Securitatea informațiilor băncilor începe cu un audit. Auditul IB nu numai că poate acorda băncii dreptul de a desfășura anumite tipuri de activități, dar poate, de asemenea, să demonstreze slăbiciuni în sistemele băncii. Prin urmare, este necesar să se adopte o abordare echilibrată a deciziei privind efectuarea și alegerea formei de audit.
Conform Legii federale din 30 decembrie 2008 nr. 307-FZ „Cu privire la audit”, un audit este „o verificare independentă a situațiilor contabile (financiare) ale entității auditate pentru a exprima o opinie cu privire la fiabilitatea unor astfel de declarații. ."
Definiția termenului menționat în lege nu are nicio legătură cu domeniul securității informațiilor. Cu toate acestea, experții în securitatea informațiilor îl folosesc destul de activ în vorbire. În acest caz, auditul este înțeles ca procesul de evaluare independentă a activităților unei organizații, sistemului, proces, proiect sau produs.
În diferite reglementări interne, termenul „audit al securității informațiilor” nu este întotdeauna folosit – acesta este adesea înlocuit fie cu termenul „evaluare a conformității”, fie cu termenul ușor învechit, dar încă folosit „atestare”. Uneori se găsește termenul „certificare”, dar în raport cu reglementările internaționale străine.
Indiferent de termenul folosit, în esență, un audit de securitate a informațiilor este efectuat pentru a verifica conformitatea cu reglementările sau valabilitatea și securitatea soluțiilor aplicate. În primul caz, este imposibil să refuzi efectuarea unui audit, altfel va atrage după sine încălcarea cerințelor actelor normative și a amenzilor, suspendarea activităților și alte forme de pedeapsă. În al doilea caz, auditul este voluntar, iar decizia de a efectua este luată de organizația însăși.
Un audit statutar poate fi efectuat prin:
Un audit voluntar poate fi efectuat din orice motiv: pentru a verifica securitatea sistemului RBS, a controla activele unei bănci achiziționate, a verifica o sucursală nou deschisă și așa mai departe. În acest caz, este imposibil fie să conturați clar limitele, fie să descrieți formularele de raportare, fie să vorbiți despre regularitatea auditului - toate acestea sunt decise printr-un acord între auditor și auditat. Să ne întoarcem la formele de audit statutar, care sunt importante pentru securitatea informațională a băncilor.
Analog complet rusesc al standardului internațional ISO / IEC 27001: 2005 - „GOST R ISO / IEC 27001-2006 - Tehnologia informației - Metode și mijloace de asigurare a securității. Sisteme de management al securității informațiilor – cerințe”.
De fapt, aceste standarde reprezintă un set de bune practici pentru managementul securității informațiilor în organizațiile mari. Organizațiile mici, inclusiv băncile, nu sunt întotdeauna capabile să respecte în totalitate cerințele standardului. Ca orice standard din Rusia, ISO 27001 este un document voluntar, fiecare bancă decide singură să-și accepte sau nu termenii. Dar ISO 27001 este standardul global dorit, iar experții din diferite țări îl folosesc ca ghid universal pentru toți cei implicați în securitatea informațiilor.
Există câteva puncte subtile și rar menționate, dar importante, asociate cu ISO 27001.
În primul rând, nu întregul sistem de securitate a informațiilor al băncii este supus auditului conform acestui standard, ci doar una sau mai multe componente. De exemplu, un sistem de protecție RBS, un sistem de protecție a sediului central al băncii sau un sistem de protecție a procesului de management al personalului. Cu alte cuvinte, obținerea unui certificat de conformitate pentru unul dintre procesele evaluate în cadrul auditului nu garantează că restul proceselor se află în aceeași stare aproape de ideală.
Al doilea punct este legat de faptul că ISO 27001 este un standard universal, adică aplicabil oricărei organizații, ceea ce înseamnă că nu ține cont de specificul industriei. Acest lucru a condus la faptul că în cadrul organizației internaționale de standardizare ISO se vorbește de mult despre crearea standardului ISO 27015, care este o transpunere a ISO 27001/27002 pentru industria financiară. Banca Rusiei este implicată activ în dezvoltarea standardului industrial. Proiectului deja dezvoltat a fost opus Visa și MasterCard. Visa consideră că există prea puține informații în proiect care sunt necesare pentru industria financiară, de exemplu, cu privire la sistemele de plată. Cu toate acestea, dacă sunt adăugate prevederile lipsă, standardul ar trebui mutat la alt comitet ISO. MasterCard își propune întreruperea dezvoltării ISO 27015, argumentând că există deja suficiente documente în industria financiară care reglementează domeniul securității informațiilor.
În al treilea rând, multe propuneri de pe piața rusă nu vorbesc despre auditul de conformitate, ci despre pregătirea pentru audit. Faptul este că doar câteva organizații din lume au dreptul de a efectua certificarea conformității cu cerințele ISO 27001. Iar integratorii doar ajută companiile să îndeplinească cerințele standardului, care vor fi apoi verificate de auditorii oficiali (registrari, organisme de certificare).
În timp ce dezbaterea continuă, dacă băncile ar trebui să implementeze ISO 27001 sau nu, unii temerari merg la asta și trec prin trei etape ale auditului de conformitate:
Cine are nevoie de ISO 27001 în Rusia? Dacă considerăm standardul nu doar ca un set de bune practici care ar trebui implementate fără a trece printr-un audit, ci și ca un proces de certificare care confirmă conformitatea băncii cu cerințele internaționale de securitate, atunci are sens să implementăm ISO 27001 fie de către bănci. aparținând unor grupuri bancare, unde ISO 27001 este un standard, sau băncilor care intenționează să intre pe arena internațională. În alte cazuri, cel mai adesea nu este necesar un audit de conformitate cu ISO 27001 și obținerea unui certificat. Dar numai pentru bancă și numai în Rusia, deoarece există standarde interne bazate pe ISO 27001. De facto, până de curând, Banca Rusiei a efectuat inspecții în conformitate cu cerințele STO BR IBBS.
Acest standard, sau mai degrabă un set de standarde, descrie o abordare unificată a construirii unui sistem de securitate a informațiilor pentru organizațiile bancare, ținând cont de cerințele legislației ruse. Setul de documente (denumit în continuare - STO BR IBBS) include trei standarde și cinci recomandări de standardizare. Se bazează pe ISO 27001 și pe alte standarde internaționale pentru managementul tehnologiei informației și securitatea informațiilor. Problemele de audit și evaluarea conformității cu cerințele standardului, ca și pentru ISO 27001, sunt precizate în documente separate:
În cadrul evaluării conformității conform STO BR IBBS se verifică îndeplinirea a 423 de indicatori IS privați, care sunt împărțiți în 34 de indicatori de grup. Rezultatul evaluării este indicatorul final, care ar trebui să fie la nivelul 4 sau 5 conform scalei de cinci puncte stabilite de Banca Rusiei. Acest detaliu deosebește auditul conform STO BR IBBS de auditul conform altor acte de reglementare în domeniul securității informațiilor. STO BR IBBS nu implică „incoerență”, doar nivelul de conformitate poate fi diferit: de la zero la cinci. Numai nivelurile de peste 4 sunt considerate pozitive.
La sfârșitul anului 2011, 70-75% dintre bănci au implementat sau sunt în proces de implementare a acestui set de standarde. De drept, STO BR IBBS este de natură consultativă, dar de facto, până de curând, Banca Rusiei a efectuat inspecții tocmai în conformitate cu cerințele STO BR IBBS, deși condițiile nu au fost în mod clar menționate nicăieri. Situația s-a schimbat de la 1 iulie 2012, când au intrat în vigoare legea „Cu privire la sistemul național de plăți” și documentele de reglementare ale guvernului și ale Băncii Rusiei elaborate pentru implementarea acesteia. Din acel moment, problema necesității auditării conformității cu cerințele STO BR IBBS a revenit pe ordinea de zi.
Cert este că metodologia de evaluare a conformității propusă în cadrul legislației privind sistemul național de plăți (SNP) și metodologia de evaluare a conformității STO BR IBBS pot fi foarte diferite în valorile finale. Totodată, evaluarea conform primei metode (pentru SNP) a devenit obligatorie, în timp ce evaluarea conform STO BR IBBS este încă de drept cu caracter de recomandare. La momentul redactării acestui articol, Banca Rusiei însăși nu a decis încă soarta acestei evaluări. Dacă mai devreme toate firele convergeau în Direcția principală de securitate și protecție a informațiilor a Băncii Rusiei (GUBZI), atunci odată cu împărțirea puterilor între GUBZI și Departamentul de Reglementare a Reglementărilor (LHH), problema a rămas deschisă. Este clar doar că actele legislative privind SNP necesită o evaluare obligatorie a conformității, adică un audit.
Regulamentul 382-P, emis și aprobat la 9 iunie 2012, „Cu privire la cerințele pentru asigurarea securității informațiilor în executarea transferurilor de bani și privind procedura pentru Banca Rusiei de monitorizare a conformității cu cerințele de securitate a informațiilor în execuția fondurilor Transferuri” impune în clauza 2.15 o evaluare obligatorie a conformității, adică audit. Evaluarea se realizează fie independent, fie cu implicarea unor organizații terțe.
Metodologia de evaluare a conformității în cadrul 382-P este similară în esență cu metodologia de evaluare a conformității conform STO BR IBBS, dar dă rezultate diferite. Acest lucru se datorează introducerii unor factori de corecție speciali.
Regulamentul 382-P nu stabilește cerințe speciale pentru organizațiile implicate în audit. Aceasta duce la o anumită contradicție cu Hotărârea Guvernului din 13 iunie 2012 nr. 584 „Cu privire la protecția informațiilor în sistemul de plăți”, care impune și organizarea și implementarea controlului și evaluarea conformității cu cerințele de protecție a informațiilor o dată la 2 ani. . Cu toate acestea, un decret guvernamental elaborat de FSTEC impune ca numai organizațiile autorizate să efectueze protecția tehnică a informațiilor confidențiale să efectueze audituri externe.
Cerințele suplimentare pe care noile obligații le impun băncilor sunt enumerate în secțiunea 2.16 din Regulamentul 382-P. Conform cerințelor, operatorul sistemului de plăți este obligat să se dezvolte, iar băncile care s-au aderat la sistemul de plată sunt obligate să respecte cerințele de informare regulată a operatorului sistemului de plăți cu privire la diferite probleme de securitate a informațiilor din bancă, inclusiv:
FZ-161 privind NPS mai stabilește că, pe lângă auditul pe bază contractuală, controlul și supravegherea asupra îndeplinirii cerințelor Rezoluției 584 și Regulamentului 382 sunt exercitate de FSB, FSTEC și, respectiv, Banca Rusiei. La momentul redactării acestui articol, nici FSTEC, nici FSB nu aveau o procedură de supraveghere dezvoltată. Spre deosebire de Banca Rusiei, care a emis două documente:
La 1 iulie 2012, Banca Rusiei a început să testeze și să culeagă date privind practica de aplicare a legii a reglementărilor în domeniul protecției informațiilor în sistemul național de plăți.
PCI DSS - Payment Card Industry Data Security Standard - standard de securitate a datelor cardurilor de plată. A fost dezvoltat de Payment Card Industry Security Standards Council (PCI SSC), care a fost înființat de sistemele internaționale de plată Visa, MasterCard, American Express, JCB și Discover.
Standardul PCI DSS reprezintă un set de 12 cerințe de nivel înalt și peste 200 de cerințe detaliate pentru asigurarea securității datelor despre deținătorii de carduri de plată care sunt transmise, stocate și procesate în sistemele informaționale ale organizațiilor. Cerințele standardului se aplică tuturor companiilor care lucrează cu sisteme internaționale de plată Visa și MasterCard. Fiecărei companii, în funcție de numărul de tranzacții procesate, i se atribuie un nivel, pentru fiecare nivel - propriul set de cerințe. Nivelurile sunt diferite pentru fiecare sistem de plată.
Verificarea conformității cu standardul PCI DSS se realizează în cadrul certificării obligatorii, cerințele pentru care diferă în funcție de tipul de companie verificată: un comerciant care acceptă carduri pentru plată pentru bunuri și servicii sau un furnizor care prestează servicii. către comercianți, bănci - dobânditori, emitenți și așa mai departe (centre de procesare, gateway-uri de plată). Evaluarea se realizează sub diferite forme:
Un alt document de reglementare care are legătură cu industria bancară și care stabilește cerințe pentru evaluarea conformității este Legea federală „Cu privire la datele cu caracter personal”. Cu toate acestea, nici forma, nici frecvența auditului, nici cerințele pentru organizația care efectuează auditul nu au fost încă stabilite. Poate că problema va fi rezolvată în toamna lui 2012, când va fi lansată o porțiune de documente de la guvern, FSTEC și FSB, care introduc noi standarde în domeniul protecției datelor cu caracter personal. Până în prezent, băncile stabilesc în mod independent caracteristicile auditului privind protecția datelor cu caracter personal.
Controlul și supravegherea asupra implementării măsurilor organizatorice și tehnice pentru asigurarea securității datelor cu caracter personal stabilite de articolul 19 din Legea 152-FZ sunt efectuate de FSB și FSTEC. Dar acest lucru se aplică numai sistemelor informaționale de stat de date cu caracter personal. Până acum, conform legii, nu există cine să controleze organizațiile comerciale în domeniul asigurării securității informaționale a datelor cu caracter personal. Nu același lucru se poate spune despre protecția drepturilor subiecților datelor cu caracter personal, adică clienții, contrapărțile și pur și simplu vizitatorii băncii. Această sarcină a fost asumată de Roskomnadzor, care îndeplinește în mod activ funcții de supraveghere și consideră băncile încălcatori persistenti ai legii cu privire la datele cu caracter personal.
Fiecare dintre reglementările principale își stabilește propriile cerințe pentru efectuarea evaluării conformității într-o formă sau alta: de la autoevaluare sub formă de completare a chestionarelor (PCI DSS) până la trecerea unui audit statutar o dată la doi ani (382-P) sau o dată. pe an (ISO 27001). Există și alte forme de evaluare a conformității: notificări ale operatorilor de sisteme de plată, scanări trimestriale și așa mai departe.
Pe de altă parte, țara încă nu are un singur sistem de opinii, nu numai cu privire la reglementarea de stat a auditului securității informațiilor organizațiilor și a sistemelor de tehnologie a informației, ci și pe tema însăși a auditului securității informațiilor. O serie de departamente și organizații sunt responsabile de securitatea informațiilor în Rusia: FSTEC, FSB, Bank of Russia, Roskomnadzor, PCI SSC și altele. Toate funcționează pe baza propriilor reglementări și linii directoare. Abordări diferite, standarde diferite, niveluri diferite de maturitate... Toate acestea împiedică stabilirea unor reguli uniforme de joc.
Tabloul este stricat și de apariția firmelor fly-by-night, care, în căutarea profitului, oferă servicii de calitate scăzută în domeniul evaluării conformității cu cerințele de securitate a informațiilor. Și este puțin probabil ca situația să se schimbe în bine. Deoarece există o nevoie, vor exista cei care vor să o satisfacă, în timp ce pur și simplu nu vor fi suficienți auditori calificați pentru toți. Cu un număr mic de acestea (vezi infografic) și durata auditului de la câteva săptămâni la câteva luni, este evident că cererea de audit depășește semnificativ capacitățile auditorilor.
În „Conceptul de audit al securității informațiilor a sistemelor și organizațiilor de tehnologie a informației”, care nu a fost încă adoptat de FSTEC, a existat următoarea frază:
„... în același timp, în absența autorităților naționale de reglementare necesare, astfel de activități [cu privire la auditul nereglementat de către firme private] pot cauza prejudicii ireparabile organizațiilor”.
Autorii Conceptului au propus să unifice abordările de audit și să stabilească legislativ regulile jocului, inclusiv regulile de acreditare a auditorilor, cerințele de calificare și procedura de audit. Dar lucrurile sunt încă acolo. Deși, având în vedere atenția pe care autoritățile naționale de reglementare în domeniul securității informațiilor, și sunt doar nouă dintre ele, o acordă problemelor de securitate a informațiilor, este posibil ca subiectul să redevină relevant în curând. Numai în ultimul an calendaristic au fost adoptate sau elaborate 52 de acte normative privind problemele de securitate a informațiilor și un act normativ pe săptămână!
În condițiile actuale, din păcate, trebuie să recunoaștem că scopul principal al unui audit al securității informațiilor unei bănci - creșterea încrederii în activitățile acesteia - este de neatins în Rusia. Puțini dintre clienții ruși ai băncii acordă atenție nivelului de securitate sau rezultatelor unui audit efectuat la bancă. Un audit se adresează fie în cazul unui incident foarte grav cu daune materiale grave aduse băncii (acționarilor și proprietarilor acesteia), fie în cazul cerințelor legale.
Cerința # 1, de dragul căreia merită să apelezi la un audit de securitate, este regulamentul 382-P al Băncii Rusiei. Informațiile despre nivelul de securitate bancară și îndeplinirea cerințelor 382-P, care sunt solicitate de la direcțiile teritoriale ale Băncii Centrale, sunt obținute tocmai în urma unui audit extern sau autoevaluare.
Pe locul doi se află auditul conformității cu cerințele Legii cu privire la datele cu caracter personal. Dar un astfel de audit ar trebui să fie efectuat nu mai devreme de momentul în care toate documentele promise de FSTEC și FSB vor fi eliberate și când soarta STO BR IBBS devine clară. În același timp, puteți ridica problema efectuării unui audit de conformitate cu cerințele STO BR IBBS.
Finalizarea cu succes a auditului nu înseamnă că totul este în regulă cu securitatea din bancă. Există multe trucuri care permit unui auditat să ascundă defectele de securitate. Depinde mult de calificările și independența auditorilor. Experiența arată că chiar și în organizațiile care au trecut cu succes auditul pentru conformitatea cu standardele PCI DSS, ISO 27001 sau STO BR IBBS, apar incidente și incidente grave.
Dmitry MARKIN, șeful Departamentului de Audit și Consultanță, AMT-GROUP:
Până de curând, problemele trecerii unui audit obligatoriu al stării securității informațiilor pentru instituțiile de credit în cadrul legislației ruse erau reglementate doar de FZ-152 „Cu privire la datele cu caracter personal” în ceea ce privește controlul intern asupra măsurilor luate pentru asigurarea securității. a datelor cu caracter personal, precum și prin regulamentul Băncii Centrale a Federației Ruse nr. 242-P „Cu privire la organizarea controlului intern în instituțiile de credit și grupurile bancare”. De asemenea, în conformitate cu cerințele Regulamentului nr. 242-P, procedura de monitorizare a securității informațiilor este stabilită prin documentele interne ale instituției de credit în mod independent, fără a se face referire la cerințe specifice pentru asigurarea securității informațiilor. În legătură cu intrarea în vigoare a articolului 27 din FZ-161 „Cu privire la sistemul național de plăți”, care definește cerințele pentru protecția informațiilor în sistemul de plăți, Guvernul Federației Ruse a emis Decretul nr. 584 „Cu privire la aprobare”. din Regulamentul privind protecția informațiilor în sistemul de plăți” și Regulamentul Băncii Centrale RF Nr. 382-P. Conform cerințelor Rezoluției nr. 584 și Regulamentului nr. 382-P, protecția informațiilor în sistemul de plăți trebuie realizată în conformitate cu cerințele acestor acte de reglementare și cu cerințele incluse de operatorii sistemului de plăți în regulile sistemului de plăți. Punctul cheie aici este consolidarea la nivel de legislație națională a dreptului operatorilor de sisteme de plată (de exemplu, Visa și MasterCard) de a stabili în mod independent cerințe pentru protecția informațiilor. Regulamentul nr. 382-P mai precizează obligația instituțiilor de credit de a evalua îndeplinirea cerințelor IS cel puțin o dată la 2 ani, sunt clar definite metodologia de evaluare a conformității, criteriile de audit și procedura de documentare a rezultatelor acesteia. În opinia noastră, apariția reglementărilor de mai sus ar trebui să crească statisticile instituțiilor de credit care promovează certificarea în conformitate cu cerințele standardului de securitate a datelor din industria cărților de plată PCI DSS 2.0, dezvoltat cu participarea celor mai importante sisteme internaționale de plată Visa și MasterCard.
Sistemul de protecție a informațiilor al băncilor este foarte diferit de strategiile similare ale altor companii și organizații. Acest lucru se datorează în primul rând naturii specifice a amenințărilor, precum și activităților publice ale băncilor, care sunt nevoite să faciliteze accesul la conturi pentru confortul clienților.
Odată cu dezvoltarea și extinderea domeniului de aplicare a tehnologiei informatice, acuitatea problemei asigurării securității sistemelor informatice și protejării informațiilor stocate și procesate în acestea de diferite amenințări este în creștere. Există o serie de motive obiective pentru aceasta.
Principalul este nivelul crescut de încredere în sistemele automate de procesare a informațiilor. Li se încredințează cea mai responsabilă muncă, a cărei calitate determină viața și bunăstarea multor oameni. Calculatoarele controlează procesele tehnologice la întreprinderi și centrale nucleare, mișcările aeronavelor și trenurilor, efectuează tranzacții financiare, procesează informații clasificate.
Există diferite opțiuni pentru protejarea informațiilor - de la un agent de securitate la intrare până la metode verificate matematic de a ascunde datele de la cunoștință. În plus, putem vorbi despre protecția globală și aspectele sale individuale: protecția calculatoarelor personale, a rețelelor, a bazelor de date etc.
Trebuie remarcat faptul că nu există sisteme complet sigure. Putem vorbi despre fiabilitatea sistemului, în primul rând, doar cu o anumită probabilitate și, în al doilea rând, despre protecția față de o anumită categorie de contravenienți. Cu toate acestea, se pot prevedea pătrunderi în sistemul informatic. Apărarea este un fel de competiție între apărare și atac: cel care știe mai multe și oferă măsuri eficiente este câștigătorul.
Organizarea protecției sistemului automat de procesare a informațiilor al unei bănci este un singur set de măsuri care trebuie să țină cont de toate caracteristicile procesului de prelucrare a informațiilor. În ciuda inconvenientelor cauzate utilizatorului în timpul lucrului, în multe cazuri, echipamentul de protecție poate fi absolut necesar pentru funcționarea normală a sistemului. Principalele inconveniente menționate mai sus includ Yu.V. Gaikovich, A.S. Pershin. Securitatea sistemelor bancare electronice.-M.: United Europe, 1994.- S. 33:
Este greu de imaginat o bancă modernă fără un sistem informatic automatizat. Conectarea calculatoarelor între ele și cu calculatoare mai puternice, precum și cu calculatoarele altor bănci este, de asemenea, o condiție necesară pentru funcționarea cu succes a unei bănci - sunt prea multe operațiuni care trebuie efectuate într-o perioadă scurtă de timp .
Totodată, sistemele informaționale devin unul dintre cele mai vulnerabile aspecte ale unei bănci moderne, atrăgând intruși, atât din partea personalului băncii, cât și din exterior. Estimările pierderilor din infracțiunile asociate cu interferența în activitățile sistemelor informaționale ale băncilor variază foarte mult. Afectate de varietatea metodelor de calcul al acestora. Furtul mediu de bănci folosind fonduri electronice este de aproximativ 9.000 de dolari, iar unul dintre cele mai importante scandaluri implică o încercare de a fura 700 de milioane de dolari (First National Bank, Chicago).
Mai mult, este necesar să se țină seama nu numai de cantitatea daunelor directe, ci și de măsurile foarte costisitoare care sunt efectuate după încercări reușite de a pătrunde în sistemele informatice. Așadar, unul dintre exemplele cele mai izbitoare este pierderea datelor despre munca cu conturile secrete ale Băncii Angliei în ianuarie 1999. Această pierdere a forțat banca să schimbe codurile tuturor conturilor corespondente. În acest sens, în Marea Britanie, toate forțele de informații și contrainformații disponibile au fost ridicate în alertă pentru a preveni o eventuală scurgere de informații care ar putea provoca pagube enorme. Guvernul a luat măsuri extreme pentru a se asigura că străinii nu știau conturile și adresele la care Banca Angliei trimite zilnic sute de miliarde de dolari. Mai mult, în Marea Britanie le era mai mult frică de o situație în care datele ar putea fi la dispoziția serviciilor de informații străine. În acest caz, întreaga rețea de corespondenți financiari a Băncii Angliei ar fi fost expusă. Prejudiciul a fost eliminat în câteva săptămâni.
Adzhiev V. Mituri despre siguranța software-ului: lecții din dezastre celebre // Sisteme deschise.-1999. - Nr 6 .-- C..21-24
Serviciile oferite astăzi de bănci se bazează în mare măsură pe utilizarea mijloacelor electronice de interacțiune între bănci, bănci și clienții și partenerii lor comerciali. În prezent, accesul la serviciile bancare a devenit posibil din diferite locații la distanță, inclusiv terminale de acasă și computere de birou. Acest fapt face să se îndepărteze de conceptul de „uși încuiate”, care era caracteristic băncilor în anii ’60, când calculatoarele erau folosite în majoritatea cazurilor în modul batch ca instrument auxiliar și nu aveau nicio legătură cu lumea exterioară.
Nivelul echipamentelor de automatizare joaca un rol important in activitatile bancii si, prin urmare, afecteaza direct pozitia si veniturile acesteia. Întărirea concurenței între bănci duce la necesitatea reducerii timpului de efectuare a decontărilor, măririi gamei și îmbunătățirii calității serviciilor oferite. Cu cât durează mai puțin timp pentru decontările dintre bancă și clienți, cu atât va deveni mai mare cifra de afaceri a băncii și, în consecință, profitul. În plus, banca va putea răspunde mai rapid la schimbările din situația financiară. O varietate de servicii bancare (în primul rând, aceasta se referă la posibilitatea plăților fără numerar între bancă și clienții săi folosind carduri de plastic) pot crește semnificativ numărul clienților săi și, ca urmare, pot crește profiturile.
Securitatea informațiilor bancare ar trebui să țină cont de următorii factori specifici:
Infracțiunile din sectorul bancar au și ele caracteristici proprii Gamza V.A. , Tkachuk I.B. Securitatea unei bănci comerciale.- M ..: Europa Unită, 2000.- C..24:
De regulă, atacatorii folosesc de obicei propriile conturi, către care sunt transferate sumele furate. Majoritatea criminalilor nu știu cum să „spăle” banii furați. A ști să comiți o infracțiune și a ști să obții bani nu sunt același lucru.
Majoritatea infracțiunilor informatice sunt mărunte. Daunele cauzate de acestea variază de la 10.000 USD la 50.000 USD.
Crimele informatice de succes necesită de obicei un număr mare de tranzacții bancare (până la câteva sute). Cu toate acestea, sume mari pot fi transferate în doar câteva tranzacții.
Majoritatea atacatorilor sunt funcționari. Deși personalul de vârf al băncii poate săvârși și infracțiuni și să provoace mult mai multe daune băncii, astfel de cazuri sunt rare.
Crimele informatice nu sunt întotdeauna de înaltă tehnologie. Este suficientă falsificarea datelor, modificarea parametrilor mediului ASOIB etc., iar aceste acțiuni sunt disponibile și personalului de service.
Mulți infractori cibernetici își explică acțiunile prin faptul că doar se împrumută de la o bancă cu o rentabilitate ulterioară. Cu toate acestea, de regulă, nu există „întoarcere”.
Specificul protecției sistemelor automate de procesare a informațiilor băncilor se datorează particularităților sarcinilor pe care le rezolvă:
De regulă, ASOIB procesează un flux mare de solicitări care sosesc constant în timp real, fiecare dintre acestea nu necesită numeroase resurse pentru procesare, dar toate împreună pot fi procesate doar de un sistem performant;
ASOIB stochează și prelucrează informații confidențiale care nu sunt destinate publicului larg. Falsificarea sau scurgerea acestuia poate duce la consecințe grave (pentru bancă sau clienții săi). Prin urmare, ASOIB sunt sortite să rămână relativ închise, să opereze sub controlul unor programe specifice și să acorde o mare atenție asigurării securității acestora;
O altă caracteristică a ASOIB este cerințele crescute pentru fiabilitatea software-ului și hardware-ului. Din această cauză, multe ASOIB moderne gravitează spre așa-numita arhitectură tolerantă la erori a computerelor, care permite prelucrarea continuă a informațiilor chiar și în condițiile diferitelor defecțiuni și defecțiuni.
Utilizarea ASOI de către bănci este asociată cu specificul protecției acestor sisteme, prin urmare băncile ar trebui să acorde mai multă atenție protecției sistemelor lor automatizate.
Concluzii la primul capitol:
Articolul este dedicat asigurării securității informațiilor în instituțiile bancare pe baza cerințelor interne de reglementare ale standardelor industriale ale Băncii Rusiei STO BR IBBS-1.0-2014. Unele aspecte ale protecției în sistemele bancare automatizate (ABS), aspectele legate de protecția datelor cu caracter personal în sectorul bancar, auditul intern și autoevaluarea pentru conformitatea cu cerințele SI, precum și unele caracteristici și domenii problematice legate de specificul securității informațiilor în băncile sunt luate în considerare.
Nu este un secret pentru nimeni că băncile sunt piatra de temelie a sistemului de credit și financiar al statului și cea mai importantă instituție financiară din societatea modernă. În acest sens, li se impun cerințe speciale pentru asigurarea securității informațiilor. Până la apariția standardelor industriei interne pentru securitatea informațiilor STO BR IBBS, băncile gestionau securitatea pe baza prevederilor documentelor interne de reglementare. Dar chiar și după adoptarea acestor documente au rămas multe probleme de rezolvat. Unele dintre problemele discutate în articol sunt legate de rezolvarea blocajelor sistemului SI al băncilor și adaptarea politicii de securitate la noile cerințe, ținând cont de „bagajul” existent în domeniul protecției informațiilor.
În Rusia, până la mijlocul anilor 2000, cuvântul "Securitate" asociat predominant cu managementul „Riscuri bancare”, adică controlul situațiilor care ar putea duce la pierderi de către instituția de credit și/sau la deteriorarea lichidității acesteia ca urmare a apariției unor evenimente nefavorabile. Categorii precum „Securitatea informațiilor” sau „protecția informațiilor” nu a existat în principiu. Numai legea federală „Cu privire la banca” din 02.12.1990 N 395-1 FZ la articolul 26 Secretul bancar a oferit un drept și o oportunitate limitate de a proteja informațiile confidențiale în sectorul bancar. Mai mult de un deceniu mai târziu, avocații autohtoni au emis Legea federală „Cu privire la secretele comerciale” la 29 iulie 2004 N 98-FZ, care permite în cele din urmă declararea integrală a unui nou tip de activitate și a unei categorii separate de probleme precum „securitatea informațiilor bănci”.
În aceiași ani, au existat tendințe în comunitatea bancară autohtonă de adoptare a standardelor bancare internaționale, în special a standardului Basel II. În interpretarea sa, acest standard a considerat securitatea informațiilor ca un risc operațional și, în general, a impus măsuri de audit și control asupra sferei informaționale, ceea ce era o noutate absolută pentru băncile rusești la acea vreme. Totuși, acest lucru nu a fost suficient - dezvoltarea tehnologiilor informaționale moderne și dorința constantă de a oferi pieței noi produse bancare au cerut mai multă atenție acestor probleme.
Următoarea etapă evolutivă în dezvoltare a fost 2004, odată cu lansarea de către Banca Centrală a Rusiei a primei ediții a pachetului de standarde industriale interne pentru securitatea informațiilor STO BR IBSS. Standardul Băncii Centrale pentru securitatea IT era considerat cel mai bun standard al industriei la acea vreme, deoarece încorpora cea mai bună experiență și practică mondială, combină principalele prevederi ale standardelor de management al securității IT (ISO 17799, 13335), reglementează descrierea ciclului de viață a criteriilor de evaluare a securității software și IT (GOST R ISO / IEC 15408-1-2-3). Documentul reflectă, de asemenea, tehnologii de evaluare a amenințărilor și vulnerabilităților, unele prevederi ale metodologiei britanice de evaluare a riscurilor informaționale CRAMM (vezi Figura 1).
Figura 1. Relația dintre diferitele cerințe și standarde IT, securitate și guvernanță
Printre principalele prevederi ale standardului Băncii Centrale s-a remarcat o orientare către rezolvarea problemei insider-urilor. În acest scop, Banca Rusiei consolidează controlul asupra circulației informațiilor confidențiale în mediul corporativ. Se acordă o atenție considerabilă amenințărilor externe: prevederile standardului impun băncilor să aibă protecție antivirus cu baze de date actualizate în mod regulat, instrumente de filtrare a spam-ului, controlul accesului, reglementarea procedurilor de audit intern, utilizarea criptării pentru a proteja împotriva accesului neautorizat etc.
În ciuda tuturor acestor avantaje evidente, standardul era de natură recomandată - prevederile sale puteau fi aplicate de băncile naționale doar pe bază voluntară. Cu toate acestea, conform rezultatelor sondajului respondenților reprezentați la a III-a conferință interbancară, a existat o tendință clară spre adoptarea acestor documente ca bază de bază obligatorie pentru băncile rusești.
În paralel cu dezvoltarea standardelor bancare la mijlocul anilor 2000, în Rusia se desfășura procesul de formare a legislației interne în domeniul securității informațiilor. Momentul cheie a fost actualizarea Legii federale „Cu privire la informație, tehnologii informaționale și protecția informațiilor” din 27 iulie 2006 N 149-FZ, care oferă noi definiții relevante ale informațiilor, tehnologiilor și proceselor informaționale, iar „protecția informațiilor” este evidențiată. separat. În urma acesteia, o categorie aparte în practica protecției informațiilor a fost marcată de publicarea Legii „Cu privire la datele cu caracter personal” din 27 iulie 2006 N 152-FZ.
Ținând cont de toate aceste inovații și de realitățile în schimbare ale societății, au fost publicate și noi ediții ale STO BR IBBS. Așadar, în cea de-a treia ediție a standardului din 2008, pachetul de documente a fost revizuit semnificativ, au fost introduși termeni și concepte noi, au fost clarificate și detaliate unele cerințe de siguranță; cerințe actualizate pentru sistemul de management al securității informațiilor. Standardul a dobândit, de asemenea, propriul model de amenințări și încălcări ale securității informațiilor organizațiilor RF BS. Au fost introduse noi blocuri conform cerințelor de securitate a informațiilor în sistemele bancare automatizate, a fost reglementat procesul de plată bancară și procesele tehnologice ale informațiilor și se spune separat despre utilizarea mijloacelor de protecție criptografică a informațiilor.
Pe fondul celor mai recente evenimente mondiale din 2014 și al sancțiunilor economice impuse de țările occidentale împotriva Rusiei, a existat o tendință clară spre dezvoltarea și tranziția către un sistem național de carduri de plată. Prin urmare, acest lucru creează cerințe suplimentare pentru fiabilitatea și siguranța unor astfel de sisteme, ceea ce implică o creștere a importanței standardelor interne IS.
Rezultatul tuturor acestor evenimente a fost următoarea reediție a standardului. Și în iunie 2014, a intrat în vigoare a cincea ediție actualizată, și până acum ultima până în prezent, a STO BR IBBS - 2014. În noua ediție, defectele problemelor anterioare au fost corectate și, ceea ce este foarte important, cerințele și recomandările stației de service au fost aduse în conformitate cu 382-P mai sus descris. Deci, de exemplu, lista operațiunilor care necesită înregistrarea în RBS a fost clarificată, lista informațiilor protejate a fost extinsă, pe baza P-382, un tabel de corespondență a indicatorilor de evaluare private de la STO și indicatorii din ediția actuală 382. -P este furnizat.
O realizare la fel de semnificativă a fost și baza actualizată a cerințelor de reglementare, ținând cont de ultimele modificări ale legislației în domeniul protecției datelor cu caracter personal, și anume, s-au adăugat legături către Decretul Guvernului nr. 1119 și Ordinul FSTEC al Rusiei nr. 21.
Toate acestea au format o platformă metodologică și de reglementare unificată pentru asigurarea securității informaționale cuprinzătoare, ținând cont de specificul bancar. Pachetul de documente STO BR IBBS a izolat băncile rusești prin construirea unui sistem de securitate în ele din punct de vedere al industriei, dar în același timp a absorbit cele mai bune practici mondiale și experiența colegilor străini în asigurarea securității informațiilor.
În prezent, din ordinul Băncii Rusiei, pachetul de documente STO BR IBBS este format din următoarele părți:
În plus, Banca Rusiei a elaborat și a introdus următoarele recomandări în domeniul standardizării securității informațiilor:
Primele trei documente sunt obligatorii pentru toate băncile care au adoptat acest standard ca politică de bază. Document "Dispoziții generale" stau la baza formării tuturor măsurilor de protecție a informațiilor. Întreaga structură este împărțită în blocuri separate. Ele descriu în detaliu cerințele pentru asigurarea securității, oferă liste specifice de măsuri de protecție pentru un anumit bloc. (vezi tabelul 1)
Tabelul 1. Cerințe pentru securitatea informațiilor
| - la atribuirea si atribuirea rolurilor si asigurarea increderii in personal; |
| - în sisteme bancare automatizate (ABS) în etapele ciclului de viață; |
| - la gestionarea accesului și înregistrarea utilizatorilor; |
| - la mijloacele de protecție antivirus; |
| - la utilizarea resurselor Internetului; |
| - la utilizarea mijloacelor de protecție a informațiilor criptografice; |
| - in procesele tehnologice de plata bancare; |
| - pentru prelucrarea datelor cu caracter personal; |
| - cerințele pentru sistemul de management al securității informațiilor sunt date într-o rubrică separată. |
Document „Audit de securitate a informațiilor” cel mai mic dintre toate, indică necesitatea auditării sistemului de securitate a informațiilor și oferă, de asemenea, o referință la autoevaluarea anuală conform cerințelor standardului. Datele autoevaluării finale servesc ca bază atât pentru formularul de raportare în cazul verificării de către Banca Centrală, cât și pentru concluzia conformității nivelului de securitate a sistemului de securitate a informațiilor băncii cu riscurile și amenințările identificate. a securității informațiilor.
Și ultimul document luat în considerare „Metodologie de evaluare a conformității cu cerințele SI”- acesta este un set de metode de evaluare și tabele cu câmpurile corespunzătoare de completat. Fiecare măsură și măsură de protecție i se acordă o anumită pondere în evaluare, numită indicator de grup. Pe baza rezultatelor indicatorilor de grup, se construiește o diagramă circulară a conformității cu cerințele STO BR IBBS (vezi Figura 2). Toate valorile indicatorilor de grup sunt în intervalul de la 0 inainte de 1 , în care să se determine totalul, se mai alocă încă 6 niveluri de conformitate cu standardul, începând de la zero. Banca Rusiei a recomandat nivelurile 4 și 5 (vezi Figura 2). În consecință, cu cât valoarea este mai mare, cu atât sistemul este mai sigur. Pe diagrama circulară, aceste sectoare sunt verzi, în timp ce roșu este un indicator al nivelului critic.
Figura 2. Diagramă circulară a conformității cu cerințele STO BR IBBS
Ce altceva se mai poate adăuga - se acordă destul de multă atenție proceselor de management ale sistemului de securitate a informațiilor, în special, Ciclul Deming utilizate de managerii de top în managementul calității (Figura 3).
Figura 3. Ciclul lui Deming pentru ISIB STO BR IBBS
În noua ediție, Banca Rusiei a actualizat metodologia de evaluare a conformității securității informațiilor. Principalele modificări au afectat abordarea evaluării:
Este de remarcat faptul că a început să se acorde mult mai multă atenție documentării procedurilor de securitate în reglementările interne ale băncilor. Astfel, chiar dacă procedura nu este efectiv realizată, ci furnizată și documentată, acest lucru crește rezultatul auditului intern.
Comparativ cu ediția anterioară, numărul indicatorilor specifici a crescut, precum și valorile ponderii estimărilor s-au modificat (vezi Figura 4).
Figura 4. Modificări în revizuirea anterioară și actuală a STO BR IBBS (conform InfoConstal Management, www. Km-ltd.com, 2014)
Merită menționat o altă completare importantă referitoare la mecanismele de protecție încorporate în ABS - Banca Rusiei a emis recomandări „Asigurarea securității informațiilor în etapele ciclului de viață al sistemelor bancare automatizate” (RS BR IBBS-2.6-2014) ”. Esența lor constă în faptul că acum băncile pot, referindu-se la acest document, să stabilească cerințe dezvoltatorilor pentru funcționalitatea software-ului în ceea ce privește mecanismele de protecție. Nu trebuie să uităm că acestea sunt recomandări, nu cerințe, iar Banca Rusiei însăși nu poate impune nimic, dar permite difuzarea acestor recomandări în numele comunității bancare, iar aceasta este deja o schimbare în bine.
Înainte de lansarea celei de-a 5-a ediții a STO BR IBBS-2014, protecția datelor cu caracter personal în bănci se baza pe două documente: BR IBBS-2.3-2010. „Cerințe pentru asigurarea securității datelor cu caracter personal în sistemele informaționale de date cu caracter personal ale organizațiilor sistemului bancar al Federației Ruse” și RS BR IBBS-2.4-2010. „Modelul sectorial privat de amenințări la adresa securității datelor cu caracter personal în timpul prelucrării acestora în sistemele informatice ale datelor cu caracter personal ale organizațiilor sistemului bancar al Federației Ruse”.
În practică, arăta astfel: au preluat modelul de amenințare sectorială privată propus de Banca Centrală într-o formă neschimbată, au determinat cerințele de protecție a fiecărui ISPD pe baza recomandărilor metodologice, pe baza cantității și listei de date prelucrate, și apoi a construit o listă de măsuri necesare pe baza acestora.
Principala bătaie de cap a specialiștilor până astăzi a fost că aceste cerințe erau valabile până la următoarea ediție a STO BR IBBS - 2014, deși la acea vreme protecția PD era deja construită în conformitate cu PP-1119 și ordinul FSTEC nr.21. Având în vedere faptul că băncile trebuie să respecte pachetul STO BR IBBS adoptat, multe dintre ele nu au folosit metode actualizate și, ca urmare, nu corespundeau noilor realități de securitate.
Odată cu publicarea acestor două documente de reglementare menționate mai sus, situația s-a schimbat în bine - unele cerințe stricte de licențiere au fost anulate, procedurile de clasificare a ISPD-urilor au fost simplificate, iar operatorului PD i s-au acordat mai multe drepturi de a alege măsuri de protecție. Cerințele de protecție a ISPD sunt determinate de tabelul de corespondență al „nivelului de securitate” și procedurile de securitate aplicate acestora, ale căror detalii au fost prezentate prin Ordinul FSTEC nr. 21. Acest lucru a făcut posibilă nivelarea diferențelor în metoda de protecție a PD în standardul industrial al Băncii Centrale și legislația generală rusă.
În standardul actualizat, a apărut un nou termen „Resursa PD”, pentru care s-au format cerințe pentru documentarea anumitor proceduri legate de prelucrarea datelor cu caracter personal (Secțiunea 7.10). Problemele legate de distrugerea datelor cu caracter personal au fost luate în considerare separat: organizațiilor li s-a oferit posibilitatea de a distruge PD nu imediat, ci periodic, ci cel puțin o dată la șase luni.
Roskomnadzor a introdus separat explicații privind PD biometrică, de exemplu, fotografiile angajaților, dacă acestea sunt utilizate în scopul controlului accesului sau sunt afișate pe site-ul companiei ca informații publice despre management, nu se încadrează în regimul cerințelor speciale de protecție.
Băncile care au îndeplinit anterior cerințele de protecție PD conform vechiului standard, pentru a se conforma noilor cerințe, trebuie să își ajusteze documentele de reglementare interne, să reclasifice și să redirecționeze ISPD și, în conformitate cu nivelul de securitate, să determine pentru ei înșiși o nouă listă de măsuri de protecție. Aș dori să remarc că acum băncile au mai multă libertate în alegerea mijloacelor și metodelor de protecție, totuși, utilizarea mijloacelor de securitate a informațiilor sortate de FSTEC este încă obligatorie.
Sistemul Național de Plăți (SNP), având în vedere evenimentele recente, devine un domeniu din ce în ce mai prioritar în politica internă a statului. Președintele rus Vladimir Putin a semnat o lege privind crearea unui sistem național de carduri de plată (NSPK) în Rusia și asigurarea bunei funcționări a sistemelor internaționale de plată. Operatorul NSPK este creat sub forma unui OJSC, 100% din activele care aparțin Băncii Rusiei. Scopul proiectului este de a închide infrastructura și procesul informațional de efectuare a transferurilor de bani în Rusia, de a consolida centrele operaționale și centrele de compensare a plăților din țară.
De fapt, înainte de adoptarea legii, banii puteau să apară de nicăieri și să dispară în neant. Odată cu eliberarea legii, situația se schimbă, NPS face posibilă urmărirea tuturor tranzacțiilor monetare, inclusiv finanțarea tranzacțiilor dubioase și a tranzacțiilor frauduloase care pot amenința siguranța cetățenilor sau a țării în ansamblu. În plus, retragerea din circulația numerarului, potrivit guvernului, este un alt pas în lupta împotriva mituirii.
Pentru asigurarea siguranței SNP au fost emise o serie de statut, printre care și Regulamentul fundamental privind protecția informațiilor în sistemul de plăți „din 13.06.2012 nr.584. Dar, într-o măsură mai mare, Regulamentul privind cerințele pentru asigurarea protecției informațiilor la efectuarea transferurilor de bani, emis de departamentul responsabil al Băncii Rusiei, este în conformitate ... "din data de 09.06.2012 N 382-P)
Odată cu actualizarea P-382, tendințele de protecție sunt acum mutate în lateral:
O situație similară se dezvoltă cu utilizarea cardurilor de plastic. Standardul de securitate recunoscut la nivel internațional este Standardul de securitate a datelor pentru industria cardurilor de plată (PCI DSS), care a fost dezvoltat de PCI SSC. Include mărci de carduri precum Visa, MasterCard, American Express, JCB și Discovery.
PCI DSS descrie cerințele pentru protecția datelor deținătorilor de card, grupate în douăsprezece secțiuni tematice. Accentul principal în standardul PCI DSS este pus pe asigurarea securității infrastructurii de rețea și protejarea datelor stocate ale deținătorilor de carduri de plată ca fiind cele mai vulnerabile locuri în ceea ce privește amenințările la confidențialitate. De asemenea, trebuie menționat faptul că standardul reglementează regulile pentru dezvoltarea, suportul și funcționarea în siguranță a sistemelor de plată, inclusiv procedurile de monitorizare a acestora. Standardul atribuie un rol la fel de important elaborării și susținerii bazei de documente normative ale sistemului de management al securității informațiilor.
Sistemele internaționale de plată obligă organizațiile care fac obiectul cerințelor standardului să se supună verificării periodice a conformității cu aceste cerințe, care mai devreme sau mai târziu pot afecta NSPK. Cu toate acestea, certificarea băncilor rusești în conformitate cu standardul străin PCI DSS decurgea destul de lent și nu există astăzi un analog intern.
Cu toate acestea, îndeplinind cerințele P-382 și cea mai recentă revizuire a STO BR IBBS-2014, se poate pregăti în mare măsură pentru certificarea PCI DSS, deoarece multe dintre prevederile acesteia se suprapun cu cerințele din documentul intern: securitate antivirus, criptare, filtrarea folosind firewall-uri, diferențierea accesului, urmărirea sesiunilor de comunicare, precum și monitorizarea, auditarea și managementul sistemului de securitate a informațiilor (vezi Figura 5).
Figura 5. Comparația categoriilor de informații protejate după diferite standarde (conform Centrului Ural pentru Sisteme de Securitate, www.usssc.ru, 2014)
Spre deosebire de toate standardele străine, rusă 382-P are scopul de a stimula dezvoltatorii și producătorii autohtoni de produse de securitate a informațiilor (SIS), de exemplu, obligând subiecții NPS să asigure utilizarea SIS necriptografice împotriva accesului neautorizat, inclusiv a celor care au a trecut procedura de evaluare a conformității în conformitate cu procedura stabilită. În același timp, aplicarea deciziilor de producție străină este în mod clar permisă.
Mai mult, Banca Rusiei își întărește controlul asupra respectării regulilor stabilite. În documentul său Ordonanța nr. 2831-U din 09.06.2012 „Cu privire la raportarea securității informațiilor în sistemele de plăți...” indică clar în ce formă și cu ce frecvență subiecții sistemelor de plată ar trebui să raporteze despre starea securității informațiilor în sistemele de plăți .
În ciuda popularității și a utilizării pe scară largă a PCI DSS, există și alte standarde internaționale pentru securitatea sistemelor de rezervă, despre care aș vrea să spun puțin. Unul dintre acestea este standardul PCI PA-DSS (Payment Card Industry Payment Application Data Security Standard), care definește cerințele aplicațiilor care prelucrează datele deținătorului de card și procesul de dezvoltare a acestora. Și, al doilea - standardul Payment Card Industry PIN Transaction Security (PCI PTS), fost PCI PED, se referă la producătorii care stabilesc și implementează parametri tehnici și un sistem de control pentru dispozitivele care acceptă un set de coduri PIN și sunt utilizate pentru a efectua tranzacții de plată. cu carduri.
STO BR IBBS este o piatră de hotar foarte importantă în calea evolutivă de dezvoltare a sistemului național de securitate a informațiilor. Acesta este unul dintre primele standarde din industrie adaptate realității ruse. Desigur, acesta nu este un panaceu pentru toate necazurile, există încă multe probleme cu care se luptă specialiștii, dar aceasta este prima și foarte reușită experiență care ne aduce mai aproape de standardele celor mai bune practici străine.
Îndeplinind cerințele standardului, multe bănci se pregătesc pentru certificarea internațională a securității sistemelor de plăți PCI DSS. Asigurați protecția datelor cu caracter personal în conformitate cu cele mai recente cerințe de reglementare. Auditul intern anual efectuat permite verificarea obiectivă a protecției băncilor împotriva riscurilor și amenințărilor semnificative la adresa securității informațiilor, iar managerilor să planifice mai eficient construcția și managementul unui sistem integrat de protecție.
Sperăm ca deficiențele existente și erorile evidente să fie corectate în următoarele ediții, a căror lansare nu este departe. Deja în primăvara lui 2015, ne așteaptă un P-382 actualizat și pot urma modificări în complexul BR IBBS. Între timp, ne mulțumim cu lansarea în octombrie a Standardului Operațiunilor Financiare al TC 122 și nu uitați că oricât de bune ar fi toate eforturile autorităților superioare, securitatea noastră este încă în mâinile noastre!
Dacă o afacere este 100% sigură din punct de vedere tehnic, pur și simplu nu va putea face profit. Dacă nu puneți nicio restricție de protecție asupra tranzacțiilor sau vânzării de produse bancare, escrocii, cel mai probabil, nu vor lăsa piatra neîntorsă. Acesta a fost spiritul conversației noastre cu Vasily Okulessky, Ph.D., șeful Departamentului de Securitate Informațională al Departamentului de Securitate al Băncii Moscovei.
J.I .: Vasily Andreevich, care este evaluarea dumneavoastră despre situația actuală cu fraudă în sectorul bancar?
ÎN.: Asistăm acum la o creștere de 30 până la 50% a diferitelor tipuri de fraudă față de anul trecut. Structura sa de specie s-a schimbat și ea: în primul rând, există o revenire bruscă la frauda ATM.
În ultimul an, rețeaua agregată de ATM-uri a băncilor rusești a crescut cu 40%, acest factor pur tehnic a devenit un motiv de bază pentru creșterea criminalității. S-au schimbat și metodele de atac a bancomatelor. Au apărut așa-zișii „explozivi” și se remarcă prin viteza mare de „muncă” - întreaga operațiune de furt durează mai puțin de un minut. Software-ul de atac, care a fost la apogeu în 2009, a revenit. Mai mult, se observă metode fundamental noi: ATM-urile atacă de la distanță, provoacă o repornire sau atacul se duce direct la dispozitivele executive - la același deponent. Valoarea prejudiciului din astfel de acțiuni depășește semnificativ pierderile din alte tipuri de fraudă ATM.
În sectorul bancar din Rusia, există o tendință constantă de dezvoltare a funcționalității de web banking pentru persoane fizice și juridice. De asemenea, fraudtorilor le place noua funcționalitate, în primul rând în ceea ce privește potențialele oportunități de furt de bani. În consecință, băncile nu pot decât să investească în îmbunătățirea securității serviciilor lor de internet. Aș dori să remarc că dintre toate băncile rusești, doar Tinkoff Bank investește în securitatea informațiilor sale „așa” - pentru aceasta, aceasta este singura modalitate de a asigura securitatea afacerii.
Tendința din ultimele luni este atacurile asupra sistemelor informaționale ale băncilor. Aceștia atacă direct instrumentul de gestionare a contului corespondent - acest lucru le permite fraudătorilor să retragă sume uriașe de bani simultan. Astfel de operațiuni necesită calificări înalte și pregătire serioasă din partea atacatorilor.
J.I .: Adică ținta atacurilor de multe ori nu este clientul, ci banca în sine?
ÎN.: Da, acest lucru se datorează mai multor factori. În primul rând, băncile depun mult efort pentru a-și proteja clienții și chiar funcționează. În al doilea rând, clienții au devenit mai avansați în problemele de securitate a informațiilor. Acum, formularea „Am cumpărat un antivirus, l-am instalat pe computerul meu, dar din anumite motive nu funcționează” este mult mai puțin obișnuită. Clienții știu deja ce și cum să instaleze, să actualizeze, care sunt consecințele legale ale utilizării software-ului cu și fără licență etc. Oamenii sunt mai pregătiți, a devenit mai greu să-i atace, toate acestea îi obligă pe fraudatori să „trece” la bănci.
Aș dori să observ că însăși structura și mijloacele unor astfel de atacuri sunt fundamental diferite. Prin urmare, este necesară revizuirea paradigmei formării sistemelor informaționale bancare. Ofițerii de securitate ar trebui să fie implicați în lucru în fazele incipiente ale ciclului de viață al sistemului, și nu în etapa de punere în funcțiune comercială. Adică, trebuie să țineți cont de toate problemele de securitate a informațiilor chiar și în timpul dezvoltării.
Mai mult, însăși înțelegerea securității informațiilor trebuie să se schimbe. Protecția informațiilor nu este un proces discret „pune o soluție, totul funcționează, relaxat”, ci o activitate continuă, un mod particular de gândire al oamenilor care dezvoltă sisteme, lucrează cu documente confidențiale etc.
J.I .: Care ar trebui să fie mai exact această gândire?
ÎN.: Voi da un exemplu simplu privind cele 3 componente principale ale securității informațiilor - confidențialitatea, integritatea și disponibilitatea datelor. În legătură cu această triadă, există un paradox logic interesant: dacă un concept, la prima vedere, pare simplu și clar, implementarea lui în practică este practic imposibilă. Ce este Integritatea? Intrebare simpla. Dar aici semnezi documentul cu o semnătură electronică, principala cerință pentru aceasta este că trebuie să fii sigur de ce semnezi exact. Adică trebuie asigurată integritatea obiectului semnăturii inițiale și ceea ce vedeți pe ecran. În ce măsură documentul electronic din baza de date corespunde hârtiei originale? Cât de legitimă este versiunea electronică semnată reprodusă pe hârtie? Oricine are o idee despre ce este Windows, înțelege că cerința de mai sus nu este, în principiu, realizabilă. Sau este necesar să se abandoneze un sistem de operare și o tehnologie atât de populară pentru lucrul în moduri multitasking și să se inventeze o modalitate de vizualizare a documentelor electronice care să asigure integritatea în toate etapele transformării lor.
Întrebarea nu este atât de simplă, se bazează pe mijloace tehnice, tehnologie de lucru. Dacă nu o rezolvăm la nivelul enunțului inițial al problemei, atunci pur și simplu nu vom putea înțelege ce anume ar trebui protejat, care este obiectul securității informațiilor pentru noi. Nu este un fapt că documentul pe care îl protejăm într-adevăr corespunde cu ceea ce era la intrare și era într-adevăr supus protecției.
J.I .: Ce tip de fraudă este cel mai periculos în acest moment?
VO: Palma acum, la fel ca în ultimii ani, este printre fraudele interne. Ele nu pot fi blocate prin sisteme de contramăsuri. Dacă angajații sunt de acord între ei, aproximativ, nimic nu te va ajuta. Este foarte dificil să identifici atacatorii interni, iar consecințele unei astfel de coluziune sunt mult mai mari decât prejudiciul cauzat de orice alt tip de fraudă.
J.I .: Care sunt principalele abordări pentru asigurarea securității informațiilor în banca dumneavoastră?
ÎN.:Îmbunătățim sistematic securitatea serviciilor noastre. Dar centrul atenției în ceea ce privește securitatea informațiilor s-a schimbat. Dacă mai devreme protejeam clientul de amenințări recurente - phishing, posibilitatea de a-i substitui detaliile, asigurau protecția mijloacelor de autentificare, acum credem a priori că clientul este mereu uimit. 80% dintre clienți folosesc inițial serviciile bancare sub controlul fraudătorilor. Prin urmare, paradigma protecției trebuie schimbată. Presupunem că perimetrul este deja suficient de sigur, așa că ne îndreptăm atenția către tranzacții. De fapt, una dintre cele mai eficiente tendințe moderne este analiza tranzacțiilor.
J.I .: Poate că, după un anumit timp, băncile vor fi obligate să admită că infrastructura lor este și ea a priori vulnerabilă și controlată de fraudatori cu 80%. Și asta înseamnă că singura cale de ieșire va fi controlul tranzacțiilor deja intra-bancare folosind sisteme similare cu soluțiile de control al tranzacțiilor clienților.
ÎN.: Există ceva adevăr în asta. Nu voi deschide America dacă spun că securitatea informațiilor se dezvoltă într-o spirală și fiecare rundă are loc la un nivel fundamental diferit. În urmă cu 10 ani, am vorbit despre același lucru - trebuie să protejați perimetrul exterior al băncii. De-a lungul anilor, am trecut prin mai multe runde de protecție a clienților și am revenit din nou la punctul de plecare - banca. Abia acum vorbim despre schimbarea însăși ideologiei de construire a unei infrastructuri informaționale pentru contabilizarea inițială a problemelor de securitate a informațiilor.
J.I .: După cum știți, afacerile au adesea o atitudine negativă față de dezvoltarea și înăsprirea securității informațiilor. Cum reușiți să aduceți banca în conformitate cu practicile moderne de securitate a informațiilor?
ÎN.: Cel mai eficient stimulent pentru creșterea nivelului de securitate a informațiilor într-o companie este participarea obligatorie a afacerii la procesul de recuperare a prejudiciului financiar din fraudă. De exemplu, dezvoltăm un nou produs bancar. Ne-am uitat la triada noastră IB, am emis comentarii, am închis găurile vizibile pentru noi. Exact vizibil pentru noi, deoarece în fiecare dezvoltare există mai multe straturi conectate. Eliminăm vulnerabilitățile din rezervoare, dar echipa de dezvoltare cunoaște mult mai bine specificul conexiunilor dintre ele. Ele nu sunt scrise în documentele produsului cu care lucrăm. În același timp, aceste conexiuni sunt adesea ținte de atac. Dacă dezvoltatorii nu sunt deloc interesați să le construiască corect din punct de vedere al securității informațiilor, la lansarea produsului riscăm să simțim atenția sporită a escrocilor. Dacă pierderile financiare se corelează cu bonusuri specifice pentru dezvoltatori și acele unități de afaceri care au inițiat apariția produsului, ei înșiși se vor strădui să-l „curățeze” cât mai mult posibil.
Dacă construiți corect un sistem de echilibru de responsabilitate financiară între departamente, procesele de afaceri cu fraudă ridicată devin automat mai sigure.
Mecanismul de întreținere a IS, care este deja în vigoare în stadiul de a oferi un produs pe piață, este un binecunoscut stop loss. De îndată ce mai multe tranzacții frauduloase sunt înregistrate pe acesta sau valoarea prejudiciului cauzat de acțiunile intrușilor depășește valoarea permisă, banca oprește oferta. Analizăm produsul, eliminăm blocajele și abia apoi îl punem din nou în funcțiune. Desigur, pentru orice afacere, profitul din serviciile oferite este primordial, așa că este mai degrabă interesat să crească numărul permis de tranzacții frauduloase sau valoarea prejudiciului. De fapt, acesta este un subiect de negociere între securitatea informațiilor și unitățile de afaceri, sarcina noastră comună este să găsim un compromis. Am construit treptat această abordare în țara noastră. „Știm deja - vor exista stop loss și limite, așa că haideți să lucrăm împreună” - aceasta este poziția afacerii atunci când introducem un nou produs. Mobile banking-ul nostru este un exemplu de cât de responsabil abordează o afacere problemele de securitate a informațiilor: inițial, a anunțat condiții mai stricte pentru autentificarea clienților pe dispozitivele mobile decât ne-am propus.
J.I.: Să presupunem că trebuie să aduci un nou serviciu pe piață cât mai repede posibil pentru a rămâne în fața concurenței și a nu pierde potențialul profit. În acest caz, puteți reduce oarecum criticitatea problemei securității informațiilor?
ÎN.:În orice caz, nu putem „închide ochii”, doar lucrăm în același ritm intens ca dezvoltatorii. Înlăturăm imediat coaja evidentă, vulnerabilitățile pe care nu avem timp să le rezolvăm în profunzime și în detaliu înainte ca produsul să fie lansat sunt eliminate în stadiul de stop loss.
În general, dacă o afacere lansează pe piață un serviciu care este brut din punct de vedere al securității informațiilor, ar trebui să fie pregătită să ofere fraudătorilor un anumit procent din fiecare milion câștigat pe acesta. Prejudiciul oficial aici poate fi de 5 sau 50%. Responsabilitatea pentru riscurile de fraudă în acest caz va aparține în întregime unității de afaceri, iar acest lucru ar trebui să se reflecte în acordul de afaceri relevant.
După cum am spus mai sus, împărțirea responsabilității este îngrijorătoare. Să presupunem că instalați un bancomat într-un loc potențial periculos, indiferent de recomandările specialiștilor în securitatea informațiilor referitoare la alarme, supraveghere video etc. Costul unui bancomat modern este de aproximativ 30.000 USD. Dacă un fraudator o încalcă, reparația poate fi debitată în contul bancar general, în contul de procesare sau în unitatea dvs. de vânzare cu amănuntul. Într-o situație similară în viitor, specialiștii în securitatea informațiilor vor fi luați în considerare. Vorbim cu afacerile în limba sa - despre pierderi de profit, riscuri, responsabilitate financiară etc.
J.I .: Nu cu mult timp în urmă, Banca Moscovei a introdus un sistem de protecție împotriva fraudei în canalele RBS pentru persoanele juridice. Care au fost obiectivele proiectului? Au fost realizate?
ÎN.: Proiectul nostru este într-un fel unic - scopul nostru nu a fost să creștem nivelul de securitate, ci să reducem costul procedurii de detectare a fraudei în sine. Înainte de aceasta, 400 de operatori ai băncii confirmau fiecare nouă plată cu apeluri - erau aproximativ 10 mii pe zi. Drept urmare, am redus de peste 10 ori numărul apelurilor de control în unitățile de primă linie la efectuarea plăților - în anumite zone. Povara pentru casier a scăzut, s-au trecut la vânzarea de produse bancare - activitate care generează direct profit.
Afacerea noastră a ajuns să înțeleagă că, pe de o parte, securitatea costă bani și, pe de altă parte, vor fi mult mai puțini bani fără ea.
Formularea corectă a obiectivului proiectului din partea noastră – „să facem securitatea mai ieftină” – a condus la faptul că unitatea de afaceri a acceptat să implementeze un sistem antifraudă și și-a folosit bugetul pentru asta.
J.I .: Instrumentul analitic încorporat, de fapt, ia decizii pe cont propriu. Unde este granița dintre suficiența și redundanța automatizării? Ce decizii nu pot fi încredințate creierului programului?
ÎN.: Granița este în mișcare tot timpul, este situată între postarea automată și blocarea automată a plăților. În cazul în care nivelul de fraudă pentru care nivelul de risc din sistem a scăzut/crescut, ajustăm criteriile decizionale din acesta. În același timp, este imposibil să automatizați complet evaluarea operațiunilor și să lăsați întregul proces la cheremul unui instrument analitic. Adică există încredere în sistemul antifraudă, dar nivelul acestuia trebuie controlat. Uneori, doar o persoană poate lua o decizie cu privire la plată, am confirmat acest lucru în mod repetat. După cum spune un proverb, o mașină este un „prost”: nu poate prevedea toate nuanțele. De exemplu, o eroare tehnică a dus la o creștere a timpului de răspuns între sisteme, ca urmare, o soluție nu a fost determinată cu un răspuns. Avem în personalul nostru specialiști pregătiți care uneori pot lucra mai repede decât o soluție antifraudă. Prin urmare, în cazul nostru, vorbim despre un sistem automatizat, nu unul automat. Deci avem încredere, dar verificăm.
J.I .: Implementarea și operarea unui sistem complex de control al riscurilor este o muncă grea a echipei bancare. Ce competențe ar trebui să aibă angajații pentru a asigura funcționarea unor astfel de soluții? Există o lipsă de astfel de personal?
ÎN.: Voi răspunde la întrebare cu o întrebare: câte nuanțe de roșu poate vedea omul obișnuit? Este greu de spus. Și în munca noastră, acesta este doar cel mai important lucru - să putem distinge numărul maxim de „nuanțe” de operațiuni riscante din sistem. Specialistul trebuie să fie capabil să identifice semnele unei posibile fraude, inclusiv folosind intuiția profesională. Acest lucru vine exclusiv din experiență. În domeniul nostru lucrează oameni cu medii diferite. Unii – IT Schnicks – au o experiență bună în analiza sistemelor de cantități mari de date, dar nu au lucrat niciodată cu operațiuni frauduloase. Alții - „opera” - au mâncat câinele la evaluarea operațiunilor, ei gândesc în termeni de adrese IP, jurnale, dar în același timp nu își imaginează principiile de organizare a bazelor de date, nu știu cum să efectueze o analiza de sistem. Schimbul de experiență, munca în echipă comună a unor astfel de experți oferă un efect sinergic. Este extrem de important să existe un șef competent al departamentului antifraudă care să construiască întregul proces și să evidențieze corect punctele cheie. Pentru a rezuma toate cele de mai sus: specialiștii pregătiți și instruiți în domeniul nostru sunt „bunuri de bucată”.
J.I .: Ați abordat deja parțial problema interacțiunii serviciului de securitate a informațiilor cu unitățile de afaceri. Cum vă imaginați structura optimă a funcției antifraudă?
ÎN.: Cel mai important lucru este ca interacțiunea dintre securitatea informațiilor și afaceri să fie descrisă în formatul unui proces de afaceri. Mai mult, toți participanții săi trebuie să înțeleagă clar ce trebuie făcut în cazul unui incident - să înțeleagă în detaliu procedura de răspuns. Pentru aceasta, Banca Moscovei are un regulament privind procedura de interacțiune. Când descrieți un proces de afaceri, este necesar să se împartă zonele și măsura (este posibil ca și responsabilitatea materială) a fiecărui grup de participanți. Îmi amintesc de „Despre Fedot Arcașul, un tip îndrăzneț” a lui Leonid Filatov: „Îmi recunosc vinovăția. Măsura. grad. Adâncime”.
Departamentul nostru de securitate are documente interne care descriu ce, unde, sub ce formă și cât de repede ar trebui să transfere specialiștii în securitatea informațiilor în cazul unui incident. Numărătoarea durează deseori minute în șir, așa că este inacceptabil să stai și să te gândești la ce trebuie făcut și la cine este de vină. Angajatul trebuie să aibă un algoritm clar de acțiune unu-două-trei. În același timp, are la îndemână toate șabloanele de documente care trebuie trimise, liste actualizate de adrese de email. Adică trebuie să stabiliți un proces și să pregătiți oameni.
J.I .: Cum puteți evalua eficiența economică a unităților ale căror funcții sunt legate de lupta împotriva fraudei?
ÎN.:În nici un caz. Eficiența noastră din punct de vedere al costurilor este imposibil de măsurat. De exemplu, luna aceasta am identificat mai multe cazuri de fraudă decât ultima. Ce inseamna asta? Am început să lucrăm mai bine? Sau au luat escrocii ritmul de „producție”? Departamentul de securitate a informațiilor își poate evalua activitățile numai în funcție de procentul de incidente rezolvate și identificate. În linii mari, dacă am dezvăluit toate faptele de fraudă dezvăluite, suntem eficienți. Dar, în orice caz, rămâne un punct mort - este imposibil să știm dacă am calculat totul sau nu.
În mod paradoxal, afacerile pot evalua eficacitatea muncii noastre numai în termeni de pierderi. Există vreun prejudiciu din cauza fraudei? Da - previzibil, care se încadrează în pierderile planificate. Aceasta înseamnă că echilibrul despre care am vorbit mai sus a fost respectat, iar securitatea funcționează bine. Dacă nivelul de deteriorare este mai mare decât nivelul permis, atunci există o „găură” undeva. Mai mult decât atât, nu este un fapt că acesta este un defect în peisajul securității informațiilor. Poate că unul dintre procesele de afaceri necesită o revizuire detaliată pentru a crește nivelul de securitate a informațiilor. Și vom lucra la asta împreună cu o echipă de experți din alte divizii ale băncii.
J.I .: Vă mulțumesc foarte mult că ți-ai acordat timp pentru a vorbi!
Care sunt principalele probleme din domeniul securității le evidențiați în acest moment, atât în ceea ce privește securitatea informațiilor, cât și în ceea ce privește securitatea afacerilor?
Andrey Bogoslovskikh, director al Direcției Tehnologii Informaționale a Rosbank: Direcționarea comunității hackerilor pentru a crea cod rău intenționat adaptat tehnologiilor sistemelor bancare de la distanță. Furtul de parole și informații cheie de pe computerele client infectate.
Konstantin Medentsev, Vicepreședinte pentru Tehnologii Informaționale al Băncii pentru Reconstrucție și Dezvoltare din Moscova: Sarcina principală a securității informațiilor este asigurarea și îmbunătățirea protecției infrastructurii informaționale. Tehnologia informației este din ce în ce mai folosită în scopuri criminale. Tehnologiile devin din ce în ce mai accesibile, iar costul atacurilor asupra sistemelor informaționale este în scădere, în timp ce costul protecției resurselor electronice de informații devine din ce în ce mai scump. Cu ajutorul sistemelor informatice, instituțiile de credit sunt capabile să reducă semnificativ costurile de deservire a clienților, ceea ce, la rândul său, duce la o creștere a profiturilor. Cu toate acestea, mecanismele de îndeplinire a cerințelor stabilite de autoritățile de reglementare conduc la o creștere semnificativă a costului serviciilor bancare. Cu cât nivelul de protecție a datelor este mai ridicat, cu atât este, desigur, mai dificil să îl obțineți, deoarece arhitectura sistemelor automate corespunzătoare devine mai complexă. În acest sens, este important să se găsească o abordare integrată sau un algoritm de acțiuni, a cărui implementare va permite îndeplinirea cerințelor legale, dar în același timp să nu afecteze negativ activitățile băncii și să nu conducă la o creștere a costului produse si servicii pentru consumator.
Vladilen Novoseletsky, șeful Departamentului de Securitate Informațională al B&N Bank: Problema principală este finanțarea limitată a securității informațiilor. Ea determină în mare măsură toate celelalte probleme.
A doua problemă este alegerea pentru afacere a gradului de libertate care, pe de o parte, nu va permite atacatorilor să ruineze afacerea, pe de altă parte, nu va sugruma afacerea. Evident, nu vor exista incidente de securitate a informațiilor dacă totul este interzis. Dar atunci nici afacerea nu se va dezvolta. Prin urmare, este necesar să se găsească un echilibru între libertatea de acțiune necesară afacerii și sistemul de restricții necesar pentru asigurarea securității informațiilor.
A treia problemă este problema alegerii unui sistem de securitate a informațiilor cu funcționalitatea necesară care să nu aibă un efect negativ sesizabil asupra mijloacelor protejate (problema funcționalității și compatibilității). Există multe SZI pe piață, dar... a fost neted pe hârtie.
A patra problemă este legală - licențierea activităților cu utilizarea sistemelor informaționale criptografice, certificarea sistemelor de securitate a informațiilor și atestarea obiectelor de automatizare. Majoritatea sistemelor de securitate a informațiilor certificate de FSTEC din Rusia (FSB din Rusia) sunt depășite. Prin urmare, atunci când alegeți un sistem de securitate a informațiilor, apare o dilemă: îndeplinirea cerințelor Legii federale prin achiziționarea unui sistem de securitate a informațiilor certificat, dar învechit. Sau puteți cumpăra cel mai recent sistem de securitate a informațiilor de dezvoltare și, în consecință, mai eficient, dar necertificat. Dacă o versiune necertificată a sistemului de securitate a informațiilor este selectată și a fost deja achiziționată, atunci certificarea sa ulterioară se transformă pur și simplu într-un jgheab pentru organizațiile implicate în acest lucru. Pe parcursul certificării, sistemul de securitate a informațiilor nu se va îmbunătăți, dar va deveni mult mai scump. Și dacă rezultatul certificării se dovedește a fi negativ, atunci ce să faci cu acest SIZ? Reveniți la vânzător?
Oleg Podkopaev, director IT al Rusfinance Bank: Ca întotdeauna, principala amenințare la adresa securității informațiilor unei organizații și a unei afaceri este persoana din interior. Și deși consecințele acțiunilor din interior sunt de obicei mai puțin vizibile într-o formă explicită și uneori chiar pur și simplu nu sunt vizibile, acesta este tocmai principalul lor pericol. Compromisarea bazei de clienți, de exemplu, pe lângă riscurile juridice directe, duce în continuare la o scădere a afacerilor și la o pierdere a cotei de piață, iar consecințele devin vizibile doar atunci când este prea târziu pentru a face ceva. În consecință, eforturile principale ar trebui îndreptate către măsuri preventive pentru a preveni o astfel de scurgere sau a o identifica la timp.
Alexander Turkin, șeful Centrului de verificare și suport pentru informații al B&N Bank: Odată cu certificarea obiectelor de informatizare, imaginea este următoarea: la orice modificare, obiectul trebuie recertificat. Dar în bancă, schimbările au loc continuu! Atât echipamentele informatice, cât și software-ul, tehnologia muncii se schimbă. Astfel, certificarea/recertificarea formală se transformă într-un proces continuu fără sfârșit cu costuri infinite.
După cum știți, pentru utilizarea dispozitivelor de protecție a datelor criptografice, care intră sub incidența Decretului Guvernului Federației Ruse din 29 decembrie 2007 nr. 957, care a aprobat Regulamentul privind acordarea de licențe pentru anumite tipuri de activități legate de criptare (criptografie). ) înseamnă că sunt necesare licențe ale FSB al Rusiei. Dar atunci sunt necesare nu numai pentru bancă, ci și pentru toți clienții sistemului Client-Bank. Același lucru este valabil pentru toți clienții sistemelor electronice de schimb cu Serviciul Fiscal Federal, Fondul de pensii etc. Se pare că licențele FSB-ului Rusiei sunt necesare pentru majoritatea organizațiilor din țară.
Evgeny Shevtsov, vicepreședinte al CJSC JSCB NOVIKOMBANK: Instituțiile financiare se confruntă astăzi din ce în ce mai mult cu o gamă largă de amenințări existente, cum ar fi frauda informatică, virușii informatici, piratarea sistemelor informatice, refuzul serviciului etc. rețelele și rețelele de acces comun, partajarea resurselor informaționale cresc vulnerabilitatea la astfel de amenințări. Întrucât sistemele informatice existente în bancă nu au fost proiectate inițial cu nivelul necesar de securitate, în majoritatea cazurilor posibilitățile de asigurare a securității informațiilor sunt limitate.
Cea mai importantă problemă cu care se confruntă managementul și serviciul de securitate este problema amenințărilor interne la adresa securității informațiilor sau, cu alte cuvinte, problema protejării informațiilor de persoane din interior.
Așadar, astăzi, atât sub aspectul securității informațiilor, cât și în ceea ce privește asigurarea securității afacerii, este vital un sistem integrat de securitate a informațiilor, care să implice nu doar resurse tehnice, ci și organizaționale, a căror creare poate costa o bancă mult mai ieftin decât eliminarea. consecințele amenințărilor la securitatea informațiilor.
A schimbat criza natura relației dintre departamentul IT al băncii și serviciul de securitate? A existat o realocare a responsabilităților și funcțiilor? Cum?
Andrei Bogoslovskikh: Criza nu a schimbat relația dintre IT și securitate.
Konstantin Medentsev: Criza financiară și economică a avut un impact semnificativ asupra naturii desfășurării afacerilor, ceea ce a dus, într-o serie de cazuri, la schimbări vizibile în structura instituțiilor de credit, asociate fie cu reducerea, fie cu redistribuirea sarcinilor între divizii. În ceea ce privește securitatea informației, cu principalele divizii aferente, și anume, cu diviziile de tehnologia informației. Observațiile arată că într-o serie de cazuri are loc un transfer de funcții legate de funcționarea sistemelor de securitate a informațiilor către departamentele de tehnologia informației. Cu toate acestea, impactul negativ al acestei redistribuiri asupra desfășurării activității în ansamblu se poate manifesta practic numai în absența unor ajustări prompte la procedurile de interacțiune între diviziile adiacente. În cazul unei descrieri competente a procedurilor de interacțiune, această redistribuire nu are un impact negativ.
Vladilen Novoseletsky:În legătură cu intrarea în vigoare a Legii „Cu privire la datele cu caracter personal”, natura relației ar fi trebuit să se schimbe în direcția securității informațiilor. Dar el nu s-a schimbat. Este posibil ca principala contribuție la aceasta să fi avut-o criza.
Oleg Podkopaev: Criza ca atare, desigur, nu a afectat astfel de relații, deoarece esența ei era diferită. Dar din punctul de vedere al interacțiunii diviziilor băncii, acțiunile au devenit mai coerente. Mai mult influențat de cerințele autorităților de reglementare, a căror implementare necesită o interacțiune mai clară între serviciile IT și de securitate. În același timp, distribuția funcțiilor nu se modifică: diviziile de securitate a informațiilor sunt organisme de reglementare și supraveghere din cadrul băncii, IT este conceput pentru a implementa și asigura securitatea informațiilor.
Evgheni Shevtsov: Natura interacțiunii nu s-a schimbat. Responsabilitățile și funcțiile diviziilor au rămas aceleași, determinate de documentele de reglementare ale băncii.
Cum apreciați rolul autorității de reglementare în domeniul securității informațiilor bancare? Cât de utili sunt, în special, pașii pe care Banca Centrală a Federației Ruse îi face în sfera legislativă?
Andrei Bogoslovskikh: Banca Rusiei elaborează standarde de securitate a informațiilor, acestea au caracter de recomandare (nu sunt un domeniu legislativ). Evaluarea este dublă. Pe de o parte, standardele IS ale Băncii Centrale a Federației Ruse sunt utile, deoarece se bazează pe standardele IS internaționale moderne. Pe de altă parte, există multe controverse în ele, deoarece se bazează și pe metode și instrucțiuni învechite ale Comisiei Tehnice de Stat (FSTEC).
Konstantin Medentsev: Eforturile Băncii Centrale nu pot trece neobservate. O etapă importantă în formarea bazei normative și metodologice a Băncii Centrale în domeniul securității informațiilor a fost eliberarea unui număr de documente de reglementare. Cum ar fi „Metodologia de evaluare a conformității cu cerințele de securitate a informațiilor din STO BR IBSS-1.0-2008” și „Metodologia de evaluare a riscurilor de încălcare a securității informațiilor”.
Oleg Podkopaev: Cred că Banca Centrală a Federației Ruse face absolut corect în învățarea băncilor să se gândească la o posibilă reglementare în domeniul securității informațiilor. Mai mult, acest lucru se face foarte inteligent, prin emiterea mai întâi de recomandări și metode de autoevaluare, desfășurarea de piloți privind auditurile de securitate a informațiilor și abia apoi - și aceasta este o chestiune de timp - prin introducerea unor cerințe obligatorii.
Alexander Turkin: Avem trei autorități de reglementare în domeniul securității informațiilor: Banca Centrală a Federației Ruse, FSTEC din Rusia, FSB din Rusia. Pașii Băncii Centrale în sfera legislativă sunt făcuți în interesul băncilor, deci sunt cu siguranță utili pentru bănci, dar cât de eficienți vor fi – timpul va spune. Până acum, se pare că va fi ceva efect, deși poate mai puțin decât ne-am dori. Am primit o amânare pentru un an, iar FSTEC din Rusia a scos ștampila din PAL din patru dintre documentele sale - este deja bună. În același timp, aș dori să subliniez că rolul Băncii Rusiei în această chestiune este, fără îndoială, pozitiv. La invitația lui Andrey Petrovici Kurilo, am intrat în Grupul de lucru ARB privind Legea nr. 152-FZ. Sugestiile și comentariile privind îmbunătățirea legislației în domeniul datelor cu caracter personal, care s-au născut în cadrul ședințelor Grupului de Lucru, cred, au adus o contribuție semnificativă la pușculița comună.
Evgheni Shevtsov: Principalul document care ghidează serviciul de securitate a informațiilor băncii în activitățile sale este Standardul Băncii Rusiei: „Asigurarea securității informațiilor organizațiilor din sistemul bancar al Federației Ruse. Prevederi generale ”(STO BR IBBS-1.0-2008). Ne așteptăm ca noua versiune a documentului să devină standardul industriei pentru instituțiile de credit și financiare ale Federației Ruse.
Intrarea deplină în vigoare a cerințelor Legii nr. 152-FZ. În ce măsură sunt băncile pregătite pentru asta astăzi? Care este beneficiul perioadei de grație de un an care a fost realizată?
Andrei Bogoslovskikh: Băncile nu sunt pregătite. Perioada de grație de un an nu face nimic. Protejarea datelor cu caracter personal este mai puternică decât cea bancară, iar secretele comerciale sunt o prostie.
Konstantin Medentsev:În ciuda faptului că Legea federală „Cu privire la datele cu caracter personal” a fost adoptată încă din 2006, documentele de reglementare și metodologice care guvernează procesele de construire a sistemelor de protecție a datelor cu caracter personal au fost publicate mult mai târziu. Având în vedere costurile financiare considerabile pentru implementarea sistemelor de securitate, operatorilor de prelucrare a datelor cu caracter personal le rămâne prea puțin timp pentru implementarea acestora. În acest sens, amânarea de un an a fost utilă.
Oleg Podkopaev: Desigur, nimeni, inclusiv băncile, nu este pe deplin pregătit pentru introducerea Legii nr. 152-FZ. Mai mult, autoritățile de reglementare nu sunt pregătite, ceea ce, în general, a determinat posibilitatea amânării datelor. Mai mult, aici este nevoie de o întârziere de un an nu atât pentru operatori, cât pentru legiuitori, pentru a face modificările necesare formulate în procesul încercărilor de implementare practic a cerințelor Legii și reglementărilor relevante. Cred că acest lucru se va face în cursul anului 2010. De asemenea, va deveni mai clar ce și cum trebuie făcut, cerințele vor deveni mai în concordanță cu realitățile și, în final, consultanții vor câștiga experiență în implementarea proiectelor „pilot”.
Alexander Turkin: Aici una dintre probleme este interpretarea acestei legi federale și a regulamentelor. Dacă o abordăm formal și strict, atunci băncile nu sunt pregătite, iar un an de amânare nu va schimba radical situația. Dacă o serie de cerințe sunt ajustate în direcția slăbirii lor, atunci gradul de pregătire va crește.
Evgheni Shevtsov: Perioada de grație de un an oferă o oportunitate de a economisi bani în timp ce îndepliniți aceste cerințe.
În legătură cu dezvoltarea serviciilor bancare la distanță și a planurilor de dezvoltare activă a băncilor în această direcție, cât de gravă este problema atacurilor DDOS asupra site-urilor web ale băncilor, phishing-ul și alte amenințări la adresa canalelor RBS?
Andrei Bogoslovskikh: Amenințarea DDoS este gravă, dar nu în sine, ci ca un mijloc de a deghiza tranzacțiile frauduloase folosind detaliile clienților furați.
Konstantin Medentsev: După cum sa menționat deja, dezvoltarea tehnologiei informației are un impact asupra sferei criminale. Cu toate acestea, atunci când sunt proiectate corespunzător, sistemele bancare de la distanță pot rezista cu încredere anumitor tipuri de amenințări. Instrumentele de monitorizare a activității în rețea existente în prezent permit identificarea sursei unui atac DDOS destul de rapid și, în același timp, împiedică deteriorarea mijloacelor tehnice ale sistemului bancar la distanță în sine. Cu toate acestea, problemele asociate cu utilizarea neautorizată a informațiilor cheie, puține au fost scutite. Acest fenomen poate fi exclus doar prin eforturi comune atât din partea instituțiilor de credit - prin introducerea unor mecanisme mai avansate de implementare a procedurilor criptografice, cât și din partea clienților înșiși - prin respectarea strictă a recomandărilor de securitate a informațiilor.
Alexander Turkin: Problema este una dintre cele mai grave. Unele bănci au acumulat o mulțime de informații despre sursele unor astfel de amenințări. Consolidarea acestuia ar putea probabil să crească semnificativ nivelul de dezvăluire în acest domeniu. Dar agenția de aplicare a legii consolidatoare interesată de astfel de informații nu este vizibilă. Și asta în ciuda faptului că Doctrina Securității Informaționale a Federației Ruse consideră această amenințare ca fiind gravă pentru economia țării.
Evgheni Shevtsov: Consider că această problemă este gravă. Banca are nevoie de instrumente pentru a preveni astfel de atacuri în etapa inițială a funcționării lor. Și nu doar preveniți, ci protejați.
Care sunt principalele probleme/amenințări pentru activitățile dumneavoastră din punct de vedere al securității informațiilor vedeți pentru viitorul apropiat - 2010?
Andrei Bogoslovskikh: Respectarea cerințelor recomandărilor metodologice ale FSB și FSTEC privind protecția datelor cu caracter personal. Dezvoltarea direcției fraudei folosind canalele RBS.
Konstantin Medentsev: Progresul tehnologic avansează în mod constant. După cum sa menționat mai devreme, pătrunderea tehnologiei informației în sfera criminală are loc într-un ritm accelerat. În acest sens, se pare că numărul amenințărilor la adresa securității informaționale ale activităților instituțiilor de credit nu poate decât să crească. Cu toate acestea, doar timpul poate oferi o evaluare mai detaliată a naturii și consecințelor acestora.
Vladilen Novoseletsky: Problema principală este aducerea băncii în conformitate cu Legea „Cu privire la Datele cu Caracter Personal”, iar principala amenințare este neînțelegerea sau neînțelegerea acestei probleme din partea tuturor acelor persoane de care depinde soluționarea acesteia.
Evgheni Shevtsov:În cadrul creării unui sistem de protecție a datelor cu caracter personal, luați în considerare problema organizării unui sistem integrat de securitate pentru resursele informaționale ale băncii.
Estima:
