorlatában külön kategóriát jelöltek ki a személyes adatokról szóló törvény 2006. július 27-i N 152-FZ kiadásával.
Mindezeket az újításokat és a társadalom változó valóságát figyelembe véve az STO BR IBBS új kiadásai is megjelentek. Így a szabvány 2008-as harmadik kiadásában jelentősen átdolgozták a dokumentumcsomagot, új kifejezéseket és fogalmakat vezettek be, egyes biztonsági követelményeket pontosítottak és részleteztek; frissített követelmények az információbiztonsági irányítási rendszerre vonatkozóan. A szabvány saját modellt is kapott az RF BS-szervezetek információbiztonságának fenyegetéseiről és megsértőiről. Az automatizált banki rendszerekben az információbiztonság követelményeinek megfelelően új blokkok kerültek bevezetésre, szabályozták a banki fizetés folyamatát és az információtechnológiai folyamatokat, valamint külön szó esik az információ kriptográfiai védelmét szolgáló eszközök alkalmazásáról.
A legutóbbi 2014-es világesemények és a nyugati országok által Oroszországgal szemben bevezetett gazdasági szankciók fényében egyértelmű tendencia mutatkozik a nemzeti fizetési kártyarendszer kialakítása és átállása felé. Ez ennek megfelelően további követelményeket támaszt az ilyen rendszerek megbízhatóságával és biztonságával szemben, ami a hazai IS szabványok jelentőségének növekedését vonja maga után.
Mindezen események eredménye a szabvány következő újbóli kiadása volt. 2014 júniusában pedig életbe lépett az STO BR IBBS - 2014 frissített ötödik, és eddig az utolsó kiadása. Az új kiadásban a korábbi lapszámok hibáit kijavították, és ami nagyon fontos, a töltőállomás követelményeit és ajánlásait összhangba hozták a fent leírt 382-P-vel. Így például pontosították az RBS-ben regisztrációt igénylő műveletek listáját, kibővítették a védett információk listáját a P-382, az STO privát értékelési mutatóinak megfelelési táblázata és a jelenlegi kiadás 382 mutatói alapján. -P biztosított.
Ugyanilyen jelentős eredmény a szabályozási követelmények aktualizálása, figyelembe véve a személyes adatok védelmével kapcsolatos legújabb jogszabályi változásokat, nevezetesen a 1119. számú kormányrendeletre és az orosz FSTEC 21. számú rendeletére mutató hivatkozások kerültek beillesztésre.
Mindez a banki sajátosságok figyelembevételével egységes módszertani és szabályozási platformot alkotott az átfogó információbiztonság biztosítására. Az STO BR IBBS dokumentumcsomag úgy izolálta az orosz bankokat, hogy iparági szempontból biztonsági rendszert épített ki bennük, ugyanakkor magába szívta a világ legjobb gyakorlatát és a külföldi kollégák tapasztalatait az információbiztonság biztosításában.
Jelenleg az Oroszországi Bank utasítására az STO BR IBBS dokumentumcsomag a következő részekből áll:
Ezenkívül az Oroszországi Bank a következő ajánlásokat dolgozta ki és vezette be az információbiztonság szabványosítása terén:
Az első három dokumentum kötelező minden olyan bank számára, amely ezt a szabványt alapszabályként alkalmazta. Dokumentum "Általános rendelkezések" minden információvédelmi intézkedés kialakításának alapját képezik. A teljes szerkezet különálló blokkra van osztva. Részletesen leírják a biztonság biztosításának követelményeit, konkrét listákat adnak a védelmi intézkedésekről egy adott blokkhoz. (lásd 1. táblázat)
1. táblázat: Információbiztonsági követelmények
| - a szerepek kijelölése és kiosztása, valamint a személyzetbe vetett bizalom biztosítása során; |
| - automatizált banki rendszerekben (ABS) az életciklus szakaszaiban; |
| - a felhasználók hozzáférésének és regisztrációjának kezelésekor; |
| - a vírusvédelem eszközeire; |
| - az Internet forrásainak használatakor; |
| - kriptográfiai információvédelmi eszközök alkalmazásakor; |
| - a banki fizetési technológiai folyamatokban; |
| - személyes adatok kezeléséhez; |
| - az információbiztonsági irányítási rendszer követelményei külön címszóban szerepelnek. |
Dokumentum "Információbiztonsági audit" mind közül a legkisebb, jelzi az információbiztonsági rendszer auditjának szükségességét, valamint hivatkozást ad a szabvány előírásainak megfelelő éves önértékelésre. A végső önértékelés adatai alapul szolgálnak mind a jegybanki ellenőrzés esetén a bejelentőlaphoz, mind pedig annak megállapításához, hogy a bank információbiztonsági rendszere biztonsági szintje megfelel-e az azonosított kockázatoknak és veszélyeknek. információ biztonság.
És az utolsó vizsgált dokumentum "Az IS-követelményeknek való megfelelés értékelésének módszertana"- ez az értékelési módszerek és táblázatok halmaza a megfelelő kitöltendő mezőkkel. Minden egyes intézkedés és védelmi intézkedés bizonyos súlyt kap az értékelésben, amelyet csoportmutatónak nevezünk. A csoportos mutatók eredményei alapján az STO BR IBBS követelményeinek való megfelelés kördiagramja készül (lásd 2. ábra). A csoportmutatók összes értéke a tartományban van 0 előtt 1 , amelyben a végösszeg meghatározásához a szabványnak való megfelelés további 6 szintje van kiemelve, nullától kezdve. A Bank of Russia a 4. és 5. szintet javasolta (lásd 2. ábra). Ennek megfelelően minél nagyobb az érték, annál biztonságosabb a rendszer. A kördiagramon ezek a szektorok zöldek, míg a piros a kritikus szintjelző.
2. ábra: Az STO BR IBBS követelményeinek való megfelelés kördiagramja
Amit még hozzá lehet tenni - elég nagy figyelmet fordítanak az információbiztonsági rendszer irányítási folyamataira, különösen kiemelhető Deming ciklus felsővezetők használják a minőségirányításban (3. ábra).
3. ábra: Deming ciklusa ISIB STO BR IBBS esetén
Az új kiadásban a Bank of Russia frissítette az információbiztonsági megfelelőség értékelési módszertanát. A főbb változások az értékelés megközelítését érintették:
Érdemes megjegyezni, hogy a bankok belső szabályzataiban sokkal nagyobb figyelmet kezdtek fordítani a biztonsági eljárások dokumentálására. Így ha az eljárást nem is ténylegesen lefolytatják, hanem biztosítják és dokumentálják, ez növeli a belső ellenőrzés eredményét.
Az előző kiadáshoz képest nőtt az egyes mutatók száma, valamint változtak a becslések súlyértékei (lásd 4. ábra).
4. ábra: Változások az STO BR IBBS előző és jelenlegi változatában (az InfoConstal Management szerint, www. Km-ltd.com, 2014)
Érdemes megemlíteni egy másik fontos kiegészítést az ABS-be épített védelmi mechanizmusokkal kapcsolatban - az Oroszországi Bank ajánlásokat adott ki „Az információbiztonság biztosítása az automatizált banki rendszerek életciklusának szakaszaiban” (RS BR IBBS-2.6-2014). ”. Lényege abban rejlik, hogy immár a bankok erre a dokumentumra hivatkozva követelményeket támasztanak a fejlesztőkkel szemben a szoftverek funkcionalitására vonatkozóan a védelmi mechanizmusok tekintetében. Nem szabad megfeledkeznünk arról, hogy ezek ajánlások, nem követelmények, és maga a Bank of Russia nem tud semmit előírni, de engedélyezi ezen ajánlások sugárzását a bankközösség nevében, és ez már jó irányba mutató változás.
Az STO BR IBBS-2014 5. kiadásának megjelenése előtt a személyes adatok banki védelme két dokumentumon alapult: BR IBBS-2.3-2010. „A személyes adatok biztonságának biztosítására vonatkozó követelmények az Orosz Föderáció bankrendszerének szervezeteinek személyes adatait tartalmazó információs rendszereiben” és az RS BR IBBS-2.4-2010. "A személyes adatok biztonságát fenyegető veszélyek ágazati magánmodellje az Orosz Föderáció bankrendszerének szervezeteinek személyes adatainak információs rendszereiben történő feldolgozás során."
A gyakorlatban ez így nézett ki: változatlan formában átvették a jegybank által javasolt magánszektor fenyegetettségi modelljét, meghatározták az egyes ISPD-k védelmének követelményeit a módszertani ajánlások alapján, a feldolgozott adatok mennyisége és listája alapján, majd ezek alapján összeállította a szükséges intézkedések listáját.
A szakemberek fő fejtörését a mai napig az okozta, hogy ezek a követelmények az STO BR IBBS - 2014 következő kiadásáig érvényesek voltak, holott akkor már a PP-1119 és az FSTEC 21. számú megrendelése szerint épült a PD védelem. Tekintettel arra, hogy a bankoknak meg kell felelniük az elfogadott STO BR IBBS csomagnak, sokan nem alkalmaztak korszerű módszereket, és ennek következtében nem feleltek meg az új biztonsági realitásoknak.
A fent említett két szabályozó dokumentum kiadásával a helyzet jobbra változott - néhány szigorú engedélyezési követelményt töröltek, az ISPD besorolásának eljárásait egyszerűsítették, és a PD kezelője több jogot kapott a védelmi intézkedések megválasztására. Az ISPD védelmére vonatkozó követelményeket a "biztonsági szint" és a rájuk alkalmazott biztonsági eljárások megfelelési táblázata határozza meg, melynek részleteit az FSTEC 21. számú végzése ismertette. Ez lehetővé tette a PD eltéréseinek kiegyenlítését. védelmi módszer a Központi Bank iparági szabványában és az általános orosz jogszabályokban.
A frissített szabványban új „PD-forrás” kifejezés jelent meg, amelyre vonatkozóan követelményeket alakítottak ki a személyes adatok feldolgozásával kapcsolatos egyes eljárások dokumentálására (7.10. szakasz). Külön megvizsgálták a személyes adatok megsemmisítésével kapcsolatos kérdéseket: a szervezetek lehetőséget kaptak a PD megsemmisítésére nem azonnal, hanem időszakonként, de legalább félévente egyszer.
A Roskomnadzor külön ismertette a biometrikus PD-vel kapcsolatos magyarázatokat, például az alkalmazottak fényképei, ha azokat hozzáférés-ellenőrzési célokra használják, vagy a vállalat honlapján nyilvánosan elérhető információként jelennek meg a menedzsmentről, nem tartoznak a különleges védelmi követelmények hatálya alá.
Azoknak a bankoknak, amelyek korábban teljesítették a PD védelem követelményeit a régi szabvány szerint, az új követelményeknek való megfelelés érdekében módosítaniuk kell belső szabályozó dokumentumaikat, át kell minősíteniük és át kell irányítaniuk az ISPD-t, és a biztonsági szintnek megfelelően meg kell határozniuk maguknak a védelmi intézkedések új listáját. Szeretném megjegyezni, hogy a bankok ma már nagyobb szabadságot élveznek a védelmi eszközök és módszerek megválasztásában, azonban továbbra is kötelező az FSTEC által osztályozott információbiztonsági eszközök használata.
A Nemzeti Fizetési Rendszer (NPS) a közelmúlt eseményeire való tekintettel egyre inkább kiemelt területté válik az állam belpolitikájában. Vlagyimir Putyin orosz elnök aláírta a nemzeti fizetési kártyarendszer (NSPK) oroszországi létrehozásáról és a nemzetközi fizetési rendszerek zavartalan működésének biztosításáról szóló törvényt. Az NSPK üzemeltetője egy OJSC formájában jön létre, amelynek eszközeinek 100% -a az Oroszországi Bankhoz tartozik. A projekt célja az Oroszországon belüli pénzátutalások infrastrukturális és információs folyamatának lezárása, az országon belüli operatív központok és fizetési elszámoló központok megszilárdítása.
Valójában a törvény elfogadása előtt a pénz előbukkanhatott a semmiből, és eltűnhetett a semmibe. A törvény megjelenésével a helyzet megváltozik, az NPS lehetővé teszi az összes monetáris tranzakció nyomon követését, beleértve a kétes tranzakciók finanszírozását és a csalárd tranzakciókat, amelyek veszélyeztethetik az állampolgárok vagy az ország egészének biztonságát. Emellett a készpénzforgalomból való kivonás a kormány szerint újabb lépés a vesztegetés elleni küzdelemben.
Az NPS biztonságának biztosítása érdekében számos szabályzatot adtak ki, köztük a fizetési rendszer információinak védelméről szóló alapvető rendeletet "2012.13.06., 584. sz. De nagyobb mértékben az Oroszországi Bank illetékes osztálya által kiadott, a pénzátutalások során az információk védelmének biztosítására vonatkozó követelményekről szóló rendelet megfelel ... "2012.06.09. N 382-P)
A P-382 frissítéssel a védelmi trendek most oldalra tolódnak el:
Hasonló helyzet alakul ki a plasztikkártyák használatával is. A nemzetközileg elismert biztonsági szabvány a Payment Card Industry Data Security Standard (PCI DSS), amelyet a PCI SSC fejlesztett ki. Olyan kártyamárkákat foglal magában, mint a Visa, MasterCard, American Express, JCB és Discovery.
A PCI DSS tizenkét tematikus részbe csoportosítva írja le a kártyabirtokosok adatainak védelmére vonatkozó követelményeket. A PCI DSS szabványban a fő hangsúly a hálózati infrastruktúra biztonságának biztosításán és a fizetőkártya-birtokosok tárolt adatainak, mint az adatvédelmi fenyegetések szempontjából legsérülékenyebb helyek védelmén van. Figyelembe kell venni azt is, hogy a szabvány szabályozza a fizetési rendszerek biztonságos fejlesztésének, támogatásának és működtetésének szabályait, beleértve azok nyomon követésének eljárásait is. Ugyanilyen fontos szerepet szán a szabvány az információbiztonsági irányítási rendszer normatív dokumentumalapjának kialakítására és támogatására.
A nemzetközi fizetési rendszerek kötelezik azokat a szervezeteket, amelyekre a szabvány követelményei vonatkoznak, hogy rendszeresen ellenőrizzék e követelmények betartását, ami előbb-utóbb hatással lehet az NSPK-ra. Az orosz bankok külföldi PCI DSS szabvány szerinti tanúsítása azonban meglehetősen lassan haladt, és ma nincs hazai analóg.
A P-382 követelményeinek és az STO BR IBBS-2014 legújabb verziójának eleget téve azonban nagyrészt fel lehet készülni a PCI DSS tanúsításra, mert annak számos rendelkezése átfedésben van a hazai dokumentum követelményeivel: vírusvédelem, titkosítás, szűrés tűzfalak segítségével, megkülönböztető hozzáférés, kommunikációs munkamenetek nyomon követése, valamint az információbiztonsági rendszer figyelése, auditálása és kezelése (lásd 5. ábra).
5. ábra: A védett információk kategóriáinak összehasonlítása különböző szabványok szerint (az Ural Center for Security Systems szerint, www.usssc.ru, 2014)
Az összes külföldi szabvánnyal ellentétben az orosz 382-P célja az információbiztonsági berendezések (SIS) hazai fejlesztőinek és gyártóinak ösztönzése, például azáltal, hogy kötelezi az NPS-alanyokat, hogy biztosítsák a nem kriptográfiai SIS használatát a jogosulatlan hozzáférés ellen, beleértve azokat is, amelyek a megállapított eljárásnak megfelelően letette a megfelelőségértékelési eljárást. Ugyanakkor a külföldi termelés döntéseinek alkalmazása egyértelműen megengedett.
Az orosz jegybank emellett megerősíti a megállapított szabályok betartása feletti ellenőrzését. A 2831-U számú, 2012. 06. 09-i „A fizetési rendszerek információbiztonságának biztosításáról szóló jelentésről...” című 2012. június 9-i utasítás dokumentumában egyértelműen jelzi, hogy a fizetési rendszerek alanyainak milyen formában és gyakorisággal kell jelentést tennie az információbiztonság állapotáról fizetési rendszerek.
A PCI DSS népszerűsége és elterjedtsége ellenére a tartalék rendszerek biztonságára más nemzetközi szabványok is léteznek, amelyekről szintén szeretnék egy kicsit szólni. Az egyik a PCI PA-DSS szabvány (Payment Card Industry Payment Application Data Security Standard), amely meghatározza a kártyabirtokos adatokat feldolgozó alkalmazások követelményeit és azok fejlesztésének folyamatát. A második pedig - a Payment Card Industry PIN Transaction Security (PCI PTS) szabvány, korábban PCI PED, azokra a gyártókra vonatkozik, akik műszaki paramétereket és vezérlőrendszert állítanak be és valósítanak meg olyan eszközökhöz, amelyek PIN-kódokat támogatnak, és fizetési műveleteket hajtanak végre. kártyás tranzakciók.
Az STO BR IBBS nagyon fontos mérföldkő a nemzeti információbiztonsági rendszer fejlődési útján. Ez az egyik első iparági szabvány, amelyet az orosz valósághoz igazítottak. Természetesen ez nem csodaszer minden bajra, sok probléma van még, amivel a szakemberek küszködnek, de ez az első és nagyon sikeres tapasztalat, ami közelebb visz a legjobb külföldi gyakorlatok színvonalához.
A szabvány követelményeinek eleget téve sok bank készül fel a PCI DSS fizetési rendszerek biztonságának nemzetközi tanúsítására. Biztosítsa a személyes adatok védelmét a szabályozók legújabb követelményeivel összhangban. Az évente lefolytatott belső ellenőrzés lehetővé teszi a bankok védelmének objektív ellenőrzését az információbiztonság jelentős kockázataival és veszélyeivel szemben, a vezetők pedig az integrált védelmi rendszer kiépítésének és menedzselésének hatékonyabb tervezését.
Reméljük, hogy a meglévő hiányosságokat, nyilvánvaló hibákat kijavítják a következő kiadásokban, amelyek megjelenése már nincs messze. 2015 tavaszán már egy frissített P-382 vár ránk, és változások következhetnek a BR IBBS komplexumban. Addig is elégedettek vagyunk a TC 122 „Pénzügyi Műveleti Standard” októberi megjelenésével, és ne felejtsük el, hogy bármennyire is jó a felsőbb hatóságok erőfeszítései, biztonságunk továbbra is a mi kezünkben van!
Ha egy vállalkozás 100%-ban műszakilag biztonságos, egyszerűen nem tud profitot termelni. Ha nem szab semmilyen védőkorlátot a tranzakciókra vagy a banki termékek értékesítésére, a csalók nagy valószínűséggel nem hagynak kő kövön.” Ez volt a gondolata Vaszilij Okulesszkijjal, Ph.D.-vel, a Moszkvai Bank Biztonsági Osztályának információbiztonsági osztályának vezetőjével.
J.I .: Vaszilij Andrejevics, hogyan értékeli a bankszektorban tapasztalható csalások jelenlegi helyzetét?
BAN BEN.: Jelenleg 30-50%-os növekedést tapasztalunk a különböző típusú csalások számában a tavalyi évhez képest. Fajszerkezete is megváltozott: mindenekelőtt élesen visszatér az ATM-csalás.
Az elmúlt év során az orosz bankok összesített ATM-hálózata 40%-kal nőtt, ez a tisztán technikai tényező a bűnözés növekedésének látens oka. Változtak az ATM-ek támadásának módszerei is. Megjelentek az úgynevezett "robbanóanyagok", amelyek a "munka" nagy sebességével tűnnek ki - a lopás teljes művelete kevesebb mint egy percet vesz igénybe. Visszatért a támadószoftver, amely 2009-ben volt a csúcson. Ezenkívül alapvetően új módszereket figyelnek meg: az ATM-ek távolról támadnak, újraindítást provokálnak, vagy a támadás közvetlenül a végrehajtó eszközökre irányul - ugyanahhoz a befizetőhöz. Az ilyen cselekményekből származó kár mértéke jelentősen meghaladja az egyéb típusú ATM-csalásokból származó veszteségeket.
Az orosz bankszektorban folyamatos tendencia figyelhető meg a magánszemélyek és jogi személyek webbanki funkcióinak fejlesztése felé. A csalók is kedvelik az új funkcionalitást, elsősorban a pénzlopási lehetőségek miatt. Ennek megfelelően a bankok egyszerűen nem fektethetnek be internetes szolgáltatásaik biztonságának javításába. Szeretném megjegyezni, hogy az összes orosz bank közül csak a Tinkoff Bank fektet be az információbiztonságba „csak úgy” - számára ez az egyetlen módja az üzleti biztonság biztosításának.
Az elmúlt hónapok trendje a bankok információs rendszerei elleni támadások. Közvetlenül a levelezőszámla-kezelő eszközt támadják meg – ez lehetővé teszi a csalók számára, hogy egyszerre hatalmas összegeket vonjanak ki. Az ilyen műveletek magas képzettséget és komoly képzést igényelnek a támadóktól.
J.I .: Vagyis a támadások célpontja gyakran nem az ügyfél, hanem maga a bank?
BAN BEN.: Igen, ez több tényezőnek köszönhető. Először is, a bankok nagy erőfeszítéseket tesznek ügyfeleik védelmében, és ez valóban működik. Másodszor, az ügyfelek fejlettebbek az információbiztonsági kérdésekben. Most már sokkal ritkábban fordul elő a „Vettem egy vírusirtót, telepítettem a számítógépemre, de valamiért nem működik” felirat. Az ügyfelek már tudják, mit és hogyan kell telepíteni, frissíteni, milyen jogi következményei vannak a licencelt és licenc nélküli szoftverek használatának stb. Az emberek felkészültebbek, nehezebb lett megtámadni őket, mindez arra kényszeríti a csalókat, hogy „átálljanak” bankokra.
Vegye figyelembe, hogy az ilyen támadások felépítése és eszközei alapvetően különböznek egymástól. Ezért szükséges a banki információs rendszerek kialakításának paradigmájának felülvizsgálata. A biztonsági tiszteket a rendszer életciklusának első szakaszában kell bevonni a munkába, nem pedig a kereskedelmi üzembe helyezés szakaszában. Vagyis a fejlesztés során is minden információbiztonsági kérdést figyelembe kell venni.
Sőt, az információbiztonság megértésének is meg kell változnia. Az információvédelem nem egy diszkrét folyamat „rakunk megoldást, minden működik, lazán”, hanem folyamatos tevékenység, sajátos gondolkodásmód a rendszereket fejlesztő, bizalmas dokumentumokkal stb.
J.I.: Pontosan mi legyen ez a gondolkodás?
BAN BEN.: Mondok egy egyszerű példát az információbiztonság 3 fő összetevőjére - az adatok titkosságára, integritására és elérhetőségére. Érdekes logikai paradoxon figyelhető meg ezzel a triáddal kapcsolatban: ha egy fogalom első pillantásra egyszerűnek és világosnak tűnik, a gyakorlatban való megvalósítása gyakorlatilag lehetetlen. Mi az az integritás? Egyszerű kérdés. De itt elektronikus aláírással írsz alá egy dokumentumot, ennek fő követelménye, hogy biztosnak kell lennie abban, hogy pontosan mit ír alá. Vagyis biztosítani kell az eredeti aláírás objektum és a képernyőn látható sértetlenségét. Mennyiben felel meg egy adatbázisban lévő elektronikus dokumentum a papír eredetinek? Mennyire legitim az aláírt elektronikus változat papíron történő reprodukálása? Akinek van fogalma arról, hogy mi az a Windows, az érti, hogy a fenti követelmény elvileg nem teljesíthető. Vagy fel kell hagyni egy ilyen népszerű operációs rendszerrel és technológiával a többfeladatos munkavégzéshez, és ki kell találni egy olyan módszert az elektronikus dokumentumok megjelenítésére, amely az átalakításuk minden szakaszában biztosítja az integritást.
A kérdés nem ilyen egyszerű, a technikai eszközökön, a munka technológiáján nyugszik. Ha nem oldjuk meg a probléma kezdeti megfogalmazásának szintjén, akkor egyszerűen nem fogjuk tudni megérteni, hogy pontosan mit is kell védeni, mi az információbiztonság tárgya számunkra. Nem tény, hogy az a dokumentum, amelyet valóban védünk, megfelel annak, ami a bejáratnál volt, és valóban védelem alatt állt.
J.I .: Milyen típusú csalás a legveszélyesebb jelenleg?
VO: A pálma most is, az elmúlt évekhez hasonlóan, a belső csalások közé tartozik. Ellenintézkedési rendszerekkel nem blokkolhatók. Ha az alkalmazottak megegyeznek egymás között, durván szólva semmi sem segít. Nagyon nehéz azonosítani a belső támadókat, és az ilyen összejátszás következményei sokkal nagyobbak, mint bármely más típusú csalásból származó kár.
J.I .: Melyek a főbb megközelítések az információbiztonság biztosításában az Ön bankjában?
BAN BEN.: Rendszeresen javítjuk szolgáltatásaink biztonságát. Az információbiztonsággal kapcsolatos figyelem azonban eltolódott. Ha korábban megvédtük az ügyfelet az ismétlődő fenyegetésektől - adathalászattól, adatai helyettesítésének lehetőségétől, biztosítottuk a hitelesítési eszközök védelmét, akkor most már eleve úgy gondoljuk, hogy az ügyfél mindig lenyűgözött. Az ügyfelek 80%-a kezdetben csalók ellenőrzése alatt veszi igénybe a banki szolgáltatásokat. Ezért meg kell változtatni a védelem paradigmáját. Feltételezzük, hogy a kerület már elég biztonságos, ezért figyelmünket a tranzakciókra fordítjuk. Valójában az egyik leghatékonyabb modern irányzat a tranzakcióelemzés.
J.I .: Talán egy bizonyos idő elteltével a bankok kénytelenek lesznek elismerni, hogy az infrastruktúrájuk is eleve sebezhető, és 80%-ban a csalók által ellenőrzött. Ez pedig azt jelenti, hogy az egyetlen kiút a már bankon belüli tranzakciók ellenőrzése lesz az ügyféltranzakciók ellenőrzésére szolgáló megoldásokhoz hasonló rendszerekkel.
BAN BEN.: Ebben van némi igazság. Nem nyitom ki Amerikát, ha azt mondom, hogy az információbiztonság spirálisan fejlődik, és minden kör alapvetően más szinten zajlik. 10 évvel ezelőtt gyakorlatilag ugyanarról beszéltünk - meg kell védeni a bank külső kerületét. Az évek során több ügyfélvédelmi körön mentünk keresztül, és ismét visszatértünk a kiindulóponthoz - a bankhoz. Csak most beszélünk az információs infrastruktúra kiépítésének ideológiájának megváltoztatásáról az információbiztonsági kérdések kezdeti elszámolására.
J.I .: Tudniillik az üzleti élet gyakran negatívan viszonyul az információbiztonság fejlesztéséhez és szigorításához. Hogyan sikerül összhangba hozni a bankot a modern információbiztonsági gyakorlattal?
BAN BEN.: A vállalaton belüli információbiztonsági szint növelésének leghatékonyabb ösztönzője a vállalkozás kötelező részvétele a csalásból származó anyagi kár megtérítésének folyamatában. Például egy új banki terméket fejlesztünk. Megnéztük az IB-triádunkat, megjegyzéseket tettünk, bezártuk a számunkra látható lyukakat. Számunkra pontosan látható, hiszen minden fejlesztésben több összefüggő réteg van. A tározókban lévő sebezhetőségeket megszüntetjük, de a fejlesztőcsapat sokkal jobban ismeri a köztük lévő kapcsolatok sajátosságait. Nem szerepelnek a termékdokumentumokban, amelyekkel dolgozunk. Ugyanakkor ezek a linkek gyakran támadások célpontjai. Ha a fejlesztők információbiztonsági szempontból egyáltalán nem érdekeltek azok helyes felépítésében, akkor a termék megjelenésekor a csalók fokozott figyelmét kockáztatjuk. Ha a pénzügyi veszteségek a fejlesztők és a termék megjelenését kezdeményező üzleti egységek konkrét bónuszaival korrelálnak, akkor ők maguk törekednek arra, hogy a lehető legjobban „megtisztítsák”.
Ha helyesen épít fel egy rendszert a részlegek közötti pénzügyi felelősség kiegyensúlyozására, a nagy csalásokkal járó üzleti folyamatok automatikusan biztonságosabbá válnak.
Az IS karbantartási mechanizmus, amely már a termék piaci felkínálásának szakaszában működik, egy jól ismert stop loss. Amint több csalás tranzakciót rögzítenek rajta, vagy a behatolók cselekményéből származó kár összege meghaladja a megengedett értéket, a bank leállítja az ajánlatot. Elemezzük a terméket, megszüntetjük a szűk keresztmetszeteket, és csak ezután helyezzük újra üzembe. Természetesen minden vállalkozás számára a nyújtott szolgáltatásokból származó haszon az elsődleges, ezért inkább a csalárd tranzakciók megengedett számának vagy a kár mértékének növelésében érdekelt. Valójában ez az információbiztonság és az üzleti egységek közötti alku tárgya, közös feladatunk a kompromisszum megtalálása. Ezt a szemléletet fokozatosan kiépítettük hazánkban. „Már tudjuk – lesz stop loss és limitek, úgyhogy dolgozzunk együtt” – ez az üzlet álláspontja egy új termék bevezetésekor. Mobilbank szolgáltatásunk példája annak, hogy egy vállalkozás milyen felelősségteljesen közelíti meg az információbiztonsági kérdéseket: kezdetben az általunk javasoltnál szigorúbb feltételeket hirdetett az ügyfelek mobileszközökön történő azonosítására.
J.I.: Tegyük fel, hogy a lehető leggyorsabban piacra kell vinni egy új szolgáltatást, hogy a versenytársak előtt maradjon, és ne veszítse el a potenciális profitot. Ebben az esetben csökkentheti valamelyest az információbiztonság kérdésének kritikusságát?
BAN BEN.: Mindenesetre nem csukhatjuk be a szemünket, csak ugyanolyan intenzív tempóban dolgozunk, mint a fejlesztők. Azonnal leverjük a nyilvánvaló héjat, azokat a sebezhetőségeket, amelyeket nincs időnk mélyen és részletesen kidolgozni a termék forgalomba hozatala előtt, a stop loss szakaszban kiküszöböljük.
Általánosságban elmondható, hogy ha egy vállalkozás egy információbiztonsági szempontból durva szolgáltatást indít a piacon, akkor készen kell állnia arra, hogy minden ezzel megkeresett millióból egy bizonyos százalékot adjon a csalóknak. A hivatalos kár itt 5 vagy 50% lehet. A csalás kockázataiért ebben az esetben teljes mértékben az üzletágat terheli a felelősség, és ennek tükröződnie kell a vonatkozó üzleti megállapodásban.
Ahogy fentebb is mondtam, a felelősség megosztása kijózanító. Tegyük fel, hogy potenciálisan veszélyes helyre telepít ATM-et, függetlenül az információbiztonsági szakemberek riasztásokkal, videó megfigyeléssel stb. Egy modern ATM ára körülbelül 30 000 dollár. Ha egy csaló feltöri, a javítás az általános bankszámlára, a feldolgozási számlára vagy az Ön kiskereskedelmi egységére terhelhető. A jövőben hasonló helyzetben figyelni fognak az információbiztonsági szakemberekre. Az üzleti élettel az ő nyelvén beszélünk – a profitkiesésről, kockázatokról, pénzügyi felelősségről stb.
J.I .: Nem is olyan régen a Moszkvai Bank csalásvédelmi rendszert vezetett be az RBS csatornáin a jogi személyek számára. Mik voltak a projekt céljai? Elérték?
BAN BEN.: Projektünk bizonyos szempontból egyedülálló - nem a biztonsági szint növelése volt a célunk, hanem magának a csalásfelderítési eljárásnak a költségeinek csökkentése. Ezt megelőzően a bank 400 operátora minden új befizetést hívással igazolt vissza - naponta körülbelül 10 ezren voltak. Ennek eredményeként a frontvonali egységeknél a fizetések lebonyolítása során - bizonyos területeken - több mint 10-szeresére csökkentettük az ellenőrző hívások számát. Csökkent a pénztárosok terhe, áttértek a banki termékek értékesítésére - ez a tevékenység közvetlenül termel profitot.
Vállalkozásunk megértette, hogy egyrészt a biztonság pénzbe kerül, másrészt enélkül sokkal kevesebb pénz lesz.
A projekt céljának helyes megfogalmazása részünkről – "olcsóbbá tegyük a biztonságot" - oda vezetett, hogy az üzletág beleegyezett egy csalás elleni rendszer bevezetésébe, és erre fordította a költségvetését.
J.I .: A beágyazott elemző eszköz valójában önállóan hoz döntéseket. Hol a határ az automatizálás elégségessége és redundanciája között? Milyen döntéseket nem lehet a szoftveragyra bízni?
BAN BEN.: A határ mindig mozgásban van, az automatikus könyvelés és a fizetések automatikus blokkolása között helyezkedik el. Ha a csalás mértéke, amelynek kockázati szintje a rendszerben csökkent/növekedett, abban módosítjuk a döntési kritériumokat. Ugyanakkor lehetetlen teljesen automatizálni a műveletek értékelését, és az egész folyamatot egy elemző eszköz kegyére hagyni. Vagyis van bizalom a csalásellenes rendszerben, de annak szintjét ellenőrizni kell. Néha csak egy személy tud dönteni a fizetésről, ezt többször is megerősítettük. Egy közmondás szerint a gép „bolond”: nem látja előre az összes árnyalatot. Például egy technikai hiba miatt megnőtt a válaszidő a rendszerek között, ennek eredményeként a válasz nem született meg. Munkatársaink képzett szakemberei vannak, akik néha gyorsabban tudnak dolgozni, mint egy csalás elleni megoldás. Ezért esetünkben automatizált rendszerről beszélünk, nem automatikusról. Tehát bízunk, de ellenőrizzük.
J.I .: Egy komplex kockázatkezelési rendszer bevezetése és működtetése a banki csapat kemény munkája. Milyen kompetenciákkal kell rendelkezniük az alkalmazottaknak az ilyen megoldások működéséhez? Hiány van ilyen személyzetből?
BAN BEN.: A kérdésre egy kérdéssel válaszolok: a vörösnek hány árnyalatát láthatja az átlagember? Nehéz megmondani. És munkánkban ez a legfontosabb dolog - hogy meg tudjuk különböztetni a kockázatos műveletek maximális számát a rendszerben. A szakembernek képesnek kell lennie az esetleges csalásra utaló jelek azonosítására, beleértve a szakmai intuíció felhasználását is. Ez kizárólag a tapasztalatból adódik. Szakterületünkön különböző hátterű emberek dolgoznak. Egyesek - IT Schnicks - jó háttérrel rendelkeznek nagy mennyiségű adat rendszerelemzésében, de soha nem dolgoztak csaló műveletekkel. Mások - "opera" - megették a kutyát a műveletek értékelése közben, IP-címekben, naplókban gondolkodnak, ugyanakkor nem képzelik el az adatbázisok rendszerezésének elveit, nem tudják, hogyan kell rendszerelemzést végezni. A tapasztalatcsere, az ilyen szakértők közös csapatmunkája szinergikus hatást eredményez. Rendkívül fontos, hogy a csalás elleni osztály hozzáértő vezetője legyen, aki fel fogja építeni az egész folyamatot, és helyesen kiemeli a legfontosabb pontokat. Összegezve a fentieket: a szakterületünkön képzett, képzett szakemberek „darabáru”.
J.I .: Részben már érintette az információbiztonsági szolgálat és az üzleti egységek közötti interakció kérdését. Hogyan képzeli el a csalás elleni funkció optimális felépítését?
BAN BEN.: A legfontosabb dolog az, hogy az információbiztonság és az üzlet közötti interakciót üzleti folyamat formájában kell leírni. Ezenkívül minden résztvevőnek világosan meg kell értenie, hogy mit kell tenni egy esemény esetén - hogy részletesen megértse a válaszadási eljárást. Ehhez a Moszkvai Banknak van egy szabályzata az interakciós eljárásról. Az üzleti folyamatok leírásánál fel kell osztani az egyes résztvevői csoportok zónáit és mértékét (lehet, hogy az anyagi felelősséget is). Emlékszem Leonyid Filatov „Fedot íjászról, egy merész fickóról” című művére: „Ismerem bűnömet. Intézkedés. Fokozat. Mélység".
Biztonsági Osztályunk belső dokumentumokkal rendelkezik, amelyek leírják, hogy az információbiztonsági szakembereknek mit, hova, milyen formában és milyen gyorsan kell átadniuk egy incidens esetén. A számolás gyakran percekig tart, ezért elfogadhatatlan, hogy ülve gondolkodjunk azon, hogy mit kell tenni, és ki a hibás. A munkavállalónak világos műveleti algoritmust kell kidolgoznia "egy-kettő-három". Ugyanakkor a keze ügyében van az összes küldendő dokumentumsablon, az e-mail címek naprakész listája. Vagyis létre kell hozni egy folyamatot és ki kell képezni az embereket.
J.I .: Hogyan lehet értékelni azon egységek gazdasági hatékonyságát, amelyek funkciói a csalás elleni küzdelemhez kapcsolódnak?
BAN BEN.: Semmiképpen. Költséghatékonyságunk nem mérhető. Ebben a hónapban például több csalási esetet azonosítottunk, mint tavaly. Mit is jelent ez? Jobb munkát végzünk? Vagy a csalók átvették a "termelés" felgyorsult ütemét? Az információbiztonsági osztály tevékenységét csak a kidolgozott és azonosított incidensek százalékos arányában tudja értékelni. Nagyjából, ha minden feltárt csalási tényt kidolgoztunk, akkor hatékonyak vagyunk. De mindenesetre egy vakfolt marad - nem lehet tudni, hogy mindent kiszámoltunk-e vagy sem.
Paradox módon az üzleti élet munkánk eredményességét kizárólag a veszteségek alapján tudja értékelni. Van-e kár a csalásból? Igen – kiszámítható, a tervezett veszteségeken belül. Ez azt jelenti, hogy a fent említett egyensúlyt betartották, és a biztonság jól működik. Ha a károsodás mértéke magasabb a megengedettnél, akkor valahol „lyuk” van. Ráadásul nem tény, hogy ez az információbiztonsági környezet hibája. Talán az egyik üzleti folyamat részletes átdolgozást igényel az információbiztonság szintjének növelése érdekében. Ezen pedig a bank más részlegeiből álló szakértői csapattal fogunk együtt dolgozni.
J.I .: Köszönöm szépen, hogy időt szántál a beszélgetésre!
Melyek azok a fő biztonsági problémák, amelyeket jelenleg kiemel, mind információbiztonsági, mind üzleti biztonsági szempontból?
Andrey Bogoslovskikh, a Rosbank Információs Technológiai Igazgatóságának igazgatója: A hacker közösség célja a távoli banki rendszerek technológiáihoz igazított rosszindulatú kód létrehozása. Jelszavak és kulcsfontosságú információk ellopása fertőzött ügyfélszámítógépekről.
Konstantin Medencev, a Moszkvai Újjáépítési és Fejlesztési Bank információs technológiákért felelős alelnöke: Az információbiztonság fő feladata az információs infrastruktúra védelmének biztosítása és javítása. Az információs technológiát egyre gyakrabban használják bűnügyi célokra. A technológiák egyre hozzáférhetőbbé válnak, az információs rendszerek elleni támadások költsége csökken, miközben az elektronikus információforrások védelmének költsége egyre drágább. Az információs rendszerek segítségével a hitelintézetek jelentősen csökkenthetik az ügyfélszolgálat költségeit, ami viszont a profit növekedéséhez vezet. A szabályozók által meghatározott követelmények teljesítésére szolgáló mechanizmusok azonban a banki szolgáltatások költségeinek jelentős növekedéséhez vezetnek. Minél magasabb az adatvédelem szintje, természetesen annál nehezebb megszerezni őket, mivel a megfelelő automatizált rendszerek architektúrája bonyolultabbá válik. Ebben a tekintetben fontos megtalálni egy olyan integrált megközelítést vagy cselekvési algoritmust, amelynek végrehajtása lehetővé teszi a jogszabályi követelmények teljesítését, ugyanakkor nem befolyásolja hátrányosan a bank tevékenységét, és nem vezet a költségek növekedéséhez. termékek és szolgáltatások a fogyasztó számára.
Vladilen Novoszeletszkij, a B&N Bank információbiztonsági osztályának vezetője: A fő probléma az információbiztonság korlátozott finanszírozása. Ez nagyban meghatározza az összes többi problémát.
A második probléma a vállalkozás számára olyan szabadsági fokozat megválasztása, amely egyrészt nem engedi, hogy a támadók tönkretegyék az üzletet, másrészt nem fojtja meg az üzletet. Nyilvánvalóan nem lesznek információbiztonsági incidensek, ha mindent tilos. De akkor az üzlet sem fog fejlődni. Ezért meg kell találni az egyensúlyt a vállalkozáshoz szükséges cselekvési szabadság és az információbiztonság biztosításához szükséges korlátozási rendszer között.
A harmadik probléma a kívánt funkcionalitással rendelkező információbiztonsági rendszer kiválasztásának problémája, amely nem gyakorol észrevehető negatív hatást a védett eszközökre (a funkcionalitás és a kompatibilitás problémája). Sok SZI van a piacon, de ... papíron sima volt.
A negyedik probléma a jogi – kriptográfiai információvédelmi eszközökkel végzett tevékenységek engedélyezése, információbiztonsági eszközök tanúsítása és automatizálási objektumok tanúsítása. Az oroszországi FSTEC (Oroszország FSB) által tanúsított információbiztonsági rendszerek többsége elavult. Ezért az információbiztonsági rendszer kiválasztásakor felmerül a dilemma: a szövetségi törvény követelményeinek teljesítése egy tanúsított, de elavult információbiztonsági rendszer megvásárlásával. Vagy megvásárolhatja a legújabb fejlesztésű információbiztonsági rendszert, és ennek megfelelően hatékonyabb, de nem tanúsított. Ha az információbiztonsági rendszer hitelesítetlen verzióját választják ki, és azt már megvásárolták, akkor annak utólagos tanúsítása egyszerűen tápvályúvá válik az ebben részt vevő szervezetek számára. A tanúsítás során az információbiztonsági rendszer nem javul, hanem jóval drágább lesz. És ha a tanúsítás eredménye negatív, akkor mit kell tenni ezzel a SIZ-zel? Vissza az eladóhoz?
Oleg Podkopaev, a Rusfinance Bank informatikai igazgatója: Mint mindig, most is a bennfentesek jelentik a legfőbb veszélyt egy szervezet és egy vállalkozás információbiztonságára. És bár a bennfentes cselekedetek következményei általában kevésbé észrevehetők kifejezett formában, sőt néha egyszerűen nem is láthatók, éppen ez a fő veszélyük. Az ügyfélkör kompromittálása például a közvetlen jogi kockázatok mellett az üzletmenet visszaeséséhez, piaci részesedés elvesztéséhez vezet, a következmények pedig csak akkor válnak láthatóvá, ha már késő valamit tenni. Ennek megfelelően a fő erőfeszítéseket az ilyen szivárgás megelőzésére vagy időben történő azonosítására szolgáló megelőző intézkedésekre kell irányítani.
Alexander Turkin, a B&N Bank Ellenőrző és Információs Támogatási Központjának vezetője: Az informatizálás tárgyainak hitelesítésénél a kép a következő: bármilyen változás esetén az objektumot újra kell minősíteni. De a bankban folyamatosan történnek változások! Változik mind a számítástechnika, mind a szoftver, a munkavégzés technológiája. Így formálisan a tanúsítás/újraminősítés egy folyamatos, végtelen folyamattá válik végtelen költségekkel.
Mint ismeretes, az Orosz Föderáció kormányának 2007. december 29-i 957. számú rendelete hatálya alá tartozó kriptográfiai adatvédelmi eszközök használatára, amelyek jóváhagyták a titkosítással (kriptográfiai) kapcsolatos bizonyos típusú tevékenységek engedélyezéséről szóló szabályzatot. ) azt jelenti, hogy az orosz FSB engedélyére van szükség. De akkor nem csak a banknak, hanem az Ügyfél-Bank rendszer minden ügyfelének is szüksége van rájuk. Ugyanez igaz a Szövetségi Adószolgálattal, a Nyugdíjpénztárral stb. működő elektronikus csererendszerek minden ügyfelére. Kiderült, hogy az ország legtöbb szervezetének szüksége van az orosz FSB engedélyére.
Jevgenyij Sevcov, a CJSC JSCB NOVIKOMBANK alelnöke: A pénzintézetek manapság egyre gyakrabban szembesülnek a létező fenyegetések széles skálájával, mint például a számítógépes csalás, a számítógépes vírusok, a számítógépes rendszerek feltörése, a szolgáltatás megtagadása stb. Ezeknek a szervezeteknek, különösen bankunknak az információforrásoktól, hálózatoktól való nagyfokú függősége. és nyilvános hozzáférési hálózatok, az információforrások megosztása növeli az ilyen fenyegetésekkel szembeni sebezhetőséget. Mivel a bankban meglévő információs rendszereket eredetileg nem az elvárt biztonsági szinttel tervezték, az információbiztonság biztosításának lehetőségei a legtöbb esetben korlátozottak.
A vezetőség és a biztonsági szolgálat előtt álló legfontosabb probléma az információbiztonságot fenyegető belső fenyegetések, más szóval az információk bennfentesekkel szembeni védelmének problémája.
Ezért ma már mind az információbiztonság, mind az üzleti biztonság szavatolása szempontjából létfontosságú egy integrált információbiztonsági rendszer, amely nemcsak technikai, hanem szervezeti erőforrásokat is magában foglal, amelynek létrehozása sokkal olcsóbban kerülhet a banknak, mint a megszüntetése. az információbiztonsági fenyegetések következményei.
Változtatta-e a válság a bank informatikai osztálya és a biztonsági szolgálat kapcsolatát? Történt-e a felelősségek és funkciók átcsoportosítása? Hogyan?
Andrey Bogoslovskikh: A válság nem változtatott az IT és a biztonság kapcsolatán.
Konstantin Medencev: A pénzügyi-gazdasági válság jelentős hatással volt az üzletvitel jellegére, amely számos esetben a hitelintézeti szerkezetben is érezhető változáshoz vezetett akár a feladatok leépítésével, akár az üzletágak közötti újraelosztással összefüggésben. Információbiztonsági szempontból a fő kapcsolódó részlegekkel, nevezetesen az informatikai részlegekkel. A megfigyelések azt mutatják, hogy számos esetben megtörténik az információbiztonsági rendszerek üzemeltetésével kapcsolatos funkciók információtechnológiai osztályokhoz való átadása. Ennek az újraelosztásnak az üzletvitel egészére gyakorolt negatív hatása azonban alapvetően csak a szomszédos részlegek közötti interakciós eljárások azonnali módosításának hiányában nyilvánulhat meg. Az interakciós eljárások kompetens leírása esetén ennek az újraelosztásnak nincs negatív hatása.
Vladilen Novoszeletszkij: A személyes adatokról szóló törvény hatálybalépésével összefüggésben a kapcsolat jellegének az információbiztonság irányába kellett volna változnia. De nem változott. Lehetséges, hogy ehhez leginkább a válság járult hozzá.
Oleg Podkopaev: A válság önmagában természetesen nem érintette az ilyen kapcsolatokat, hiszen más volt a lényege. A banki részlegek interakciója szempontjából azonban a cselekvések koherensebbé váltak. Jobban befolyásolják a szabályozók követelményei, amelyek megvalósításához egyértelműbb interakció szükséges az IT és a biztonsági szolgáltatások között. A funkciók elosztása ugyanakkor nem változik: az információbiztonsági részlegek szabályozó és felügyeleti szervek a bankon belül, az informatika az információbiztonság megvalósítását és biztosítását hivatott szolgálni.
Jevgenyij Sevcov: Az interakció jellege nem változott. A divíziók felelőssége és funkciói változatlanok maradtak, a bank szabályozó dokumentumai határozták meg.
Hogyan értékeli a szabályozó szerepét a banki információbiztonság területén? Mennyire hasznosak különösen azok a lépések, amelyeket az Orosz Föderáció Központi Bankja tesz a jogalkotás terén?
Andrey Bogoslovskikh: A Bank of Russia információbiztonsági szabványokat dolgoz ki, ezek ajánlás jellegűek (nem jogalkotási terület). Az értékelés kettős. Egyrészt hasznosak az Orosz Föderáció Központi Bankjának információbiztonsági szabványai, mivel a modern nemzetközi információbiztonsági szabványokon alapulnak. Viszont sok vita van bennük, hiszen ezek is elavult módszereken és az Állami Műszaki Bizottság (FSTEC) utasításán alapulnak.
Konstantin Medencev: A Központi Bank erőfeszítései nem maradhatnak figyelmen kívül. A jegybank információbiztonsági szabályozási és módszertani bázisának kialakításában fontos mérföldkő volt számos szabályozó dokumentum megjelenése. Ilyen például a „Módszertan az információbiztonságnak az STO BR IBSS-1.0-2008 követelményeinek való megfelelésének értékelésére” és „Az információbiztonság megsértésének kockázatainak felmérésére szolgáló módszertan”.
Oleg Podkopaev:Úgy gondolom, hogy az Orosz Föderáció Központi Bankja teljesen helyesen jár el, amikor arra tanítja a bankokat, hogy gondolkodjanak el az információbiztonság területén lehetséges szabályozásról. Ráadásul ez nagyon racionálisan történik, először ajánlások és önértékelési módszerek kiadásával, információbiztonsági auditok pilotjaival, majd csak ezután - és ez idő kérdése - kötelező követelmények bevezetésével.
Alexander Turkin: Három szabályozó hatóságunk van az információbiztonság területén: az Orosz Föderáció Központi Bankja, az orosz FSTEC és az orosz FSB. A jegybank lépései a jogalkotás területén a bankok érdekében zajlanak, így a bankok számára minden bizonnyal hasznosak, de hogy mennyire lesznek hatékonyak - az idő eldönti. Egyelőre úgy tűnik, lesz némi hatás, bár talán kevesebb, mint szeretnénk. Egy év halasztást kaptunk, az orosz FSTEC négy dokumentumáról eltávolította a forgácslap bélyegzőt – az már jó. Ugyanakkor szeretném hangsúlyozni, hogy az Oroszországi Bank szerepe ebben a kérdésben kétségtelenül pozitív. Andrey Petrovich Kurilo meghívására beléptünk az ARB 152-FZ törvényi munkacsoportjába. A Munkacsoport ülésein megszületett, a személyes adatokkal kapcsolatos jogszabályok javítására vonatkozó javaslatok, észrevételek úgy gondolom, jelentős mértékben hozzájárultak a közös malacperselyhez.
Jevgenyij Sevcov: A fő dokumentum, amely a bank információbiztonsági szolgáltatását irányítja tevékenységében, a Bank of Russia Standard: „Az Orosz Föderáció bankrendszerében működő szervezetek információbiztonságának biztosítása. Általános rendelkezések "(STO BR IBBS-1.0-2008). Arra számítunk, hogy a dokumentum új verziója az Orosz Föderáció hitel- és pénzintézeteinek iparági szabványává válik.
A 152-FZ törvény követelményeinek teljes körű hatálybalépése. Mennyire készek erre ma a bankok? Milyen haszna van az elért egyéves türelmi időnek?
Andrey Bogoslovskikh: A bankok nem állnak készen. Az egyéves türelmi idő keveset tesz. A személyes adatok védelme erősebb, mint a banki, az üzleti titok pedig nonszensz.
Konstantin Medencev: Annak ellenére, hogy a „Személyes adatokról” szóló szövetségi törvényt 2006-ban fogadták el, a személyes adatvédelmi rendszerek kiépítésének folyamatait szabályozó szabályozási és módszertani dokumentumokat jóval később tették közzé. Figyelembe véve a biztonsági rendszerek bevezetésének jelentős anyagi költségeit, a személyes adatok feldolgozását végző üzemeltetőknek túl kevés idejük marad a megvalósításra. Ebből a szempontból jól jött az egy éves késés.
Oleg Podkopaev: Természetesen senki, beleértve a bankokat, nincs teljesen felkészülve a 152-FZ törvény bevezetésére. Ráadásul a szabályozók még nincsenek készen, ami általában meghatározta az időpontok elhalasztásának lehetőségét. Sőt, itt nem annyira az üzemeltetők, mint inkább a jogalkotók számára egy éves késedelemre van szükség ahhoz, hogy a törvény és a vonatkozó előírások gyakorlati megvalósítására irányuló kísérletek során megfogalmazott szükséges módosításokat megtegyék. Ez szerintem 2010 folyamán megtörténik. Világosabbá válik az is, hogy mit és hogyan kell csinálni, a követelmények jobban megfelelnek a valóságnak, és végül a tanácsadók tapasztalatokat szereznek a „pilot” projektek megvalósításában.
Alexander Turkin: Itt az egyik probléma a szövetségi törvény és a szabályzat értelmezése. Ha formálisan és szigorúan közelítjük meg, akkor a bankok nincsenek készen, és egy év halasztás sem fog gyökeresen változtatni a helyzeten. Ha számos követelményt a gyengülésük irányába igazítanak, akkor a felkészültség foka nő.
Jevgenyij Sevcov: Az egy éves türelmi idő lehetőséget ad arra, hogy pénzt takarítson meg, miközben megfelel ezeknek a követelményeknek.
A távoli banki szolgáltatások fejlesztésével és a bankok ilyen irányú aktív fejlesztésének terveivel kapcsolatban mennyire súlyosak a bankok weboldalait ért DDOS támadások, az adathalászat és az RBS csatornáit fenyegető egyéb veszélyek?
Andrey Bogoslovskikh: A DDoS fenyegetés komoly, de nem önmagában, hanem az ellopott ügyféladatok felhasználásával történő csalárd tranzakciók leplezésének eszközeként.
Konstantin Medencev: Mint már említettük, az információs technológia fejlődése hatással van a bűnügyi szférára. Megfelelő tervezés esetén azonban a távoli banki rendszerek bizonyos típusú fenyegetésekkel bátran ellenállnak. A jelenleg létező hálózati tevékenység figyelő eszközök lehetővé teszik a DDOS támadások forrásának meglehetősen gyors azonosítását, és egyúttal megakadályozzák magának a távoli bankrendszernek a technikai eszközeinek károsodását. A kulcsfontosságú információk jogosulatlan felhasználásával kapcsolatos problémákat azonban kevesen sikerült megkímélni. Ezt a jelenséget csak közös erőfeszítéssel lehet kizárni mind a hitelintézetek részéről - a kriptográfiai eljárások végrehajtását szolgáló fejlettebb mechanizmusok bevezetésével, mind pedig maguk az ügyfelek részéről - az információbiztonsági ajánlások szigorú betartásával.
Alexander Turkin: A probléma az egyik legsúlyosabb. Egyes bankok rengeteg információt halmoztak fel az ilyen fenyegetések forrásairól. Konszolidációja valószínűleg jelentősen növelheti a közzétételi arányt ezen a területen. De az ilyen információk iránt érdeklődő konszolidáló rendvédelmi szerv nem látható. És mindez annak ellenére, hogy az Orosz Föderáció információbiztonsági doktrínája ezt a fenyegetést súlyosnak tekinti az ország gazdaságára nézve.
Jevgenyij Sevcov: Ezt a problémát komolynak tartom. A banknak eszközökre van szüksége az ilyen támadások eleve megelőzésére. És nem csak megakadályozni, hanem védeni is.
Információbiztonsági szempontból milyen főbb problémákat/fenyegetéseket lát a tevékenysége előtt a közeljövőben - 2010-ben?
Andrey Bogoslovskikh: Az FSB és az FSTEC személyes adatok védelmére vonatkozó módszertani ajánlásai követelményeinek való megfelelés. A csalás irányának kialakítása RBS csatornákat használva.
Konstantin Medencev: A technológiai fejlődés folyamatosan halad előre. Amint azt korábban említettük, az információs technológia behatolása a bűnügyi szférába felgyorsult. E tekintetben úgy tűnik, hogy a hitelintézetek tevékenységét érintő információbiztonságot fenyegető veszélyek száma csak növekedhet. Ezek természetéről és következményeiről azonban csak az idő adhat részletesebb értékelést.
Vladilen Novoszeletszkij: A fő probléma az, hogy a bank megfeleljen a „Személyes adatokról szóló törvénynek”, és a fő veszély az, hogy félreértik vagy félreértik ezt a problémát mindazok részéről, akiktől a megoldás függ.
Jevgenyij Sevcov: A személyes adatvédelmi rendszer kialakításának részeként fontolja meg a bank információforrásainak integrált biztonsági rendszerének megszervezését.
Becslés:
