Научная статья на тему 'Анализ методик оценки защищенности информации в организациях банковской системы'

Анализ методик оценки защищенности информации в организациях банковской системы Текст научной статьи по специальности «Экономика и бизнес»

CC BY
363
125
i Надоели баннеры? Вы всегда можете отключить рекламу.
Ключевые слова
ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ / ОЦЕНКА ЗАЩИЩЕННОСТИ / УГРОЗА / БАНКОВСКАЯ СИСТЕМА / INFORMATION SECURITY / SECURITY ASSESSMENT / THREAT / BANKING SYSTEM

Аннотация научной статьи по экономике и бизнесу, автор научной работы — Мангилёва С. А.

Рассматривается проблема обеспечения информационной безопасности организаций банковской системы Российской Федерации. Проводится анализ требований регуляторов к уровню защищенности информации в организациях, принадлежащих банковской системе, на основе которых определяются методы обеспечения информационной безопасности в банковской сфере.

i Надоели баннеры? Вы всегда можете отключить рекламу.
iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

ANALYSING METHODS TO EVALUATE INFORMATION PROTECTION AT THE BANKING SYSTEM ORGANIZATIONS

The article considers a problem to ensure information security at the banking system organizations of the Russian Federation. The research analyses the requirements of regulators to the level of information security in organizations belonging to the banking system on the basis of which the methods to ensure information security in the banking sector are determined.

Текст научной работы на тему «Анализ методик оценки защищенности информации в организациях банковской системы»

УДК 004.056

АНАЛИЗ МЕТОДИК ОЦЕНКИ ЗАЩИЩЕННОСТИ ИНФОРМАЦИИ В ОРГАНИЗАЦИЯХ БАНКОВСКОЙ СИСТЕМЫ

С. А. Мангилёва

Сибирский государственный университет науки и технологий имени академика М. Ф. Решетнева Российская Федерация, 660037, г. Красноярск, просп. им. газ. «Красноярский рабочий», 31

E-mail: [email protected]

Рассматривается проблема обеспечения информационной безопасности организаций банковской системы Российской Федерации. Проводится анализ требований регуляторов к уровню защищенности информации в организациях, принадлежащих банковской системе, на основе которых определяются методы обеспечения информационной безопасности в банковской сфере.

Ключевые слова: информационная безопасность, оценка защищенности, угроза, банковская система.

ANALYSING METHODS TO EVALUATE INFORMATION PROTECTION AT THE BANKING SYSTEM ORGANIZATIONS

S. A. Mangileva

Reshetnev Siberian State University of Science and Technology 31, Krasnoyarsky Rabochy Av., Krasnoyarsk, 660037, Russian Federation E-mail: [email protected]

The article considers a problem to ensure information security at the banking system organizations of the Russian Federation. The research analyses the requirements of regulators to the level of information security in organizations belonging to the banking system on the basis of which the methods to ensure information security in the banking sector are determined.

Keywords: information security, security assessment, threat, banking system.

Информационная безопасность играет в банковском секторе ключевую роль. С этим параметром напрямую связаны репутационные и финансовые риски, от него зависит судьба любого финансового бизнеса.

Банковская деятельность всегда была связана с обработкой и хранением большого количества конфиденциальных данных. В первую очередь это персональные данные о клиентах, об их вкладах и обо всех осуществляемых операциях.

Вся коммерческая информация, хранящаяся и обрабатываемая в кредитных организациях, подвергается разнообразным рискам, связанным с вирусами, выходом из строя аппаратного обеспечения, сбоями операционных систем, утечкой конфиденциальной информации. Поскольку негативные последствия сбоев в работе отдельных организаций банковской системы (БС) РФ могут привести к быстрому развитию кризиса платежной системы РФ, нанести ущерб интересам собственников и клиентов, для организаций БС РФ угрозы и инциденты, связанные с нарушением ИБ, представляют существенную опасность.

Для противостояния подобным угрозам, снижению потенциальных рисков, а также для обеспечения эффективности мероприятий по устранению последствий инцидентов ИБ в организациях БС РФ следует обеспечить достаточный уровень защищенности.

Объем и виды мероприятий, принимаемых организациями БС РФ для защиты информации определяет-

ся рядом обязательных требований регуляторов, это -постановления и инструкции ЦБ РФ, стандарт СТО БР ИББС-1.0-2010, посвященный системе управления ИБ банка, различные международные стандарты (ISO 13569 «Banking and related financial servicesInformation security guide lines»), различные требования международных платежных систем и др.

Актуальным направлением является решение задач, связанных с оценкой защищенности организаций банковской системы и выбором наиболее рациональных средств защиты, применение которых позволило бы при ограниченном бюджете удовлетворить обязательным требованиям регуляторов и обеспечить необходимую защищенность системы.

Методика [1] устанавливает требования по оценке соответствия ИБ организаций банковской системы России требованиям стандарта Банка России СТО БР ИББС-1.0 при проведении аудита ИБ в организациях банковской системы и содержит следующие основные разделы:

Показатели ИБ. Способы оценивания показателей и уровней ИБ.

Определение текущего уровня ИБ организации банковской системы.

Определение зрелости процессов менеджмента ИБ организации банковской системы.

Определение уровня осознания ИБ организации банковской системы.

Решетневскуе чтения. 2017

Подсистема межсетевого экранирования

Подсистема защиты Web-pecypcoB

Подсистема аутентификации и авторизации пользователей;

Подсистема физической защиты

Подсистема защиты внутренних сетевых ресурсов

Антивирусная подсистема

Подсистема криптографической защиты информации

Подсистема защиты рабочих станций

Подсистома обнаружения и предотвращения вторжений

Подсистема

контроля содержимого k интернет-трафика

Подсистема протоколирования и

мониторинга v средств защиты

Подсистема управления ИБ

Архитектура системы ИБ организаций БС РФ

Формирование уровня соответствия ИБ организации банковской системы требованиям стандарта СТО БР ИББС-1.0.

В модели оценки защищенности организаций БС [2], автором предлагается следующая формальная модель:

МАЗ = { }, {0}, Б}, {ЯЯ}, {М?}, {ЫРг}, {ЯРТ }},

где {1А} - множество, описывающее информационные активы; {0} - объекты среды, описывают элементы ИС; {БГ} - множество угроз нарушения информационной безопасности; {ЯЯ} - множество требований регуляторов к обеспечению ИБ в организациях БС; {М?} - множество возможных механизмов

и методов защиты информации; {МРг} - уровень защищенности; {ЯРТ} - данные отчета о результатах

оценки защищенности организации БС.

Под оценкой защищенности организаций БС РФ будем понимать комплексную оценку существующих в организации недопустимых рисков, незакрытых средствами защиты информации, а также соответствие системы ИБ в организации требованиям регуляторов.

Изучив и проанализировав литературные источники [3-6] можно сделать вывод, что архитектура системы ИБ организаций БС РФ, которая полностью покрывает основные классы угроз, должна содержать следующие компоненты (см. рисунок).

После внедрения спроектированной системы необходимо обеспечить ее поддержку и сопровождение. Мероприятия по обеспечению ИБ в организациях БС РФ проводятся в четыре этапа:

- планирование системы ИБ организации;

- реализация и внедрение системы ИБ организации;

- проверка и оценка системы ИБ организации БС РФ;

- поддержка и улучшение системы ИБ организации.

Таким образом, оценка защищенности информации в организации БС РФ позволит составить модель

актуальных угроз, модель злоумышленника, проанализировать потенциальные риски и степень выполнения организацией требований регуляторов к ИБ, а также оценить эффективность и достаточность используемых механизмов защиты информации и выработать рекомендации по повышению общего уровня защищенности, применение которых позволит на практике улучшить систему ИБ организации.

Библиографические ссылки

1. СТО БР ИББС-1.2-2014. Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия ИБ РФ требованиям СТО БР ИББС-1.0-2014 [Электронный ресурс]. URL: http://espc.ru/ docs/laws/st-12-14 .pdf (дата обращения: 09.09.2017).

2. Модель оценки защищенности организаций банковской системы РФ [Электронный ресурс]. URL: https://cyberleninka.ru/article/n/model-otsenki-za-schischennosti-organizatsiy-bankovskoy-sistemy-ros-siys-koy-federatsii (дата обращения: 09.09.2017).

3. Голов А. Обеспечение безопасности современного банка // CIO. 2006. № 6. С. 23-25.

4. Слободенюк Д. Средства защиты информации в банковских системах // Банковские технологии. URL: https://www.arinteg.ru/about/publications/press/sredstva -zashchity-informatsii-v-bankovskikh-sistemakh-131107. html (дата обращения: 10.09.2017).

5. Автоматизированные банковские системы / В. С. Демин [и др.]. М. : Менатеп-Информ, 1997.

6. Петров В. А., Пискарев С. А., Шеин А. В. Информационная безопасность. Защита информации от несанкционированного доступа в автоматизированных системах. М., 1998.

References

1. STO BR IBBS-1.2-2014. Obespecheniye informa-tsionnoy bezopasnosti organizatsiy bankovskoy sis-temy Rossiyskoy Federatsii. Metodika otsenki soot-vetstviya IB RF trebovaniyam STO BR IBBS-1.0-2014 [Elektronnyy resurs]. Available at: http://espc.ru/docs/laws/st-12-14.pdf (accessed: 09.09.2017).

2. Model' otsenki zashchishchennosti organizatsiy ban-kovskoy sistemy RF [Elektronnyy resurs]. Available at: https://cyberleninka.ru/article/n7model-otsenki-zaschi-schennosti-organizatsiy-bankovskoy-sistemy-rossiyskoy-federatsii (accessed: 09.09.2017).

3. Golov A. Obespecheniye bezopasnosti sovremen-nogo banka // CIO. 2006. № 6. Р. 23-25.

4. Slobodenyuk D. Sredstva zashchity informatsii v bankovskikh sistemakh // bankovskiye tekhnologii. Available at: https://www.arinteg.ru/about/publications/

press/sredstva-zashchity-informatsii-v-bankovskikh-siste-makh-131107.html (accessed: 10.09.2017).

5. Avtomatizirovannyye bankovskiye sistemy / V. S. Demin [et al.]. M. : Menatep-Inform, 1997.

6. Petrov V. A., Piskarev S. A., Shein A. V. In-forma-tsionnaya bezopasnost'. Zashchita informatsii ot nesankt-sionirovannogo dostupa v avtomatizirovannykh siste-makh. M., 1998.

© Мангилёва С. А., 2017

i Надоели баннеры? Вы всегда можете отключить рекламу.