Информационная безопасность: как снизить банковские риски Текст научной статьи по специальности «Компьютерные и информационные науки»

о

со

К. ШЕВЧЕНКО,

аспирант Московской финансово-юридической академии

ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ: КАК СНИЗИТЬ БАНКОВСКИЕ РИСКИ

Рассматриваются вопросы информационной безопасности в банках. Обосновывается, что информационная безопасность — это, как минимум, на 60% продуманная система организационно-технических мероприятий, и лишь потом — разного рода продукты по поддержке информационной безопасности.

Ключевые слова: информационные технологии (ИТ), безопасность, безопасность в ИТ, безопасность в банках, ИТ в банках.

Сегодня банки вынуждены сами защищаться от всевозможных рисков как криминального, так и не криминального характера, причем эта защита, разумеется, должна соответствовать требованиям регулятора. С распространением § услуги интернет-банкинга ситуация только усугубилась. Как

е видно, победить в этой игре может только та финансовая

организация, которая полностью оснащена с точки зрения о информационной безопасности.

§ Сложность защиты информации в банковском секторе

^ определяется не только огромными массивами обрабатываете

^ емых данных и изощренностью средств, применяемых злоумышленниками для доступа к ним. Она характеризуется еще

^ и тем, что банки, являясь частью единой финансовой систе-

<< мы государства, должны соответствовать жестким требова-

^ ниям безопасности, но реализацию этих требований государ-

ё ство полностью возложило на сами кредитные организации.

<

о

ИТ-инфраструктура крупного универсального банка включает до нескольких сотен информационных систем, каждая из которых может стать слабым звеном с точки зрения безопасности. Риски в банковской сфере высоки, разнообразны и связаны не только с криминалом, но и с потерей информации и оперированием недостоверными данными в результате технических сбоев или влияния человеческого фактора.

Именно поэтому в ряде банков создаются целые управления, единственная задача которых — обеспечение информационной безопасности. Ее решение требует комплексного подхода, который включает правовые, организационные, технические, кадровые и другие аспекты. В прессу попадают случаи ограбления инкассаторов, но ни один грабитель не нанесет такой ущерб, на который способен злоумышленник, получивший доступ к чужим счетам, или инсайдер, сливающий конфиденциальную информацию конкурентам. Эти риски минимизируются защитой информационных систем банка от несанкционированного доступа. Требования к безопасности данных постоянно повышаются, причем случаются периоды скачкообразного роста, один из которых произошел относительно недавно и связан с активным развитием интернет-банкинга.

Долгое время банки решали вопросы безопасности данных, не выходя за пределы собственной информационной сети (центрального офиса, филиалов, банкоматов). Затем был сделан первый шаг в интернет: появились программы «клиент-банк» для юридических лиц, доступ к которым был крайне ограничен. И, наконец, в один прекрасный момент финансовые организации оказались перед лицом новых значительных рисков, когда в интернет вышли фронт-офисные системы, обслуживающие физических лиц.

Дистанционное обслуживание должно быть простым и удобным для клиента, иначе эта услуга не станет массовой и не принесет банку ту прибыль, ради которой она вводилась. Оптимальный для клиента вариант — доступ на защищенную часть сайта банка с авторизацией по паролю, и банки

сч

4

3

сейчас успешно его реализуют. Но чем проще доступ к услуге, тем сложнее обеспечить безопасность данных и не допустить незаконных трансакций. Ситуация, когда злоумышленник может получить доступ к чужому счету с любого компьютера без взлома специализированного клиентского ПО, без преодоления физических средств защиты типа токенов, говорит о доступности атакующих технологий и снижении их стоимости. При этом стоимость информационных систем возрастает.

На стоимость ИС влияют и системы защиты от неправомерных действий собственных сотрудников, которые могут нанести ущерб множеством способов — от компрометации клиентской базы до присвоения активов банка. Инсайдеры — настоящая головная боль для акционеров и служб безопасности, поскольку все средства разграничения доступа к электронным данным и к бумажным документам, защиты от копирования на диски и флэшки не работают на сто процентов. Существуют системы оперативного слежения за действиями сотрудников, но не придумана еще абсолютная техническая защита от изготовления лишней копии документа и выноса ее в кармане, фотографирования монитора на мобильный телефон или от непреднамеренного разглашения конфиденциальной информации в разговорах с коллегами. Эта часть задачи в основном ложится на плечи сотрудников служб безо-§ пасности и информационной безопасности банка.

е Также банки обязаны выполнять требования регулято-

ров, например в части своевременного предоставления обяза-о тельной отчетности, защиты персональных данных, противо-

§ действия отмыванию средств и финансированию террориз-

^ ма. Соответственно, необходимо поставить дорогостоящие

не

£ специализированные системы, которые смогут на лету про-

е водить мониторинг большого числа событий, реагировать на

^ них и быстро формировать отчетность. Если эти требования

<< не будут выполняться, организация имеет шансы пополнить

^ список из более 1600 банков, чьи лицензии уже были отозва-

ё ны ЦБ, в том числе и по указанным причинам.

<

о

Рынок предлагает большое число систем комплексной защиты информации (СЗКИ), но возникает проблема их сертификации. Системы защиты постоянно развиваются и совершенствуются в соответствии с новыми требованиями бизнеса, а сертификация их ФСТЭК и ФСБ России, естественно, отстает от этого процесса. Поэтому перед банками часто стоит выбор: использовать не новую, но сертифицированную систему или приобрести систему без сертификата, но более эффективную и полностью отвечающую требованиям конкретного банка по функционалу и совместимости с имеющейся инфраструктурой. В этом случае банк вынужден начать долгую и дорогую процедуру сертификации СЗКИ, причем без гарантированного положительного результата. Еще один аспект безопасности не связан с защитой от криминала и относится к обеспечению целостности и непротиворечивости данных. Для защиты банка от финансовых потерь данные должны правильно вводиться, доставляться без искажений, быть согласованными с другими данными и надежно храниться. При этом необходимо обеспечить полную прозрачность всех процессов движения данных с возможностью детализации до конкретного счета, клиента или сотрудника, ответственного за трансакцию. В большинстве случаев это реализуется созданием единого хранилища данных с дополнительными системами, отвечающими за контроль качества информации, а также внедрением автоматических процедур ее мониторинга, архивации и восстановления после сбоев.

Обеспечение информационной безопасности, как правило, зависит от потребностей бизнеса, требований регулятора и существующей ИТ-инфраструктуры банка. Защита данных начинается с аудита существующей ситуации и разработки общей концепции, политик и корпоративных стандартов управления информационной безопасностью. Цель этих мероприятий — создание системы обеспечения информационной безопасности. Стандарт Банка России СТО БР ИББС— 1.0—2008 определяет ее как совокупность системы информационной безопасности (защитные меры, средства и процес-

сл

сы) и системы управления информационной безопасностью (часть системы управления банка, предназначенная для создания, реализации, эксплуатации, мониторинга, анализа, поддержки и совершенствования системы обеспечения ИБ).

К созданию системы обеспечения информационной безопасности должны быть причастны не только служба ИБ, ИТ-служба, но и топ-менеджмент, юридическая служба и другие структуры. Связано это с многогранностью задач, требующих решения. Поскольку обеспечение безопасности — это непрерывный процесс, то для него требуется непрерывный цикл мероприятий: планирование, реализация, проверка, действие (ПРПД) — описанный в стандарте. В ходе планирования в первую очередь определяются цели и масштаб СУИБ, оцениваются риски и предлагается план работы по их минимизации. Далее план создания СУИБ реализуется с учетом корректировок, принятых на стадиях проверки и действия. Поскольку этот цикл непрерывный, проверки могут проводиться в любое время и с любой периодичностью в зависимости от ситуации.

Результатом должна стать система информационной безопасности, покрывающая все основные классы угроз и соответствующая требованиям бизнеса, регулятора и ИТ. В состав системы И Б могут входить следующие компоненты: подсистема управления ИБ; межсетевой экран; подсистема разгра-^ ничения доступа к электронным ресурсам; подсистема защи-

W

е ты от вторжении, а также подсистема защиты внутренних сетевых ресурсов. Невозможно обоИтись и без таких компо-

о нентов, как подсистема защиты web-ресурсов; антивирусная

§ защита; контроль трафика и подсистема криптографической защиты информации. Не менее важными являются подсисте-

§ мы защиты от физического доступа (PKI, защита от копирова-

е ния. ..)и мониторинга средств защиты и отчетов безопасности.

^ Выбор конкретных продуктов зависит от ситуации. Наиболее

<< известны комплексные и специализированные решения ком-

^ паний ArcSight, Check Point, Cisco Systems, Info Watch, Max

S Patrol, RSA, Websense, «Аладдин» и многих др.

<

о