Защите подлежит любая документированная информация, неправомерное обращение с которой может нанести ущерб Банку и/или клиенту, доверившей свою информацию Банку.

К такой информации относятся:

1. Все операции по лицевым счетам распорядителей ассигнований.

2. Сроки получения заработной платы учреждениями и организациями (по «зарплатным» договорам).

3. Планы контрольно-ревизионной работы.

4. Акты внешних и внутренних проверок.

5. Сведения о суммах, поступившего от конкретного плательщика.

6. Переписка с правоохранительными органами.

7. Сведения служебного характера, обсуждаемые в ходе совещаний, проводимых руководителями.

8. Сведения, составляющие коммерческую тайну предприятий, фирм, банков и других хозяйствующих субъектов.

9. Данные о программном обеспечении, используемом для обработки "операционного дня".

10. Схема движения документов "операционного дня".

11. Структура автоматизированных систем, порядок администрирования АС и информационных ресурсов, подлежащих защите, списки паролей и имен активного оборудования.

12. Описание информационных потоков, топология телекоммуникаций Управления, схемы размещения элементов АС.

13. Система защиты информации.

14. Сведения об организационно-технических мероприятиях по защите информации.

15. Штатное расписание и численность работников банка.

16. Персональные данные о сотрудниках.

17. Сведения из личного дела работающего, трудовой книжки, карточки Ф.№Т-2.

18. Сведения о доходах гражданина и имуществе, принадлежащего ему на праве собственности, данные о заработной плате и других выплатах сотрудникам.

19. Материалы расследований по заявлениям граждан и нарушениям трудовой дисциплины.

20. Иные сведения, касающиеся деятельности банка, ограничения на распространение которых диктуются служебной необходимостью.

Ресурсы АС включают данные, информацию, программное обеспечение, аппаратные средства, средства обслуживания и телекоммуникации.

Режим защиты информации устанавливается

• в отношении информации, содержащей государственную тайну отделом обеспечения безопасности информации банка в соответствии с Законом Российской Федерации «О государственной тайне»;
• в отношении конфиденциальной документированной информации - собственником информационных ресурсов на основании Федерального закона «Об информации, информатизации и защите информации»;

1.4.2. Возможные угрозы защищаемым информационным ресурсам

К числу идентифицированных угроз относятся:

1. Несанкционированный доступ.

2. Преднамеренные и непреднамеренные сбои в работе средств вычислительной техники, электрооборудования и т.п., ведущие к потере или искажению информации.

3. Перехват, искажение или изменение информации, передаваемой по каналам связи.

4. Нелегальное ознакомление с информацией.

1.4.3. Защита информационных ресурсов

Предотвращение возможных угроз защищаемым информационным ресурсам осуществляется:

1. От несанкционированного доступа - созданием системы защиты информации от НСД, которая представляет собой комплекс программно-технических средств и организационных решений.

К организационным решениям относится:

· обеспечение охраны объекта, на котором расположена защищаемая АС с целью предотвращения хищения СВТ, информационных носителей, а также НСД к СВТ и линиям связи;

· выбор класса защищенности АС в соответствии с особенностями обработки информации и уровнем ее конфиденциальности;

· организация учета, хранения и выдачи информационных носителей, паролей, ключей, ведение служебной документации, приемку включаемых в АС новых программных средств, а также контроль за ходом технологического процесса обработки конфиденциальной информации;

· разработка соответствующей организационно-распорядительной документации.

Подключение к глобальным вычислительным сетям осуществляется только по установлению действительной необходимости такого подключения, выполнении полного комплекса защитных мероприятий.

2. От преднамеренных и непреднамеренных сбоев в работе СВТ, электрооборудования и т.п., ведущих к потере или искажению информации.

Программное обеспечение (ПО), необходимое для функционирования информационной и телекоммуникационной систем оформляется в виде перечня и должно быть утверждено руководителем к применению.

Установка на рабочие места любых программ производится только специалистами ИТО. Самостоятельная установка программного обеспечения категорически запрещена.

С целью обеспечения защиты конфиденциальной информации от искажения или уничтожения в случае сбоев в работе СВТ и оборудования ведется резервирование защищаемой информации, а также используются источники бесперебойного питания. Периодичность и порядок проведения резервного копирования определяет администратор ЛВС, исходя из необходимости сохранности информации, ПО баз данных.

3. Перехват, искажение или изменение информации, передаваемой по каналам связи.

Передача конфиденциальной информации с грифом «Для служебного пользования» по открытым каналам связи с использованием электронной почты, факсимильной связи и любых других видов связи без использования средств шифрования запрещена.

Электронная почта используется для осуществления документооборота банка с другими организациями. Места размещения коммутационного оборудования по истечении рабочего дня опечатываются, двери закрываются на замок, доступ в них посторонним лицам без сопровождения ответственного лица запрещен. (Посторонними являются и сотрудники банка, которые по своим функциональным обязанностям не имеют отношения к эксплуатации данного оборудования).

Ответственными лицами регулярно проводится визуальный контроль всех телекоммуникаций с целью выявления или своевременного предотвращения попыток подключения специальных устройств для съема информации.

4. Нелегальное ознакомление с информацией.

С целью предотвращения нелегального ознакомления с информацией вход в помещения, где обрабатывается информация, подлежащая защите, должен быть ограничен.

При организации своего рабочего места сотрудник так располагает экран дисплея, чтобы затруднить просмотр информации выведенной на экран посторонним лицам.

При оставлении по каким-либо причинам своего рабочего места сотрудник обязан выйти из сети или заблокировать экран монитора.

1.4.4. Защита от вирусов

Какой должна быть антивирусная защита?

В общем случае, антивирусная защита банковской информационной системы должна строиться по иерархическому принципу:

• службы общекорпоративного уровня - 1-й уровень иерархии;
• службы подразделений или филиалов - 2-й уровень иерархии;
• службы конечных пользователей - 3-й уровень иерархии.

Службы всех уровней объединяются в единую вычислительную сеть (образуют единую инфраструктуру), посредством локальной вычислительной сети.

Службы общекорпоративного уровня должны функционировать в непрерывном режиме.

Управление всех уровней должно осуществляться специальным персоналом, для чего должны быть предусмотрены средства централизованного администрирования.

Антивирусная система должна предоставлять следующие виды сервисов на общекорпоративном уровне:

• получение обновления программного обеспечения и антивирусных баз;
• управление распространением антивирусного программного обеспечения;
• управление обновлением антивирусных баз;
• контроль за работой системы в целом (получение предупреждений об обнаружении вируса, регулярное получение комплексных отчетов о работе системы в целом);

на уровне подразделений:

• обновление антивирусных баз конечных пользователей;
• обновление антивирусного программного обеспечения конечных пользователей, управление локальными группами пользователей;
• на уровне конечных пользователей:
• автоматическая антивирусная защита данных пользователя.

Функциональные требования

• Удаленное управление. Возможность управления всей системой с одного рабочего места (например, с рабочей станции администратора).
• Ведение журналов. Ведение журналов работы в удобной настраиваемой форме.
• Оповещения. В системе защиты должна быть возможность отправки оповещений о происходящих событиях.
• Производительность системы. Необходимо регулировать уровень нагрузки от антивирусной защиты
• Защита от различных типов вирусов. Необходимо обеспечить возможность обнаружения вирусов исполняемых файлов, макросов документов. Кроме этого, должна быть предусмотрены механизмы обнаружения неизвестных программному обеспечению вирусов.
• Постоянная защита рабочих станций. На рабочих станциях должно работать программное обеспечение, обеспечивающее проверку файлов при их открытии и записи на диск.
• Автоматическое обновление антивирусной базы. Должна быть предусмотрена возможность автоматического получения обновлений антивирусной базы и обновления антивирусной базы на клиентах.

Общие требования

• Программно-технические компоненты системы антивирусной защиты должны обеспечивать формирование интегрированной вычислительной среды, удовлетворяющей следующим общим принципам создания автоматизированных систем:
• Надежность - система в целом должна обладать продолжать функционировать независимо от функционирования отдельных узлов системы и должна обладать средствами восстановления после отказа.
• Масштабируемость - система антивирусной защиты должна формироваться с учетом роста числа защищенных объектов.
• Открытость - система должна формироваться с учетом возможности пополнения и обновления ее функций и состава, без нарушения функционирования вычислительной среды в целом.
• Совместимость - поддержка антивирусным программным обеспечением максимально-возможного количества сетевых ресурсов. В структуре и функциональных особенностях компонент должны быть представлены средства взаимодействия с другими системами.
• Унифицированность (однородность) - компоненты должны представлять собой стандартные, промышленные системы и средства, имеющие широкую сферу применения и проверенные многократным использованием.
• Кроме того, система должна обеспечивать регулярное обновление используемой антивирусной базы, содержать в себе механизмы поиска ранее неизвестных вирусов и макро вирусов, как наиболее распространенных и опасных в настоящее время.

Требования к надежности и функционированию системы

• Система антивирусной защиты не должна нарушать логику работы остальных используемых приложений.
• Система должна обеспечивать возможность вернуться к использованию предыдущей версии антивирусных баз.
• Система должна функционировать в режиме функционирования объекта (рабочая станция/сервер) на котором она установлена.
• Система должна обеспечивать оповещение администратора системы при сбоях или обнаружении вирусов.

1. На первом уровне защищают подключение в Интернет или сеть поставщика услуг связи - это межсетевой экран и почтовые шлюзы, поскольку по статистике именно оттуда попадает около 80% вирусов. Необходимо отметить что таким образом будет обнаружено не более 30% вирусов, так как оставшиеся 70% будут обнаружены только в процессе выполнения.

Применение антивирусов для межсетевых экранов на сегодняшний день сводится к осуществлению фильтрации доступа в Интернет при одновременной проверке на вирусы проходящего трафика.

Осуществляемая такими продуктами антивирусная проверка сильно замедляет работу и имеет крайне не высокий уровень обнаружения, по этому в отсутвии необходимости фильтрации посещаемых пользователями веб-узлов применение таких продуктов является не целесообразным.

2. Как правило, защищают файл-сервера, сервера баз данных и сервера систем коллективной работы, поскольку именно они содержат наиболее важную информацию. Антивирус не является заменой средствам резервного копирования информации, однако без него можно столкнуться с ситуацией, когда резервные копии заражены, а вирус активизируется спустя полгода с момента заражения.

3. Ну и напоследок защищают рабочие станции, те хоть и не содержат важной информации, но защита может сильно снизить время аварийного восстановления.

Фактически, антивирусной защите подлежат все компоненты банковской информационной системы, связанные с транспортировкой информации и/или ее хранением:

Ø Файл-серверы;

Ø Рабочие станции;

Ø Рабочие станции мобильных пользователей;

Ø Сервера резервного копирования;

Ø Сервера электронной почты;

Ø Защита рабочих мест (в т.ч. мобильных пользователей) должна осуществляться антивирусными средствами и средствами сетевого экранирования рабочих станций.

Средства сетевого экранирования призваны в первую очередь обеспечивать защиту мобильных пользователей при работе через Интернет, а также обеспечивать защиту рабочих станций ЛВС компании от внутренних нарушителей политики безопасности.

Основные особенности сетевых экранов для рабочих станций:

Контролируют подключения в обе стороны

Позволяют известным приложениям получить доступ в Интернет без вмешательства пользователя (autoconfig)

Мастер конфигурирования на каждое приложение (только установленные приложения могут проявлять сетевую активность)

Делают ПК невидимым в Интернет (прячет порты)

Предотвращают известные хакерские атаки и троянские кони

Извещают пользователя о попытках взлома

Записывают информацию о подключениях в лог файл

Предотвращают отправку данных, определённых как конфиденциальные от отправки без предварительного уведомления

Не дают серверам получать информацию без ведома пользователя (cookies)

Антивирусная защита информационных систем - важнейшая и постоянная функция общей системы экономической безопасности банка. В этом деле недопустимы временные послабления и отступления от стандартов. Независимо от уже существующих в банке решений по антивирусной защите всегда полезно провести дополнительный аудит и оценить систему глазами независимого и компетентного эксперта.

И нформационная безопасность банков начинается с аудита. ИБ-аудит может не только дать банку право осуществления определенных видов деятельности, но и показать слабые места в системах банка. Поэтому подходить к решению о проведении и выборе формы аудита необходимо взвешенно.

Согласно Федеральному закону от 30 декабря 2008 года №307-ФЗ «Об аудиторской деятельности», аудит - это «независимая проверка бухгалтерской (финансовой) отчетности аудируемого лица в целях выражения мнения о достоверности такой отчетности».

К сфере информационной безопасности определение термина, упомянутое в законе, отношения не имеет. Однако специалисты по информационной безопасности достаточно активно используют его в речи. В этом случае под аудитом понимается процесс независимой оценки деятельности организации, системы, процесса, проекта или продукта.

В различных отечественных нормативных актах термин «аудит информационной безопасности» применяется не всегда — его часто заменяют либо термином «оценка соответствия», либо немного устаревшим, но все еще употребляемым термином «аттестация». Иногда встречается термин «сертификация», но применительно к международным зарубежным нормативным актам.

Какой бы термин не использовался, по сути, аудит информационной безопасности проводится, чтобы проверить выполнение нормативных актов или обоснованность и защищенность применяемых решений. В первом случае отказаться от проведения аудита невозможно, иначе это повлечет нарушение требований нормативных актов и штрафам, приостановлению деятельности, другим формам наказания. Во втором случае аудит носит добровольный характер, и решение о проведении принимает сама организация.

Обязательный аудит может проводить:

• сама банковская организация, например, в форме самооценки (правда, о «независимости» уже речи не идет и термин «аудит» применять не совсем уместно);
• внешняя независимая организация — аудитор;
• регулирующие органы, наделенные правом осуществлять соответствующие надзорные мероприятия (этот вариант чаще называют не аудитом, а инспекционной проверкой).

Добровольный аудит может проводиться по любому поводу: для проверки защищенности системы ДБО, контроля активов приобретенного банка, проверки вновь открываемого филиала и так далее. В этом случае невозможно ни четко очертить границы, ни описать формы отчетности, ни говорить о регулярности аудита — все это решается договором между аудитором и проверяемой организацией. Обратимся к формам обязательного аудита, которые важны для информационной безопасности именно банков.

По итогам исследования компаний РФ и мира, которое «СёрчИнформ» провела в 2018 году, финансисты, бухгалтеры и экономисты были виновниками ИБ-инцидентов​​ в 24% случаев. .

Международный стандарт ISO 27001

Полный российский аналог международного стандарта ISO/IEC 27001:2005 — «ГОСТ Р ИСО/МЭК 27001-2006 — Информационная технология — Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности — Требования».

По сути, данные стандарты - это набор лучших практик по управлению информационной безопасностью в крупных организациях. Небольшие организации, в том числе и банки, не всегда в состоянии выполнить требования стандарта в полном объеме. Как и любой стандарт в России, ISO 27001 - добровольный документ, принимать или не принимать его условия каждый банк решает самостоятельно. Но ISO 27001 является призванным мировым стандартом, и специалисты в разных странах используют его как универсальное руководство для всех, кто занимается информационной безопасностью.

С ISO 27001 связаны несколько неочевидных и нечасто упоминаемых, но важных моментов.

Во-первых, аудиту по данному стандарту подлежит не вся система обеспечения информационной безопасности банка, а только одна или несколько составных частей. Например, система защиты ДБО, система защиты головного офиса банка или система защиты процесса управления персоналом. Иными словами, получение сертификата соответствия на один из оцениваемых в рамках аудита процессов не дает гарантии, что остальные процессы находятся в таком же близком к идеальному состоянию.

Второй момент связан с тем, что ISO 27001 является стандартом универсальным, то есть применимым к любой организации, а значит, не учитывающим специфику отрасли. Это привело к тому, что в рамках международной организации по стандартизации ISO уже давно ведутся разговоры о создании стандарта ISO 27015, который является переложением ISO 27001/27002 на финансовую отрасль. В разработке отраслевого стандарта активно участвует Банк России. Против уже разработанного проекта выступили Visa и MasterCard. Visa считает, что в проекте слишком мало информации, нужной для финансовой отрасли, например, по платежным системам. Однако, если добавить недостающие положения, стандарт придется перенести в другой комитет ISO. MasterCard предлагает прекратить разработку ISO 27015, мотивируя предложение тем, что в финансовой отрасли и без того достаточно документов, которые регулируют сферу информационной безопасности.

В-третьих, многие предложения на российском рынке говорят не об аудите соответствия, а о подготовке к аудиту. Дело в том, что правом проводить сертификацию соответствия требованиям ISO 27001 обладают всего несколько организаций в мире. А интеграторы всего лишь помогают компаниям выполнить требования стандарта, которые затем будут проверены официальными аудиторами (регистраторами, органами по сертификации).

Пока продолжаются споры, внедрять банкам ISO 27001 или нет, отдельные смельчаки идут на это и проходят три стадии аудита соответствия:

• предварительное неформальное изучение аудитором основных документов как на территории заказчика аудита, так и вне;
• формальный и более глубокий аудит и оценка эффективности внедренных мер защиты, изучение разработанных необходимых документов, после чего аудитор обычно подтверждает соответствие и выдает сертификат, признаваемый во всем мире.
• ежегодное выполнение инспекционного аудита для подтверждения полученного сертификата соответствия.

Кому нужен ISO 27001 в России? Если рассматривать стандарт не только как набор лучших практик, которые следует внедрять и без прохождения аудита, но и как процесс сертификации, подтверждающий соответствие банка международным требованиям безопасности, то ISO 27001 имеет смысл внедрять либо банкам, входящим в банковские группы, где ISO 27001 является стандартом, либо банкам, планирующим выход на международную арену. В остальных случаях аудит соответствия ISO 27001 и получение сертификата чаще всего не нужно. Но только для банка и только в России, потому что есть отечественный стандарты на базе ISO 27001. Де-факто до недавнего времени Банк России проводил инспекционные проверки именно в соответствии с требованиями СТО БР ИББС.

Комплекс документов Банка России СТО БР ИББС

Этот стандарт, а точнее набор стандартов описывает единый подход к построению системы обеспечения ИБ организаций банковской сферы с учетом требований российского законодательства. Набор документов (далее - СТО БР ИББС) включает три стандарта и пять рекомендаций по стандартизации. Он основан на ISO 27001 и других международных стандартах по управлению информационными технологиями и информационной безопасностью. Вопросы аудита и оценки соответствия требованиям стандарта, как и для ISO 27001, прописаны в отдельных документах:

• СТО БР ИББС-1.1-2007. Аудит информационной безопасности,
• СТО БР ИББС-1.2-2010. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0-2010,
• РС БР ИББС-2.1-2007. Руководство по самооценке соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0.

Во время оценки соответствия по СТО БР ИББС проверяется выполнение 423 частных показателей ИБ, которые разделены на 34 групповые показателя. Результат оценки - итоговый показатель, который должен находиться на 4-м или 5-м уровне по пятибалльной шкале, установленной Банком России. Эта деталь отличает аудит по СТО БР ИББС от аудита по другим нормативным актам в области ИБ. СТО БР ИББС не подразумевает «несоответствия», просто уровень соответствия может быть разный: от нуля до пяти. Положительными считаются только уровни выше 4-го.

По состоянию на конец 2011 года 70-75% банков внедрили или находятся в процессе внедрения этого набора стандартов. Де-юре СТО БР ИББС носит рекомендательный характер, но де-факто до недавнего времени Банка России проводил проверки именно в соответствии с требованиями СТО БР ИББС, хотя явно условия никогда и нигде не звучали. Ситуация изменилась с 1 июля 2012 года, когда вступил в силу закон «О национальной платежной системе» и разработанные для его исполнения нормативные документы правительства и Банка России. С этого момента вопрос о необходимости проводить аудит соответствия требованиям СТО БР ИББС вернулся в повестку дня.

Дело в том, что методика оценки соответствия, предложенная в рамках законодательства о национальной платежной системе (НПС), и методика оценки соответствия СТО БР ИББС могут очень сильно расходиться в итоговых значениях. При этом оценка по первой методике (для НПС) стала обязательной, тогда как оценка по СТО БР ИББС по-прежнему де-юре носит рекомендательный характер. В самом Банке России на момент написания статьи еще не решили судьбе этой оценки. Если ранее все нити сходились в Главное управление безопасности и защиты информации Банка России (ГУБЗИ), то с разделением полномочий между ГУБЗИ и Департаментом регулирования расчетов (LHH) вопрос оставался открытым. Ясно только, что законодательные акты о НПС требуют обязательной оценки соответствия, то есть аудита.

Законодательство о национальной платежной системе

Выпущенное и утвержденное 9 июня 2012 года Положение 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств» требует в пункте 2.15 обязательной оценки соответствия, то есть аудита. Оценка осуществляется либо самостоятельно, либо с привлечением сторонних организаций.

Методика оценки соответствия в рамках 382-П похожа по своей сути на методику оценки соответствия по СТО БР ИББС, но выдает другие результаты. Это связано с вводом специальных корректирующих коэффициентов.

Особых требований к организациям, привлекаемым для аудита, положение 382-П не устанавливает. Это приводит к некоторому противоречию с постановлением Правительства от 13 июня 2012 года №584 «О защите информации в платежной системе», которое также требует организации и проведения контроля и оценки выполнения требований к защите информации один раз в 2 года. Однако постановление правительства, разработанное ФСТЭК, требует, чтобы внешний аудит проводили только организации с лицензией на деятельность по технической защите конфиденциальной информации.

Дополнительные требования, которые накладывают на банки новые обязанности, перечислены в разделе 2.16 Положения 382-П. Согласно требованиям, оператор платежных систем обязан разработать, а банки, присоединившиеся к платежной системе, обязаны выполнять требования по регулярному информированию оператора платежной системы о различных вопросах информационной безопасности в банке, включая:

• выполнение требований по защите информации,
• данные об выявленных инцидентах,
• результаты проведенных самооценок,
• сведения о выявленных угрозах и уязвимостях.

Предотвратить ИБ-инциденты в банках помогает . Предустановленные политики безопасности для финансовой отрасли учитывают основные информационные угрозы.

ФЗ-161 о НПС также устанавливает, что дополнительно к аудиту на договорной основе контроль и надзор за выполнением требований 584-го постановления и 382-го положения осуществляют ФСБ, ФСТЭК и Банк России соответственно. На момент написания статьи ни у ФСТЭК, ни у ФСБ не располагали разработанным порядком проведения надзора. В отличие от Банка России, который выпустил два документа:

• положение от 31 мая 2012 года №380-П «О порядке осуществления наблюдения в национальной платежной системе» (для кредитных организаций);
• положение от 9 июня 2012 года №381-П «О порядке осуществления надзора за соблюдением не являющимися кредитными организациями операторами платежных систем, операторами услуг платежной инфраструктуры требований Федерального Закона от 27 июня 2011 года № 161-ФЗ «О национальной платежной системе», принятых в соответствии с ним нормативных актов Банка России».

Банк России начал апробацию и сбор фактов по правоприменительной практике нормативных актов в области защиты информации в национальной платежной системе в 1 июля 2012 года.

Стандарт безопасности платежных карт PCI DSS

PCI DSS - Payment Card Industry Data Security Standard - стандарт безопасности данных платежных карт. Его разработал Совет по стандартам безопасности индустрии платежных карт (Payment Card Industry Security Standards Council, PCI SSC), который был учрежден международными платежными системами Visa, MasterCard, American Express, JCB и Discover.

Стандарт PCI DSS представляет совокупность 12 высокоуровневых и более 200 детальных требований по обеспечению безопасности данных о держателях платежных карт, которые передаются, хранятся и обрабатываются в информационных системах организаций. Требования стандарта распространяются на все компании, которые работают с международными платежными системами Visa и MasterCard. Каждой компании в зависимости от количества обрабатываемых транзакций присваивают уровень, для каждого уровня - свой набором требований. Уровни для каждой платежной системы отличаются.

Проверка выполнения условий стандарта PCI DSS осуществляется в рамках обязательной сертификации, требования к которой отличаются в зависимости от типа проверяемой компании: торгово-сервисное предприятие, которые принимает карты к оплате товаров и услуг, или поставщик, которые оказывает услуги торгово-сервисным предприятиям, банкам-эквайрерам, эмитентам и так далее (процессинговые центры, платежные шлюзы). Оценка осуществляется в разных формах:

• ежегодные аудиторские проверки с помощью аккредитованных компаний, имеющих статус Qualified Security Assessors (QSA);
• ежегодная самооценка;
• ежеквартальное сканирование сетей с помощью уполномоченных организаций, имеющих статус Approved Scanning Vendor (ASV).

Законодательство о персональных данных

Еще один нормативный документ, который имеет отношение к банковской индустрии и устанавливает требования по оценке соответствия, - Федеральный закон «О персональных данных». Однако ни форма, ни периодичность аудита, ни требования к организации, которая проводит аудит, пока не установлены. Возможно, вопрос решится осенью 2012 года, когда выйдет порция документов правительства, ФСТЭК и ФСБ, которые вводят новые нормативы в области защиты персональных данных. Пока банки самостоятельно определяют особенности аудита защиты персональных данных.

Контроль и надзор за выполнением организационных и технических мер по обеспечению безопасности персональных данных, установленных статьей 19 закона 152-ФЗ, осуществляют ФСБ и ФСТЭК. Но это касается только государственных информационных систем персональных данных. Контроль коммерческих организаций в области обеспечения информационной безопасности персональных данных пока - по закону - осуществлять некому. Чего не скажешь о защите прав субъектов персональных данных, то есть клиентов, контрагентов и просто посетителей банка. Эту задачу взял на себя Роскомнадзор, который активно осуществляет надзорные функции и видит в банках злостных нарушителей закона о персональных данных.

Заключительные положения

Каждый из основных нормативных актов устанавливает свои требования по проведению оценки соответствия в той или иной форме: от самооценки в виде заполнения опросных листов (PCI DSS) до прохождения обязательного аудита один раз в два года (382-П) или один раз в год (ISO 27001). Существуют и другие формы оценки соответствия: уведомления оператора платежной системы, ежеквартальные сканирования и так далее.

С другой стороны, в стране до сих пор нет единой системы взглядов не только на государственное регулирование аудита информационной безопасности организаций и систем информационных технологий, но и на саму тему аудита информационной безопасности. За информационную безопасность в России отвечает ряд ведомств и организаций: ФСТЭК, ФСБ, Банк России, Роскомнадзор, PCI SSC и другие. Все они действуют на основании собственных нормативных документов и руководств. Разные подходы, разные стандарты, разные уровни зрелости… Все это мешает установлению единых правил игры.

Картину портит и появление фирм-однодневок, которые в погоне за прибылью предлагают некачественные услуги в области оценки соответствия требованиям по информационной безопасности. И к лучшему ситуация вряд ли изменится. Раз есть потребность, будут и желающие ее удовлетворить, в то время как на всех квалифицированных аудиторов просто не хватит. При небольшом их числе (см. инфографику) и продолжительности аудита от нескольких недель до нескольких месяцев очевидно, что запрос на аудит серьезно превышает возможности аудиторов.

В так и не принятой ФСТЭК «Концепции аудита информационной безопасности систем информационных технологий и организаций» была такая фраза:

«…в то же время в отсутствие необходимых национальных регуляторов такая деятельность [по нерегулируемому законодательством аудиту со стороны частных фирм] может нанести непоправимый вред организациям».

Авторы Концепции предлагали унифицировать подходы к аудиту и законодательно установить правила игры, включая правила аккредитации аудиторов, требования к квалификации, процедуре проведения аудита. Но воз и ныне там. Хотя, учитывая внимание, которое отечественные регуляторы в области информационной безопасности, а их всего девять, уделяют вопросам защиты информации, не исключено, что тема вскоре вновь станет актуальной. Только за прошедший календарный год было принято или разработано 52 нормативных акта по вопросам информационной безопасности, и один нормативный акт в неделю!

СТАНДАРТЫ АУДИТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

В сложившихся условиях, к сожалению, приходится признавать: основная цель аудита информационной безопасности банка - повышение доверия к его деятельности - в России недостижима. Немногие российские клиенты банка обращают внимание на уровень безопасности или на результаты проведенного в банке аудита. К аудиту обращаются либо в случае выявления очень серьезного инцидента с серьезным материальным ущербом для банка (его акционерам и владельцам), либо в случае законодательных требований.

Требованием №1, ради которого стоит обратиться к аудиту безопасности, является положение Банка России 382-П. Сведения об уровне защищенности банков и выполнении требований 382-П, которые запрашивают из территориальных управлений ЦБ, получаются именно в результате внешнего аудита или проведенной самооценки.

На втором место - аудит выполнения требований закона «О персональных данных». Но проводить подобный аудит стоит не раньше момента, когда будут выпущены все обещанные ФСТЭК и ФСБ документы и когда станет понятна судьба СТО БР ИББС. Тогда же можно поднять вопрос проведения аудита соответствия требованиям СТО БР ИББС.

Успешное прохождение аудита еще не означает, что с безопасностью в банке все хорошо. Существует множество уловок, которые позволяют проверяемой организации скрыть недочеты в системе защиты. Очень многое зависит от квалификации и независимости аудиторов. Опыт показывает, что даже в организациях, успешно прошедших аудит соответствия стандартам PCI DSS, ISO 27001 или СТО БР ИББС, случаются инциденты, и инциденты серьезные.

МНЕНИЕ ЭКСПЕРТА

Дмитрий МАРКИН, начальник отдела аудита и консалтинга АМТ-ГРУП:

- До недавнего времени вопросы прохождения обязательного аудита состояния ИБ для кредитных организаций в рамках российского законодательства регламентировались только ФЗ-152 «О персональных данных» в части осуществления внутреннего контроля за принимаемыми мерами по обеспечению безопасности ПДн, а также положением ЦБ РФ №242-П «Об организации внутреннего контроля в кредитных организациях и банковских группах». Причем, согласно требованиям положения №242-П порядок контроля за обеспечением ИБ устанавливается внутренними документами кредитной организации самостоятельно без привязки к конкретным требованиям по обеспечению ИБ. В связи с вступлением в силу ст.27 ФЗ-161 «О национальной платежной системе», определяющей требования по защите информации в платежной системе, вышли в свет постановление правительства РФ №584 «Об утверждении положения о защите информации в платежной системе» и положение ЦБ РФ №382-П. Согласно требованиям постановления №584 и положения №382-П защита информации в платежной системе должна осуществляться по требованиям данных нормативных актов и требованиям, включенным операторами платежных систем в правила платежных систем. Ключевым моментом здесь является закрепление на уровне национального законодательства права операторов платежных систем (например, Visa и MasterCard) самостоятельно устанавливать требования к защите информации. В положении №382-П также указана обязанность проведения кредитными организациями оценки выполнения требований к обеспечению ИБ не реже 1 раза в 2 года, четко определены методика оценки соответствия, критерии аудита и порядок документирования ее результатов. На наш взгляд, появление вышеуказанных нормативных актов должно повысить статистику прохождения кредитными организациями сертификации по требованиям стандарта безопасности данных индустрии платежных карт PCI DSS 2.0, разработанного при участии ведущих международных платежных систем Visa и MasterCard.

В банковской сфере изначально существовала проблема, связанная с конфиденциальностью информации, ее хранением и защитой. Безопасность данных банковских учреждений играет важную роль в бизнесе, поскольку конкуренты и преступные лица всегда интересуются такой информацией и прилагают все усилия для ее достижения. Во избежание возникновения такого рода проблем, необходимо научиться защищать банковские данные. Для того чтобы защита банковской информации была эффективной нужно, прежде всего учесть все возможные способы утечки информации. А именно: тщательно проверять данные людей при подборе кадров, проверять их биографические данные и предыдущие места работы.

Информационная безопасность банковских учреждений

Все информационные данные, находящиеся в обработке банковских и кредитных организаций, подвергаются риску. Это как данные клиентов, так и данные о непосредственной работе банков, их базы данных и так далее. Дело в том, что такая информация может быть полезна как конкурентам, так и физическим лицам, занимающимся преступной деятельностью. Их действия, по сравнению с проблемами, возникающими из-за вирусного поражения аппаратуры или сбоев операционных систем, приносят действительно колоссальный ущерб для организаций подобного рода.

Защита банковских серверов и локальных сетей от злоумышленников и несанкционированного доступа к материалам компании просто необходима в условиях жесткой конкуренции современного общества.

Информационная безопасность систем банковских учреждений имеет важное значение поскольку это гарантирует соблюдение конфиденциальности данных о клиентах банков. Проведение ежедневного резервного копирования, которое осуществляется организациями, снижает риск полной утери важной информации. Помимо этого, разработаны способы защиты данных от угроз, касающихся несанкционированного доступа. Утечка такого рода информации может возникать вследствие работы как шпионских служб, специально засланных в организацию, так и сотрудников, давно работающих и решившихся заработать на хищении информационного имущества банка. Безопасность обеспечивается благодаря работе профессионалов и специалистов, знающих свое дело.

Защита клиентов – это один из важнейших показателей, влияющих на репутацию банка в целом, в том числе и на доход организации. Поскольку только хорошие отзывы помогут банку выйти на высокий уровень обслуживания и обойти конкурентов.

Несанкционированный доступ к информации банковских систем

Одним из самых частых способов кражи банковской информации является использование резервного копирования, вынос данных на носителе или имитация взлома, но не с целью кражи материальных средств, а чтобы получить доступ к информации на сервере. Поскольку резервные копии обычно хранятся на стримерах в отдельных местах, то во время их транспортировки в место назначения можно сделать копии. Вот почему сотрудники, которых берут на подобную работу, тщательно проверяются через различные государственные органы на наличие судимости, проблем с законом в прошлом, в том числе и достоверность предоставленной о себе информации. Поэтому не стоит недооценивать такую возможность хищения банковской информации, ведь мировая практика пестрит такими случаями.

К примеру, так в 2005 году были выставлены на продажу базы данных проводок Центрального Банка Российской Федерации. Не исключено, что эта информация просочилась за пределы банковской организации именно из-за недостаточной безопасности банковских систем. Похожая ситуация не раз происходила во всемирно известных компаниях Соединенных штатов Америки, информационная безопасность которых очень сильно страдала от этого.

Интервью с начальником службы безопасности банка:

Более того, еще один способ, вследствие которого может возникнуть утечка информации из систем, это банковские сотрудники, жаждущие заработать на этом. Несмотря на то, что в большинстве случаев несанкционированный доступ к информации банковских систем делается только лишь с целью получить возможность поработать дома, именно они становятся причиной распространения информации, которая носит конфиденциальный характер. К тому же это прямое нарушение политики безопасности систем банковских организаций.

Следует также учесть, что в любом банке работают люди, имеющие значительные привилегии по доступу к таким данным. Это, как правило, системные администраторы. С одной стороны, это производственная необходимость, которая дает возможность выполнять служебные обязанности, а с другой – они могут использовать ее в собственных целях и при этом умеют профессионально “заметать за собой следы”.

Способы снижения рисков утечки информации

Защита банковской информации от несанкционированного доступа обычно включает в себя не менее 3 составляющих. Каждая из этих составляющих помогает обеспечить безопасность банков именно в той сфере, где она используется. Сюда можно отнести защиту от физического доступа, резервных копий и защиту от инсайдеров.

Поскольку банки с особым вниманием относятся к физическому доступу и стараются еще в корне исключить возможность несанкционированного доступа, то им приходится использовать специальные средства и способы шифрования и кодирования важной информации. Поскольку банки имеют похожие системы и средства для защиты данных, то лучше использовать криптографические защитные средства. Они помогают сохранить коммерческую информацию, а также сократить риски возникновения таких ситуаций. Лучше всего хранить информацию в закодированном виде, используя принцип прозрачного шифрования, который помогает снизить затраты на защиту информации, а также освобождает от необходимости постоянно расшифровывать и зашифровывать данные.

Учитывая тот факт, что все данные банковских систем фактически являются деньгами клиентов, следует уделять должное внимание их сохранности. Одним из способов является определение наличия вышедших из строя секторов на жестком диске. Функция отмены или приостановки процесса играет далеко не последнюю роль при первоначальном шифровании, зашифровывании, расшифровывании и перешифровании диска. Такая процедура имеет высокую продолжительность, и поэтому любой сбой может привести к полной утере информации. Наиболее надежный способ хранения ключей шифрования и систем – это смарт карты или USB-ключи.

Защита систем информации осуществляется более эффективно благодаря применению не только стримеров, но и съемных жестких дисков, DVD-носителей и прочего. Комплексное использование средств защиты от физического проникновения к источникам информации увеличивает шансы ее сохранности и неприкосновенности со стороны конкурентов и злоумышленников.

Из этого видео вы узнаете о мерах, которые стоит предпринять:

Методы защиты информационных систем от инсайдеров

В основном хищение информации происходит с помощью мобильных носителей, различного рода USB-устройств, дисковых накопителей, карт памяти и прочих мобильных устройств. Поэтому одним из правильных решений, является запрет использования подобных устройств на рабочих местах. Все, что необходимо содержится на серверах и тщательно отслеживается, куда и откуда передается информация в среде банков. Кроме того, в крайних случаях разрешается использовать только те носители, которые приобретаются компанией. Можно установить специальные ограничения, благодаря которым компьютер не будет распознавать посторонние носители и карты памяти.

Защита информации – одна из важнейших задач банковских организаций, необходимая для эффективного функционирования. Современный рынок располагает большими возможностями для осуществления этих планов. Блокировка компьютеров и портов – важнейшее условие, которое следует соблюдать, чтобы защита систем была более надежной.

Не следует забывать и о том, что лица занимающиеся кражей данных тоже знакомы с набором систем, благодаря которым осуществляется защита коммерческой информации,и могут их обойти с помощью специалистов. Чтобы предотвратить возникновение таких рисков нужно постоянно работать над улучшением безопасности и стараться использовать усовершенствованные системы защиты.

Система защиты информации банков весьма сильно отличается от аналогичных стратегий других компаний и организаций. Это обусловлено прежде всего специфическим характером угроз, а также публичной деятельностью банков, которые вынуждены делать доступ к счетам достаточно легким для удобства клиентов.

По мере развития и расширения сферы применения средств вычислительной техники, острота проблемы обеспечения безопасности вычислительных систем и защиты хранящейся и обрабатываемой в них информации от различных угроз все более возрастает. Для этого есть целый ряд объективных причин.

Основная из них -- возросший уровень доверия к автоматизированным системам обработки информации. Им доверяют самую ответственную работу, от качества которой зависит жизнь и благосостояние многих людей. ЭВМ управляют технологическими процессами на предприятиях и атомных электростанциях, движениями самолетов и поездов, выполняют финансовые операции, обрабатывают секретную информацию.

Известны различные варианты защиты информации -- от охранника на входе до математически выверенных способов сокрытия данных от ознакомления. Кроме того, можно говорить о глобальной защите и ее отдельных аспектах: защите персональных компьютерах, сетей, баз данных и др.

Необходимо отметить, что абсолютно защищенных систем нет. Можно говорить о надежности системы, во-первых, лишь с определенной вероятностью, а во-вторых, о защите от определенной категории нарушителей. Тем не менее, проникновения в компьютерную систему можно предусмотреть. Защита -- это своего рода соревнование обороны и нападения: кто больше знает и предусматривает действенные меры -- тот и выиграл.

Организация защиты автоматизированной системы обработки информации банка -- это единый комплекс мер, которые должны учитывать все особенности процесса обработки информации. Несмотря на неудобства, причиняемые пользователю во время работы, во многих случаях средства защиты могут оказаться совершенно необходимыми для нормального функционирования системы. К основным из упомянутых неудобств следует отнести Гайкович Ю.В., Першин А.С. Безопасность электронных банковских систем.-М.:Единая Европа,1994.- С..33:

• 1. Дополнительные трудности работы с большинством защищенных систем.
• 2. Увеличение стоимости защищенной системы.
• 3. Дополнительная нагрузка на системные ресурсы, что потребует увеличения рабочего времени для выполнения одного и того же задания в связи с замедлением доступа к данным и выполнения операций в целом.
• 4. Необходимость привлечения дополнительного персонала, отвечающего за поддержание работоспособности системы защиты.

Современный банк трудно представить себе без автоматизированной информационной системы. Связь компьютеров между собой и с более мощными компьютерами, а также с ЭВМ других банков -- также необходимое условие успешной деятельности банка -- слишком велико количество операций, которые необходимо выполнить в течение короткого периода времени.

В то же время информационные системы становятся одной из наиболее уязвимых сторон современного банка, притягивая к себе злоумышленников, как из числа персонала банка, так и со стороны. Оценки потерь от преступлений, связанных с вмешательством в деятельность информационной системы банков, очень сильно разнятся. Сказывается разнообразие методик для их подсчета. Средняя банковская кража с применением электронных средств составляет около $9.000, а один из самых громких скандалов связан с попыткой украсть $700 млн. (Первый национальный банк, Чикаго).

Причем необходимо учитывать не только суммы прямого ущерба, но и весьма дорогостоящие мероприятия, которые проводятся после успешных попыток взлома компьютерных систем. Так, одним из самых ярких примеров можно привести пропажу данных о работе с секретными счетами Bank of England в январе 1999 года. Эта пропажа заставила банк поменять коды всех корреспондентских счетов. В этой связи в Великобритании были подняты по тревоге все имеющиеся силы разведки и контрразведки для того, чтобы не допустить вероятной утечки информации, способной нанести огромный ущерб. Правительством предпринимались крайние меры с тем, чтобы посторонним не стали известны счета и адреса, по которым Bank of England направляет ежедневно сотни миллиардов долларов. Причем в Великобритании больше опасались ситуации, при которой данные могли оказаться в распоряжении иностранных спецслужб. В таком случае была бы вскрыта вся финансовая корреспондентская сеть Bank of England. Возможность ущерба была ликвидирована в течение нескольких недель.

Аджиев В. Мифы о безопасности программного обеспечения: уроки знаменитых катастроф//Открытые системы.-1999. -- №6.-- C..21-24

Услуги, предоставляемые банками сегодня, в немалой степени основаны на использовании средств электронного взаимодействия банков между собой, банков и их клиентов и торговых партнеров. В настоящее время доступ к услугам банков стал возможен из различных удаленных точек, включая домашние терминалы и служебные компьютеры. Этот факт заставляет отойти от концепции “запертых дверей”, которая была характерна для банков 60-х годов, когда компьютеры использовались в большинстве случаев в пакетном режиме как вспомогательное средство и не имели связи с внешним миром.

Уровень оснащенности средствами автоматизации играет немаловажную роль в деятельности банка и, следовательно, напрямую отражается на его положении и доходах. Усиление конкуренции между банками приводит к необходимости сокращения времени на производство расчетов, увеличения номенклатуры и повышения качества предоставляемых услуг. Чем меньше времени будут занимать расчеты между банком и клиентами, тем выше станет оборот банка и, следовательно, прибыль. Кроме того, банк более оперативно сможет реагировать на изменение финансовой ситуации. Разнообразие услуг банка (в первую очередь это относится к возможности безналичных расчетов между банком и его клиентами с использованием пластиковых карт) может существенно увеличить число его клиентов и, как следствие, повысить прибыль.

Информационная безопасность банка должна учитывать следующие специфические факторы:

• 1. Хранимая и обрабатываемая в банковских системах информация представляет собой реальные деньги. На основании информации компьютера могут производиться выплаты, открываться кредиты, переводиться значительные суммы. Вполне понятно, что незаконное манипулирование с такой информацией может привести к серьезным убыткам. Эта особенность резко расширяет круг преступников, покушающихся именно на банки (в отличие от, например, промышленных компаний, внутренняя информация которых мало кому интересна).
• 2. Информация в банковских системах затрагивает интересы большого количества людей и организаций -- клиентов банка. Как правило, она конфиденциальна, и банк несет ответственность за обеспечение требуемой степени секретности перед своими клиентами. Естественно, клиенты вправе ожидать, что банк должен заботиться об их интересах, в противном случае он рискует своей репутацией со всеми вытекающими отсюда последствиями.
• 3. Конкурентоспособность банка зависит от того, насколько клиенту удобно работать с банком, а также насколько широк спектр предоставляемых услуг, включая услуги, связанные с удаленным доступом. Поэтому клиент должен иметь возможность быстро и без утомительных процедур распоряжаться своими деньгами. Но такая легкость доступа к деньгам повышает вероятность преступного проникновения в банковские системы.
• 4. Информационная безопасность банка (в отличие от большинства компаний) должна обеспечивать высокую надежность работы компьютерных систем даже в случае нештатных ситуаций, поскольку банк несет ответственность не только за свои средства, но и за деньги клиентов.
• 5. Банк хранит важную информацию о своих клиентах, что расширяет круг потенциальных злоумышленников, заинтересованных в краже или порче такой информации.

Преступления в банковской сфере также имеют свои особенности Гамза В.А. , Ткачук И.Б. Безопасность коммерческого банка.- М..: Единая Европа, 2000.- C..24:

Как правило, злоумышленники обычно используют свои собственные счета, на который переводятся похищенные суммы. Большинство преступников не знают, как “отмыть” украденные деньги. Умение совершить преступление и умение получить деньги -- это не одно и то же.

Большинство компьютерных преступлений -- мелкие. Ущерб от них лежит в интервале от $10.000 до $50.000.

Успешные компьютерные преступления, как правило, требуют большого количества банковских операций (до нескольких сотен). Однако крупные суммы могут пересылаться и всего за несколько транзакций.

Большинство злоумышленников -- клерки. Хотя высший персонал банка также может совершать преступления и нанести банку гораздо больший ущерб -- такого рода случаи единичны.

Компьютерные преступления не всегда высокотехнологичны. Достаточно подделки данных, изменения параметров среды АСОИБ и т.д., а эти действия доступны и обслуживающему персоналу.

Многие злоумышленники объясняют свои действия тем, что они всего лишь берут в долг у банка с последующим возвратом. Впрочем “возврата”, как правило, не происходит.

Специфика защиты автоматизированных систем обработки информации банков обусловлена особенностями решаемых ими задач:

Как правило, АСОИБ обрабатывают большой поток постоянно поступающих запросов в реальном масштабе времени, каждый из которых не требует для обработки многочисленных ресурсов, но все вместе они могут быть обработаны только высокопроизводительной системой;

В АСОИБ хранится и обрабатывается конфиденциальная информация, не предназначенная для широкой публики. Ее подделка или утечка могут привести к серьезным (для банка или его клиентов) последствиям. Поэтому АСОИБ обречены оставаться относительно закрытыми, работать под управлением специфического программного обеспечения и уделять большое внимание обеспечению своей безопасности;

Другой особенностью АСОИБ является повышенные требования к надежности программно-аппаратного обеспечения. В силу этого многие современные АСОИБ тяготеют к так называемой отказоустойчивой архитектуре компьютеров, позволяющей осуществлять непрерывную обработку информации даже в условиях различных сбоев и отказов.

Использование банками АСОИ связано со спецификой защиты этих систем, поэтому банки должны уделять больше внимания защите своих автоматизированных систем.

Выводы по первой главе:

• 1. АКБ «Глобэкс» - крупная финансовая организация, а следовательно представляет большой интерес для технически оснащенных нарушителей. Усиление организованных преступных групп, рост их финансовой мощи и технической оснащенности дает основание полагать, что тенденция к увелечению количества попыток проникновения в автоматизированные системы банков сохранится.
• 2. Учитывая задачи, которые поставлены руководством перед АКБ «Глобэкс», можно сделать вывод, что соответствующим службам банка потребуется приложить много усилий для обеспечения безопасности АСОИ банка, учитывая особенности ее работы.
• 3. В АКБ «Глобэкс» необходимо определять и прогнозировать возможные угрозы для обоснования, выбора и реализации защитных мероприятий по защите АСОИ.
• 4. Поскольку компьютеризация банковской деятельности приобретает все большие масштабы, и все банки взаимодействуют между собой посредством компьютеров, то Служба Безопасности АКБ «Глобэкс» должна уделять больше внимания защите компьютерной информации в банке.

Со времени своего появления банки неизменно вызывали интерес со стороны преступного мира. И этот интерес был связан не только с хранением в кредитных организациях денежных средств, но и с тем, что в банках сосредоточивалась важная и зачастую секретная информация о финансовой и хозяйственной деятельности многих людей, компаний, организаций и даже целых государств. В настоящее время банковская тайна охраняется законом наряду с государственной тайной.

В связи со всеобщей информатизацией и компьютеризацией банковской деятельности значение информационной безопасности банков многократно возросло. Еще 30 лет назад объектом информационных атак были данные о клиентах банков или о деятельности самого банка. Такие атаки были редкими, круг их заказчиков был очень узок, а ущерб мог быть значительным лишь в особых случаях. В настоящее время в результате повсеместного распространения электронных платежей, пластиковых карт, компьютерных сетей объектом информационных атак стали непосредственно денежные средства как банков, так и их клиентов. Совершить попытку хищения может любой — необходимо лишь наличие компьютера, подключенного к сети Интернет. Причем для этого не требуется физически проникать в банк, можно «работать» и за тысячи километров от него.

Услуги, предоставляемые банками сегодня, в немалой степени основаны на использовании средств электронного взаимодействия банков между собой, банков и их клиентов и торговых партнеров. В настоящее время доступ к услугам банков стал возможен из различных удаленных точек, включая домашние терминалы и служебные компьютеры. Этот факт заставляет отойти от концепции «запертых дверей», которая была характерна для банков 1960-х гг., когда компьютеры использовались в большинстве случаев в пакетном режиме как вспомогательное средство и не имели связи с внешним миром.

Компьютерные системы, без которых не может обойтись ни один современный банк, — источник совершенно новых, ранее неизвестных угроз. Большинство из них обусловлено использованием в банковском деле новых информационных технологий и характерны не только для банков.

Уровень оснащенности средствами автоматизации играет немаловажную роль в деятельности банка и, следовательно, напрямую отражается на его положении и доходах. Усиление конкуренции между банками приводит к необходимости сокращения времени на производство расчетов, увеличения номенклатуры и повышения качества предоставляемых услуг.

Чем меньше времени будут занимать расчеты между банком и клиентами, тем выше станет оборот банка и, следовательно, прибыль. Кроме того, банк более оперативно сможет реагировать на изменение финансовой ситуации. Разнообразие услуг банка (в первую очередь это относится к возможности безналичных расчетов между банком и его клиентами с использованием пластиковых карт) может существенно увеличить число его клиентов и, как следствие, повысить прибыль. В то же время АБС банка становится одним из наиболее уязвимых мест во всей организации, притягивающей злоумышленников как извне, так и из числа сотрудников самого банка. Чтобы обезопасить себя и своих клиентов, большинство банков предпринимают необходимые меры защиты, в числе которых защита АБС занимает одно из наиболее важных мест. Защита АБС банка — дорогостоящее и сложное мероприятие, она требует не только значительных единовременных вложений, но предусматривает затраты на поддержку системы защиты на должном уровне. В среднем банки в настоящий момент для поддержки достаточного уровня защиты тратят более $ 20 млн ежегодно.

Стратегия информационной безопасности банков весьма сильно отличается от аналогичных стратегий других компаний и организаций. Это обусловлено прежде всего специфическим характером угроз, а также публичной деятельностью банков, которые вынуждены делать доступ к счетам достаточно легким с целью удобства для клиентов.

Обычная компания строит свою информационную безопасность, исходя лишь из узкого круга потенциальных угроз — главным образом защита информации от конкурентов (в российских реалиях основной задачей является защита информации от налоговых органов и преступного сообщества с целью уменьшения вероятности неконтролируемого роста налоговых выплат и рэкета). Такая информация интересна лишь узкому кругу заинтересованных лиц и организаций и редко бывает ликвидна, т. е. обращаема в денежную форму.

7.2. Требования к информационной безопасности банка

Информационная безопасность банка должна учитывать следующие специфические факторы:

1. Хранимая и обрабатываемая в банковских системах информация представляет собой реальные деньги. На основании информации компьютера могут производится выплаты, открываться кредиты, переводиться значительные суммы. Вполне понятно, что незаконное манипулирование с такой информацией может привести к серьезным убыткам. Эта особенность резко расширяет круг преступников, покушающихся именно на банки (в отличие например от промышленных компаний, внутренняя информация которых мало кому интересна).
2. Информация в банковских системах затрагивает интересы большого количества людей и организаций — клиентов банка. Как правило, она конфиденциальна, и банк несет ответственность за обеспечение требуемой степени секретности перед своими клиентами. Естественно, клиенты вправе ожидать, что банк должен заботиться об их интересах, в противном случае он рискует своей репутацией со всеми вытекающими отсюда последствиями.
3. Конкурентоспособность банка зависит от того, насколько клиенту удобно работать с банком, а также насколько широк спектр предоставляемых услуг, включая услуги, связанные с удаленным доступом. Поэтому клиент должен иметь возможность быстро и без утомительных процедур распоряжаться своими деньгами. Но такая легкость доступа к деньгам повышает вероятность преступного проникновения в банковские системы.
4. Информационная безопасность банка (в отличие от большинства компаний) должна обеспечивать высокую надежность работы компьютерных систем даже в случае нештатных ситуаций, поскольку банк несет ответственность не только за свои средства, но и за деньги клиентов.
5. Банк хранит важную информацию о своих клиентах, что расширяет круг потенциальных злоумышленников, заинтересованных в краже или порче такой информации.

Преступления в банковской сфере также имеют свои особенности:

• Многие преступления, совершенные в финансовой сфере, остаются неизвестными для широкой публики в связи с тем, что руководители банков не хотят тревожить своих акционеров, боятся подвергнуть свою организацию новым атакам, опасаются подпортить свою репутацию надежного хранилища средств и, как следствие, потерять клиентов.
• Как правило, злоумышленники используют свои собственные счета, на которые переводятся похищенные суммы. Большинство преступников не знают, как «отмыть» украденные деньги. Умение совершить преступление и умение получить деньги — это не одно и то же.
• Большинство компьютерных преступлений мелкие. Ущерб от них лежит в интервале от $ 10.000 до 50.000.
• Успешные компьютерные преступления, как правило, требуют большого количества банковских операций (до нескольких сотен). Однако крупные суммы могут пересылаться и всего за несколько транзакций.
• Большинство злоумышленников — сотрудники банков низшего звена, клерки. Хотя высший персонал банка также может совершать преступления и нанести банку гораздо больший ущерб — такого рода случаи единичны.
• Компьютерные преступления не всегда высокотехнологичны. Достаточно подделки данных, изменения параметров среды АБС и т. д., а эти действия доступны и обслуживающему персоналу.
• Многие злоумышленники объясняют свои действия тем, что они всего лишь берут в долг у банка с последующим возвратом. Впрочем «возврата», как правило, не происходит.

Специфика защиты автоматизированных систем обработки информации банков (АБС) обусловлена особенностями решаемых ими задач:

• АБС обрабатывают большой поток постоянно поступающих запросов в реальном масштабе времени, каждый из которых не требует для обработки многочисленных ресурсов, но все вместе они могут быть обработаны только высокопроизводительной системой.
• В АБС хранится и обрабатывается конфиденциальная информация, не предназначенная для широкой публики. Ее подделка или утечка могут привести к серьезным (для банка или его клиентов) последствиям. Поэтому АБС обречены оставаться относительно закрытыми, работать под управлением специфического программного обеспечения и уделять большое внимание обеспечению своей безопасности.
• Другой особенностью АБС являются повышенные требования к надежности аппаратного и программного обеспечения. Поэтому большинство современных АБС построены с применением отказоустойчивой архитектуры компьютерной сети, позволяющей осуществлять непрерывную обработку информации даже в условиях различных сбоев и отказов.

Можно выделить два типа задач, решаемых АБС:

1. Аналитические. К этому типу относятся задачи планирования, анализа счетов и т. д. Они не являются оперативными и могут требовать для решения длительного времени, а их результаты могут оказать влияние на политику банка в отношении конкретного клиента или проекта. Поэтому подсистема, с помощью которой решаются аналитические задачи, должна быть надежно изолирована от основной системы обработки информации и, кроме того, ввиду возможной ценности результатов их защита должна быть постоянной.
2. Оперативные. К этому типу относятся задачи, решаемые в повседневной деятельности, в первую очередь выполнение платежей и корректировка счетов. Именно они и определяют размер и мощность основной системы банка; для их решения обычно требуется гораздо больше ресурсов, чем для аналитических задач. В то же время ценность информации, обрабатываемой при решении таких задач, имеет временный характер. Постепенно ценность информации, например о выполнении какого-либо платежа, становиться неактуальной. Естественно, это зависит от многих факторов, как-то: суммы и времени платежа, номера счета, дополнительных характеристик и т. д. Поэтому обычно бывает достаточно обеспечить защиту платежа именно в момент его осуществления. При этом защита самого процесса обработки и конечных результатов должна быть постоянной.

7.3. Методы защиты информации в автоматизированных системах обработки данных

Под защитой информации в информационных системах (ИС) понимается регулярное использование в них средств и методов, принятие мер и осуществление мероприятий с целью системного обеспечения требуемой надежности хранимой и обрабатываемой информации. Надежность информации — интегральный показатель, характеризующий качество информации с точки зрения физической целостности (отсутствия искажений или уничтожения элементов информации), доверия к информации (уверенности в отсутствии подмены) и безопасности — отсутствия ее несанкционированного получения и копирования.

Компоненты интегральной информационной безопасности:

• организационные меры обеспечения безопасности;
• меры обеспечения физической безопасности: охрана и защита зданий, помещений, компьютеров, перевозимых документов и т. п.
• обеспечение безопасности аппаратных средств: обеспечение надежной работы компьютеров и сетевого оборудования;
• обеспечение безопасности каналов связи: защита каналов связи от внешних воздействий;
• обеспечение безопасности программно-математического обеспечения: защита от вирусов, хакеров, вредоносных программ, ворующих конфиденциальную информацию.

Известно, что 80 % преступлений, связанных с кражей, повреждением или искажением информации, совершается при участии сотрудников фирмы. Поэтому важнейшая задача руководства, отдела кадров и службы безопасности — тщательный подбор сотрудников, распределение полномочий и построение системы допуска к элементам информации, а также контроль дисциплины и поведения сотрудников, создание хорошего морального климата в коллективе.

Организационные средства защиты информации — это специальные организационно-технические и организационно-правовые мероприятия, осуществляемые в процессе создания и эксплуатации системы, имеющие целью обеспечение защиты информации.

Законодательные средства защиты информации определяются как законодательные акты, которые регламентируют порядок использования и обработки информации, ограничения доступа и которые устанавливают ответственность и санкции за нарушение этих правил.

Технические средства делятся на физические (замки, решетки, системы сигнализации и др.) и аппаратные (замки, блокировки, сигнализации и другие устройства, применяемые непосредственно на средствах вычислительной техники и средствах передачи данных). Программные средства защиты информации — это специальные средства защиты информации, встроенные в состав программного обеспечения системы и осуществляющие самостоятельно или в комплексе с другими средствами защиту информации в системе.

Программные средства защиты информации:

1. Программные средства идентификации пользователей и определения их полномочий.
2. Программные средства идентификации терминалов .
3. Программные средства защиты файлов .
4. Программные средства защиты ОС, ЭВМ и программ пользователей.
5. Вспомогательные программы различного назначения.

Криптографические средства защиты информации — методы специального кодирования, шифрования или иного преобразования информации в результате которого содержимое становится недоступным без предъявления некоторой специальной информации и обратного преобразования. Использование криптографических методов стало особенно актуальным в настоящее время в связи с передачей по открытой сети Интернет больших объемов информации государственного, военного, коммерческого и частного характера. В связи с высокой стоимостью ущерба от потерь, разглашения и искажения информации, хранящейся в базах данных и передаваемой по локальным сетям, в современных ИС рекомендуется хранить и передавать информацию в зашифрованном виде.

Криптографическая система - семейство алгоритмов преобразования открытого текста в шифртекст.

Алфавит - конечное множество используемых для кодирования информации знаков. В качестве примеров алфавитов, используемых в современных информационных системах можно привести следующие:

• алфавит Z33 — 32 буквы русского алфавита и пробел;
• алфавит Z256 — символы, входящие в стандартные коды ASCII;
• бинарный алфавит — Z2 = {0,1}.

Шифрование предполагает преобразование исходного текста Т с использованием ключа К в зашифрованный текст t. Ключ - сменный элемент шифра, который применен для шифрования конкретного сообщения. При шифровании используется понятие «гамма шифра» — это псевдослучайная числовая последовательность, вырабатываемая по заданному алгоритму, для зашифровывания открытых данных и дешифрования шифрограмм.

По характеру использования ключа известные криптосистемы можно разделить на два типа: симметричные (одноключевые, с секретным ключом) и асимметричные (с открытым ключом).

В первом случае в шифраторе отправителя и дешифраторе получателя используется один и тот же ключ. Шифратор образует шифрограмму, которая является функцией открытого текста, конкретный вид функции шифрования определяется секретным ключом. Дешифратор получателя сообщения выполняет обратное преобразование аналогичным образом. Секретный ключ хранится в тайне и передается отправителем сообщения получателю по защищенному каналу, исключающему перехват ключа криптоаналитиком противника.

Шифрование осуществляется методами замены и перестановки. Простейшее, но не поддающееся расшифровке шифрование — с заменой символов текста на случайные символы или числа. При этом длина ключа должна совпадать с длиной текста, что неудобно при больших объемах информации. Ключ используется один раз, потом его уничтожают, поэтому этот метод называют «Шифрование с отрывным блокнотом».

В реальности шифрование производится в двоичном коде с использованием коротких ключей — в международном стандарте DES (Data Encryption Standard), который работает с блоками данных по 64 байта (1998 г.), в ГОСТ 28147 — 89 — 256 байт, что обеспечивает существенно большую криптостойкость. На основании короткого ключа компьютер создает длинный ключ-гамму, используя один из нескольких алгоритмов, изложенных в стандартах шифрования DES или ГОСТ. Алгоритмы создания гаммы — гаммирования — основаны на серии замен и сдвигов, возможно, с использованием шифртекста. Алгоритмы шифрования не секретны, секретны только ключи. Для распространения ключей по сетям общего пользования применяется следующая технология: через курьеров передаются ключи первого ранга, на их основе шифруются и передаются по сетям ключи второго ранга, используемые для шифрования документов.

Наиболее современные системы шифрования используют асимметричные алгоритмы с открытым и секретным ключами, где нет проблемы безопасной транспортировки ключа. К числу таких систем относится алгоритм rsa, названный по именам разработчиков (rivest-shamir-adleman — разработчики этой системы Рональд Ривест, Ади Шамир и Леонард Адлеман, 1977 г.), базирующийся на разложении больших чисел на множители.

В асимметричных криптосистемах (криптосистемах с открытым ключом) в алгоритмах шифрования и дешифрования используются различные ключи, каждый из которых не может быть получен из другого с приемлемыми затратами временных и других ресурсов. Один ключ — открытый — используется для шифрования информации, другой — секретный — для дешифрования, т. е. прочесть сообщение может только тот, кому оно предназначено, например глава фирмы, получающий сообщения от своих многочисленных агентов.

Системы электронной подписи основаны на асимметричном шифровании, но секретный ключ хранится у отправителя сообщений, а открытым ключом, созданным на основе секретного путем математического преобразования, располагают многие. Открытый ключ может быть передан вместе с сообщением. Но в этом случае шифруется не само сообщение, а его хэш-функция, получаемая из сообщения путем его преобразования по определенному алгоритму и занимающая всего несколько байт. Изменение хотя бы одного бита в тексте сообщения приводит к существенному изменению хэш-функции. Получатель сообщения может расшифровать зашифрованную хэш-функцию, переданную вместе с сообщением, создать хэш-функцию полученного сообщения, используя известный алгоритм, и сравнить расшифрованную и воссозданную хэш-функции. Их совпадение гарантирует целостность полученного документа, т. е. отсутствие в нем искажений. Получатель не может внести изменений в полученный документ, т. к. не может зашифровать новую хэш-функцию. Поэтому электронная подпись имеет такую же юридическую силу, как и обычная подпись и печать на бумаге. Секретные и открытые ключи, программы и аппаратура для систем электронной подписи поставляют лицензированные ФСБ фирмы, которые в случае необходимости могут представить в суд копии ключей.

Существует два основных способа защиты: программный и аппаратный. Программный способ защиты данных хорош тем, что при относительно небольшой затрате средств можно получить программу, обеспечивающую требуемую надежность хранения информации. Но программные средства обладают несколькими существенными недостатками, о которых следует знать при выборе данного пути:

• обычно работают медленнее аппаратных;
• любую программу можно вскрыть, это лишь вопрос времени и квалификации специалиста;
• при хищении носителя информации похищается и программа.

Аппаратные средства тоже обладают рядом недостатков: их разработка обходится дороже, прибавляются расходы на производство и обслуживание, аппаратная система более сложна и также требует помимо аппаратной части программное обеспечение.

Но преимущества использования аппаратных средств очевидны:

• быстрая работа без привлечения ресурсов системы;
• проникнуть в программу аппаратного средства без его хищения невозможно;
• не имея аппаратного средства, невозможно расшифровать защищенные данные.

7.4. Законодательные акты в области защиты информации

В России принимаются меры для противодействия информационному оружию и компьютерной преступности. В Госдуме РФ действует депутатская группа «Электронная Россия», проводятся круглые столы по информационной безопасности для разработки соответствующих законов. Приняты Закон РФ «О безопасности», Закон «Об электронной подписи» и «Об информации, информатизации и защите информации», в котором определено, что информация подлежит защите так же, как материальное имущество собственника. Обеспечением безопасной передачи правительственной информации раньше занималось ФАПСИ, сейчас — ФСБ и ФСО, защитой передачи коммерческой информации — фирмы, имеющие лицензию ФСБ. Разработан руководящий документ Гостехкомиссии РФ «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требований по защите информации» и соответствующие Государственные стандарты:

ГОСТ 28147-89. Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования;

ГОСТ Р 34. 10-94. Информационная технология. Криптографическая защита информации. Процедуры выработки и проверки электронной цифровой подписи на базе асимметричного криптографического алгоритма;

ГОСТ Р 34. 11-94. Информационная технология. Криптографическая защита информации. Функция хэширования;

ГОСТ Р 50739-95. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования.

С 2004 г. действует новый национальный стандарт безопасности ГОСТ/ИСО МЭК 15408 — 2002. Общие критерии оценки безопасности информационных технологий.

Годом рождения стандарта можно считать 1990-й — именно тогда были начаты работы по созданию стандарта в области оценки безопасности информационных технологий (ИТ) под эгидой Международной организации по стандартизации (ИСО). Этот документ был переведен и взят за основу при разработке ГОСТ/ИСО МЭК 15408 — 2002. Название стандарта сложилось исторически. Работы над ним велись при содействии государственных организаций по стандартизации США, Канады, Великобритании, Франции, Германии и Голландии и преследовали следующие концептуальные цели:

• унификация различных национальных стандартов в области оценки безопасности ИТ;
• повышение уровня доверия к оценке безопасности ИТ;
• сокращение затрат на оценку безопасности ИТ на основе взаимного признания сертификатов.

Российский стандарт представляет собой точный перевод международного стандарта. Он принят постановлением Госстандарта России от 4.04.2002 г. № 133-ст с датой введения в действие 1 января 2004 г. Появление этого ГОСТа отражает не только процесс совершенствования российских стандартов с использованием международного опыта, но и часть правительственной программы по вступлению России в ВТО (как известно, при вступлении в эту организацию в стране-претенденте должны быть унифицированы пошлины, налоги, стандарты на производство, стандарты качества и некоторые стандарты в области информационной безопасности).

В рамках нового стандарта вводятся понятия «угроза» и «профиль».

Профиль защиты — «независимая от реализации совокупность требований безопасности для некоторой категории продуктов или ИТ-систем, отвечающая специфическим запросам потребителя».

Все механизмы защиты, описанные в профиле, называются функциями безопасности объекта (ФБО). В профиль защиты включаются только те функции безопасности, которые должны защищать от угроз и соответствовать политике безопасности.

Предположения безопасности — это описание конкретных условий, в которых будет эксплуатироваться система. Политика безопасности — «одно или несколько правил, процедур, практических приемов или руководящих принципов в области безопасности, которыми руководствуется организация в своей деятельности». В общем случае такой набор правил представляет собой некий функционал программного продукта, который необходим для его использования в конкретной организации.

Один из наиболее сбалансированных и жизнеспособных документов — внутриотраслевой стандарт Банка России по ИБ. Его последняя редакция (2006 г.) свидетельствует о явном намерении Центробанка сменить рекомендательный характер документа на обязательный статус.

7.5. Стандарт защиты информации в области банковских карт

Payment Card Industry Data Security Standard (PCI DSS) — стандарт защиты информации в индустрии платежных карт, разработанный международными платежными системами Visa и MasterCard.

Решение о создании данного единого стандарта было принято международными платежными системами в связи с ростом числа компаний, сообщивших о том, что находившаяся у них конфиденциальная информация о счетах их клиентов была потеряна или украдена.

Цели стандарта:

• повышение защищенности электронных торговых и платежных систем;
• обеспечение безопасной среды для хранения данных держателей карт;
• сокращение несогласованности в требованиях к обеспечению безопасности в индустрии платежных карт;
• модернизация и рационализация бизнес-процессов и снижение издержек.

Требования стандарта PCI DSS распространяются на все компании, работающие с международными платежными системами Visa и MasterCard. В зависимости от количества обрабатываемых транзакций каждой компании присваивается определенный уровень с соответствующим набором требований, которые они должны выполнять. В рамках требований стандарта предусматриваются ежегодные аудиторские проверки компаний, а также ежеквартальные сканирования сетей.

Стандарт PCI Data Security Standard с сентября 2006 г. введен международной платежной системой VISA на территории региона CEMEA как обязательный, соответственно его действие распространяется и на Россию. Поэтому поставщики услуг (процессинговые центры, платежные шлюзы, Интернет-провайдеры), работающие напрямую с VisaNet, должны пройти процедуру аудита на соответствие требованиям Стандарта. В противном случае VISA будет применять к компаниям определенные штрафные санкции.

Вопросы для самопроверки

1. В чем состоит основное отличие защиты банковских компьютерных систем от защиты промышленных компьютерных систем?
2. Какие мероприятия могут быть отнесены к организационным мерам защиты?
3. В чем состоит принцип «закрытых дверей» в банках и почему он не может быть эффективно применен в настоящий момент?
4. Какие средства защиты могут быть отнесены к физическим средствам?
5. Какие системы, аналитические или оперативные, требуют более тщательных методов защиты и почему?
6. Что такое криптографические методы преобразования текста?
7. Что такое ключ?
8. Дайте определение «гаммирования». Зачем оно требуется?
9. Что такое кодирование с «отрывным блокнотом» и почему оно сейчас не применяется?
10. Какова длина ключа при кодировании с использованием стандарта DES?
11. Отличается ли длина ключа по российским стандартам от международных? Какова она?
Название практикума Аннотация

Презентации

Название презентации	Аннотация