Главная Доверенности Проблемы информационной безопасности банка. «Информационная безопасность в банковской сфере – это предмет «торга

Проблемы информационной безопасности банка. «Информационная безопасность в банковской сфере – это предмет «торга

Система защиты информации банков весьма сильно отличается от аналогичных стратегий других компаний и организаций. Это обусловлено прежде всего специфическим характером угроз, а также публичной деятельностью банков, которые вынуждены делать доступ к счетам достаточно легким для удобства клиентов.

По мере развития и расширения сферы применения средств вычислительной техники, острота проблемы обеспечения безопасности вычислительных систем и защиты хранящейся и обрабатываемой в них информации от различных угроз все более возрастает. Для этого есть целый ряд объективных причин.

Основная из них -- возросший уровень доверия к автоматизированным системам обработки информации. Им доверяют самую ответственную работу, от качества которой зависит жизнь и благосостояние многих людей. ЭВМ управляют технологическими процессами на предприятиях и атомных электростанциях, движениями самолетов и поездов, выполняют финансовые операции, обрабатывают секретную информацию.

Известны различные варианты защиты информации -- от охранника на входе до математически выверенных способов сокрытия данных от ознакомления. Кроме того, можно говорить о глобальной защите и ее отдельных аспектах: защите персональных компьютерах, сетей, баз данных и др.

Необходимо отметить, что абсолютно защищенных систем нет. Можно говорить о надежности системы, во-первых, лишь с определенной вероятностью, а во-вторых, о защите от определенной категории нарушителей. Тем не менее, проникновения в компьютерную систему можно предусмотреть. Защита -- это своего рода соревнование обороны и нападения: кто больше знает и предусматривает действенные меры -- тот и выиграл.

Организация защиты автоматизированной системы обработки информации банка -- это единый комплекс мер, которые должны учитывать все особенности процесса обработки информации. Несмотря на неудобства, причиняемые пользователю во время работы, во многих случаях средства защиты могут оказаться совершенно необходимыми для нормального функционирования системы. К основным из упомянутых неудобств следует отнести Гайкович Ю.В., Першин А.С. Безопасность электронных банковских систем.-М.:Единая Европа,1994.- С..33:

1. Дополнительные трудности работы с большинством защищенных систем.
2. Увеличение стоимости защищенной системы.
3. Дополнительная нагрузка на системные ресурсы, что потребует увеличения рабочего времени для выполнения одного и того же задания в связи с замедлением доступа к данным и выполнения операций в целом.
4. Необходимость привлечения дополнительного персонала, отвечающего за поддержание работоспособности системы защиты.

Современный банк трудно представить себе без автоматизированной информационной системы. Связь компьютеров между собой и с более мощными компьютерами, а также с ЭВМ других банков -- также необходимое условие успешной деятельности банка -- слишком велико количество операций, которые необходимо выполнить в течение короткого периода времени.

В то же время информационные системы становятся одной из наиболее уязвимых сторон современного банка, притягивая к себе злоумышленников, как из числа персонала банка, так и со стороны. Оценки потерь от преступлений, связанных с вмешательством в деятельность информационной системы банков, очень сильно разнятся. Сказывается разнообразие методик для их подсчета. Средняя банковская кража с применением электронных средств составляет около $9.000, а один из самых громких скандалов связан с попыткой украсть $700 млн. (Первый национальный банк, Чикаго).

Причем необходимо учитывать не только суммы прямого ущерба, но и весьма дорогостоящие мероприятия, которые проводятся после успешных попыток взлома компьютерных систем. Так, одним из самых ярких примеров можно привести пропажу данных о работе с секретными счетами Bank of England в январе 1999 года. Эта пропажа заставила банк поменять коды всех корреспондентских счетов. В этой связи в Великобритании были подняты по тревоге все имеющиеся силы разведки и контрразведки для того, чтобы не допустить вероятной утечки информации, способной нанести огромный ущерб. Правительством предпринимались крайние меры с тем, чтобы посторонним не стали известны счета и адреса, по которым Bank of England направляет ежедневно сотни миллиардов долларов. Причем в Великобритании больше опасались ситуации, при которой данные могли оказаться в распоряжении иностранных спецслужб. В таком случае была бы вскрыта вся финансовая корреспондентская сеть Bank of England. Возможность ущерба была ликвидирована в течение нескольких недель.

Аджиев В. Мифы о безопасности программного обеспечения: уроки знаменитых катастроф//Открытые системы.-1999. -- №6.-- C..21-24

Услуги, предоставляемые банками сегодня, в немалой степени основаны на использовании средств электронного взаимодействия банков между собой, банков и их клиентов и торговых партнеров. В настоящее время доступ к услугам банков стал возможен из различных удаленных точек, включая домашние терминалы и служебные компьютеры. Этот факт заставляет отойти от концепции “запертых дверей”, которая была характерна для банков 60-х годов, когда компьютеры использовались в большинстве случаев в пакетном режиме как вспомогательное средство и не имели связи с внешним миром.

Уровень оснащенности средствами автоматизации играет немаловажную роль в деятельности банка и, следовательно, напрямую отражается на его положении и доходах. Усиление конкуренции между банками приводит к необходимости сокращения времени на производство расчетов, увеличения номенклатуры и повышения качества предоставляемых услуг. Чем меньше времени будут занимать расчеты между банком и клиентами, тем выше станет оборот банка и, следовательно, прибыль. Кроме того, банк более оперативно сможет реагировать на изменение финансовой ситуации. Разнообразие услуг банка (в первую очередь это относится к возможности безналичных расчетов между банком и его клиентами с использованием пластиковых карт) может существенно увеличить число его клиентов и, как следствие, повысить прибыль.

Информационная безопасность банка должна учитывать следующие специфические факторы:

Преступления в банковской сфере также имеют свои особенности Гамза В.А. , Ткачук И.Б. Безопасность коммерческого банка.- М..: Единая Европа, 2000.- C..24:

Как правило, злоумышленники обычно используют свои собственные счета, на который переводятся похищенные суммы. Большинство преступников не знают, как “отмыть” украденные деньги. Умение совершить преступление и умение получить деньги -- это не одно и то же.

Большинство компьютерных преступлений -- мелкие. Ущерб от них лежит в интервале от $10.000 до $50.000.

Успешные компьютерные преступления, как правило, требуют большого количества банковских операций (до нескольких сотен). Однако крупные суммы могут пересылаться и всего за несколько транзакций.

Большинство злоумышленников -- клерки. Хотя высший персонал банка также может совершать преступления и нанести банку гораздо больший ущерб -- такого рода случаи единичны.

Компьютерные преступления не всегда высокотехнологичны. Достаточно подделки данных, изменения параметров среды АСОИБ и т.д., а эти действия доступны и обслуживающему персоналу.

Многие злоумышленники объясняют свои действия тем, что они всего лишь берут в долг у банка с последующим возвратом. Впрочем “возврата”, как правило, не происходит.

Специфика защиты автоматизированных систем обработки информации банков обусловлена особенностями решаемых ими задач:

Как правило, АСОИБ обрабатывают большой поток постоянно поступающих запросов в реальном масштабе времени, каждый из которых не требует для обработки многочисленных ресурсов, но все вместе они могут быть обработаны только высокопроизводительной системой;

В АСОИБ хранится и обрабатывается конфиденциальная информация, не предназначенная для широкой публики. Ее подделка или утечка могут привести к серьезным (для банка или его клиентов) последствиям. Поэтому АСОИБ обречены оставаться относительно закрытыми, работать под управлением специфического программного обеспечения и уделять большое внимание обеспечению своей безопасности;

Другой особенностью АСОИБ является повышенные требования к надежности программно-аппаратного обеспечения. В силу этого многие современные АСОИБ тяготеют к так называемой отказоустойчивой архитектуре компьютеров, позволяющей осуществлять непрерывную обработку информации даже в условиях различных сбоев и отказов.

Использование банками АСОИ связано со спецификой защиты этих систем, поэтому банки должны уделять больше внимания защите своих автоматизированных систем.

Выводы по первой главе:

1. АКБ «Глобэкс» - крупная финансовая организация, а следовательно представляет большой интерес для технически оснащенных нарушителей. Усиление организованных преступных групп, рост их финансовой мощи и технической оснащенности дает основание полагать, что тенденция к увелечению количества попыток проникновения в автоматизированные системы банков сохранится.
2. Учитывая задачи, которые поставлены руководством перед АКБ «Глобэкс», можно сделать вывод, что соответствующим службам банка потребуется приложить много усилий для обеспечения безопасности АСОИ банка, учитывая особенности ее работы.
3. В АКБ «Глобэкс» необходимо определять и прогнозировать возможные угрозы для обоснования, выбора и реализации защитных мероприятий по защите АСОИ.
4. Поскольку компьютеризация банковской деятельности приобретает все большие масштабы, и все банки взаимодействуют между собой посредством компьютеров, то Служба Безопасности АКБ «Глобэкс» должна уделять больше внимания защите компьютерной информации в банке.

Какие основные проблемы в области обеспечения безопасности вы выделяете на настоящий момент как в аспекте информационной безопасности, так и с точки зрения обеспечения безопасности бизнеса?
Андрей Богословских, директор Дирекции информационных технологий Росбанка: Нацеленность хакерского сообщества на создание вредоносного кода, адаптированного к технологиям систем дистанционного банковского обслуживания. Кража паролей и ключевой информации с зараженных компьютеров клиентов.
Константин Меденцев, вице-президент по информационным технологиям Московского Банка Реконструкции и Развития: Основной задачей информационной безопасности является обеспечение и совершенствование защиты информационной инфраструктуры. Информационные технологии все шире используются и в криминальных целях. Технологии становятся более доступными, и стоимость атак на информационные системы снижается, тогда как защита электронных информационных ресурсов обходится все дороже. С помощью информационных систем кредитным организациям удается существенно снизить издержки на обслуживание клиентов, что, в свою очередь, ведет к увеличению прибыли. Однако механизмы исполнения установленных регуляторами требований ведут к значительному удорожанию банковского обслуживания. Чем выше уровень защиты данных, тем, разумеется, труднее их получить, так как усложняется архитектура соответствующих автоматизированных систем. В этой связи важно найти интегрированный подход или алгоритм действий, реализация которого позволит выполнить законные требования, но при этом не скажется отрицательно на деятельности банка и не приведет к удорожанию продуктов и услуг для потребителя.
Владилен Новоселецкий, начальник Управления информационной безопасности БИНБАНКа: Главная проблема - ограниченность финансирования ИБ. Она во многом определяет все остальные проблемы.

Вторая проблема - выбор для бизнеса той степени свободы, которая, с одной стороны, не позволит злоумышленникам разорить бизнес, с другой - не задушит бизнес. Очевидно, что инцидентов ИБ не будет, если все запретить. Но тогда и бизнес развиваться не будет. Поэтому нужно найти баланс между необходимой для бизнеса свободой действий и необходимой для обеспечения ИБ системой ограничений.

Третья проблема - проблема выбора СЗИ с требуемым функционалом, не оказывающих заметного негативного влияния на защищаемые средства (проблема функциональности и совместимости). СЗИ на рынке предлагается много, но... гладко было на бумаге.

Четвертая проблема - правовая - лицензирование деятельности с использованием СКЗИ, сертификация СЗИ и аттестация объектов автоматизации. Среди сертифицированных ФСТЭК России (ФСБ России) СЗИ большинство устарели. Поэтому при выборе СЗИ возникает дилемма: выполнить требования ФЗ, приобретя сертифицированное, но устаревшее СЗИ. Либо приобрести СЗИ новейшей разработки и, соответственно, более эффективное, но несертифицированное. Если выбран и уже приобретен несертифицированный вариант СЗИ, то его последующая сертификация превращается просто в кормушку для занимающихся этим организаций. В ходе сертификации СЗИ лучше не станет, но станет гораздо дороже. А если результат сертификации окажется отрицательным, то что делать с этим СЗИ? Вернуть продавцу?

Олег Подкопаев, директор по информационным технологиям Русфинанс Банка: Как всегда, основной угрозой информационной безопасности организации и бизнеса является инсайдер. И хотя последствия инсайдерских действий, как правило, менее заметны в явном виде, а иногда даже просто не видны - именно в этом заключается их основная опасность. Компрометация клиентской базы, например, помимо прямых юридических рисков в дальнейшем приводит к снижению бизнеса и потере доли на рынке, причем последствия становятся видны только тогда, когда делать что-либо уже поздно. Соответственно, основные усилия должны быть направлены на превентивные мероприятия, позволяющие не допустить подобной утечки либо вовремя ее выявить.

Александр Туркин, руководитель Центра верификации и информационного обеспечения БИНБАНКа: С аттестацией объектов информатизации картина такая: при любом изменении объект нужно переаттестовывать. Но в банке изменения происходят непрерывно! Меняется как компьютерное оборудование, так и программное обеспечение, технология работ. Таким образом, формально аттестация/переаттестация превращается в непрерывный бесконечный процесс с бесконечными расходами.

Как известно, для использования СКЗИ, подпадающих под постановление Правительства РФ от 29.12.2007 № 957, утвердившее Положения о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами, необходимы лицензии ФСБ России. Но тогда они нужны не только для банка, но и для всех клиентов системы Клиент-Банк. Аналогично для всех клиентов систем электронного обмена с ФНС, Пенсионным фондом и т. п. Получается, что лицензии ФСБ России нужны для большинства организаций страны.

Евгений Шевцов, вице-президент ЗАО АКБ «НОВИКОМБАНК»: Кредитно-финансовые организации сегодня все чаще сталкиваются с широким спектром существующих угроз, таких как компьютерное мошенничество, компьютерные вирусы, взлом компьютерных систем, отказ в обслуживании и т. д. Высокая зависимость этих организаций, нашего банка в частности, от информационных ресурсов, объединение корпоративных сетей и сетей общего доступа, совместное использование информационных ресурсов повышают уязвимость от подобных угроз. Поскольку существующие в банке информационные системы изначально не проектировались с необходимым уровнем защищенности, то в большинстве случаев возможности обеспечения информационной безопасности ограничены.

Важнейшей проблемой, стоящей перед руководством и службой безопасности, является проблема внутренних угроз информационной безопасности, или, иными словами, проблема защиты информации от инсайдеров.

Поэтому сегодня, как в аспекте информационной безопасности, так и с точки зрения обеспечения безопасности бизнеса, жизненно необходима комплексная система информационной безопасности, которая задействует не только технические, но и организационные ресурсы, создание которой может обойтись банку значительно дешевле, чем ликвидация последствий угроз ИБ.

Изменился ли в результате кризиса характер взаимоотношений между IT-подразделением банка и службой безопасности? Произошло ли перераспределение обязанностей и функций? Каким образом?

Андрей Богословских: Кризис не изменил взаимоотношения между IT и безопасностью.

Константин Меденцев: Финансово-экономический кризис оказал существенное влияние на характер ведения бизнеса, что в ряде случаев повлекло за собой заметные изменения в структуре кредитных организаций, связанные либо с сокращением, либо с перераспределением задач между подразделениями. В части информационной безопасности с основными смежными подразделениями, а именно - с подразделениями информационных технологий. Наблюдения показывают, что в ряде случаев имеет место передача функций, связанных с эксплуатацией систем обеспечения информационной безопасности, в подразделения информационных технологий. Однако негативное влияние данного перераспределения на ведение бизнеса в целом в основе своей может быть проявиться только в случае отсутствия оперативной корректировки процедур взаимодействия смежных подразделений. В случае грамотного описания процедур взаимодействия негативного влияния данное перераспределение не оказывает.

Владилен Новоселецкий: В связи со вступлением в действие Закона «О персональных данных» характер взаимоотношений должен был бы измениться в сторону ИБ. Но он не изменился. Возможно, что основной вклад в это внес кризис.

Олег Подкопаев: Кризис как таковой, конечно, на такие взаимоотношения не повлиял, поскольку его сущность была иной. Но с точки зрения взаимодействия подразделений банка действия стали слаженнее. В большей мере повлияли требования регуляторов, реализация которых требует более четкого взаимодействия служб IT и безопасности. При этом распределение функций не меняется: подразделения информационной безопасности являются регулирующими и контролирующими органами внутри банка, IT призвано реализовывать и обеспечивать информационную безопасность.

Евгений Шевцов: Характер взаимодействия не изменился. Обязанности и функции подразделений остались прежними, определяемыми нормативными документами банка.

Как вы оцениваете роль регулятора в области информационной безопасности банка? Насколько полезны, в частности, те шаги, которые ЦБ РФ предпринимает в законодательной сфере?

Андрей Богословских: Банк России разрабатывает стандарты ИБ, они носят рекомендательный характер (не являются законодательной сферой). Оценка двоякая. С одной стороны, стандарты ИБ ЦБ РФ полезны, так как они базируются на современных международных стандартах по ИБ. С другой стороны, в них много спорного, так как они базируются еще и на устаревших методиках и инструкциях Гостехкомиссии (ФСТЭК).

Константин Меденцев: Усилия Центрального банка не могут оставаться незамеченными. Важной вехой в становлении нормативно-методической базы Центрального банка в области информационной безопасности стал выпуск ряда регламентирующих документов. Таких как «Методика оценки соответствия информационной безопасности требованиям СТО БР ИБСС-1.0-2008» и «Методика оценки рисков нарушения информационной безопасности».

Олег Подкопаев: Я полагаю, ЦБ РФ поступает абсолютно правильно, приучая банки к мысли о возможной регуляции в области информационной безопасности. Причем это делается очень разумно, посредством выпуска сначала рекомендаций и методик самооценки, проведением пилотов по аудиту информационной безопасности, и лишь потом - а это вопрос времени - введением обязательных требований.

Александр Туркин: Регуляторов в области ИБ у нас три: ЦБ РФ, ФСТЭК России, ФСБ России. Шаги ЦБ в законодательной сфере предпринимаются в интересах банков, поэтому они, безусловно, для банков полезны, а вот насколько они окажутся эффективны - время покажет. Пока похоже, что какой-то эффект будет, хотя может и меньше, чем хотелось бы. Получили отсрочку на год, и ФСТЭК России снял гриф ДСП с четырех своих документов - уже хорошо. Вместе с тем хотелось бы подчеркнуть, что роль Банка России в этом вопросе, несомненно, позитивная. По приглашению Андрея Петровича Курило мы вошли в Рабочую группу АРБ по Закону № 152-ФЗ. Предложения и замечания по совершенствованию законодательства в сфере персональных данных, родившиеся в процессе совещаний Рабочей группы, я думаю, внесли значительный вклад в общую копилку.

Евгений Шевцов: Основным документом, которым руководствуется в своей деятельности служба информационной безопасности банка, является Стандарт Банка России: «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» (СТО БР ИББС-1.0-2008). Ожидаем, что новая редакция документа станет отраслевым стандартом для кредитно-финансовых организаций РФ.

Вступление в силу требований Закона № 152-ФЗ в полном объеме. Насколько сегодня банки готовы к этому? Что дает годичная отсрочка, которой удалось добиться?

Андрей Богословских: Банки не готовы. Годовая отсрочка мало что дает. Защищать ПД сильнее, чем банковскую и коммерческую тайну, - это нонсенс.

Константин Меденцев: Несмотря на то что Федеральный закон «О персональных данных» был принят еще в 2006 г., нормативно-методические документы, регламентирующие процессы построения систем защиты персональных данных, вышли в свет существенно позже. Учитывая немалые объемы финансовых затрат на реализацию систем защиты, у операторов обработки персональных данных на их реализацию осталось слишком мало времени. В этой связи годичная отсрочка пришлась очень кстати.

Олег Подкопаев: Естественно, никто, в том числе и банки, к введению Закона № 152-ФЗ в полном объеме не готов. Более того, не готовы регуляторы, что в общем-то и определило возможность переноса сроков. Причем годичная отсрочка здесь нужна не столько операторам, сколько законодателям, чтобы внести необходимые поправки, сформулированные в процессе попыток практической реализации требований Закона и соответствующих нормативных актов. Я думаю, это будет сделано в течение 2010 г. Будет также понятнее, что и как делать, требования станут больше соответствовать реалиям, и, наконец, у консультантов поднакопится опыт реализации на «пилотных» проектах.

Александр Туркин: Тут одна из проблем - толкование этого ФЗ и подзаконных актов. Если подходить формально и строго, то банки не готовы, и год отсрочки ситуацию кардинально не изменит. Если ряд требований будут скорректированы в сторону их ослабления, то степень готовности повысится.

Евгений Шевцов: Годичная отсрочка дает возможность сэкономить денежные средства при выполнении этих требований.

В связи с развитием дистанционного банковского обслуживания и планами активного развития банков в этом направлении насколько серьезной представляется проблема DDOS-атак на сайты банков, фишинга и прочих угроз для каналов ДБО?

Андрей Богословских: Угроза DDoS серьезна, но не сама по себе, а как средство сокрытия мошеннических транзакций с использованием украденных реквизитов клиентов.

Константин Меденцев: Как уже говорилось, развитие информационных технологий оказывает влияние и на криминальную сферу. Однако системы дистанционного банковского обслуживания при грамотном построении могут вполне уверенно противостоять некоторым видам угроз. Существующие в настоящее время средства мониторинга сетевой активности позволяют выявить источник DDOS-атаки достаточно быстро и наряду с этим позволяют предотвратить нанесение ущерба техническим средствам самой системы дистанционного банковского обслуживания. Однако проблемы, связанные с несанкционированным использованием ключевой информации, мало кого обошли стороной. Исключить данное явление возможно только совместными усилиями как со стороны кредитных организаций - путем внедрения более совершенных механизмов реализации криптографических процедур, так и со стороны самих клиентов - путем неукоснительного соблюдения рекомендаций по обеспечению информационной безопасности.

Александр Туркин: Проблема одна из самых серьезных. В некоторых банках накоплено много информации об источниках таких угроз. Ее консолидация, вероятно, могла бы существенно повысить раскрываемость в данной сфере. Но заинтересованного в такой информации консолидирующего правоохранительного органа не видно. И это при том, что в Доктрине информационной безопасности РФ эта угроза рассматривается как серьезная для экономики страны.

Евгений Шевцов: Считаю данную проблему серьезной. Банку необходимы инструменты, позволяющие предотвращать такие атаки на начальном этапе их действия. И не просто предотвращать, а защищать.

Какие основные проблемы/угрозы для своей деятельности с точки зрения ИБ вы видите на ближайшее будущее - 2010 г.?

Андрей Богословских: Соблюдение требований методических рекомендаций ФСБ и ФСТЭК по защите ПД. Развитие направления мошенничества с использованием каналов ДБО.

Константин Меденцев: Технический прогресс неуклонно идет вперед. Как уже отмечалось ранее, проникновение информационных технологий в криминальную сферу происходит ускоренными темпами. В этой связи представляется, что количество угроз информационной безопасности деятельности кредитных организаций может только возрастать. Однако более детальную оценку их характера и последствий сможет дать только время.

Владилен Новоселецкий: Основная проблема - приведение банка в соответствие с Законом «О персональных данных», а основная угроза - недопонимание или неверное понимание этой проблемы со стороны всех тех лиц, от которых зависит ее решение.

Евгений Шевцов: В рамках создания системы защиты персональных данных рассмотреть вопрос организации комплексной системы безопасности информационных ресурсов банка.

Оценить:

Статья посвящена обеспечению информационной безопасности в банковских учреждениях на основе отечественных нормативных требований отраслевых стандартов Банка России СТО БР ИББС-1.0-2014. Рассмотрены некоторые аспекты защиты в автоматизированных банковских системах (АБС), вопросы защиты персональных данных в банковской сфере, внутреннего аудита и самооценки на соответствие требованиям ИБ, а также некоторые особенности и проблемные места, касающиеся специфики информационной безопасности в банках.

Введение

Не секрет, что банки являются краеугольным камнем кредитно-финансовой системы государства и важнейшим финансовым институтом современного общества. В связи с этим на них возлагаются особые требования к обеспечению информационной безопасности. До момента появления отечественных отраслевых стандартов информационной безопасности СТО БР ИББС банки управляли безопасностью, основываясь на положениях внутренних нормативных документов. Но и после принятия этих документов осталось много вопросов, требующих своего решения. Некоторые рассматриваемые в статье вопросы связаны с разрешением «узких мест» системы ИБ банков и адаптации политики безопасности под новые требования с учетом уже имеющегося «багажа» в области защиты информации.

Становление стандартов ИБ Банка России

В России до середины 2000-х годов слово «безопасность» преимущественно ассоциировали с управлением «банковскими рисками» , т.е. контролю ситуаций, которые могли бы привести к понесению кредитной организацией потерь и\или ухудшения ее ликвидности вследствие наступления неблагоприятных событий. Таких категорий как «информационная безопасность» или «защита информации» не существовало в принципе. Только лишь федеральный закон «О банковской деятельности» от 02.12.1990 N 395-1 ФЗ в ст.26 Банковская тайна давал ограниченное право и возможность на защиту конфиденциальных сведений в банковской сфере. Спустя больше чем десятилетие отечественные правотрорцы выпустили в свет Федеральный закон «О коммерческой тайне» 29.07.2004 N 98-ФЗ , позволяющий, наконец то, полноценно заявить о новом виде деятельности и отдельной категории вопросов таких как «информационная безопасность банков».

В те же годы в отечественном банковском сообществе наметились тенденции для принятия международных банковских стандартов, в частности стандарта Базель II . В своей трактовке этот стандарт рассматривал информационную безопасность как операционный риск и, в целом, требовал мер по аудиту и контролю за информационной сферой, что являлось абсолютным новшеством для российских банков в то время. Однако и этого было недостаточно -- развитие современных информационных технологий и постоянное стремление предложения новых банковских продуктов на рынок требовали более значительно внимания к данным вопросам.

Следующей эволюционной вехой развития стал 2004 год с выпуском Центральным Банком России первой редакции пакета отечественных отраслевых стандартов по информационной безопасности СТО БР ИБСС . Стандарт ЦБ по ИТ-безопасности считался лучшим отраслевым стандартом на то время, ведь он вобрал в себя лучший мировой опыт и практику, объединяет в себе основные положения стандартов по управлению ИТ-безопасностью (ISO 17799, 13335), регламентирует описание жизненного цикла программных средств и критерии оценки ИТ-безопасности (ГОСТ Р ИСО/МЭК 15408-1-2-3). Также в документе нашли отражение технологии оценки угроз и уязвимостей, некоторые положения британской методологии оценки информационных рисков CRAMM (см. рисунок 1).

Рисунок 1. Взаимосвязь различных требований и стандартов в области ИТ, безопасности и управления

Среди основных положений стандарта ЦБ можно было отметить ориентацию на решение проблемы инсайдеров. Для этого Банк России закрепляет контроль над обращением конфиденциальной информации внутри корпоративной среды. Значительное внимание уделено внешним угрозам: положения стандарта требуют от банков иметь антивирусную защиту с регулярно обновляемыми базам, средства фильтрации спама, управления доступом, регламентировать процедуры внутреннего аудита, использовать шифрование для защиты от несанкционированного доступа и т.п.

Несмотря на все эти очевидные преимущества стандарт носил рекомендательный характер - его положения могли применяться отечественными банками только на добровольной основе. Тем не менее, по результатам исследования респондентов, представленных на III межбанковской конференции , прослеживалась явная тенденция к принятию данных документов как обязательной базовой основы для российских банков.

Параллельно с развитием банковских стандартов в середине 2000-х годов в России шел и процесс становления отечественного законодательства в сфере информационной безопасности. Ключевым моментом стало обновление Федерального закона «Об информации, информационных технологиях и о защите информации» от 27.07.2006 N 149-ФЗ , дающего новые актуальные определения информации, информационных технологий и процессов, отдельно заголовком выделена «защита информации». Вслед за ним отдельную категорию в практике защиты информации ознаменовал выход закона «О Персональных данных» от 27.07.2006 N 152-ФЗ .

Учитывая все эти нововведения и меняющиеся реалии общества, в свет выходили и новые редакции СТО БР ИББС. Так, в третьей редакции стандарта от 2008 года , пакет документов был значительно переработан, повелись новые термины и понятия, были уточнены и детализированы некоторые требования по обеспечению безопасности; обновлены требования к системе менеджмента информационной безопасности. Также стандарт обзавелся собственной моделью угроз и нарушителей информационной безопасности организаций БС РФ. Введены новые блоки по требования ИБ в автоматизированных банковских системах, регламентирован процесс банковских платежных и информационных технологических процессов, отдельно сказано про применение средств криптографической защиты информации.

На фоне последних мировых событий 2014 года и экономических санкций, введенных западными странами в отношении России, наметилась чёткая тенденция к разработке и переходу на национальную систему платежных карт . Это, соответственно, предъявляет дополнительные требования к надежности и безопасности таких систем, что влечет за собой и повышение значения отечественных стандартов ИБ.

Результатом всех этих событий стало очередное переиздание стандарта. И в июне 2014 года вступила в силу обновленная пятая, и пока последняя на сегодняшний день, редакция СТО БР ИББС - 2014 . В новой редакции исправили огрехи прошлых выпусков и, что очень важно, требования и рекомендации СТО привели в соответствие с вышеописанным 382-П. Так, например, уточнен список требующих регистрации операций в ДБО, расширен список защищаемой информации, исходя из П-382, приведена таблица соответствия частных показателей оценки из СТО и показателей из текущей редакции 382-П.

Не менее значимым достижением стала актуализированная база нормативных требований с учетом последних изменений законодательства в сфере защиты Персональных данных, а именно добавлены ссылки на Постановление Правительства №1119 и Приказ ФСТЭК России №21 .

Все это сформировало единую методическую и нормативную платформу для обеспечения комплексной информационной безопасности с учетом банковской специфики. Пакет документов СТО БР ИББС обособил российские банки выстроив в них систему безопасности с отраслевой точки зрения, но в то же время впитал лучшую мировую практику и опыт зарубежных коллег по обеспечению информационной безопасности.

Информационная безопасность в Банках с учетом СТО БР ИББС-2014

В настоящий момент распоряжением Банка России пакет документов СТО БР ИББС состоит из следующих частей:

СТО БР ИББС-1.2-2014. «Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0-2014 (4 редакция)»;

Кроме того, Банком России разработаны и введены следующие рекомендации в области стандартизации ИБ:

РС БР ИББС-2.0-2007. «Методические рекомендации по документации в области обеспечения информационной безопасности в соответствие с требованиями СТО БР ИББС-1.0»;
РС БР ИББС-2.1-2007. «Руководство по самооценке соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1. 0»;
РС БР ИББС-2.2-2009. «Методика оценки рисков нарушения информационной безопасности»;
РС БР ИББС-2.5-2014. «Менеджмент инцидентов информационной безопасности»

Первые три документа являются обязательными для всех банков, которые приняли указанный стандарт в качестве своей базовой политики. Документ «Общие положения» являются основой для формирования всех мероприятий по защите информации. Вся структура разбита на отдельные блоки. В них подробно описываются требования к обеспечению безопасности, даются конкретные перечни мер защиты по тому или иному блоку. (см. таблица 1)

Таблица 1. Требования к обеспечению информационной безопасности

- при назначении и распределении ролей и обеспечении доверия к персоналу;

- в автоматизированных банковских систем (АБС) на стадиях жизненного цикла;

- при управлении доступом и регистрацией пользователей;

- к средствам антивирусной защиты;

- при использовании ресурсов сети Интернет;

- при использовании средств криптографической защиты информации;

- в банковских платежных технологических процессах;

- по обработке персональных данных;

- отельным заголовком вынесены требования к системе менеджмента информационной безопасности.

Документ «Аудит информационной безопасности» самый малостраничный из всех, указывает на необходимость проведение аудита системы ИБ, а также дает отсылку к проведению ежегодной самооценки по требованиям стандарта. Данные итоговой самооценки служат базой как для формы отчетности в случае проверки Центральным Банком, так и заключением соответствия уровня защищенности системы информационной безопасности банка выявленным рискам и угрозам ИБ.

И последний из рассматриваемых документ «Методика оценки соответствия требованиям ИБ» -- это свод методик оценки и таблиц с соответствующими полями для заполнения. Каждое мероприятие и мера защиты дают определенное весовое значение в оценке называемый групповой показатель. По результатам групповых показателей выстраивается круговая диаграмма соответствия требованием СТО БР ИББС (см. рисунок 2). Все значений групповых показателей лежат в диапазоне от 0 до 1 , в котором для определения итога выделены еще 6 уровней соответствия стандарту, начиная с нулевого. Банком России рекомендованы уровни 4 и 5 (см. рисунок 2). Соответственно чем выше значение, тем более считается защищенной система. На круговой диаграмме эти сектора имеют зеленый цвет, красный же -- показатель критического уровня.

Рисунок 2. Круговая диаграмма соответствия требованиям СТО БР ИББС

Что еще можно добавить -- достаточно большое внимание уделяется процессам менеджмента системы информационной безопасности, в частности можно выделить Цикл Деминга , используемый топ-менеджерами в управлении качеством (рисунок 3).

Рисунок 3. Цикл Деминга для СОИБ СТО БР ИББС

В новой редакции Банк России актуализировал методику оценки соответствия информационной безопасности. Основные изменения коснулись подхода к оценке:

все требования теперь отнесены к одному из трех классов (документирование , выполнение , документирование и выполнение );
оценка групповых показателей определяется как среднее арифметическое (отсутствуют весовые коэффициенты частных показателей);
вводится понятие корректирующих коэффициентов, влияющих на оценки по направлениям и зависящих от количества полностью не реализованных требований Стандарта;
значение показателя М9 (Общие требования по обработке персональных данных) рассчитывается по общей схеме (а не как минимальное из значений входящих частных показателей в предыдущей версии стандарта).

Стоит отметить тот факт, что стало значительно больше уделяться внимания документированию процедур безопасности во внутренних нормативных документах банков. Таким образом, даже если процедура фактически не выполняется, но предусмотрена и документирована, -- это повышает результат внутреннего аудита.

По сравнению с прошлой редакцией возросло количество частных показателей, а так же изменились весовые значения оценок (см. рисунок 4).

Рисунок 4. Изменения в прошлой и текущей редакции СТО БР ИББС (по данным ИнфоКонстал Менеджмент, www. km-ltd.com, 2014)

Следует сказать еще об одном важном дополнении, касающемся встроенных механизмов защиты в АБС, -- Банк России выпустил рекомендации «Обеспечение информационной безопасности на стадиях жизненного цикла автоматизированных банковских систем» (РС БР ИББС-2.6-2014)» . Суть их заключается в том, что теперь банки могут, ссылаясь на этот документ, выставлять требования разработчикам к функционалу программного обеспечения в части механизмов защиты. Нельзя забывать, что это именно рекомендации, а не требования, и сам Банк России навязывать ничего не может, однако он позволяет транслировать эти рекомендации от имени банковского сообщества, а это уже изменение в лучшую сторону.

Защита персональных данных в банках

До выхода 5 редакции СТО БР ИББС–2014, защита персональных данных в банках базировалась на двух документах : БР ИББС-2.3-2010. «Требования по обеспечению безопасности персональных данных в информационных системах персональных данных организаций банковской системы Российской Федерации» и РС БР ИББС-2.4-2010. «Отраслевая частная модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных организаций банковской системы Российской Федерации».

На практике это выглядело так: брали в неизменном виде предложенную Центральным Банком частную отраслевую модель угроз, по методическим рекомендациям определяли требований к защите каждой ИСПДн, исходя из и количества и списка обрабатываемых данных, и в дальнейшем выстраивали по ним перечень необходимых мероприятий.

Главной головной болью специалистов до сегодняшнего дня было то, что настоящие требований действовали вплоть до очередной редакции СТО БР ИББС – 2014, хотя на тот момент защита ПДн уже выстраивалась в соответствии с ПП-1119 и приказом ФСТЭК №21. В виду того, что банки должны соответствовать принятому пакету СТО БР ИББС, многие из них пользовались не актуальными методиками и, как следствие, не соотвестствовали новым реалиям обеспечения безопасности.

С выходом этих двух упомянутых нормативных документов ситуация изменилась к лучшему - были отменены некоторые строгие требования по лицензированию, упрощены процедуры классификации ИСПДн, оператору ПДн дано больше прав на выбор защитных мер. Требования к защите ИСПДн определяясь таблицей соответствия «уровня защищенности» и применяемых к ним процедур безопасности, детализациях которых была представлена приказом ФСТЭК № 21. Это позволило нивелировать различия в методике защиты ПДн в отраслевом стандарте ЦБ и общего российского законодательства.

В обновленном стандарте появился новый термин «Ресурс ПДн», для которого сформированы требования к документированности отдельных процедур, связанных с обработкой персональных данных (раздел 7.10). Отдельно рассмотрены вопросы, связанные с уничтожением персональных данных: организациям предоставлена возможность уничтожать ПДн не сразу, а на периодической основе, но не реже одного раза в полгода.

Роскомнадзором отдельно были внесены пояснения в отношении биометрических ПДн , например фотографии сотрудников, если таковые используются в целях осуществления контрольно-пропускного режима или выставлены на сайте компании в качестве общедоступной информации о руководстве, не попадают под режим специальных требованиям к защите.

Банкам же, которые ранее уже выполнили требования по защите ПДн по старому стандарту, для соответствия новым требованиям нужно скорректировать свои внутренние нормативные документы, провести заново классификацию и переадресацию ИСПДн и, в соответствии с уровнем защищенности, определить для себя новый перечень защитных мероприятий. Хочется отметить, что сейчас у банков появилось больше свободы в выборе средств и методов защиты, однако применение именно сортированных ФСТЭК средств защиты информации по-прежнему является обязательным.

Информационная безопасность национальной платежной системы

Национальная платежная система (НПС), в виду последних событий, становится все более приоритетным направлением во внутренней политике государства. Президент России Владимир Путин подписал закон о создании в России национальной системы платежных карт (НСПК) и обеспечении бесперебойности работы международных платежных систем. Оператор НСПК создается в форме ОАО, 100% активов которого принадлежит Банку России. Целью проекта обозначено инфраструктурно и информационно замкнуть процесс осуществления денежных переводов внутри России, закрепить территориально внутри страны операционные центры и платежные клиринговые центры.

Фактически, до выхода закона деньги могли появляться из «ниоткуда» и исчезать в «никуда». С выходом закона ситуация меняется, НПС дает возможность отслеживает все денежные операции, в том числе финансирование сомнительных сделок и мошеннические операции, которые могут угрожать безопасности граждан или страны в целом. Кроме того, уход от наличного оборота, по мнению правительства, является еще одним шагом в борьбе со взяточничеством.

Для обеспечения безопасности НПС был выпущен целый рад подзаконных актов, серди которых основополагающее Положение о защите информации в платежной системе» от 13.06.2012 №584 . Но в большей мере отвечает выпущенное ответственным департаментом Банком России Положение о требованиях к обеспечению защиты информации при осуществлении переводов денежных средств…» от 09.06.2012 N 382-П)

С обновлением П-382 тенденции обеспечения защиты теперь смещены в сторону:

Информационная безопасность платежных систем

Аналогичная ситуация складывается с использованием пластиковых карт. В мировом сообществе признанным стандартом безопасности считается Payment Card Industry Data Security Standard (PCI DSS) , который был разработан советом PCI SSC. В него вошли такие карточные брэнды, как Visa, MasterCard, American Express, JCB и Discovery.

Стандарт PCI DSS описывает требования к защите данных о держателях карт, сгруппированные в двенадцать тематических разделов. Основной акцент в стандарте PCI DSS делается на обеспечении безопасности сетевой инфраструктуры и защите хранимых данных о держателях платежных карт, как наиболее уязвимых с точки зрения угроз конфиденциальности местах. Также следует отметить, что стандарт регламентирует правила безопасной разработки, поддержки и эксплуатации платежных систем, в том числе процедуры их мониторинга. Не менее важную роль стандарт отводит разработке и поддержке базы нормативных документов системы менеджмента информационной безопасности.

Международные платежные системы обязывают организации, на которые распространяются требования стандарта, проходить регулярную проверку соответствия этим требованиям, что рано или поздно может затронуть и НСПК. Однако сертификация российских банков по зарубежному PCI DSS стандарту шла довольно медленно, а отечественного аналога на сегодняшний день нет.

Однако, выполняя требования П-382 и последней редакции СТО БР ИББС-2014, можно во многом подготовиться к прохождению сертификации по PCI DSS, ведь многие его положения пересекаются с требованиями из отечественного документа: антивирусная безопасность, шифрование, фильтрация с помощью межсетевых экранов, разграничение доступа, отслеживании сеансов связи, а также мониторинг, аудит и менеджмент системы ИБ (см. рисунок 5).

Рисунок 5. Сравнение категорий защищаемой информации различными стандартами (по данным Уральский центр Систем безопасности, www.usssc.ru , 2014)

В отличие от всех зарубежных стандартов, российский 382-П призван стимулировать отечественных разработчиков и производителей средств защиты информации (СЗИ), так, например, обязывая субъекты НПС обеспечить применение некриптографических СЗИ от несанкционированного доступа, в том числе прошедших в установленном порядке процедуру оценки соответствия. При этом, применение решений иностранного производства явно разрешено.

Более того, Банк России усиливает свой контроль за соблюдением установленных правил. В своем документе Указание № 2831-У от 09.06.2012 «Об отчетности по обеспечению защиты информации в платежных системах…» явно указывает, в какой форме, и с какой периодичностью субъекты платежных систем должны отчитываться о состоянии информационной безопасности в платежных системах.

Несмотря на популярность и широкое распространение PCI DSS существуют и другие международных стандарты безопасности падежных систем, о которых тоже хотелось бы немного сказать. Один из них стандарт PCI PA-DSS (Payment Card Industry Payment Application Data Security Standard) определяющий требования к приложениям, обрабатывающим данные о держателях карт и процессу их разработки. И, второй - стандарт Payment Card Industry PIN Transaction Security (PCI PTS), ранее PCI PED, касаются производителей, которые задают и реализуют технические параметры и систему управления для устройств, поддерживающих набор ПИН-кода и использующихся для проведения платежных операций по картам.

Выводы

СТО БР ИББС является очень важной вехой эволюционного пути развития отечественной системы обеспечения информационной безопасности. Это один из первых отраслевых и адаптированных под российскую действительность стандартов. Конечно, это не панацея от всех бед, остается еще много проблем, над которыми бьются специалисты, но это первый и весьма успешный опыт, приближающий нас к эталонам лучшей зарубежной практики.

Выполняя требования стандарта, многие банки готовят себя к международной сертификации обеспечения безопасности платежных систем PCI DSS. Обеспечивают защиту персональных данных в соответствии с последними требованиями регуляторов. Проводимый ежегодный внутренний аудит позволяет объективно проверить защищенность банков от существенных рисков и угроз ИБ, а руководителям эффективнее спланировать построение и управление комплексной системой защиты.

Существующие недочеты и явные ошибки, надеемся, будут исправлены в следующих редакциях, выпуск которых не за горами. Уже весной 2015 года нас ждет обновленный П-382 , а следом может последовать и изменения в комплексе БР ИББС. Пока же довольствуемся октябрьским релизом «Стандартом финансовых операций» ТК 122 и не забываем, что как бы не были хороши все усилия вышестоящих органов, по прежнему наша безопасность - только в наших руках!

В предыдущих частях исследования мы обсудили экономические основы и IT-инфраструктуру банковских безналичных платежей. В этой части речь пойдет о формировании требований к создаваемой системе информационной безопасности (ИБ).

роль обеспечения безопасности в жизни коммерческой организации;
место службы информационной безопасности в структуре менеджмента организации;
практические аспекты обеспечения безопасности;
применение теории управления рисками в ИБ;
основные угрозы и потенциальный ущерб от их реализации;
состав обязательных требований, предъявляемых к системе ИБ банковских безналичных платежей.

Роль обеспечения безопасности в жизни коммерческой организации

В современной российской экономической среде существует множество различных типов организаций. Это могут быть государственные предприятия (ФГУП, МУП), общественные фонды и, наконец, обычные коммерческие организации. Главным отличием последних от всех других является то, что их основная цель – получение максимальной прибыли, и все, что они делают, направлено именно на это.

Зарабатывать коммерческая организация может различными способами, но прибыль всегда определяется одинаково – это доходы за вычетом расходов. При этом, если обеспечение безопасности не является основным видом деятельности компании, то оно не генерирует доход, а раз так, то для того, чтобы эта деятельность имела смысл, она должна снижать расходы.

Экономический эффект от обеспечения безопасности бизнеса заключается в минимизации или полном устранении потерь от угроз. Но при этом также следует учитывать то, что реализация защитных мер тоже стоит денег, и поэтому истинная прибыль от безопасности будет равна размеру сэкономленных от реализации угроз безопасности средств, уменьшенному на стоимость защитных мер.

Однажды между собственником коммерческого банка и руководителем службы безопасности его организации состоялся разговор на тему экономического эффекта от обеспечения безопасности. Суть этого разговора наиболее точно отражает роль и место обеспечения безопасности в жизни организации:

Безопасность не должна мешать бизнесу.
- Но за безопасность надо платить, а за ее отсутствие расплачиваться.

Идеальная система безопасности – это золотая середина между нейтрализованными угрозами, затраченными на это ресурсами и прибыльностью бизнеса.

Место службы информационной безопасности в структуре менеджмента организации

Структурное подразделение, отвечающее за обеспечение информационной безопасности, может назваться по-разному. Это может быть отдел, управление или даже департамент ИБ. Далее для унификации это структурное подразделение будем называть просто службой информационной безопасности (СИБ).

Причины создания СИБ могут быть разными. Выделим две основные:

Cтрах .
Руководство компании осознает, что компьютерные атаки или утечки информации могут привести к катастрофическим последствия, и предпринимает усилия для их нейтрализации.
Обеспечение соответствия законодательным требованиям .
Действующие законодательные требования налагают на компанию обязательства по формированию СИБ, и топ-менеджмент предпринимает усилия по их исполнению.

Применительно к кредитным организациям необходимость существования СИБ зафиксирована в следующих документах:

С точки зрения подчиненности СИБ существует только одно ограничение, прописанное в вышеуказанных положениях ЦБ РФ - «Служба информационной безопасности и служба информатизации (автоматизации) не должны иметь общего куратора», в остальном свобода выбора остается за организацией. Рассмотрим типовые варианты.

Таблица 1.

Подчиненность	Особенности
СИБ в составе IT	1. Организация защиты возможна только против внешнего злоумышленника. Основным вероятным внутренним злоумышленником является сотрудник IT. Бороться с ним в составе IT невозможно. 2. Нарушение требований Банка России. 3. Прямой диалог с IT, простое внедрение систем защиты информации
СИБ в составе службы безопасности	1. Защита от действий как внутренних злоумышленников, так и внешних. 2. СБ - единая точка взаимодействия топ-менеджмента по любым вопросам безопасности. 3. Сложность взаимодействия с IT, поскольку общение происходит на уровне глав IT и СБ, а последний, как правило, обладает минимальными знаниями в IT.
СИБ подчиняется Председателю Правления	1. СИБ обладает максимальными полномочиями и собственным бюджетом. 2. Для Председателя Правления создается дополнительная точка контроля и взаимодействия, требующая к себе определенного внимания. 3. Возможные конфликты СБ и СИБ по зонам ответственности при расследовании инцидентов. 4. Отдельный СИБ может «политически» уравновешивать полномочия СБ.

При взаимодействии с другими структурными подразделениями и топ-менеджментом банка у СИБ любой организации есть одна общая проблема - доказательства необходимости своего существования (финансирования).

Проблема заключается в том, что размер сэкономленных средств от нейтрализованных угроз информационной безопасности невозможно точно определить. Если угроза не реализовалась, то и ущерба от нее нет, а раз проблем нет, то и не нужно их решать.

Для решения этой проблемы СИБ может действовать двумя способами:

Показать экономическую значимость
Для этого ей необходимо вести учет инцидентов и оценивать потенциальный ущерб от их реализации. Совокупный размер потенциального ущерба можно считать сэкономленными денежными средствами. Для устранения разногласий по размеру оцениваемого ущерба рекомендуется предварительно разработать и утвердить методику его оценки.
Заниматься внутренним PR-ом
Рядовые работники организации обычно не знают, чем занимается СИБ, и считают ее сотрудников бездельниками и шарлатанами, мешающими работать, что приводит к ненужным конфликтам. Поэтому СИБ должна периодически доносить до коллег результаты своей деятельности, рассказывать об актуальных угрозах ИБ, проводить обучения и повышать их осведомленность. Любой сотрудник компании должен чувствовать, что, если у него возникнет проблема, связанная с ИБ, то он может обратиться в СИБ, и ему там помогут.

Практические аспекты обеспечения безопасности

Выделим практические аспекты обеспечения безопасности, которые обязательно должны быть донесены до топ-менеджмента и других структурных подразделений, а также учтены при построении системы защиты информации:

Обеспечение безопасности - это непрерывный бесконечный процесс. Степень защищенности, достигаемая с ее помощью, будет колебаться с течением времени в зависимости от воздействующих вредоносных факторов и усилий, направленных на их нейтрализацию.
Безопасность невозможно обеспечить постфактум, то есть в тот момент, когда угроза уже реализовалась. Чтобы нейтрализовать угрозу, процесс обеспечения безопасности должен начаться до попытки ее реализации.
Большая часть угроз имеет антропогенный характер, то есть организации тем или иным образом угрожают люди. Как говорят компьютерные криминалисты: «Воруют не программы, воруют люди».
В нейтрализации угроз должны участвовать люди, чья безопасность обеспечивается,
будь это собственники бизнеса или клиенты.
Безопасность - это производная от корпоративной культуры. Дисциплина, требуемая для реализации защитных мер, не может быть выше общей дисциплины при работе организации.

Подводя промежуточный итог под вышесказанным, отметим, что создаваемая система ИБ безналичных платежей должна иметь практическую направленность и быть экономически эффективной. Лучшим подспорьем в достижении указанных свойств является применение риск-ориентированного подхода.

Управление рисками (risk management)

Информационная безопасность - это всего лишь одно из направлений обеспечения безопасности (экономическая безопасность, физическая безопасность, пожарная безопасность, …). Помимо угроз информационной безопасности, любая организация подвержена другим, не менее важным угрозам, например, угрозам краж, пожаров, мошенничества со стороны недобросовестных клиентов, угрозам нарушения обязательных требований (compliance) и т. д.

В конечном счете для организации все равно, от какой конкретно угрозы она понесет потери, будь то кража, пожар или компьютерный взлом. Важен размер потерь (ущерб).

Кроме размера ущерба, важным фактором оценки угроз является вероятность из реализации, которая зависит от особенностей бизнес-процессов организации, ее инфраструктуры, внешних вредоносных факторов и принимаемых контрмер.

Характеристика, учитывающая ущерб и вероятность реализации угрозы, называется риском.
Примечание. Научное определение риска можно получить в ГОСТ Р 51897-2011

Риск может быть измерен как количественно, например, путем умножения ущерба на вероятность, так и качественно. Качественная оценка проводится, когда ни ущерб, ни вероятность количественно не определены. Риск в этом случае может быть выражен как совокупность значений, например, ущерб - «средний», вероятность - «высокая».

Оценка всех угроз как рисков позволяет организации эффективным образом использовать имеющиеся у нее ресурсы на нейтрализацию именно тех угроз, которые для нее наиболее значимы и опасны.

Управление рисками является основным подходом к построению комплексной экономически эффективной системы безопасности организации. Более того, почти все банковские нормативные документы построены на базе рекомендаций по управлению рисками Базельского комитета по банковскому надзору .

Основные угрозы и оценка потенциального ущерба от их реализации

Выделим основные угрозы, присущие деятельности по осуществлению банковских безналичных платежей, и определим максимальный возможный ущерб от их реализации.

Таблица 2.

Здесь в состав анализируемой деятельности входит совокупность бизнес-процессов:

реализация корреспондентских отношений с банками-партнерами и ЦБ РФ;
проведение расчетов с клиентами.

В дальнейшем мы будем рассматривать только вопросы обеспечения безопасности корреспондентских отношений с Банком России. Тем не менее, полученные наработки могут быть использованы для обеспечения безопасности и других видов расчетов.

Обязательные требования к системе ИБ безналичных платежей

При рассмотрении основных угроз мы оценили их ущерб, но не оценили вероятность их реализации. Дело в том, что если максимально возможный ущерб будет одинаковым для любых банков, то вероятность реализации угроз будет отличаться от банка к банку и зависеть от применяемых защитных мер.

Одними из основных мер по снижению вероятности реализации угроз информационной безопасности будут:

внедрение передовых практик по управлению IT и инфраструктурой;
создание комплексной системы защиты информации.

Про IT практики здесь мы говорить не будем, затронем только вопросы обеспечения информационной безопасности.

Основным нюансом, который необходимо учитывать в вопросах обеспечения информационной безопасности, является то, что данный вид деятельности довольно жестко регулируется со стороны государства и Центрального Банка. Как бы не оценивались риски, как бы не малы были те ресурсы, которыми располагает банк, его защита должна удовлетворять установленным требованиям. В противном случае он не сможет работать.

Рассмотрим требования по организации защиты информации, налагаемые на бизнес-процесс корреспондентских отношений с Банком России.

Таблица 3.

Документы, устанавливающие требования	Наказание за невыполнение
Защита персональных данных. Основание – в платежных документах есть персональные данные (Ф.И.О. плательщика / получателя, его адрес, реквизиты документа, удостоверяющего личность)
Федеральный закон «О персональных данных» от 27.07.2006 № 152-ФЗ	, – до 75 тыс. руб. штраф., – до 2 лет лишения свободы
Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»
Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» (Зарегистрировано в Минюсте России 14.05.2013 N 28375)
Приказ ФСБ России от 10.07.2014 № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности» (Зарегистрировано в Минюсте России 18.08.2014 N 33620)
Указание Банка России от 10 декабря 2015 г. № 3889-У «Об определении угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных”
Обеспечение защиты информации в национальной платежной системе. Основание – кредитная организация, выполняющая переводы денежных средств, является частью национальной платежной системы.
Федеральный закон «О национальной платежной системе» от 27.06.2011 № 161-ФЗ	п.6 ст. 20 Федерального закона от 02.12.1990 № 395-1 «О банках и банковской деятельности» – отзыв лицензии
Постановление Правительства РФ от 13.06.2012 № 584 «Об утверждении Положения о защите информации в платежной системе»
Положение Банка России от 9 июня 2012 г. N 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств»
Положение Банка России от 24 августа 2016 г. № 552-П «О требованиях к защите информации в платежной системе Банка России»
Эксплуатационная документация на СКЗИ СКАД Сигнатура
Обеспечение безопасности критической информационной инфраструктуры Российской Федерации. Основание – банк в силу п.8 ст. 2 ФЗ от 26.07.2017 № 187-ФЗ является субъектом критической информационной инфраструктуры
Федеральный закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»	– до 8 лет лишения свободы
Постановление Правительства РФ от 08.02.2018 N 127 »Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений"
Приказ ФСТЭК России от 21.12.2017 N 235 «Об утверждении Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования» (Зарегистрировано в Минюсте России 22.02.2018 N 50118)
Приказ ФСТЭК России от 06.12.2017 N 227 «Об утверждении Порядка ведения реестра значимых объектов критической информационной инфраструктуры Российской Федерации» (Зарегистрировано в Минюсте России 08.02.2018 N 49966)
Указ Президента РФ от 22.12.2017 N 620 «О совершенствовании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации»
Требования по защите информации, установленные договором об обмене электронными сообщениями при переводе денежных средств в рамках платежной системы Банка России. Основание – данный договор заключают все кредитные организации для электронного обмена платежными документами с Банком России.
Типовой договор обмена ЭС с приложениями. Документация на АРМ КБР, УТА (требования их использовании отражены в п.1. Приложения 3 к Договору)	п. 9.5.4 Договора – одностороннее расторжение договора по инициативе Банка России.

Обозначим также дополнительные требования к организации защиты информации. Данные требования будут распространяться лишь на некоторые банки и лишь в некоторых случаях:

Таблица 4.

Как мы видим, требования АВЗ.1 и АВЗ.2 говорят о том, что антивирусная защита должна быть. То, как конкретно ее настраивать, на каких узлах сети устанавливать, эти требования не регламентируют (Письмо Банка России от 24.03.2014 N 49-Т рекомендует банкам иметь на АРМах, на серверах и на шлюзах антивирусы различных производителей).

Аналогичным образом обстоят дела и с сегментацией вычислительной сети – требование ЗИС.17 . Документ только предписывает необходимость использования этой практики для защиты, но не говорит, как организация должна это делать.

То, как конкретно настраиваются средства защиты информации, и реализуются защитные механизмы, узнают из частного технического задания на систему защиты информации, сформированного по результатам моделирования угроз информационной безопасности. Добавить метки

Банковская деятельность всегда была связана с обработкой и хранением большого количества конфиденциальных данных. В первую очередь это персональные данные о клиентах, об их вкладах и обо всех осуществляемых операциях.

Вся коммерческая информация, хранящаяся и обрабатываемая в кредитных организациях, подвергается самым разнообразным рискам, связанным с вирусами, выходом из строя аппаратного обеспечения, сбоями операционных систем и т.п. Но эти проблемы не способны нанести сколько-нибудь серьезный ущерб. Ежедневное резервное копирование данных, без которого немыслима работа информационной системы любого предприятия, сводит риск безвозвратной утери информации к минимуму. Кроме того, хорошо разработаны и широко известны способы защиты от перечисленных угроз. Поэтому на первый план выходят риски, связанные с несанкционированным доступом к конфиденциальной информации (НСД).

Несанкционированный доступ - это реальность

На сегодняшний день наиболее распространены три способа воровства конфиденциальной информации. Во-первых, физический доступ к местам ее хранения и обработки. Здесь существует множество вариантов. Например, злоумышленники могут забраться в офис банка ночью и украсть жесткие диски со всеми базами данных. Возможен даже вооруженный налет, целью которого являются не деньги, а информация. Не исключена ситуация, когда сам сотрудник банка может вынести носитель информации за пределы территории.

Во-вторых, использование резервных копий. В большинстве банков системы резервирования важных данных основаны на стримерах. Они записывают создаваемые копии на магнитные ленты, которые потом хранятся в отдельном месте. Доступ к ним регламентируется гораздо более мягко. При их транспортировке и хранении относительно большое количество человек может снять с них копии. Риски, связанные с резервным копированием конфиденциальных данных, нельзя недооценивать. Например, большинство экспертов уверено, что появившиеся в продаже в 2005 году базы данных проводок Центрального Банка РФ были украдены именно благодаря снятым с магнитных лент копиям. В мировой практике известно немало подобных инцидентов. В частности, в сентябре прошлого года сотрудники компании Chase Card Services (подразделение JPMorgan Chase & Co.), поставщика кредитных карт, по ошибке выкинули пять магнитных лент с резервными копиями, содержащими информацию о 2,6 млн. владельцев кредитных счетов Circuit City.

В-третьих, наиболее вероятный способ утечки конфиденциальной информации - несанкционированный доступ сотрудниками банка. При использовании для разделения прав только стандартных средств операционных систем у пользователей нередко существует возможность опосредованно (с помощью определенного ПО) целиком скопировать базы данных, с которыми они работают, и вынести их за пределы компании. Иногда сотрудники делают это без всякого злого умысла, просто чтобы поработать с информацией дома. Однако такие действия являются серьезнейшим нарушением политики безопасности и они могут стать (и становятся!) причиной огласки конфиденциальных данных.

Кроме того, в любом банке есть группа людей, обладающих в локальной сети повышенными привилегиями. Речь идет о системных администраторах. С одной стороны, это необходимо им для выполнения служебных обязанностей. Но, с другой стороны, у них появляется возможность получить доступ к любой информации и «замести следы».

Таким образом, система защиты банковской информации от несанкционированного доступа должна состоять как минимум из трех подсистем, каждая из которых обеспечивает защиту от своего вида угроз. Это подсистема защиты от физического доступа к данным, подсистема обеспечения безопасности резервных копий и подсистема защиты от инсайдеров. И желательно не пренебрегать ни одной из них, поскольку каждая угроза может стать причиной разглашения конфиденциальных данных.

Банкам закон не писан?

В настоящее время деятельность банков регламентируется федеральным законом «О банках и банковской деятельности». В нем, помимо всего прочего, вводится понятие «банковская тайна». Согласно ему любая кредитная организация обязана обеспечивать конфиденциальность всех данных о вкладах клиентов. За их разглашение она несет ответственность, включая возмещение причиненного утечкой информации ущерба. При этом никаких требований к безопасности банковских информационных систем не предъявляется. Это значит, что все решения по защите коммерческих данных банки принимают самостоятельно, основываясь на опыте своих специалистов или сторонних компаний (например, осуществляющих аудит информационной безопасности). Единственной рекомендацией является стандарт ЦБ РФ «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения». Впервые он появился в 2004 году, а в 2006 был принят новый его вариант. При создании и доработке этого ведомственного документа использовались действующие российские и международные стандарты в области информационной безопасности.

ЦБ РФ может только рекомендовать его другим банкам, но не может настаивать на обязательном внедрении. Кроме того, в стандарте мало четких требований, определяющих выбор конкретных продуктов. Он, безусловно, важен, но в данный момент не имеет серьезного практического значения. Например, про сертифицированные продукты в нем сказано так: «...могут использоваться сертифицированные или разрешенные к применению средства защиты информации от НСД». Соответствующий список отсутствует.

Перечислены в стандарте и требования к криптографическим средствам защиты информации в банках. И вот здесь уже есть более-менее четкое определение: «СКЗИ... должны быть реализованы на основе алгоритмов, соответствующих национальным стандартам РФ, условиям договора с контрагентом и(или) стандартам организации». Подтвердить соответствие криптографического модуля ГОСТ 28147-89 можно путем сертификации. Поэтому при использовании в банке систем шифрования желательно применять сертифицированные ФСБ РФ программные или аппаратные криптопровайдеры, то есть внешние модули, подключающиеся к программному обеспечению и реализующие сам процесс шифрования.

В июле прошлого года был принят федеральный закон Российской Федерации «О персональных данных», который вступил в действие 1 января 2007 года. Некоторые эксперты связывали с ним появление более определенных требований к банковским системами защиты, поскольку банки относятся к организациям, обрабатывающим персональные данные. Однако сам закон, безусловно очень важный в целом, на сегодняшний день не применим на практике. Проблема заключается в отсутствии стандартов защиты приватных данных и органов, которые могли бы контролировать их исполнение. То есть получается, что в настоящее время банки свободны в выборе систем защиты коммерческой информации.

Защита от физического доступа

Банки традиционно уделяют очень большое внимание физической безопасности операционных отделений, отделений хранения ценностей и т.п. Все это снижает риск несанкционированного доступа к коммерческой информации путем физического доступа. Однако офисы банков и технические помещения, в которых размещаются серверы, по степени защиты обычно не отличаются от офисов других компаний. Поэтому для минимизации описанных рисков необходимо использовать систему криптографической защиты.

Сегодня на рынке имеется большое количество утилит, осуществляющих шифрование данных. Однако особенности их обработки в банках предъявляют к соответствующему ПО дополнительные требования. Во-первых, в системе криптографической защиты должен быть реализован принцип прозрачного шифрования. При его использовании данные в основном хранилище всегда находятся только в закодированном виде. Кроме того, эта технология позволяет минимизировать затраты на регулярную работу с данными. Их не нужно каждый день расшифровывать и зашифровывать. Доступ к информации осуществляется с помощью специального ПО, установленного на сервере. Оно автоматически расшифровывает информацию при обращении к ней и зашифровывает перед записью на жесткий диск. Эти операции осуществляются прямо в оперативной памяти сервера.

Во-вторых, банковские базы данных очень объемны. Таким образом, криптографическая система защиты информации должна работать не с виртуальными, а с реальными разделами винчестеров, RAID-массивами и прочими серверными носителями информации, например, с хранилищами SAN. Дело в том, что файлы-контейнеры, которые могут подключаться к системе в качестве виртуальных дисков, не предназначены для работы с большими объемами данных. В том случае, когда виртуальный диск, созданный из такого файла, имеет большой размер, при обращении к нему одновременно даже нескольких человек можно наблюдать значительное уменьшение скорости чтения и записи информации. Работа же нескольких десятков человек с файлом-контейнером большого объема может превратиться в сущее мучение. Кроме того, нужно учитывать, что эти объекты подвержены риску повреждения из-за вирусов, сбоев файловой системы и т.д. Ведь, по сути, они представляют собой обычные файлы, но довольно большого размера. И даже небольшое их изменение может привести к невозможности декодирования всей содержащейся в нем информации. Оба этих обязательных требования существенно сужают круг подходящих для реализации защиты продуктов. Фактически сегодня на российском рынке имеется лишь несколько таких систем.

Подробно рассматривать технические особенности серверных систем криптографической защиты информации нет необходимости, поскольку в одном из прошлых номеров мы уже сравнивали эти продукты. (Столяров Н., Давлетханов М. UTM-защита. ) Но стоит отметить некоторые особенности таких систем, наличие которых желательно для банков. Первая связана с уже упомянутой сертификацией используемого криптографического модуля. Соответствующее программное или аппаратное обеспечение уже есть в большинстве банков. Поэтому система серверной защиты информации должна предусматривать возможность их подключения и использования. Вторым особым требованием к системе защиты информации является возможность интеграции в систему физической безопасности офиса и/или серверной комнаты. Это позволяет защитить информацию от несанкционированного доступа, связанного с кражей, взломом и т.п.

Особое внимание в банках должно уделяться сохранности информации, поскольку она фактически является деньгами клиентов. Поэтому в системе защиты должны быть предусмотрены специальные возможности, минимизирующие риск ее утери. Одной из самых заметных является функция определения испорченных секторов на жестком диске. Кроме того, большую важность имеет возможность приостановки и отмены процессов первоначального зашифровывания диска, его расшифровывания и перешифровывания. Это довольно длительные процедуры, любой сбой во время которых грозит полной потерей всех данных.

Очень большое влияние на риски, связанные с несанкционированным доступом к конфиденциальной информации, имеет человеческий фактор. Поэтому желательно, чтобы система защиты предусматривала возможность уменьшения такой взаимосвязи. Достигается это путем использования надежных средств хранения ключей шифрования - смарт-карт или USB-ключей. Оптимальным является вхождение этих токенов в состав продукта, оно позволяет не только оптимизировать затраты, но и обеспечивает полную совместимость программного и аппаратного обеспечения.

Другой важной функцией, позволяющей минимизировать влияние человеческого фактора на надежность системы защиты, является кворум ключей. Суть его заключается в разделении ключа шифрования на несколько частей, каждая из которых отдается в пользование одному ответственному сотруднику. Для подключения закрытого диска требуется наличие заданного количества частей. Причем оно может быть меньше общего числа частей ключа. Такой подход позволяет обезопасить данные от нецелевого использования ответственными сотрудниками, а также обеспечивает необходимую для работы банка гибкость.

Защита резервных копий

Регулярное резервирование всей хранящейся в банке информации - абсолютно необходимая мера. Она позволяет существенно снизить убытки в случае возникновения таких проблем, как порча данных вирусами, выход из строя аппаратного обеспечения и т.п. Но в то же время она усиливает риски, связанные с несанкционированным доступом. Практика показывает, что носители, на которые записываются резервные копии, должны храниться не в серверной комнате, а в другом помещении или даже здании. В противном случае при возникновении пожара или другого серьезного инцидента безвозвратно утерянными могут оказаться как сами данные, так и их архивы. Надежно защитить резервные копии от несанкционированного использования можно только с помощью криптографии. В этом случае, храня ключ шифрования у себя, офицер безопасности может спокойно передавать носители с архивами техническому персоналу.

Основная сложность в организации криптографической защиты резервных копий заключается в необходимости разделения обязанностей по управлению архивированием данных. Настраивать и осуществлять сам процесс резервного копирования должен системный администратор или другой технический сотрудник. Управлять же шифрованием информации должен ответственный сотрудник - офицер безопасности. При этом необходимо понимать, что резервирование в подавляющем большинстве случаев осуществляется в автоматическом режиме. Решить эту проблему можно только путем «встраивания» системы криптографической защиты между системой управления резервным копированием и устройствами, которые осуществляют запись данных (стримеры, DVD-приводы и т.п.).

Таким образом, криптографические продукты для возможности их применения в банках должны также иметь возможность работы с различными устройствами, использующимися для записи резервных копий на носители информации: стримерами, CD- и DVD-приводами, съемными жесткими дисками и т.п.

На сегодня существуют три типа продуктов, призванных минимизировать риски, связанные с несанкционированным доступом к резервным копиям. К первому относятся специальные устройства. Такие аппаратные решения имеют множество преимуществ, в том числе и надежное шифрование информации, и высокая скорость работы. Однако они обладают тремя существенными недостатками, которые не позволяют использовать их в банках. Первый: очень высокая стоимость (десятки тысяч долларов). Второй: возможные проблемы c ввозом в Россию (нельзя забывать, что мы говорим о криптографических средствах). Третий минус заключается в невозможности подключить к ним внешние сертифицированные криптопровайдеры. Эти платы работают только с реализованными в них на аппаратном уровне алгоритмами шифрования.

Вторую группу систем защиты криптографической защиты резервных копий составляют модули, которые предлагают своим клиентам разработчики программного и аппаратного обеспечения для резервного копирования. Существуют они для всех наиболее известных в данной области продуктов: ArcServe, Veritas Backup Exec и др. Правда, и у них есть свои особенности. Самая главная - это работа только со «своим» ПО или накопителем. Между тем информационная система банка постоянно развивается. И возможна ситуация, когда замена или расширение системы резервного копирования может потребовать дополнительных затрат на модификацию системы защиты. Кроме того, в большинстве продуктов этой группы реализованы старые медленные алгоритмы шифрования (например, 3DES), нет средств управления ключами, отсутствует возможность подключения внешних криптопровайдеров.

Все это заставляет обратить самое пристальное внимание на системы криптографической защиты резервных копий из третьей группы. К ней относятся специально разработанные программные, программно-аппаратные и аппаратные продукты, не привязанные к конкретным системам архивирования данных. Они поддерживают широкий спектр устройств записи информации, что позволяет применять их во всем банке, включая и все его филиалы. Это обеспечивает единообразие используемых средств защиты и минимизацию эксплуатационных затрат.

Правда, стоит отметить, что, несмотря на все их преимущества, на рынке представлено совсем немного продуктов из третьей группы. Это объясняется, скорее всего, отсутствием большого спроса на системы криптографической защиты резервных копий. Как только руководство банков и прочих крупных организаций осознает реальность рисков, связанных с архивированием коммерческой информации, число игроков на этом рынке вырастет.

Защита от инсайдеров

Последние исследования в области информационной безопасности, например ежегодное CSI/FBI Computer Crime And Security Survey, показало, что финансовые потери компаний от большинства угроз год от года снижаются. Однако есть несколько рисков, убытки от которых растут. Одно из них - намеренное воровство конфиденциальной информации или же нарушение правил обращения с ней теми сотрудниками, доступ которых к коммерческим данным необходим для выполнения служебных обязанностей. Их называют инсайдерами.

В подавляющем большинстве случаев воровство конфиденциальной информации осуществляется с помощью мобильных носителей: CD и DVD-дисков, ZIP-устройств и, самое главное, всевозможных USB-накопителей. Именно их массовое распространение и привело к расцвету инсайдерства по всему миру. Руководители большинства банков прекрасно понимают, чем может грозить, например, попадание базы данных с персональными данными их клиентов или, тем более, проводками по их счетам в руки криминальных структур. И они пытаются бороться с вероятным воровством информации доступными им организационными методами.

Однако организационные методы в данном случае неэффективны. Сегодня можно организовать перенос информации между компьютерами с помощью миниатюрной флэшки, сотового телефона, mp3-плеера, цифрового фотоаппарата... Конечно, можно попробовать запретить проносить на территорию офиса все эти устройства, однако это, во-первых, негативно скажется на отношениях с сотрудниками, а во-вторых, наладить реально действенный контроль над людьми все равно очень сложно - банк не «почтовый ящик». И даже отключение на компьютерах всех устройств, которые могут использоваться для записи информации на внешние носители (FDD и ZIP-диски, CD и DVD-приводы и т.п.), и USB-портов не поможет. Ведь первые нужны для работы, а ко вторым подключается различная периферия: принтеры, сканеры и т.п. И никто не может помешать человеку отключить на минуту принтер, вставить в освободившийся порт флэш-диск и скопировать на него важную информацию. Можно, конечно, найти оригинальные способы защиты. Например, в одном банке попробовали такой метод решения проблемы: залили место соединения USB-порта и кабеля эпоксидной смолой, намертво «привязав» последний к компьютеру. Но, к счастью, сегодня существуют более современные, надежные и гибкие способы контроля.

Самым эффективным средством минимизации рисков, связанных с инсайдерами, является специальное программное обеспечение, осуществляющее динамическое управление всеми устройствами и портами компьютера, которые могут использоваться для копирования информации. Принцип их работы таков. Для каждой группы пользователей или для каждого пользователя в отдельности задаются разрешения на использование различных портов и устройств. Самое большое преимущество такого ПО - гибкость. Вводить ограничения можно для конкретных типов устройств, их моделей и отдельных экземпляров. Это позволяет реализовывать очень сложные политики распределения прав доступа.

Например, некоторым сотрудникам можно разрешить использовать любые принтеры и сканеры, подключенные к USB-портам. Все же остальные устройства, вставленные в этот порт, останутся недоступными. Если же в банке применяется система аутентификации пользователей, основанная на токенах, то в настройках можно указать используемую модель ключей. Тогда пользователям будет разрешено использовать только приобретенные компанией устройства, а все остальные окажутся бесполезными.

Исходя из описанного выше принципа работы систем защиты, можно понять, какие моменты важны при выборе программ, реализующих динамическое блокирование устройств записи и портов компьютера. Во-первых, это универсальность. Система защиты должна охватывать весь спектр возможных портов и устройств ввода-вывода информации. Иначе риск кражи коммерческой информации остается недопустимо высоким. Во-вторых, рассматриваемое ПО должно быть гибким и позволять создавать правила с использованием большого количество разнообразной информации об устройствах: их типов, производителей моделей, уникальных номеров, которые есть у каждого экземпляра и т.п. Ну и, в-третьих, система защиты от инсайдеров должна иметь возможность интеграции с информационной системой банка, в частности с Active Directory. В противном случае администратору или офицеру безопасности придется вести по две базы пользователей и компьютеров, что не только неудобно, но и увеличивает риски возникновения ошибок.

Подводим итоги

Итак, сегодня на рынке есть продукты, с помощью которых любой банк может организовать надежную систему защиты информации от несанкционированного доступа и нецелевого использования. Правда, при их выборе нужно быть очень осмотрительным. В идеале этим должны заниматься собственные специалисты соответствующего уровня. Допускается использование услуг посторонних компаний. Однако в этом случае возможна ситуация, когда банку будет искусно навязано не адекватное программное обеспечение, а то, которое выгодно фирме-поставщику. Кроме того, отечественный рынок консалтинга в области информационной безопасности находится в зачаточном состоянии.

Между тем сделать правильный выбор совсем несложно. Достаточно вооружиться перечисленными нами критериями и внимательно изучить рынок систем безопасности. Но здесь есть «подводный камень», о котором необходимо помнить. В идеальном случае система информационной безопасности банка должна быть единой. То есть все подсистемы должны интегрироваться в существующую информационную систему и, желательно, иметь общее управление. В противном случае неминуемы повышенные трудозатраты на администрирование защиты и увеличение рисков из-за ошибок в управлении. Поэтому для построения всех трех описанных сегодня подсистем защиты лучше выбирать продукты, выпущенные одним разработчиком. Сегодня в России есть компании, которые создают все необходимое для защиты банковской информации от несанкционированного доступа.