Če podjetju zagotovite 100-odstotno tehnično varnost, preprosto ne bo moglo ustvariti dobička. Če pri opravljanju transakcij ali prodaji bančnih produktov ne boste postavili nobenih zaščitnih omejitev, goljufi najverjetneje ne bodo pustili prevrnjenega kamna." V tem smislu je potekal naš pogovor z Vasilijem Okuleskyjem, doktorjem znanosti, vodjo oddelka za informacijsko varnost varnostnega oddelka Moskovske banke.
J.I.: Vasilij Andrejevič, kakšna je vaša ocena trenutnih razmer z goljufijami v bančnem sektorju?
IN.: Zdaj opažamo od 30 do 50 % porast različnih vrst goljufij v primerjavi z lanskim letom. Spremenila se je tudi njegova specifična struktura: najprej je prišlo do močnega vračanja k goljufijam na bankomatih.
V zadnjem letu se je celotna mreža bankomatov ruskih bank povečala za 40%, ta čisto tehnični dejavnik je postal osnovni razlog za povečanje kriminala. Spremenili so se tudi načini napada na bankomate. Pojavili so se tako imenovani "eksplozivi", ki jih odlikuje visoka hitrost "dela" - celotna operacija kraje traja manj kot minuto. Vrnila so se orodja za napad na programsko opremo, ki so bila leta 2009 na vrhuncu priljubljenosti. Poleg tega so opažene bistveno nove metode: bankomati so napadeni na daljavo, izzovejo ponovni zagon ali pa napad gre neposredno na izvršilne naprave - istemu vlagatelju. Znesek škode zaradi takšnih dejanj bistveno presega izgube zaradi drugih vrst goljufij na bankomatih.
V ruskem bančnem sektorju obstaja stalen trend razvoja funkcionalnosti spletnega bančništva za fizične in pravne osebe. Nova funkcionalnost je všeč tudi goljufom, predvsem v smislu morebitnega odpiranja priložnosti za krajo denarja. V skladu s tem banke preprosto ne morejo le vlagati v izboljšanje varnosti svojih internetnih storitev. Opažam, da od vseh ruskih bank samo Tinkoff Bank v svojo informacijsko varnost vlaga "kar tako" - zanjo je to edini način za zagotavljanje poslovne varnosti.
Trend zadnjih mesecev so napadi na informacijske sisteme bank. Neposredno napadajo sredstva za upravljanje korespondenčnih računov - to goljufom omogoča, da naenkrat dvignejo ogromne količine denarja. Takšne operacije zahtevajo od napadalcev visoko usposobljenost in resno usposabljanje.
J.I.: Se pravi, da pogosto predmet napadov ni stranka, ampak banka sama?
IN.: Da, to je posledica več dejavnikov. Prvič, banke vlagajo veliko truda v zaščito svojih strank in to res deluje. Drugič, stranke so postale bolj napredne pri vprašanjih informacijske varnosti. Zdaj je besedilo "Kupil sem protivirusni program, ga namestil na svoj računalnik, vendar iz nekega razloga ne deluje" je veliko manj pogost. Kupci že vedo, kaj in kako namestiti, posodobiti, kakšne so pravne posledice uporabe licenčne in nelicencirane programske opreme itd. Ljudje so bolj pripravljeni, težje jih je napasti, vse to sili goljufe, da »preklopijo« na banke.
Opažam, da se sama struktura in načini takšnih napadov bistveno razlikujejo. Zato je nujna revizija paradigme oblikovanja bančnih informacijskih sistemov. Varnostniki bi morali biti vključeni v delo v prvih fazah življenjskega cikla sistema in ne v fazi njegovega zagona. To pomeni, da je treba med razvojem upoštevati vsa vprašanja varnosti informacij.
Poleg tega se mora spremeniti samo razumevanje informacijske varnosti. Informacijska varnost ni diskreten proces »vnesemo rešitev, vse deluje, sproščeno«, temveč kontinuirana dejavnost, svojevrsten način razmišljanja ljudi, ki razvijajo sisteme, delajo z zaupnimi dokumenti itd.
J.I.: Kakšna bi morala biti ta miselnost?
IN.: Navedel bom najenostavnejši primer v zvezi s 3 glavnimi komponentami informacijske varnosti - zaupnostjo, celovitostjo in razpoložljivostjo podatkov. V zvezi s to triado je zanimiv logični paradoks: če se koncept na prvi pogled zdi preprost in jasen, je njegova implementacija v praksi praktično nemogoča. Kaj je integriteta? Enostavno vprašanje. Ko pa dokument podpišete z elektronskim podpisom, je glavna zahteva, da morate biti prepričani, kaj podpisujete. To pomeni, da je treba zagotoviti celovitost izvirnega predmeta podpisa in tega, kar vidite na zaslonu. V kolikšni meri elektronski dokument v bazi podatkov ustreza papirnemu izvirniku? Kako legitimna je podpisana elektronska različica na papirju? Vsakdo, ki ima idejo o tem, kaj je Windows, razume, da zgornja zahteva načeloma ni izvedljiva. Ali pa morate opustiti tako priljubljen operacijski sistem in tehnologijo večopravilnosti ter izumiti način za vizualizacijo elektronskih dokumentov, ki bi zagotovil integriteto na vseh stopnjah njihove transformacije.
Vprašanje ni tako preprosto, temelji na tehničnih sredstvih, tehnologiji dela. Če je ne rešimo na ravni začetne postavitve problema, potem preprosto ne moremo razumeti, kaj točno moramo zaščititi, kaj je za nas predmet informacijske varnosti. Ni dejstvo, da dokument, ki ga dejansko varujemo, ustreza tistemu, kar je bilo na vhodu in je bil res zaščiten.
J.I.: Katera vrsta goljufije je trenutno najbolj nevarna?
VO: Tako kot zadnjih nekaj let imajo notranje goljufije na dlani. Sistemi protiukrepov jih ne morejo blokirati. Če se zaposleni med seboj dogovorijo, vam, grobo rečeno, nič ne bo pomagalo. Insajderje je zelo težko prepoznati, posledice takšnega dogovarjanja pa so veliko večje od škode zaradi katere koli druge vrste goljufij.
J.I.: Kateri so glavni pristopi k zagotavljanju informacijske varnosti v vaši banki?
IN.: Sistematično krepimo varnost naših storitev. Toda težišče pozornosti v smislu zagotavljanja informacijske varnosti se je premaknilo. Če smo prej stranko zaščitili pred ponavljajočimi se grožnjami - lažnim predstavljanjem, možnostjo zamenjave njegovih podatkov, zagotovili zaščito orodij za preverjanje pristnosti, zdaj a priori verjamemo, da je stranka vedno presenečena. 80 % strank sprva uporablja bančne storitve pod nadzorom goljufov. Zato je treba spremeniti zaščitno paradigmo. Predvidevamo, da je obod že dovolj zaščiten, zato se osredotočamo na transakcije. Pravzaprav je ena najučinkovitejših sodobnih smeri analiza transakcij.
J.I.: Morda bodo banke po določenem času prisiljene priznati, da je tudi njihova infrastruktura a priori ranljiva in jo v 80 % nadzorujejo goljufi. In to pomeni, da bo edini izhod nadzorovanje že znotrajbančnih transakcij s pomočjo sistemov, podobnih rešitvam za spremljanje transakcij strank.
IN.: V tem je nekaj resnice. Ne bom odpiral Amerike, če rečem, da se informacijska varnost razvija spiralno in vsak obrat poteka na bistveno drugačni ravni. Pred 10 leti smo govorili o skoraj isti stvari - zaščititi morate zunanji obod banke. V preteklih letih smo šli skozi več krogov zaščite strank in se ponovno vrnili na izhodišče – banko. Šele zdaj govorimo o spremembi same ideologije gradnje informacijske infrastrukture za začetno obravnavo vprašanj informacijske varnosti.
J.I.: Kot veste, imajo podjetja pogosto negativen odnos do razvoja in zaostrovanja informacijske varnosti. Kako vam uspe banko uskladiti s sodobnimi praksami informacijske varnosti?
IN.: Najučinkovitejša spodbuda za izboljšanje stopnje informacijske varnosti v podjetju je obvezno sodelovanje podjetja v procesu izterjave finančne škode zaradi goljufije. Na primer, razvijamo nov bančni produkt. Pogledali smo našo triado IB, izdali komentarje in zaprli luknje, ki smo jih videli. To nam je vidno, saj je v vsakem razvoju več povezanih plasti. V plasteh odpravljamo ranljivosti, vendar razvojna ekipa veliko bolje pozna značilnosti povezav med njimi. V proizvodnih dokumentih, s katerimi delamo, niso predpisani. Hkrati so te povezave pogosto tarče napada. Če so razvijalci popolnoma nezainteresirani za njihovo pravilno gradnjo z vidika informacijske varnosti, po izdaji izdelka tvegamo, da bomo deležni povečane pozornosti prevarantov. Če so finančne izgube povezane s posebnimi premijami razvijalcev in tistih poslovnih enot, ki so sprožile pojav izdelka, si bodo sami prizadevali, da bi ga maksimalno "počistili".
Če pravilno zgradite sistem za uravnoteženje finančne odgovornosti med oddelki, postanejo poslovni procesi z visoko frudulnostjo avtomatsko varnejši.
Mehanizem zagotavljanja informacijske varnosti, ki deluje že v fazi ponudbe izdelka na trgu, je dobro znana stop loss. Takoj, ko je na njem zabeleženih več goljufivih poslov ali znesek škode zaradi dejanj vsiljivcev preseže dovoljeno vrednost, banka ustavi ponudbo. Izdelek analiziramo, odpravimo ozka grla in ga šele nato ponovno postavimo v obratovanje. Seveda je dobiček od opravljenih storitev za vsako podjetje najpomembnejši, zato ga zanima povečanje dovoljenega števila goljufivih transakcij oziroma višine škode. Pravzaprav je to predmet pogajanj med oddelki za informacijsko varnost in poslovanje, naša skupna naloga je najti kompromis. Ta pristop smo postopoma razvijali. "Že vemo, da bodo stop izgube in omejitve, zato delajmo skupaj" - to je stališče podjetja ob uvajanju novega izdelka. Naše mobilno bančništvo je primer, kako se podjetje odgovorno loteva vprašanj varnosti informacij: sprva je napovedalo strožje pogoje za preverjanje pristnosti strank na mobilnih napravah, kot smo predlagali.
J.I.: Recimo, da morate čim hitreje prinesti novo storitev na trg, da boste prehiteli konkurente in ne boste izgubili potencialnega dobička. Ali lahko v tem primeru nekoliko zmanjšate kritičnost vprašanja zagotavljanja informacijske varnosti?
IN.: V vsakem primeru si ne moremo »zatiskati oči«, le delamo enako intenzivno kot razvijalci. Takoj se borimo proti očitnim lupinam, ranljivosti, ki jih nimamo časa, da bi jih poglobljeno in podrobno razdelali pred izdajo izdelka, odpravimo v fazi zaustavitve izgube.
Na splošno, če podjetje na trg lansira surovo storitev informacijske varnosti, mora biti pripravljeno prevarantom dati določen odstotek od vsakega zasluženega milijona na tem. Uradna škoda tukaj je lahko 5 in 50%. Za tveganje goljufije bo v tem primeru v celoti odgovorna poslovna enota, kar naj se odraža v ustrezni poslovni pogodbi.
Kot sem rekel zgoraj, je porazdelitev odgovornosti streznitvena. Denimo, da kljub priporočilom strokovnjakov za informacijsko varnost glede alarmov, videonadzora ipd., namestite bankomat na potencialno nevarno mesto. Stroški sodobnega bankomata znašajo približno 30 tisoč dolarjev. Če ga goljuf zlomi, lahko popravilo bremenijo splošni bančni račun, račun za obdelavo ali vaš maloprodajni oddelek. V podobni situaciji bodo tudi v prihodnje prisluhnili strokovnjakom za informacijsko varnost. S podjetjem se pogovarjamo v njegovem jeziku – o izgubi dobička, tveganjih, finančni odgovornosti itd.
J.I.: Ne tako dolgo nazaj je Moskovska banka uvedla sistem zaščite pred goljufijami v kanalih oddaljenega bančništva za pravne osebe. Povejte nam, kakšni so bili cilji projekta? Ali so bili doseženi?
IN.: Naš projekt je na nek način edinstven – naš cilj ni bil dvig stopnje varnosti, temveč znižanje stroškov samega postopka odkrivanja goljufij. Pred tem je vsako novo plačilo s klici potrdilo 400 bančnih blagajničarjev - bilo jih je približno 10 tisoč na dan. Posledično smo zmanjšali število kontrolnih klicev v front oddelkih pri plačilih – na določenih območjih za več kot 10-krat. Obremenitev blagajnikov se je zmanjšala, preusmerili so se na prodajo bančnih produktov – dejavnost, ki neposredno ustvarja dobiček.
Naše podjetje je spoznalo, da po eni strani varnost stane, po drugi strani pa bo brez nje veliko manj denarja.
Pravilno ubeseditev cilja projekta z naše strani – »pocenimo varnost« – je privedla do tega, da se je poslovna enota strinjala z uvedbo sistema za boj proti goljufijam in za to porabila lasten proračun.
J.I.: Izvedeno analitično orodje pravzaprav odloča samostojno. Kje je potegnjena meja med zadostnostjo in redundantnostjo avtomatizacije? Katere odločitve ni mogoče zaupati možganom programske opreme?
IN.: Meja je nenehno v gibanju, nahaja se med samodejnim knjiženjem in avtomatskim blokiranjem plačila. Če se je stopnja goljufije, za katero je v sistemu določena stopnja tveganja, znižala/povišala, v njej prilagodimo kriterije odločanja. Hkrati je nemogoče popolnoma avtomatizirati vrednotenje operacij in prepustiti celoten proces na milost in nemilost analitičnemu orodju. To pomeni, da obstaja zaupanje v sistem za boj proti goljufijam, vendar je treba njegovo raven nadzorovati. Včasih se o plačilu lahko odloči samo oseba, to smo večkrat potrdili. Kot pravi en pregovor, je avto "norec": ne more predvideti vseh odtenkov. Tehnična napaka je na primer povzročila povečanje odzivnega časa med sistemi, zato se rešitev ni odločila za odgovor. Imamo usposobljene strokovnjake, ki včasih delujejo hitreje kot rešitev za boj proti goljufijam. Zato v našem primeru govorimo o avtomatiziranem sistemu, ne o avtomatskem. Torej zaupamo, vendar preverjamo.
J.I.: Izvedba in delovanje kompleksnega sistema obvladovanja tveganj je za bančno ekipo veliko dela. Kakšne kompetence bi morali imeti zaposleni za zagotavljanje delovanja tovrstnih rešitev? Ali takih kadrov primanjkuje?
IN.: Na vprašanje bom odgovoril z vprašanjem: koliko odtenkov rdeče lahko vidi povprečen človek? Težko je reči. In pri našem delu je to le najpomembnejše - znati razlikovati največje število "odtenkov" tveganih operacij v sistemu. Strokovnjak mora biti sposoben prepoznati znake morebitne goljufije, tudi s pomočjo profesionalne intuicije. To pride samo z izkušnjami. Na našem področju delajo ljudje z različno začetno prtljago znanja. Nekateri – IT ljudje – imajo dobro izkušnjo sistemske analize velikih količin podatkov, vendar nikoli niso delali z goljufivimi transakcijami. Drugi - "opera" - so jedli psa med ocenjevanjem operacij, razmišljajo v smislu IP naslovov, dnevnikov, a si hkrati ne predstavljajo principov organiziranja baz podatkov, ne znajo izvajati sistemske analize. Izmenjava izkušenj, skupno timsko delo tovrstnih strokovnjakov daje sinergijski učinek. Zelo pomembno je imeti kompetentnega vodjo enote za boj proti goljufijam, ki bo zgradil celoten proces in pravilno postavil poudarke. Če povzamemo vse našteto: pripravljeni, usposobljeni strokovnjaki na našem področju so “brez v kosu”.
J.I.: Delno ste se že dotaknili vprašanja interakcije med službo za varovanje informacij in poslovnimi enotami. Kakšna je vaša ideja o optimalni strukturi za funkcijo boja proti goljufijam?
IN.: Najpomembneje je, da je treba interakcijo med informacijsko varnostjo in poslovanjem opisati v obliki poslovnega procesa. Poleg tega morajo vsi njeni udeleženci jasno razumeti, kaj je treba storiti v primeru incidenta - podrobno si predstavljati postopek za odzivanje. V ta namen ima Moskovska banka uredbo o postopku interakcije. Pri opisu poslovnega procesa je treba ločiti cone in mero (lahko tudi materialno) odgovornosti vsake skupine udeležencev. Spomnim se Leonida Filatova "O Fedotu Strelcu, drznem mladeniču": "Priznam svojo krivdo. Meru. Stopnja. Globina."
Naš oddelek za varnost ima interne dokumente, ki opisujejo, kaj, kam, v kakšni obliki in kako hitro morajo strokovnjaki za informacijsko varnost prenesti med incidentom. Minute pogosto štejejo, zato je sedenje in razmišljanje o tem, kaj je treba narediti in kdo je kriv, nesprejemljivo. Zaposleni mora imeti jasen algoritem dejanj "en-dva-tri". Hkrati ima pri roki vse predloge dokumentov, ki jih je treba poslati, ažurne sezname elektronskih naslovov. To pomeni, da morate vzpostaviti proces in usposobiti ljudi.
J.I.: Kako lahko ocenite ekonomsko učinkovitost enot, katerih funkcije so povezane z bojem proti goljufijam?
IN.: Ni šans. Naše ekonomske učinkovitosti ni mogoče izmeriti. Ta mesec smo na primer ugotovili več primerov goljufij kot prejšnji mesec. Kaj pravi? Ali nam gre bolje? Ali pa so prevaranti sprejeli šokantni tempo "proizvodnje"? Oddelek za informacijsko varnost lahko svoje delovanje ocenjuje le glede na odstotek obdelanih in odkritih incidentov. Grobo rečeno, če smo preučili vsa razkrita dejstva goljufije, smo učinkoviti. A v vsakem primeru ostaja slepa pega – nemogoče je vedeti, ali smo vse izračunali ali ne.
Paradoksalno je, da lahko podjetje oceni učinkovitost našega dela samo na podlagi izgub. Ali obstaja škoda zaradi goljufij? Da - predvidljivo, sodi v obseg načrtovanih izgub. To pomeni, da je ravnovesje, o katerem smo govorili zgoraj, izpolnjeno, varnost deluje dobro. Če je stopnja škode višja od sprejemljive, pomeni, da je nekje "luknja". Poleg tega ni dejstvo, da je to pomanjkljivost v okolju informacijske varnosti. Morda eden od poslovnih procesov zahteva podroben pregled za povečanje stopnje varnosti informacij. In na tem bomo delali skupaj z ekipo strokovnjakov iz drugih oddelkov banke.
J.I.: Najlepša hvala, da ste si vzeli čas za klepet!
Strategija informacijske varnosti bank se zelo razlikuje od podobnih strategij drugih podjetij in organizacij. To je predvsem posledica specifičnosti groženj, pa tudi javnega delovanja bank, ki so zaradi udobja za stranke prisiljene dovolj olajšati dostop do računov.
Običajno podjetje gradi svojo informacijsko varnost samo na podlagi ozkega spektra potencialnih groženj - predvsem zaščite informacij pred konkurenti (v ruskih realnostih je glavna naloga zaščita informacij pred davčnimi organi in kriminalno skupnostjo, da se zmanjša verjetnost nenadzorovanega povečanje davčnih plačil in izsiljevanja). Takšne informacije so zanimive le za ozek krog zainteresiranih oseb in organizacij in so redko likvidne, t.j. pretvoriti v gotovino.
Informacijska varnost banke mora upoštevati naslednje posebne dejavnike:
1. Informacije, shranjene in obdelane v bančnih sistemih, so pravi denar. Na podlagi računalniških podatkov je mogoče izvesti plačila, odpreti posojila in nakazati znatne zneske. Povsem jasno je, da lahko nezakonita manipulacija s takšnimi informacijami povzroči resne izgube. Ta funkcija dramatično razširi krog kriminalcev, ki posegajo posebej v banke (za razliko od, na primer, industrijskih podjetij, katerih notranje informacije nikogar ne zanimajo).
2. Informacije v bančnih sistemih vplivajo na interese velikega števila ljudi in organizacij – strank bank. Praviloma je zaupna, banka pa je odgovorna za zagotavljanje zahtevane stopnje tajnosti svojim strankam. Stranke imajo seveda pravico pričakovati, da mora banka skrbeti za njihove interese, sicer tvega svoj ugled z vsemi posledicami, ki izhajajo iz tega.
3. Konkurenčnost banke je odvisna od tega, kako priročno je za stranko sodelovati z banko, pa tudi od tega, kako širok nabor storitev, vključno s storitvami, povezanimi z oddaljenim dostopom. Zato mora biti stranka sposobna upravljati svoj denar hitro in brez dolgočasnih postopkov. Toda ta preprost dostop do denarja povečuje verjetnost kriminalnega vdora v bančne sisteme.
4. Informacijska varnost banke mora (za razliko od večine podjetij) zagotavljati visoko zanesljivost računalniških sistemov tudi v izrednih razmerah, saj banka ni odgovorna le za lastna sredstva, temveč tudi za denar strank.
5. Banka hrani pomembne podatke o svojih komitentih, kar širi krog potencialnih vsiljivcev, ki jih zanima kraja ali poškodovanje takšnih podatkov.
Kriminali v bančnem sektorju imajo tudi svoje značilnosti:
Številna kazniva dejanja, storjena v finančnem sektorju, ostajajo širši javnosti neznana zaradi dejstva, da direktorji bank ne želijo motiti svojih delničarjev, se bojijo izpostaviti svojo organizacijo novim napadom, bojijo se škodovati svojemu ugledu zanesljive trgovine. sredstev in posledično izgubijo stranke.
Napadalci praviloma uporabljajo lastne račune, na katere se nakažejo ukradeni zneski. Večina kriminalcev ne zna oprati ukradenega denarja. Sposobnost kaznivega dejanja in zmožnost pridobiti denar nista ista stvar.
Večina računalniških zločinov je drobnih. Škoda zaradi njih je v razponu od 10.000 do 50.000 dolarjev.
Uspešna računalniška kazniva dejanja običajno zahtevajo veliko število bančnih transakcij (do nekaj sto). Vendar pa je mogoče velike zneske nakazati v samo nekaj transakcijah.
Večina vsiljivcev je uradnikov. Čeprav lahko višje osebje v banki stori tudi kazniva dejanja in banki povzroči veliko več škode, so takšni primeri redki.
Računalniški zločini niso vedno visokotehnološki. Dovolj je ponarejanje podatkov, spreminjanje parametrov okolja ASOIB ipd., ta dejanja pa so na voljo tudi vzdrževalcem.
Mnogi napadalci razlagajo svoja dejanja z dejstvom, da si le izposodijo pri banki z naknadnim vračilom. Vendar se "vrnitev" praviloma ne zgodi.
Posebnosti zaščite sistemov za avtomatsko obdelavo informacij bank (ASOIB) so posledica posebnosti nalog, ki jih rešujejo:
ASOIB praviloma v realnem času obdeluje velik tok nenehno prihajajočih zahtev, od katerih vsaka za obdelavo ne zahteva številnih virov, vse skupaj pa jih lahko obdela le zmogljiv sistem;
ASOIB hrani in obdeluje zaupne informacije, ki niso namenjene širši javnosti. Njegovo ponarejanje ali uhajanje lahko povzroči resne (za banko ali njene stranke) posledice. Zato so ASOIB obsojeni, da ostanejo relativno zaprti, delujejo pod nadzorom specifične programske opreme in posvečajo veliko pozornost zagotavljanju njihove varnosti;
Druga značilnost ASOIB so povečane zahteve po zanesljivosti strojne in programske opreme. Zaradi tega mnogi sodobni ASOIB gravitirajo k tako imenovani računalniški arhitekturi, tolerantni na napake, ki omogoča neprekinjeno obdelavo informacij tudi ob različnih okvarah in okvarah.
Obstajata dve vrsti nalog, ki jih rešuje ASOIB:
1. Analitična. Ta vrsta vključuje naloge načrtovanja, analize računov itd. Niso takojšnje in lahko trajajo dolgo, da se razrešijo, njihovi rezultati pa lahko vplivajo na politiko banke v zvezi z določeno stranko ali projektom. Zato mora biti podsistem, s pomočjo katerega se rešujejo analitične naloge, zanesljivo izoliran od glavnega sistema za obdelavo informacij. Reševanje takšnih težav običajno ne zahteva močnih računalniških virov, običajno zadostuje 10-20% moči celotnega sistema. Glede na možno vrednost rezultatov pa mora biti njihova zaščita trajna.
2. Casual. V to vrsto spadajo naloge, ki se rešujejo v vsakodnevnih dejavnostih, predvsem pri plačilih in urejanju računov. Prav oni določajo velikost in moč glavnega sistema banke; njihova rešitev običajno zahteva veliko več sredstev kot analitične naloge. Hkrati je vrednost informacij, ki se obdelujejo pri reševanju tovrstnih problemov, začasna. Postopoma vrednost informacij, na primer o izvedbi plačila, postane nepomembna. Seveda je to odvisno od številnih dejavnikov, kot so: znesek in čas plačila, številka računa, dodatne lastnosti itd. Zato običajno zadostuje, da se zagotovi varstvo plačila v trenutku njegove izvršitve. Hkrati mora biti zaščita samega procesa obdelave in končnih rezultatov konstantna.
Kakšne zaščitne ukrepe za sisteme za obdelavo informacij imajo tuji strokovnjaki raje? Na to vprašanje je mogoče odgovoriti z rezultati raziskave, ki jo je leta 1994 opravila Datapro Information Group med bankami in finančnimi institucijami:
82 % anketirancev ima oblikovano politiko informacijske varnosti. V primerjavi z letom 1991 se je odstotek organizacij z varnostno politiko povečal za 13 %.
Še 12 % anketiranih načrtuje razvoj varnostne politike. Jasno je izražen naslednji trend: organizacije z velikim številom osebja imajo raje razvito varnostno politiko v večji meri kot organizacije z majhnim številom osebja. Na primer, po tej raziskavi ima samo 66 % organizacij z manj kot 100 zaposlenimi varnostno politiko, medtem ko je pri organizacijah z več kot 5.000 zaposlenimi delež takih organizacij 99 %.
V 88 % organizacij, ki imajo politiko informacijske varnosti, obstaja posebna enota, ki je odgovorna za njeno izvajanje. V tistih organizacijah, ki takšne enote ne vzdržujejo, so te funkcije v glavnem dodeljene skrbniku sistema (29 %), upravljavcu informacijskega sistema (27 %) ali službi fizičnega varovanja (25 %). To pomeni, da obstaja težnja po ločevanju zaposlenih za računalniško varnost v posebno enoto.
Pri varovanju je posebna pozornost namenjena zaščiti računalniških omrežij (90 %), velikih računalnikov (82 %), obnavljanju informacij po nesrečah in nesrečah (73 %), zaščiti pred računalniškimi virusi (72 %), zaščiti osebnih računalnikov (69 %). %).
O značilnostih zaščite informacij v tujih finančnih sistemih lahko sklepamo naslednje:
Glavna stvar pri zaščiti finančnih organizacij je hitra in, če je mogoče, popolna obnova informacij po nesrečah in okvarah. Približno 60 % anketiranih finančnih institucij ima načrt sanacije, ki ga letno pregledajo več kot 80 % od njih. V bistvu je zaščita informacij pred uničenjem dosežena z ustvarjanjem varnostnih kopij in shranjevanjem navzven, z uporabo neprekinjenega napajanja in organiziranjem "vroče" rezerve strojne opreme.
Naslednji najpomembnejši problem finančnih institucij je upravljanje dostopa uporabnikov do shranjenih in obdelanih informacij. Tu se pogosto uporabljajo različni sistemi programske opreme za nadzor dostopa, ki včasih lahko nadomestijo protivirusno programsko opremo. Uporablja se večinoma kupljena programska oprema za nadzor dostopa. Poleg tega je v finančnih institucijah posebna pozornost namenjena takšnemu upravljanju uporabnikov v omrežju. Vendar so certificirane kontrole dostopa izjemno redke (3 %). To je mogoče razložiti z dejstvom, da je s certificirano programsko opremo težko delati in je zelo drago za delovanje. To je posledica dejstva, da so bili parametri certificiranja razviti ob upoštevanju zahtev za vojaške sisteme.
Razlike v organizaciji varovanja računalniških omrežij v finančnih organizacijah vključujejo široko uporabo standardne (tj. prilagojene, vendar ne posebej razvite za posamezno organizacijo) komercialne programske opreme za nadzor dostopa do omrežja (82 %), zaščito priključnih točk na sistem prek klicne komunikacije (69 %). Najverjetneje je to posledica večje razširjenosti telekomunikacij v finančnem sektorju in želje po zaščiti pred zunanjimi motnjami. Drugi načini zaščite, kot so uporaba protivirusnih orodij, end-to-end in kanalno šifriranje posredovanih podatkov, preverjanje pristnosti sporočil, se uporabljajo na približno enak način in v osnovi (z izjemo protivirusnih orodij) , v manj kot 50 % anketiranih organizacij.
Veliko pozornosti v finančnih institucijah namenjajo fizičnemu varovanju prostorov, v katerih se nahajajo računalniki (približno 40 %). To pomeni, da se zaščita računalnikov pred dostopom nepooblaščenih oseb ne rešuje le s pomočjo programske opreme, temveč tudi organizacijsko-tehnična (varnost, kombinacijske ključavnice ipd.).
Lokalno šifriranje informacij uporablja nekaj več kot 20 % finančnih institucij. Razlogi za to so zapletenost distribucije ključev, stroge zahteve za delovanje sistema, pa tudi potreba po hitri obnovi informacij v primeru okvar in okvar opreme.
Bistveno manj pozornosti v finančnih organizacijah namenjajo zaščiti telefonskih vodov (4 %) in uporabi računalnikov, zasnovanih za izpolnjevanje zahtev standarda Tempest (zaščita pred uhajanjem informacij preko elektromagnetnega sevanja in interferenčnih kanalov). V državnih organizacijah se veliko več pozornosti posveča reševanju problema preprečevanja sprejemanja informacij z uporabo elektromagnetnega sevanja in odjemalnikov.
Analiza statistike nam omogoča pomemben zaključek: zaščita finančnih organizacij (vključno z bankami) je zgrajena nekoliko drugače kot običajne komercialne in vladne organizacije. Zato za zaščito ASOIB ni mogoče uporabiti enakih tehničnih in organizacijskih rešitev, ki so bile razvite za standardne situacije. Ne morete brezglavo kopirati sistemov drugih ljudi - bili so razviti za druge pogoje.
Banke in vse z njimi
povezani – so bili vedno tarča za vse
vrsta prevarantov. V našem času ti
prevare, povezane z e-pošto
zločin. In sem kot oseba, ki
poskuša jih preprečiti, bi rad malo
osvetliti to vprašanje in razbiti mit o
osamljeni heker - prodira v bančništvo
sistema in prejme POPOLN dostop do njegovega
informacijski viri.
Za začetek razmislite
varnostno vprašanje
računalniški kompleks. Spodaj
razumeti varnost sistema -
sposobnost upiranja poskusom
prodor, nepooblaščen dostop, pridobivanje pravic in
privilegijev, pa tudi uničenje oz
izkrivljanje informacij. Največ smo
zanima notranja varnost, tj.
zagotavljanje delovanja sistema v
normalno delovanje in zagotavljanje integritete,
varnost in zaupnost
informacije.
Analiza seznama
obstoječe grožnje – je mogoče prepoznati
glavne usmeritve varovanja bančništva
sistemi:
Po ukvarjanju s čim
take varnosti in se odločili v
pomen vprašanja njegovega zagotavljanja, pojdimo naprej
na pokritost zaščitnih sredstev elektronskih
sistemi.
Za zaščitno opremo
vključuje programsko, strojno in
sistemi strojne in programske opreme.
Glede na svoje značilnosti
najbolj zanesljiv zaščitni sistem
izvajati samo strojno in strojno opremo -
programsko opremo. To je povezano z dejstvom
da so ti sistemi najpogosteje
specializirano, torej izvajalsko
določene funkcije, kar je super
prednost, ker zaščititi oz
test specializiran
naprava je veliko enostavnejša kot
univerzalna. Še ena prednost
specializirani sistemi so to
omogočajo fizično in logično
izolirajte bloke s kritično
informacije. Poleg tega programska oprema
sistemi strojne opreme zagotavljajo zanesljivost
zaščita pred spreminjanjem, brisanjem ali krajo
informacije sistemskih programerjev oz
visoko usposobljeno osebje.
Ponavadi v programski in strojni opremi
varnost
zagotovljena funkcija brisanja
skrivni podatki pri poskusu
fizični prodor v strojno opremo
del sistema.
Upoštevajoč tudi
ekonomska učinkovitost sistema
varnost, pogosteje uporabljena
samo programska orodja, ker cena
specializirani strojni moduli
dovolj visoko. Uporaba
programska orodja, dobite zelo
prilagodljiv, ki zagotavlja zadostno raven
zaščite, hkrati pa nepomembna
stroški vzdrževanja programske opreme
kompleksi, (v primerjavi s strojno opremo,
sistem. Še ena pomembna
prednost implementacije programske opreme
zaščita je možnost spreminjanja
v smeri zapletanja ali poenostavitve, v
odvisno od potreb po podpori
varnost.
S pomočjo programske opreme
sredstva je mogoče realizirati z naslednjim
zaščitne metode:
Glavna pomanjkljivost
zaščitni sistemi, zgrajeni samo na podlagi
programski sistemi, je
možnost njihove analize v NSD. V
kar ni mogoče izključiti
možnost razvoja metod
premagovanje kompleksa programskih orodij
varnost oz
modifikacije.
Se nadaljuje…
Bančništvo je bilo vedno povezano z obdelavo in shranjevanjem velike količine zaupnih podatkov. Najprej so to osebni podatki o strankah, o njihovih depozitih in o vseh izvedenih transakcijah.
Vse komercialne informacije, ki jih hranijo in obdelujejo kreditne institucije, so izpostavljene številnim tveganjem, povezanim z virusi, okvaro strojne opreme, okvarami operacijskega sistema itd. Toda te težave ne morejo povzročiti resne škode. Vsakodnevno varnostno kopiranje podatkov, brez katerega je delovanje informacijskega sistema katerega koli podjetja nepredstavljivo, zmanjša tveganje nepopravljive izgube informacij na minimum. Poleg tega so dobro razvite in splošno znane metode zaščite pred temi grožnjami. Zato prihajajo v ospredje tveganja, povezana z nepooblaščenim dostopom do zaupnih informacij (UAI).
Nepooblaščen dostop je realnost
Do danes so najpogostejši trije načini kraje zaupnih informacij. Prvič, fizični dostop do krajev njegovega shranjevanja in obdelave. Tukaj je veliko možnosti. Napadalci lahko na primer ponoči vdrejo v bančno pisarno in ukradejo trde diske z vsemi bazami podatkov. Možen je celo oborožen napad, katerega namen ni denar, ampak informacija. Možno je, da lahko bančni uslužbenec sam odnese medij za shranjevanje iz ozemlja.
Drugič, uporaba varnostnih kopij. V večini bank sistemi za varnostno kopiranje pomembnih podatkov temeljijo na tračnih pogonih. Kopije, ki jih ustvarijo, posnamejo na magnetne trakove, ki so nato shranjene na ločenem mestu. Dostop do njih je urejen veliko bolj nežno. Med prevozom in skladiščenjem jih lahko naredi kopije relativno veliko ljudi. Tveganja, povezana z varnostnim kopiranjem občutljivih podatkov, ni mogoče podcenjevati. Večina strokovnjakov je na primer prepričana, da so bile baze podatkov objav Centralne banke Ruske federacije, ki so se pojavile v prodaji leta 2005, ukradene prav zaradi kopij, vzetih z magnetnih trakov. V svetovni praksi je takšnih incidentov veliko. Septembra lani so na primer zaposleni v podjetju Chase Card Services (oddelka JPMorgan Chase & Co.), ponudnika kreditnih kartic, pomotoma zavrgli pet varnostnih trakov s podatki o 2,6 milijona imetnikov kreditnih računov Circuit City.
Tretjič, najverjetnejši način uhajanja zaupnih informacij je nepooblaščen dostop bančnih uslužbencev. Pri uporabi le standardnih operacijskih sistemskih orodij za ločevanje pravic imajo uporabniki pogosto možnost, da posredno (s pomočjo določene programske opreme) v celoti kopirajo baze podatkov, s katerimi delajo, in jih odnesejo izven podjetja. Včasih zaposleni to počnejo brez zlonamerne namere, samo zato, da bi doma delali z informacijami. Takšna dejanja pa so resna kršitev varnostne politike in lahko postanejo (in postanejo!) razlog za razkritje zaupnih podatkov.
Poleg tega je v kateri koli banki skupina ljudi s povišanimi privilegiji v lokalnem omrežju. Govorimo o sistemskih skrbnikih. Po eni strani ga potrebujejo za opravljanje svojih uradnih dolžnosti. Po drugi strani pa imajo možnost pridobiti dostop do kakršnih koli informacij in »zakriti svoje sledi«.
Tako bi moral sistem za zaščito bančnih informacij pred nepooblaščenim dostopom sestavljati vsaj trije podsistemi, od katerih vsak zagotavlja zaščito pred lastno vrsto groženj. To so podsistem za zaščito pred fizičnim dostopom do podatkov, podsistem za zagotavljanje varnosti varnostnih kopij in podsistem za zaščito pred notranjimi informacijami. Priporočljivo je, da nobene od njih ne zanemarite, saj lahko vsaka grožnja povzroči razkritje zaupnih podatkov.
Banke zakon ni napisan?
Trenutno dejavnosti bank ureja zvezni zakon "O bankah in bančni dejavnosti". Med drugim uvaja pojem »bančne tajnosti«. Po njem je vsaka kreditna institucija dolžna zagotoviti zaupnost vseh podatkov o depozitih strank. Odgovorno je za njihovo razkritje, vključno z odškodnino za škodo, ki je nastala zaradi uhajanja informacij. Hkrati ni nobenih zahtev za varnost bančnih informacijskih sistemov. To pomeni, da banke vse odločitve o varovanju komercialnih podatkov sprejemajo same, na podlagi izkušenj svojih strokovnjakov ali tretjih podjetij (na primer tistih, ki izvajajo revizije informacijske varnosti). Edino priporočilo je standard Centralne banke Ruske federacije "Zagotavljanje informacijske varnosti organizacij bančnega sistema Ruske federacije. Splošne določbe". Prvič se je pojavil leta 2004, leta 2006 pa je bila sprejeta nova različica. Pri izdelavi in dokončanju tega oddelčnega dokumenta so bili uporabljeni trenutni ruski in mednarodni standardi na področju informacijske varnosti.
Centralna banka Ruske federacije ga lahko samo priporoča drugim bankam, ne more pa vztrajati pri obveznem izvajanju. Poleg tega je v standardu malo jasnih zahtev, ki določajo izbiro določenih izdelkov. Vsekakor je pomemben, a trenutno nima resnega praktičnega pomena. Na primer, o certificiranih izdelkih piše takole: "...uporablja se lahko certificirana ali pooblaščena sredstva za zaščito informacij pred nepooblaščenim dostopom." Ni ustreznega seznama.
Standard navaja tudi zahteve za kriptografska sredstva za zaščito informacij v bankah. In tukaj je že bolj ali manj jasna definicija: "CIPF ... je treba izvajati na podlagi algoritmov, ki so v skladu z nacionalnimi standardi Ruske federacije, pogoji pogodbe z nasprotno stranko in (ali) standardi organizacije." Skladnost kriptografskega modula z GOST 28147-89 je mogoče potrditi s certificiranjem. Zato je pri uporabi šifrirnih sistemov v banki zaželeno uporabljati kripto ponudnike programske ali strojne opreme, ki jih certificira Zvezna varnostna služba Ruske federacije, torej zunanje module, ki se povezujejo s programsko opremo in izvajajo sam postopek šifriranja.
Julija lani je bil sprejet zvezni zakon Ruske federacije "O osebnih podatkih", ki je začel veljati 1. januarja 2007. Nekateri strokovnjaki so s tem povezovali nastanek bolj specifičnih zahtev za bančne varnostne sisteme, saj so banke organizacije, ki obdelujejo osebne podatke. Vendar se sam zakon, ki je na splošno vsekakor zelo pomemben, trenutno v praksi ne velja. Problem je v pomanjkanju standardov za varstvo zasebnih podatkov in organov, ki bi lahko nadzorovali njihovo izvajanje. Se pravi, izkaže se, da lahko banke trenutno svobodno izberejo sisteme za zaščito komercialnih informacij.
Zaščita fizičnega dostopa
Banke tradicionalno dajejo velik poudarek fizični varnosti poslovnih pisarn, skrbnikov in podobno. Vse to zmanjšuje tveganje nepooblaščenega dostopa do komercialnih informacij prek fizičnega dostopa. Vendar se pisarne bank in tehnični prostori, kjer so strežniki, praviloma ne razlikujejo po stopnji zaščite od pisarn drugih podjetij. Zato je za minimiziranje opisanih tveganj nujno uporabiti sistem kriptografske zaščite.
Danes je na trgu veliko število pripomočkov, ki šifrirajo podatke. Vendar pa posebnosti njihove obdelave v bankah nalagajo dodatne zahteve za ustrezno programsko opremo. Najprej je treba v sistemu kriptografske zaščite implementirati načelo transparentnega šifriranja. Pri uporabi so podatki v glavnem pomnilniku vedno samo v kodirani obliki. Poleg tega vam ta tehnologija omogoča zmanjšanje stroškov rednega dela s podatki. Ni jih treba vsak dan dešifrirati in šifrirati. Dostop do informacij se izvaja s posebno programsko opremo, nameščeno na strežniku. Samodejno dešifrira informacije, ko se do njih dostopa, in jih šifrira, preden se zapišejo na trdi disk. Te operacije se izvajajo neposredno v RAM-u strežnika.
Drugič, bančne baze podatkov so zelo velike. Tako bi moral kriptografski sistem zaščite informacij delovati ne z navideznimi, ampak z resničnimi particijami trdega diska, nizi RAID in drugimi strežniškimi pomnilniškimi mediji, na primer shrambami SAN. Dejstvo je, da datoteke vsebnikov, ki jih je mogoče povezati s sistemom kot navidezni diski, niso zasnovane za delo z velikimi količinami podatkov. V primeru, da je virtualni disk, ustvarjen iz takšne datoteke, velik, ko do njega dostopa celo več ljudi hkrati, lahko opazite znatno zmanjšanje hitrosti branja in pisanja informacij. Delo več deset ljudi z veliko datoteko zabojnika se lahko spremeni v pravo muko. Zavedajte se tudi, da so ti predmeti v nevarnosti, da jih poškodujejo virusi, zrušitve datotečnega sistema itd. Navsezadnje so to navadne datoteke, vendar precej velike. In celo majhna sprememba lahko privede do nemogoče dekodiranja vseh informacij, ki jih vsebuje. Obe obvezni zahtevi bistveno zožita nabor izdelkov, primernih za izvajanje zaščite. Pravzaprav je danes na ruskem trgu le nekaj takšnih sistemov.
Tehničnih lastnosti strežniških sistemov za zaščito kriptografskih informacij ni treba podrobneje obravnavati, saj smo te izdelke primerjali že v eni od prejšnjih številk. ( Stolyarov N., Davletkhanov M. UTM-zaščita.) Vendar je treba omeniti nekatere značilnosti takšnih sistemov, katerih prisotnost je za banke zaželena. Prva je povezana z že omenjenim certificiranjem uporabljenega kriptografskega modula. Ustrezna programska ali strojna oprema je že na voljo v večini bank. Zato bi moral sistem zaščite informacij strežnika zagotoviti možnost njihove povezave in uporabe. Druga posebna zahteva za informacijsko varnostni sistem je zmožnost integracije v sistem fizičnega varovanja pisarne in/ali strežniške sobe. To vam omogoča zaščito informacij pred nepooblaščenim dostopom, povezanim s krajo, vdorom itd.
V bankah je treba posebno pozornost nameniti varnosti informacij, saj gre pravzaprav za denar strank. Zato mora biti zaščitni sistem opremljen s posebnimi lastnostmi, ki zmanjšajo tveganje njegove izgube. Ena najbolj opaznih je funkcija določanja slabih sektorjev na trdem disku. Poleg tega je zelo pomembna možnost zaustavitve in preklica procesov začetnega šifriranja diska, njegovega dešifriranja in ponovnega šifriranja. To so precej dolgotrajni postopki, pri katerih vsaka neuspeh grozi s popolno izgubo vseh podatkov.
Človeški dejavnik ima zelo velik vpliv na tveganja, povezana z nepooblaščenim dostopom do zaupnih informacij. Zato je zaželeno, da sistem zaščite predvideva možnost zmanjšanja tega razmerja. To dosežemo z uporabo zanesljivih sredstev za shranjevanje šifrirnih ključev – pametnih kartic ali USB ključev. Vključitev teh žetonov v izdelek je optimalna, omogoča ne le optimizacijo stroškov, ampak tudi zagotavlja popolno združljivost programske in strojne opreme.
Druga pomembna funkcija, ki omogoča zmanjšanje vpliva človeškega faktorja na zanesljivost zaščitnega sistema, je kvorum ključev. Njegovo bistvo je v razdelitvi šifrirnega ključa na več delov, od katerih je vsak dan v uporabo enemu odgovornemu zaposlenemu. Za priključitev zaprtega diska je potrebno določeno število delov. Poleg tega je lahko manjše od skupnega števila delov ključa. Ta pristop vam omogoča, da zaščitite podatke pred zlorabo s strani odgovornih zaposlenih, zagotavlja pa tudi fleksibilnost, ki je potrebna za delo banke.
Varnostna zaščita
Redno varnostno kopiranje vseh podatkov, shranjenih v banki, je nujno potreben ukrep. Omogoča vam znatno zmanjšanje izgub v primeru težav, kot so poškodbe podatkov zaradi virusov, okvare strojne opreme itd. Toda hkrati povečuje tveganja, povezana z nepooblaščenim dostopom. Praksa kaže, da medijev, na katerih so zapisane varnostne kopije, ne smemo hraniti v strežniškem prostoru, temveč v drugi sobi ali celo stavbi. V nasprotnem primeru se lahko v primeru požara ali drugega resnega incidenta nepovratno izgubijo tako sami podatki kot njihov arhiv. Edini način za varno zaščito varnostnih kopij pred nepooblaščeno uporabo je kriptografija. V tem primeru lahko varnostnik varno prenese medij z arhivi tehničnemu osebju, če pri sebi obdrži šifrirni ključ.
Glavna težava pri organizaciji kriptografske zaščite varnostnih kopij je potreba po ločevanju odgovornosti za upravljanje arhiviranja podatkov. Skrbnik sistema ali drug tehnični uslužbenec naj sam konfigurira in izvaja postopek varnostnega kopiranja. Šifriranje informacij bi moral upravljati odgovoren uslužbenec – varnostnik. Hkrati je treba razumeti, da se v veliki večini primerov rezervacija izvede samodejno. To težavo je mogoče rešiti le z "vgradnjo" kriptografskega zaščitnega sistema med sistem za upravljanje varnostnih kopij in napravami, ki snemajo podatke (strimerji, DVD pogoni itd.).
Tako morajo biti kriptografski izdelki za uporabo v bankah sposobni delati tudi z različnimi napravami, ki se uporabljajo za zapisovanje varnostnih kopij na pomnilniške medije: streamerji, CD in DVD pogoni, izmenljivi trdi diski itd.
Danes obstajajo tri vrste izdelkov, ki so zasnovani tako, da zmanjšajo tveganja, povezana z nepooblaščenim dostopom do varnostnih kopij. Prva vključuje posebne naprave. Takšne strojne rešitve imajo številne prednosti, vključno z zanesljivim šifriranjem informacij in visoko hitrostjo. Vendar imajo tri pomembne pomanjkljivosti, ki preprečujejo njihovo uporabo v bankah. Prvič: zelo visoki stroški (deset tisoč dolarjev). Drugič: možne težave z uvozom v Rusijo (ne smemo pozabiti, da govorimo o kriptografskih orodjih). Tretja slabost je nezmožnost povezave z njimi zunanjih certificiranih ponudnikov kriptovalut. Te plošče delujejo samo z algoritmi šifriranja, ki so v njih implementirani na ravni strojne opreme.
Drugo skupino zaščitnih sistemov za kriptografsko zaščito varnostnih kopij sestavljajo moduli, ki jih razvijalci programske in strojne opreme za varnostno kopiranje ponujajo svojim strankam. Obstajajo za vse najbolj znane izdelke na tem področju: ArcServe, Veritas Backup Exec itd. Res je, da imajo tudi svoje značilnosti. Najpomembneje je, da delate samo s "svoje" programsko opremo ali pogonom. Medtem se informacijski sistem banke nenehno razvija. Možno je, da bo zamenjava ali razširitev varnostnega sistema zahtevala dodatne stroške za spreminjanje zaščitnega sistema. Poleg tega večina izdelkov v tej skupini izvaja stare algoritme počasnega šifriranja (na primer 3DES), ni orodij za upravljanje ključev in ni možnosti povezovanja zunanjih ponudnikov kriptovalut.
Vse to nas sili, da smo zelo pozorni na kriptografske zaščitne sisteme varnostnih kopij iz tretje skupine. Vključuje posebej zasnovano programsko, strojno in strojno opremo, ki niso vezani na posebne sisteme za arhiviranje podatkov. Podpirajo široko paleto naprav za zapisovanje informacij, kar omogoča njihovo uporabo v celotni banki, vključno z vsemi njenimi poslovalnicami. To zagotavlja enotnost uporabljenih zaščitnih sredstev in minimiziranje obratovalnih stroškov.
Res je, omeniti velja, da je kljub vsem njihovim prednostim na trgu zelo malo izdelkov iz tretje skupine. To je najverjetneje posledica pomanjkanja velikega povpraševanja po kriptografskih varnostnih sistemih za zaščito. Takoj ko bo vodstvo bank in drugih velikih organizacij spoznalo realnost tveganj, povezanih z arhiviranjem komercialnih informacij, se bo število akterjev na tem trgu povečalo.
Notranja zaščita
Nedavne raziskave na področju informacijske varnosti, kot je letna raziskava CSI/FBI Computer Crime And Security Survey, so pokazale, da se finančne izgube podjetij zaradi večine groženj iz leta v leto zmanjšujejo. Vendar pa obstaja več tveganj, zaradi katerih se izgube povečujejo. Ena izmed njih je namerna kraja zaupnih informacij ali kršitev pravil ravnanja z njimi s strani tistih zaposlenih, katerih dostop do poslovnih podatkov je nujen za opravljanje njihovih nalog. Imenujejo se insajderji.
V veliki večini primerov se kraja zaupnih informacij izvaja z mobilnimi mediji: CD-ji in DVD-ji, ZIP naprave in, kar je najpomembneje, vse vrste USB-pogonov. Prav njihova množična distribucija je privedla do razcveta trgovanja z notranjimi informacijami po vsem svetu. Vodje večine bank se dobro zavedajo, kaj grozi, na primer, če baza podatkov z osebnimi podatki njihovih strank ali, poleg tega, transakcijami na njihovih računih, pade v roke kriminalnih struktur. In proti morebitni kraji informacij se poskušajo boriti z organizacijskimi metodami, ki so jim na voljo.
Vendar so organizacijske metode v tem primeru neučinkovite. Danes je mogoče organizirati prenos informacij med računalniki s pomočjo miniaturnega bliskovnega pogona, mobilnega telefona, mp3 predvajalnika, digitalnega fotoaparata ... Seveda lahko poskusite prepovedati vnašanje vseh teh naprav v pisarno, vendar bo to, prvič, negativno vplivalo na odnose z zaposlenimi , in drugič, še vedno je zelo težko vzpostaviti resnično učinkovit nadzor nad ljudmi - banka ni "poštni predal". In tudi onemogočanje vseh naprav na računalnikih, ki jih je mogoče uporabiti za zapisovanje informacij na zunanje medije (pogoni FDD in ZIP, pogoni CD in DVD itd.) in vrata USB ne bo pomagalo. Navsezadnje so prvi potrebni za delo, na slednje pa so priključene različne zunanje naprave: tiskalniki, skenerji itd. In nihče ne more preprečiti osebi, da za minuto izklopi tiskalnik, v izpraznjena vrata vstavi bliskovni pogon in vanjo kopira pomembne informacije. Seveda lahko najdete izvirne načine zaščite. Na primer, v eni banki so poskusili to metodo reševanja težave: stičišče vrat USB in kabla so napolnili z epoksi smolo, slednjega pa tesno "privezali" na računalnik. Toda na srečo danes obstajajo bolj sodobne, zanesljive in prilagodljive metode nadzora.
Najučinkovitejše sredstvo za zmanjšanje tveganj, povezanih z notranjimi osebami, je posebna programska oprema, ki dinamično upravlja vse naprave in računalniška vrata, ki jih je mogoče uporabiti za kopiranje informacij. Načelo njihovega dela je naslednje. Dovoljenja za uporabo različnih vrat in naprav so nastavljena za vsako skupino uporabnikov ali za vsakega uporabnika posebej. Največja prednost takšne programske opreme je prilagodljivost. Vnesete lahko omejitve za določene vrste naprav, njihove modele in posamezne primerke. To vam omogoča izvajanje zelo zapletenih politik za distribucijo pravic dostopa.
Nekaterim zaposlenim lahko na primer dovolite uporabo vseh tiskalnikov in optičnih bralnikov, povezanih z vrati USB. Vse druge naprave, vstavljene v ta vrata, bodo ostale nedostopne. Če banka uporablja sistem za preverjanje pristnosti uporabnikov na podlagi žetonov, lahko v nastavitvah določite uporabljeni model ključa. Takrat bodo uporabniki lahko uporabljali le naprave, ki jih je kupilo podjetje, vse ostale pa bodo neuporabne.
Na podlagi zgoraj opisanega načela delovanja zaščitnih sistemov lahko razumete, katere točke so pomembne pri izbiri programov, ki izvajajo dinamično blokiranje snemalnih naprav in računalniških vrat. Prvič, to je vsestranskost. Zaščitni sistem naj pokriva celotno paleto možnih vrat in naprav za vnos-izhod informacij. V nasprotnem primeru ostaja tveganje kraje komercialnih informacij nesprejemljivo veliko. Drugič, zadevna programska oprema bi morala biti prilagodljiva in omogočati ustvarjanje pravil z uporabo velike količine različnih informacij o napravah: njihovih vrstah, proizvajalcih modelov, edinstvenih številkah, ki jih ima vsak primerek itd. In tretjič, sistem zaščite notranjih informacij bi moral biti sposoben integrirati z informacijskim sistemom banke, zlasti z Active Directory. V nasprotnem primeru bo moral skrbnik oziroma varnostnik vzdrževati dve bazi podatkov uporabnikov in računalnikov, kar ni le neprijetno, ampak povečuje tudi tveganje za napake.
Povzetek
Tako so danes na trgu izdelki, s pomočjo katerih lahko vsaka banka organizira zanesljiv sistem za zaščito informacij pred nepooblaščenim dostopom in zlorabo. Res je, pri njihovi izbiri morate biti zelo previdni. V idealnem primeru bi to morali opraviti notranji strokovnjaki ustrezne ravni. Dovoljena je uporaba storitev tretjih oseb. Vendar pa je v tem primeru možna situacija, ko bo banka spretno vsiljena ne z ustrezno programsko opremo, temveč s tisto, ki je koristna za dobaviteljsko podjetje. Poleg tega je domači trg svetovanja za informacijsko varnost v povojih.
Medtem pa narediti pravo izbiro sploh ni težko. Dovolj je, da se oborožite s kriteriji, ki smo jih navedli, in natančno preučite trg varnostnih sistemov. Vendar pa obstaja "pasti", ki si jo je treba zapomniti. V idealnem primeru bi moral biti sistem varovanja informacij banke poenoten. To pomeni, da morajo biti vsi podsistemi integrirani v obstoječi informacijski sistem in po možnosti imeti skupno upravljanje. V nasprotnem primeru so povečani stroški dela za administracijo zaščite in povečana tveganja zaradi napak pri upravljanju neizogibna. Zato je za izgradnjo vseh treh danes opisanih zaščitnih podsistemov bolje izbrati izdelke, ki jih izda en razvijalec. Danes v Rusiji obstajajo podjetja, ki ustvarjajo vse potrebno za zaščito bančnih informacij pred nepooblaščenim dostopom.
In informacijska varnost bank se začne z revizijo. Revizija kibernetske varnosti lahko banki ne le da pravico do izvajanja določenih vrst dejavnosti, temveč pokaže tudi slabosti v sistemih banke. Zato je treba k odločitvi za izvedbo in izbrati obliko revizije pristopiti previdno.
V skladu z zveznim zakonom z dne 30. decembra 2008 št. 307-FZ "O revidiranju" je revizija "neodvisno preverjanje računovodskih (finančnih) izkazov revidirane osebe, da se izrazi mnenje o zanesljivosti takšnih izjav ."
Opredelitev pojma, omenjena v zakonu, nima nobene zveze s področjem informacijske varnosti. Vendar ga strokovnjaki za informacijsko varnost precej aktivno uporabljajo v govoru. V tem primeru se revizija nanaša na proces neodvisnega vrednotenja dejavnosti organizacije, sistema, procesa, projekta ali izdelka.
V različnih domačih predpisih se izraz »revizija varnosti informacij« ne uporablja vedno – pogosto ga nadomesti bodisi izraz »ocenjevanje skladnosti« ali pa nekoliko zastarel, a še vedno uporabljen izraz »attestacija«. Včasih se sreča z izrazom "certifikacija", vendar v povezavi z mednarodnimi tujimi predpisi.
Ne glede na to, kateri izraz je uporabljen, se v bistvu izvede revizija informacijske varnosti, da se preveri skladnost s predpisi oziroma veljavnost in varnost uporabljenih rešitev. V prvem primeru je nemogoče zavrniti izvedbo revizije, sicer bo to povzročilo kršitev zahtev predpisov in glob, prekinitev dejavnosti in druge oblike kazni. V drugem primeru je revizija prostovoljna, odločitev za njeno izvedbo pa sprejme organizacija sama.
Obvezna revizija se lahko izvede:
Prostovoljna revizija se lahko izvede iz katerega koli razloga: za preverjanje varnosti sistema oddaljenega bančništva, nadzor premoženja prevzete banke, preverjanje novo odprte poslovalnice itd. V tem primeru je nemogoče jasno začrtati meje, opisati oblike poročanja ali govoriti o pravilnosti revizije – vse to določa pogodba med revizorjem in revidirano organizacijo. Obrnimo se na oblike obvezne revizije, ki so pomembne za informacijsko varnost bank.
Popoln ruski analog mednarodnega standarda ISO / IEC 27001: 2005 - "GOST R ISO / IEC 27001-2006 - Informacijska tehnologija - Metode in sredstva za zagotavljanje varnosti. Sistemi upravljanja informacijske varnosti – zahteve.
V bistvu so ti standardi niz najboljših praks za upravljanje informacijske varnosti v velikih organizacijah. Majhne organizacije, vključno z bankami, ne morejo vedno v celoti izpolnjevati zahtev standarda. Kot vsak standard v Rusiji je tudi ISO 27001 prostovoljen dokument; vsaka banka se odloči, ali bo sprejela njegove pogoje ali ne. Toda ISO 27001 je usojen globalni standard in strokovnjaki v različnih državah ga uporabljajo kot univerzalno vodilo za vse, ki se ukvarjajo z informacijsko varnostjo.
ISO 27001 ima več subtilnih in redko omenjenih, a pomembnih točk.
Prvič, po tem standardu ni predmet revizije celotnega informacijskega varnostnega sistema banke, temveč le ena ali več komponent. Na primer sistem zaščite oddaljenega bančništva, sistem zaščite centrale banke ali sistem zaščite procesa upravljanja osebja. Z drugimi besedami, pridobitev certifikata o skladnosti za enega od procesov, ocenjenih kot del revizije, ne zagotavlja, da so drugi procesi v enakem stanju, ki je blizu idealnemu.
Druga točka je povezana z dejstvom, da je ISO 27001 univerzalni standard, torej uporaben za katero koli organizacijo in zato ne upošteva posebnosti panoge. To je pripeljalo do tega, da se v okviru mednarodne organizacije za standardizacijo ISO že dolgo govori o oblikovanju standarda ISO 27015, ki je prilagoditev ISO 27001/27002 finančni industriji. Banka Rusije aktivno sodeluje pri razvoju panožnega standarda. Že razvitemu projektu sta nasprotovali Visa in MasterCard. Visa meni, da je v projektu premalo informacij, ki so potrebne za finančno industrijo, na primer o plačilnih sistemih. Če pa se dodajo manjkajoče določbe, bo treba standard premakniti v drug odbor ISO. MasterCard predlaga ustavitev razvoja ISO 27015, pri čemer navaja dejstvo, da ima finančna industrija že dovolj dokumentov, ki urejajo področje informacijske varnosti.
Tretjič, številni predlogi na ruskem trgu ne govorijo o revizijah skladnosti, ampak o pripravi na revizijo. Dejstvo je, da ima le nekaj organizacij na svetu pravico do certificiranja skladnosti z zahtevami ISO 27001. In integratorji podjetjem le pomagajo pri izpolnjevanju zahtev standarda, kar bodo nato preverili uradni revizorji (registrarji, certifikacijski organi).
Medtem ko se razprava nadaljuje, ali naj banke izvajajo ISO 27001 ali ne, se nekateri pogumni ljudje za to odločijo in gredo skozi tri stopnje revizije skladnosti:
Kdo potrebuje ISO 27001 v Rusiji? Če standard ne obravnavamo le kot nabor najboljših praks, ki jih je treba izvajati tudi brez revizije, temveč tudi kot certifikacijski postopek, ki potrjuje skladnost banke z mednarodnimi varnostnimi zahtevami, je smiselno implementirati ISO 27001 bodisi za banke. ki so članice bančnih skupin, kjer je standard ISO 27001, ali banke, ki nameravajo vstopiti v mednarodno prizorišče. V drugih primerih presoja skladnosti z ISO 27001 in pridobitev certifikata najpogosteje ni potrebna. Toda samo za banko in samo v Rusiji, ker obstajajo domači standardi, ki temeljijo na ISO 27001. De facto je Banka Rusije do nedavnega izvajala inšpekcijske preglede natančno v skladu z zahtevami STO BR IBBS.
Ta standard, oziroma niz standardov, opisuje enoten pristop k izgradnji sistema informacijske varnosti za bančne organizacije ob upoštevanju zahtev ruske zakonodaje. Nabor dokumentov (v nadaljevanju STO BR IBBS) vključuje tri standarde in pet priporočil za standardizacijo. Temelji na ISO 27001 in drugih mednarodnih standardih za upravljanje informacijske tehnologije in informacijsko varnost. Vprašanja presoje in ocenjevanja skladnosti z zahtevami standarda, pa tudi za ISO 27001, so opredeljena v ločenih dokumentih:
Pri ugotavljanju skladnosti po STO BR IBBS se preverja izpolnjevanje 423 posameznih indikatorjev IS, ki so razdeljeni v 34 skupinskih kazalnikov. Rezultat ocene je končni kazalnik, ki mora biti na 4. ali 5. stopnji na petstopenjski lestvici, ki jo določi Banka Rusije. Ta podrobnost loči revizijo po STO BR IBBS od revizije po drugih predpisih s področja informacijske varnosti. STO BR IBBS ne pomeni »neskladnosti«, le stopnja skladnosti je lahko različna: od nič do pet. Samo stopnje nad 4 se štejejo za pozitivne.
Konec leta 2011 je 70-75 % bank uvedlo ali so v postopku izvajanja tega sklopa standardov. De jure je STO BR IBBS svetovalne narave, de facto pa je Banka Rusije do nedavnega izvajala inšpekcijske preglede natančno v skladu z zahtevami STO BR IBBS, čeprav pogoji nikoli nikjer niso bili izrecno navedeni. Razmere so se spremenile od 1. julija 2012, ko je začel veljati zakon "O nacionalnem plačilnem sistemu" in regulativni dokumenti vlade in Banke Rusije, ki so bili oblikovani za njegovo izvajanje. Od takrat se je na dnevni red vrnilo vprašanje potrebe po reviziji skladnosti z zahtevami STO BR IBBS.
Dejstvo je, da se metodologija ugotavljanja skladnosti, predlagana v okviru zakonodaje o nacionalnem plačilnem sistemu (NPS), in metodologija za ocenjevanje skladnosti s STO BR IBBS lahko v končnih vrednostih močno razlikujeta. Hkrati je postalo ocenjevanje po prvi metodi (za NPS) obvezno, medtem ko je ocenjevanje po STO BR IBBS še vedno de jure priporočilno. Sama Banka Rusije v času pisanja še ni odločila o usodi te ocene. Če so se prej vse niti zbližale v Glavnem direktoratu za varnost in varstvo informacij Banke Rusije (GUBZI), potem je z delitvijo pristojnosti med GUBZI in Oddelkom za ureditev poravnav (LHH) vprašanje ostalo odprto. Jasno je le, da zakonodajni akti o NPS zahtevajo obvezno ugotavljanje skladnosti, torej revizijo.
Izdana in odobrena 9. junija 2012 Uredba 382-P "O zahtevah za zagotavljanje varstva informacij pri nakazilih denarja in o postopku, da Banka Rusije izvaja nadzor nad izpolnjevanjem zahtev za zagotavljanje varstva informacij pri nakazilih denarja« zahteva v odstavku 2.15 obvezno oceno skladnosti, tj. revizijo. Ocenjevanje se izvaja neodvisno ali s sodelovanjem tretjih organizacij.
Metodologija ugotavljanja skladnosti v okviru 382-P je v bistvu podobna metodologiji ugotavljanja skladnosti za STO BR IBBS, vendar daje drugačne rezultate. To je posledica uvedbe posebnih korekcijskih faktorjev.
Uredba 382-P ne določa posebnih zahtev za organizacije, ki se ukvarjajo z revizijo. To vodi v nekaj protislovja z Uredbo vlade z dne 13. junija 2012 št. 584 "O varstvu informacij v plačilnem sistemu", ki prav tako zahteva organizacijo in izvajanje nadzora in ocenjevanja izpolnjevanja zahtev za varstvo informacij enkrat na 2 leti. . Vendar pa vladna uredba, ki jo je razvil FSTEC, zahteva, da zunanje revizije izvajajo samo organizacije z licenco za tehnično varstvo zaupnih informacij.
Dodatne zahteve, ki bankam nalagajo nove obveznosti, so navedene v oddelku 2.16 Uredbe 382-P. V skladu z zahtevami je operater plačilnega sistema dolžan razvijati, banke, ki so se vključile v plačilni sistem, pa so dolžne upoštevati zahteve za redno obveščanje operaterja plačilnega sistema o različnih vprašanjih informacijske varnosti v banki, med drugim:
FZ-161 o NPS tudi določa, da poleg revizije na pogodbeni podlagi nadzor in nadzor nad izpolnjevanjem zahtev 584. resolucije in 382. uredbe izvajajo FSB, FSTEC oziroma Banka Rusije. . V času pisanja tega pisanja niti FSTEC niti FSB nista imela razvitega postopka za izvajanje nadzora. Za razliko od Banke Rusije, ki je izdala dva dokumenta:
1. julija 2012 je Banka Rusije začela s testiranjem in zbiranjem dejstev o praksi kazenskega pregona predpisov na področju varstva informacij v nacionalnem plačilnem sistemu.
PCI DSS - Standard Payment Card Industry Data Security - standard varnosti podatkov plačilnih kartic. Razvil ga je Svet za varnostne standarde industrije plačilnih kartic (PCI SSC), ki so ga ustanovili mednarodni plačilni sistemi Visa, MasterCard, American Express, JCB in Discover.
Standard PCI DSS predstavlja nabor 12 na visoki ravni in več kot 200 podrobnih zahtev za zagotavljanje varnosti podatkov o imetnikih plačilnih kartic, ki se prenašajo, hranijo in obdelujejo v informacijskih sistemih organizacij. Zahteve standarda veljajo za vsa podjetja, ki delajo z mednarodnimi plačilnimi sistemi Visa in MasterCard. Glede na število obdelanih transakcij je vsakemu podjetju dodeljena raven, za vsako raven - svoj nabor zahtev. Ravni za vsak plačilni sistem so različne.
Preverjanje skladnosti s pogoji standarda PCI DSS se izvaja v okviru obveznega certificiranja, za katerega se zahteve razlikujejo glede na vrsto preverjanega podjetja: trgovec, ki sprejema kartice za plačilo blaga in storitev, ali dobavitelj, ki zagotavlja storitve trgovcem, bankam – prevzemnikom, izdajateljem itd. (procesni centri, plačilni prehodi). Ocenjevanje se izvaja v različnih oblikah:
Drug regulativni dokument, ki je pomemben za bančno industrijo in določa zahteve za ugotavljanje skladnosti, je zvezni zakon "O osebnih podatkih". Vendar še niso ugotovljene niti oblika niti pogostost revizije niti zahteve za organizacijo, ki izvaja revizijo. Morda bo to vprašanje rešeno jeseni 2012, ko bo izšel del vladnih dokumentov, FSTEC in FSB, ki uvajajo nove standarde na področju varstva osebnih podatkov. Medtem ko banke samostojno določajo značilnosti revizije varstva osebnih podatkov.
Nadzor in nadzor nad izvajanjem organizacijskih in tehničnih ukrepov za zagotavljanje varnosti osebnih podatkov, določenih z 19. členom zakona 152-FZ, izvajata FSB in FSTEC. Toda to velja samo za državne informacijske sisteme osebnih podatkov. Doslej po zakonu ni nihče, ki bi izvajal nadzor nad gospodarskimi organizacijami na področju zagotavljanja informacijske varnosti osebnih podatkov. Česa ne moremo reči o varstvu pravic posameznikov, na katere se nanašajo osebni podatki, torej strank, nasprotnih strank in samo obiskovalcev banke. To nalogo je prevzel Roskomnadzor, ki aktivno izvaja nadzorne funkcije in v bankah vidi zlonamerne kršitelje zakona o osebnih podatkih.
Vsak od glavnih predpisov določa svoje zahteve za ugotavljanje skladnosti v takšni ali drugačni obliki: od samoocenjevanja v obliki izpolnjevanja vprašalnikov (PCI DSS) do opravljanja obvezne revizije enkrat na dve leti (382-P) ali enkrat na leto (ISO 27001). Obstajajo tudi druge oblike ocenjevanja skladnosti: obvestila operaterja plačilnega sistema, četrtletna skeniranja itd.
Po drugi strani pa država še vedno nima enotnega sistema pogledov ne le na državno ureditev revizije informacijske varnosti organizacij in sistemov informacijske tehnologije, temveč tudi na samo temo revizije informacijske varnosti. Za informacijsko varnost v Rusiji so odgovorni številni oddelki in organizacije: FSTEC, FSB, Banka Rusije, Roskomnadzor, PCI SSC in drugi. Vsi delujejo na podlagi lastnih predpisov in smernic. Različni pristopi, različni standardi, različna zrelost... Vse to ovira vzpostavitev enotnih pravil igre.
Sliko kvari tudi pojav enodnevnih podjetij, ki v iskanju dobička ponujajo nekvalitetne storitve na področju ocenjevanja izpolnjevanja zahtev informacijske varnosti. In situacija se verjetno ne bo spremenila na bolje. Ko se bo pojavila potreba, se bodo našli tisti, ki jo bodo želeli zadovoljiti, medtem ko kvalificiranih revizorjev preprosto ni dovolj za vse. Z majhnim številom revizij (glej infografiko) in trajanjem revizije od nekaj tednov do več mesecev je jasno, da zahteva za revizijo resno presega zmožnosti revizorjev.
V "Konceptu revizije informacijske varnosti sistemov in organizacij informacijske tehnologije", ki ga FSTEC ni sprejel, je bil naslednji stavek:
"...ob odsotnosti potrebnih nacionalnih regulatorjev lahko takšna dejavnost [neregulirane revizije zasebnih podjetij] povzroči nepopravljivo škodo organizacijam."
Avtorji koncepta so predlagali poenotenje pristopov k revidiranju in pravno določitev pravil igre, vključno s pravili za akreditacijo revizorjev, zahtevami za kvalifikacijo in postopkom za izvedbo revizije. Toda stvari še vedno obstajajo. Čeprav glede na pozornost, da domači regulatorji na področju informacijske varnosti, a teh je le devet, namenjajo problematiki informacijske varnosti, je možno, da bo tema kmalu spet aktualna. Samo v preteklem koledarskem letu je bilo sprejetih oziroma izdelanih 52 podzakonskih aktov s področja informacijske varnosti in en podzakonski akt na teden!
V sedanjih razmerah moramo žal priznati, da je glavni cilj revizije informacijske varnosti banke - povečanje zaupanja v njene dejavnosti - v Rusiji nedosegljiv. Nekaj ruskih strank banke je pozorno na raven varnosti ali rezultate revizije, opravljene v banki. Na revizijo se pristopi bodisi v primeru zelo resnega incidenta z resno materialno škodo za banko (njene delničarje in lastnike) bodisi v primeru zakonskih zahtev.
Zahteva št. 1, za katero se je vredno obrniti na varnostno revizijo, je določba Banke Rusije 382-P. Podatki o stopnji zaščite bank in izpolnjevanju zahtev 382-P, ki se zahtevajo od teritorialnih oddelkov Centralne banke, so pridobljeni prav na podlagi zunanje revizije ali samoocenjevanja.
Na drugem mestu je revizija skladnosti z zahtevami zakona "O osebnih podatkih". Toda takšno revizijo je vredno izvesti ne prej kot v trenutku, ko so izdani vsi dokumenti, ki sta jih obljubila FSTEC in FSB, in ko postane jasna usoda STO BR IBBS. Hkrati se lahko zastavi vprašanje izvajanja revizije skladnosti z zahtevami STO BR IBBS.
Uspešno opravljena revizija ne pomeni, da je z varnostjo v banki vse v redu. Obstaja veliko trikov, ki revidirani organizaciji omogočajo, da skrije pomanjkljivosti v varnostnem sistemu. Veliko je odvisno od usposobljenosti in neodvisnosti revizorjev. Izkušnje kažejo, da se tudi v organizacijah, ki so uspešno prestale presojo skladnosti s PCI DSS, ISO 27001 ali STO BR IBBS, dogajajo incidenti in resni incidenti.
Dmitry MARKIN, vodja oddelka za revizijo in svetovanje AMT-GROUP:
Do nedavnega so vprašanja o opravljanju obvezne revizije stanja informacijske varnosti za kreditne institucije v okviru ruske zakonodaje urejal le zvezni zakon-152 "O osebnih podatkih" v smislu notranjega nadzora nad ukrepi, sprejetimi za zagotovitev varnost PD, kot tudi uredba Centralne banke Ruske federacije št. 242-P "O organizaciji notranjega nadzora v kreditnih institucijah in bančnih skupinah". Poleg tega je v skladu z zahtevami Uredbe št. 242-P postopek za spremljanje zagotavljanja informacijske varnosti določen z internimi dokumenti kreditne institucije neodvisno brez sklicevanja na posebne zahteve za zagotavljanje informacijske varnosti. V zvezi z začetkom veljavnosti člena 27 Zveznega zakona-161 "O nacionalnem plačilnem sistemu", ki opredeljuje zahteve za zaščito informacij v plačilnem sistemu, je Uredba vlade Ruske federacije št. 584 "O odobritvi uredbe o varstvu informacij v plačilnem sistemu" in uredbe Centralne banke RF №382-P. V skladu z zahtevami Uredbe št. 584 in Uredbe št. 382-P je treba varovanje informacij v plačilnem sistemu izvajati v skladu z zahtevami teh predpisov in zahtevami, ki jih operaterji plačilnega sistema vključijo v pravila plačilnega prometa. sistemi. Ključna točka pri tem je konsolidacija na ravni nacionalne zakonodaje pravice operaterjev plačilnih sistemov (na primer Visa in MasterCard), da samostojno določajo zahteve za varstvo informacij. Uredba št. 382-P določa tudi obveznost kreditnih institucij, da vsaj enkrat na 2 leti ocenijo izpolnjevanje zahtev za zagotavljanje informacijske varnosti, jasno so opredeljena metodologija ocenjevanja skladnosti, merila revizije in postopek dokumentiranja njenih rezultatov. Po našem mnenju bi pojav zgornjih predpisov moral povečati statistiko kreditnih institucij, ki se certificirajo v skladu z zahtevami standarda varnosti podatkov industrije plačilnih kartic PCI DSS 2.0, ki je bil razvit s sodelovanjem vodilnih mednarodnih plačilnih sistemov Visa in MasterCard.
