Монографии

banner opt

Управление защитой информации как условие обеспечения экономической безопасности коммерческого банка

There is no translation available.

Банк, как и любая иная организация, подвержен угрозам, приводящим к снижению его информационной безопасности. Если ценность информации теряется при ее распространении, то существует угроза нарушения конфи­денциальности информации. Если ценность информации меняется при изме­нении или уничтожении информации, то существует угроза целостности ин­формации. Если ценность информации состоит в ее оперативном использова­нии, то говорят, что существует угроза доступности информации.

Реализация угроз является следствием одного из следующих действий: разглашение конфиденциальной информации (КИ), утечка конфиденциаль­ной информации и несанкционированный доступ к защищаемой информа­ции (рис. 2.1.)

В случае разглашения или утечки информации речь идет о строго конфи­денциальной информации. Несанкционированный доступ возможен к любой, в том числе и к открытой информации при реализации угроз целостности или доступности.

При разглашении и утечке конфиденциальной информации происходит нарушение конфиденциальности. В первом случае нарушение вызывается неправомерными действиями санкционированного пользователя информации. Во втором (утечка конфиденциальной информации) вызвана следствием раз­личных физических процессов и явлений.

Действия и события, влияющие на информационную безопасность

Рис. 2.1. Действия и события, влияющие на информационную безопасность

Несанкционированный доступ к защищаемой информации представля­ет собой неправомерные действия злоумышленников, имеющие целью на­рушение информационной безопасности. Несанкционированный доступ может повлечь не только ознакомление с конфиденциальной информацией, но и нарушить целостность (изменить или уничтожить) и доступность ин­формации. При этом злоумышленником может быть как постороннее лицо, так и сотрудник банка. В основном несанкционированный доступ осуще­ствляется как на основе утечки, так и на основе разглашения конфиденци­альной информации. Редко это становится возможным вследствие преодо­ления «рубежей» защиты.

Анализ основных факторов информационной безопасности. На со­стояние информационной безопасности банков оказывает воздействие со­вокупность как позитивных, так и негативных факторов. Среди позитивных факторов наибольшим является действующее законодательство. Однако, не­смотря на наличие устойчивых тенденций формирования эффективного пра­вового поля обеспечение информационной безопасности, существует мно­жество нерешенных проблем. Прежде всего, это отсутствие общей (единой) государственной политики в области обеспечения и поддержания информа­ционной безопасности банковской системы в целом и банков как элементов этой системы.

Кредитные организации в своей работе интенсивно используют компью­терные технологии для обработки и передачи информации, компьютерные системы банков работают в корпоративных и глобальных компьютерных се­тях, сетевые технологии все шире используются для обмена информацией и электронными платежными документами. Ни для кого не будет открытием, что при современных условиях работы банковские организации не в состоя­нии выполнять свои функции без применения современных средств автома­тизации и телекоммуникационных технологий. В связи с этим, кредитными организациями уделяется достаточно внимания развитию компьютерных и коммуникационных систем. Согласно статистическим данным, в настоящее время 60% средств, поступающих в виде инвестиций, идут на покупку компь­ютерного оборудования и программного обеспечения; остальные — на услу­ги по разработке и интеграции электронных систем, на обучение персонала.

Широкое использование компьютерных технологий в деятельности кре­дитных организаций создает утверждение за электронной информацией ста­туса материального ресурса, так как случайное или преднамеренное измене­ние электронной информации влечет за собой банковские риски. В связи с этим кредитные организации должны уделять достаточное внимание вопро­сам обеспечения информационной безопасности.

Политика информационной безопасности коммерческого банка должна представляет собой совокупность аппаратных, программных, организацион­ных, административных, юридических, физических мер, методов, средств, правил и инструкций, регламентирующих все основные аспекты деятельнос­ти, включая информационную систему, обеспечивающую ее (их) безопасность.

Под информационной безопасностью понимается состояние информации, информационных ресурсов и информационных систем, при котором с требу­емой вероятностью обеспечивается защита данных от утечки, хищения, утра­ты, несанкционированного уничтожения, искажения, модификации (поддел­ки), копирования, блокирования и т. п. То есть состояние информационной технологии, определяющее защищенность информации и ресурсов от дей­ствия объективных и субъективных, внешних и внутренних, случайных и пред­намеренных угроз, а также способность службы внутренней и информацион­ной безопасности выполнять предписанные им функции без нанесения не­приемлемого ущерба субъектам информационных отношений.

В соответствии со ст. 20 ФЗ «О информации, информатизации и защите информации» [1] целями защиты информации является: предотвращение утеч­ки, хищения, утраты, искажения, подделки информации предотвращение не­санкционированных действий по уничтожению, модификации, искажению копированию, блокированию информации предотвращение других форм не­законного вмешательства в информационные ресурсы и информационные системы коммерческих банков.

Главная цель любой системы информационной безопасности заключается в обеспечении устойчивого функционирования объекта: предотвращении уг­роз его безопасности, защите законных интересов владельца информации от противоправных посягательств, в том числе уголовно наказуемых деяний в рас­сматриваемой сфере отношений, предусмотренных Уголовным кодексом [6], обеспечении нормальной деятельности всех подразделений коммерческого бан­ка. Другая задача сводится к повышению качества предоставляемых услуг и гарантий безопасности, имущественных прав и интересов клиентов. Для этого необходимо:

- отнести информацию к категории ограниченного доступа (служебной тайне);

- прогнозировать и своевременно выявлять угрозы безопасности инфор­мационным ресурсам, причины и условия, способствующие нанесе­нию финансового, материального и морального ущерба, нарушению его нормального функционирования и развития;

- создать условия функционирования с наименьшей вероятностью реа­лизации угроз безопасности информационным ресурсам и нанесения различных видов ущерба;

- создать механизм и условия оперативного реагирования на угрозы ин­формационной безопасности и проявления негативных тенденций в функционировании, эффективное пресечение посягательств на ресур­сы на основе правовых, организационных и технических мер и средств обеспечения безопасности;

- создать условия для максимально возможного возмещения и локализа­ции ущерба, наносимого неправомерными действиями физических и юридических лиц, и тем самым ослабить возможное негативное влия­ние последствий нарушения информационной безопасности.

Таким образом, основной целью информационной политики любого ком­мерческого банка должно являться обеспечение бесперебойной работы банка и минимизации ущерба от событий, таящих в себе угрозу безопасности, по­средством их предотвращения и сведение к минимуму их последствий.

Областью применения политики информационной безопасности должна являть­ся вся совокупность базнес-процессов банка, связанная с получением, хранени­ем, анализом и обменом информацией как внутри банка, так и за его приделами.

До сих пор ощущается дефицит документов Банка России, регламентиру­ющих порядок организации в коммерческих банках и их филиалах комплекса организационных и технических мероприятий по обеспечению информацион­ной безопасности. Вопрос информационной безопасности затрагивается в двух нормативных документах Банка России: Положении Банка России от 5.12.2002 № 205-П (Раздел 3, часть III) [2] и Положении Банка России от 16.12.2003 № 242-П (п. п. 3.4.3, 3.5, 3.7, 4.4.3) [3]; а также в указании оперативного харак­тера Банка России от 7.05.2003 № 70-Т [4].

В настоящее время существует международный стандарт управления информационной безопасностью ISO17799 [5], разработанный и принятый в 2000 г. международным институтом стандартов (ISO). В России стандарт ISO17799 не имеет статус государственного стандарта, однако, учитывая то, что Россия стремится стать членом Всемирной торговой организации (ВТО) и с 2004 г. введены Международные стандарты финансовой отчетности (МФСО), он может использоваться в качестве основного критерия для оцен­ки механизмов безопасности организационного уровня, включая админист­ративные, процедурные и физические меры защиты. Кроме того, по инициа­тиве Гостехкомиссии России проводится активная работа по гармонизации российских и международных стандартов информационной безопасности; в частности, на основе адаптации международного стандарта ISO15408 [7], определяющего общие критерии оценки безопасности информационных тех­нологий, предложен отечественный ГОСТ/ИСО 15408-х-2002.

Стандарт ISO17799 содержит практические правила по управлению ин­формационной безопасностью. Преимуществом данного стандарта является простота его применения и адаптации на практике. Кроме того, стандарт не зависит от конкретных технических средств и решений, что, с одной сторо­ны, не показывает, как реализовывать защиту того или иного элемента, но с другой — обеспечивает свободу выбора платформ, оборудования, произво­дителей и т. п. В России ISO17799 может применяться достаточно широко, так как несет в себе информацию о комплексном подходе к обеспечению за­щиты информации.

ISO17799 включает в себя десять основных разделов:

1. Политика безопасности.

2. Организационные меры по обеспечению безопасности.

- Управление форумами по информационной безопасности.

- Координация вопросов, связанных с информационной безопасностью.

- Распределение ответственности за обеспечение безопасности.

3. Классификация и управление ресурсами.

- Инвентаризация ресурсов.

- Классификация ресурсов.

4. Безопасность персонала.

- Безопасность при выборе и работе с персоналом.

- Тренинги персонала по вопросам безопасности.

- Реагирование на инциденты и неисправности.

5. Физическая безопасность.

6. Управление коммуникациями и процессами.

- Рабочие процедуры и ответственность.

- Системное планирование.

- Защита от злонамеренного программного обеспечения.

- Управление внутренними ресурсами.

- Управление сетями.

- Безопасность носителей данных.

- Передача информации и программного обеспечения.

7. Контроль доступа.

- Бизнес требования для контроля доступа.

- Управление доступом пользователя.

- Ответственность пользователей.

- Контроль и управление удаленного (сетевого) доступа.

- Контроль доступа в операционную систему.

- Контроль и управление доступом к приложениям.

- Мониторинг доступа и использования систем.

- Мобильные пользователи.

8. Разработка и техническая поддержка вычислительных систем.

- Требования по безопасности систем.

- Безопасность приложений.

- Криптография.

- Безопасность системных файлов.

- Безопасность процессов разработки и поддержки.

9. Управление непрерывностью бизнеса.

- Процесс управления непрерывного ведения бизнеса.

- Непрерывность бизнеса и анализ воздействий.

- Создание и внедрение плана непрерывного ведения бизнеса.

- Тестирование, обеспечение и переоценка плана непрерывного ведения бизнеса.

10. Соответствие системы основным требованиям.

- Соответствие требованиям законодательства.

- Анализ соответствия политики безопасности.

- Анализ соответствия техническим требованиям.

- Анализ соответствия требованиям системного аудита.

К недостаткам стандарта можно отнести поверхностное освещение мате­риала, который позволяет только обозначить области информационной безо­пасности, не конкретизируя их.

Стандарт ISO 15408 наиболее полно представляет критерии для оценки механизмов безопасности программно-технического уровня. В нем выделе­ны 11 классов функций системы информационной безопасности: аудит; иден­тификация и аутентификация; криптографическая защита; конфиденциаль­ность; передача данных; защита пользовательских данных; управление безо­пасностью; защита функций безопасности системы; использование ресурсов; доступ к системе; надежность средств. Все функции представлены в виде че­тырехуровневой иерархической структуры: класс; семейство; компонент; эле­мент. По аналогии представлены требования качества. Подобная градация позволяет описать любую систему информационной безопасности и сопоста­вить созданную модель с текущим положением дел.

В ISO 15408 содержится ряд предопределенных моделей (профилей), опи­сывающих стандартные модули системы безопасности. С их помощью можно не создавать модели распространенных средств защиты самостоятельно, а пользо­ваться уже готовыми наборами описаний, целей, функций и требований к этим средствам. В мире уже создано и сертифицировано большое количество профи­лей, представляющих собой полное описание определенной части (или функ­ции) системы безопасности. В них содержится анализ внутренней и внешней среды объекта, требования к его функциональности и надежности, логическое обоснование его использования, возможности и ограничения развития объекта.

Вместе с тем, в стандарте определена также и последовательность дей­ствий для самостоятельного создания профилей. Описывающий ту или иную область системы безопасности профиль можно создать самостоятельно с по­мощью разработанной в ISO15408 структуры документа.

При разработке политики информационной безопасности требования стан­дарта могут использоваться в качестве руководства и основных критериев, а так же для анализа уязвимостей средств вычислительной техники и автомати­зированных систем.

Анализ информационных рисков. На данном этапе должно рассматри­ваться, какие работы проводятся кредитной организацией по определению и оценке уровней информационных рисков в собственной информационной сис­теме; определению потенциальных угроз возможного ущерба от их возникно­вения; оценке эффективности существующей практики по обеспечению инфор­мационной безопасности и применяемых мер и средств защиты информации.

При анализе информационных рисков в обязательном порядке необходи­мо обратить внимание на следующие мероприятия:

- оценены ли существующие в информационной системе риски ресур­сов по информации и классу угроз;

- проводилась ли классификация средств вычислительной техники (сер­веров, рабочих станций, мобильных компьютеров), на которых разме­щается ценная информация или осуществляется доступ к ней;

- проводилась ли классификация автоматизированных систем, которы­ми обеспечивается обработка и хранение ценной информации, с точки зрения ее защиты;

- применяется ли разделение информационной системы на максималь­но изолированные друг от друга среды: операционная среда (непо­средственное выполнение операций), тестовая среда, среда разработки;

- существуют ли правила и процедуры переноса информации из одной среды в другую, система разграничения доступа к тестовой среде и контроль за немедленным удалением рабочей информации из тестовой среды сразу после окончания тестов;

- в случае введения в эксплуатацию новых информационных систем (под­систем), существуют ли обязательные требования по их тестированию и проверке на соответствие существующей политики безопасности;

- производилась ли оценка ущерба, который может понести организа­ция в случае реализации одной из классических угроз, направленных на информацию (отказе в обслуживании, нарушении целостности, ут­раты конфиденциальности);

- здесь следует отметить, что анализ информационных рисков является достаточно трудоемким процессом, требует полного владения инфор­мацией об информационной системе проверяемой организации, аппа­ратно-программной базе, применяемых средствах телекоммуникаций и сетевых технологиях;

- вместе с тем, на сегодняшний день одной из серьезных практических и теоретических проблем в ИТ индустрии является недостаточность при­емлемых на практике методик и разработанных на их основе программ­ных продуктов для оценки потенциального ущерба от угроз, направ­ленных на информационные ресурсы, оценки текущих информацион­ных рисков и эффективности применяемых и предлагаемых мер защи­ты. Существующие методики и программные средства слишком пола­гаются как на вероятностные характеристики угроз, так и на общие характеристики систем. При этом они недостаточно учитывают осо­бенности архитектуры информационной системы с точки зрения ин­формационной безопасности, что делает результат их применения не совсем адекватным с точки зрения практики.

Методы оценки рисков. В настоящее время известны различные мето­ды, построенные на использовании матриц (или таблиц). Ниже приведены некоторые из этих методов.

Табличные методы, учитывающие только стоимостные характеристики ресурсов.

В методах данного типа показатели существующих физических ресурсов оцениваются с точки зрения стоимости их замены или восстановления работос­пособности (количественных показателей). Эти стоимостные величины затем преобразуются на основе той же качественной шкалы, которая используется для информационных ресурсов. Существующие или предполагаемые программные ресурсы оцениваются тем же способом, что и физические, на основе определе­ния затрат на их приобретение или восстановление. При этом используется та же шкала, что и для информационных ресурсов. Если обнаружится, что какое-либо прикладное программное обеспечение имеет особенные требования к конфиден­циальности или целостности (например, если исходный текст имеет высокую коммерческую ценность), то оценка этого ресурса производится по той же схеме, что и для информационных ресурсов, то есть в стоимостном выражении.

Оценивание показателей и степени критичности информационных ресурсов производится для наихудшего варианта развития событий. Рассматривается по­тенциальное воздействие на бизнес-процесс при возможном несанкционирован­ном доступе к информации (НСД), изменении информации, отказе от выполне­ния обработки информации, недоступности на различные сроки и потери целос­тности. Процесс получения количественных показателей дополняется методика­ми оценивания информационных ресурсов с учетом таких факторов, как безо­пасность персонала; разглашение частной информации; требования по соблюде­нию законодательных и нормативных положений; ограничения, вытекающие из законодательства; коммерческие и экономические интересы; финансовые поте­ри и нарушения в деятельности; общественные отношения; коммерческая поли­тика и коммерческие операции; потери репутации организации.

Система показателей разрабатывается в бальных шкалах таким образом, чтобы количественные показатели использовались там, где это допустимо и оправдано, а качественные показатели — там, где количественные оценки затруднены (например, при угрозе человеческой жизни).

Следующим этапом является заполнение пар опросных листов: по каж­дому из типов угроз и по группе ресурсов, связанным с данной угрозой, с последующим оцениванием уровней угроз (вероятностями их реализации) и уровней уязвимостей (легкости, с которой реализованная угроза способна привести к негативному воздействию), с произведением оценки в качествен­ных шкалах (например, по шкале «высокий-низкий»).

Матрица, сравнивающая уровни рисков, соответствующих показателям (ценности) ресурсов; показателям угроз и уязвимостей, относящихся к каж­дому типу негативных воздействий для таких типов угроз, как:

- умышленные несанкционированные действия людей;

- непредвиденные случайности;

- ошибки со стороны персонала;

- ошибки программного обеспечения;

- аварии оборудования и средств связи — будет выглядеть аналогично приведенной в табл. 2.1.

В приведенном примере количественный показатель риска определяется в шкале от 1 до10.

Для каждого ресурса рассматриваются относящиеся к нему уязвимые места и соответствующие им угрозы. Если существует уязвимость и нет свя­занной с ней угрозы или существует угроза, не связанная с какими-либо уяз­вимыми местами, то в такой ситуации рисков нет (однако следует проявлять осторожность, если подобная ситуация изменится).

Таблица 2.1

Уровни рисков, соответствующие показателям ресурсов, угроз и уязвимостей

Показатель ценности информационного ресурса Уровень угрозы
Низкий Средний Высокий
Уровень уязвимости Уровень уязвимости Уровень уязвимости
S F N R S F N R S F N R
0 0 1 2 3 1 2 3 4 2 3 4 5
1 1 2 3 4 2 3 4 5 3 4 5 6
2 2 3 4 5 3 4 5 6 4 5 6 7
3 3 4 5 6 4 5 6 7 5 6 7 8
4 4 5 6 7 5 6 7 8 6 7 8 9
5 5 6 7 8 6 7 8 9 7 8 9 10

Каждая строка в матрице определяется показателем ресурса, а каждый столбец — степенью опасности угрозы и уязвимости.

Например, ресурс имеет показатель 3, угроза имеет степень «высокая», а уяз­вимость — «низкая». Показатель риска в данном случае будет 5. Предположим, что ресурс имеет показатель 2, например, для модификации, уровень угрозы — низкий, а уровень уязвимости — высокий. Тогда показатель риска будет 4.

Размер матрицы, учитывающей количество степеней опасности угроз, степеней опасности уязвимостей и категорий параметров ресурсов, изменя­ется применительно к конкретной организации.

Метод ранжирования угроз. В матрице отражаются связи факторов не­гативного воздействия (показателей ресурсов) и вероятностей реализации уг­розы (с учетом показателей уязвимостей) (табл. 2.2).

На первом этапе оценивается негативное воздействие (показатель ресур­са) по заранее определенной шкале (например, от 1 до 5) для каждого ресур­са, которому угрожает опасность.

На втором этапе по заранее заданной шкале (например, от 1 до 5) оцени­вается реальность реализации каждой угрозы.

На третьем этапе вычисляется показатель риска (при помощи умножения показателя ресурса на реальность реализации угрозы), по которому и произ­водится ранжирование угроз.

Данный метод позволяет сравнивать и ранжировать по приоритету угро­зы с различными негативными воздействиями и вероятностями реализации.

Таблица 2.2

Пример ранжирования угроз

Дескриптор угрозы Показатель негативного воздействия (показатель ресурса) Реальность реализации угрозы Показатель риска Ранг угрозы
A B C D E
Угроза 1 5 2 10 2
Угроза 2 2 4 8 3
Угроза 3 3 5 15 1
Угроза 4 1 3 3 5
Угроза 5 4 1 4 4
Угроза 6 2 4 8 3

В определенных случаях дополнительно могут потребоваться стоимостные показатели.

Оценивание показателей частоты повторяемости и возможного ущер­ба от риска. Эта задача решается при помощи оценивания двух значений (для каждого ресурса и риска, которые совместно определяют показатель отдель­ного ресурса).

Вначале каждому ресурсу присваивается определенное значение, соот­ветствующее потенциальному ущербу от воздействия угрозы. Такие показа­тели присваиваются ресурсу по отношению ко всем возможным угрозам. Да­лее оценивается показатель частоты повторяемости. Частота зависит от веро­ятности возникновения угрозы и степени легкости, с которой может быть ис­пользована уязвимость.

В результате создается матрица, аналогичная приведенной в табл. 2.3.

Таблица 2.3

Показатель частоты повторяемости

Уровень угрозы
Низкий Средний Высокий
S F N R S F N R S F N R
0 1 2 3 1 2 3 4 2 3 4 5

Затем определяется показатель пары ресурс/угроза (показатели ресурса и угрозы суммируются) (табл. 2.4).

Таблица 2.4

Показатели пары ресурс/угроза

  Показатели частоты
Показатель ресурса 0 1 2 3 4
0 1 1 2 3 4
1 2 2 3 4 5
2 3 3 4 5 6
3 4 4 5 6 7
4 5 5 6 7 8

На заключительном этапе суммируются все итоговые баллы по всем ресур­сам системы и формируется ее общий балл. Его можно использовать для выяв­ления тех элементов системы, защита которых должна быть приоритетной.

Метод разделения рисков на приемлемые и неприемлемые. Еще один спо­соб оценивания рисков состоит в разделении их только на допустимые и не­допустимые. Возможность применения такого подхода основывается на том, что количественные показатели рисков используются только для того, чтобы их упорядочить и определить, какие действия необходимы в первую очередь.

Матрица, используемая в данном подходе, приведена в табл. 2.5. и содер­жит не числа, а только символы: Д (риск допустим); Н (риск недопустим).

Таблица 2.5

Разделение рисков на допустимые, недопустимые и возможные

  Показатели частоты
Показатель ресурса 0 1 2 3 4
0 д д д д в
1 д д д в н
2 д д в н н
3 д в н н н
4 в н н н н

Существуют также различные комплексные инструментальные системы анализа информационных рисков и информационной безопасности: матрица рисков MSITAdvisorforRiskManagement; модель LifeCycleSecurity, разра­ботанная компанией Axent(после того как Symantecприобрела Axent, модель получила название SymantecEnterpriseSolutions); средство анализа и управ­ления рисками RiskWatch, разработанное американской компанией RiskWatch, Inc.; метод комплексного подхода к оценке рисков, сочетающий количествен­ные и качественные методы анализа CRAMM (theUKGovermentRiskAnalysisandManagmentMethod), разработанный службой безопасности Великобрита­нии (UKSecurityService).

Определяется, как в проверяемой кредитной организации обеспечивает­ся контроль доступа к информационным ресурсам на физическом уровне:

- классификация служебных помещений по уровню допуска;

- обеспечение разграничения доступа персонала в служебные помещения;

- организация хранения архивов бумажных документов;

- ограничение доступа работников в помещения, где располагаются сер­вера и рабочие станции, управляющие информационными процессами;

- ограничение доступа работников к резервным копиям информации;

- размещение копировальной техники и сетевых принтеров, исключаю­щее доступ к ним посторонних лиц, исключение печати ценной ин­формации на удаленных принтерах;

- расположение компьютерной техники, исключающее визуальное на­блюдение информации, отображаемой на экранах мониторов и выво­дящейся на принтеры, посторонними лицами.

Также следует обратить внимание на применение мероприятий и мето­дов, направленных на обеспечение ограничения физического доступа непо­средственно к средствам вычислительной техники:

- локальной защиты серверов и рабочих станций: BIOS, встроенные в ОС системы контроля доступа и блокировки (автоматическое выпол­нение блокировки, например, по тайм-ауту), дополнительные устрой­ства например, по тайм-ауту), дополнительные аппаратно-программ­ные системы контроля доступа;

- запрет локального копирования информации на компьютерах, обеспе­чивающих доступ к информации (отсутствие дисковода; отсутствие COM-, LPT-, USB-портов).

Разграничение и контроль доступа к информационным ресурсам. Админи­стрирование системы и антивирусный контроль. Современные банки — это организации со сложной разветвленной структурой, имеющей филиалы, допол­нительные офисы, представительства, обменные пункты, внутренние подраз­деления и отделы, выполняющие работу в различных направлениях банковской деятельности. В связи с этим компьютерные сети кредитных организаций име­ют сложную, разветвленную структуру, построенную на использовании се­тевого и телекоммуникационного оборудования, средств связи и передачи информации. Кредитные организации широко используют в своей повседневной деятельности международную информационную сеть (Internet) для получения и передачи информации, а также для ведения расчетных операций (Internet-banking), предлагают своим клиентам ведение обслуживания по системе «Клиент-Банк».

Поэтому в обязательном порядке необходимо проверять защищенность ин­формационных ресурсов кредитной организации от внешних угроз и проводить организационные и технические мероприятия, направленные на их устранение:

- существует и действует определенный порядок и выполняемый регла­мент, по которому разрешается предоставление удаленного доступа к информационным ресурсам (определение объектов и сервисов, к кото­рым требуется предоставлять удаленный доступ, а также групп пользо­вателей, которым разрешен доступ к ним; процедура авторизации уда­ленного доступа);

- ведение обработки и хранения финансовой информации на специаль­но выделенных серверах;

- обязательная защита внутренней компьютерной сети аппаратно-про­граммными брандмауэрами (FireWall) (применение сертифицирован­ных сетевых экранов; при создании правил доступа, использование основного принципа — «запрещено все, что не разрешено явно»);

- применение систем обнаружения атак (IDS), обманных систем;

- организация доступа в Internetиз внутренней сети cиспользованием proxy-сервера, контроль содержимого трафика;

- процедура аутенфикации клиентов, пользующихся услугами Internet- bankingи «Клиент-Банк».

В информационной системе обязательно должны быть назначены систем­ные администраторы (не менее двух), с документально определенными обя­занностями и правами, доведенными до них под роспись.

При разработке политики информационной безопасности должно учиты­ваться, как в кредитной организации сформирована и применяется политика парольной защиты информационной системы. Управление паролями пользо­вателей является одним из ключевых факторов безопасности любой компа­нии. Требования к системе управления паролями достаточно очевидны и не нуждаются в особых комментариях на сегодняшний день. Единственное, на чем следует заострить внимание, это на том, что в политике парольной защи­ты должны применяться уникальные идентификаторы для каждого пользова­теля информационной системы и безопасность должна быть заложена не толь­ко на уровне операционных систем, но и на уровне приложений (прикладных программных продуктов и систем). Данные требования стандарта к безопас­ности прикладных систем должны быть учтены и обычно учитываются раз­работчиками программных продуктов.

Также должны быть учтены следующие организационные мероприятия:

- правила парольной защиты, включающие требования сохранения кон­фиденциальности личных паролей и предусматривающие ответствен­ность пользователей за их нарушение, а также, ознакомлены ли с ними работники под роспись;

- существует и выполняется инструкция по безопасному использованию качественных паролей;

- качество применяемых паролей (отсутствие стандартных и легко под­бираемых паролей; число знаков используемых паролей не должно быть менее 8; применение букв и символов в паролях);

- периодичность смены паролей;

- существование специальных процедур по оперативному лишению пользо­вателей прав доступа к системе в случае их увольнения, обязательной сме­ны паролей при переводе работника на другой участок работы.

Особо следует отметить требование соответствия уровня доступа выпол­няемым бизнес-задачам и политике безопасности организации, а также тому, что назначенный уровень доступа не противоречит принципам разделения обязанностей (ответственности). Необходимо обратить особое внимание на то, реализован ли в информационной системе принцип разграничения ответ­ственности путем разделения обязанностей (все критичные операции выпол­няются не менее чем двумя сотрудниками) при выполнении наиболее критич­ных операций (например, администрировании систем).

Несмотря на то что это требование чрезвычайно важно, оно часто нару­шается на практике, когда пользователи имеют избыточные права, которые не требуются для выполнения текущих бизнес-задач. Очень часто на практике системные администраторы имеют неограниченные права в информацион­ной системе, а работники подразделений информатизации имеют неограни­ченный доступ к информационным ресурсам.

Такие привилегии необходимо ограничить организационными мерами: на­значением ответственными за информационные ресурсы руководителей под­разделений, работающих с этими ресурсами; получение доступа к критичным ресурсам может производиться только по аккаунту, каждая независимая часть которого известна двум работникам (так называемый «принцип четырех глаз»).

Следует обращать внимание на выполнение внутри кредитной организации обязательных проверок легитимности каждого пользователя. Это означает, что необходимо проверять, действительно ли каждый конкретный пользователь информационной системы имеет разрешение для работы с данным ресурсом и был внесен в систему с разрешения ответственного работника или руковод­ства. Выполнение этого требования является достаточно важным условием нормальной работы больших информационных систем. В подобных систе­мах такую проверку рекомендуется проводить регулярно, чтобы исключить возможность случайного или целенаправленного внесения в систему неавто­ризованного пользователя (то есть пользователя, которого внесли в систему без разрешения руководства). Очевидно, что такую проверку должен осуще­ствлять независимый от подразделений информатизации или службы безо­пасности работник службы внутреннего контроля. Рекомендуется осуществ­лять регулярную проверку прав пользователей каждые 6 месяцев или после каждого внесения изменений в систему. Для пользователей, имеющих осо­бые привилегии доступа в систему, регулярная проверка прав должна прохо­дить чаще — один раз в 3 месяца.

В обязательном порядке системными администраторами должны произ­водиться следующие мероприятия:

- ведение и анализ лог-файлов на серверах с критичными данными;

- наблюдение, слежение за ресурсом, проверка его безопасности и за­щита от новых угроз в используемом программном обеспечении.

Очень часто системные администраторы вносят исправления в программ­ное обеспечение, установленное на серверах информационной системы, не уделяя внимания внесению исправлений в программное обеспечение компь­ютеров пользователей, что является недопустимым. При таком подходе кли­ентские компьютеры становятся открытыми для нападений, так как практи­чески никогда не защищены локальными брандмауэрами, системами обнару­жения вторжений (IDS) или другими защитными системами.

Отдельное внимание информационной безопасности должно быть уделе­но системным утилитам. Их применение должно быть строго ограничено и подвергаться четкому контролю, так как неумелое или злонамеренное исполь­зование системных утилит может привести к нанесению серьезного вреда операционным системам.

Поэтому следует обратить особое внимание на про­ведение следующих организационных мероприятий:

- применение процесса аутентификации при использовании системных утилит;

- применение ограничений использования системных утилит, ограничи­вая их доступность минимально возможному числу доверенных авто­ризованных пользователей;

- раздельное хранение системных утилит и приложений.

Для кредитной организации крайне важно обеспечение целостности об­рабатываемой и накапливаемой электронной информации и, при ее частич­ной или полной потере по каким либо причинам, возможность ее быстрого восстановления. Проверкой устанавливается, какими организационными ме­роприятиями и техническими средствами обеспечивается сохранность и це­лостность информации:

- оборудование серверов и критичных рабочих станций источниками бесперебойного питания (UPS), либо применение другого оборудова­ния, предназначенного для обеспечения средств вычислительной тех­ники автономным электропитанием;

- применение аппаратно-программных средств устойчивости данных (зеркалирование дисковых массивов, наличие резервного сервера и др.);

- ведение архивов электронной информации и периодичность создания резервных копий;

- проведение практических тренингов персонала с целью поддержания возможности восстановления данных в установленном порядке и за гарантированный период времени;

- применение регулярного контроля целостности критичных данных и программного обеспечения, обрабатывающего критичные данные;

- проведение внесения изменений в исполняемые файлы и библиотеки на основании регламента и только после разрешения руководства и со­ответствующих тестов, обучения и информирования пользователей;

- использование средств криптографической защиты трафика и VPN- туннелей.

Следует обратить особое внимание на то, чтобы работы в информацион­ной системе с удаленных терминалов и удаленное администрирование сис­тем производились только через VPN-туннели с обязательным шифрованием данных. Важные информационные ресурсы, передаваемые по каналам связи, обязательно должны иметь электронную подпись.

В заключение хотелось бы отметить, что разработанная политика инфор­мационной безопасности коммерческого банка должна включать в себя и по­ложения по проведению непосредственной проверки безопасности (pentesting), т. е. узко направленную проверку наличия уязвимостей и брешей в критических ресурсах системы. Такими проверками должны проводиться те­стирование как на проникновение в систему извне, так и внутри системы. Также желательно, чтобы системные администраторы и персонал кредитной организации по возможности не знали о проводящемся тестировании инфор­мационной системы.

Проверка безопасности должна проводиться внешними специалистами вы­сокого класса, владеющими определенными знаниями в области ИТ-индустрии и секьюрити, с использованием специализированных программных систем и про­дуктов, с обязательным отчетом о результатах проведенного тестирования. Спе­циалистам, проводящим проверку, следует избегать деструктивных действий и не совершать действий, которые могут привести к отказу в обслуживании какого- либо сервиса или компьютера внутри исследуемой информационной системы.

Тестирование информационной системы на проникновение может выявить узкие места в организационно-технических мероприятиях, направленных орга­низацией на обеспечение информационной безопасности, подтвердить, насколь­ко выполняется принятая политика безопасности коммерческого банка и поли­тика информационной безопасности, а также эффективность ее применения.

Выходные данные монографии:

Управление экономической безопасностью коммерческого банка в ус­ловиях финансового кризиса: Монография / Под ред. В. Н. Овчиннико­ва. — Ростов н/Д: Изд-во «Содействие - XXI век», 2013. — 192 с.

Вернуться к оглавлению монографии "Управление экономической безопасностью коммерческого банка в ус­ловиях финансового кризиса: Монография".

Tagged under