In informacijska varnost bank se začne z revizijo. Revizija kibernetske varnosti lahko banki ne le da pravico do izvajanja določenih vrst dejavnosti, temveč pokaže tudi slabosti v sistemih banke. Zato je treba k odločitvi za izvedbo in izbrati obliko revizije pristopiti previdno.
V skladu z zveznim zakonom z dne 30. decembra 2008 št. 307-FZ "O revidiranju" je revizija "neodvisno preverjanje računovodskih (finančnih) izkazov revidirane osebe z namenom izraziti mnenje o zanesljivosti takšnih izjav ."
Opredelitev pojma, omenjena v zakonu, nima nobene zveze s področjem informacijske varnosti. Vendar ga strokovnjaki za informacijsko varnost precej aktivno uporabljajo v govoru. V tem primeru se revizija nanaša na proces neodvisnega vrednotenja dejavnosti organizacije, sistema, procesa, projekta ali izdelka.
V različnih domačih predpisih se izraz »revizija varnosti informacij« ne uporablja vedno – pogosto ga nadomesti bodisi izraz »ocenjevanje skladnosti« ali pa nekoliko zastarel, a še vedno uporabljen izraz »attestacija«. Včasih se sreča z izrazom "certifikacija", vendar v povezavi z mednarodnimi tujimi predpisi.
Ne glede na to, kateri izraz je uporabljen, se v bistvu izvede revizija informacijske varnosti, da se preveri skladnost s predpisi oziroma veljavnost in varnost uporabljenih rešitev. V prvem primeru je nemogoče zavrniti izvedbo revizije, sicer bo to povzročilo kršitev zahtev predpisov in glob, prekinitev dejavnosti in druge oblike kazni. V drugem primeru je revizija prostovoljna, odločitev za njeno izvedbo pa sprejme organizacija sama.
Obvezna revizija se lahko izvede:
Prostovoljna revizija se lahko izvede iz katerega koli razloga: za preverjanje varnosti sistema oddaljenega bančništva, nadzor premoženja prevzete banke, preverjanje novo odprte poslovalnice itd. V tem primeru je nemogoče jasno začrtati meje, opisati oblike poročanja ali govoriti o pravilnosti revizije – vse to določa pogodba med revizorjem in revidirano organizacijo. Obrnimo se na oblike obvezne revizije, ki so pomembne za informacijsko varnost bank.
Popoln ruski analog mednarodnega standarda ISO/IEC 27001:2005 — GOST R ISO/IEC 27001-2006 — Informacijska tehnologija — Varnostne metode in sredstva. Sistemi upravljanja informacijske varnosti - zahteve.
V bistvu so ti standardi niz najboljših praks za upravljanje informacijske varnosti v velikih organizacijah. Majhne organizacije, vključno z bankami, ne morejo vedno v celoti izpolnjevati zahtev standarda. Kot vsak standard v Rusiji je tudi ISO 27001 prostovoljen dokument; vsaka banka se odloči, ali bo sprejela njegove pogoje ali ne. Toda ISO 27001 je usojen globalni standard in strokovnjaki v različnih državah ga uporabljajo kot univerzalno vodilo za vse, ki se ukvarjajo z informacijsko varnostjo.
ISO 27001 ima več subtilnih in redko omenjenih, a pomembnih točk.
Prvič, po tem standardu ni predmet revizije celotnega informacijskega varnostnega sistema banke, temveč le ena ali več komponent. Na primer sistem zaščite oddaljenega bančništva, sistem zaščite centrale banke ali sistem zaščite procesa upravljanja osebja. Z drugimi besedami, pridobitev certifikata o skladnosti za enega od procesov, ocenjenih kot del revizije, ne zagotavlja, da so drugi procesi v enakem stanju, ki je blizu idealnemu.
Druga točka je povezana z dejstvom, da je ISO 27001 univerzalni standard, torej uporaben za katero koli organizacijo in zato ne upošteva posebnosti panoge. To je pripeljalo do tega, da se v okviru mednarodne organizacije za standardizacijo ISO že dolgo govori o oblikovanju standarda ISO 27015, ki je prenos ISO 27001/27002 za finančno industrijo. Banka Rusije aktivno sodeluje pri razvoju panožnega standarda. Že razvitemu projektu sta nasprotovali Visa in MasterCard. Visa meni, da je v projektu premalo informacij, ki so potrebne za finančno industrijo, na primer o plačilnih sistemih. Če pa se dodajo manjkajoče določbe, bo treba standard premakniti v drug odbor ISO. MasterCard predlaga ustavitev razvoja ISO 27015, pri čemer navaja dejstvo, da ima finančna industrija že dovolj dokumentov, ki urejajo področje informacijske varnosti.
Tretjič, številni predlogi na ruskem trgu ne govorijo o revizijah skladnosti, ampak o pripravi na revizijo. Dejstvo je, da ima le nekaj organizacij na svetu pravico do certificiranja skladnosti z zahtevami ISO 27001. In integratorji podjetjem le pomagajo izpolnjevati zahteve standarda, ki ga bodo nato preverjali uradni revizorji (registrarji, certifikacijski organi).
Medtem ko se razprava nadaljuje, ali naj banke izvajajo ISO 27001 ali ne, se nekateri pogumni ljudje za to odločijo in gredo skozi tri stopnje revizije skladnosti:
Kdo potrebuje ISO 27001 v Rusiji? Če standard ne obravnavamo le kot nabor najboljših praks, ki jih je treba izvajati tudi brez revizije, temveč tudi kot certifikacijski postopek, ki potrjuje skladnost banke z mednarodnimi varnostnimi zahtevami, je smiselno implementirati ISO 27001 bodisi za banke. ki so članice bančnih skupin, kjer je standard ISO 27001, ali banke, ki nameravajo vstopiti v mednarodno prizorišče. V drugih primerih presoja skladnosti z ISO 27001 in pridobitev certifikata najpogosteje ni potrebna. Toda samo za banko in samo v Rusiji, ker obstajajo domači standardi, ki temeljijo na ISO 27001. De facto je Banka Rusije do nedavnega izvajala inšpekcijske preglede natančno v skladu z zahtevami STO BR IBBS.
Ta standard, oziroma niz standardov, opisuje enoten pristop k izgradnji sistema informacijske varnosti za bančne organizacije ob upoštevanju zahtev ruske zakonodaje. Nabor dokumentov (v nadaljevanju STO BR IBBS) vključuje tri standarde in pet priporočil za standardizacijo. Temelji na ISO 27001 in drugih mednarodnih standardih za upravljanje informacijske tehnologije in informacijsko varnost. Vprašanja presoje in ocenjevanja skladnosti z zahtevami standarda, pa tudi za ISO 27001, so opredeljena v ločenih dokumentih:
Pri ugotavljanju skladnosti po STO BR IBBS se preverja izpolnjevanje 423 posameznih indikatorjev IS, ki so razdeljeni v 34 skupinskih kazalnikov. Rezultat ocene je končni kazalnik, ki mora biti na 4. ali 5. stopnji na petstopenjski lestvici, ki jo določi Banka Rusije. Ta podrobnost loči revizijo po STO BR IBBS od revizije po drugih predpisih s področja informacijske varnosti. STO BR IBBS ne pomeni »neskladnosti«, le stopnja skladnosti je lahko različna: od nič do pet. Samo stopnje nad 4 se štejejo za pozitivne.
Konec leta 2011 je 70-75 % bank uvedlo ali so v postopku izvajanja tega sklopa standardov. De jure je STO BR IBBS svetovalne narave, de facto pa je Banka Rusije do nedavnega izvajala inšpekcijske preglede natančno v skladu z zahtevami STO BR IBBS, čeprav pogoji nikoli nikjer niso bili izrecno navedeni. Razmere so se spremenile od 1. julija 2012, ko je začel veljati zakon "O nacionalnem plačilnem sistemu" in regulativni dokumenti vlade in Banke Rusije, ki so bili oblikovani za njegovo izvajanje. Od takrat se je na dnevni red vrnilo vprašanje potrebe po reviziji skladnosti z zahtevami STO BR IBBS.
Dejstvo je, da se metodologija ugotavljanja skladnosti, predlagana v okviru zakonodaje o nacionalnem plačilnem sistemu (NPS), in metodologija za ocenjevanje skladnosti s STO BR IBBS lahko v končnih vrednostih močno razlikujeta. Hkrati je postalo ocenjevanje po prvi metodi (za NPS) obvezno, medtem ko je ocenjevanje po STO BR IBBS še vedno de jure priporočilno. Sama Banka Rusije v času pisanja še ni odločila o usodi te ocene. Če so se prej vse niti zbližale v Glavnem direktoratu za varnost in varstvo informacij Banke Rusije (GUBZI), potem je z delitvijo pristojnosti med GUBZI in Oddelkom za ureditev poravnav (LHH) vprašanje ostalo odprto. Jasno je le, da zakonodajni akti o NPS zahtevajo obvezno ugotavljanje skladnosti, torej revizijo.
Izdana in odobrena 9. junija 2012 Uredba 382-P "O zahtevah za zagotavljanje varstva informacij pri nakazilih denarja in o postopku, da Banka Rusije izvaja nadzor nad izpolnjevanjem zahtev za zagotavljanje varstva informacij pri nakazilih denarja« zahteva v odstavku 2.15 obvezno oceno skladnosti, tj. revizijo. Ocenjevanje se izvaja neodvisno ali s sodelovanjem tretjih organizacij.
Metodologija ugotavljanja skladnosti v okviru 382-P je v bistvu podobna metodologiji ugotavljanja skladnosti za STO BR IBBS, vendar daje drugačne rezultate. To je posledica uvedbe posebnih korekcijskih faktorjev.
Uredba 382-P ne določa posebnih zahtev za organizacije, ki se ukvarjajo z revizijo. To vodi v nekaj protislovja z Uredbo vlade z dne 13. junija 2012 št. 584 "O varstvu informacij v plačilnem sistemu", ki prav tako zahteva organizacijo in izvajanje nadzora in ocenjevanja izpolnjevanja zahtev za varstvo informacij enkrat na 2 leti. . Vendar pa vladna uredba, ki jo je razvil FSTEC, zahteva, da zunanje revizije izvajajo samo organizacije z licenco za tehnično varstvo zaupnih informacij.
Dodatne zahteve, ki bankam nalagajo nove obveznosti, so navedene v oddelku 2.16 Uredbe 382-P. V skladu z zahtevami je operater plačilnega sistema dolžan razvijati, banke, ki so se vključile v plačilni sistem, pa so dolžne upoštevati zahteve za redno obveščanje operaterja plačilnega sistema o različnih vprašanjih informacijske varnosti v banki, med drugim:
FZ-161 o NPS tudi določa, da poleg revizije na pogodbeni podlagi nadzor in nadzor nad izpolnjevanjem zahtev 584. resolucije in 382. uredbe izvajajo FSB, FSTEC oziroma Banka Rusije. . V času pisanja tega pisanja niti FSTEC niti FSB nista imela razvitega postopka za izvajanje nadzora. Za razliko od Banke Rusije, ki je izdala dva dokumenta:
1. julija 2012 je Banka Rusije začela s testiranjem in zbiranjem dejstev o praksi kazenskega pregona predpisov na področju informacijske varnosti v nacionalnem plačilnem sistemu.
PCI DSS - Standard Payment Card Industry Data Security - standard varnosti podatkov plačilnih kartic. Razvil ga je Svet za varnostne standarde industrije plačilnih kartic (PCI SSC), ki so ga ustanovili mednarodni plačilni sistemi Visa, MasterCard, American Express, JCB in Discover.
Standard PCI DSS predstavlja nabor 12 na visoki ravni in več kot 200 podrobnih zahtev za zagotavljanje varnosti podatkov o imetnikih plačilnih kartic, ki se prenašajo, hranijo in obdelujejo v informacijskih sistemih organizacij. Zahteve standarda veljajo za vsa podjetja, ki delajo z mednarodnimi plačilnimi sistemi Visa in MasterCard. Glede na število obdelanih transakcij je vsakemu podjetju dodeljena raven, za vsako raven - svoj nabor zahtev. Ravni za vsak plačilni sistem so različne.
Preverjanje skladnosti s pogoji standarda PCI DSS se izvaja v okviru obveznega certificiranja, za katerega se zahteve razlikujejo glede na vrsto preverjanega podjetja: trgovec, ki sprejema kartice za plačilo blaga in storitev, ali dobavitelj, ki zagotavlja storitve trgovcem, bankam – prevzemnikom, izdajateljem itd. (procesni centri, plačilni prehodi). Ocenjevanje se izvaja v različnih oblikah:
Drug regulativni dokument, ki je pomemben za bančno industrijo in določa zahteve za ugotavljanje skladnosti, je zvezni zakon "O osebnih podatkih". Vendar še niso ugotovljene niti oblika niti pogostost revizije niti zahteve za organizacijo, ki izvaja revizijo. Morda bo to vprašanje rešeno jeseni 2012, ko bo izšel del dokumentov vlade, FSTEC in FSB, ki uvajajo nove standarde na področju varstva osebnih podatkov. Medtem ko banke samostojno določajo značilnosti revizije varstva osebnih podatkov.
Nadzor in nadzor nad izvajanjem organizacijskih in tehničnih ukrepov za zagotavljanje varnosti osebnih podatkov, določenih z 19. členom zakona 152-FZ, izvajata FSB in FSTEC. Toda to velja samo za državne informacijske sisteme osebnih podatkov. Doslej po zakonu ni nihče, ki bi izvajal nadzor nad gospodarskimi organizacijami na področju zagotavljanja informacijske varnosti osebnih podatkov. Česa ne moremo reči o varstvu pravic posameznikov, na katere se nanašajo osebni podatki, torej strank, nasprotnih strank in samo obiskovalcev banke. To nalogo je prevzel Roskomnadzor, ki aktivno izvaja nadzorne funkcije in v bankah vidi zlonamerne kršitelje zakona o osebnih podatkih.
Vsak od glavnih predpisov določa svoje zahteve za ugotavljanje skladnosti v takšni ali drugačni obliki: od samoocenjevanja v obliki izpolnjevanja vprašalnikov (PCI DSS) do opravljanja obvezne revizije enkrat na dve leti (382-P) ali enkrat na leto (ISO 27001). Obstajajo tudi druge oblike ocenjevanja skladnosti: obvestila operaterja plačilnega sistema, četrtletna skeniranja itd.
Po drugi strani pa država še vedno nima enotnega sistema pogledov ne le na državno ureditev revizije informacijske varnosti organizacij in sistemov informacijske tehnologije, temveč tudi na samo temo revizije informacijske varnosti. Za informacijsko varnost v Rusiji so odgovorni številni oddelki in organizacije: FSTEC, FSB, Banka Rusije, Roskomnadzor, PCI SSC in drugi. Vsi delujejo na podlagi lastnih predpisov in smernic. Različni pristopi, različni standardi, različna zrelost... Vse to ovira vzpostavitev enotnih pravil igre.
Sliko kvari tudi pojav enodnevnih podjetij, ki v iskanju dobička ponujajo nekvalitetne storitve na področju ocenjevanja izpolnjevanja zahtev informacijske varnosti. In situacija se verjetno ne bo spremenila na bolje. Ko se bo pojavila potreba, se bodo našli tisti, ki jo bodo želeli zadovoljiti, medtem ko kvalificiranih revizorjev preprosto ni dovolj za vse. Z majhnim številom revizij (glej infografiko) in trajanjem revizije od nekaj tednov do več mesecev je jasno, da zahteva za revizijo resno presega zmožnosti revizorjev.
V "Konceptu revizije informacijske varnosti sistemov in organizacij informacijske tehnologije", ki ga FSTEC ni sprejel, je bil naslednji stavek:
"...ob odsotnosti potrebnih nacionalnih regulatorjev lahko takšna dejavnost [neregulirane revizije zasebnih podjetij] povzroči nepopravljivo škodo organizacijam."
Avtorji koncepta so predlagali poenotenje pristopov k revidiranju in pravno določitev pravil igre, vključno s pravili za akreditacijo revizorjev, zahtevami za kvalifikacijo in postopkom za izvedbo revizije. Toda stvari še vedno obstajajo. Čeprav glede na pozornost, da domači regulatorji na področju informacijske varnosti, a teh je le devet, namenjajo problematiki informacijske varnosti, je možno, da bo tema kmalu spet aktualna. Samo v preteklem koledarskem letu je bilo sprejetih oziroma izdelanih 52 podzakonskih aktov s področja informacijske varnosti in en podzakonski akt na teden!
V sedanjih razmerah moramo žal priznati, da je glavni cilj revizije informacijske varnosti banke - povečanje zaupanja v njene dejavnosti - v Rusiji nedosegljiv. Nekaj ruskih strank banke je pozorno na raven varnosti ali rezultate revizije, opravljene v banki. Na revizijo se pristopi bodisi v primeru zelo resnega incidenta z resno materialno škodo za banko (njene delničarje in lastnike) bodisi v primeru zakonskih zahtev.
Zahteva št. 1, za katero se je vredno obrniti na varnostno revizijo, je določba Banke Rusije 382-P. Podatki o stopnji zaščite bank in izpolnjevanju zahtev 382-P, ki se zahtevajo od teritorialnih oddelkov Centralne banke, so pridobljeni prav na podlagi zunanje revizije ali samoocene.
Na drugem mestu je revizija skladnosti z zahtevami zakona "O osebnih podatkih". Toda takšno revizijo je vredno izvesti ne prej kot v trenutku, ko so izdani vsi dokumenti, ki sta jih obljubila FSTEC in FSB, in ko postane jasna usoda STO BR IBBS. Hkrati se lahko zastavi vprašanje izvajanja revizije skladnosti z zahtevami STO BR IBBS.
Uspešno opravljena revizija ne pomeni, da je z varnostjo v banki vse v redu. Obstaja veliko trikov, ki revidirani organizaciji omogočajo, da skrije pomanjkljivosti v varnostnem sistemu. Veliko je odvisno od usposobljenosti in neodvisnosti revizorjev. Izkušnje kažejo, da se tudi v organizacijah, ki so uspešno prestale presojo skladnosti s PCI DSS, ISO 27001 ali STO BR IBBS, dogajajo incidenti in resni incidenti.
Dmitry MARKIN, vodja oddelka za revizijo in svetovanje AMT-GROUP:
Do nedavnega so vprašanja o opravljanju obvezne revizije stanja informacijske varnosti za kreditne institucije v okviru ruske zakonodaje urejal le FZ-152 "O osebnih podatkih" v smislu notranjega nadzora nad ukrepi, sprejetimi za zagotavljanje varnosti. PD, kot tudi uredba Centralne banke Ruske federacije št. 242-P "O organizaciji notranjega nadzora v kreditnih institucijah in bančnih skupinah". Poleg tega je v skladu z zahtevami Uredbe št. 242-P postopek za spremljanje zagotavljanja informacijske varnosti določen z internimi dokumenti kreditne institucije neodvisno brez sklicevanja na posebne zahteve za zagotavljanje informacijske varnosti. V zvezi z začetkom veljavnosti člena 27 Zveznega zakona-161 "O nacionalnem plačilnem sistemu", ki opredeljuje zahteve za zaščito informacij v plačilnem sistemu, je Uredba vlade Ruske federacije št. 584 "O odobritvi uredbe o varstvu informacij v plačilnem sistemu" in uredbe Centralne banke RF №382-P. V skladu z zahtevami Uredbe št. 584 in Uredbe št. 382-P je treba varovanje informacij v plačilnem sistemu izvajati v skladu z zahtevami teh predpisov in zahtevami, ki jih operaterji plačilnega sistema vključijo v pravila plačilnega prometa. sistemi. Ključna točka pri tem je konsolidacija na ravni nacionalne zakonodaje pravice operaterjev plačilnih sistemov (na primer Visa in MasterCard), da samostojno določajo zahteve za varstvo informacij. Uredba št. 382-P določa tudi obveznost kreditnih institucij, da vsaj enkrat na 2 leti ocenjujejo izpolnjevanje zahtev za zagotavljanje informacijske varnosti, jasno so opredeljena metodologija ocenjevanja skladnosti, merila revizije in postopek dokumentiranja njenih rezultatov. Po našem mnenju bi pojav zgornjih predpisov moral povečati statistiko kreditnih institucij, ki se certificirajo v skladu z zahtevami standarda varnosti podatkov industrije plačilnih kartic PCI DSS 2.0, ki je bil razvit s sodelovanjem vodilnih mednarodnih plačilnih sistemov Visa in MasterCard.
Sistem informacijske varnosti bank se zelo razlikuje od podobnih strategij drugih podjetij in organizacij. To je predvsem posledica specifične narave groženj, pa tudi javnega delovanja bank, ki so prisiljene olajšati dostop do računov za udobje strank.
Z razvojem in širjenjem področja uporabe računalniške tehnologije se povečuje akutnost problema zagotavljanja varnosti računalniških sistemov in varovanja v njih shranjenih in obdelanih informacij pred različnimi grožnjami. Za to obstaja več objektivnih razlogov.
Glavna je povečana raven zaupanja v sisteme za avtomatsko obdelavo informacij. Zaupano jim je najbolj odgovorno delo, od katerega sta odvisna življenje in dobro počutje mnogih ljudi. Računalniki upravljajo tehnološke procese v podjetjih in jedrskih elektrarnah, premike letal in vlakov, opravljajo finančne transakcije in obdelujejo tajne podatke.
Poznane so različne možnosti varovanja informacij – od varnostnika na vhodu do matematično preverjenih metod prikrivanja podatkov pred znancem. Poleg tega lahko govorimo o globalni zaščiti in njenih posameznih vidikih: zaščiti osebnih računalnikov, omrežij, baz podatkov itd.
Treba je opozoriti, da ni popolnoma varnih sistemov. O zanesljivosti sistema lahko govorimo, prvič, le z določeno verjetnostjo, in drugič, o zaščiti pred določeno kategorijo kršiteljev. Vendar pa je mogoče predvideti vdore v računalniški sistem. Obramba je neke vrste tekmovanje med obrambo in napadom: zmaga tisti, ki ve več in poskrbi za učinkovite ukrepe.
Organizacija zaščite sistema avtomatizirane obdelave informacij banke je enoten sklop ukrepov, ki morajo upoštevati vse značilnosti procesa obdelave informacij. Kljub nevšečnostim, ki jih uporabnik povzroča med delovanjem, so lahko v mnogih primerih zaščitni ukrepi nujno potrebni za normalno delovanje sistema. Glavne izmed omenjenih nevšečnosti bi morale vključevati Gaikovich Yu.V., Pershin A.S. Varnost sistemov elektronskega bančništva.-M.: Združena Evropa, 1994.- S..33:
Težko si je predstavljati sodobno banko brez avtomatiziranega informacijskega sistema. Povezava računalnikov med seboj in z zmogljivejšimi računalniki, pa tudi z računalniki drugih bank - je tudi nujen pogoj za uspešno delovanje banke - število operacij, ki jih je treba opraviti v kratkem času, je prevelik.
Hkrati pa postajajo informacijski sistemi ena najbolj ranljivih strani sodobne banke, ki privablja vsiljivce, tako iz osebja banke kot od zunaj. Ocene izgub zaradi kaznivih dejanj, povezanih z vmešavanjem v delovanje informacijskega sistema bank, se zelo razlikujejo. Obstaja več metod za njihov izračun. Povprečna kraja elektronske banke znaša približno 9000 dolarjev, eden najbolj razvpitih škandalov pa vključuje poskus kraje 700 milijonov dolarjev (First National Bank, Chicago).
Poleg tega je treba upoštevati ne le količino neposredne škode, temveč tudi zelo drage ukrepe, ki se izvajajo po uspešnih poskusih vdora v računalniške sisteme. Torej, eden najbolj presenetljivih primerov je izguba podatkov o delu s tajnimi računi Bank of England januarja 1999. Zaradi te izgube je banka morala spremeniti šifre vseh korespondenčnih računov. V zvezi s tem so bile v Združenem kraljestvu alarmirane vse razpoložljive obveščevalne in protiobveščevalne sile, da bi preprečili morebitno uhajanje informacij, ki bi lahko povzročilo ogromno škodo. Vlada je sprejela skrajne ukrepe, da tujci niso izvedeli za račune in naslove, na katere Bank of England vsak dan pošilja na stotine milijard dolarjev. Poleg tega so se v Združenem kraljestvu bolj bali situacije, v kateri bi bili podatki lahko na voljo tujim obveščevalnim službam. V tem primeru bi bila odprta celotna finančna dopisniška mreža Bank of England. Možnost škode je bila odpravljena v nekaj tednih.
Adzhiev V. Miti o varnosti programske opreme: lekcije iz znanih katastrof // Odprti sistemi.-1999. -- №6.-- C..21-24
Storitve, ki jih danes opravljajo banke, v veliki meri temeljijo na uporabi elektronskih sredstev interakcije med bankami, bankami ter njihovimi strankami in trgovinskimi partnerji. Trenutno je dostop do bančnih storitev mogoč z različnih oddaljenih točk, vključno z domačimi terminali in pisarniškimi računalniki. Zaradi tega se odmikamo od koncepta »zaklenjenih vrat«, ki je bil značilen za banke v 60. letih prejšnjega stoletja, ko so se računalniki večinoma uporabljali v paketnem načinu kot pomožno orodje in niso imeli povezave z zunanjim svetom.
Raven opremljenosti z orodji za avtomatizacijo igra pomembno vlogo pri poslovanju banke in zato neposredno vpliva na njen položaj in prihodke. Vse večja konkurenca med bankami vodi v potrebo po skrajšanju časa za poravnavo, povečanju obsega in izboljšanju kakovosti opravljenih storitev. Manj časa bo trajalo obračunavanje med banko in komitentom, večji bo promet banke in posledično dobiček. Poleg tega se bo banka lahko hitreje odzvala na spremembe finančnega stanja. Različne bančne storitve (predvsem se nanaša na možnost brezgotovinskega plačilnega prometa med banko in njenimi strankami s pomočjo plastičnih kartic) lahko znatno povečajo število njenih strank in posledično povečajo dobiček.
Informacijska varnost banke mora upoštevati naslednje posebne dejavnike:
Zločini v bančnem sektorju imajo tudi svoje značilnosti Gamza V.A. , Tkachuk I.B. Varnost poslovne banke.- M ..: Združena Evropa, 2000.- C..24:
Napadalci praviloma uporabljajo lastne račune, na katere se nakažejo ukradeni zneski. Večina kriminalcev ne zna oprati ukradenega denarja. Sposobnost kaznivega dejanja in zmožnost pridobiti denar nista ista stvar.
Večina računalniških zločinov je drobnih. Škoda zaradi njih je v razponu od 10.000 do 50.000 dolarjev.
Uspešni računalniški zločini običajno zahtevajo veliko število bančnih transakcij (do nekaj sto). Vendar pa je mogoče velike zneske nakazati v samo nekaj transakcijah.
Večina vsiljivcev je uradnikov. Čeprav lahko višje osebje v banki stori tudi kazniva dejanja in banki povzroči veliko več škode, so takšni primeri redki.
Računalniški zločini niso vedno visokotehnološki. Dovolj je ponarejanje podatkov, spreminjanje parametrov okolja ASOIB ipd., ta dejanja pa so na voljo tudi vzdrževalcem.
Mnogi napadalci razlagajo svoja dejanja z dejstvom, da si le izposodijo pri banki z naknadnim vračilom. Vendar se "vrnitev" praviloma ne zgodi.
Posebnosti zaščite sistemov za avtomatsko obdelavo informacij bank so posledica posebnosti nalog, ki jih rešujejo:
ASOIB praviloma v realnem času obdeluje velik tok nenehno prihajajočih zahtev, od katerih vsaka za obdelavo ne zahteva številnih virov, skupaj pa jih lahko obdela le zmogljiv sistem;
ASOIB hrani in obdeluje zaupne informacije, ki niso namenjene širši javnosti. Njegovo ponarejanje ali uhajanje lahko povzroči resne (za banko ali njene stranke) posledice. Zato so ASOIB obsojeni, da ostanejo relativno zaprti, delujejo pod nadzorom specifične programske opreme in posvečajo veliko pozornost zagotavljanju njihove varnosti;
Druga značilnost ASOIB so povečane zahteve po zanesljivosti programske in strojne opreme. Zaradi tega mnogi sodobni ASOIB gravitirajo k tako imenovani računalniški arhitekturi, tolerantni na napake, ki omogoča neprekinjeno obdelavo informacij tudi ob različnih okvarah in okvarah.
Uporaba ASOI s strani bank je povezana s posebnostmi varovanja teh sistemov, zato bi morale banke več pozornosti nameniti zaščiti svojih avtomatiziranih sistemov.
Zaključki o prvem poglavju:
Članek je namenjen zagotavljanju informacijske varnosti v bančnih institucijah na podlagi domačih regulativnih zahtev industrijskih standardov Banke Rusije STO BR IBBS-1.0-2014. Nekateri vidiki zaščite v avtomatiziranih bančnih sistemih (ABS), vprašanja varovanja osebnih podatkov v bančnem sektorju, notranja revizija in samoocenjevanje skladnosti z zahtevami informacijske varnosti ter nekatere značilnosti in problematična področja, povezana s posebnostmi informacijske varnosti. v bankah se upoštevajo.
Ni skrivnost, da so banke temelj kreditno-finančnega sistema države in najpomembnejša finančna institucija sodobne družbe. V zvezi s tem imajo posebne zahteve za zagotavljanje informacijske varnosti. Banke so do pojava domačih industrijskih standardov informacijske varnosti STO BR IBBS skrbele za varnost na podlagi določil internih regulativnih dokumentov. Toda tudi po sprejetju teh dokumentov ostaja veliko vprašanj, ki jih je treba obravnavati. Nekatera vprašanja, obravnavana v prispevku, so povezana z reševanjem »ozkih grl« v sistemu IS bank in prilagajanjem varnostne politike novim zahtevam ob upoštevanju že obstoječe »prtljage« na področju informacijske varnosti.
V Rusiji je do sredine 2000-ih besed "varnost" večinoma povezana z upravljanjem "bančna tveganja", tj. obvladovanje situacij, ki bi lahko povzročile izgube in/ali poslabšanje njegove likvidnosti zaradi nastanka neugodnih dogodkov. kategorije kot npr "Varnost informacij" oz "varstvo podatkov" v bistvu ni obstajal. Samo zvezni zakon "O bančništvu" z dne 02.12.1990 N 395-1 FZ v členu 26 Bančna skrivnost je dal omejeno pravico in priložnost za zaščito zaupnih informacij v bančnem sektorju. Po več kot desetletju so domači desničarji izdali zvezni zakon "o poslovnih skrivnostih" 29.07.2004 N 98-FZ, ki končno omogoča popolno razglasitev nove vrste dejavnosti in ločene kategorije vprašanj, kot so "informacije". varnost bank".
V istih letih so se v domači bančni skupnosti pojavili trendi sprejemanja mednarodnih bančnih standardov, zlasti standarda Basel II. Ta standard je v svoji interpretaciji informacijsko varnost obravnaval kot operativno tveganje in na splošno zahteval ukrepe za revizijo in nadzor informacijske sfere, kar je bila v tistem času absolutna inovacija za ruske banke. Vendar to ni bilo dovolj - razvoj sodobnih informacijskih tehnologij in nenehna želja po ponudbi novih bančnih produktov trgu sta zahtevala večjo pozornost tem vprašanjem.
Naslednji evolucijski mejnik v razvoju je bilo leto 2004, ko je Centralna banka Rusije izdala prvo izdajo paketa domačih industrijskih standardov za informacijsko varnost STO BR IBSS. Standard centralne banke za IT varnost je takrat veljal za najboljši industrijski standard, saj je vključeval najboljše svetovne izkušnje in prakso, združuje glavne določbe standardov upravljanja varnosti IT (ISO 17799, 13335), ureja opis življenjske dobe programske opreme. cikla in merila za oceno varnosti IT (GOST R ISO/IEC 15408-1-2-3). Dokument je odražal tudi tehnologijo za ocenjevanje groženj in ranljivosti, nekatere določbe britanske metodologije za ocenjevanje informacijskih tveganj CRAMM (glej sliko 1).
Slika 1. Medsebojna povezava različnih zahtev in standardov na področju IT, varnosti in upravljanja
Med glavnimi določili standarda Centralne banke je bilo mogoče izpostaviti usmerjenost k reševanju problema notranjih informacij. V ta namen Banka Rusije konsolidira nadzor nad kroženjem zaupnih informacij v korporativnem okolju. Velika pozornost je namenjena zunanjim grožnjam: določila standarda zahtevajo od bank protivirusno zaščito z redno posodabljanimi bazami podatkov, orodji za filtriranje neželene pošte, nadzor dostopa, urejanje notranjih revizijskih postopkov, uporabo šifriranja za zaščito pred nepooblaščenim dostopom itd.
Kljub vsem tem očitnim prednostim je bil standard svetovalne narave – njegove določbe so lahko domače banke uporabljale le prostovoljno. Kljub temu je glede na rezultate študije anketirancev, predstavljenih na III medbančni konferenci, obstajal jasen trend k sprejetju teh dokumentov kot obvezne podlage za ruske banke.
Vzporedno z razvojem bančnih standardov v Rusiji sredi 2000-ih je potekal proces vzpostavljanja domače zakonodaje na področju informacijske varnosti. Ključna točka je bila posodobitev zveznega zakona "o informacijah, informacijskih tehnologijah in zaščiti informacij" z dne 27. julija 2006 N 149-FZ, ki daje nove ustrezne opredelitve informacij, informacijskih tehnologij in procesov z ločenim naslovom "zaščita informacij". ". Za njim je ločeno kategorijo v praksi varovanja informacij zaznamovala izdaja zakona "O osebnih podatkih" z dne 27. julija 2006 N 152-FZ.
Ob upoštevanju vseh teh novosti in spreminjajoče se družbene realnosti so izšle tudi nove izdaje STO BR IBBS. Tako je bil v tretji izdaji standarda iz leta 2008 paket dokumentov bistveno spremenjen, uvedeni so bili novi izrazi in koncepti, pojasnjene in podrobnejše nekatere varnostne zahteve; posodobljene zahteve za sistem upravljanja informacijske varnosti. Standard je pridobil tudi svoj model groženj in kršiteljev informacijske varnosti organizacij RF BS. Uvedeni so bili novi bloki za zahteve informacijske varnosti v avtomatiziranih bančnih sistemih, urejen je proces bančnega plačilnega prometa in procesi informacijske tehnologije, posebej pa je bilo povedano tudi o uporabi orodij za kriptografsko zaščito informacij.
Glede na najnovejše svetovne dogodke v letu 2014 in gospodarske sankcije, ki so jih zahodne države uvedle proti Rusiji, je bil jasen trend razvoja in prehoda na nacionalni sistem plačilnih kartic. To posledično nalaga dodatne zahteve glede zanesljivosti in varnosti tovrstnih sistemov, kar pomeni povečanje pomena domačih standardov informacijske varnosti.
Rezultat vseh teh dogodkov je bila še ena ponovna izdaja standarda. In junija 2014 je začela veljati posodobljena peta in doslej zadnja izdaja STO BR IBBS - 2014. V novi izdaji so bile popravljene pomanjkljivosti prejšnjih številk in, kar je zelo pomembno, uskladitev zahtev in priporočil STO z zgoraj opisanim 382-P. Tako je bil na primer pojasnjen seznam transakcij, za katere je potrebna registracija v RBS, razširjen je seznam zaščitenih informacij na podlagi P-382 in tabele ujemanja med kazalniki zasebne ocene iz STO in kazalniki iz trenutne različice 382-P je bil zagotovljen.
Enako pomemben dosežek je bila posodobljena baza regulativnih zahtev ob upoštevanju zadnjih sprememb zakonodaje na področju varstva osebnih podatkov, in sicer so bile dodane povezave na vladno uredbo št. 1119 in odredbo FSTEC Rusije št. 21.
Vse to je oblikovalo enotno metodološko in regulativno platformo za zagotavljanje celovite informacijske varnosti ob upoštevanju bančnih posebnosti. Paket dokumentov STO BR IBBS je izoliral ruske banke tako, da je v njih zgradil varnostni sistem z vidika industrije, a hkrati absorbiral najboljšo svetovno prakso in izkušnje tujih kolegov pri zagotavljanju informacijske varnosti.
Trenutno je po naročilu Banke Rusije paket dokumentov STO BR IBBS sestavljen iz naslednjih delov:
Poleg tega je Banka Rusije razvila in uvedla naslednja priporočila na področju standardizacije IS:
Prvi trije dokumenti so obvezni za vse banke, ki so ta standard sprejele kot svojo osnovno politiko. dokument "Splošne določbe" so osnova za oblikovanje vseh ukrepov za zaščito informacij. Celotna struktura je razdeljena na ločene bloke. Podrobno opisujejo zahteve za zagotavljanje varnosti, podajajo posebne sezname zaščitnih ukrepov za določen blok. (glej tabelo 1)
Tabela 1. Zahteve za informacijsko varnost
| - pri dodeljevanju in porazdelitvi vlog ter zagotavljanju zaupanja v osebje; |
| - v avtomatiziranih bančnih sistemih (ABS) v fazah življenjskega cikla; |
| - pri vodenju dostopa in registracije uporabnikov; |
| - na sredstva protivirusne zaščite; |
| - pri uporabi internetnih virov; |
| - pri uporabi sredstev kriptografske zaščite informacij; |
| - v tehnoloških procesih bančnega plačilnega prometa; |
| - o obdelavi osebnih podatkov; |
| - zahteve za sistem vodenja informacijske varnosti so podane v ločenem naslovu. |
dokument "Revizija informacijske varnosti" najmanjši od vseh nakazuje potrebo po reviziji informacijskega varnostnega sistema in daje sklicevanje na letno samoocenjevanje po zahtevah standarda. Podatki končne samoocene služijo kot osnova tako za obrazec poročanja v primeru preverjanja s strani Centralne banke kot za ugotovitev, da je raven varnosti informacijskega sistema banke skladna z ugotovljenimi tveganji in grožnjami IS.
In zadnji dokument v obravnavi "Metodologija za ocenjevanje izpolnjevanja zahtev za varnost informacij"-- to je niz ocenjevalnih metod in tabel z ustreznimi polji, ki jih je treba izpolniti. Vsak dogodek in ukrep zaščite dajeta v oceni določeno težo, imenovano skupinski kazalnik. Na podlagi rezultatov skupinskih kazalnikov je sestavljen tortni grafikon skladnosti z zahtevo STO BR IBBS (glej sliko 2). Vse vrednosti skupinskih kazalnikov so v območju od 0 prej 1 , v katerem je za določitev rezultata dodeljenih še 6 stopenj skladnosti s standardom, začenši od nič. Banka Rusije je priporočila ravni 4 in 5 (glej sliko 2). V skladu s tem, višja kot je vrednost, bolj varen je sistem. Na tortnem grafikonu so ti sektorji zeleni, rdeča pa je indikator kritične ravni.
Slika 2. Tortni grafikon skladnosti z zahtevami STO BR IBBS
Kaj je še mogoče dodati - kar nekaj pozornosti se posveča procesom upravljanja sistema informacijske varnosti, še posebej lahko izpostavimo Demingov cikel, ki ga uporabljajo najvišji menedžerji pri vodenju kakovosti (slika 3).
Slika 3. Demingov cikel za sistem vzdrževanja IS STO BR IBBS
V novi izdaji je Banka Rusije posodobila metodologijo za ocenjevanje skladnosti z informacijsko varnostjo. Glavne spremembe so vplivale na pristop ocenjevanja:
Omeniti velja dejstvo, da je dokumentiranju varnostnih postopkov v internih regulativnih dokumentih bank posvečeno veliko več pozornosti. Tako, tudi če se postopek dejansko ne izvede, temveč zagotovi in dokumentira, s tem izboljšamo rezultat notranje revizije.
V primerjavi s prejšnjo izdajo se je povečalo število zasebnih kazalnikov, spremenile pa so se tudi utežne vrednosti ocen (glej sliko 4).
Slika 4. Spremembe prejšnje in trenutne različice STO BR IBBS (po podatkih InfoConstal Management, www.km-ltd.com, 2014)
Omeniti je treba še en pomemben dodatek v zvezi z vgrajenimi zaščitnimi mehanizmi v ABS - Banka Rusije je izdala priporočila "Zagotavljanje informacijske varnosti na stopnjah življenjskega cikla avtomatiziranih bančnih sistemov" (RS BR IBBS-2.6-2014 ) ". Njihovo bistvo je v tem, da lahko banke zdaj s sklicevanjem na ta dokument razvijalcem postavljajo zahteve glede funkcionalnosti programske opreme v smislu zaščitnih mehanizmov. Ne smemo pozabiti, da so to priporočila, ne zahteve in Banka Rusije sama ne more ničesar naložiti, vendar dovoljuje, da se ta priporočila predvajajo v imenu bančne skupnosti, in to je že sprememba na bolje.
Pred izidom 5. izdaje STO BR IBBS-2014 je varstvo osebnih podatkov v bankah temeljilo na dveh dokumentih: BR IBBS-2.3-2010. "Zahteve za zagotavljanje varnosti osebnih podatkov v informacijskih sistemih osebnih podatkov organizacij bančnega sistema Ruske federacije" in RS BR IBBS-2.4-2010. "Panožno specifičen model groženj varnosti osebnih podatkov med njihovo obdelavo v informacijskih sistemih osebnih podatkov organizacij bančnega sistema Ruske federacije."
V praksi je bilo videti takole: model grožnje zasebnega sektorja, ki ga je predlagala Centralna banka, smo vzeli nespremenjeno, določili zahteve za zaščito posameznega ISPD na podlagi metodoloških priporočil, na podlagi količine in seznama obdelanih podatkov ter nato zgradili seznam potrebnih ukrepov, ki temeljijo na njih.
Glavni glavobol specialistov do danes je bil, da so te zahteve veljale do naslednje izdaje STO BR IBBS - 2014, čeprav je bilo takrat varstvo osebnih podatkov že postavljeno v skladu s PP-1119 in ukazom FSTEC št. 21. . Glede na dejstvo, da morajo banke upoštevati sprejeti paket STO BR IBBS, mnoge med njimi niso uporabljale najsodobnejših metod in posledično niso ustrezale novi varnostni realnosti.
Z objavo teh dveh omenjenih regulativnih dokumentov se je situacija spremenila na bolje – odpravljene so bile nekatere stroge licenčne zahteve, poenostavljeni so bili postopki razvrščanja ISPD, operaterju PD pa so dane več pravic do izbire zaščitnih ukrepov. Zahteve za zaščito ISPD-jev določa tabela ujemanja med "ravnjo varnosti" in varnostnimi postopki, ki se zanje uporabljajo, katere podrobnosti so bile predstavljene v Odredbi FSTEC št. 21. To je omogočilo izravnavo razlik. v metodah zaščite PD v industrijskem standardu Centralne banke in splošni ruski zakonodaji.
V posodobljenem standardu se je pojavil nov izraz »Vir PD«, za katerega so oblikovane zahteve za dokumentacijo posameznih postopkov v zvezi z obdelavo osebnih podatkov (oddelek 7.10). Ločeno se obravnavajo vprašanja, povezana z uničenjem osebnih podatkov: organizacijam je dana možnost, da PD uničijo ne takoj, ampak občasno, vendar vsaj enkrat na šest mesecev.
Roskomnadzor je ločeno dal pojasnila v zvezi z biometričnimi osebnimi podatki, na primer fotografije zaposlenih, če se uporabljajo za namene izvajanja režima nadzora dostopa ali objavljene na spletni strani podjetja kot javno dostopne informacije o upravljanju, ne spadajo v režim posebnih zaščitne zahteve.
Banke, ki so predhodno izpolnjevale zahteve za zaščito PD po starem standardu, morajo za uskladitev z novimi zahtevami prilagoditi interne regulativne dokumente, prerazvrstiti in preusmeriti ISPD ter v skladu s stopnjo varnosti določiti zase nov seznam zaščitnih ukrepov. Rad bi opozoril, da imajo banke zdaj več svobode pri izbiri sredstev in načinov zaščite, vendar je uporaba orodij za informacijsko varnost, ki jih razvrsti FSTEC, še vedno obvezna.
Državni plačilni sistem (NPS) glede na zadnje dogodke postaja vse bolj prednostno področje v notranji politiki države. Ruski predsednik Vladimir Putin je podpisal zakon o vzpostavitvi nacionalnega sistema plačilnih kartic (NSPK) v Rusiji in zagotavljanju nemotenega delovanja mednarodnih plačilnih sistemov. Operater NSPK je ustanovljen v obliki OJSC, katerega 100 % premoženja je v lasti Banke Rusije. Cilj projekta je infrastrukturno in informacijsko zapreti proces denarnih nakazil znotraj Rusije, zavarovati operativne centre in plačilne klirinške centre teritorialno znotraj države.
Dejansko se je denar pred sprejetjem zakona lahko pojavil od »nikjer« in izginil »nikamor«. Z izdajo zakona se stanje spreminja, NPS omogoča spremljanje vseh denarnih transakcij, vključno s financiranjem sumljivih transakcij in goljufivih transakcij, ki lahko ogrozijo varnost državljanov ali države kot celote. Poleg tega je odmik od gotovine po mnenju vlade še en korak v boju proti podkupovanju.
Za zagotavljanje varnosti NPS je bila izdana cela vrsta podzakonskih aktov, vključno s temeljno uredbo o varstvu podatkov v plačilnem sistemu »z dne 13.06.2012 št.584. Toda v večji meri je Uredba o zahtevah za zagotavljanje varstva podatkov pri nakazilih denarja, ki jo je izdal pristojni oddelek Banke Rusije, bolj v skladu ... "z dne 09. 6. 2012 N 382-P)
S posodobitvijo P-382 so trendi zaščite zdaj premaknjeni na stran:
Podobna situacija se razvije pri uporabi plastičnih kartic. V svetovni skupnosti velja za priznan varnostni standard PCI DSS (Payment Card Industry Data Security Standard), ki ga je razvil PCI SSC. Vključuje blagovne znamke kartic, kot so Visa, MasterCard, American Express, JCB in Discovery.
Standard PCI DSS opisuje zahteve za zaščito podatkov imetnikov kartic, združenih v dvanajst tematskih sklopov. V standardu PCI DSS je glavni poudarek na zagotavljanju varnosti omrežne infrastrukture in varovanju shranjenih podatkov o imetnikih plačilnih kartic, kot najbolj ranljivih mest z vidika ogrožanja zasebnosti. Poudariti je treba tudi, da standard ureja pravila za varen razvoj, podporo in delovanje plačilnih sistemov, vključno s postopki za njihovo spremljanje. Enako pomembno vlogo standard pripisuje razvoju in podpori baze regulativnih dokumentov sistema upravljanja informacijske varnosti.
Mednarodni plačilni sistemi zavezujejo organizacije, za katere veljajo zahteve standarda, redno preverjanje skladnosti s temi zahtevami, kar lahko prej ali slej vpliva na NSPK. Vendar pa je certificiranje ruskih bank po tujem standardu PCI DSS potekalo precej počasi, domačega analoga pa do danes ni.
Z izpolnjevanjem zahtev P-382 in najnovejše izdaje STO BR IBBS-2014 pa se lahko v veliki meri pripravite na certificiranje PCI DSS, saj se številne njegove določbe sekajo z zahtevami iz domačega dokumenta: protivirusna varnost, šifriranje , filtriranje z uporabo požarnih zidov, diferenciacijski dostop, sledenje komunikacijskim sejam, pa tudi spremljanje, revizija in upravljanje sistema informacijske varnosti (glej sliko 5).
Slika 5. Primerjava kategorij zaščitenih informacij po različnih standardih (po podatkih Uralskega centra za varnostne sisteme, www.usssc.ru, 2014)
Za razliko od vseh tujih standardov je ruski 382-P namenjen spodbujanju domačih razvijalcev in proizvajalcev orodij za informacijsko varnost (IPS), na primer obvezovanje subjektov NPS, da zagotovijo uporabo nekriptografskih IPS pred nepooblaščenim dostopom, vključno s tistimi, ki so prešli postopek ugotavljanja skladnosti na predpisan način. Hkrati je izrecno dovoljena uporaba odločb tuje produkcije.
Poleg tega Banka Rusije krepi nadzor nad spoštovanjem uveljavljenih pravil. Direktiva št. 2831-U z dne 09. 6. 2012 »O poročanju o zagotavljanju varstva informacij v plačilnih sistemih ...« v svojem dokumentu jasno navaja, v kakšni obliki in s kakšno pogostostjo morajo subjekti plačilnih sistemov poročati o stanju informacijska varnost v plačilnih sistemih.
Kljub priljubljenosti in široki razširjenosti PCI DSS obstajajo tudi drugi mednarodni varnostni standardi za sisteme ohišja, o katerih bi rad tudi nekaj povedal. Eden izmed njih je standard PCI PA-DSS (Payment Card Industry Payment Application Data Security Standard), ki opredeljuje zahteve za aplikacije, ki obdelujejo podatke imetnikov kartic, in proces njihovega razvoja. In drugo - Varnost PIN transakcij v industriji plačilnih kartic (PCI PTS), prej PCI PED, se nanaša na proizvajalce, ki nastavljajo in izvajajo tehnične parametre in nadzorni sistem za naprave, ki podpirajo nabor kod PIN in se uporabljajo za opravljanje plačilnih transakcij s kartico.
STO BR IBBS je zelo pomemben mejnik v evolucijskem razvoju domačega informacijskega varnostnega sistema. To je eden prvih industrijskih standardov, prilagojen ruskim realnostim. Seveda to ni zdravilo za vse tegobe, še veliko je težav, s katerimi se spopadajo strokovnjaki, a to je prva in zelo uspešna izkušnja, ki nas približuje standardom najboljše tuje prakse.
Z izpolnjevanjem zahtev standarda se številne banke pripravljajo na mednarodni varnostni certifikat PCI DSS. Zagotoviti varstvo osebnih podatkov v skladu z najnovejšimi zahtevami regulatorjev. Letna notranja revizija, ki poteka v teku, vam omogoča objektivno preverjanje varnosti bank pred pomembnimi tveganji in grožnjami informacijske varnosti, menedžerji pa učinkoviteje načrtujejo izgradnjo in upravljanje celovitega sistema zaščite.
Upamo, da bodo obstoječe pomanjkljivosti in očitne napake popravljene v naslednjih izdajah, katerih izid ni daleč. Že spomladi 2015 nas čaka posodobljen P-382, sledijo pa lahko spremembe v kompleksu IBBS BR. Medtem smo zadovoljni z oktobrsko izdajo »Standarda finančnih transakcij« TC 122 in ne pozabimo, da je naša varnost ne glede na to, kako dobra so vsa prizadevanja višjih organov, še vedno le v naših rokah!
Če podjetju zagotovite 100-odstotno tehnično varnost, preprosto ne bo moglo ustvariti dobička. Če pri opravljanju transakcij ali prodaji bančnih produktov ne boste postavili nobenih zaščitnih omejitev, goljufi najverjetneje ne bodo pustili prevrnjenega kamna." V tem smislu je potekal naš pogovor z Vasilijem Okuleskyjem, doktorjem znanosti, vodjo oddelka za informacijsko varnost varnostnega oddelka Moskovske banke.
J.I.: Vasilij Andrejevič, kakšna je vaša ocena trenutnih razmer z goljufijami v bančnem sektorju?
IN.: Zdaj opažamo od 30 do 50 % porast različnih vrst goljufij v primerjavi z lanskim letom. Spremenila se je tudi njegova specifična struktura: najprej je prišlo do močnega vračanja k goljufijam na bankomatih.
V zadnjem letu se je celotna mreža bankomatov ruskih bank povečala za 40%, ta čisto tehnični dejavnik je postal osnovni razlog za povečanje kriminala. Spremenili so se tudi načini napada na bankomate. Pojavili so se tako imenovani "eksplozivi", ki jih odlikuje visoka hitrost "dela" - celotna operacija kraje traja manj kot minuto. Vrnila so se orodja za napad na programsko opremo, ki so bila leta 2009 na vrhuncu priljubljenosti. Poleg tega so opažene bistveno nove metode: bankomati so napadeni na daljavo, izzovejo ponovni zagon ali pa napad gre neposredno na izvršilne naprave - istemu vlagatelju. Znesek škode zaradi takšnih dejanj bistveno presega izgube zaradi drugih vrst goljufij na bankomatih.
V ruskem bančnem sektorju obstaja stalen trend razvoja funkcionalnosti spletnega bančništva za fizične in pravne osebe. Nova funkcionalnost je všeč tudi goljufom, predvsem v smislu morebitnega odpiranja priložnosti za krajo denarja. V skladu s tem banke preprosto ne morejo le vlagati v izboljšanje varnosti svojih internetnih storitev. Opažam, da od vseh ruskih bank samo Tinkoff Bank v svojo informacijsko varnost vlaga "kar tako" - zanjo je to edini način za zagotavljanje poslovne varnosti.
Trend zadnjih mesecev so napadi na informacijske sisteme bank. Neposredno napadajo sredstva za upravljanje korespondenčnih računov - to goljufom omogoča, da naenkrat dvignejo ogromne količine denarja. Takšne operacije zahtevajo od napadalcev visoko usposobljenost in resno usposabljanje.
J.I.: Se pravi, da pogosto predmet napadov ni stranka, ampak banka sama?
IN.: Da, to je posledica več dejavnikov. Prvič, banke vlagajo veliko truda v zaščito svojih strank in to res deluje. Drugič, stranke so postale bolj napredne pri vprašanjih informacijske varnosti. Zdaj je besedilo "Kupil sem protivirusni program, ga namestil na svoj računalnik, vendar iz nekega razloga ne deluje" je veliko manj pogost. Kupci že vedo, kaj in kako namestiti, posodobiti, kakšne so pravne posledice uporabe licenčne in nelicencirane programske opreme itd. Ljudje so bolj pripravljeni, težje jih je napasti, vse to sili goljufe, da »preklopijo« na banke.
Opažam, da se sama struktura in načini takšnih napadov bistveno razlikujejo. Zato je nujna revizija paradigme oblikovanja bančnih informacijskih sistemov. Varnostniki bi morali biti vključeni v delo v prvih fazah življenjskega cikla sistema in ne v fazi njegovega zagona. To pomeni, da je treba med razvojem upoštevati vsa vprašanja varnosti informacij.
Poleg tega se mora spremeniti samo razumevanje informacijske varnosti. Informacijska varnost ni diskreten proces »vnesemo rešitev, vse deluje, sproščeno«, temveč kontinuirana dejavnost, svojevrsten način razmišljanja ljudi, ki razvijajo sisteme, delajo z zaupnimi dokumenti itd.
J.I.: Kakšna bi morala biti ta miselnost?
IN.: Navedel bom najenostavnejši primer v zvezi s 3 glavnimi komponentami informacijske varnosti - zaupnostjo, celovitostjo in razpoložljivostjo podatkov. V zvezi s to triado je zanimiv logični paradoks: če se koncept na prvi pogled zdi preprost in jasen, je njegova implementacija v praksi praktično nemogoča. Kaj je integriteta? Preprosto vprašanje. Ko pa dokument podpišete z elektronskim podpisom, je glavna zahteva, da morate biti prepričani, kaj podpisujete. To pomeni, da je treba zagotoviti celovitost izvirnega predmeta podpisa in tega, kar vidite na zaslonu. V kolikšni meri elektronski dokument v bazi podatkov ustreza papirnemu izvirniku? Kako legitimna je podpisana elektronska različica na papirju? Vsakdo, ki ima idejo o tem, kaj je Windows, razume, da zgornja zahteva načeloma ni izvedljiva. Ali pa morate opustiti tako priljubljen operacijski sistem in tehnologijo večopravilnosti ter izumiti način za vizualizacijo elektronskih dokumentov, ki bi zagotovil integriteto na vseh stopnjah njihove transformacije.
Vprašanje ni tako preprosto, temelji na tehničnih sredstvih, tehnologiji dela. Če je ne rešimo na ravni začetne postavitve problema, potem preprosto ne moremo razumeti, kaj točno moramo zaščititi, kaj je za nas predmet informacijske varnosti. Ni dejstvo, da dokument, ki ga dejansko varujemo, ustreza tistemu, kar je bilo na vhodu in je bil res zaščiten.
J.I.: Katera vrsta goljufije je trenutno najbolj nevarna?
VO: Tako kot zadnjih nekaj let imajo notranje goljufije na dlani. Sistemi protiukrepov jih ne morejo blokirati. Če se zaposleni med seboj dogovorijo, vam, grobo rečeno, nič ne bo pomagalo. Insajderje je zelo težko prepoznati, posledice takšnega dogovarjanja pa so veliko večje od škode zaradi katere koli druge vrste goljufij.
J.I.: Kateri so glavni pristopi k zagotavljanju informacijske varnosti v vaši banki?
IN.: Sistematično krepimo varnost naših storitev. Toda težišče pozornosti v smislu zagotavljanja informacijske varnosti se je premaknilo. Če smo prej stranko zaščitili pred ponavljajočimi se grožnjami - lažnim predstavljanjem, možnostjo zamenjave njegovih podatkov, zagotovili zaščito orodij za preverjanje pristnosti, zdaj a priori verjamemo, da je stranka vedno presenečena. 80 % strank sprva uporablja bančne storitve pod nadzorom goljufov. Zato je treba spremeniti zaščitno paradigmo. Predvidevamo, da je obod že dovolj zaščiten, zato se osredotočamo na transakcije. Pravzaprav je ena najučinkovitejših sodobnih smeri analiza transakcij.
J.I.: Morda bodo banke po določenem času prisiljene priznati, da je tudi njihova infrastruktura a priori ranljiva in jo v 80 % nadzorujejo goljufi. In to pomeni, da bo edini izhod nadzorovanje že znotrajbančnih transakcij s pomočjo sistemov, podobnih rešitvam za spremljanje transakcij strank.
IN.: Nekaj resnice je v tem. Ne bom odpiral Amerike, če rečem, da se informacijska varnost razvija spiralno in vsak obrat poteka na bistveno drugačni ravni. Pred 10 leti smo govorili o skoraj isti stvari - zaščititi morate zunanji obod banke. V preteklih letih smo šli skozi več krogov zaščite strank in se ponovno vrnili na izhodišče – banko. Šele zdaj govorimo o spremembi same ideologije gradnje informacijske infrastrukture za začetno obravnavo vprašanj informacijske varnosti.
J.I.: Kot veste, imajo podjetja pogosto negativen odnos do razvoja in zaostrovanja informacijske varnosti. Kako vam uspe banko uskladiti s sodobnimi praksami informacijske varnosti?
IN.: Najučinkovitejša spodbuda za izboljšanje stopnje informacijske varnosti v podjetju je obvezno sodelovanje podjetja v procesu izterjave finančne škode zaradi goljufije. Na primer, razvijamo nov bančni produkt. Pogledali smo našo triado IB, izdali komentarje in zaprli luknje, ki smo jih videli. To nam je vidno, saj je v vsakem razvoju več povezanih plasti. V plasteh odpravljamo ranljivosti, vendar razvojna ekipa veliko bolje pozna značilnosti povezav med njimi. V proizvodnih dokumentih, s katerimi delamo, niso predpisani. Hkrati so te povezave pogosto tarče napada. Če so razvijalci popolnoma nezainteresirani za njihovo pravilno gradnjo z vidika informacijske varnosti, po izdaji izdelka tvegamo, da bomo deležni povečane pozornosti prevarantov. Če so finančne izgube povezane s posebnimi premijami razvijalcev in tistih poslovnih enot, ki so sprožile pojav izdelka, si bodo sami prizadevali, da bi ga maksimalno "počistili".
Če pravilno zgradite sistem za uravnoteženje finančne odgovornosti med oddelki, postanejo poslovni procesi z visoko frudulnostjo avtomatsko varnejši.
Mehanizem zagotavljanja informacijske varnosti, ki deluje že v fazi ponudbe izdelka na trgu, je dobro znana stop loss. Takoj, ko je na njem zabeleženih več goljufivih poslov ali znesek škode zaradi dejanj vsiljivcev preseže dovoljeno vrednost, banka ustavi ponudbo. Izdelek analiziramo, odpravimo ozka grla in ga šele nato ponovno postavimo v obratovanje. Seveda je dobiček od opravljenih storitev za vsako podjetje najpomembnejši, zato ga zanima povečanje dovoljenega števila goljufivih transakcij oziroma višine škode. Pravzaprav je to predmet pogajanj med oddelki za informacijsko varnost in poslovanje, naša skupna naloga je najti kompromis. Ta pristop smo postopoma razvijali. "Že vemo, da bodo stop izgube in omejitve, zato delajmo skupaj" - to je stališče podjetja ob uvajanju novega izdelka. Naše mobilno bančništvo je primer, kako se podjetje odgovorno loteva vprašanj varnosti informacij: sprva je napovedalo strožje pogoje za preverjanje pristnosti strank na mobilnih napravah, kot smo predlagali.
J.I.: Recimo, da morate čim hitreje prinesti novo storitev na trg, da boste prehiteli konkurente in ne boste izgubili potencialnega dobička. Ali lahko v tem primeru nekoliko zmanjšate kritičnost vprašanja zagotavljanja informacijske varnosti?
IN.: V vsakem primeru si ne moremo »zatiskati oči«, le delamo enako intenzivno kot razvijalci. Takoj se borimo proti očitnim lupinam, ranljivosti, ki jih nimamo časa, da bi jih poglobljeno in podrobno razdelali pred izdajo izdelka, odpravimo v fazi zaustavitve izgube.
Na splošno, če podjetje na trg lansira surovo storitev informacijske varnosti, mora biti pripravljeno prevarantom dati določen odstotek od vsakega zasluženega milijona na tem. Uradna škoda tukaj je lahko 5 in 50%. Za tveganje goljufije bo v tem primeru v celoti odgovorna poslovna enota, kar naj se odraža v ustrezni poslovni pogodbi.
Kot sem rekel zgoraj, je porazdelitev odgovornosti streznitvena. Denimo, da kljub priporočilom strokovnjakov za informacijsko varnost glede alarmov, videonadzora ipd., namestite bankomat na potencialno nevarno mesto. Stroški sodobnega bankomata znašajo približno 30 tisoč dolarjev. Če ga goljuf zlomi, lahko popravilo bremenijo splošni bančni račun, račun za obdelavo ali vaš maloprodajni oddelek. V podobni situaciji bodo tudi v prihodnje prisluhnili strokovnjakom za informacijsko varnost. S podjetjem se pogovarjamo v njegovem jeziku – o izgubi dobička, tveganjih, finančni odgovornosti itd.
J.I.: Ne tako dolgo nazaj je Moskovska banka uvedla sistem zaščite pred goljufijami v kanalih oddaljenega bančništva za pravne osebe. Povejte nam, kakšni so bili cilji projekta? Ali so bili doseženi?
IN.: Naš projekt je na nek način edinstven – naš cilj ni bil dvig stopnje varnosti, temveč znižanje stroškov samega postopka odkrivanja goljufij. Pred tem je vsako novo plačilo s klici potrdilo 400 bančnih blagajničarjev - bilo jih je približno 10 tisoč na dan. Posledično smo zmanjšali število kontrolnih klicev v front oddelkih pri plačilih – na določenih območjih za več kot 10-krat. Obremenitev blagajnikov se je zmanjšala, preusmerili so se na prodajo bančnih produktov – dejavnost, ki neposredno ustvarja dobiček.
Naše podjetje je spoznalo, da po eni strani varnost stane, po drugi strani pa bo brez nje veliko manj denarja.
Pravilna formulacija cilja projekta z naše strani – »pocenimo varnost« – je privedla do tega, da se je poslovna enota strinjala z uvedbo sistema za boj proti goljufijam in za to porabila lasten proračun.
J.I.: Izvedeno analitično orodje pravzaprav odloča samostojno. Kje je potegnjena meja med zadostnostjo in redundantnostjo avtomatizacije? Katere odločitve ni mogoče zaupati možganom programske opreme?
IN.: Meja je nenehno v gibanju, nahaja se med samodejnim knjiženjem in avtomatskim blokiranjem plačila. Če se je stopnja goljufije, za katero je določena stopnja tveganja v sistemu, znižala/povišala, v njej prilagodimo kriterije odločanja. Hkrati je nemogoče popolnoma avtomatizirati vrednotenje operacij in prepustiti celoten proces na milost in nemilost analitičnemu orodju. To pomeni, da obstaja zaupanje v sistem za boj proti goljufijam, vendar je treba njegovo raven nadzorovati. Včasih se o plačilu lahko odloči samo oseba, to smo večkrat potrdili. Kot pravi en pregovor, je avto "norec": ne more predvideti vseh odtenkov. Tehnična napaka je na primer povzročila povečanje odzivnega časa med sistemi, zato se rešitev ni odločila za odgovor. Imamo usposobljene strokovnjake, ki včasih delujejo hitreje kot rešitev za boj proti goljufijam. Zato v našem primeru govorimo o avtomatiziranem sistemu, ne o avtomatskem. Torej zaupamo, vendar preverjamo.
J.I.: Izvedba in delovanje kompleksnega sistema obvladovanja tveganj je za bančno ekipo veliko dela. Kakšne kompetence bi morali imeti zaposleni za zagotavljanje delovanja tovrstnih rešitev? Ali takih kadrov primanjkuje?
IN.: Na vprašanje bom odgovoril z vprašanjem: koliko odtenkov rdeče lahko vidi povprečen človek? Težko je reči. In pri našem delu je to le najpomembnejše - znati razlikovati največje število "odtenkov" tveganih operacij v sistemu. Strokovnjak bi moral biti sposoben prepoznati znake morebitne goljufije, tudi s pomočjo profesionalne intuicije. To pride samo z izkušnjami. Na našem področju delajo ljudje z različno začetno prtljago znanja. Nekateri – IT ljudje – imajo dobro izkušnjo sistemske analize velikih količin podatkov, vendar nikoli niso delali z goljufivimi transakcijami. Drugi - "opera" - so jedli psa pri ocenjevanju operacij, razmišljajo v smislu IP naslovov, dnevnikov, a si hkrati ne predstavljajo principov organiziranja baz podatkov, ne znajo izvesti sistemske analize. . Izmenjava izkušenj, skupno timsko delo tovrstnih strokovnjakov daje sinergijski učinek. Zelo pomembno je imeti kompetentnega vodjo enote za boj proti goljufijam, ki bo zgradil celoten proces in pravilno postavil poudarke. Če povzamemo vse našteto: pripravljeni, usposobljeni strokovnjaki na našem področju so “brez v kosu”.
J.I.: Delno ste se že dotaknili vprašanja interakcije med službo za varovanje informacij in poslovnimi enotami. Kakšna je vaša ideja o optimalni strukturi za funkcijo boja proti goljufijam?
IN.: Najpomembneje je, da je treba interakcijo med informacijsko varnostjo in poslovanjem opisati v obliki poslovnega procesa. Poleg tega morajo vsi njeni udeleženci jasno razumeti, kaj je treba storiti v primeru incidenta - podrobno si predstavljati postopek za odzivanje. V ta namen ima Moskovska banka uredbo o postopku interakcije. Pri opisu poslovnega procesa je treba ločiti cone in mero (lahko tudi materialno) odgovornosti vsake skupine udeležencev. Spomnim se Leonida Filatova "O Fedotu Strelcu, drznem mladeniču": "Priznam svojo krivdo. Meru. Stopnja. Globina."
Naš oddelek za varnost ima interne dokumente, ki opisujejo, kaj, kam, v kakšni obliki in kako hitro naj strokovnjaki za informacijsko varnost prenesejo v primeru incidenta. Minute pogosto štejejo, zato je sedenje in razmišljanje o tem, kaj je treba narediti in kdo je kriv, nesprejemljivo. Zaposleni mora imeti jasen algoritem dejanj "en-dva-tri". Hkrati ima pri roki vse predloge dokumentov, ki jih je treba poslati, ažurne sezname elektronskih naslovov. To pomeni, da morate vzpostaviti proces in usposobiti ljudi.
J.I.: Kako lahko ocenite ekonomsko učinkovitost enot, katerih funkcije so povezane z bojem proti goljufijam?
IN.: Ni šans. Naše gospodarske učinkovitosti ni mogoče izmeriti. Ta mesec smo na primer ugotovili več primerov goljufij kot prejšnji mesec. Kaj pravi? Ali nam gre bolje? Ali pa so prevaranti sprejeli šokantni tempo "proizvodnje"? Oddelek za informacijsko varnost lahko svoje delovanje ocenjuje le glede na odstotek obdelanih in odkritih incidentov. Grobo rečeno, če smo preučili vsa razkrita dejstva goljufije, smo učinkoviti. A v vsakem primeru ostaja slepa pega – nemogoče je vedeti, ali smo vse izračunali ali ne.
Paradoksalno je, da lahko podjetje oceni učinkovitost našega dela samo na podlagi izgub. Ali obstaja škoda zaradi goljufije? Da - predvidljivo, sodi v obseg načrtovanih izgub. To pomeni, da je ravnovesje, o katerem smo govorili zgoraj, izpolnjeno, varnost deluje dobro. Če je stopnja škode višja od sprejemljive, pomeni, da je nekje "luknja". Poleg tega ni dejstvo, da je to pomanjkljivost v okolju informacijske varnosti. Morda eden od poslovnih procesov zahteva podroben pregled za povečanje stopnje varnosti informacij. In na tem bomo delali skupaj z ekipo strokovnjakov iz drugih oddelkov banke.
J.I.: Najlepša hvala, da ste si vzeli čas za klepet!
Katera so glavna varnostna vprašanja, ki jih trenutno izpostavljate, tako z vidika informacijske varnosti kot z vidika varnosti poslovanja?
Andrej Bogoslovskikh, direktor Direktorata za informacijske tehnologije Rosbank: Osredotočenost hekerske skupnosti na ustvarjanje zlonamerne kode, prilagojene tehnologijam sistemov daljinskega bančništva. Kraja gesel in ključnih informacij iz okuženih odjemalskih računalnikov.
Konstantin Medentsev, podpredsednik za informacijske tehnologije, Moskovska banka za obnovo in razvoj: Glavna naloga informacijske varnosti je zagotoviti in izboljšati zaščito informacijske infrastrukture. Informacijska tehnologija se vse pogosteje uporablja v kriminalne namene. Tehnologija postaja vse bolj dostopna, stroški napadov na informacijske sisteme pa se znižujejo, zaščita elektronskih informacijskih virov pa dražja. S pomočjo informacijskih sistemov kreditnim institucijam uspe znatno znižati stroške storitev za stranke, kar posledično vodi do povečanja dobička. Mehanizmi za izpolnjevanje zahtev, ki jih postavljajo regulatorji, pa vodijo do znatnega dviga stroškov bančnih storitev. Višja kot je stopnja zaščite podatkov, težje jih je seveda pridobiti, saj postaja arhitektura ustreznih avtomatiziranih sistemov bolj zapletena. V zvezi s tem je pomembno najti celosten pristop ali algoritem ukrepov, katerega izvajanje bo omogočilo izpolnjevanje zakonskih zahtev, hkrati pa ne bo negativno vplivalo na delovanje banke in ne bo povzročilo dviga stroškov izdelkov in storitev za potrošnika.
Vladilen Novoseletsky, vodja oddelka za informacijsko varnost BINBANK: Glavna težava je omejena sredstva za informacijsko varnost. V veliki meri določa vse druge težave.
Druga težava je izbira za posel tiste stopnje svobode, ki po eni strani ne bo dovolila, da bi zlobniki uničili posel, po drugi strani pa ne bo zadušila poslovanja. Očitno ne bo incidentov z informacijsko varnostjo, če bo vse prepovedano. Toda potem se posel ne bo razvijal. Zato je treba najti ravnovesje med svobodo delovanja, ki je potrebna za poslovanje, in sistemom omejitev, potrebnih za zagotavljanje informacijske varnosti.
Tretji problem je problem izbire informacijske varnostne naprave z zahtevano funkcionalnostjo, ki nima opaznega negativnega vpliva na varovana sredstva (problem funkcionalnosti in združljivosti). Na trgu je veliko SZI, ampak ... na papirju je bilo gladko.
Četrti problem je pravna – licenciranje dejavnosti z uporabo CIPF, certificiranje CIPF in atestiranje objektov avtomatizacije. Med certificiranimi FSTEC Rusije (FSB Rusije) je večina naprav za informacijsko varnost zastarelih. Zato se pri izbiri objekta za informacijsko varnost poraja dilema: izpolniti zahteve zveznega zakona z nakupom certificiranega, a zastarelega objekta za informacijsko varnost. Ali pa kupite najnovejši razvojni sistem za zaščito informacij in s tem učinkovitejši, vendar necertificiran. Če je izbrana in že kupljena necertificirana različica informacijskega varnostnega sistema, se njeno naknadno certificiranje spremeni v preprosto korito za organizacije, ki se ukvarjajo s tem. V času certificiranja se informacijski varnostni sistem ne bo izboljšal, se bo pa precej podražil. In če se izkaže, da je rezultat certificiranja negativen, kaj storiti s tem objektom za varnost informacij? Vrniti prodajalcu?
Oleg Podkopaev, CIO banke Rusfinance: Kot vedno, je glavna grožnja informacijski varnosti organizacije in podjetja notranja oseba. In čeprav so posledice notranjih dejanj praviloma manj vidne v eksplicitni obliki in včasih celo preprosto niso vidne - je ravno to njihova glavna nevarnost. Ogrožanje baze strank, na primer, poleg neposrednih pravnih tveganj dodatno vodi v zmanjševanje poslovanja in izgubo tržnega deleža, posledice pa so vidne šele, ko je za karkoli prepozno. V skladu s tem je treba glavna prizadevanja usmeriti v preventivne ukrepe za preprečevanje takšnega puščanja ali pravočasno odkrivanje.
Alexander Turkin, vodja centra za preverjanje in informacijsko podporo BINBANK: Pri certificiranju objektov informatizacije je slika naslednja: ob vsaki spremembi je treba objekt ponovno certificirati. Toda v banki se spremembe dogajajo ves čas! Spreminja se tako računalniška strojna kot programska oprema, prav tako tehnologija dela. Tako se formalno certificiranje/ponovno certificiranje spremeni v neprekinjen neskončen proces z neskončnimi stroški.
Kot veste, za uporabo orodij za zaščito kriptografskih informacij, ki sodijo pod Uredbo vlade Ruske federacije z dne 29. decembra 2007 št. 957, ki je potrdila Pravilnik o licenciranju nekaterih vrst dejavnosti, povezanih s šifriranjem (kriptografskim) sredstvom, Potrebna so dovoljenja Zvezne varnostne službe Rusije. Toda potem so potrebni ne samo za banko, ampak tudi za vse stranke sistema Client-Bank. Podobno za vse stranke elektronskih sistemov izmenjave z Zvezno davčno službo, Pokojninskim skladom itd. Izkazalo se je, da so licence FSB Rusije potrebne za večino organizacij v državi.
Evgeny Shevtsov, podpredsednik CJSC JSCB NOVIKOMBANK: Kreditne in finančne organizacije se danes vse pogosteje soočajo s široko paleto obstoječih groženj, kot so računalniške goljufije, računalniški virusi, vdori v računalniške sisteme, zavrnitev storitve itd. Velika odvisnost teh organizacij, predvsem naše banke, od informacijskih virov, konsolidacija korporativnih omrežij in javnih dostopnih omrežij, souporaba informacijskih virov povečuje ranljivost za takšne grožnje. Ker obstoječi informacijski sistemi v banki niso bili prvotno zasnovani z zahtevano stopnjo varnosti, so možnosti za zagotavljanje informacijske varnosti v večini primerov omejene.
Najpomembnejši problem, s katerim se soočata uprava in varnostna služba, je problem notranjih groženj informacijski varnosti oziroma, drugače povedano, problem varovanja informacij pred notranjimi informacijami.
Zato je danes tako z vidika informacijske varnosti kot tudi z vidika poslovne varnosti bistven celovit sistem informacijske varnosti, ki vključuje ne le tehnične, temveč tudi organizacijske vire, katerih vzpostavitev lahko banko stane veliko ceneje kot odprava. posledic groženj IS.
Se je zaradi krize spremenila narava odnosa med IT-oddelkom banke in varnostno službo? Ali je prišlo do prerazporeditve odgovornosti in funkcij? Kako?
Andrej Bogoslovskikh: Kriza ni spremenila razmerja med IT in varnostjo.
Konstantin Medentsev: Finančno-gospodarska kriza je močno vplivala na naravo poslovanja, kar je v nekaterih primerih privedlo do opaznih sprememb v strukturi kreditnih institucij, povezanih bodisi z zmanjševanjem ali prerazporeditvijo nalog med oddelki. Z vidika informacijske varnosti z glavnimi povezanimi oddelki, in sicer z oddelki informacijske tehnologije. Opažanja kažejo, da v nekaterih primerih pride do prenosa funkcij v zvezi z delovanjem sistemov varovanja informacij na enote informacijske tehnologije. Negativen vpliv te prerazporeditve na poslovanje kot celoto pa se lahko v osnovi pokaže le, če ni pravočasne prilagoditve postopkov za interakcijo sorodnih oddelkov. V primeru kompetentnega opisa postopkov interakcije ta prerazporeditev nima negativnega vpliva.
Vladilen Novoseletsky: V zvezi z uveljavitvijo zakona "O osebnih podatkih" bi se morala narava razmerja spremeniti v smeri informacijske varnosti. Vendar se ni spremenil. Možno je, da je k temu največ prispevala kriza.
Oleg Podkopaev: Kriza kot taka seveda ni vplivala na tovrstne odnose, saj je bilo njeno bistvo drugačno. Toda z vidika interakcije med oddelki banke so dejanja postala bolj usklajena. V večji meri so vplivale zahteve regulatorjev, katerih izvajanje zahteva jasnejšo interakcijo med IT in varnostnimi storitvami. Hkrati se porazdelitev funkcij ne spreminja: enote za informacijsko varnost so regulatorni in nadzorni organi v banki, IT je zasnovan za izvajanje in zagotavljanje informacijske varnosti.
Evgenij Ševcov: Narava interakcije se ni spremenila. Naloge in funkcije oddelkov so ostale enake, določene z regulativnimi dokumenti banke.
Kako ocenjujete vlogo regulatorja na področju informacijske varnosti bank? Kako koristni so zlasti ukrepi, ki jih Centralna banka Ruske federacije sprejema na zakonodajnem področju?
Andrej Bogoslovskikh: Banka Rusije razvija standarde IS, so svetovalne narave (niso zakonodajno področje). Ocena je dvojna. Po eni strani so uporabni standardi IS Centralne banke Ruske federacije, saj temeljijo na sodobnih mednarodnih standardih IS. Po drugi strani pa je v njih veliko polemik, saj temeljijo tudi na zastarelih metodah in navodilih Državne tehnične komisije (FSTEC).
Konstantin Medentsev: Prizadevanja centralne banke ne morejo ostati neopažena. Pomemben mejnik v razvoju regulativnega in metodološkega okvira Centralne banke na področju informacijske varnosti je bila izdaja številnih regulativnih dokumentov. Kot sta "Metodologija za ocenjevanje skladnosti varnosti informacij z zahtevami STO BR IBSS-1.0-2008" in "Metodologija za ocenjevanje tveganj kršitev informacijske varnosti".
Oleg Podkopaev: Menim, da Centralna banka Ruske federacije ravna popolnoma pravilno, saj navaja banke na idejo o možni ureditvi na področju informacijske varnosti. Poleg tega je to storjeno zelo razumno, tako da najprej izdamo priporočila in metode samoocenjevanja, izvedemo pilotne revizije informacijske varnosti in šele nato – in to je vprašanje časa – z uvedbo obveznih zahtev.
Alexander Turkin: Imamo tri regulatorje na področju informacijske varnosti: Centralno banko Ruske federacije, FSTEC Rusije in FSB Rusije. Koraki Centralne banke na zakonodajnem področju se izvajajo v interesu bank, zato so za banke zagotovo koristni, čas pa bo pokazal, kako učinkoviti bodo. Zaenkrat kaže, da bo nekaj učinka, čeprav bo morda manjši, kot bi si želeli. Prejeli smo odlog za eno leto in FSTEC Rusije je odstranil žig iverne plošče iz štirih svojih dokumentov - že dobro. Hkrati bi rad poudaril, da je vloga Banke Rusije v tej zadevi nedvomno pozitivna. Na povabilo Andreja Petroviča Kurila smo vstopili v delovno skupino ARB po zakonu št. 152-FZ. Menim, da so predlogi in pripombe za izboljšanje zakonodaje na področju osebnih podatkov, ki so se rodili na sestankih delovne skupine, pomembno prispevali k splošni zakladnici.
Evgenij Ševcov: Glavni dokument, ki vodi službo za informacijsko varnost banke v njenih dejavnostih, je Standard Banke Rusije: "Zagotavljanje informacijske varnosti organizacij bančnega sistema Ruske federacije. Splošne določbe« (STO BR IBBS-1.0-2008). Pričakujemo, da bo nova različica dokumenta postala industrijski standard za ruske finančne institucije.
Začetek veljavnosti zahtev zakona št. 152-FZ v celoti. Koliko so banke danes pripravljene na to? Kaj daje enoletno zamudo, ki je bila dosežena?
Andrej Bogoslovskikh: Banke niso pripravljene. Letna zamuda ne pomaga veliko. Zaščita PD močnejša od bančnih in poslovnih skrivnosti je nesmisel.
Konstantin Medentsev: Kljub temu, da je bil leta 2006 sprejet Zvezni zakon o osebnih podatkih, so bili regulativni in metodološki dokumenti, ki urejajo postopke izgradnje sistemov za varstvo osebnih podatkov, objavljeni veliko pozneje. Glede na precejšnje finančne stroške izvajanja sistemov varovanja je operaterjem, ki obdelujejo osebne podatke, ostalo premalo časa za njihovo implementacijo. V zvezi s tem je enoletna zamuda prišla zelo prav.
Oleg Podkopaev: Seveda nihče, vključno z bankami, ni v celoti pripravljen na uvedbo zakona št. 152-FZ. Poleg tega regulatorji niso pripravljeni, kar je na splošno določilo možnost odložitve rokov. Poleg tega je enoletna zamuda pri tem potrebna ne toliko operaterjev kot zakonodajalcev, da bi uvedli potrebne spremembe, oblikovane v procesu izvajanja zahtev zakona in ustreznih predpisov v praksi. Mislim, da bo to storjeno v letu 2010. Prav tako bo postalo jasno, kaj in kako narediti, zahteve bodo bolj skladne z realnostjo in končno bodo svetovalci pridobili izkušnje pri izvajanju "pilotnih" projektov.
Alexander Turkin: Tu je ena od težav razlaga tega zveznega zakona in podzakonskih aktov. Če se pristopi formalno in strogo, potem banke niso pripravljene, in leto zamude ne bo bistveno spremenilo položaja. Če se številne zahteve prilagodijo v smeri njihove oslabitve, se bo stopnja pripravljenosti povečala.
Evgenij Ševcov: Enoletni odlog ponuja priložnost za prihranek denarja z izpolnjevanjem teh zahtev.
Kako resen je problem DDOS napadov na spletne strani bank, lažnega predstavljanja in drugih groženj kanalom RBS v povezavi z razvojem storitev oddaljenega bančništva in načrti za aktivni razvoj bank v tej smeri?
Andrej Bogoslovskikh: Grožnja DDoS je resna, ne sama po sebi, ampak kot sredstvo za skrivanje goljufivih transakcij z uporabo ukradenih podatkov o strankah.
Konstantin Medentsev: Kot smo že omenili, razvoj informacijske tehnologije vpliva na kriminalno sfero. Vendar pa lahko sistemi daljinskega bančništva, če so pravilno zasnovani, precej samozavestno prenesejo določene vrste groženj. Trenutno obstoječa orodja za spremljanje omrežne aktivnosti omogočajo dokaj hitro prepoznavanje vira DDOS napada in hkrati preprečujejo poškodbe tehničnih sredstev samega sistema oddaljenega bančništva. Vendar pa so težave, povezane z nepooblaščeno uporabo ključnih informacij, le malo zaobšle. Ta pojav je mogoče izključiti le s skupnimi močmi tako s strani kreditnih institucij - z uvedbo naprednejših mehanizmov za izvajanje kriptografskih postopkov, kot s strani samih komitentov - z doslednim upoštevanjem priporočil za zagotavljanje informacijske varnosti.
Alexander Turkin: Problem je eden najresnejših. Nekatere banke so nabrale veliko informacij o virih tovrstnih groženj. Njena konsolidacija bi verjetno lahko znatno povečala stopnjo razkritja na tem področju. Vendar ni nobenega konsolidacijskega organa pregona, ki bi ga zanimale takšne informacije. In to kljub dejstvu, da se v doktrini informacijske varnosti Ruske federacije ta grožnja šteje za resno za gospodarstvo države.
Evgenij Ševcov: Menim, da je ta problem resen. Banka potrebuje orodja za preprečevanje takšnih napadov v začetni fazi njihovega delovanja. Pa ne samo za preprečevanje, ampak za zaščito.
Katere so glavne težave/grožnje za vaše delovanje na področju informacijske varnosti, ki jih vidite v bližnji prihodnosti – 2010?
Andrej Bogoslovskikh: Skladnost z zahtevami metodoloških priporočil FSB in FSTEC za varstvo osebnih podatkov. Razvoj smeri goljufij z uporabo kanalov daljinskega bančništva.
Konstantin Medentsev: Tehnološki napredek vztrajno napreduje. Kot smo že omenili, prodor informacijske tehnologije v kriminalno sfero poteka pospešeno. V zvezi s tem se zdi, da se lahko število groženj informacijski varnosti dejavnosti kreditnih institucij le povečuje. Vendar pa lahko le čas poda natančnejšo oceno njihove narave in posledic.
Vladilen Novoseletsky: Glavna težava je uskladitev banke z Zakonom o osebnih podatkih, glavna grožnja pa je nerazumevanje oziroma nerazumevanje tega problema s strani vseh tistih oseb, od katerih je odvisna njegova rešitev.
Evgenij Ševcov: V okviru oblikovanja sistema varstva osebnih podatkov razmisliti o vprašanju organizacije integriranega varnostnega sistema za informacijske vire banke.
ocena:
