1 основные принципы обеспечения информационной безопасности банка. Видео: Правила защиты банковской карты от мошенничества

Если обеспечить 100%-ную техническую защищенность бизнеса, он просто не сможет приносить прибыль. Если же не ставить никаких защитных ограничителей при проведении операций или реализации банковских продуктов, мошенники, скорее всего, камня на камне не оставят». В таком ключе проходила наша беседа с Василием Окулесским, к. т. н., начальником управления информационной безопасности Департамента по обеспечению безопасности Банка Москвы.

J.I.: Василий Андреевич, какова Ваша оценка текущей ситуации с мошенничеством в банковской сфере?

В.О.: Сейчас мы наблюдаем рост от 30 до 50% по разным видам мошенничества по сравнению с прошлым годом. Изменилась и его видовая структура: в первую очередь идет резкий возврат к мошенничеству с банкоматами.

За последний год совокупная банкоматная сеть российских банков выросла на 40%, этот чисто технический фактор стал подспудной причиной роста преступлений. Изменились и сами методы атаки на банкоматы. Появились так называемые «взрывники», причем их отличает высокая скорость «работы» - вся операция по хищению занимает меньше минуты. Вернулись программные средства атаки, находившиеся на пике популярности в 2009 году. Причем наблюдаются принципиально новые методы: банкоматы атакуют дистанционно, провоцируют перезагрузку, или атака идет непосредственно на исполнительные устройства - на тот же депозитор. Объем ущерба от таких действий существенно превышает потери от других видов мошенничества с банкоматами.

В российской банковской сфере наблюдается устойчивый тренд на развитие функциональности web-банкинга для физических и юридических лиц. Мошенникам новый функционал тоже нравится, прежде всего в плане потенциально открывающихся возможностей для хищения денег. Соответственно, банки просто не могут не вкладываться в повышение безопасности своих интернет-сервисов. Отмечу, что из всех российских банков «просто так» инвестирует в свою ИБ только Тинькофф Банк - для него это единственное средство обеспечить безопасность бизнеса.

Тенденция последних нескольких месяцев - атаки на информационные системы банков. Атакуют непосредственно средство управления корреспондентскими счетами - это позволяет мошенникам одномоментно выводить огромные деньги. Подобные операции требуют от злоумышленников высокой квалификации и серьезной подготовки.

J.I.: То есть объектом атак зачастую является уже не клиент, а сам банк?

В.О.: Да, это связано с несколькими факторами. Во-первых, банки тратят много усилий на защиту своих клиентов, и это действительно работает. Во-вторых, клиенты стали более продвинутыми в ИБ-вопросах. Сейчас формулировка «купил антивирус, поставил на компьютер, но он почему-то не работает» встречается гораздо реже. Клиенты уже знают, что и как нужно ставить, обновлять, каковы юридические последствия от применения лицензионного и нелицензионного ПО и т.д. Люди более подготовлены, их стало труднее атаковать, все это вынуждает мошенников «переходить» на банки.

Отмечу, что сама структура и средства подобных атак принципиально другие. Поэтому необходимо пересмотреть парадигму формирования банковских информационных систем. Безопасники должны подключаться к работе еще на первых этапах жизненного цикла системы, а не на стадии ее сдачи в промышленную эксплуатацию. То есть нужно учитывать все ИБ-вопросы еще при разработке.

Более того, должно измениться само понимание информационной безопасности. Защита информации - это не дискретный процесс «поставили решение, все работает, расслабились», а непрерывная деятельность, своеобразный способ мышления людей, которые разрабатывают системы, работают с конфиденциальными документами и др.

J.I.: Каким именно должно быть это мышление?

В.О.: Приведу простейший пример, касающийся 3 основных составляющих ИБ - конфиденциальности, целостности и доступности данных. В отношении этой триады наблюдается интересный логический парадокс: если понятие, на первый взгляд, кажется простым и ясным, его реализация на практике практически невозможна. Что такое целостность? Простой вопрос. Но вот вы подписываете документ электронной подписью, основное требование при этом - вы должны быть уверены в том, что именно подписываете. То есть должна быть обеспечена целостность изначального объекта подписи и того, что вы видите на экране. Насколько вообще электронный документ в базе данных соответствует бумажному оригиналу? Насколько легитимна воспроизведенная на бумаге подписанная электронная версия? Кто имеет представление о том, что такое Windows, понимает, что озвученное выше требование в принципе не реализуемо. Или нужно отказываться от столь популярной операционной системы и технологии работы в многозадачных режимах, причем изобрести такой способ визуализации электронных документов, который бы обеспечивал целостность на всех стадиях их преобразования.

Вопрос не так уж и прост, он упирается в технические средства, технологию работы. Если мы не будем решать его на уровне изначальной постановки задачи, то попросту не сможем понять, что именно должны защищать, что для нас является объектом обеспечения ИБ. Не факт, что документ, который мы реально защищаем, соответствует тому, что был на входе и действительно подлежал защите.

J.I.: Какой тип мошенничества наиболее опасен в настоящий момент?

В.О.: Пальма первенства сейчас, как и последние несколько лет, - у внутренних мошенничеств. Их невозможно блокировать системами противодействия. Если сотрудники сговорятся между собой, вам, грубо говоря, ничего не поможет. Выявить внутренних злоумышленников очень трудно, а последствия таких сговоров существенно масштабнее, чем ущерб от какого-либо другого вида мошенничества.

Отдать % мошенникам?

J.I.: В чем заключаются основные подходы к обеспечению ИБ в Вашем банке?

В.О.: Мы планомерно усиливаем безопасность наших сервисов. Но фокус внимания в части обеспечения ИБ сместился. Если раньше мы защищали клиента от периодически возникающих угроз - фишинга, возможности подмены его реквизитов, обеспечивали защиту средств аутентификации, то сейчас мы априори считаем, что клиент всегда поражен. 80% клиентов изначально пользуются банковскими сервисами под контролем мошенников. Поэтому парадигма защиты должна быть изменена. Мы предполагаем, что периметр уже достаточно защищен, поэтому переключаем внимание на транзакции. Собственно, одно из наиболее эффективных современных направлений - это анализ транзакций.

J.I.: Возможно, через определенное время банки будут вынуждены признать, что их инфраструктура также является априори уязвимой и управляемой мошенниками на 80%. И значит, единственным выходом будет контроль уже внутрибанковских транзакций с помощью систем, аналогичных решениям для контроля клиентских транзакций.

В.О.: В этом есть доля истины. Я не открою Америку, если скажу, что обеспечение информационной безопасности развивается по спирали, и каждый виток происходит на принципиально другом уровне. 10 лет назад мы говорили практически о том же - нужно защищать внешний периметр банка. За эти годы мы прошли несколько витков защиты клиента и снова вернулись к начальной точке - банку. Только теперь речь идет об изменении самой идеологии построения информационной инфраструктуры для изначального учета ИБ-вопросов.

J.I.: Как известно, бизнес зачастую негативно относится к развитию и ужесточению ИБ. Как Вам удается приводить банк в соответствие современным практикам обеспечения информационной безопасности?

В.О.: Самый эффективный стимул для повышения уровня ИБ в компании - обязательное участие бизнеса в процессе возмещения финансового ущерба от мошенничества. Например, у нас идет разработка нового банковского продукта. Мы посмотрели свою ИБ-триаду, выдали замечания, закрыли видимые нам дыры. Именно видимые нам, поскольку в каждой разработке есть несколько связанных пластов. Уязвимости в пластах мы устраняем, а вот особенности связей между ними гораздо лучше знает команда разработчиков. В документах по продукту, с которыми мы работаем, они не прописываются. В то же время эти связи зачастую и являются объектами атаки. Если разработчики совершенно не заинтересованы в том, чтобы выстроить их правильно с точки зрения ИБ, по выходу продукта мы рискуем ощутить на себе повышенное внимание мошенников. Если же финансовые потери будут коррелировать с конкретными премиями разработчиков и тех бизнес-подразделений, которые инициировали появление продукта, они сами будут стремиться по максимуму «вычистить» его.

Если правильно выстроить систему баланса финансовой ответственности между подразделениями, бизнес-процессы, имеющие высокую фродулентность, автоматически становятся более безопасными

Механизм обеспечения ИБ, действующий уже на этапе предложения продукта на рынке, - всем известные stop loss. Как только по нему фиксируются несколько мошеннических операций или сумма ущерба от действий злоумышленников превышает допустимое значение, банк останавливает предложение. Мы анализируем продукт, устраняем узкие места и только потом снова запускаем его в работу. Естественно, для любого бизнеса первостепенна прибыль от оказываемых услуг, поэтому он, скорее, заинтересован в увеличении допустимого числа мошеннических операций или суммы ущерба. По факту это предмет торга между ИБ- и бизнес-подразделениями, наша общая задача - находить компромисс. Мы постепенно выстроили у себя этот подход. «Мы уже знаем - будут stop loss и лимиты, так что давайте совместно работать» - такова позиция бизнеса при внедрении нового продукта. Наш мобильный банкинг - пример того, как ответственно бизнес подходит к вопросам ИБ: изначально он озвучил более жесткие условия аутентификации клиентов на мобильных устройствах, чем предлагали мы.

J.I.:Допустим, нужно максимально быстро вывести на рынок новую услугу, чтобы опередить конкурентов и не потерять потенциальную прибыль. Можете ли вы в этом случае несколько снизить критичность вопроса обеспечения ИБ?

В.О.: «Закрыть глаза» мы в любом случае не можем, просто работаем в таком же напряженном темпе, что и разработчики. Явную шелуху отбиваем сразу, уязвимости, которые мы не успеваем проработать глубоко и детально до выхода продукта, устраняются на этапе stop loss.

Вообще если бизнес выпускает на рынок сырую с точки зрения ИБ услугу, он должен быть готов к тому, чтобы отдать мошенникам определенный процент с каждого заработанного на ней миллиона. Официальный ущерб здесь может составлять и 5, и 50%. Ответственность за риски мошенничества в данном случае целиком будет лежать на бизнес-подразделении, и это должно быть отражено в соответствующем бизнес-соглашении.

Как я уже говорил выше, распределение ответственности действует отрезвляюще. Допустим, вы устанавливаете банкомат в потенциально опасном месте, невзирая на рекомендации ИБ-шников по поводу сигнализации, видеонаблюдения и т.д. Стоимость современного банкомата - около 30 тыс. долларов. Если мошенник ломает его, ремонт может быть отнесен на общебанковский счет, на счет процессинга или же вашего розничного подразделения. В аналогичной ситуации в будущем к ИБ-специалистам прислушаются. Мы говорим с бизнесом на его языке - о потере прибыли, рисках, финансовой ответственности и т.д.

Доверяй, но проверяй

J.I.: Не так давно Банк Москвы внедрил систему защиты от мошенничества в каналах ДБО для юридических лиц. Расскажите, какие цели стояли перед проектом? Достигнуты ли они?

В.О.: Наш проект в некотором роде уникален - мы ставили своей целью не повышение уровня безопасности, а снижение стоимости самой процедуры выявления мошенничества. До этого 400 операционисток банка звонками подтверждали каждый новый платеж - их было около 10 тысяч в день. В результате мы уменьшили число контрольных звонков во фронтальных подразделениях при проведении платежей - по отдельным направлениям более чем в 10 раз. Нагрузка на операционисток снизилась, они переключились на продажу банковских продуктов - деятельность, напрямую приносящую прибыль.

Наш бизнес пришел к пониманию, что, с одной стороны, безопасность стоит денег, а с другой - без нее денег будет гораздо меньше.

Правильная формулировка цели проекта с нашей стороны - «давайте сделаем безопасность дешевле» - привела к тому, что бизнес-подразделение согласилось внедрить антифрод-систему и задействовало для этого свой бюджет.

J.I.: Внедренный аналитический инструмент, по сути, сам принимает решения. Где проходит грань между достаточностью и избыточностью автоматизации? Какие решения нельзя доверить программному мозгу?

В.О.: Граница все время находится в движении, она располагается между автоматическим проведением и автоматической блокировкой платежа. Если уровень мошенничества, по которому выставлен уровень риска в системе, снизился/повысился, мы корректируем в ней критерии принятия решений. При этом нельзя полностью автоматизировать оценку операций и отдавать весь процесс на откуп аналитическому инструменту. То есть доверие к антифрод-системе есть, но его уровень должен контролироваться. Иногда решение по платежу может принять только человек, у нас это неоднократно подтверждалось. Как сказано в одной пословице, машина - «дура»: она не может предусмотреть все нюансы. Например, технический сбой привел к увеличению времени отклика между системами, в итоге решение не определилось с ответом. У нас в штате есть обученные специалисты, которые порой могут сработать быстрее, чем антифрод-решение. Поэтому в нашем случае мы говорим об автоматизированной системе, а не об автоматической. Так что мы доверяем, но проверяем.

«Штучный товар»

J.I.: Внедрение и эксплуатация сложной системы контроля рисков - это большой труд банковской команды. Какими компетенциями должны обладать сотрудники, призванные обеспечивать эксплуатацию подобных решений? Существует ли дефицит таких кадров?

В.О.: Отвечу вопросом на вопрос: сколько оттенков красного может увидеть среднестатистический человек? Сложно сказать. А в нашей работе это как раз самое важное - уметь различать максимальное количество «оттенков» рисковых операций в системе. Специалист должен уметь выявлять признаки возможного мошенничества, в том числе с помощью профессиональной интуиции. Это приходит исключительно с опытом. В нашей области работают люди с разным изначальным багажом знаний. У одних - ИТ-шников - хороший бэкграунд по системному анализу больших объемов данных, но они никогда не работали с мошенническими операциями. Другие - «опера» - собаку съели на оценке операций, они мыслят в терминах IP-адресов, логов, но при этом не представляют себе принципы организации баз данных, не знают, как проводить системный анализ. Обмен опытом, совместная командная работа таких экспертов дают синергетический эффект. Крайне важно иметь грамотного руководителя подразделения по борьбе с фродом, который выстроит весь процесс, правильно расставит акценты. Резюмируя все вышесказанное: подготовленные, обученные специалисты в нашей области - «штучный товар».

J.I.: Вы уже частично затронули вопрос взаимодействия ИБ-службы с бизнес-подразделениями. Какой Вы себе представляете оптимальную структуру функции противодействия мошенничеству?

В.О.: Самое главное - взаимодействие ИБ и бизнеса должно быть описано в формате бизнес-процесса. Причем все его участники должны четко понимать, что нужно делать в случае инцидента, - детально представлять себе порядок реагирования. Для этого в Банке Москвы существует положение о порядке взаимодействия. При описании бизнес-процесса нужно разделить зоны и меру (не исключено, что и материальную) ответственности каждой группы участников. Вспоминается «Про Федота-стрельца, удалого молодца» Леонида Филатова: «Сознаю свою вину. Меру. Степень. Глубину».

В нашем Департаменте по обеспечению безопасности есть внутренние документы, описывающие, что, куда, в какой форме и как быстро ИБ-специалисты должны передавать при инциденте. Счет зачастую идет на минуты, поэтому сидеть и размышлять о том, что нужно сделать и кто виноват, недопустимо. У сотрудника должен срабатывать четкий алгоритм действий «раз-два-три». При этом у него под рукой все шаблоны документов, которые нужно отправить, актуальные списки электронных адресов. То есть нужно наладить процесс и тренировать людей.

J.I.: Как можно оценить экономическую эффективность работы подразделений, чьи функции связаны с борьбой с мошенничеством?

В.О.: Никак. Нашу экономическую эффективность невозможно измерить. Например, в этом месяце мы выявили больше случаев мошенничества, чем в прошлом. О чем это говорит? Мы стали лучше работать? Или мошенники взяли ударные темпы «производства»? ИБ-подразделение может оценивать свою деятельность только с точки зрения процентного соотношения отработанных и выявленных инцидентов. Грубо говоря, если у нас отработаны все выявленные факты мошенничества, мы эффективны. Но в любом случае остается слепое пятно - невозможно узнать, всё мы вычислили или нет.

Как ни парадоксально, бизнес может оценить эффективность нашей работы исключительно по потерям. Ущерб от мошенничества есть? Есть - прогнозируемый, попадающий в рамки планируемых потерь. Значит, баланс, о котором мы говорили выше, соблюден, безопасность работает хорошо. Если уровень ущерба выше допустимого, значит, где-то «дыра». Причем не факт, что это недоработка в ландшафте информационной безопасности. Возможно, один из бизнес-процессов требует детального пересмотра для повышения уровня ИБ. И над этим мы будем работать совместно с командой экспертов из других подразделений банка.

J.I.: Большое спасибо, что нашли время для беседы!

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

Размещено на http://www.allbest.ru/

Министерство общего и профессионального образования Ростовской области

ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ СРЕДНЕГО ПРОФЕССИОНАЛЬНОГО ОБРАЗОВАНИЯ РОСТОВСКОЙ ОБЛАСТИ

«Ростовский-на-Дону колледж связи и информатики»

По дисциплине: «Информационная безопасность»

Тема: Информационная защита банков

Выполнил: студент

Кладовиков В.С.

Группа ПО-44

Специальность 23010551 Программное обеспечение

вычислительной техники и автоматизированных систем

Руководитель: Семергей С.В.

201 3

Введение

1. Особенности информационной безопасности банков

2. Безопасность автоматизированных систем обработки информации в банках (АСОИБ)

3. Безопасность электронных платежей

4. Безопасность персональных платежей физических лиц

Заключение

Приложения

Введение

Со времени своего появления банки неизменно вызывали преступный интерес. И этот интерес был связан не только с хранением в кредитных организациях денежных средств, но и с тем, что в банках сосредотачивалась важная и зачастую секретная информация о финансовой и хозяйственной деятельности многих людей, компаний, организаций и даже целых государств. В настоящее время в результате повсеместного распространения электронных платежей, пластиковых карт, компьютерных сетей объектом информационных атак стали непосредственно денежные средства как банков, так и их клиентов. Совершить попытку хищения может любой - необходимо лишь наличие компьютера, подключенного к сети Интернет. Причем для этого не требуется физически проникать в банк, можно «работать» и за тысячи километров от него.

Именно эта проблема является сейчас наиболее актуальной и наименее исследованной. Если в обеспечении физической и классической информационной безопасности давно уже выработаны устоявшиеся подходы (хотя развитие происходит и здесь), то в связи с частыми радикальными изменениями в компьютерных технологиях методы безопасности автоматизированных систем обработки информации банка (АСОИБ) требуют постоянного обновления. Как показывает практика, не существует сложных компьютерных систем, не содержащих ошибок. А поскольку идеология построения крупных АСОИБ регулярно меняется, то исправления найденных ошибок и «дыр» в системах безопасности хватает ненадолго, так как новая компьютерная система приносит новые проблемы и новые ошибки, заставляет по-новому перестраивать систему безопасности.

На мой взгляд, каждый заинтересован в конфиденциальности своих персональных данных, предоставляемых банкам. Исходя из этого, написание данного реферата и изучение данной проблемы, на мой взгляд, представляется не только интересным, но и крайне полезным.

1. Особенности информационной безопасности банков

Банковская информация всегда была объектом пристального интереса всякого рода злоумышленников. Любое банковское преступление начинается с утечки информации. Автоматизированные банковские системы являются каналами для таких утечек. С самого начала внедрения автоматизированных банковских систем (АБС) они стали объектом преступных посягательств.

Так, известно, что в августе 1995 г. в Великобритании был арестован 24-летний российский математик Владимир Левин, который при помощи своего домашнего компьютера в Петербурге сумел проникнуть в банковскую систему одного из крупнейших американских банков Citibank и попытался снять с его счетов крупные суммы. По сведениям московского представительства Citibank, до тех пор подобное никому не удавалось. Служба безопасности Citibank выяснила, что у банка пытались похитить $2,8 млн., но контролирующие системы вовремя это обнаружили и заблокировали счета. Украсть же удалось лишь $400 тысяч.

В США сумма ежегодных убытков банковских учреждений от незаконного использования компьютерной информации составляет, по оценкам экспертов, от 0,3 до 5 млрд. долларов. Информация - это аспект общей проблемы обеспечения безопасности банковской деятельности.

В связи с этим, стратегия информационной безопасности банков весьма сильно отличается от аналогичных стратегий других компаний и организаций. Это обусловлено, прежде всего, специфическим характером угроз, а также публичной деятельностью банков, которые вынуждены делать доступ к счетам достаточно легким с целью удобства для клиентов.

Обычная компания строит свою информационную безопасность, исходя лишь из узкого круга потенциальных угроз - главным образом защита информации от конкурентов (в российских реалиях основной задачей является защита информации от налоговых органов и преступного сообщества с целью уменьшения вероятности неконтролируемого роста налоговых выплат и рэкета). Такая информация интересна лишь узкому кругу заинтересованных лиц и организаций и редко бывает ликвидна, т.е. обращаема в денежную форму.

Информационная безопасность банка должна учитывать следующие специфические факторы:

1. Хранимая и обрабатываемая в банковских системах информация представляет собой реальные деньги. На основании информации компьютера могут производиться выплаты, открываться кредиты, переводиться значительные суммы. Вполне понятно, что незаконное манипулирование с такой информацией может привести к серьезным убыткам. Эта особенность резко расширяет круг преступников, покушающихся именно на банки (в отличие от, например, промышленных компаний, внутренняя информация которых мало кому интересна).

2. Информация в банковских системах затрагивает интересы большого количества людей и организаций - клиентов банка. Как правило, она конфиденциальна, и банк несет ответственность за обеспечение требуемой степени секретности перед своими клиентами. Естественно, клиенты вправе ожидать, что банк должен заботиться об их интересах, в противном случае он рискует своей репутацией со всеми вытекающими отсюда последствиями.

3. Конкурентоспособность банка зависит от того, насколько клиенту удобно работать с банком, а также насколько широк спектр предоставляемых услуг, включая услуги, связанные с удаленным доступом. Поэтому клиент должен иметь возможность быстро и без утомительных процедур распоряжаться своими деньгами. Но такая легкость доступа к деньгам повышает вероятность преступного проникновения в банковские системы.

4. Информационная безопасность банка (в отличие от большинства компаний) должна обеспечивать высокую надежность работы компьютерных систем даже в случае нештатных ситуаций, поскольку банк несет ответственность не только за свои средства, но и за деньги клиентов.

5. Банк хранит важную информацию о своих клиентах, что расширяет круг потенциальных злоумышленников, заинтересованных в краже или порче такой информации.

К сожалению, в наши дни, в связи с высоким развитием технологий, даже предельно жесткие организационные меры по упорядочению работы с конфиденциальной информацией не защитят от ее утечки по физическим каналам. Поэтому системный подход к защите информации требует, чтобы средства и действия, используемые банком для обеспечения информационной безопасности (организационные, физические и программно-технические), рассматривались как единый комплекс взаимосвязанных, взаимодополняющих и взаимодействующих мер. Такой комплекс должен быть нацелен не только на защиту информации от несанкционированного доступа, но и на предотвращение случайного уничтожения, изменения или разглашения информации.

2. Безопасность автоматизированных систем обработки информации в банках (АСОИБ)

Не будет преувеличением сказать, что проблема умышленных нарушений функционирования АСОИБ различного назначения в настоящее время является одной из самых актуальных. Наиболее справедливо это утверждение для стран с сильно развитой информационной инфраструктурой, о чем убедительно свидетельствуют приводимые ниже цифры.

Известно, что в 1992 году ущерб от компьютерных преступлений составил $555 млн., 930 лет рабочего времени и 15.3 года машинного времени. По другим данным ущерб финансовых организаций составляет от $173 млн. до $41 млрд. в год.

Из данного примера, можно сделать вывод, что системы обработки и защиты информации отражают традиционный подход к вычислительной сети как к потенциально ненадежной среде передачи данных. Существует несколько основных способов обеспечения безопасности программно-технической среды, реализуемых различными методами:

1.1. Создание профилей пользователей. На каждом из узлов создается база данных пользователей, их паролей и профилей доступа к локальным ресурсам вычислительной системы.

1.2. Создание профилей процессов. Задачу аутентификации выполняет независимый (third-party) сервер, который содержит пароли, как для пользователей, так и для конечных серверов (в случае группы серверов, базу данных паролей также содержит только один (master) сервер аутентификации; остальные - лишь периодически обновляемые копии). Таким образом, использование сетевых услуг требует двух паролей (хотя пользователь должен знать только один - второй предоставляется ему сервером «прозрачным» образом). Очевидно, что сервер становится узким местом всей системы, а его взлом может нарушить безопасность всей вычислительной сети.

2. Инкапсуляция передаваемой информации в специальных протоколах обмена. Использование подобных методов в коммуникациях основано на алгоритмах шифрования с открытым ключом. На этапе инициализации происходит создание пары ключей - открытого и закрытого, имеющегося только у того, кто публикует открытый ключ. Суть алгоритмов шифрования с открытым ключом заключается в том, что операции шифрования и дешифрования производятся разными ключами (открытым и закрытым соответственно).

3. Ограничение информационных потоков. Это известные технические приемы, позволяющие разделить локальную сеть на связанные подсети и осуществлять контроль и ограничение передачи информации между этими подсетями.

3.1. Firewalls (брандмауэры). Метод подразумевает создание между локальной сетью банка и другими сетями специальных промежуточных серверов, которые инспектируют, анализируют и фильтруют весь проходящий через них поток данных (трафик сетевого/транспортного уровней). Это позволяет резко снизить угрозу несанкционированного доступа извне в корпоративные сети, но не устраняет эту опасность совсем. Более защищенная разновидность метода - это способ маскарада (masquerading), когда весь исходящий из локальной сети трафик посылается от имени firewall-сервера, делая закрытую локальную сеть практически невидимой.

3.2. Proxy-servers. При данном методе вводятся жесткие ограничения на правила передачи информации в сети: весь трафик сетевого/транспортного уровней между локальной и глобальной сетями запрещается полностью - попросту отсутствует маршрутизация как таковая, а обращения из локальной сети в глобальную происходят через специальные серверы-посредники. Очевидно, что при этом методе обращения из глобальной сети в локальную становятся невозможными в принципе. Очевидно также, что этот метод не дает достаточной защиты против атак на более высоких уровнях, например на уровне программного приложения.

4. Создание виртуальных частных сетей (VPN) позволяет эффективно обеспечивать конфиденциальность информации, ее защиту от прослушивания или помех при передаче данных. Они позволяют установить конфиденциальную защищенную связь в открытой сети, которой обычно является интернет, и расширять границы корпоративных сетей до удаленных офисов, мобильных пользователей, домашних пользователей и партнеров по бизнесу. Технология шифрования устраняет возможность перехвата сообщений, передаваемых по виртуальной частной сети, или их прочтения лицами, отличными от авторизованных получателей, за счет применения передовых математических алгоритмов шифрования сообщений и приложений к ним. Концентраторы серии Cisco VPN 3000 многими признаются лучшим в своей категории решением удаленного доступа по виртуальным частным сетям. Концентраторы Cisco VPN 3000, обладающие самыми передовыми возможностями с высокой надежностью и уникальной, целенаправленной архитектурой. Позволяют корпорациям создавать инфраструктуры высокопроизводительных, наращиваемых и мощных виртуальных частных сетей для поддержки ответственных приложений удаленного доступа. Идеальным орудием создания виртуальных частных сетей от одного сетевого объекта к другому служат маршрутизаторы Cisco, оптимизированные для построения виртуальных частных сетей, к которым относятся маршрутизаторы Cisco 800, 1700, 2600, 3600, 7100 и 7200.

5.Системы обнаружения вторжений и сканеры уязвимости создают дополнительный уровень сетевой безопасности. Хотя межсетевые экраны пропускают или задерживают трафик в зависимости от источника, точки назначения, порта или прочих критериев, они фактически не анализируют трафик на атаки и не ведут поиск уязвимых мест в системе. Кроме того, межсетевые экраны обычно не борются с внутренними угрозами, исходящими от "своих". Система обнаружения вторжений Cisco Intrusion Detection System (IDS) может защитить сеть по периметру, сети взаимодействия с бизнес-партнерами и все более уязвимые внутренние сети в режиме реального времени. Система использует агенты, представляющие собой высокопроизводительные сетевые устройства, для анализа отдельных пакетов с целью обнаружения подозрительной активности. Если в потоке данных в сети проявляется несанкционированная активность или сетевая атака, агенты могут обнаружить нарушение в реальном времени, послать сигналы тревоги администратору и заблокировать доступ нарушителя в сеть. Помимо сетевых средств обнаружения вторжений компания Cisco также предлагает серверные системы обнаружения вторжений, обеспечивающие эффективную защиту конкретных серверов в сети пользователя, в первую очередь серверов WEB и электронной коммерции. Cisco Secure Scanner представляет собой программный сканер промышленного уровня, позволяющий администратору выявлять и устранять уязвимости в сетевой безопасности прежде, чем их найдут хакеры.

По мере роста и усложнения сетей первостепенное значение приобретает требование наличия централизованных средств управления политикой безопасности, которые могли бы управлять элементами безопасности. Интеллектуальные средства, которые могут обозначать состояние политики безопасности, управлять ею и выполнять аудит, повышают практичность и эффективность решений в области сетевой безопасности. Решения Cisco в этой области предполагают стратегический подход к управлению безопасностью. Cisco Secure Policy Manager (CSPM) поддерживает элементы безопасности Cisco в корпоративных сетях, обеспечивая комплексную и последовательную реализацию политики безопасности. С помощью CSPM клиенты могут определять соответствующую политику безопасности, внедрять ее в действие и проверять принципы безопасности в работе сотен межсетевых экранов Cisco Secure PIX и Cisco IOS Firewall Feature Set и агентов IDS. CSPM также поддерживает стандарт IPsec для построения виртуальных частных сетей VPN. Кроме того, CSPM является составной частью широко распространенной корпоративной системы управления CiscoWorks2000/VMS.

Суммируя приведенные способы, можно сказать, что разработка информационных систем требует параллельной разработки технологий передачи и защиты информации. Эти технологии должны обеспечивать защиту передаваемой информации, делая сеть «надежной», хотя надежность на современном этапе понимается как надежность не на физическом уровне, а скорее на логическом (информационном уровне).

Существует также ряд дополнительных мероприятий, реализующих следующие принципы:

1. Мониторинг процессов. Метод мониторинга процессов заключается в создании специального расширения системы, которое бы постоянно осуществляло некоторые типы проверок. Очевидно, что некоторая система становится внешне уязвимой только в том случае, когда она предоставляет возможность доступа извне к своим информационным ресурсам. При создании средств такого доступа (серверных процессов), как правило, имеется достаточное количество априорной информации, относящейся к поведению клиентских процессов. К сожалению, в большинстве случаев эта информация попросту игнорируется. После аутентификации внешнего процесса в системе он в течение всего своего жизненного цикла считается авторизованным для доступа к некоторому количеству информационных ресурсов без каких-либо дополнительных проверок.

Хотя указать все правила поведения внешнего процесса в большинстве случаев не представляется возможным, вполне реально определить их через отрицание или, иначе говоря, указать, что внешний процесс не может делать ни при каких условиях. На основании этих проверок можно осуществлять мониторинг опасных или подозрительных событий. Например, на приведенном рисунке показаны элементы мониторинга и выявленные события: DOS-атака; ошибка набора пароля пользователем; перегрузки в канале связи.

2. Дублирование технологий передачи. Существует риск взлома и компрометации любой технологии передачи информации, как в силу ее внутренних недостатков, так и вследствие воздействия извне. Защита от подобной ситуации заключается в параллельном применении нескольких отличных друг от друга технологий передачи. Очевидно, что дублирование приведет к резкому увеличению сетевого трафика. Тем не менее, такой способ может быть эффективным, когда стоимость рисков от возможных потерь оказывается выше накладных расходов по дублированию.

3.Децентрализация. Во многих случаях использование стандартизованных технологий обмена информацией вызвано не стремлением к стандартизации, а недостаточной вычислительной мощностью систем, обеспечивающих процедуры связи. Реализацией децентрализованного подхода может считаться и широко распространенная в сети Internet практика «зеркал». Создание нескольких идентичных копий ресурсов может быть полезным в системах реального времени, даже кратковременный сбой которых может иметь достаточно серьезные последствия.

3 . Безопасность электронных платежей

информация банк криптографический защита

Необходимость всегда иметь под рукой нужную информацию заставляет многих руководителей задумываться над проблемой оптимизации бизнеса с помощью компьютерных систем. Но если перевод бухгалтерского учета из бумажной формы в электронную давно осуществлен, то взаиморасчеты с банком все еще остаются недостаточно автоматизированными: массовый переход на электронный документооборот только предстоит.

Сегодня многие банки имеют те или иные каналы для удаленного осуществления платежных операций. Отправить "платежку" можно прямо из офиса, воспользовавшись модемным соединением или выделенной линией связи. Стало реальностью выполнение банковских операций через Интернет - для этого достаточно иметь компьютер с доступом в глобальную сеть и ключ электронной цифровой подписи (ЭЦП), которая зарегистрирована в банке.

Удаленное обслуживание в банке позволяет повысить эффективность частного бизнеса при минимальных усилиях со стороны его владельцев. При этом обеспечиваются: экономия времени (не нужно приходить в банк лично, платеж можно выполнить в любое время); удобство работы (все операции производятся с персонального компьютера в привычной деловой обстановке); высокая скорость обработки платежей (банковский оператор не перепечатывает данные с бумажного оригинала, что дает возможность исключить ошибки ввода и сократить время обработки платежного документа); мониторинг состояния документа в процессе его обработки; получение сведений о движении средств по счетам.

Однако, несмотря на очевидные преимущества, электронные платежи в России пока не очень популярны, поскольку клиенты банков не уверены в их защищенности. Это, прежде всего, связано с распространенным мнением, что компьютерные сети легко может "взломать" какой-нибудь хакер. Этот миф прочно укоренился в сознании человека, а регулярно публикуемые в СМИ новости об атаках на очередной веб-сайт еще сильнее укрепляют это мнение. Но времена меняются, и электронные средства связи рано или поздно заменят личное присутствие плательщика, желающего сделать безналичный банковский перевод с одного счета на другой.

На мой взгляд, безопасность электронных банковских операций сегодня можно обеспечить. Гарантией этому служат современные методы криптографии, которые используются для защиты электронных платежных документов. В первую очередь это ЭЦП, соответствующая ГОСТ 34.10-94. С 1995 г. она успешно применяется в Банке России. Вначале он ввел систему межрегиональных электронных расчетов всего в нескольких регионах. Сейчас она охватывает все регионы Российской Федерации и представить без нее функционирование Банка России практически невозможно. Так стоит ли сомневаться в надежности ЭЦП, если ее использование проверено временем и уже, так или иначе, касается каждого гражданина нашей страны?

Электронно-цифровая подпись - гарантия безопасности. Согласно типовому договору между банком и клиентом наличие под электронным документом достаточного количества зарегистрированных ЭЦП уполномоченных лиц служит основанием для совершения банковских операций по счетам клиента. В Федеральном законе от 10.01.02 г. N 1-ФЗ "Об электронной цифровой подписи" определено, что ЭЦП должна формироваться и проверяться сертифицированным ФАПСИ программным обеспечением. Сертификация ЭЦП является гарантией того, что данная программа выполняет криптографические функции согласно нормативам ГОСТ и не совершает деструктивных действий на компьютере пользователя.

Чтобы проставить на электронный документ ЭЦП, необходимо иметь ее ключ, который может храниться на каком-нибудь ключевом носителе информации. Современные ключевые носители ("e-Token", "USB-drive", "Touch-Memory") по форме напоминают брелоки, и их можно носить в связке обычных ключей. В качестве носителя ключевой информации можно также использовать дискеты.

Каждый ключ ЭЦП служит аналогом собственноручной подписи уполномоченного лица. Если в организации бумажные "платежки" обычно подписывают директор и главный бухгалтер, то в электронной системе лучше всего сохранить тот же порядок и предусмотреть для уполномоченных лиц разные ключи ЭЦП. Впрочем, можно использовать и одну ЭЦП - данный факт необходимо отразить в договоре между банком и клиентом.

Ключ ЭЦП состоит из двух частей - закрытой и открытой. Открытая часть (открытый ключ) после генерации владельцем представляется в Удостоверяющий центр, роль которого обычно играет банк. Открытый ключ, сведения о его владельце, назначение ключа и другая информация подписываются ЭЦП Удостоверяющего центра. Таким образом, формируется сертификат ЭЦП, который нужно зарегистрировать в системе электронных расчетов банка.

Закрытая часть ключа ЭЦП (секретный ключ) ни при каких условиях не должна передаваться владельцем ключа другому лицу. Если секретный ключ был передан даже на короткое время другому лицу или оставлен где-нибудь без присмотра, считается, что ключ "скомпрометирован" (т.е. подразумевается вероятность копирования или нелегального использования ключа). Иначе говоря, в этом случае лицо, не являющееся владельцем ключа, получает возможность подписать несанкционированный руководством организации электронный документ, который банк примет к исполнению и будет прав, так как проверка ЭЦП покажет ее подлинность. Вся ответственность в данном случае ложится исключительно на владельца ключа. Действия владельца ЭЦП в этой ситуации должны быть аналогичны тем, которые предпринимаются при утере обычной пластиковой карты: этот человек должен сообщить в банк о "компрометации" (утере) ключа ЭЦП. Тогда банк заблокирует сертификат данной ЭЦП в своей платежной системе и злоумышленник не сможет воспользоваться своим незаконным приобретением.

Предотвратить нелегальное применение секретного ключа можно и с помощью пароля, который накладывается как на ключ, так и на некоторые виды ключевых носителей. Это способствует минимизации ущерба при утере, поскольку без пароля ключ становится недействительным и у владельца будет достаточно времени, чтобы сообщить банку о "компрометации" своей ЭЦП.

Рассмотрим, как клиент может воспользоваться услугами электронных платежей при условии, что в банке установлена система комплексной реализации электронных банковских услуг InterBank. Если клиент является частным предпринимателем либо руководит небольшой коммерческой фирмой и имеет доступ в Интернет, ему достаточно будет выбрать систему криптографической защиты (ЭЦП и шифрование), которую он хочет использовать. Клиент может установить сертифицированное программное обеспечение "КриптоПро CSP" либо ограничиться встроенной в Microsoft Windows системой Microsoft Base CSP.

Если клиент - крупная фирма с большим финансовым оборотом, то ему можно рекомендовать другую подсистему из состава InterBank - "Клиент Windows". С ее помощью клиент самостоятельно ведет базу данных по электронным документам и может подготавливать платежные поручения на своем компьютере, не используя сеанс связи с банком. Когда все нужные документы будут сформированы, клиент соединяется с банком по телефону или выделенной линии для обмена данными.

Еще один вид услуг, предоставляемый комплексом InterBank, - информирование клиента о состоянии его банковских счетов, курсах валют и передача других справочных данных через голосовую связь, факс или экран сотового телефона.

Удобный способ использования электронных расчетов - визирование платежных документов уполномоченными сотрудниками предприятия, которые находятся на значительном расстоянии друг от друга. Например, главный бухгалтер подготовил и подписал электронный платежный документ. Директор, будучи в данный момент в командировке в другом городе или в другой стране, может просмотреть этот документ, подписать его и отправить в банк. Все эти действия позволяет выполнить подсистема "Интернет-Клиент", к которой бухгалтер и директор предприятия подключатся через Интернет. Шифрование данных и аутентификация пользователя будут осуществляться одним из стандартных протоколов - SSL или TLS.

Итак, применение электронных платежей в бизнесе предоставляет значительные преимущества по сравнению с традиционным сервисом. Что же касается безопасности, то ее обеспечивают стандарт ЭЦП (ГОСТ 34.10-94), с одной стороны, и ответственность клиента за хранение ключа подписи - с другой. Рекомендации по использованию и хранению ключей ЭЦП клиент всегда может получить в банке, и если он будет им следовать, то надежность платежей гарантирована.

4. Безопасность персо нальных платежей физических лиц

Большинство систем безопасности в целях избегания потери персональных данных физических лиц требуют от пользователя подтверждения, что он именно тот, за кого себя выдает. Идентификация пользователя может быть проведена на основе того, что:

* он знает некую информацию (секретный код, пароль);

* он имеет некий предмет (карточку, электронный ключ, жетон);

* он обладает набором индивидуальных черт (отпечатки пальцев, форма кисти руки, тембр голоса, рисунок сетчатки глаза и т.п.);

* он знает, где находится или как подключается специализированный ключ.

Первый способ требует набора на клавиатуре определенной кодовой последовательности - персонального идентификационного номера (Personal identification number - PIN). Обычно это последовательность из 4-8 цифр, которую пользователь должен ввести при осуществлении транзакции.

Второй способ предполагает предъявление пользователем неких специфических элементов идентификации - кодов, считываемых из некопируемого электронного устройства, карточки или жетона.

В третьем способе пропуском служат индивидуальные особенности и физические характеристики личности человека. Всякому биометрическому продукту сопутствует довольно объемная база данных, хранящая соответствующие изображения или другие данные, применяемые при распознавании.

Четвертый способ предполагает особый принцип включения или коммутирования оборудования, который обеспечит его работу (этот подход используется достаточно редко).

В банковском деле наибольшее распространение получили средства идентификации личности, которые мы отнесли ко второй группе: некий предмет (карточку, электронный ключ, жетон). Естественно использование такого ключа происходит в сочетании со средствами и приемами идентификации, которые мы отнесли к первой группе: использование информации (секретный код, пароль).

Давайте более подробно разберемся со средствами идентификации личности в банковском деле.

Пластиковые карты.

В настоящее время выпущено более миллиарда карточек в различных странах мира . Наиболее известные из них:

Кредитные карточки Visa (более 350 млн. карточек) и MasterCard (200 млн. карточек);

Международные чековые гарантии Eurocheque и Posteheque;

Карточки для оплаты путешествий и развлечений American Express (60 млн. карточек) и Diners Club.

Магнитные карточки

Наиболее известны и давно используются в банковском деле в качестве средств идентификации пластиковые карточки с магнитной полосой (многие системы позволяют использовать обычные кредитные карточки). Для считывания необходимо провести карточкой (магнитной полосой) через прорезь ридера (считывателя). Обычно ридеры выполнены в виде внешнего устройства и подключаются через последовательный или универсальный порт компьютера. Выпускаются также ридеры, совмещенные с клавиатурой. Однако у таких карт можно выделить преимущества и недостатки их использования.

* магнитная карточка может быть легко скопирована на доступном оборудовании;

* загрязнение, небольшое механическое воздействие на магнитный слой, нахождение карты вблизи сильных источников электромагнитных полей приводят к повреждению карты.

Преимущества:

* расходы на выпуск и обслуживание таких карт невелики;

* индустрия магнитных пластиковых карт развивалась в течение нескольких десятилетий и на настоящий момент более 90% карт - это пластиковые карты;

* применение магнитных карточек оправдано при очень большом числе пользователей и частой сменяемости карт (например, для доступа в гостиничный номер).

Proximity-карты

Фактически - это развитие идеи электронных жетонов. Это бесконтактная карточка (но может быть и брелок или браслет), содержащая чип с уникальным кодом или радиопередатчик. Считыватель оснащен специальной антенной, постоянно излучающей электромагнитную энергию. При попадании карточки в это поле происходит запитывание чипа карточки, и карта посылает считывателю свой уникальный код. Для большинства считывателей расстояние устойчивого срабатывания составляет от нескольких миллиметров до 5-15 см.

Смарт-карты

В отличие от магнитной карты смарт-карта содержит микропроцессор и контактные площадки для подачи питания и обмена информацией со считывателем. Смарт-карта имеет очень высокую степень защищенности. Именно с ней до сих пор связаны основные перспективы развития такого рода ключей и надежды многих разработчиков систем защиты.

Технология смарт-карт существует и развивается уже около двадцати лет, но достаточно широкое распространение получает только последние несколько лет. Очевидно, что смарт-карта, благодаря большому объему памяти и функциональным возможностям, может выступать и в роли ключа, и в роли пропуска и одновременно являться банковской карточкой. В реальной жизни такое совмещение функций реализуют достаточно редко.

Для работы со смарт-картой компьютер должен быть оснащен специальным устройством: встроенным или внешним картридером. Внешние картридеры могут подключаться к различным портам компьютера (последовательному, параллельному или клавиатурному порту PS/2, PCMCIA-слоту, SCSI или USB).

Многие карты предусматривают различные виды (алгоритмы) аутентификации. В процессе электронного узнавания принимают участие три стороны: пользователь карты, карта, терминальное устройство (устройство считывания карты). Аутентификация необходима для того, чтобы пользователь, терминальное устройство, в которое вставлена карта или программное приложение, которому сообщаются параметры карты, могли выполнять определенные действия с данными, находящимися на карге. Правила доступа назначаются разработчиком приложения при создании структур данных на карте.

Электронные жетоны

Сейчас в различных системах, требующих идентификации пользователя или владельца, в качестве пропусков широко используются электронные жетоны (или так называемые token-устройства). Известный пример такого жетона - электронная "таблетка" (рис. 8.4). "Таблетка" выполнена в круглом корпусе из нержавеющей стали и содержит чип с записанным в него уникальным номером. Аутентификация пользователя осуществляется после прикосновения такой "таблетки" к специальному контактному устройству, обычно подключаемому к последовательному порту компьютера. Таким образом, можно разрешать доступ в помещение, но можно и разрешать работу на компьютере или блокировать работу на компьютере несанкционированных пользователей.

Для удобства "таблетка" может закрепляться на брелоке или запрессовываться в пластиковую оболочку.

В настоящее время эти устройства широко используются для управления электромеханическими замками (двери помещений, ворота, двери подъездов и т.п.). Однако их "компьютерное" использование также достаточно эффективно.

Все три перечисленных группы ключей являются пассивными по своей сути. Они не выполняют никаких активных действий и не участвуют в процессе аутентификации, а только отдают хранящийся код. В этом заключается их основная область.

Жетоны обладают несколько лучшей износоустойчивостью, чем магнитные карты.

Заключение

Таким образом, проблема защиты банковской информации слишком серьезна, чтобы банк мог пренебречь ею. В последнее время в отечественных банках наблюдается большое число случаев нарушения уровня секретности. Примером является появление в свободном доступе различных баз данных на компакт-дисках о коммерческих компаниях и частных лицах. Теоретически, законодательная база для обеспечения защиты банковской информации существует в нашей стране, однако ее применение далеко от совершенства. Пока не было случаев, когда банк был наказан за разглашение информации, когда какая-либо компания была наказана за осуществление попытки получения конфиденциальной информации.

Защита информации в банке - это задача комплексная, которая не может решаться только в рамках банковских программ. Эффективная реализация защиты начинается с выбора и конфигурирования операционных систем и сетевых системных средств, поддерживающих функционирование банковских программ. Среди дисциплинарных средств обеспечения защиты следует выделить два направления: с одной стороны - это минимально достаточная осведомленность пользователей системы об особенностях построения системы; с другой - наличие многоуровневых средств идентификации пользователей и контроля их прав.

В разные моменты своего развития АБС имели различные составляющие защиты. В российских условиях большинство банковских систем по уровню защиты следует отнести к системам первого и второго уровня сложности защиты:

1-й уровень - использование программных средств, предоставляемых стандартными средствами операционных систем и сетевых программ;

2-й уровень - использование программных средств обеспечения безопасности, кодирования информации, кодирования доступа.

Обобщая все вышесказанное, я пришла к выводу, что работая в банковской сфере, необходимо быть уверенным в том, что корпоративная и коммерческая информация останутся закрытыми. Однако следует заботиться о защите не только документации и иной производственной информации, но и сетевых настроек и параметров функционирования сети на машине.

Задача защиты информации в банке ставится значительно жестче, нежели в других организациях. Решение такой задачи предполагает планирование организационных, системных мероприятий, обеспечивающих защиту. При этом, планируя защиту, следует соблюдать меру между необходимым уровнем защиты и тем ее уровнем, когда защита начинает мешать нормальной работе персонала.

Приложение 1

Список персонала типичной АСОИБ и соответствующая степень риска от каждого из них:

1. Наибольший риск: системный контролер и администратор безопасности.

2. Повышенный риск: оператор системы, оператор ввода и подготовки данных, менеджер обработки, системный программист.

3. Средний риск: инженер системы, менеджер программного обеспечения.

4. Ограниченный риск: прикладной программист, инженер или оператор по связи, администратор баз данных, инженер по оборудованию, оператор периферийного оборудования, библиотекарь системных магнитных носителей, пользователь-программист, пользователь-операционист.

5. Низкий риск: инженер по периферийному оборудованию, библиотекарь магнитных носителей пользователей, пользователь сети.

Рис. 1 Магнитная карточка

Рис. 2 Proximity-карта

Рис. 4 Электронные жетоны

Приложение 2

Статистика потерь для Visa и MasterCard
	Доля в общих потерях, %
Мошенничество продавца
Украденные карты
Подделка карт
Изменение рельефа карты
Потерянные карты
Неправильное применение
Мошенничество по телефону
Мошенничество при пересылке почтой
Почтовое мошенничество
Кражи при производстве пересылке
Сговор с владельцем карточки

Размещено на Allbest.ru

Подобные документы

Виды умышленных угроз безопасности информации. Методы и средства защиты информации. Методы и средства обеспечения безопасности информации. Криптографические методы защиты информации. Комплексные средства защиты.

реферат , добавлен 17.01.2004


Проблема защиты информации. Особенности защиты информации в компьютерных сетях. Угрозы, атаки и каналы утечки информации. Классификация методов и средств обеспечения безопасности. Архитектура сети и ее защита. Методы обеспечения безопасности сетей.

дипломная работа , добавлен 16.06.2012


Методы и средства защиты информационных данных. Защита от несанкционированного доступа к информации. Особенности защиты компьютерных систем методами криптографии. Критерии оценки безопасности информационных компьютерных технологий в европейских странах.

контрольная работа , добавлен 06.08.2010


Принципы безопасности электронных и персональных платежей физических лиц в банках. Реализация технологий передачи и защиты информации; системный подход к разработке программно-технической среды: кодирование информации и доступа; шифрование, криптография.

реферат , добавлен 18.05.2013


Информационная безопасность телекоммуникационных систем. Проблемы, связанных с информационной безопасностью. Технология анализа защищённости, обнаружения воздействия нарушителя, защиты информации от НСД, антивирусной защиты. Формирование банка данных.

реферат , добавлен 27.02.2009


Важнейшие стороны обеспечения информационной безопасности. Технические средства обработки информации, ее документационные носители. Типовые пути несанкционированного получения информации. Понятие об электронной подписи. Защита информации от разрушения.

реферат , добавлен 14.07.2015


Способы и средства защиты информации от несанкционированного доступа. Особенности защиты информации в компьютерных сетях. Криптографическая защита и электронная цифровая подпись. Методы защиты информации от компьютерных вирусов и от хакерских атак.

реферат , добавлен 23.10.2011


Безопасность информации, компоненты системы защиты. Дестабилизирующие факторы. Классификация угрозы безопасности информации по источнику появления, по характеру целей. Способы их реализации. Уровни защиты информации. Этапы создания систем защиты.

презентация , добавлен 22.12.2015


Развитие новых информационных технологий и всеобщая компьютеризация. Информационная безопасность. Классификация умышленных угроз безопасности информации. Методы и средства защиты информации. Криптографические методы защиты информации.

курсовая работа , добавлен 17.03.2004


Основные понятия защиты информации и информационной безопасности. Классификация и содержание, источники и предпосылки появления возможных угроз информации. Основные направления защиты от информационного оружия (воздействия), сервисы сетевой безопасности.

И нформационная безопасность банков начинается с аудита. ИБ-аудит может не только дать банку право осуществления определенных видов деятельности, но и показать слабые места в системах банка. Поэтому подходить к решению о проведении и выборе формы аудита необходимо взвешенно.

Согласно Федеральному закону от 30 декабря 2008 года №307-ФЗ «Об аудиторской деятельности», аудит - это «независимая проверка бухгалтерской (финансовой) отчетности аудируемого лица в целях выражения мнения о достоверности такой отчетности».

К сфере информационной безопасности определение термина, упомянутое в законе, отношения не имеет. Однако специалисты по информационной безопасности достаточно активно используют его в речи. В этом случае под аудитом понимается процесс независимой оценки деятельности организации, системы, процесса, проекта или продукта.

В различных отечественных нормативных актах термин «аудит информационной безопасности» применяется не всегда — его часто заменяют либо термином «оценка соответствия», либо немного устаревшим, но все еще употребляемым термином «аттестация». Иногда встречается термин «сертификация», но применительно к международным зарубежным нормативным актам.

Какой бы термин не использовался, по сути, аудит информационной безопасности проводится, чтобы проверить выполнение нормативных актов или обоснованность и защищенность применяемых решений. В первом случае отказаться от проведения аудита невозможно, иначе это повлечет нарушение требований нормативных актов и штрафам, приостановлению деятельности, другим формам наказания. Во втором случае аудит носит добровольный характер, и решение о проведении принимает сама организация.

Обязательный аудит может проводить:

• сама банковская организация, например, в форме самооценки (правда, о «независимости» уже речи не идет и термин «аудит» применять не совсем уместно);
• внешняя независимая организация — аудитор;
• регулирующие органы, наделенные правом осуществлять соответствующие надзорные мероприятия (этот вариант чаще называют не аудитом, а инспекционной проверкой).

Добровольный аудит может проводиться по любому поводу: для проверки защищенности системы ДБО, контроля активов приобретенного банка, проверки вновь открываемого филиала и так далее. В этом случае невозможно ни четко очертить границы, ни описать формы отчетности, ни говорить о регулярности аудита — все это решается договором между аудитором и проверяемой организацией. Обратимся к формам обязательного аудита, которые важны для информационной безопасности именно банков.

Международный стандарт ISO 27001

Полный российский аналог международного стандарта ISO/IEC 27001:2005 — «ГОСТ Р ИСО/МЭК 27001-2006 — Информационная технология — Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности — Требования».

По сути, данные стандарты - это набор лучших практик по управлению информационной безопасностью в крупных организациях. Небольшие организации, в том числе и банки, не всегда в состоянии выполнить требования стандарта в полном объеме. Как и любой стандарт в России, ISO 27001 - добровольный документ, принимать или не принимать его условия каждый банк решает самостоятельно. Но ISO 27001 является призванным мировым стандартом, и специалисты в разных странах используют его как универсальное руководство для всех, кто занимается информационной безопасностью.

С ISO 27001 связаны несколько неочевидных и нечасто упоминаемых, но важных моментов.

Во-первых, аудиту по данному стандарту подлежит не вся система обеспечения информационной безопасности банка, а только одна или несколько составных частей. Например, система защиты ДБО, система защиты головного офиса банка или система защиты процесса управления персоналом. Иными словами, получение сертификата соответствия на один из оцениваемых в рамках аудита процессов не дает гарантии, что остальные процессы находятся в таком же близком к идеальному состоянию.

Второй момент связан с тем, что ISO 27001 является стандартом универсальным, то есть применимым к любой организации, а значит, не учитывающим специфику отрасли. Это привело к тому, что в рамках международной организации по стандартизации ISO уже давно ведутся разговоры о создании стандарта ISO 27015, который является переложением ISO 27001/27002 на финансовую отрасль. В разработке отраслевого стандарта активно участвует Банк России. Против уже разработанного проекта выступили Visa и MasterCard. Visa считает, что в проекте слишком мало информации, нужной для финансовой отрасли, например, по платежным системам. Однако, если добавить недостающие положения, стандарт придется перенести в другой комитет ISO. MasterCard предлагает прекратить разработку ISO 27015, мотивируя предложение тем, что в финансовой отрасли и без того достаточно документов, которые регулируют сферу информационной безопасности.

В-третьих, многие предложения на российском рынке говорят не об аудите соответствия, а о подготовке к аудиту. Дело в том, что правом проводить сертификацию соответствия требованиям ISO 27001 обладают всего несколько организаций в мире. А интеграторы всего лишь помогают компаниям выполнить требования стандарта, которые затем будут проверены официальными аудиторами (регистраторами, органами по сертификации).

Пока продолжаются споры, внедрять банкам ISO 27001 или нет, отдельные смельчаки идут на это и проходят три стадии аудита соответствия:

• предварительное неформальное изучение аудитором основных документов как на территории заказчика аудита, так и вне;
• формальный и более глубокий аудит и оценка эффективности внедренных мер защиты, изучение разработанных необходимых документов, после чего аудитор обычно подтверждает соответствие и выдает сертификат, признаваемый во всем мире.
• ежегодное выполнение инспекционного аудита для подтверждения полученного сертификата соответствия.

Кому нужен ISO 27001 в России? Если рассматривать стандарт не только как набор лучших практик, которые следует внедрять и без прохождения аудита, но и как процесс сертификации, подтверждающий соответствие банка международным требованиям безопасности, то ISO 27001 имеет смысл внедрять либо банкам, входящим в банковские группы, где ISO 27001 является стандартом, либо банкам, планирующим выход на международную арену. В остальных случаях аудит соответствия ISO 27001 и получение сертификата чаще всего не нужно. Но только для банка и только в России, потому что есть отечественный стандарты на базе ISO 27001. Де-факто до недавнего времени Банк России проводил инспекционные проверки именно в соответствии с требованиями СТО БР ИББС.

Комплекс документов Банка России СТО БР ИББС

Этот стандарт, а точнее набор стандартов описывает единый подход к построению системы обеспечения ИБ организаций банковской сферы с учетом требований российского законодательства. Набор документов (далее - СТО БР ИББС) включает три стандарта и пять рекомендаций по стандартизации. Он основан на ISO 27001 и других международных стандартах по управлению информационными технологиями и информационной безопасностью. Вопросы аудита и оценки соответствия требованиям стандарта, как и для ISO 27001, прописаны в отдельных документах:

• СТО БР ИББС-1.1-2007. Аудит информационной безопасности,
• СТО БР ИББС-1.2-2010. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0-2010,
• РС БР ИББС-2.1-2007. Руководство по самооценке соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0.

Во время оценки соответствия по СТО БР ИББС проверяется выполнение 423 частных показателей ИБ, которые разделены на 34 групповые показателя. Результат оценки - итоговый показатель, который должен находиться на 4-м или 5-м уровне по пятибалльной шкале, установленной Банком России. Эта деталь отличает аудит по СТО БР ИББС от аудита по другим нормативным актам в области ИБ. СТО БР ИББС не подразумевает «несоответствия», просто уровень соответствия может быть разный: от нуля до пяти. Положительными считаются только уровни выше 4-го.

По состоянию на конец 2011 года 70-75% банков внедрили или находятся в процессе внедрения этого набора стандартов. Де-юре СТО БР ИББС носит рекомендательный характер, но де-факто до недавнего времени Банка России проводил проверки именно в соответствии с требованиями СТО БР ИББС, хотя явно условия никогда и нигде не звучали. Ситуация изменилась с 1 июля 2012 года, когда вступил в силу закон «О национальной платежной системе» и разработанные для его исполнения нормативные документы правительства и Банка России. С этого момента вопрос о необходимости проводить аудит соответствия требованиям СТО БР ИББС вернулся в повестку дня.

Дело в том, что методика оценки соответствия, предложенная в рамках законодательства о национальной платежной системе (НПС), и методика оценки соответствия СТО БР ИББС могут очень сильно расходиться в итоговых значениях. При этом оценка по первой методике (для НПС) стала обязательной, тогда как оценка по СТО БР ИББС по-прежнему де-юре носит рекомендательный характер. В самом Банке России на момент написания статьи еще не решили судьбе этой оценки. Если ранее все нити сходились в Главное управление безопасности и защиты информации Банка России (ГУБЗИ), то с разделением полномочий между ГУБЗИ и Департаментом регулирования расчетов (LHH) вопрос оставался открытым. Ясно только, что законодательные акты о НПС требуют обязательной оценки соответствия, то есть аудита.

Законодательство о национальной платежной системе

Выпущенное и утвержденное 9 июня 2012 года Положение 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств» требует в пункте 2.15 обязательной оценки соответствия, то есть аудита. Оценка осуществляется либо самостоятельно, либо с привлечением сторонних организаций.

Методика оценки соответствия в рамках 382-П похожа по своей сути на методику оценки соответствия по СТО БР ИББС, но выдает другие результаты. Это связано с вводом специальных корректирующих коэффициентов.

Особых требований к организациям, привлекаемым для аудита, положение 382-П не устанавливает. Это приводит к некоторому противоречию с постановлением Правительства от 13 июня 2012 года №584 «О защите информации в платежной системе», которое также требует организации и проведения контроля и оценки выполнения требований к защите информации один раз в 2 года. Однако постановление правительства, разработанное ФСТЭК, требует, чтобы внешний аудит проводили только организации с лицензией на деятельность по технической защите конфиденциальной информации.

Дополнительные требования, которые накладывают на банки новые обязанности, перечислены в разделе 2.16 Положения 382-П. Согласно требованиям, оператор платежных систем обязан разработать, а банки, присоединившиеся к платежной системе, обязаны выполнять требования по регулярному информированию оператора платежной системы о различных вопросах информационной безопасности в банке, включая:

• выполнение требований по защите информации,
• данные об выявленных инцидентах,
• результаты проведенных самооценок,
• сведения о выявленных угрозах и уязвимостях.

ФЗ-161 о НПС также устанавливает, что дополнительно к аудиту на договорной основе контроль и надзор за выполнением требований 584-го постановления и 382-го положения осуществляют ФСБ, ФСТЭК и Банк России соответственно. На момент написания статьи ни у ФСТЭК, ни у ФСБ не располагали разработанным порядком проведения надзора. В отличие от Банка России, который выпустил два документа:

• положение от 31 мая 2012 года №380-П «О порядке осуществления наблюдения в национальной платежной системе» (для кредитных организаций);
• положение от 9 июня 2012 года №381-П «О порядке осуществления надзора за соблюдением не являющимися кредитными организациями операторами платежных систем, операторами услуг платежной инфраструктуры требований Федерального Закона от 27 июня 2011 года № 161-ФЗ «О национальной платежной системе», принятых в соответствии с ним нормативных актов Банка России».

Банк России начал апробацию и сбор фактов по правоприменительной практике нормативных актов в области защиты информации в национальной платежной системе в 1 июля 2012 года.

Стандарт безопасности платежных карт PCI DSS

PCI DSS - Payment Card Industry Data Security Standard - стандарт безопасности данных платежных карт. Его разработал Совет по стандартам безопасности индустрии платежных карт (Payment Card Industry Security Standards Council, PCI SSC), который был учрежден международными платежными системами Visa, MasterCard, American Express, JCB и Discover.

Стандарт PCI DSS представляет совокупность 12 высокоуровневых и более 200 детальных требований по обеспечению безопасности данных о держателях платежных карт, которые передаются, хранятся и обрабатываются в информационных системах организаций. Требования стандарта распространяются на все компании, которые работают с международными платежными системами Visa и MasterCard. Каждой компании в зависимости от количества обрабатываемых транзакций присваивают уровень, для каждого уровня - свой набором требований. Уровни для каждой платежной системы отличаются.

Проверка выполнения условий стандарта PCI DSS осуществляется в рамках обязательной сертификации, требования к которой отличаются в зависимости от типа проверяемой компании: торгово-сервисное предприятие, которые принимает карты к оплате товаров и услуг, или поставщик, которые оказывает услуги торгово-сервисным предприятиям, банкам-эквайрерам, эмитентам и так далее (процессинговые центры, платежные шлюзы). Оценка осуществляется в разных формах:

• ежегодные аудиторские проверки с помощью аккредитованных компаний, имеющих статус Qualified Security Assessors (QSA);
• ежегодная самооценка;
• ежеквартальное сканирование сетей с помощью уполномоченных организаций, имеющих статус Approved Scanning Vendor (ASV).

Законодательство о персональных данных

Еще один нормативный документ, который имеет отношение к банковской индустрии и устанавливает требования по оценке соответствия, - Федеральный закон «О персональных данных». Однако ни форма, ни периодичность аудита, ни требования к организации, которая проводит аудит, пока не установлены. Возможно, вопрос решится осенью 2012 года, когда выйдет порция документов правительства, ФСТЭК и ФСБ, которые вводят новые нормативы в области защиты персональных данных. Пока банки самостоятельно определяют особенности аудита защиты персональных данных.

Контроль и надзор за выполнением организационных и технических мер по обеспечению безопасности персональных данных, установленных статьей 19 закона 152-ФЗ, осуществляют ФСБ и ФСТЭК. Но это касается только государственных информационных систем персональных данных. Контроль коммерческих организаций в области обеспечения информационной безопасности персональных данных пока - по закону - осуществлять некому. Чего не скажешь о защите прав субъектов персональных данных, то есть клиентов, контрагентов и просто посетителей банка. Эту задачу взял на себя Роскомнадзор, который активно осуществляет надзорные функции и видит в банках злостных нарушителей закона о персональных данных.

Заключительные положения

Каждый из основных нормативных актов устанавливает свои требования по проведению оценки соответствия в той или иной форме: от самооценки в виде заполнения опросных листов (PCI DSS) до прохождения обязательного аудита один раз в два года (382-П) или один раз в год (ISO 27001). Существуют и другие формы оценки соответствия: уведомления оператора платежной системы, ежеквартальные сканирования и так далее.

С другой стороны, в стране до сих пор нет единой системы взглядов не только на государственное регулирование аудита информационной безопасности организаций и систем информационных технологий, но и на саму тему аудита информационной безопасности. За информационную безопасность в России отвечает ряд ведомств и организаций: ФСТЭК, ФСБ, Банк России, Роскомнадзор, PCI SSC и другие. Все они действуют на основании собственных нормативных документов и руководств. Разные подходы, разные стандарты, разные уровни зрелости… Все это мешает установлению единых правил игры.

Картину портит и появление фирм-однодневок, которые в погоне за прибылью предлагают некачественные услуги в области оценки соответствия требованиям по информационной безопасности. И к лучшему ситуация вряд ли изменится. Раз есть потребность, будут и желающие ее удовлетворить, в то время как на всех квалифицированных аудиторов просто не хватит. При небольшом их числе (см. инфографику) и продолжительности аудита от нескольких недель до нескольких месяцев очевидно, что запрос на аудит серьезно превышает возможности аудиторов.

В так и не принятой ФСТЭК «Концепции аудита информационной безопасности систем информационных технологий и организаций» была такая фраза:

«…в то же время в отсутствие необходимых национальных регуляторов такая деятельность [по нерегулируемому законодательством аудиту со стороны частных фирм] может нанести непоправимый вред организациям».

Авторы Концепции предлагали унифицировать подходы к аудиту и законодательно установить правила игры, включая правила аккредитации аудиторов, требования к квалификации, процедуре проведения аудита. Но воз и ныне там. Хотя, учитывая внимание, которое отечественные регуляторы в области информационной безопасности, а их всего девять, уделяют вопросам защиты информации, не исключено, что тема вскоре вновь станет актуальной. Только за прошедший календарный год было принято или разработано 52 нормативных акта по вопросам информационной безопасности, и один нормативный акт в неделю!

СТАНДАРТЫ АУДИТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

В сложившихся условиях, к сожалению, приходится признавать: основная цель аудита информационной безопасности банка - повышение доверия к его деятельности - в России недостижима. Немногие российские клиенты банка обращают внимание на уровень безопасности или на результаты проведенного в банке аудита. К аудиту обращаются либо в случае выявления очень серьезного инцидента с серьезным материальным ущербом для банка (его акционерам и владельцам), либо в случае законодательных требований.

Требованием №1, ради которого стоит обратиться к аудиту безопасности, является положение Банка России 382-П. Сведения об уровне защищенности банков и выполнении требований 382-П, которые запрашивают из территориальных управлений ЦБ, получаются именно в результате внешнего аудита или проведенной самооценки.

На втором место - аудит выполнения требований закона «О персональных данных». Но проводить подобный аудит стоит не раньше момента, когда будут выпущены все обещанные ФСТЭК и ФСБ документы и когда станет понятна судьба СТО БР ИББС. Тогда же можно поднять вопрос проведения аудита соответствия требованиям СТО БР ИББС.

Успешное прохождение аудита еще не означает, что с безопасностью в банке все хорошо. Существует множество уловок, которые позволяют проверяемой организации скрыть недочеты в системе защиты. Очень многое зависит от квалификации и независимости аудиторов. Опыт показывает, что даже в организациях, успешно прошедших аудит соответствия стандартам PCI DSS, ISO 27001 или СТО БР ИББС, случаются инциденты, и инциденты серьезные.

МНЕНИЕ ЭКСПЕРТА

Дмитрий МАРКИН, начальник отдела аудита и консалтинга АМТ-ГРУП:

До недавнего времени вопросы прохождения обязательного аудита состояния ИБ для кредитных организаций в рамках российского законодательства регламентировались только ФЗ-152 «О персональных данных» в части осуществления внутреннего контроля за принимаемыми мерами по обеспечению безопасности ПДн, а также положением ЦБ РФ №242-П «Об организации внутреннего контроля в кредитных организациях и банковских группах». Причем, согласно требованиям положения №242-П порядок контроля за обеспечением ИБ устанавливается внутренними документами кредитной организации самостоятельно без привязки к конкретным требованиям по обеспечению ИБ. В связи с вступлением в силу ст.27 ФЗ-161 «О национальной платежной системе», определяющей требования по защите информации в платежной системе, вышли в свет постановление правительства РФ №584 «Об утверждении положения о защите информации в платежной системе» и положение ЦБ РФ №382-П. Согласно требованиям постановления №584 и положения №382-П защита информации в платежной системе должна осуществляться по требованиям данных нормативных актов и требованиям, включенным операторами платежных систем в правила платежных систем. Ключевым моментом здесь является закрепление на уровне национального законодательства права операторов платежных систем (например, Visa и MasterCard) самостоятельно устанавливать требования к защите информации. В положении №382-П также указана обязанность проведения кредитными организациями оценки выполнения требований к обеспечению ИБ не реже 1 раза в 2 года, четко определены методика оценки соответствия, критерии аудита и порядок документирования ее результатов. На наш взгляд, появление вышеуказанных нормативных актов должно повысить статистику прохождения кредитными организациями сертификации по требованиям стандарта безопасности данных индустрии платежных карт PCI DSS 2.0, разработанного при участии ведущих международных платежных систем Visa и MasterCard.

В предыдущих частях исследования мы обсудили экономические основы и IT-инфраструктуру банковских безналичных платежей. В этой части речь пойдет о формировании требований к создаваемой системе информационной безопасности (ИБ).

• роль обеспечения безопасности в жизни коммерческой организации;
• место службы информационной безопасности в структуре менеджмента организации;
• практические аспекты обеспечения безопасности;
• применение теории управления рисками в ИБ;
• основные угрозы и потенциальный ущерб от их реализации;
• состав обязательных требований, предъявляемых к системе ИБ банковских безналичных платежей.

Роль обеспечения безопасности в жизни коммерческой организации

В современной российской экономической среде существует множество различных типов организаций. Это могут быть государственные предприятия (ФГУП, МУП), общественные фонды и, наконец, обычные коммерческие организации. Главным отличием последних от всех других является то, что их основная цель – получение максимальной прибыли, и все, что они делают, направлено именно на это.

Зарабатывать коммерческая организация может различными способами, но прибыль всегда определяется одинаково – это доходы за вычетом расходов. При этом, если обеспечение безопасности не является основным видом деятельности компании, то оно не генерирует доход, а раз так, то для того, чтобы эта деятельность имела смысл, она должна снижать расходы.

Экономический эффект от обеспечения безопасности бизнеса заключается в минимизации или полном устранении потерь от угроз. Но при этом также следует учитывать то, что реализация защитных мер тоже стоит денег, и поэтому истинная прибыль от безопасности будет равна размеру сэкономленных от реализации угроз безопасности средств, уменьшенному на стоимость защитных мер.

Однажды между собственником коммерческого банка и руководителем службы безопасности его организации состоялся разговор на тему экономического эффекта от обеспечения безопасности. Суть этого разговора наиболее точно отражает роль и место обеспечения безопасности в жизни организации:

Безопасность не должна мешать бизнесу.
- Но за безопасность надо платить, а за ее отсутствие расплачиваться.

Идеальная система безопасности – это золотая середина между нейтрализованными угрозами, затраченными на это ресурсами и прибыльностью бизнеса.

Место службы информационной безопасности в структуре менеджмента организации

Структурное подразделение, отвечающее за обеспечение информационной безопасности, может назваться по-разному. Это может быть отдел, управление или даже департамент ИБ. Далее для унификации это структурное подразделение будем называть просто службой информационной безопасности (СИБ).

Причины создания СИБ могут быть разными. Выделим две основные:

1. Cтрах .
   Руководство компании осознает, что компьютерные атаки или утечки информации могут привести к катастрофическим последствия, и предпринимает усилия для их нейтрализации.
2. Обеспечение соответствия законодательным требованиям .
   Действующие законодательные требования налагают на компанию обязательства по формированию СИБ, и топ-менеджмент предпринимает усилия по их исполнению.

Применительно к кредитным организациям необходимость существования СИБ зафиксирована в следующих документах:

С точки зрения подчиненности СИБ существует только одно ограничение, прописанное в вышеуказанных положениях ЦБ РФ - «Служба информационной безопасности и служба информатизации (автоматизации) не должны иметь общего куратора», в остальном свобода выбора остается за организацией. Рассмотрим типовые варианты.

Таблица 1.

Подчиненность	Особенности
СИБ в составе IT	1. Организация защиты возможна только против внешнего злоумышленника. Основным вероятным внутренним злоумышленником является сотрудник IT. Бороться с ним в составе IT невозможно. 2. Нарушение требований Банка России. 3. Прямой диалог с IT, простое внедрение систем защиты информации
СИБ в составе службы безопасности	1. Защита от действий как внутренних злоумышленников, так и внешних. 2. СБ - единая точка взаимодействия топ-менеджмента по любым вопросам безопасности. 3. Сложность взаимодействия с IT, поскольку общение происходит на уровне глав IT и СБ, а последний, как правило, обладает минимальными знаниями в IT.
СИБ подчиняется Председателю Правления	1. СИБ обладает максимальными полномочиями и собственным бюджетом. 2. Для Председателя Правления создается дополнительная точка контроля и взаимодействия, требующая к себе определенного внимания. 3. Возможные конфликты СБ и СИБ по зонам ответственности при расследовании инцидентов. 4. Отдельный СИБ может «политически» уравновешивать полномочия СБ.

При взаимодействии с другими структурными подразделениями и топ-менеджментом банка у СИБ любой организации есть одна общая проблема - доказательства необходимости своего существования (финансирования).

Проблема заключается в том, что размер сэкономленных средств от нейтрализованных угроз информационной безопасности невозможно точно определить. Если угроза не реализовалась, то и ущерба от нее нет, а раз проблем нет, то и не нужно их решать.

Для решения этой проблемы СИБ может действовать двумя способами:

1. Показать экономическую значимость
   Для этого ей необходимо вести учет инцидентов и оценивать потенциальный ущерб от их реализации. Совокупный размер потенциального ущерба можно считать сэкономленными денежными средствами. Для устранения разногласий по размеру оцениваемого ущерба рекомендуется предварительно разработать и утвердить методику его оценки.
2. Заниматься внутренним PR-ом
   Рядовые работники организации обычно не знают, чем занимается СИБ, и считают ее сотрудников бездельниками и шарлатанами, мешающими работать, что приводит к ненужным конфликтам. Поэтому СИБ должна периодически доносить до коллег результаты своей деятельности, рассказывать об актуальных угрозах ИБ, проводить обучения и повышать их осведомленность. Любой сотрудник компании должен чувствовать, что, если у него возникнет проблема, связанная с ИБ, то он может обратиться в СИБ, и ему там помогут.

Практические аспекты обеспечения безопасности

Выделим практические аспекты обеспечения безопасности, которые обязательно должны быть донесены до топ-менеджмента и других структурных подразделений, а также учтены при построении системы защиты информации:

1. Обеспечение безопасности - это непрерывный бесконечный процесс. Степень защищенности, достигаемая с ее помощью, будет колебаться с течением времени в зависимости от воздействующих вредоносных факторов и усилий, направленных на их нейтрализацию.
2. Безопасность невозможно обеспечить постфактум, то есть в тот момент, когда угроза уже реализовалась. Чтобы нейтрализовать угрозу, процесс обеспечения безопасности должен начаться до попытки ее реализации.
3. Большая часть угроз имеет антропогенный характер, то есть организации тем или иным образом угрожают люди. Как говорят компьютерные криминалисты: «Воруют не программы, воруют люди».
4. В нейтрализации угроз должны участвовать люди, чья безопасность обеспечивается,
   будь это собственники бизнеса или клиенты.
5. Безопасность - это производная от корпоративной культуры. Дисциплина, требуемая для реализации защитных мер, не может быть выше общей дисциплины при работе организации.

Подводя промежуточный итог под вышесказанным, отметим, что создаваемая система ИБ безналичных платежей должна иметь практическую направленность и быть экономически эффективной. Лучшим подспорьем в достижении указанных свойств является применение риск-ориентированного подхода.

Управление рисками (risk management)

Информационная безопасность - это всего лишь одно из направлений обеспечения безопасности (экономическая безопасность, физическая безопасность, пожарная безопасность, …). Помимо угроз информационной безопасности, любая организация подвержена другим, не менее важным угрозам, например, угрозам краж, пожаров, мошенничества со стороны недобросовестных клиентов, угрозам нарушения обязательных требований (compliance) и т. д.

В конечном счете для организации все равно, от какой конкретно угрозы она понесет потери, будь то кража, пожар или компьютерный взлом. Важен размер потерь (ущерб).

Кроме размера ущерба, важным фактором оценки угроз является вероятность из реализации, которая зависит от особенностей бизнес-процессов организации, ее инфраструктуры, внешних вредоносных факторов и принимаемых контрмер.

Характеристика, учитывающая ущерб и вероятность реализации угрозы, называется риском.
Примечание. Научное определение риска можно получить в ГОСТ Р 51897-2011

Риск может быть измерен как количественно, например, путем умножения ущерба на вероятность, так и качественно. Качественная оценка проводится, когда ни ущерб, ни вероятность количественно не определены. Риск в этом случае может быть выражен как совокупность значений, например, ущерб - «средний», вероятность - «высокая».

Оценка всех угроз как рисков позволяет организации эффективным образом использовать имеющиеся у нее ресурсы на нейтрализацию именно тех угроз, которые для нее наиболее значимы и опасны.

Управление рисками является основным подходом к построению комплексной экономически эффективной системы безопасности организации. Более того, почти все банковские нормативные документы построены на базе рекомендаций по управлению рисками Базельского комитета по банковскому надзору .

Основные угрозы и оценка потенциального ущерба от их реализации

Выделим основные угрозы, присущие деятельности по осуществлению банковских безналичных платежей, и определим максимальный возможный ущерб от их реализации.

Таблица 2.

Здесь в состав анализируемой деятельности входит совокупность бизнес-процессов:

• реализация корреспондентских отношений с банками-партнерами и ЦБ РФ;
• проведение расчетов с клиентами.

В дальнейшем мы будем рассматривать только вопросы обеспечения безопасности корреспондентских отношений с Банком России. Тем не менее, полученные наработки могут быть использованы для обеспечения безопасности и других видов расчетов.

Обязательные требования к системе ИБ безналичных платежей

При рассмотрении основных угроз мы оценили их ущерб, но не оценили вероятность их реализации. Дело в том, что если максимально возможный ущерб будет одинаковым для любых банков, то вероятность реализации угроз будет отличаться от банка к банку и зависеть от применяемых защитных мер.

Одними из основных мер по снижению вероятности реализации угроз информационной безопасности будут:

• внедрение передовых практик по управлению IT и инфраструктурой;
• создание комплексной системы защиты информации.

Про IT практики здесь мы говорить не будем, затронем только вопросы обеспечения информационной безопасности.

Основным нюансом, который необходимо учитывать в вопросах обеспечения информационной безопасности, является то, что данный вид деятельности довольно жестко регулируется со стороны государства и Центрального Банка. Как бы не оценивались риски, как бы не малы были те ресурсы, которыми располагает банк, его защита должна удовлетворять установленным требованиям. В противном случае он не сможет работать.

Рассмотрим требования по организации защиты информации, налагаемые на бизнес-процесс корреспондентских отношений с Банком России.

Таблица 3.

Документы, устанавливающие требования	Наказание за невыполнение
Защита персональных данных. Основание – в платежных документах есть персональные данные (Ф.И.О. плательщика / получателя, его адрес, реквизиты документа, удостоверяющего личность)
Федеральный закон «О персональных данных» от 27.07.2006 № 152-ФЗ	, – до 75 тыс. руб. штраф., – до 2 лет лишения свободы
Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»
Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» (Зарегистрировано в Минюсте России 14.05.2013 N 28375)
Приказ ФСБ России от 10.07.2014 № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности» (Зарегистрировано в Минюсте России 18.08.2014 N 33620)
Указание Банка России от 10 декабря 2015 г. № 3889-У «Об определении угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных”
Обеспечение защиты информации в национальной платежной системе. Основание – кредитная организация, выполняющая переводы денежных средств, является частью национальной платежной системы.
Федеральный закон «О национальной платежной системе» от 27.06.2011 № 161-ФЗ	п.6 ст. 20 Федерального закона от 02.12.1990 № 395-1 «О банках и банковской деятельности» – отзыв лицензии
Постановление Правительства РФ от 13.06.2012 № 584 «Об утверждении Положения о защите информации в платежной системе»
Положение Банка России от 9 июня 2012 г. N 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств»
Положение Банка России от 24 августа 2016 г. № 552-П «О требованиях к защите информации в платежной системе Банка России»
Эксплуатационная документация на СКЗИ СКАД Сигнатура
Обеспечение безопасности критической информационной инфраструктуры Российской Федерации. Основание – банк в силу п.8 ст. 2 ФЗ от 26.07.2017 № 187-ФЗ является субъектом критической информационной инфраструктуры
Федеральный закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»	– до 8 лет лишения свободы
Постановление Правительства РФ от 08.02.2018 N 127 »Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений"
Приказ ФСТЭК России от 21.12.2017 N 235 «Об утверждении Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования» (Зарегистрировано в Минюсте России 22.02.2018 N 50118)
Приказ ФСТЭК России от 06.12.2017 N 227 «Об утверждении Порядка ведения реестра значимых объектов критической информационной инфраструктуры Российской Федерации» (Зарегистрировано в Минюсте России 08.02.2018 N 49966)
Указ Президента РФ от 22.12.2017 N 620 «О совершенствовании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации»
Требования по защите информации, установленные договором об обмене электронными сообщениями при переводе денежных средств в рамках платежной системы Банка России. Основание – данный договор заключают все кредитные организации для электронного обмена платежными документами с Банком России.
Типовой договор обмена ЭС с приложениями. Документация на АРМ КБР, УТА (требования их использовании отражены в п.1. Приложения 3 к Договору)	п. 9.5.4 Договора – одностороннее расторжение договора по инициативе Банка России.

Обозначим также дополнительные требования к организации защиты информации. Данные требования будут распространяться лишь на некоторые банки и лишь в некоторых случаях:

Таблица 4.

Как мы видим, требования АВЗ.1 и АВЗ.2 говорят о том, что антивирусная защита должна быть. То, как конкретно ее настраивать, на каких узлах сети устанавливать, эти требования не регламентируют (Письмо Банка России от 24.03.2014 N 49-Т рекомендует банкам иметь на АРМах, на серверах и на шлюзах антивирусы различных производителей).

Аналогичным образом обстоят дела и с сегментацией вычислительной сети – требование ЗИС.17 . Документ только предписывает необходимость использования этой практики для защиты, но не говорит, как организация должна это делать.

То, как конкретно настраиваются средства защиты информации, и реализуются защитные механизмы, узнают из частного технического задания на систему защиты информации, сформированного по результатам моделирования угроз информационной безопасности. Добавить метки

Защите подлежит любая документированная информация, неправомерное обращение с которой может нанести ущерб Банку и/или клиенту, доверившей свою информацию Банку.

К такой информации относятся:

1. Все операции по лицевым счетам распорядителей ассигнований.

2. Сроки получения заработной платы учреждениями и организациями (по «зарплатным» договорам).

3. Планы контрольно-ревизионной работы.

4. Акты внешних и внутренних проверок.

5. Сведения о суммах, поступившего от конкретного плательщика.

6. Переписка с правоохранительными органами.

7. Сведения служебного характера, обсуждаемые в ходе совещаний, проводимых руководителями.

8. Сведения, составляющие коммерческую тайну предприятий, фирм, банков и других хозяйствующих субъектов.

9. Данные о программном обеспечении, используемом для обработки "операционного дня".

10. Схема движения документов "операционного дня".

11. Структура автоматизированных систем, порядок администрирования АС и информационных ресурсов, подлежащих защите, списки паролей и имен активного оборудования.

12. Описание информационных потоков, топология телекоммуникаций Управления, схемы размещения элементов АС.

13. Система защиты информации.

14. Сведения об организационно-технических мероприятиях по защите информации.

15. Штатное расписание и численность работников банка.

16. Персональные данные о сотрудниках.

17. Сведения из личного дела работающего, трудовой книжки, карточки Ф.№Т-2.

18. Сведения о доходах гражданина и имуществе, принадлежащего ему на праве собственности, данные о заработной плате и других выплатах сотрудникам.

19. Материалы расследований по заявлениям граждан и нарушениям трудовой дисциплины.

20. Иные сведения, касающиеся деятельности банка, ограничения на распространение которых диктуются служебной необходимостью.

Ресурсы АС включают данные, информацию, программное обеспечение, аппаратные средства, средства обслуживания и телекоммуникации.

Режим защиты информации устанавливается

• в отношении информации, содержащей государственную тайну отделом обеспечения безопасности информации банка в соответствии с Законом Российской Федерации «О государственной тайне»;
• в отношении конфиденциальной документированной информации - собственником информационных ресурсов на основании Федерального закона «Об информации, информатизации и защите информации»;

1.4.2. Возможные угрозы защищаемым информационным ресурсам

К числу идентифицированных угроз относятся:

1. Несанкционированный доступ.

2. Преднамеренные и непреднамеренные сбои в работе средств вычислительной техники, электрооборудования и т.п., ведущие к потере или искажению информации.

3. Перехват, искажение или изменение информации, передаваемой по каналам связи.

4. Нелегальное ознакомление с информацией.

1.4.3. Защита информационных ресурсов

Предотвращение возможных угроз защищаемым информационным ресурсам осуществляется:

1. От несанкционированного доступа - созданием системы защиты информации от НСД, которая представляет собой комплекс программно-технических средств и организационных решений.

К организационным решениям относится:

· обеспечение охраны объекта, на котором расположена защищаемая АС с целью предотвращения хищения СВТ, информационных носителей, а также НСД к СВТ и линиям связи;

· выбор класса защищенности АС в соответствии с особенностями обработки информации и уровнем ее конфиденциальности;

· организация учета, хранения и выдачи информационных носителей, паролей, ключей, ведение служебной документации, приемку включаемых в АС новых программных средств, а также контроль за ходом технологического процесса обработки конфиденциальной информации;

· разработка соответствующей организационно-распорядительной документации.

Подключение к глобальным вычислительным сетям осуществляется только по установлению действительной необходимости такого подключения, выполнении полного комплекса защитных мероприятий.

2. От преднамеренных и непреднамеренных сбоев в работе СВТ, электрооборудования и т.п., ведущих к потере или искажению информации.

Программное обеспечение (ПО), необходимое для функционирования информационной и телекоммуникационной систем оформляется в виде перечня и должно быть утверждено руководителем к применению.

Установка на рабочие места любых программ производится только специалистами ИТО. Самостоятельная установка программного обеспечения категорически запрещена.

С целью обеспечения защиты конфиденциальной информации от искажения или уничтожения в случае сбоев в работе СВТ и оборудования ведется резервирование защищаемой информации, а также используются источники бесперебойного питания. Периодичность и порядок проведения резервного копирования определяет администратор ЛВС, исходя из необходимости сохранности информации, ПО баз данных.

3. Перехват, искажение или изменение информации, передаваемой по каналам связи.

Передача конфиденциальной информации с грифом «Для служебного пользования» по открытым каналам связи с использованием электронной почты, факсимильной связи и любых других видов связи без использования средств шифрования запрещена.

Электронная почта используется для осуществления документооборота банка с другими организациями. Места размещения коммутационного оборудования по истечении рабочего дня опечатываются, двери закрываются на замок, доступ в них посторонним лицам без сопровождения ответственного лица запрещен. (Посторонними являются и сотрудники банка, которые по своим функциональным обязанностям не имеют отношения к эксплуатации данного оборудования).

Ответственными лицами регулярно проводится визуальный контроль всех телекоммуникаций с целью выявления или своевременного предотвращения попыток подключения специальных устройств для съема информации.

4. Нелегальное ознакомление с информацией.

С целью предотвращения нелегального ознакомления с информацией вход в помещения, где обрабатывается информация, подлежащая защите, должен быть ограничен.

При организации своего рабочего места сотрудник так располагает экран дисплея, чтобы затруднить просмотр информации выведенной на экран посторонним лицам.

При оставлении по каким-либо причинам своего рабочего места сотрудник обязан выйти из сети или заблокировать экран монитора.

1.4.4. Защита от вирусов

Какой должна быть антивирусная защита?

В общем случае, антивирусная защита банковской информационной системы должна строиться по иерархическому принципу:

• службы общекорпоративного уровня - 1-й уровень иерархии;
• службы подразделений или филиалов - 2-й уровень иерархии;
• службы конечных пользователей - 3-й уровень иерархии.

Службы всех уровней объединяются в единую вычислительную сеть (образуют единую инфраструктуру), посредством локальной вычислительной сети.

Службы общекорпоративного уровня должны функционировать в непрерывном режиме.

Управление всех уровней должно осуществляться специальным персоналом, для чего должны быть предусмотрены средства централизованного администрирования.

Антивирусная система должна предоставлять следующие виды сервисов на общекорпоративном уровне:

• получение обновления программного обеспечения и антивирусных баз;
• управление распространением антивирусного программного обеспечения;
• управление обновлением антивирусных баз;
• контроль за работой системы в целом (получение предупреждений об обнаружении вируса, регулярное получение комплексных отчетов о работе системы в целом);

на уровне подразделений:

• обновление антивирусных баз конечных пользователей;
• обновление антивирусного программного обеспечения конечных пользователей, управление локальными группами пользователей;
• на уровне конечных пользователей:
• автоматическая антивирусная защита данных пользователя.

Функциональные требования

• Удаленное управление. Возможность управления всей системой с одного рабочего места (например, с рабочей станции администратора).
• Ведение журналов. Ведение журналов работы в удобной настраиваемой форме.
• Оповещения. В системе защиты должна быть возможность отправки оповещений о происходящих событиях.
• Производительность системы. Необходимо регулировать уровень нагрузки от антивирусной защиты
• Защита от различных типов вирусов. Необходимо обеспечить возможность обнаружения вирусов исполняемых файлов, макросов документов. Кроме этого, должна быть предусмотрены механизмы обнаружения неизвестных программному обеспечению вирусов.
• Постоянная защита рабочих станций. На рабочих станциях должно работать программное обеспечение, обеспечивающее проверку файлов при их открытии и записи на диск.
• Автоматическое обновление антивирусной базы. Должна быть предусмотрена возможность автоматического получения обновлений антивирусной базы и обновления антивирусной базы на клиентах.

Общие требования

• Программно-технические компоненты системы антивирусной защиты должны обеспечивать формирование интегрированной вычислительной среды, удовлетворяющей следующим общим принципам создания автоматизированных систем:
• Надежность - система в целом должна обладать продолжать функционировать независимо от функционирования отдельных узлов системы и должна обладать средствами восстановления после отказа.
• Масштабируемость - система антивирусной защиты должна формироваться с учетом роста числа защищенных объектов.
• Открытость - система должна формироваться с учетом возможности пополнения и обновления ее функций и состава, без нарушения функционирования вычислительной среды в целом.
• Совместимость - поддержка антивирусным программным обеспечением максимально-возможного количества сетевых ресурсов. В структуре и функциональных особенностях компонент должны быть представлены средства взаимодействия с другими системами.
• Унифицированность (однородность) - компоненты должны представлять собой стандартные, промышленные системы и средства, имеющие широкую сферу применения и проверенные многократным использованием.
• Кроме того, система должна обеспечивать регулярное обновление используемой антивирусной базы, содержать в себе механизмы поиска ранее неизвестных вирусов и макро вирусов, как наиболее распространенных и опасных в настоящее время.

Требования к надежности и функционированию системы

• Система антивирусной защиты не должна нарушать логику работы остальных используемых приложений.
• Система должна обеспечивать возможность вернуться к использованию предыдущей версии антивирусных баз.
• Система должна функционировать в режиме функционирования объекта (рабочая станция/сервер) на котором она установлена.
• Система должна обеспечивать оповещение администратора системы при сбоях или обнаружении вирусов.

1. На первом уровне защищают подключение в Интернет или сеть поставщика услуг связи - это межсетевой экран и почтовые шлюзы, поскольку по статистике именно оттуда попадает около 80% вирусов. Необходимо отметить что таким образом будет обнаружено не более 30% вирусов, так как оставшиеся 70% будут обнаружены только в процессе выполнения.

Применение антивирусов для межсетевых экранов на сегодняшний день сводится к осуществлению фильтрации доступа в Интернет при одновременной проверке на вирусы проходящего трафика.

Осуществляемая такими продуктами антивирусная проверка сильно замедляет работу и имеет крайне не высокий уровень обнаружения, по этому в отсутвии необходимости фильтрации посещаемых пользователями веб-узлов применение таких продуктов является не целесообразным.

2. Как правило, защищают файл-сервера, сервера баз данных и сервера систем коллективной работы, поскольку именно они содержат наиболее важную информацию. Антивирус не является заменой средствам резервного копирования информации, однако без него можно столкнуться с ситуацией, когда резервные копии заражены, а вирус активизируется спустя полгода с момента заражения.

3. Ну и напоследок защищают рабочие станции, те хоть и не содержат важной информации, но защита может сильно снизить время аварийного восстановления.

Фактически, антивирусной защите подлежат все компоненты банковской информационной системы, связанные с транспортировкой информации и/или ее хранением:

Ø Файл-серверы;

Ø Рабочие станции;

Ø Рабочие станции мобильных пользователей;

Ø Сервера резервного копирования;

Ø Сервера электронной почты;

Ø Защита рабочих мест (в т.ч. мобильных пользователей) должна осуществляться антивирусными средствами и средствами сетевого экранирования рабочих станций.

Средства сетевого экранирования призваны в первую очередь обеспечивать защиту мобильных пользователей при работе через Интернет, а также обеспечивать защиту рабочих станций ЛВС компании от внутренних нарушителей политики безопасности.

Основные особенности сетевых экранов для рабочих станций:

Контролируют подключения в обе стороны

Позволяют известным приложениям получить доступ в Интернет без вмешательства пользователя (autoconfig)

Мастер конфигурирования на каждое приложение (только установленные приложения могут проявлять сетевую активность)

Делают ПК невидимым в Интернет (прячет порты)

Предотвращают известные хакерские атаки и троянские кони

Извещают пользователя о попытках взлома

Записывают информацию о подключениях в лог файл

Предотвращают отправку данных, определённых как конфиденциальные от отправки без предварительного уведомления

Не дают серверам получать информацию без ведома пользователя (cookies)

Антивирусная защита информационных систем - важнейшая и постоянная функция общей системы экономической безопасности банка. В этом деле недопустимы временные послабления и отступления от стандартов. Независимо от уже существующих в банке решений по антивирусной защите всегда полезно провести дополнительный аудит и оценить систему глазами независимого и компетентного эксперта.