CC BY
9050_technical SCHMCE / «ш^шмим-^игмак^щжщж
УДК 004.056
Шамсутдинов Ринат Рустемович
Уфимский государственный авиационный технический университет
ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ В БАНКОВСКИХ ОРГАНИЗАЦИЯХ РОССИЙСКОЙ ФЕДЕРАЦИИ
Shamsutdinov Rinat Rustemovich
Ufa State Aviation Technical University
ENSURING THE SAFETY OF INFORMATION TECHNOLOGY IN BANKS OF THE RUSSIAN
FEDERATION
Аннотация:
В статье проанализированы требования к обеспечению безопасности информации и информационных технологий в рамках программно-аппаратной защиты информации для банковских организаций Российской Федерации. Также в статье анализируются требования к системе менеджмента информационной безопасности, системе информационной безопасности, а также системе обеспечения информационной безопасности. Представлены рекомендации.
Abstract:
The article analyzes the requirements for ensuring the security of information and information technologies in the field of software and hardware information security for banking organizations of the Russian Federation. The article also analyzes the requirements for the information security management system, the information security system, and the system of information security ensuring. Recommendations were provided.
Ключевые слова: банковская тайна, информационные технологии, Российская Федерация, информационная безопасность, требования к безопасности.
Keywords: bank secrecy, information technologies, Russian Federation, information security, security requirements.
Согласно Российскому законодательству банковские организации обязаны обеспечить безопасность информации, составляющей банковскую тайну, определенную Гражданским Кодексом РФ [1, ст. 857], персональные данные (ПДн) [2], согласно требованиям PCI DSS [3] должна быть обеспечена защита банковских технологических процессов (БТП).
Программно-аппаратная защита информации (ПАЗИ) является одной из составляющих системы
информационной безопасности (СИБ) банка, которая, в свою очередь, наряду с системой менеджмента информационной безопасности (СМИБ) образуют систему обеспечения информационной безопасности (СОИБ) банка. То есть непрерывно функционирующая СИБ управляется СМИБ в виде циклической модели Деминга, и совокупность данных систем образуют СОИБ, как представлено рисунком 1.
Рисунок 1 - СОИБ в типовой банковской организации
«ш^шетим-^шгмаьотжш©^ / тшшюеАк юипаж
СМИБ в рамках ПАЗИ также должна обеспечивать цикл Деминга, применительно к системе ПАЗИ. Согласно положениям СТО БР ИББС-1.0-2014, требования к СИБ типовой банковской организации должны быть оформлены документально в соответствии с РС БР ИББС-2.0 [4].
Согласно положениям данного стандарта, в конкретном банке требования к СИБ могут быть разработаны и для других областей и направлений деятельности. Выделим требования, определенных СТО БР ИББС-1.0-2014 применительно к ПАЗИ.
Назначение, распределение ролей, обеспечение доверия к персоналу в рамках ПАЗИ сводится к реализации разграничения доступа в соответствии с действующими в рамках СМИБ правилами согласно принципу минимизации привилегий, а также к выполнению и регистрации процедуры контроля за деятельностью работников, которые, в свою очередь, могут получить контроль над защищаемым информационным активом банка.
Разработка системы ПАЗИ должна производится с учетом необходимости обеспечения защиты в условиях попыток несанкционированного доступа (НСД) с использованием информационных-телекоммуникационных сетей, ошибок правомочных пользователей системы, возможности неадекватного или ненамеренного использования ими защищенной информации.
Требования к ПАЗИ при управлении доступом и регистрацией в типовой банковской организации включают учет и фиксацию прав доступа субъектов к объектам, а также применение встроенных в автоматизированную банковскую систему (АБС) защитных мер от НСД и возможность применения соответствующих сертифицированных средств защиты информации (СЗИ), причем защитными мерами должно обеспечиваться сокрытие вводимой аутентифицирующей информации на устройствах АБС, отображающих информацию. Размещение таких устройств должно препятствовать ее несанкционированному съему.
В типовой банковской организации необходимы определение и контроль выполнения требований к использованию межсетевых экранов (МЭ), разделению сегментов средств сетей с разной степенью критичности и к взаимодействию между сегментами сетей, применение ПАЗИ от НСД и нарушения целостности сведений о действиях и операциях. При информационном обмене с использованием сетей, неконтролируемых организацией банковской системы РФ, необходимо использование сетевых протоколов, обеспечивающих защиту и контроль целостности передаваемой информации в совокупности с реализацией двухсторонней аутентификации.
Рассмотрим требования СТО БР ИББС-1.0-2014 к средствам антивирусной защиты (САВЗ). Применение САВЗ обязательно на всех автоматизированных рабочих местах (АРМ) и серверах АБС, если не предусмотрено иное. Необходимо использование эшелонированной централизованной системы антивирусной защиты, которая предусмат-
51_
ривает использование САВЗ различных производителей на АРМ, серверах, МЭ. САВЗ и его базы данных должны регулярно обновляться, желательно автоматически. Все подключаемые носители должны проверяться с помощью САВЗ на предмет вредоносного ПО на автономном СВТ.
Рассмотрим требования СТО БР ИББС-1.0-2014 по ОИБ в рамках ПАЗИ при использовании сети Интернет. В типовой банковской организации рекомендуется проведение выделения ограниченного числа групп, содержащих перечень ресурсов сети Интернет, доступ к которым разрешен для пользователей. Определение работника в качестве пользователя определенной группы ресурсов должно регистрироваться и осуществляться согласно его должностным обязанностям. Также должно протоколироваться подключение и использование ресурсов Интернет. Передача защищаемой информации посредством глобальных сетей должна осуществляться только при условии защищенности ее конфиденциальности и целостности. В типовой банковской организации должны использоваться МЭ, САВЗ, системы обнаружения вторжений (СОВ), средства криптографической защиты информации (СКЗИ), которые обеспечивают, в том числе, прием и передачу данных только определенного формата и для конкретной технологии.
Рекомендуется физическая изоляция подключенных к Интернет СВТ от ЛВС, хранение защищаемой информации на таких СВТ возможно лишь в исключительных случаях с санкции руководства. Операции клиентов в системах дистанционного банковского обслуживания должны выполняться только после процедур ИА, при разрыве соединения или простое необходимо завершение сеанса и предложение повторных ИА пользователя. Для работы пользователей в системе дистанционного обслуживания рекомендуется разработка клиентского ПО.
Рассмотрим требования СТО БР ИББС-1.0-2014 по ОИБ при использовании СКЗИ. Необходимость использования СКЗИ определяется банком самостоятельно, если законодательством не предусмотрено иное, и применяется согласно соответствующей частной политикой ИБ, моделями угроз и нарушителя ИБ. Для защиты ПДн применяются СКЗИ не ниже КС2 класса.
Рассмотрим основные требования данного стандарта по ОИБ БПТП в рамках ПАЗИ. Работники банка, в том числе и администраторы не должны иметь возможности бесконтрольной авторизации, создания, изменения, уничтожения платежной информации, и несанкционированного изменения банковских счетов.
Требования СТО БР ИББС-1.0-2014 по ОИБ БИТП в рамках ПАЗИ соответствуют рассмотренным выше требованиям данного стандарта к СИБ в рамках ПАЗИ, дополнением является то, что не входящие в состав АБС серверы, офисные компьютеры и другое оборудование рекомендуется изолировать от АБС на уровне ЛВС способом, определенным службой ИБ.
TECHNICAL SCIENCE / <<ШЦШМУМ-ШУ®МА1>>#3(Ш7)),2(0]9
52_
Рассмотрим основные требования стандарта к ПАЗИ БТП, в рамках которых обрабатываются ПДн. СИБ банковских платежных технологических процессов (БПТП), в рамках которого обрабатываются ПДн, должен соответствовать требованиям БПТП данного стандарта, СИБ банковских информационных технологических процессов (БИТП) -требованиям БИТП данного стандарта и нижеуказанным требованиям.
Согласно положениям стандарта, угрозы утечки ПДн по техническим каналам, связанные с наличием недекларированных возможностей (НДВ) в системном и прикладном ПО рекомендуется признавать неактуальными для типовой банковской организации. Следовательно, для такой организации отпадает необходимость обеспечения 1 уровня защищенности (далее - УЗ) ПДн [5].
Реализация требований данного стандарта к ПАЗИ рекомендуется для защиты ПДн 3 и 4 УЗ ПДн при их обработке в информационной системе персональных данных (ИСПДн). Для обеспечения 2 УЗ ПДн рекомендуется реализовывать определенные меры ПАЗИ.
В дополнение к вышеизложенному, согласно положениям рассматриваемого стандарта, в типовой банковской организации должен осуществляться контроль взаимодействия между сегментами сетей, также необходимо обеспечение защиты периметров сетей, в которых размещены ИСПДн, должен осуществляться контроль выполнения правил взаимодействия ИСПДн с АБС.
Таким образом, специфику ПАЗИ в банковском учреждении составляет необходимость ее соответствия требованиям стандартов индустрии платёжных карт, реализации соответствующих настроек СЗИ, обеспечения безопасности БПТП,
БИТП, БТП ПДн. Также СОИБ банка должна состоять из СИБ под управлением СМИБ. СОИБ должна функционировать по циклу Деминга. В целом, ПАЗИ банка призвана обеспечить конфиденциальность, целостность и доступность информации обрабатываемой в АБС. Нормативно-правовая база такой защиты развита достаточно хорошо.
Список литературы
1. Гражданский кодекс Российской Федерации часть 2: федер. закон РФ от 26 января 1996 года N 14-ФЗ // КонсультантПлюс [Электронный ресурс]. URL: http://www.consultant.ru/docu-ment/cons_doc_LAW_9027/ (07.02.2019)
2. О персональных данных: федер. закон РФ от 26 января 1996 года N 14-ФЗ // КонсультантПлюс [Электронный ресурс]. URL: http://www.consult-ant.ru/document/cons_doc_LAW_61801/ (07.02.2019).
3. PCI DSS // PCI Security Standards Council [Электронный ресурс]. URL: https://www.pcisecuritystandards.org/document_librar y (07.02.2019).
4. СТО БР ИББС-1.0-2014 Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения: стандарт Банка России от 01 июня 2014 // Банк России [Электронный ресурс]. URL: http://www.cbr.ru/credit/gubzi_docs/st-10-14.pdf (22.12.2018).
5. Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных: Постановление Правительства РФ от 01.11.2012 № 1119 // КонсультантПлюс [Электронный ресурс]. URL: http://www.consultant.ru/docu-ment/cons_doc_LAW_137356/ (18.12.2018)
