Главная » Кадры

Безопасность и эффективность информационных технологий банка. Основные принципы обеспечения ИБ Cтандарта

Защите подлежит любая документированная информация, неправомерное обращение с которой может нанести ущерб Банку и/или клиенту, доверившей свою информацию Банку.

К такой информации относятся:

1. Все операции по лицевым счетам распорядителей ассигнований.

2. Сроки получения заработной платы учреждениями и организациями (по «зарплатным» договорам).

3. Планы контрольно-ревизионной работы.

4. Акты внешних и внутренних проверок.

5. Сведения о суммах, поступившего от конкретного плательщика.

6. Переписка с правоохранительными органами.

7. Сведения служебного характера, обсуждаемые в ходе совещаний, проводимых руководителями.

8. Сведения, составляющие коммерческую тайну предприятий, фирм, банков и других хозяйствующих субъектов.

9. Данные о программном обеспечении, используемом для обработки "операционного дня".

10. Схема движения документов "операционного дня".

11. Структура автоматизированных систем, порядок администрирования АС и информационных ресурсов, подлежащих защите, списки паролей и имен активного оборудования.

12. Описание информационных потоков, топология телекоммуникаций Управления, схемы размещения элементов АС.

13. Система защиты информации.

14. Сведения об организационно-технических мероприятиях по защите информации.

15. Штатное расписание и численность работников банка.

16. Персональные данные о сотрудниках.

17. Сведения из личного дела работающего, трудовой книжки, карточки Ф.№Т-2.

18. Сведения о доходах гражданина и имуществе, принадлежащего ему на праве собственности, данные о заработной плате и других выплатах сотрудникам.

19. Материалы расследований по заявлениям граждан и нарушениям трудовой дисциплины.

20. Иные сведения, касающиеся деятельности банка, ограничения на распространение которых диктуются служебной необходимостью.

Ресурсы АС включают данные, информацию, программное обеспечение, аппаратные средства, средства обслуживания и телекоммуникации.

Режим защиты информации устанавливается

  • в отношении информации, содержащей государственную тайну отделом обеспечения безопасности информации банка в соответствии с Законом Российской Федерации «О государственной тайне»;
  • в отношении конфиденциальной документированной информации - собственником информационных ресурсов на основании Федерального закона «Об информации, информатизации и защите информации»;

1.4.2. Возможные угрозы защищаемым информационным ресурсам

К числу идентифицированных угроз относятся:

1. Несанкционированный доступ.

2. Преднамеренные и непреднамеренные сбои в работе средств вычислительной техники, электрооборудования и т.п., ведущие к потере или искажению информации.

3. Перехват, искажение или изменение информации, передаваемой по каналам связи.

4. Нелегальное ознакомление с информацией.

1.4.3. Защита информационных ресурсов

Предотвращение возможных угроз защищаемым информационным ресурсам осуществляется:

1. От несанкционированного доступа - созданием системы защиты информации от НСД, которая представляет собой комплекс программно-технических средств и организационных решений.

К организационным решениям относится:

· обеспечение охраны объекта, на котором расположена защищаемая АС с целью предотвращения хищения СВТ, информационных носителей, а также НСД к СВТ и линиям связи;

· выбор класса защищенности АС в соответствии с особенностями обработки информации и уровнем ее конфиденциальности;

· организация учета, хранения и выдачи информационных носителей, паролей, ключей, ведение служебной документации, приемку включаемых в АС новых программных средств, а также контроль за ходом технологического процесса обработки конфиденциальной информации;

· разработка соответствующей организационно-распорядительной документации.

Подключение к глобальным вычислительным сетям осуществляется только по установлению действительной необходимости такого подключения, выполнении полного комплекса защитных мероприятий.

2. От преднамеренных и непреднамеренных сбоев в работе СВТ, электрооборудования и т.п., ведущих к потере или искажению информации.

Программное обеспечение (ПО), необходимое для функционирования информационной и телекоммуникационной систем оформляется в виде перечня и должно быть утверждено руководителем к применению.

Установка на рабочие места любых программ производится только специалистами ИТО. Самостоятельная установка программного обеспечения категорически запрещена.

С целью обеспечения защиты конфиденциальной информации от искажения или уничтожения в случае сбоев в работе СВТ и оборудования ведется резервирование защищаемой информации, а также используются источники бесперебойного питания. Периодичность и порядок проведения резервного копирования определяет администратор ЛВС, исходя из необходимости сохранности информации, ПО баз данных.

3. Перехват, искажение или изменение информации, передаваемой по каналам связи.

Передача конфиденциальной информации с грифом «Для служебного пользования» по открытым каналам связи с использованием электронной почты, факсимильной связи и любых других видов связи без использования средств шифрования запрещена.

Электронная почта используется для осуществления документооборота банка с другими организациями. Места размещения коммутационного оборудования по истечении рабочего дня опечатываются, двери закрываются на замок, доступ в них посторонним лицам без сопровождения ответственного лица запрещен. (Посторонними являются и сотрудники банка, которые по своим функциональным обязанностям не имеют отношения к эксплуатации данного оборудования).

Ответственными лицами регулярно проводится визуальный контроль всех телекоммуникаций с целью выявления или своевременного предотвращения попыток подключения специальных устройств для съема информации.

4. Нелегальное ознакомление с информацией.

С целью предотвращения нелегального ознакомления с информацией вход в помещения, где обрабатывается информация, подлежащая защите, должен быть ограничен.

При организации своего рабочего места сотрудник так располагает экран дисплея, чтобы затруднить просмотр информации выведенной на экран посторонним лицам.

При оставлении по каким-либо причинам своего рабочего места сотрудник обязан выйти из сети или заблокировать экран монитора.

1.4.4. Защита от вирусов

Какой должна быть антивирусная защита?

В общем случае, антивирусная защита банковской информационной системы должна строиться по иерархическому принципу:

  • службы общекорпоративного уровня - 1-й уровень иерархии;
  • службы подразделений или филиалов - 2-й уровень иерархии;
  • службы конечных пользователей - 3-й уровень иерархии.

Службы всех уровней объединяются в единую вычислительную сеть (образуют единую инфраструктуру), посредством локальной вычислительной сети.

Службы общекорпоративного уровня должны функционировать в непрерывном режиме.

Управление всех уровней должно осуществляться специальным персоналом, для чего должны быть предусмотрены средства централизованного администрирования.

Антивирусная система должна предоставлять следующие виды сервисов на общекорпоративном уровне:

  • получение обновления программного обеспечения и антивирусных баз;
  • управление распространением антивирусного программного обеспечения;
  • управление обновлением антивирусных баз;
  • контроль за работой системы в целом (получение предупреждений об обнаружении вируса, регулярное получение комплексных отчетов о работе системы в целом);

на уровне подразделений:

  • обновление антивирусных баз конечных пользователей;
  • обновление антивирусного программного обеспечения конечных пользователей, управление локальными группами пользователей;
  • на уровне конечных пользователей:
  • автоматическая антивирусная защита данных пользователя.

Функциональные требования

  • Удаленное управление. Возможность управления всей системой с одного рабочего места (например, с рабочей станции администратора).
  • Ведение журналов. Ведение журналов работы в удобной настраиваемой форме.
  • Оповещения. В системе защиты должна быть возможность отправки оповещений о происходящих событиях.
  • Производительность системы. Необходимо регулировать уровень нагрузки от антивирусной защиты
  • Защита от различных типов вирусов. Необходимо обеспечить возможность обнаружения вирусов исполняемых файлов, макросов документов. Кроме этого, должна быть предусмотрены механизмы обнаружения неизвестных программному обеспечению вирусов.
  • Постоянная защита рабочих станций. На рабочих станциях должно работать программное обеспечение, обеспечивающее проверку файлов при их открытии и записи на диск.
  • Автоматическое обновление антивирусной базы. Должна быть предусмотрена возможность автоматического получения обновлений антивирусной базы и обновления антивирусной базы на клиентах.

Общие требования

  • Программно-технические компоненты системы антивирусной защиты должны обеспечивать формирование интегрированной вычислительной среды, удовлетворяющей следующим общим принципам создания автоматизированных систем:
  • Надежность - система в целом должна обладать продолжать функционировать независимо от функционирования отдельных узлов системы и должна обладать средствами восстановления после отказа.
  • Масштабируемость - система антивирусной защиты должна формироваться с учетом роста числа защищенных объектов.
  • Открытость - система должна формироваться с учетом возможности пополнения и обновления ее функций и состава, без нарушения функционирования вычислительной среды в целом.
  • Совместимость - поддержка антивирусным программным обеспечением максимально-возможного количества сетевых ресурсов. В структуре и функциональных особенностях компонент должны быть представлены средства взаимодействия с другими системами.
  • Унифицированность (однородность) - компоненты должны представлять собой стандартные, промышленные системы и средства, имеющие широкую сферу применения и проверенные многократным использованием.
  • Кроме того, система должна обеспечивать регулярное обновление используемой антивирусной базы, содержать в себе механизмы поиска ранее неизвестных вирусов и макро вирусов, как наиболее распространенных и опасных в настоящее время.

Требования к надежности и функционированию системы

  • Система антивирусной защиты не должна нарушать логику работы остальных используемых приложений.
  • Система должна обеспечивать возможность вернуться к использованию предыдущей версии антивирусных баз.
  • Система должна функционировать в режиме функционирования объекта (рабочая станция/сервер) на котором она установлена.
  • Система должна обеспечивать оповещение администратора системы при сбоях или обнаружении вирусов.

1. На первом уровне защищают подключение в Интернет или сеть поставщика услуг связи - это межсетевой экран и почтовые шлюзы, поскольку по статистике именно оттуда попадает около 80% вирусов. Необходимо отметить что таким образом будет обнаружено не более 30% вирусов, так как оставшиеся 70% будут обнаружены только в процессе выполнения.

Применение антивирусов для межсетевых экранов на сегодняшний день сводится к осуществлению фильтрации доступа в Интернет при одновременной проверке на вирусы проходящего трафика.

Осуществляемая такими продуктами антивирусная проверка сильно замедляет работу и имеет крайне не высокий уровень обнаружения, по этому в отсутвии необходимости фильтрации посещаемых пользователями веб-узлов применение таких продуктов является не целесообразным.

2. Как правило, защищают файл-сервера, сервера баз данных и сервера систем коллективной работы, поскольку именно они содержат наиболее важную информацию. Антивирус не является заменой средствам резервного копирования информации, однако без него можно столкнуться с ситуацией, когда резервные копии заражены, а вирус активизируется спустя полгода с момента заражения.

3. Ну и напоследок защищают рабочие станции, те хоть и не содержат важной информации, но защита может сильно снизить время аварийного восстановления.

Фактически, антивирусной защите подлежат все компоненты банковской информационной системы, связанные с транспортировкой информации и/или ее хранением:

Ø Файл-серверы;

Ø Рабочие станции;

Ø Рабочие станции мобильных пользователей;

Ø Сервера резервного копирования;

Ø Сервера электронной почты;

Ø Защита рабочих мест (в т.ч. мобильных пользователей) должна осуществляться антивирусными средствами и средствами сетевого экранирования рабочих станций.

Средства сетевого экранирования призваны в первую очередь обеспечивать защиту мобильных пользователей при работе через Интернет, а также обеспечивать защиту рабочих станций ЛВС компании от внутренних нарушителей политики безопасности.

Основные особенности сетевых экранов для рабочих станций:

Контролируют подключения в обе стороны

Позволяют известным приложениям получить доступ в Интернет без вмешательства пользователя (autoconfig)

Мастер конфигурирования на каждое приложение (только установленные приложения могут проявлять сетевую активность)

Делают ПК невидимым в Интернет (прячет порты)

Предотвращают известные хакерские атаки и троянские кони

Извещают пользователя о попытках взлома

Записывают информацию о подключениях в лог файл

Предотвращают отправку данных, определённых как конфиденциальные от отправки без предварительного уведомления

Не дают серверам получать информацию без ведома пользователя (cookies)

Антивирусная защита информационных систем - важнейшая и постоянная функция общей системы экономической безопасности банка. В этом деле недопустимы временные послабления и отступления от стандартов. Независимо от уже существующих в банке решений по антивирусной защите всегда полезно провести дополнительный аудит и оценить систему глазами независимого и компетентного эксперта.


В предыдущих частях исследования мы обсудили экономические основы и IT-инфраструктуру банковских безналичных платежей. В этой части речь пойдет о формировании требований к создаваемой системе информационной безопасности (ИБ).
  • роль обеспечения безопасности в жизни коммерческой организации;
  • место службы информационной безопасности в структуре менеджмента организации;
  • практические аспекты обеспечения безопасности;
  • применение теории управления рисками в ИБ;
  • основные угрозы и потенциальный ущерб от их реализации;
  • состав обязательных требований, предъявляемых к системе ИБ банковских безналичных платежей.

Роль обеспечения безопасности в жизни коммерческой организации

В современной российской экономической среде существует множество различных типов организаций. Это могут быть государственные предприятия (ФГУП, МУП), общественные фонды и, наконец, обычные коммерческие организации. Главным отличием последних от всех других является то, что их основная цель – получение максимальной прибыли, и все, что они делают, направлено именно на это.

Зарабатывать коммерческая организация может различными способами, но прибыль всегда определяется одинаково – это доходы за вычетом расходов. При этом, если обеспечение безопасности не является основным видом деятельности компании, то оно не генерирует доход, а раз так, то для того, чтобы эта деятельность имела смысл, она должна снижать расходы.

Экономический эффект от обеспечения безопасности бизнеса заключается в минимизации или полном устранении потерь от угроз. Но при этом также следует учитывать то, что реализация защитных мер тоже стоит денег, и поэтому истинная прибыль от безопасности будет равна размеру сэкономленных от реализации угроз безопасности средств, уменьшенному на стоимость защитных мер.

Однажды между собственником коммерческого банка и руководителем службы безопасности его организации состоялся разговор на тему экономического эффекта от обеспечения безопасности. Суть этого разговора наиболее точно отражает роль и место обеспечения безопасности в жизни организации:

Безопасность не должна мешать бизнесу.
- Но за безопасность надо платить, а за ее отсутствие расплачиваться.

Идеальная система безопасности – это золотая середина между нейтрализованными угрозами, затраченными на это ресурсами и прибыльностью бизнеса.

Место службы информационной безопасности в структуре менеджмента организации


Структурное подразделение, отвечающее за обеспечение информационной безопасности, может назваться по-разному. Это может быть отдел, управление или даже департамент ИБ. Далее для унификации это структурное подразделение будем называть просто службой информационной безопасности (СИБ).

Причины создания СИБ могут быть разными. Выделим две основные:

  1. Cтрах .
    Руководство компании осознает, что компьютерные атаки или утечки информации могут привести к катастрофическим последствия, и предпринимает усилия для их нейтрализации.
  2. Обеспечение соответствия законодательным требованиям .
    Действующие законодательные требования налагают на компанию обязательства по формированию СИБ, и топ-менеджмент предпринимает усилия по их исполнению.
Применительно к кредитным организациям необходимость существования СИБ зафиксирована в следующих документах:

С точки зрения подчиненности СИБ существует только одно ограничение, прописанное в вышеуказанных положениях ЦБ РФ - «Служба информационной безопасности и служба информатизации (автоматизации) не должны иметь общего куратора», в остальном свобода выбора остается за организацией. Рассмотрим типовые варианты.

Таблица 1.

Подчиненность Особенности
СИБ в составе IT 1. Организация защиты возможна только против внешнего злоумышленника. Основным вероятным внутренним злоумышленником является сотрудник IT. Бороться с ним в составе IT невозможно.
2. Нарушение требований Банка России.
3. Прямой диалог с IT, простое внедрение систем защиты информации
СИБ в составе службы безопасности 1. Защита от действий как внутренних злоумышленников, так и внешних.
2. СБ - единая точка взаимодействия топ-менеджмента по любым вопросам безопасности.
3. Сложность взаимодействия с IT, поскольку общение происходит на уровне глав IT и СБ, а последний, как правило, обладает минимальными знаниями в IT.
СИБ подчиняется Председателю Правления 1. СИБ обладает максимальными полномочиями и собственным бюджетом.
2. Для Председателя Правления создается дополнительная точка контроля и взаимодействия, требующая к себе определенного внимания.
3. Возможные конфликты СБ и СИБ по зонам ответственности при расследовании инцидентов.
4. Отдельный СИБ может «политически» уравновешивать полномочия СБ.

При взаимодействии с другими структурными подразделениями и топ-менеджментом банка у СИБ любой организации есть одна общая проблема - доказательства необходимости своего существования (финансирования).

Проблема заключается в том, что размер сэкономленных средств от нейтрализованных угроз информационной безопасности невозможно точно определить. Если угроза не реализовалась, то и ущерба от нее нет, а раз проблем нет, то и не нужно их решать.

Для решения этой проблемы СИБ может действовать двумя способами:

  1. Показать экономическую значимость
    Для этого ей необходимо вести учет инцидентов и оценивать потенциальный ущерб от их реализации. Совокупный размер потенциального ущерба можно считать сэкономленными денежными средствами. Для устранения разногласий по размеру оцениваемого ущерба рекомендуется предварительно разработать и утвердить методику его оценки.
  2. Заниматься внутренним PR-ом
    Рядовые работники организации обычно не знают, чем занимается СИБ, и считают ее сотрудников бездельниками и шарлатанами, мешающими работать, что приводит к ненужным конфликтам. Поэтому СИБ должна периодически доносить до коллег результаты своей деятельности, рассказывать об актуальных угрозах ИБ, проводить обучения и повышать их осведомленность. Любой сотрудник компании должен чувствовать, что, если у него возникнет проблема, связанная с ИБ, то он может обратиться в СИБ, и ему там помогут.

Практические аспекты обеспечения безопасности


Выделим практические аспекты обеспечения безопасности, которые обязательно должны быть донесены до топ-менеджмента и других структурных подразделений, а также учтены при построении системы защиты информации:

  1. Обеспечение безопасности - это непрерывный бесконечный процесс. Степень защищенности, достигаемая с ее помощью, будет колебаться с течением времени в зависимости от воздействующих вредоносных факторов и усилий, направленных на их нейтрализацию.
  2. Безопасность невозможно обеспечить постфактум, то есть в тот момент, когда угроза уже реализовалась. Чтобы нейтрализовать угрозу, процесс обеспечения безопасности должен начаться до попытки ее реализации.
  3. Большая часть угроз имеет антропогенный характер, то есть организации тем или иным образом угрожают люди. Как говорят компьютерные криминалисты: «Воруют не программы, воруют люди».
  4. В нейтрализации угроз должны участвовать люди, чья безопасность обеспечивается,
    будь это собственники бизнеса или клиенты.
  5. Безопасность - это производная от корпоративной культуры. Дисциплина, требуемая для реализации защитных мер, не может быть выше общей дисциплины при работе организации.
Подводя промежуточный итог под вышесказанным, отметим, что создаваемая система ИБ безналичных платежей должна иметь практическую направленность и быть экономически эффективной. Лучшим подспорьем в достижении указанных свойств является применение риск-ориентированного подхода.

Управление рисками (risk management)


Информационная безопасность - это всего лишь одно из направлений обеспечения безопасности (экономическая безопасность, физическая безопасность, пожарная безопасность, …). Помимо угроз информационной безопасности, любая организация подвержена другим, не менее важным угрозам, например, угрозам краж, пожаров, мошенничества со стороны недобросовестных клиентов, угрозам нарушения обязательных требований (compliance) и т. д.

В конечном счете для организации все равно, от какой конкретно угрозы она понесет потери, будь то кража, пожар или компьютерный взлом. Важен размер потерь (ущерб).

Кроме размера ущерба, важным фактором оценки угроз является вероятность из реализации, которая зависит от особенностей бизнес-процессов организации, ее инфраструктуры, внешних вредоносных факторов и принимаемых контрмер.

Характеристика, учитывающая ущерб и вероятность реализации угрозы, называется риском.
Примечание. Научное определение риска можно получить в ГОСТ Р 51897-2011

Риск может быть измерен как количественно, например, путем умножения ущерба на вероятность, так и качественно. Качественная оценка проводится, когда ни ущерб, ни вероятность количественно не определены. Риск в этом случае может быть выражен как совокупность значений, например, ущерб - «средний», вероятность - «высокая».

Оценка всех угроз как рисков позволяет организации эффективным образом использовать имеющиеся у нее ресурсы на нейтрализацию именно тех угроз, которые для нее наиболее значимы и опасны.

Управление рисками является основным подходом к построению комплексной экономически эффективной системы безопасности организации. Более того, почти все банковские нормативные документы построены на базе рекомендаций по управлению рисками Базельского комитета по банковскому надзору .

Основные угрозы и оценка потенциального ущерба от их реализации


Выделим основные угрозы, присущие деятельности по осуществлению банковских безналичных платежей, и определим максимальный возможный ущерб от их реализации.

Таблица 2.

Здесь в состав анализируемой деятельности входит совокупность бизнес-процессов:

  • реализация корреспондентских отношений с банками-партнерами и ЦБ РФ;
  • проведение расчетов с клиентами.
В дальнейшем мы будем рассматривать только вопросы обеспечения безопасности корреспондентских отношений с Банком России. Тем не менее, полученные наработки могут быть использованы для обеспечения безопасности и других видов расчетов.

Обязательные требования к системе ИБ безналичных платежей


При рассмотрении основных угроз мы оценили их ущерб, но не оценили вероятность их реализации. Дело в том, что если максимально возможный ущерб будет одинаковым для любых банков, то вероятность реализации угроз будет отличаться от банка к банку и зависеть от применяемых защитных мер.

Одними из основных мер по снижению вероятности реализации угроз информационной безопасности будут:

  • внедрение передовых практик по управлению IT и инфраструктурой;
  • создание комплексной системы защиты информации.
Про IT практики здесь мы говорить не будем, затронем только вопросы обеспечения информационной безопасности.

Основным нюансом, который необходимо учитывать в вопросах обеспечения информационной безопасности, является то, что данный вид деятельности довольно жестко регулируется со стороны государства и Центрального Банка. Как бы не оценивались риски, как бы не малы были те ресурсы, которыми располагает банк, его защита должна удовлетворять установленным требованиям. В противном случае он не сможет работать.

Рассмотрим требования по организации защиты информации, налагаемые на бизнес-процесс корреспондентских отношений с Банком России.

Таблица 3.

Документы, устанавливающие требования

Наказание за невыполнение
Защита персональных данных.
Основание – в платежных документах есть персональные данные (Ф.И.О. плательщика / получателя, его адрес, реквизиты документа, удостоверяющего личность)
Федеральный закон «О персональных данных» от 27.07.2006 № 152-ФЗ
, – до 75 тыс. руб. штраф.,
– до 2 лет лишения свободы
Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»
Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» (Зарегистрировано в Минюсте России 14.05.2013 N 28375)
Приказ ФСБ России от 10.07.2014 № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности» (Зарегистрировано в Минюсте России 18.08.2014 N 33620)
Указание Банка России от 10 декабря 2015 г. № 3889-У «Об определении угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных”
Обеспечение защиты информации в национальной платежной системе.
Основание – кредитная организация, выполняющая переводы денежных средств, является частью национальной платежной системы.
Федеральный закон «О национальной платежной системе» от 27.06.2011 № 161-ФЗ п.6 ст. 20 Федерального закона от 02.12.1990 № 395-1 «О банках и банковской деятельности» – отзыв лицензии
Постановление Правительства РФ от 13.06.2012 № 584 «Об утверждении Положения о защите информации в платежной системе»
Положение Банка России от 9 июня 2012 г. N 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств»
Положение Банка России от 24 августа 2016 г. № 552-П «О требованиях к защите информации в платежной системе Банка России»
Эксплуатационная документация на СКЗИ СКАД Сигнатура
Обеспечение безопасности критической информационной инфраструктуры Российской Федерации.
Основание – банк в силу п.8 ст. 2 ФЗ от 26.07.2017 № 187-ФЗ является субъектом критической информационной инфраструктуры
Федеральный закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» – до 8 лет лишения свободы
Постановление Правительства РФ от 08.02.2018 N 127
»Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений"
Приказ ФСТЭК России от 21.12.2017 N 235 «Об утверждении Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования» (Зарегистрировано в Минюсте России 22.02.2018 N 50118)
Приказ ФСТЭК России от 06.12.2017 N 227 «Об утверждении Порядка ведения реестра значимых объектов критической информационной инфраструктуры Российской Федерации» (Зарегистрировано в Минюсте России 08.02.2018 N 49966)
Указ Президента РФ от 22.12.2017 N 620 «О совершенствовании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации»
Требования по защите информации, установленные договором об обмене электронными сообщениями при переводе денежных средств в рамках платежной системы Банка России.
Основание – данный договор заключают все кредитные организации для электронного обмена платежными документами с Банком России.
Типовой договор обмена ЭС с приложениями. Документация на АРМ КБР, УТА (требования их использовании отражены в п.1. Приложения 3 к Договору)
п. 9.5.4 Договора – одностороннее расторжение договора по инициативе Банка России.

Обозначим также дополнительные требования к организации защиты информации. Данные требования будут распространяться лишь на некоторые банки и лишь в некоторых случаях:

Таблица 4.

Как мы видим, требования АВЗ.1 и АВЗ.2 говорят о том, что антивирусная защита должна быть. То, как конкретно ее настраивать, на каких узлах сети устанавливать, эти требования не регламентируют (Письмо Банка России от 24.03.2014 N 49-Т рекомендует банкам иметь на АРМах, на серверах и на шлюзах антивирусы различных производителей).

Аналогичным образом обстоят дела и с сегментацией вычислительной сети – требование ЗИС.17 . Документ только предписывает необходимость использования этой практики для защиты, но не говорит, как организация должна это делать.

То, как конкретно настраиваются средства защиты информации, и реализуются защитные механизмы, узнают из частного технического задания на систему защиты информации, сформированного по результатам моделирования угроз информационной безопасности. Добавить метки

В 2004 году (а затем с внесенными поправками в 2006 году) банковскому сообществу был предложен стандарт Банка России «Обеспечение информационной безопасности организаций банковской системы РФ или СТО БР ИББС», кот призван предотвратить возникновение угроз в системе информационной безопасности банков и связанных с ними рисков. Сегодня система стандартов насчитывает уже пять документов, включая стандарт аудита, методику оценок соответствия требованиям Стандарта, а также соответствующие рекомендации по стандартизации (РС).

Таблица 1

Обеспечение информационной безопасности организаций банковской системы Российской Федерации Стандарты (СТО) и рекомендации по стандартизации (РС)

Классификатор

СТО БР ИББС – 0.0

Термины и определения

СТО БР ИББС – 0.1

Общие положения

СТО БР ИББС – 1.0

Аудит информационной безопасности

СТО БР ИББС – 1.1

Методика оценки соответствия

СТО БР ИББС – 1.2

Документы по обеспечению информационной безопасности

РС БР ИББС – 2.0

Руководство по самооценке

РС БР ИББС – 2.1

Методика классификации активов

РС БР ИББС – 2.2

Методика оценки рисков

РС БР ИББС – 2.3

В основу комплекса стандартов положена идеология международного стандарта качества ISO (The International Organization for Standartization) серии 9000. Смысл этого стандарта заключается в следующем: если при производстве какого–либо продукта обеспечены и контролируются постоянные условия производства, то качество продукции будет всегда соответствовать исходным, заранее заданным требованиям. Идеология международной системы стандартов серии ISO 9000 была положена в основу идеологии стандартов COBIT, ISO/IES 17799, 15408, а затем и серии 27000, которые являются основополагающими стандартами информационной безопасности.

Следующее, что положено в основу идеологии стандартов безопасности Банка России – риски информационной безопасности, которые в соответствии с рекомендациями Базель II входят в операционные риски.

Для разработки стандарта были проведены исследования зарубежных аналогов, лучших практик национальных стандартов, международных стандартов ISO, выполнены научно–исследовательские работы, был создан специальный подкомитет по стандартизации (подкомитет № 3 «Защита информации в кредитно–финансовой сфере» Технического комитета № 362 «Защита информации» Федеральной службы по техническому регулированию и метрологии).

Подкомитет является постоянно действующим органом, обеспечивающим на государственном уровне разработку, согласование, подготовку к утверждению и экспертизу документов в области стандартизации по защите информации и обеспечения информационной безопасности в кредитно–финансовой сфере Российской Федерации. Сегодня он включает более двадцати крупнейших кредитных организаций плюс организации, занимающие значимое место на рынке средств и услуг в области информационной безопасности, и представители органов технического регулирования.

Кроме того, чтобы поддержать процедуру внедрения Стандарта в практической деятельности, было создано сообщество ABISS (Association for Banking Information Security Standards) – Сообщество пользователей стандартов Центрального Банка РФ по обеспечению информационной безопасности организаций банковской системы РФ. В сообщество вошли все заинтересованные кредитно-финансовые организации, в том числе и многие банки.

    Принципы обеспечения информационной безопасности по Стандарту Банка России (не очень внятный ответ, все в куче, но лучшего нет)

Зачем нужен стандарт?

Банк работает с деньгами других экономических и финансовых субъектов. В случае возникновения у него серьезных трудностей, о которых непременно и очень быстро станет известно, другие кредитные учреждения будут вынуждены закрыть ему линии рефинансирования, клиентов же это побудит забрать либо не возобновлять свои вклады – а это неизбежно приведет к кризису ликвидности. Дестабилизация работы даже одного из ее компонентов может привести к системному обвалу, что уже создает угрозу государству.

Основные принципы обеспечения ИБ Cтандарта.

Общие принципы безопасного функционирования организации, отражают суть понятия «информационная безопасность организации банковской системы РФ», которое в стандарте определено как «состояние защищенности интересов (целей) организации банковской системы (БС) РФ в условиях угроз в информационной сфере».

В частности они ориентированы на то, чтобы не допустить таких ситуаций, когда в системе собственника устанавливается сверхмощная, дорогая и сертифицированная по высочайшему уровню система управления доступом, а на поверке через месяц оказывается, что в системе всем и все разрешено. При этом собственник остается уверенным, что он, вложив значительные средства, имеет надежную систему безопасности, а на практике все обстоит иначе. Таким образом, в систему должны устанавливаться только те защитные меры, правильность работы которых может быть проверена.

Модели угроз и нарушителей ИБ стандарта.

Деятельность организации БС РФ поддерживается входящей в ее состав информационной инфраструктурой, которая обеспечивает реализацию банковских технологий и может быть представлена в виде иерархии следующих основных уровней:

– физического (линии связи, аппаратные средства и пр.);

– сетевого (сетевые аппаратные средства: маршрутизаторы, коммутаторы, концентраторы и пр.);

– сетевых приложений и сервисов;

– операционных систем (ОС);

– систем управления базами данных (СУБД);

– банковских технологических процессов и приложений;

– бизнес–процессов организации.

При этом на каждом из перечисленных уровней угрозы и их источники (в том числе злоумышленники), методы и средства защиты и подходы к оценке эффективности являются различными. Организация должна определить конкретные объекты защиты на каждом из уровней информационной инфраструктуры.

Также положениями стандарта определено, возможна разработка моделей угроз и нарушителей ИБ для данной организации. Требования к модели угроз ИБ, включающие описание источников угрозы, уязвимостей, используемых угрозами, методов и объектов нападений, пригодных для реализации угрозы, типов возможной потери, масштабов потенциального ущерба, основываются на соответствующих требованиях стандартов международных стандартов.

Для источников угроз – людей может быть разработана модель злоумышленников (нарушителей), включающая описание опыта, знаний, доступных ресурсов, необходимых для реализации угрозы, и возможной мотивации их действий.

Политика ИБ стандарта.

В стандарт включены общие требования (правила) ИБ по следующим восьми областям, которые должны найти отражение в политике ИБ организации:

1. назначение и распределение ролей и обеспечение доверия к персоналу;

2. ИБ автоматизированных банковских систем на стадиях жизненного цикла;

3. обеспечение ИБ при управлении доступом и регистрация;

4. обеспечение ИБ средствами антивирусной защиты;

5. обеспечение ИБ при использовании ресурсов сети Интернет;

6. обеспечение ИБ при использовании средств криптографической защиты информации;

7. обеспечение ИБ банковских платежных технологических процессов;

8. обеспечение ИБ банковских информационных технологических процессов.

В то же время в политике ИБ организации могут быть рассмотрены и другие области обеспечения ИБ, которые отвечают ее бизнес–целям.

3. Классификация угроз информационной безопасности банка

Компьютерные преступления в банке – это реализация угроз безопасности информации.

Угрозы делят на общие (характерные для любой информационной системы) и специфические (связанные с функциями кредитной организации). Обобщенно можно привести следующую классификацию:

Природные угрозы:

    Стихийные бедствия (Нарушение работы инф. системы. Физическое уничтожение людей, носителей)

    Магнитные бури и Радиоактивное излучение (Воздействие на магнитные носители информации, электронные средства обработки и передачи данных. Отказы и сбои аппаратуры)

Технические:

    Отключение электропитания (Потери информации)

    Отказы и сбои аппаратуры (Искажение и потеря информации)

    Электромагнитные излучения и наводки (Несанкционированный перенос информации за пределы информационной системы)

    Утечки через каналы связи (за счет имеющейся возможности снятия ее специальными датчиками или посредством прямого подключения.)

Человеческий фактор

    Непреднамеренные или преднамеренные действия управленческого и обслуживающего персонала, программистов, пользователей информационной системы, службы безопасности и др

Конкретно для банковской системы важными являются следующие специфические угрозы:

– несанкционированный доступ посторонних лиц, не принадлежащих к числу банковских служащих, и ознакомление с хранимой конфиденциальной информацией;

– ознакомление банковских служащих с информацией, к которой они не должны иметь доступа;

– несанкционированное копирование программ и данных;

– перехват и последующее раскрытие конфиденциальной информации, передаваемой по каналам связи;

– кража магнитных носителей, содержащих конфиденциальную информацию;

– кража распечатанных банковских документов;

– случайное или умышленное уничтожение информации;

– несанкционированная модификация банковскими служащими финансовых документов, отчетности и баз данных.

– фальсификация сообщений, передаваемых по каналам связи, в том числе и навязывание ранее переданного сообщения;

– отказ от факта получения информации;

– разрушение файловой структуры из–за некорректной работы программ или аппаратных средств;

– разрушение информации, вызванное вирусными воздействиями;

– разрушение архивной банковской информации, хранящейся на магнитных носителях;

– кража оборудования;

– ошибки в программном обеспечении;

– сбои оборудования, в том числе и за счет отключения электропитания и других факторов, препятствующих работе оборудования.

НА ВСЯКИЙ СЛУЧАЙ КАК СДЕЛАТЬ БЕЗОПАСНО В БАНКЕ

4.1. Организационное обеспечение банковской безопасности

Комплексная система обеспечения банковской безопасности – это совокупность взаимосвязанных мероприятий организационно–правового характера, осуществляемых в целях защиты банка от реальных или потенциальных действий физических и юридических лиц, которые могут привести к существенным потерям.

Основными задачами системы безопасности являются:

    обеспечение безопасности функционирования банка

    организация специального делопроизводства, исключающего несанкционированное получение конфиденциальных сведений;

    выявление и локализация возможных каналов разглашения, утечки и несанкционированного доступа к конфиденциальной информации в процессе повседневной деятельности и в экстремальных ситуациях;

    обеспечение режима безопасности при проведении всех видов деятельности, включая встречи, переговоры, совещания, связанные с деловым сотрудничеством на национальном и международном уровне;

    обеспечение охраны зданий, помещений, оборудования и технических средств обеспечения производственной деятельности;

    обеспечение безопасности персонала;

Система безопасности действует на основе следующих организационно–правовых документов:

    Устава банка;

    Положения о системе безопасности;

    Руководства по защите конфиденциальной информации;

    Инструкции о порядке работы с иностранными специалистами;

    Руководства по инженерно–технической защите помещений и технических средств.

Стратегия информационной безопасности банков весьма сильно отличается от аналогичных стратегий других компаний и организаций. Это обусловлено прежде всего специфическим характером угроз, а также публичной деятельностью банков, которые вынуждены делать доступ к счетам достаточно легким с целью удобства для клиентов.

Обычная компания строит свою информационную безопасность, исходя лишь из узкого круга потенциальных угроз - главным образом защита информации от конкурентов (в российских реалиях основной задачей является защита информации от налоговых органов и преступного сообщества с целью уменьшения вероятности неконтролируемого роста налоговых выплат и рэкета). Такая информация интересна лишь узкому кругу заинтересованных лиц и организаций и редко бывает ликвидна, т.е. обращаема в денежную форму.

Информационная безопасность банка должна учитывать следующие специфические факторы:

1. Хранимая и обрабатываемая в банковских системах информация представляет собой реальные деньги. На основании информации компьютера могут производится выплаты, открываться кредиты, переводиться значительные суммы. Вполне понятно, что незаконное манипулирование с такой информацией может привести к серьезным убыткам. Эта особенность резко расширяет круг преступников, покушающихся именно на банки (в отличие от, например, промышленных компаний, внутренняя информация которых мало кому интересна).

2. Информация в банковских системах затрагивает интересы большого количества людей и организаций - клиентов банка. Как правило, она конфиденциальна, и банк несет ответственность за обеспечение требуемой степени секретности перед своими клиентами. Естественно, клиенты вправе ожидать, что банк должен заботиться об их интересах, в противном случае он рискует своей репутацией со всеми вытекающими отсюда последствиями.

3. Конкурентоспособность банка зависит от того, насколько клиенту удобно работать с банком, а также насколько широк спектр предоставляемых услуг, включая услуги, связанные с удаленным доступом. Поэтому клиент должен иметь возможность быстро и без утомительных процедур распоряжаться своими деньгами. Но такая легкость доступа к деньгам повышает вероятность преступного проникновения в банковские системы.

4. Информационная безопасность банка (в отличие от большинства компаний) должна обеспечивать высокую надежность работы компьютерных систем даже в случае нештатных ситуаций, поскольку банк несет ответственность не только за свои средства, но и за деньги клиентов.

5. Банк хранит важную информацию о своих клиентах, что расширяет круг потенциальных злоумышленников, заинтересованных в краже или порче такой информации.

Преступления в банковской сфере также имеют свои особенности :

    Многие преступления, совершенные в финансовой сфере остаются неизвестными для широкой публики в связи с тем, что руководители банков не хотят тревожить своих акционеров, боятся подвергнуть свою организацию новым атакам, опасаются подпортить свою репутацию надежного хранилища средств и, как следствие, потерять клиентов.

    Как правило, злоумышленники обычно используют свои собственные счета, на который переводятся похищенные суммы. Большинство преступников не знают, как «отмыть» украденные деньги. Умение совершить преступление и умение получить деньги - это не одно и то же.

    Большинство компьютерных преступлений - мелкие. Ущерб от них лежит в интервале от $10.000 до $50.000.

    Успешные компьютерные преступления, как правило, требуют большого количества банковских операций (до нескольких сотен). Однако крупные суммы могут пересылаться и всего за несколько транзакций.

    Большинство злоумышленников - клерки. Хотя высший персонал банка также может совершать преступления и нанести банку гораздо больший ущерб - такого рода случаи единичны.

    Компьютерные преступления не всегда высокотехнологичны. Достаточно подделки данных, изменения параметров среды АСОИБ и т.д., а эти действия доступны и обслуживающему персоналу.

    Многие злоумышленники объясняют свои действия тем, что они всего лишь берут в долг у банка с последующим возвратом. Впрочем «возврата», как правило, не происходит.

Специфика защиты автоматизированных систем обработки информации банков (АСОИБ) обусловлена особенностями решаемых ими задач:

    Как правило АСОИБ обрабатывают большой поток постоянно поступающих запросов в реальном масштабе времени, каждый из которых не требует для обработки многочисленных ресурсов, но все вместе они могут быть обработаны только высокопроизводительной системой;

    В АСОИБ хранится и обрабатывается конфиденциальная информация, не предназначенная для широкой публики. Ее подделка или утечка могут привести к серьезным (для банка или его клиентов) последствиям. Поэтому АСОИБ обречены оставаться относительно закрытыми, работать под управлением специфического программного обеспечения и уделять большое внимание обеспечению своей безопасности;

    Другой особенностью АСОИБ является повышенные требования к надежности аппаратного и программного обеспечения. В силу этого многие современные АСОИБ тяготеют к так называемой отказоустойчивой архитектуре компьютеров, позволяющей осуществлять непрерывную обработку информации даже в условиях различных сбоев и отказов.

Можно выделить два типа задач, решаемых АСОИБ:

1. Аналитические. К этому типу относятся задачи планирования, анализа счетов и т.д. Они не являются оперативными и могут требовать для решения длительного времени, а их результаты могут оказать влияние на политику банка в отношении конкретного клиента или проекта. Поэтому подсистема, с помощью которой решаются аналитические задачи, должна быть надежно изолирована от основной системы обработки информации. Для решения такого рода задач обычно не требуется мощных вычислительных ресурсов, обычно достаточно 10-20% мощности всей системы. Однако ввиду возможной ценности результатов их защита должна быть постоянной.

2. Повседневные. К этому типу относятся задачи, решаемые в повседневной деятельности, в первую очередь выполнение платежей и корректировка счетов. Именно они и определяют размер и мощность основной системы банка; для их решения обычно требуется гораздо больше ресурсов, чем для аналитических задач. В то же время ценность информации, обрабатываемой при решении таких задач, имеет временный характер. Постепенно ценность информации, например, о выполнении какого-либо платежа, становиться не актуальной. Естественно, это зависит от многих факторов, как-то: суммы и времени платежа, номера счета, дополнительных характеристик и т.д. Поэтому, обычно бывает достаточным обеспечить защиту платежа именно в момент его осуществления. При этом защита самого процесса обработки и конечных результатов должна быть постоянной.

Каким же мерам защиты систем обработки информации отдают предпочтение зарубежные специалисты? На этот вопрос можно ответить, используя результаты опроса, проведенного Datapro Information Group в 1994 году среди банков и финансовых организаций :

    Сформулированную политику информационной безопасности имеют 82% опрошенных. По сравнению с 1991 годом процент организаций, имеющих политику безопасности, увеличился на 13%.

    Еще 12% опрошенных планируют разработать политику безопасности. Четко выражена следующая тенденция: организации с большим числом персонала предпочитают иметь разработанную политику безопасности в большей степени, чем организации с небольшим количеством персонала. Например, по данным этого опроса, всего лишь 66% организаций, с числом сотрудников менее 100 человек имеют политику безопасности, тогда как для организаций с числом сотрудников более 5000 человек доля таких организаций составляет 99%.

    В 88% организаций, имеющих политику информационной безопасности, существует специальное подразделение, которое отвечает за ее реализацию. В тех организациях, которые не содержат такое подразделение, эти функции, в основном, возложены на администратора системы (29%), на менеджера информационной системы (27%) или на службу физической безопасности (25%). Это означает, что существует тенденция выделения сотрудников, отвечающих за компьютерную безопасность, в специальное подразделение.

    В плане защиты особое внимание уделяется защите компьютерных сетей (90%), больших ЭВМ (82%), восстановлению информации после аварий и катастроф (73%), защите от компьютерных вирусов (72%), защите персональных ЭВМ (69%).

Можно сделать следующие выводы об особенностях защиты информации в зарубежных финансовых системах :

    Главное в защите финансовых организаций - оперативное и по возможности полное восстановление информации после аварий и сбоев. Около 60% опрошенных финансовых организаций имеют план такого восстановления, который ежегодно пересматривается в более чем 80% из них. В основном, защита информации от разрушения достигается созданием резервных копий и их внешним хранением, использованием средств бесперебойного электропитания и организацией «горячего» резерва аппаратных средств.

    Следующая по важности для финансовых организаций проблема - это управление доступом пользователей к хранимой и обрабатываемой информации. Здесь широко используются различные программные системы управления доступом, которые иногда могут заменять и антивирусные программные средства. В основном используются приобретенные программные средства управления доступом. Причем в финансовых организациях особое внимание уделяют такому управлению пользователей именно в сети. Однако сертифицированные средства управления доступом встречаются крайне редко (3%). Это можно объяснить тем, что с сертифицированными программными средствами трудно работать и они крайне дороги в эксплуатации. Это объясняется тем, что параметры сертификации разрабатывались с учетом требований, предъявляемым к военным системам.

    К отличиям организации защиты сетей ЭВМ в финансовых организациях можно отнести широкое использование стандартного (т.е. адаптированного, но не специально разработанного для конкретной организации) коммерческого программного обеспечения для управления доступом к сети (82%), защита точек подключения к системе через коммутируемые линии связи (69%). Скорее всего это связано с большей распространенностью средств телекоммуникаций в финансовых сферах и желание защититься от вмешательства извне. Другие способы защиты, такие как применение антивирусных средств, оконечное и канальное шифрование передаваемых данных, аутентификация сообщений применяются примерно одинаково и, в основном (за исключением антивирусных средств), менее чем в 50% опрошенных организаций.

    Большое внимание в финансовых организациях уделяется физической защите помещений, в которых расположены компьютеры (около 40%). Это означает, что защита ЭВМ от доступа посторонних лиц решается не только с помощью программных средств, но и организационно-технических (охрана, кодовые замки и т.д.).

    Шифрование локальной информации применяют чуть более 20% финансовых организаций. Причинами этого являются сложность распространения ключей, жесткие требования к быстродействию системы, а также необходимость оперативного восстановления информации при сбоях и отказах оборудования.

    Значительно меньшее внимание в финансовых организациях уделяется защите телефонных линий связи (4%) и использованию ЭВМ, разработанных с учетом требования стандарта Tempest (защита от утечки информации по каналам электромагнитных излучений и наводок). В государственных организациях решению проблемы противодействия получению информации с использованием электромагнитных излучений и наводок уделяют гораздо большее внимание.

Анализ статистики позволяет сделать важный вывод: защита финансовых организаций (в том числе и банков) строится несколько иначе, чем обычных коммерческих и государственных организаций. Следовательно для защиты АСОИБ нельзя применять те же самые технические и организационные решения, которые были разработаны для стандартных ситуаций. Нельзя бездумно копировать чужие системы - они разрабатывались для иных условий.

Какие основные проблемы в области обеспечения безопасности вы выделяете на настоящий момент как в аспекте информационной безопасности, так и с точки зрения обеспечения безопасности бизнеса?
 Андрей Богословских, директор Дирекции информационных технологий Росбанка: Нацеленность хакерского сообщества на создание вредоносного кода, адаптированного к технологиям систем дистанционного банковского обслуживания. Кража паролей и ключевой информации с зараженных компьютеров клиентов.
Константин Меденцев, вице-президент по информационным технологиям Московского Банка Реконструкции и Развития: Основной задачей информационной безопасности является обеспечение и совершенствование защиты информационной инфраструктуры. Информационные технологии все шире используются и в криминальных целях. Технологии становятся более доступными, и стоимость атак на информационные системы снижается, тогда как защита электронных информационных ресурсов обходится все дороже. С помощью информационных систем кредитным организациям удается существенно снизить издержки на обслуживание клиентов, что, в свою очередь, ведет к увеличению прибыли. Однако механизмы исполнения установленных регуляторами требований ведут к значительному удорожанию банковского обслуживания. Чем выше уровень защиты данных, тем, разумеется, труднее их получить, так как усложняется архитектура соответствующих автоматизированных систем. В этой связи важно найти интегрированный подход или алгоритм действий, реализация которого позволит выполнить законные требования, но при этом не скажется отрицательно на деятельности банка и не приведет к удорожанию продуктов и услуг для потребителя.
Владилен Новоселецкий, начальник Управления информационной безопасности БИНБАНКа: Главная проблема - ограниченность финансирования ИБ. Она во многом определяет все остальные проблемы.

Вторая проблема - выбор для бизнеса той степени свободы, которая, с одной стороны, не позволит злоумышленникам разорить бизнес, с другой - не задушит бизнес. Очевидно, что инцидентов ИБ не будет, если все запретить. Но тогда и бизнес развиваться не будет. Поэтому нужно найти баланс между необходимой для бизнеса свободой действий и необходимой для обеспечения ИБ системой ограничений.

Третья проблема - проблема выбора СЗИ с требуемым функционалом, не оказывающих заметного негативного влияния на защищаемые средства (проблема функциональности и совместимости). СЗИ на рынке предлагается много, но... гладко было на бумаге.

Четвертая проблема - правовая - лицензирование деятельности с использованием СКЗИ, сертификация СЗИ и аттестация объектов автоматизации. Среди сертифицированных ФСТЭК России (ФСБ России) СЗИ большинство устарели. Поэтому при выборе СЗИ возникает дилемма: выполнить требования ФЗ, приобретя сертифицированное, но устаревшее СЗИ. Либо приобрести СЗИ новейшей разработки и, соответственно, более эффективное, но несертифицированное. Если выбран и уже приобретен несертифицированный вариант СЗИ, то его последующая сертификация превращается просто в кормушку для занимающихся этим организаций. В ходе сертификации СЗИ лучше не станет, но станет гораздо дороже. А если результат сертификации окажется отрицательным, то что делать с этим СЗИ? Вернуть продавцу?

Олег Подкопаев, директор по информационным технологиям Русфинанс Банка: Как всегда, основной угрозой информационной безопасности организации и бизнеса является инсайдер. И хотя последствия инсайдерских действий, как правило, менее заметны в явном виде, а иногда даже просто не видны - именно в этом заключается их основная опасность. Компрометация клиентской базы, например, помимо прямых юридических рисков в дальнейшем приводит к снижению бизнеса и потере доли на рынке, причем последствия становятся видны только тогда, когда делать что-либо уже поздно. Соответственно, основные усилия должны быть направлены на превентивные мероприятия, позволяющие не допустить подобной утечки либо вовремя ее выявить.

Александр Туркин, руководитель Центра верификации и информационного обеспечения БИНБАНКа: С аттестацией объектов информатизации картина такая: при любом изменении объект нужно переаттестовывать. Но в банке изменения происходят непрерывно! Меняется как компьютерное оборудование, так и программное обеспечение, технология работ. Таким образом, формально аттестация/переаттестация превращается в непрерывный бесконечный процесс с бесконечными расходами.

Как известно, для использования СКЗИ, подпадающих под постановление Правительства РФ от 29.12.2007 № 957, утвердившее Положения о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами, необходимы лицензии ФСБ России. Но тогда они нужны не только для банка, но и для всех клиентов системы Клиент-Банк. Аналогично для всех клиентов систем электронного обмена с ФНС, Пенсионным фондом и т. п. Получается, что лицензии ФСБ России нужны для большинства организаций страны.

Евгений Шевцов, вице-президент ЗАО АКБ «НОВИКОМБАНК»: Кредитно-финансовые организации сегодня все чаще сталкиваются с широким спектром существующих угроз, таких как компьютерное мошенничество, компьютерные вирусы, взлом компьютерных систем, отказ в обслуживании и т. д. Высокая зависимость этих организаций, нашего банка в частности, от информационных ресурсов, объединение корпоративных сетей и сетей общего доступа, совместное использование информационных ресурсов повышают уязвимость от подобных угроз. Поскольку существующие в банке информационные системы изначально не проектировались с необходимым уровнем защищенности, то в большинстве случаев возможности обеспечения информационной безопасности ограничены.

Важнейшей проблемой, стоящей перед руководством и службой безопасности, является проблема внутренних угроз информационной безопасности, или, иными словами, проблема защиты информации от инсайдеров.

Поэтому сегодня, как в аспекте информационной безопасности, так и с точки зрения обеспечения безопасности бизнеса, жизненно необходима комплексная система информационной безопасности, которая задействует не только технические, но и организационные ресурсы, создание которой может обойтись банку значительно дешевле, чем ликвидация последствий угроз ИБ.

Изменился ли в результате кризиса характер взаимоотношений между IT-подразделением банка и службой безопасности? Произошло ли перераспределение обязанностей и функций? Каким образом?

Андрей Богословских: Кризис не изменил взаимоотношения между IT и безопасностью.

Константин Меденцев: Финансово-экономический кризис оказал существенное влияние на характер ведения бизнеса, что в ряде случаев повлекло за собой заметные изменения в структуре кредитных организаций, связанные либо с сокращением, либо с перераспределением задач между подразделениями. В части информационной безопасности с основными смежными подразделениями, а именно - с подразделениями информационных технологий. Наблюдения показывают, что в ряде случаев имеет место передача функций, связанных с эксплуатацией систем обеспечения информационной безопасности, в подразделения информационных технологий. Однако негативное влияние данного перераспределения на ведение бизнеса в целом в основе своей может быть проявиться только в случае отсутствия оперативной корректировки процедур взаимодействия смежных подразделений. В случае грамотного описания процедур взаимодействия негативного влияния данное перераспределение не оказывает.

Владилен Новоселецкий: В связи со вступлением в действие Закона «О персональных данных» характер взаимоотношений должен был бы измениться в сторону ИБ. Но он не изменился. Возможно, что основной вклад в это внес кризис.

Олег Подкопаев: Кризис как таковой, конечно, на такие взаимоотношения не повлиял, поскольку его сущность была иной. Но с точки зрения взаимодействия подразделений банка действия стали слаженнее. В большей мере повлияли требования регуляторов, реализация которых требует более четкого взаимодействия служб IT и безопасности. При этом распределение функций не меняется: подразделения информационной безопасности являются регулирующими и контролирующими органами внутри банка, IT призвано реализовывать и обеспечивать информационную безопасность.

Евгений Шевцов: Характер взаимодействия не изменился. Обязанности и функции подразделений остались прежними, определяемыми нормативными документами банка.

Как вы оцениваете роль регулятора в области информационной безопасности банка? Насколько полезны, в частности, те шаги, которые ЦБ РФ предпринимает в законодательной сфере?

Андрей Богословских: Банк России разрабатывает стандарты ИБ, они носят рекомендательный характер (не являются законодательной сферой). Оценка двоякая. С одной стороны, стандарты ИБ ЦБ РФ полезны, так как они базируются на современных международных стандартах по ИБ. С другой стороны, в них много спорного, так как они базируются еще и на устаревших методиках и инструкциях Гостехкомиссии (ФСТЭК).

Константин Меденцев: Усилия Центрального банка не могут оставаться незамеченными. Важной вехой в становлении нормативно-методической базы Центрального банка в области информационной безопасности стал выпуск ряда регламентирующих документов. Таких как «Методика оценки соответствия информационной безопасности требованиям СТО БР ИБСС-1.0-2008» и «Методика оценки рисков нарушения информационной безопасности».

Олег Подкопаев: Я полагаю, ЦБ РФ поступает абсолютно правильно, приучая банки к мысли о возможной регуляции в области информационной безопасности. Причем это делается очень разумно, посредством выпуска сначала рекомендаций и методик самооценки, проведением пилотов по аудиту информационной безопасности, и лишь потом - а это вопрос времени - введением обязательных требований.

Александр Туркин: Регуляторов в области ИБ у нас три: ЦБ РФ, ФСТЭК России, ФСБ России. Шаги ЦБ в законодательной сфере предпринимаются в интересах банков, поэтому они, безусловно, для банков полезны, а вот насколько они окажутся эффективны - время покажет. Пока похоже, что какой-то эффект будет, хотя может и меньше, чем хотелось бы. Получили отсрочку на год, и ФСТЭК России снял гриф ДСП с четырех своих документов - уже хорошо. Вместе с тем хотелось бы подчеркнуть, что роль Банка России в этом вопросе, несомненно, позитивная. По приглашению Андрея Петровича Курило мы вошли в Рабочую группу АРБ по Закону № 152-ФЗ. Предложения и замечания по совершенствованию законодательства в сфере персональных данных, родившиеся в процессе совещаний Рабочей группы, я думаю, внесли значительный вклад в общую копилку.

Евгений Шевцов: Основным документом, которым руководствуется в своей деятельности служба информационной безопасности банка, является Стандарт Банка России: «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» (СТО БР ИББС-1.0-2008). Ожидаем, что новая редакция документа станет отраслевым стандартом для кредитно-финансовых организаций РФ.

Вступление в силу требований Закона № 152-ФЗ в полном объеме. Насколько сегодня банки готовы к этому? Что дает годичная отсрочка, которой удалось добиться?

Андрей Богословских: Банки не готовы. Годовая отсрочка мало что дает. Защищать ПД сильнее, чем банковскую и коммерческую тайну, - это нонсенс.

Константин Меденцев: Несмотря на то что Федеральный закон «О персональных данных» был принят еще в 2006 г., нормативно-методические документы, регламентирующие процессы построения систем защиты персональных данных, вышли в свет существенно позже. Учитывая немалые объемы финансовых затрат на реализацию систем защиты, у операторов обработки персональных данных на их реализацию осталось слишком мало времени. В этой связи годичная отсрочка пришлась очень кстати.

Олег Подкопаев: Естественно, никто, в том числе и банки, к введению Закона № 152-ФЗ в полном объеме не готов. Более того, не готовы регуляторы, что в общем-то и определило возможность переноса сроков. Причем годичная отсрочка здесь нужна не столько операторам, сколько законодателям, чтобы внести необходимые поправки, сформулированные в процессе попыток практической реализации требований Закона и соответствующих нормативных актов. Я думаю, это будет сделано в течение 2010 г. Будет также понятнее, что и как делать, требования станут больше соответствовать реалиям, и, наконец, у консультантов поднакопится опыт реализации на «пилотных» проектах.

Александр Туркин: Тут одна из проблем - толкование этого ФЗ и подзаконных актов. Если подходить формально и строго, то банки не готовы, и год отсрочки ситуацию кардинально не изменит. Если ряд требований будут скорректированы в сторону их ослабления, то степень готовности повысится.

Евгений Шевцов: Годичная отсрочка дает возможность сэкономить денежные средства при выполнении этих требований.

В связи с развитием дистанционного банковского обслуживания и планами активного развития банков в этом направлении насколько серьезной представляется проблема DDOS-атак на сайты банков, фишинга и прочих угроз для каналов ДБО?

Андрей Богословских: Угроза DDoS серьезна, но не сама по себе, а как средство сокрытия мошеннических транзакций с использованием украденных реквизитов клиентов.

Константин Меденцев: Как уже говорилось, развитие информационных технологий оказывает влияние и на криминальную сферу. Однако системы дистанционного банковского обслуживания при грамотном построении могут вполне уверенно противостоять некоторым видам угроз. Существующие в настоящее время средства мониторинга сетевой активности позволяют выявить источник DDOS-атаки достаточно быстро и наряду с этим позволяют предотвратить нанесение ущерба техническим средствам самой системы дистанционного банковского обслуживания. Однако проблемы, связанные с несанкционированным использованием ключевой информации, мало кого обошли стороной. Исключить данное явление возможно только совместными усилиями как со стороны кредитных организаций - путем внедрения более совершенных механизмов реализации криптографических процедур, так и со стороны самих клиентов - путем неукоснительного соблюдения рекомендаций по обеспечению информационной безопасности.

Александр Туркин: Проблема одна из самых серьезных. В некоторых банках накоплено много информации об источниках таких угроз. Ее консолидация, вероятно, могла бы существенно повысить раскрываемость в данной сфере. Но заинтересованного в такой информации консолидирующего правоохранительного органа не видно. И это при том, что в Доктрине информационной безопасности РФ эта угроза рассматривается как серьезная для экономики страны.

Евгений Шевцов: Считаю данную проблему серьезной. Банку необходимы инструменты, позволяющие предотвращать такие атаки на начальном этапе их действия. И не просто предотвращать, а защищать.

Какие основные проблемы/угрозы для своей деятельности с точки зрения ИБ вы видите на ближайшее будущее - 2010 г.?

Андрей Богословских: Соблюдение требований методических рекомендаций ФСБ и ФСТЭК по защите ПД. Развитие направления мошенничества с использованием каналов ДБО.

Константин Меденцев: Технический прогресс неуклонно идет вперед. Как уже отмечалось ранее, проникновение информационных технологий в криминальную сферу происходит ускоренными темпами. В этой связи представляется, что количество угроз информационной безопасности деятельности кредитных организаций может только возрастать. Однако более детальную оценку их характера и последствий сможет дать только время.

Владилен Новоселецкий: Основная проблема - приведение банка в соответствие с Законом «О персональных данных», а основная угроза - недопонимание или неверное понимание этой проблемы со стороны всех тех лиц, от которых зависит ее решение.

Евгений Шевцов: В рамках создания системы защиты персональных данных рассмотреть вопрос организации комплексной системы безопасности информационных ресурсов банка.

Оценить: