Главная Документы Развитие информационной безопасности в банке. Потенциальные угрозы информационной безопасности. Типовая структура корпоративной сети

Развитие информационной безопасности в банке. Потенциальные угрозы информационной безопасности. Типовая структура корпоративной сети

И нформационная безопасность банков начинается с аудита. ИБ-аудит может не только дать банку право осуществления определенных видов деятельности, но и показать слабые места в системах банка. Поэтому подходить к решению о проведении и выборе формы аудита необходимо взвешенно.

Согласно Федеральному закону от 30 декабря 2008 года №307-ФЗ «Об аудиторской деятельности», аудит - это «независимая проверка бухгалтерской (финансовой) отчетности аудируемого лица в целях выражения мнения о достоверности такой отчетности».

К сфере информационной безопасности определение термина, упомянутое в законе, отношения не имеет. Однако специалисты по информационной безопасности достаточно активно используют его в речи. В этом случае под аудитом понимается процесс независимой оценки деятельности организации, системы, процесса, проекта или продукта.

В различных отечественных нормативных актах термин «аудит информационной безопасности» применяется не всегда — его часто заменяют либо термином «оценка соответствия», либо немного устаревшим, но все еще употребляемым термином «аттестация». Иногда встречается термин «сертификация», но применительно к международным зарубежным нормативным актам.

Какой бы термин не использовался, по сути, аудит информационной безопасности проводится, чтобы проверить выполнение нормативных актов или обоснованность и защищенность применяемых решений. В первом случае отказаться от проведения аудита невозможно, иначе это повлечет нарушение требований нормативных актов и штрафам, приостановлению деятельности, другим формам наказания. Во втором случае аудит носит добровольный характер, и решение о проведении принимает сама организация.

Обязательный аудит может проводить:

сама банковская организация, например, в форме самооценки (правда, о «независимости» уже речи не идет и термин «аудит» применять не совсем уместно);
внешняя независимая организация — аудитор;
регулирующие органы, наделенные правом осуществлять соответствующие надзорные мероприятия (этот вариант чаще называют не аудитом, а инспекционной проверкой).

Добровольный аудит может проводиться по любому поводу: для проверки защищенности системы ДБО, контроля активов приобретенного банка, проверки вновь открываемого филиала и так далее. В этом случае невозможно ни четко очертить границы, ни описать формы отчетности, ни говорить о регулярности аудита — все это решается договором между аудитором и проверяемой организацией. Обратимся к формам обязательного аудита, которые важны для информационной безопасности именно банков.

Международный стандарт ISO 27001

Полный российский аналог международного стандарта ISO/IEC 27001:2005 — «ГОСТ Р ИСО/МЭК 27001-2006 — Информационная технология — Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности — Требования».

По сути, данные стандарты - это набор лучших практик по управлению информационной безопасностью в крупных организациях. Небольшие организации, в том числе и банки, не всегда в состоянии выполнить требования стандарта в полном объеме. Как и любой стандарт в России, ISO 27001 - добровольный документ, принимать или не принимать его условия каждый банк решает самостоятельно. Но ISO 27001 является призванным мировым стандартом, и специалисты в разных странах используют его как универсальное руководство для всех, кто занимается информационной безопасностью.

С ISO 27001 связаны несколько неочевидных и нечасто упоминаемых, но важных моментов.

Во-первых, аудиту по данному стандарту подлежит не вся система обеспечения информационной безопасности банка, а только одна или несколько составных частей. Например, система защиты ДБО, система защиты головного офиса банка или система защиты процесса управления персоналом. Иными словами, получение сертификата соответствия на один из оцениваемых в рамках аудита процессов не дает гарантии, что остальные процессы находятся в таком же близком к идеальному состоянию.

Второй момент связан с тем, что ISO 27001 является стандартом универсальным, то есть применимым к любой организации, а значит, не учитывающим специфику отрасли. Это привело к тому, что в рамках международной организации по стандартизации ISO уже давно ведутся разговоры о создании стандарта ISO 27015, который является переложением ISO 27001/27002 на финансовую отрасль. В разработке отраслевого стандарта активно участвует Банк России. Против уже разработанного проекта выступили Visa и MasterCard. Visa считает, что в проекте слишком мало информации, нужной для финансовой отрасли, например, по платежным системам. Однако, если добавить недостающие положения, стандарт придется перенести в другой комитет ISO. MasterCard предлагает прекратить разработку ISO 27015, мотивируя предложение тем, что в финансовой отрасли и без того достаточно документов, которые регулируют сферу информационной безопасности.

В-третьих, многие предложения на российском рынке говорят не об аудите соответствия, а о подготовке к аудиту. Дело в том, что правом проводить сертификацию соответствия требованиям ISO 27001 обладают всего несколько организаций в мире. А интеграторы всего лишь помогают компаниям выполнить требования стандарта, которые затем будут проверены официальными аудиторами (регистраторами, органами по сертификации).

Пока продолжаются споры, внедрять банкам ISO 27001 или нет, отдельные смельчаки идут на это и проходят три стадии аудита соответствия:

предварительное неформальное изучение аудитором основных документов как на территории заказчика аудита, так и вне;
формальный и более глубокий аудит и оценка эффективности внедренных мер защиты, изучение разработанных необходимых документов, после чего аудитор обычно подтверждает соответствие и выдает сертификат, признаваемый во всем мире.
ежегодное выполнение инспекционного аудита для подтверждения полученного сертификата соответствия.

Кому нужен ISO 27001 в России? Если рассматривать стандарт не только как набор лучших практик, которые следует внедрять и без прохождения аудита, но и как процесс сертификации, подтверждающий соответствие банка международным требованиям безопасности, то ISO 27001 имеет смысл внедрять либо банкам, входящим в банковские группы, где ISO 27001 является стандартом, либо банкам, планирующим выход на международную арену. В остальных случаях аудит соответствия ISO 27001 и получение сертификата чаще всего не нужно. Но только для банка и только в России, потому что есть отечественный стандарты на базе ISO 27001. Де-факто до недавнего времени Банк России проводил инспекционные проверки именно в соответствии с требованиями СТО БР ИББС.

Комплекс документов Банка России СТО БР ИББС

Этот стандарт, а точнее набор стандартов описывает единый подход к построению системы обеспечения ИБ организаций банковской сферы с учетом требований российского законодательства. Набор документов (далее - СТО БР ИББС) включает три стандарта и пять рекомендаций по стандартизации. Он основан на ISO 27001 и других международных стандартах по управлению информационными технологиями и информационной безопасностью. Вопросы аудита и оценки соответствия требованиям стандарта, как и для ISO 27001, прописаны в отдельных документах:

СТО БР ИББС-1.1-2007. Аудит информационной безопасности,
СТО БР ИББС-1.2-2010. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0-2010,
РС БР ИББС-2.1-2007. Руководство по самооценке соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0.

Во время оценки соответствия по СТО БР ИББС проверяется выполнение 423 частных показателей ИБ, которые разделены на 34 групповые показателя. Результат оценки - итоговый показатель, который должен находиться на 4-м или 5-м уровне по пятибалльной шкале, установленной Банком России. Эта деталь отличает аудит по СТО БР ИББС от аудита по другим нормативным актам в области ИБ. СТО БР ИББС не подразумевает «несоответствия», просто уровень соответствия может быть разный: от нуля до пяти. Положительными считаются только уровни выше 4-го.

По состоянию на конец 2011 года 70-75% банков внедрили или находятся в процессе внедрения этого набора стандартов. Де-юре СТО БР ИББС носит рекомендательный характер, но де-факто до недавнего времени Банка России проводил проверки именно в соответствии с требованиями СТО БР ИББС, хотя явно условия никогда и нигде не звучали. Ситуация изменилась с 1 июля 2012 года, когда вступил в силу закон «О национальной платежной системе» и разработанные для его исполнения нормативные документы правительства и Банка России. С этого момента вопрос о необходимости проводить аудит соответствия требованиям СТО БР ИББС вернулся в повестку дня.

Дело в том, что методика оценки соответствия, предложенная в рамках законодательства о национальной платежной системе (НПС), и методика оценки соответствия СТО БР ИББС могут очень сильно расходиться в итоговых значениях. При этом оценка по первой методике (для НПС) стала обязательной, тогда как оценка по СТО БР ИББС по-прежнему де-юре носит рекомендательный характер. В самом Банке России на момент написания статьи еще не решили судьбе этой оценки. Если ранее все нити сходились в Главное управление безопасности и защиты информации Банка России (ГУБЗИ), то с разделением полномочий между ГУБЗИ и Департаментом регулирования расчетов (LHH) вопрос оставался открытым. Ясно только, что законодательные акты о НПС требуют обязательной оценки соответствия, то есть аудита.

Законодательство о национальной платежной системе

Выпущенное и утвержденное 9 июня 2012 года Положение 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств» требует в пункте 2.15 обязательной оценки соответствия, то есть аудита. Оценка осуществляется либо самостоятельно, либо с привлечением сторонних организаций.

Методика оценки соответствия в рамках 382-П похожа по своей сути на методику оценки соответствия по СТО БР ИББС, но выдает другие результаты. Это связано с вводом специальных корректирующих коэффициентов.

Особых требований к организациям, привлекаемым для аудита, положение 382-П не устанавливает. Это приводит к некоторому противоречию с постановлением Правительства от 13 июня 2012 года №584 «О защите информации в платежной системе», которое также требует организации и проведения контроля и оценки выполнения требований к защите информации один раз в 2 года. Однако постановление правительства, разработанное ФСТЭК, требует, чтобы внешний аудит проводили только организации с лицензией на деятельность по технической защите конфиденциальной информации.

Дополнительные требования, которые накладывают на банки новые обязанности, перечислены в разделе 2.16 Положения 382-П. Согласно требованиям, оператор платежных систем обязан разработать, а банки, присоединившиеся к платежной системе, обязаны выполнять требования по регулярному информированию оператора платежной системы о различных вопросах информационной безопасности в банке, включая:

выполнение требований по защите информации,
данные об выявленных инцидентах,
результаты проведенных самооценок,
сведения о выявленных угрозах и уязвимостях.

ФЗ-161 о НПС также устанавливает, что дополнительно к аудиту на договорной основе контроль и надзор за выполнением требований 584-го постановления и 382-го положения осуществляют ФСБ, ФСТЭК и Банк России соответственно. На момент написания статьи ни у ФСТЭК, ни у ФСБ не располагали разработанным порядком проведения надзора. В отличие от Банка России, который выпустил два документа:

положение от 31 мая 2012 года №380-П «О порядке осуществления наблюдения в национальной платежной системе» (для кредитных организаций);
положение от 9 июня 2012 года №381-П «О порядке осуществления надзора за соблюдением не являющимися кредитными организациями операторами платежных систем, операторами услуг платежной инфраструктуры требований Федерального Закона от 27 июня 2011 года № 161-ФЗ «О национальной платежной системе», принятых в соответствии с ним нормативных актов Банка России».

Банк России начал апробацию и сбор фактов по правоприменительной практике нормативных актов в области защиты информации в национальной платежной системе в 1 июля 2012 года.

Стандарт безопасности платежных карт PCI DSS

PCI DSS - Payment Card Industry Data Security Standard - стандарт безопасности данных платежных карт. Его разработал Совет по стандартам безопасности индустрии платежных карт (Payment Card Industry Security Standards Council, PCI SSC), который был учрежден международными платежными системами Visa, MasterCard, American Express, JCB и Discover.

Стандарт PCI DSS представляет совокупность 12 высокоуровневых и более 200 детальных требований по обеспечению безопасности данных о держателях платежных карт, которые передаются, хранятся и обрабатываются в информационных системах организаций. Требования стандарта распространяются на все компании, которые работают с международными платежными системами Visa и MasterCard. Каждой компании в зависимости от количества обрабатываемых транзакций присваивают уровень, для каждого уровня - свой набором требований. Уровни для каждой платежной системы отличаются.

Проверка выполнения условий стандарта PCI DSS осуществляется в рамках обязательной сертификации, требования к которой отличаются в зависимости от типа проверяемой компании: торгово-сервисное предприятие, которые принимает карты к оплате товаров и услуг, или поставщик, которые оказывает услуги торгово-сервисным предприятиям, банкам-эквайрерам, эмитентам и так далее (процессинговые центры, платежные шлюзы). Оценка осуществляется в разных формах:

ежегодные аудиторские проверки с помощью аккредитованных компаний, имеющих статус Qualified Security Assessors (QSA);
ежегодная самооценка;
ежеквартальное сканирование сетей с помощью уполномоченных организаций, имеющих статус Approved Scanning Vendor (ASV).

Законодательство о персональных данных

Еще один нормативный документ, который имеет отношение к банковской индустрии и устанавливает требования по оценке соответствия, - Федеральный закон «О персональных данных». Однако ни форма, ни периодичность аудита, ни требования к организации, которая проводит аудит, пока не установлены. Возможно, вопрос решится осенью 2012 года, когда выйдет порция документов правительства, ФСТЭК и ФСБ, которые вводят новые нормативы в области защиты персональных данных. Пока банки самостоятельно определяют особенности аудита защиты персональных данных.

Контроль и надзор за выполнением организационных и технических мер по обеспечению безопасности персональных данных, установленных статьей 19 закона 152-ФЗ, осуществляют ФСБ и ФСТЭК. Но это касается только государственных информационных систем персональных данных. Контроль коммерческих организаций в области обеспечения информационной безопасности персональных данных пока - по закону - осуществлять некому. Чего не скажешь о защите прав субъектов персональных данных, то есть клиентов, контрагентов и просто посетителей банка. Эту задачу взял на себя Роскомнадзор, который активно осуществляет надзорные функции и видит в банках злостных нарушителей закона о персональных данных.

Заключительные положения

Каждый из основных нормативных актов устанавливает свои требования по проведению оценки соответствия в той или иной форме: от самооценки в виде заполнения опросных листов (PCI DSS) до прохождения обязательного аудита один раз в два года (382-П) или один раз в год (ISO 27001). Существуют и другие формы оценки соответствия: уведомления оператора платежной системы, ежеквартальные сканирования и так далее.

С другой стороны, в стране до сих пор нет единой системы взглядов не только на государственное регулирование аудита информационной безопасности организаций и систем информационных технологий, но и на саму тему аудита информационной безопасности. За информационную безопасность в России отвечает ряд ведомств и организаций: ФСТЭК, ФСБ, Банк России, Роскомнадзор, PCI SSC и другие. Все они действуют на основании собственных нормативных документов и руководств. Разные подходы, разные стандарты, разные уровни зрелости… Все это мешает установлению единых правил игры.

Картину портит и появление фирм-однодневок, которые в погоне за прибылью предлагают некачественные услуги в области оценки соответствия требованиям по информационной безопасности. И к лучшему ситуация вряд ли изменится. Раз есть потребность, будут и желающие ее удовлетворить, в то время как на всех квалифицированных аудиторов просто не хватит. При небольшом их числе (см. инфографику) и продолжительности аудита от нескольких недель до нескольких месяцев очевидно, что запрос на аудит серьезно превышает возможности аудиторов.

В так и не принятой ФСТЭК «Концепции аудита информационной безопасности систем информационных технологий и организаций» была такая фраза:

«…в то же время в отсутствие необходимых национальных регуляторов такая деятельность [по нерегулируемому законодательством аудиту со стороны частных фирм] может нанести непоправимый вред организациям».

Авторы Концепции предлагали унифицировать подходы к аудиту и законодательно установить правила игры, включая правила аккредитации аудиторов, требования к квалификации, процедуре проведения аудита. Но воз и ныне там. Хотя, учитывая внимание, которое отечественные регуляторы в области информационной безопасности, а их всего девять, уделяют вопросам защиты информации, не исключено, что тема вскоре вновь станет актуальной. Только за прошедший календарный год было принято или разработано 52 нормативных акта по вопросам информационной безопасности, и один нормативный акт в неделю!

СТАНДАРТЫ АУДИТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

В сложившихся условиях, к сожалению, приходится признавать: основная цель аудита информационной безопасности банка - повышение доверия к его деятельности - в России недостижима. Немногие российские клиенты банка обращают внимание на уровень безопасности или на результаты проведенного в банке аудита. К аудиту обращаются либо в случае выявления очень серьезного инцидента с серьезным материальным ущербом для банка (его акционерам и владельцам), либо в случае законодательных требований.

Требованием №1, ради которого стоит обратиться к аудиту безопасности, является положение Банка России 382-П. Сведения об уровне защищенности банков и выполнении требований 382-П, которые запрашивают из территориальных управлений ЦБ, получаются именно в результате внешнего аудита или проведенной самооценки.

На втором место - аудит выполнения требований закона «О персональных данных». Но проводить подобный аудит стоит не раньше момента, когда будут выпущены все обещанные ФСТЭК и ФСБ документы и когда станет понятна судьба СТО БР ИББС. Тогда же можно поднять вопрос проведения аудита соответствия требованиям СТО БР ИББС.

Успешное прохождение аудита еще не означает, что с безопасностью в банке все хорошо. Существует множество уловок, которые позволяют проверяемой организации скрыть недочеты в системе защиты. Очень многое зависит от квалификации и независимости аудиторов. Опыт показывает, что даже в организациях, успешно прошедших аудит соответствия стандартам PCI DSS, ISO 27001 или СТО БР ИББС, случаются инциденты, и инциденты серьезные.

МНЕНИЕ ЭКСПЕРТА

Дмитрий МАРКИН, начальник отдела аудита и консалтинга АМТ-ГРУП:

До недавнего времени вопросы прохождения обязательного аудита состояния ИБ для кредитных организаций в рамках российского законодательства регламентировались только ФЗ-152 «О персональных данных» в части осуществления внутреннего контроля за принимаемыми мерами по обеспечению безопасности ПДн, а также положением ЦБ РФ №242-П «Об организации внутреннего контроля в кредитных организациях и банковских группах». Причем, согласно требованиям положения №242-П порядок контроля за обеспечением ИБ устанавливается внутренними документами кредитной организации самостоятельно без привязки к конкретным требованиям по обеспечению ИБ. В связи с вступлением в силу ст.27 ФЗ-161 «О национальной платежной системе», определяющей требования по защите информации в платежной системе, вышли в свет постановление правительства РФ №584 «Об утверждении положения о защите информации в платежной системе» и положение ЦБ РФ №382-П. Согласно требованиям постановления №584 и положения №382-П защита информации в платежной системе должна осуществляться по требованиям данных нормативных актов и требованиям, включенным операторами платежных систем в правила платежных систем. Ключевым моментом здесь является закрепление на уровне национального законодательства права операторов платежных систем (например, Visa и MasterCard) самостоятельно устанавливать требования к защите информации. В положении №382-П также указана обязанность проведения кредитными организациями оценки выполнения требований к обеспечению ИБ не реже 1 раза в 2 года, четко определены методика оценки соответствия, критерии аудита и порядок документирования ее результатов. На наш взгляд, появление вышеуказанных нормативных актов должно повысить статистику прохождения кредитными организациями сертификации по требованиям стандарта безопасности данных индустрии платежных карт PCI DSS 2.0, разработанного при участии ведущих международных платежных систем Visa и MasterCard.

В 2004 году (а затем с внесенными поправками в 2006 году) банковскому сообществу был предложен стандарт Банка России «Обеспечение информационной безопасности организаций банковской системы РФ или СТО БР ИББС», кот призван предотвратить возникновение угроз в системе информационной безопасности банков и связанных с ними рисков. Сегодня система стандартов насчитывает уже пять документов, включая стандарт аудита, методику оценок соответствия требованиям Стандарта, а также соответствующие рекомендации по стандартизации (РС).

Таблица 1

Обеспечение информационной безопасности организаций банковской системы Российской Федерации Стандарты (СТО) и рекомендации по стандартизации (РС)

Классификатор

СТО БР ИББС – 0.0

Термины и определения

СТО БР ИББС – 0.1

Общие положения

СТО БР ИББС – 1.0

Аудит информационной безопасности

СТО БР ИББС – 1.1

Методика оценки соответствия

СТО БР ИББС – 1.2

Документы по обеспечению информационной безопасности

РС БР ИББС – 2.0

Руководство по самооценке

РС БР ИББС – 2.1

Методика классификации активов

РС БР ИББС – 2.2

Методика оценки рисков

РС БР ИББС – 2.3

В основу комплекса стандартов положена идеология международного стандарта качества ISO (The International Organization for Standartization) серии 9000. Смысл этого стандарта заключается в следующем: если при производстве какого–либо продукта обеспечены и контролируются постоянные условия производства, то качество продукции будет всегда соответствовать исходным, заранее заданным требованиям. Идеология международной системы стандартов серии ISO 9000 была положена в основу идеологии стандартов COBIT, ISO/IES 17799, 15408, а затем и серии 27000, которые являются основополагающими стандартами информационной безопасности.

Следующее, что положено в основу идеологии стандартов безопасности Банка России – риски информационной безопасности, которые в соответствии с рекомендациями Базель II входят в операционные риски.

Для разработки стандарта были проведены исследования зарубежных аналогов, лучших практик национальных стандартов, международных стандартов ISO, выполнены научно–исследовательские работы, был создан специальный подкомитет по стандартизации (подкомитет № 3 «Защита информации в кредитно–финансовой сфере» Технического комитета № 362 «Защита информации» Федеральной службы по техническому регулированию и метрологии).

Подкомитет является постоянно действующим органом, обеспечивающим на государственном уровне разработку, согласование, подготовку к утверждению и экспертизу документов в области стандартизации по защите информации и обеспечения информационной безопасности в кредитно–финансовой сфере Российской Федерации. Сегодня он включает более двадцати крупнейших кредитных организаций плюс организации, занимающие значимое место на рынке средств и услуг в области информационной безопасности, и представители органов технического регулирования.

Кроме того, чтобы поддержать процедуру внедрения Стандарта в практической деятельности, было создано сообщество ABISS (Association for Banking Information Security Standards) – Сообщество пользователей стандартов Центрального Банка РФ по обеспечению информационной безопасности организаций банковской системы РФ. В сообщество вошли все заинтересованные кредитно-финансовые организации, в том числе и многие банки.

Принципы обеспечения информационной безопасности по Стандарту Банка России (не очень внятный ответ, все в куче, но лучшего нет)

Зачем нужен стандарт?

Банк работает с деньгами других экономических и финансовых субъектов. В случае возникновения у него серьезных трудностей, о которых непременно и очень быстро станет известно, другие кредитные учреждения будут вынуждены закрыть ему линии рефинансирования, клиентов же это побудит забрать либо не возобновлять свои вклады – а это неизбежно приведет к кризису ликвидности. Дестабилизация работы даже одного из ее компонентов может привести к системному обвалу, что уже создает угрозу государству.

Основные принципы обеспечения ИБ Cтандарта.

Общие принципы безопасного функционирования организации, отражают суть понятия «информационная безопасность организации банковской системы РФ», которое в стандарте определено как «состояние защищенности интересов (целей) организации банковской системы (БС) РФ в условиях угроз в информационной сфере».

В частности они ориентированы на то, чтобы не допустить таких ситуаций, когда в системе собственника устанавливается сверхмощная, дорогая и сертифицированная по высочайшему уровню система управления доступом, а на поверке через месяц оказывается, что в системе всем и все разрешено. При этом собственник остается уверенным, что он, вложив значительные средства, имеет надежную систему безопасности, а на практике все обстоит иначе. Таким образом, в систему должны устанавливаться только те защитные меры, правильность работы которых может быть проверена.

Модели угроз и нарушителей ИБ стандарта.

Деятельность организации БС РФ поддерживается входящей в ее состав информационной инфраструктурой, которая обеспечивает реализацию банковских технологий и может быть представлена в виде иерархии следующих основных уровней:

– физического (линии связи, аппаратные средства и пр.);

– сетевого (сетевые аппаратные средства: маршрутизаторы, коммутаторы, концентраторы и пр.);

– сетевых приложений и сервисов;

– операционных систем (ОС);

– систем управления базами данных (СУБД);

– банковских технологических процессов и приложений;

– бизнес–процессов организации.

При этом на каждом из перечисленных уровней угрозы и их источники (в том числе злоумышленники), методы и средства защиты и подходы к оценке эффективности являются различными. Организация должна определить конкретные объекты защиты на каждом из уровней информационной инфраструктуры.

Также положениями стандарта определено, возможна разработка моделей угроз и нарушителей ИБ для данной организации. Требования к модели угроз ИБ, включающие описание источников угрозы, уязвимостей, используемых угрозами, методов и объектов нападений, пригодных для реализации угрозы, типов возможной потери, масштабов потенциального ущерба, основываются на соответствующих требованиях стандартов международных стандартов.

Для источников угроз – людей может быть разработана модель злоумышленников (нарушителей), включающая описание опыта, знаний, доступных ресурсов, необходимых для реализации угрозы, и возможной мотивации их действий.

Политика ИБ стандарта.

В стандарт включены общие требования (правила) ИБ по следующим восьми областям, которые должны найти отражение в политике ИБ организации:

1. назначение и распределение ролей и обеспечение доверия к персоналу;

2. ИБ автоматизированных банковских систем на стадиях жизненного цикла;

3. обеспечение ИБ при управлении доступом и регистрация;

4. обеспечение ИБ средствами антивирусной защиты;

5. обеспечение ИБ при использовании ресурсов сети Интернет;

6. обеспечение ИБ при использовании средств криптографической защиты информации;

7. обеспечение ИБ банковских платежных технологических процессов;

8. обеспечение ИБ банковских информационных технологических процессов.

В то же время в политике ИБ организации могут быть рассмотрены и другие области обеспечения ИБ, которые отвечают ее бизнес–целям.

3. Классификация угроз информационной безопасности банка

Компьютерные преступления в банке – это реализация угроз безопасности информации.

Угрозы делят на общие (характерные для любой информационной системы) и специфические (связанные с функциями кредитной организации). Обобщенно можно привести следующую классификацию:

Природные угрозы:

Стихийные бедствия (Нарушение работы инф. системы. Физическое уничтожение людей, носителей)

Магнитные бури и Радиоактивное излучение (Воздействие на магнитные носители информации, электронные средства обработки и передачи данных. Отказы и сбои аппаратуры)

Технические:

Отключение электропитания (Потери информации)

Отказы и сбои аппаратуры (Искажение и потеря информации)

Электромагнитные излучения и наводки (Несанкционированный перенос информации за пределы информационной системы)

Утечки через каналы связи (за счет имеющейся возможности снятия ее специальными датчиками или посредством прямого подключения.)

Человеческий фактор

Непреднамеренные или преднамеренные действия управленческого и обслуживающего персонала, программистов, пользователей информационной системы, службы безопасности и др

Конкретно для банковской системы важными являются следующие специфические угрозы:

– несанкционированный доступ посторонних лиц, не принадлежащих к числу банковских служащих, и ознакомление с хранимой конфиденциальной информацией;

– ознакомление банковских служащих с информацией, к которой они не должны иметь доступа;

– несанкционированное копирование программ и данных;

– перехват и последующее раскрытие конфиденциальной информации, передаваемой по каналам связи;

– кража магнитных носителей, содержащих конфиденциальную информацию;

– кража распечатанных банковских документов;

– случайное или умышленное уничтожение информации;

– несанкционированная модификация банковскими служащими финансовых документов, отчетности и баз данных.

– фальсификация сообщений, передаваемых по каналам связи, в том числе и навязывание ранее переданного сообщения;

– отказ от факта получения информации;

– разрушение файловой структуры из–за некорректной работы программ или аппаратных средств;

– разрушение информации, вызванное вирусными воздействиями;

– разрушение архивной банковской информации, хранящейся на магнитных носителях;

– кража оборудования;

– ошибки в программном обеспечении;

– сбои оборудования, в том числе и за счет отключения электропитания и других факторов, препятствующих работе оборудования.

НА ВСЯКИЙ СЛУЧАЙ КАК СДЕЛАТЬ БЕЗОПАСНО В БАНКЕ

4.1. Организационное обеспечение банковской безопасности

Комплексная система обеспечения банковской безопасности – это совокупность взаимосвязанных мероприятий организационно–правового характера, осуществляемых в целях защиты банка от реальных или потенциальных действий физических и юридических лиц, которые могут привести к существенным потерям.

Основными задачами системы безопасности являются:

обеспечение безопасности функционирования банка

организация специального делопроизводства, исключающего несанкционированное получение конфиденциальных сведений;

выявление и локализация возможных каналов разглашения, утечки и несанкционированного доступа к конфиденциальной информации в процессе повседневной деятельности и в экстремальных ситуациях;

обеспечение режима безопасности при проведении всех видов деятельности, включая встречи, переговоры, совещания, связанные с деловым сотрудничеством на национальном и международном уровне;

обеспечение охраны зданий, помещений, оборудования и технических средств обеспечения производственной деятельности;

обеспечение безопасности персонала;

Система безопасности действует на основе следующих организационно–правовых документов:

Устава банка;

Положения о системе безопасности;

Руководства по защите конфиденциальной информации;

Инструкции о порядке работы с иностранными специалистами;

Руководства по инженерно–технической защите помещений и технических средств.

Стратегия информационной безопасности банков весьма сильно отличается от аналогичных стратегий других компаний и организаций. Это обусловлено прежде всего специфическим характером угроз, а также публичной деятельностью банков, которые вынуждены делать доступ к счетам достаточно легким с целью удобства для клиентов.

Обычная компания строит свою информационную безопасность, исходя лишь из узкого круга потенциальных угроз - главным образом защита информации от конкурентов (в российских реалиях основной задачей является защита информации от налоговых органов и преступного сообщества с целью уменьшения вероятности неконтролируемого роста налоговых выплат и рэкета). Такая информация интересна лишь узкому кругу заинтересованных лиц и организаций и редко бывает ликвидна, т.е. обращаема в денежную форму.

Информационная безопасность банка должна учитывать следующие специфические факторы:

1. Хранимая и обрабатываемая в банковских системах информация представляет собой реальные деньги. На основании информации компьютера могут производится выплаты, открываться кредиты, переводиться значительные суммы. Вполне понятно, что незаконное манипулирование с такой информацией может привести к серьезным убыткам. Эта особенность резко расширяет круг преступников, покушающихся именно на банки (в отличие от, например, промышленных компаний, внутренняя информация которых мало кому интересна).

2. Информация в банковских системах затрагивает интересы большого количества людей и организаций - клиентов банка. Как правило, она конфиденциальна, и банк несет ответственность за обеспечение требуемой степени секретности перед своими клиентами. Естественно, клиенты вправе ожидать, что банк должен заботиться об их интересах, в противном случае он рискует своей репутацией со всеми вытекающими отсюда последствиями.

3. Конкурентоспособность банка зависит от того, насколько клиенту удобно работать с банком, а также насколько широк спектр предоставляемых услуг, включая услуги, связанные с удаленным доступом. Поэтому клиент должен иметь возможность быстро и без утомительных процедур распоряжаться своими деньгами. Но такая легкость доступа к деньгам повышает вероятность преступного проникновения в банковские системы.

4. Информационная безопасность банка (в отличие от большинства компаний) должна обеспечивать высокую надежность работы компьютерных систем даже в случае нештатных ситуаций, поскольку банк несет ответственность не только за свои средства, но и за деньги клиентов.

5. Банк хранит важную информацию о своих клиентах, что расширяет круг потенциальных злоумышленников, заинтересованных в краже или порче такой информации.

Преступления в банковской сфере также имеют свои особенности :

Многие преступления, совершенные в финансовой сфере остаются неизвестными для широкой публики в связи с тем, что руководители банков не хотят тревожить своих акционеров, боятся подвергнуть свою организацию новым атакам, опасаются подпортить свою репутацию надежного хранилища средств и, как следствие, потерять клиентов.

Как правило, злоумышленники обычно используют свои собственные счета, на который переводятся похищенные суммы. Большинство преступников не знают, как «отмыть» украденные деньги. Умение совершить преступление и умение получить деньги - это не одно и то же.

Большинство компьютерных преступлений - мелкие. Ущерб от них лежит в интервале от $10.000 до $50.000.

Успешные компьютерные преступления, как правило, требуют большого количества банковских операций (до нескольких сотен). Однако крупные суммы могут пересылаться и всего за несколько транзакций.

Большинство злоумышленников - клерки. Хотя высший персонал банка также может совершать преступления и нанести банку гораздо больший ущерб - такого рода случаи единичны.

Компьютерные преступления не всегда высокотехнологичны. Достаточно подделки данных, изменения параметров среды АСОИБ и т.д., а эти действия доступны и обслуживающему персоналу.

Многие злоумышленники объясняют свои действия тем, что они всего лишь берут в долг у банка с последующим возвратом. Впрочем «возврата», как правило, не происходит.

Специфика защиты автоматизированных систем обработки информации банков (АСОИБ) обусловлена особенностями решаемых ими задач:

Как правило АСОИБ обрабатывают большой поток постоянно поступающих запросов в реальном масштабе времени, каждый из которых не требует для обработки многочисленных ресурсов, но все вместе они могут быть обработаны только высокопроизводительной системой;

В АСОИБ хранится и обрабатывается конфиденциальная информация, не предназначенная для широкой публики. Ее подделка или утечка могут привести к серьезным (для банка или его клиентов) последствиям. Поэтому АСОИБ обречены оставаться относительно закрытыми, работать под управлением специфического программного обеспечения и уделять большое внимание обеспечению своей безопасности;

Другой особенностью АСОИБ является повышенные требования к надежности аппаратного и программного обеспечения. В силу этого многие современные АСОИБ тяготеют к так называемой отказоустойчивой архитектуре компьютеров, позволяющей осуществлять непрерывную обработку информации даже в условиях различных сбоев и отказов.

Можно выделить два типа задач, решаемых АСОИБ:

1. Аналитические. К этому типу относятся задачи планирования, анализа счетов и т.д. Они не являются оперативными и могут требовать для решения длительного времени, а их результаты могут оказать влияние на политику банка в отношении конкретного клиента или проекта. Поэтому подсистема, с помощью которой решаются аналитические задачи, должна быть надежно изолирована от основной системы обработки информации. Для решения такого рода задач обычно не требуется мощных вычислительных ресурсов, обычно достаточно 10-20% мощности всей системы. Однако ввиду возможной ценности результатов их защита должна быть постоянной.

2. Повседневные. К этому типу относятся задачи, решаемые в повседневной деятельности, в первую очередь выполнение платежей и корректировка счетов. Именно они и определяют размер и мощность основной системы банка; для их решения обычно требуется гораздо больше ресурсов, чем для аналитических задач. В то же время ценность информации, обрабатываемой при решении таких задач, имеет временный характер. Постепенно ценность информации, например, о выполнении какого-либо платежа, становиться не актуальной. Естественно, это зависит от многих факторов, как-то: суммы и времени платежа, номера счета, дополнительных характеристик и т.д. Поэтому, обычно бывает достаточным обеспечить защиту платежа именно в момент его осуществления. При этом защита самого процесса обработки и конечных результатов должна быть постоянной.

Каким же мерам защиты систем обработки информации отдают предпочтение зарубежные специалисты? На этот вопрос можно ответить, используя результаты опроса, проведенного Datapro Information Group в 1994 году среди банков и финансовых организаций :

Сформулированную политику информационной безопасности имеют 82% опрошенных. По сравнению с 1991 годом процент организаций, имеющих политику безопасности, увеличился на 13%.

Еще 12% опрошенных планируют разработать политику безопасности. Четко выражена следующая тенденция: организации с большим числом персонала предпочитают иметь разработанную политику безопасности в большей степени, чем организации с небольшим количеством персонала. Например, по данным этого опроса, всего лишь 66% организаций, с числом сотрудников менее 100 человек имеют политику безопасности, тогда как для организаций с числом сотрудников более 5000 человек доля таких организаций составляет 99%.

В 88% организаций, имеющих политику информационной безопасности, существует специальное подразделение, которое отвечает за ее реализацию. В тех организациях, которые не содержат такое подразделение, эти функции, в основном, возложены на администратора системы (29%), на менеджера информационной системы (27%) или на службу физической безопасности (25%). Это означает, что существует тенденция выделения сотрудников, отвечающих за компьютерную безопасность, в специальное подразделение.

В плане защиты особое внимание уделяется защите компьютерных сетей (90%), больших ЭВМ (82%), восстановлению информации после аварий и катастроф (73%), защите от компьютерных вирусов (72%), защите персональных ЭВМ (69%).

Можно сделать следующие выводы об особенностях защиты информации в зарубежных финансовых системах :

Главное в защите финансовых организаций - оперативное и по возможности полное восстановление информации после аварий и сбоев. Около 60% опрошенных финансовых организаций имеют план такого восстановления, который ежегодно пересматривается в более чем 80% из них. В основном, защита информации от разрушения достигается созданием резервных копий и их внешним хранением, использованием средств бесперебойного электропитания и организацией «горячего» резерва аппаратных средств.

Следующая по важности для финансовых организаций проблема - это управление доступом пользователей к хранимой и обрабатываемой информации. Здесь широко используются различные программные системы управления доступом, которые иногда могут заменять и антивирусные программные средства. В основном используются приобретенные программные средства управления доступом. Причем в финансовых организациях особое внимание уделяют такому управлению пользователей именно в сети. Однако сертифицированные средства управления доступом встречаются крайне редко (3%). Это можно объяснить тем, что с сертифицированными программными средствами трудно работать и они крайне дороги в эксплуатации. Это объясняется тем, что параметры сертификации разрабатывались с учетом требований, предъявляемым к военным системам.

К отличиям организации защиты сетей ЭВМ в финансовых организациях можно отнести широкое использование стандартного (т.е. адаптированного, но не специально разработанного для конкретной организации) коммерческого программного обеспечения для управления доступом к сети (82%), защита точек подключения к системе через коммутируемые линии связи (69%). Скорее всего это связано с большей распространенностью средств телекоммуникаций в финансовых сферах и желание защититься от вмешательства извне. Другие способы защиты, такие как применение антивирусных средств, оконечное и канальное шифрование передаваемых данных, аутентификация сообщений применяются примерно одинаково и, в основном (за исключением антивирусных средств), менее чем в 50% опрошенных организаций.

Большое внимание в финансовых организациях уделяется физической защите помещений, в которых расположены компьютеры (около 40%). Это означает, что защита ЭВМ от доступа посторонних лиц решается не только с помощью программных средств, но и организационно-технических (охрана, кодовые замки и т.д.).

Шифрование локальной информации применяют чуть более 20% финансовых организаций. Причинами этого являются сложность распространения ключей, жесткие требования к быстродействию системы, а также необходимость оперативного восстановления информации при сбоях и отказах оборудования.

Значительно меньшее внимание в финансовых организациях уделяется защите телефонных линий связи (4%) и использованию ЭВМ, разработанных с учетом требования стандарта Tempest (защита от утечки информации по каналам электромагнитных излучений и наводок). В государственных организациях решению проблемы противодействия получению информации с использованием электромагнитных излучений и наводок уделяют гораздо большее внимание.

Анализ статистики позволяет сделать важный вывод: защита финансовых организаций (в том числе и банков) строится несколько иначе, чем обычных коммерческих и государственных организаций. Следовательно для защиты АСОИБ нельзя применять те же самые технические и организационные решения, которые были разработаны для стандартных ситуаций. Нельзя бездумно копировать чужие системы - они разрабатывались для иных условий.

Статья посвящена обеспечению информационной безопасности в банковских учреждениях на основе отечественных нормативных требований отраслевых стандартов Банка России СТО БР ИББС-1.0-2014. Рассмотрены некоторые аспекты защиты в автоматизированных банковских системах (АБС), вопросы защиты персональных данных в банковской сфере, внутреннего аудита и самооценки на соответствие требованиям ИБ, а также некоторые особенности и проблемные места, касающиеся специфики информационной безопасности в банках.

Введение

Не секрет, что банки являются краеугольным камнем кредитно-финансовой системы государства и важнейшим финансовым институтом современного общества. В связи с этим на них возлагаются особые требования к обеспечению информационной безопасности. До момента появления отечественных отраслевых стандартов информационной безопасности СТО БР ИББС банки управляли безопасностью, основываясь на положениях внутренних нормативных документов. Но и после принятия этих документов осталось много вопросов, требующих своего решения. Некоторые рассматриваемые в статье вопросы связаны с разрешением «узких мест» системы ИБ банков и адаптации политики безопасности под новые требования с учетом уже имеющегося «багажа» в области защиты информации.

Становление стандартов ИБ Банка России

В России до середины 2000-х годов слово «безопасность» преимущественно ассоциировали с управлением «банковскими рисками» , т.е. контролю ситуаций, которые могли бы привести к понесению кредитной организацией потерь и\или ухудшения ее ликвидности вследствие наступления неблагоприятных событий. Таких категорий как «информационная безопасность» или «защита информации» не существовало в принципе. Только лишь федеральный закон «О банковской деятельности» от 02.12.1990 N 395-1 ФЗ в ст.26 Банковская тайна давал ограниченное право и возможность на защиту конфиденциальных сведений в банковской сфере. Спустя больше чем десятилетие отечественные правотрорцы выпустили в свет Федеральный закон «О коммерческой тайне» 29.07.2004 N 98-ФЗ , позволяющий, наконец то, полноценно заявить о новом виде деятельности и отдельной категории вопросов таких как «информационная безопасность банков».

В те же годы в отечественном банковском сообществе наметились тенденции для принятия международных банковских стандартов, в частности стандарта Базель II . В своей трактовке этот стандарт рассматривал информационную безопасность как операционный риск и, в целом, требовал мер по аудиту и контролю за информационной сферой, что являлось абсолютным новшеством для российских банков в то время. Однако и этого было недостаточно -- развитие современных информационных технологий и постоянное стремление предложения новых банковских продуктов на рынок требовали более значительно внимания к данным вопросам.

Следующей эволюционной вехой развития стал 2004 год с выпуском Центральным Банком России первой редакции пакета отечественных отраслевых стандартов по информационной безопасности СТО БР ИБСС . Стандарт ЦБ по ИТ-безопасности считался лучшим отраслевым стандартом на то время, ведь он вобрал в себя лучший мировой опыт и практику, объединяет в себе основные положения стандартов по управлению ИТ-безопасностью (ISO 17799, 13335), регламентирует описание жизненного цикла программных средств и критерии оценки ИТ-безопасности (ГОСТ Р ИСО/МЭК 15408-1-2-3). Также в документе нашли отражение технологии оценки угроз и уязвимостей, некоторые положения британской методологии оценки информационных рисков CRAMM (см. рисунок 1).

Рисунок 1. Взаимосвязь различных требований и стандартов в области ИТ, безопасности и управления

Среди основных положений стандарта ЦБ можно было отметить ориентацию на решение проблемы инсайдеров. Для этого Банк России закрепляет контроль над обращением конфиденциальной информации внутри корпоративной среды. Значительное внимание уделено внешним угрозам: положения стандарта требуют от банков иметь антивирусную защиту с регулярно обновляемыми базам, средства фильтрации спама, управления доступом, регламентировать процедуры внутреннего аудита, использовать шифрование для защиты от несанкционированного доступа и т.п.

Несмотря на все эти очевидные преимущества стандарт носил рекомендательный характер - его положения могли применяться отечественными банками только на добровольной основе. Тем не менее, по результатам исследования респондентов, представленных на III межбанковской конференции , прослеживалась явная тенденция к принятию данных документов как обязательной базовой основы для российских банков.

Параллельно с развитием банковских стандартов в середине 2000-х годов в России шел и процесс становления отечественного законодательства в сфере информационной безопасности. Ключевым моментом стало обновление Федерального закона «Об информации, информационных технологиях и о защите информации» от 27.07.2006 N 149-ФЗ , дающего новые актуальные определения информации, информационных технологий и процессов, отдельно заголовком выделена «защита информации». Вслед за ним отдельную категорию в практике защиты информации ознаменовал выход закона «О Персональных данных» от 27.07.2006 N 152-ФЗ .

Учитывая все эти нововведения и меняющиеся реалии общества, в свет выходили и новые редакции СТО БР ИББС. Так, в третьей редакции стандарта от 2008 года , пакет документов был значительно переработан, повелись новые термины и понятия, были уточнены и детализированы некоторые требования по обеспечению безопасности; обновлены требования к системе менеджмента информационной безопасности. Также стандарт обзавелся собственной моделью угроз и нарушителей информационной безопасности организаций БС РФ. Введены новые блоки по требования ИБ в автоматизированных банковских системах, регламентирован процесс банковских платежных и информационных технологических процессов, отдельно сказано про применение средств криптографической защиты информации.

На фоне последних мировых событий 2014 года и экономических санкций, введенных западными странами в отношении России, наметилась чёткая тенденция к разработке и переходу на национальную систему платежных карт . Это, соответственно, предъявляет дополнительные требования к надежности и безопасности таких систем, что влечет за собой и повышение значения отечественных стандартов ИБ.

Результатом всех этих событий стало очередное переиздание стандарта. И в июне 2014 года вступила в силу обновленная пятая, и пока последняя на сегодняшний день, редакция СТО БР ИББС - 2014 . В новой редакции исправили огрехи прошлых выпусков и, что очень важно, требования и рекомендации СТО привели в соответствие с вышеописанным 382-П. Так, например, уточнен список требующих регистрации операций в ДБО, расширен список защищаемой информации, исходя из П-382, приведена таблица соответствия частных показателей оценки из СТО и показателей из текущей редакции 382-П.

Не менее значимым достижением стала актуализированная база нормативных требований с учетом последних изменений законодательства в сфере защиты Персональных данных, а именно добавлены ссылки на Постановление Правительства №1119 и Приказ ФСТЭК России №21 .

Все это сформировало единую методическую и нормативную платформу для обеспечения комплексной информационной безопасности с учетом банковской специфики. Пакет документов СТО БР ИББС обособил российские банки выстроив в них систему безопасности с отраслевой точки зрения, но в то же время впитал лучшую мировую практику и опыт зарубежных коллег по обеспечению информационной безопасности.

Информационная безопасность в Банках с учетом СТО БР ИББС-2014

В настоящий момент распоряжением Банка России пакет документов СТО БР ИББС состоит из следующих частей:

СТО БР ИББС-1.2-2014. «Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0-2014 (4 редакция)»;

Кроме того, Банком России разработаны и введены следующие рекомендации в области стандартизации ИБ:

РС БР ИББС-2.0-2007. «Методические рекомендации по документации в области обеспечения информационной безопасности в соответствие с требованиями СТО БР ИББС-1.0»;
РС БР ИББС-2.1-2007. «Руководство по самооценке соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1. 0»;
РС БР ИББС-2.2-2009. «Методика оценки рисков нарушения информационной безопасности»;
РС БР ИББС-2.5-2014. «Менеджмент инцидентов информационной безопасности»

Первые три документа являются обязательными для всех банков, которые приняли указанный стандарт в качестве своей базовой политики. Документ «Общие положения» являются основой для формирования всех мероприятий по защите информации. Вся структура разбита на отдельные блоки. В них подробно описываются требования к обеспечению безопасности, даются конкретные перечни мер защиты по тому или иному блоку. (см. таблица 1)

Таблица 1. Требования к обеспечению информационной безопасности

- при назначении и распределении ролей и обеспечении доверия к персоналу;

- в автоматизированных банковских систем (АБС) на стадиях жизненного цикла;

- при управлении доступом и регистрацией пользователей;

- к средствам антивирусной защиты;

- при использовании ресурсов сети Интернет;

- при использовании средств криптографической защиты информации;

- в банковских платежных технологических процессах;

- по обработке персональных данных;

- отельным заголовком вынесены требования к системе менеджмента информационной безопасности.

Документ «Аудит информационной безопасности» самый малостраничный из всех, указывает на необходимость проведение аудита системы ИБ, а также дает отсылку к проведению ежегодной самооценки по требованиям стандарта. Данные итоговой самооценки служат базой как для формы отчетности в случае проверки Центральным Банком, так и заключением соответствия уровня защищенности системы информационной безопасности банка выявленным рискам и угрозам ИБ.

И последний из рассматриваемых документ «Методика оценки соответствия требованиям ИБ» -- это свод методик оценки и таблиц с соответствующими полями для заполнения. Каждое мероприятие и мера защиты дают определенное весовое значение в оценке называемый групповой показатель. По результатам групповых показателей выстраивается круговая диаграмма соответствия требованием СТО БР ИББС (см. рисунок 2). Все значений групповых показателей лежат в диапазоне от 0 до 1 , в котором для определения итога выделены еще 6 уровней соответствия стандарту, начиная с нулевого. Банком России рекомендованы уровни 4 и 5 (см. рисунок 2). Соответственно чем выше значение, тем более считается защищенной система. На круговой диаграмме эти сектора имеют зеленый цвет, красный же -- показатель критического уровня.

Рисунок 2. Круговая диаграмма соответствия требованиям СТО БР ИББС

Что еще можно добавить -- достаточно большое внимание уделяется процессам менеджмента системы информационной безопасности, в частности можно выделить Цикл Деминга , используемый топ-менеджерами в управлении качеством (рисунок 3).

Рисунок 3. Цикл Деминга для СОИБ СТО БР ИББС

В новой редакции Банк России актуализировал методику оценки соответствия информационной безопасности. Основные изменения коснулись подхода к оценке:

все требования теперь отнесены к одному из трех классов (документирование , выполнение , документирование и выполнение );
оценка групповых показателей определяется как среднее арифметическое (отсутствуют весовые коэффициенты частных показателей);
вводится понятие корректирующих коэффициентов, влияющих на оценки по направлениям и зависящих от количества полностью не реализованных требований Стандарта;
значение показателя М9 (Общие требования по обработке персональных данных) рассчитывается по общей схеме (а не как минимальное из значений входящих частных показателей в предыдущей версии стандарта).

Стоит отметить тот факт, что стало значительно больше уделяться внимания документированию процедур безопасности во внутренних нормативных документах банков. Таким образом, даже если процедура фактически не выполняется, но предусмотрена и документирована, -- это повышает результат внутреннего аудита.

По сравнению с прошлой редакцией возросло количество частных показателей, а так же изменились весовые значения оценок (см. рисунок 4).

Рисунок 4. Изменения в прошлой и текущей редакции СТО БР ИББС (по данным ИнфоКонстал Менеджмент, www. km-ltd.com, 2014)

Следует сказать еще об одном важном дополнении, касающемся встроенных механизмов защиты в АБС, -- Банк России выпустил рекомендации «Обеспечение информационной безопасности на стадиях жизненного цикла автоматизированных банковских систем» (РС БР ИББС-2.6-2014)» . Суть их заключается в том, что теперь банки могут, ссылаясь на этот документ, выставлять требования разработчикам к функционалу программного обеспечения в части механизмов защиты. Нельзя забывать, что это именно рекомендации, а не требования, и сам Банк России навязывать ничего не может, однако он позволяет транслировать эти рекомендации от имени банковского сообщества, а это уже изменение в лучшую сторону.

Защита персональных данных в банках

До выхода 5 редакции СТО БР ИББС–2014, защита персональных данных в банках базировалась на двух документах : БР ИББС-2.3-2010. «Требования по обеспечению безопасности персональных данных в информационных системах персональных данных организаций банковской системы Российской Федерации» и РС БР ИББС-2.4-2010. «Отраслевая частная модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных организаций банковской системы Российской Федерации».

На практике это выглядело так: брали в неизменном виде предложенную Центральным Банком частную отраслевую модель угроз, по методическим рекомендациям определяли требований к защите каждой ИСПДн, исходя из и количества и списка обрабатываемых данных, и в дальнейшем выстраивали по ним перечень необходимых мероприятий.

Главной головной болью специалистов до сегодняшнего дня было то, что настоящие требований действовали вплоть до очередной редакции СТО БР ИББС – 2014, хотя на тот момент защита ПДн уже выстраивалась в соответствии с ПП-1119 и приказом ФСТЭК №21. В виду того, что банки должны соответствовать принятому пакету СТО БР ИББС, многие из них пользовались не актуальными методиками и, как следствие, не соотвестствовали новым реалиям обеспечения безопасности.

С выходом этих двух упомянутых нормативных документов ситуация изменилась к лучшему - были отменены некоторые строгие требования по лицензированию, упрощены процедуры классификации ИСПДн, оператору ПДн дано больше прав на выбор защитных мер. Требования к защите ИСПДн определяясь таблицей соответствия «уровня защищенности» и применяемых к ним процедур безопасности, детализациях которых была представлена приказом ФСТЭК № 21. Это позволило нивелировать различия в методике защиты ПДн в отраслевом стандарте ЦБ и общего российского законодательства.

В обновленном стандарте появился новый термин «Ресурс ПДн», для которого сформированы требования к документированности отдельных процедур, связанных с обработкой персональных данных (раздел 7.10). Отдельно рассмотрены вопросы, связанные с уничтожением персональных данных: организациям предоставлена возможность уничтожать ПДн не сразу, а на периодической основе, но не реже одного раза в полгода.

Роскомнадзором отдельно были внесены пояснения в отношении биометрических ПДн , например фотографии сотрудников, если таковые используются в целях осуществления контрольно-пропускного режима или выставлены на сайте компании в качестве общедоступной информации о руководстве, не попадают под режим специальных требованиям к защите.

Банкам же, которые ранее уже выполнили требования по защите ПДн по старому стандарту, для соответствия новым требованиям нужно скорректировать свои внутренние нормативные документы, провести заново классификацию и переадресацию ИСПДн и, в соответствии с уровнем защищенности, определить для себя новый перечень защитных мероприятий. Хочется отметить, что сейчас у банков появилось больше свободы в выборе средств и методов защиты, однако применение именно сортированных ФСТЭК средств защиты информации по-прежнему является обязательным.

Информационная безопасность национальной платежной системы

Национальная платежная система (НПС), в виду последних событий, становится все более приоритетным направлением во внутренней политике государства. Президент России Владимир Путин подписал закон о создании в России национальной системы платежных карт (НСПК) и обеспечении бесперебойности работы международных платежных систем. Оператор НСПК создается в форме ОАО, 100% активов которого принадлежит Банку России. Целью проекта обозначено инфраструктурно и информационно замкнуть процесс осуществления денежных переводов внутри России, закрепить территориально внутри страны операционные центры и платежные клиринговые центры.

Фактически, до выхода закона деньги могли появляться из «ниоткуда» и исчезать в «никуда». С выходом закона ситуация меняется, НПС дает возможность отслеживает все денежные операции, в том числе финансирование сомнительных сделок и мошеннические операции, которые могут угрожать безопасности граждан или страны в целом. Кроме того, уход от наличного оборота, по мнению правительства, является еще одним шагом в борьбе со взяточничеством.

Для обеспечения безопасности НПС был выпущен целый рад подзаконных актов, серди которых основополагающее Положение о защите информации в платежной системе» от 13.06.2012 №584 . Но в большей мере отвечает выпущенное ответственным департаментом Банком России Положение о требованиях к обеспечению защиты информации при осуществлении переводов денежных средств…» от 09.06.2012 N 382-П)

С обновлением П-382 тенденции обеспечения защиты теперь смещены в сторону:

Информационная безопасность платежных систем

Аналогичная ситуация складывается с использованием пластиковых карт. В мировом сообществе признанным стандартом безопасности считается Payment Card Industry Data Security Standard (PCI DSS) , который был разработан советом PCI SSC. В него вошли такие карточные брэнды, как Visa, MasterCard, American Express, JCB и Discovery.

Стандарт PCI DSS описывает требования к защите данных о держателях карт, сгруппированные в двенадцать тематических разделов. Основной акцент в стандарте PCI DSS делается на обеспечении безопасности сетевой инфраструктуры и защите хранимых данных о держателях платежных карт, как наиболее уязвимых с точки зрения угроз конфиденциальности местах. Также следует отметить, что стандарт регламентирует правила безопасной разработки, поддержки и эксплуатации платежных систем, в том числе процедуры их мониторинга. Не менее важную роль стандарт отводит разработке и поддержке базы нормативных документов системы менеджмента информационной безопасности.

Международные платежные системы обязывают организации, на которые распространяются требования стандарта, проходить регулярную проверку соответствия этим требованиям, что рано или поздно может затронуть и НСПК. Однако сертификация российских банков по зарубежному PCI DSS стандарту шла довольно медленно, а отечественного аналога на сегодняшний день нет.

Однако, выполняя требования П-382 и последней редакции СТО БР ИББС-2014, можно во многом подготовиться к прохождению сертификации по PCI DSS, ведь многие его положения пересекаются с требованиями из отечественного документа: антивирусная безопасность, шифрование, фильтрация с помощью межсетевых экранов, разграничение доступа, отслеживании сеансов связи, а также мониторинг, аудит и менеджмент системы ИБ (см. рисунок 5).

Рисунок 5. Сравнение категорий защищаемой информации различными стандартами (по данным Уральский центр Систем безопасности, www.usssc.ru , 2014)

В отличие от всех зарубежных стандартов, российский 382-П призван стимулировать отечественных разработчиков и производителей средств защиты информации (СЗИ), так, например, обязывая субъекты НПС обеспечить применение некриптографических СЗИ от несанкционированного доступа, в том числе прошедших в установленном порядке процедуру оценки соответствия. При этом, применение решений иностранного производства явно разрешено.

Более того, Банк России усиливает свой контроль за соблюдением установленных правил. В своем документе Указание № 2831-У от 09.06.2012 «Об отчетности по обеспечению защиты информации в платежных системах…» явно указывает, в какой форме, и с какой периодичностью субъекты платежных систем должны отчитываться о состоянии информационной безопасности в платежных системах.

Несмотря на популярность и широкое распространение PCI DSS существуют и другие международных стандарты безопасности падежных систем, о которых тоже хотелось бы немного сказать. Один из них стандарт PCI PA-DSS (Payment Card Industry Payment Application Data Security Standard) определяющий требования к приложениям, обрабатывающим данные о держателях карт и процессу их разработки. И, второй - стандарт Payment Card Industry PIN Transaction Security (PCI PTS), ранее PCI PED, касаются производителей, которые задают и реализуют технические параметры и систему управления для устройств, поддерживающих набор ПИН-кода и использующихся для проведения платежных операций по картам.

Выводы

СТО БР ИББС является очень важной вехой эволюционного пути развития отечественной системы обеспечения информационной безопасности. Это один из первых отраслевых и адаптированных под российскую действительность стандартов. Конечно, это не панацея от всех бед, остается еще много проблем, над которыми бьются специалисты, но это первый и весьма успешный опыт, приближающий нас к эталонам лучшей зарубежной практики.

Выполняя требования стандарта, многие банки готовят себя к международной сертификации обеспечения безопасности платежных систем PCI DSS. Обеспечивают защиту персональных данных в соответствии с последними требованиями регуляторов. Проводимый ежегодный внутренний аудит позволяет объективно проверить защищенность банков от существенных рисков и угроз ИБ, а руководителям эффективнее спланировать построение и управление комплексной системой защиты.

Существующие недочеты и явные ошибки, надеемся, будут исправлены в следующих редакциях, выпуск которых не за горами. Уже весной 2015 года нас ждет обновленный П-382 , а следом может последовать и изменения в комплексе БР ИББС. Пока же довольствуемся октябрьским релизом «Стандартом финансовых операций» ТК 122 и не забываем, что как бы не были хороши все усилия вышестоящих органов, по прежнему наша безопасность - только в наших руках!

Банки и все, что с ними
связанно — всегда были мишенью для всякого
рода мошенников. В наше время эти
мошенничества связанны с электронной
преступностью. И я, как человек, который
пытается предотвратить их, хотел бы немного
осветить данный вопрос и развенчать миф о
хакере-одиночке — проникающим в банковские
системы и получающим ПОЛНЫЙ доступ к ее
информационным ресурсам.

Для начала рассмотрим
вопрос обеспечения безопасности
вычислительного комплекса. Под
безопасностью системы понимают —
способность противодействовать попыткам
проникновения, НСД, получения прав и
привилегий, а также уничтожения или
искажения информации. Нас больше всего
интересует внутренняя безопасность, т.е.
обеспечение функционирования системы в
штатном режиме и обеспечении целостности,
сохранности и конфиденциальности
информации.

Анализируя список
существующих угроз — можно определить
основные направления защиты банковской
системы:

Физическая защита. Т.е.
защита оборудования от механических
повреждений, хищений, установки спец.
оборудования для электромагнитного
съема.
Защита от НСД.
Защита электронного
документооборота. Т.е. шифрование с
открытым ключом всей значимой
электронной переписки.
Антивирусная защита.
Установка комплекса
специализированного программного
обеспечения по предотвращению
проникновения в вычислительную сеть
вредоносных программ.

Разобравшись с тем, что
такое безопасность и определившись в
значимости вопроса ее обеспечения перейдем
к освещению средств защиты электронных
систем.

К средствам защиты
относят программные, аппаратные и
аппаратно — программные системы.

По своим характеристикам
самую надежную систему защиты позволяют
реализовать только аппаратные и аппаратно —
программные средства. Это связанно с тем,
что данные системы чаще всего
специализированные, то есть выполняющие
определенные функции, что является большим
преимуществом, т.к. защитить или
протестировать специализированное
устройство намного проще, чем
универсальное. Еще одним преимуществом
специализированных систем является то, что
они позволяют физически и логически
изолировать блоки с критически важной
информацией. Кроме того, программно —
аппаратные системы обеспечивают надежную
защиту от модификации, удаления или хищения
информации системными программистами или
высоко квалифицированным персоналом.
Обычно в программно — аппаратных средствах
обеспечения безопасности
предусматривается функция стирания
секретной информации при попытках
физического проникновения в аппаратную
часть системы.

Учитывая еще и
экономическую эффективность системы
обеспечения безопасности, чаще применяют
только программные средства, т.к. стоимость
специализированных аппаратных модулей —
достаточно высока. При использовании
программных средств, вы получаете очень
гибкую, обеспечивающую достаточный уровень
защиты, и в то же время незначительную по
стоимости обслуживания программных
комплексов,(в сравнении с аппаратными,
систему. Еще одним немаловажным
преимуществом программной реализации
защиты — является возможность ее изменения
в сторону усложнения или упрощения, в
зависимости от потребностей обеспечения
безопасности.

С помощью программных
средств можно реализовать следующие
способы защиты:

Главным недостатком
систем защиты, построенных на основе только
программных комплексов, является
возможность их анализа при НСД. В
результате чего нельзя исключить
возможность разработки способов
преодоления комплекса программных средств
обеспечения безопасности или его
модификации.

Продолжение следует…