CC BY
210
КИБЕРБЕЗОПАСНОСТЬ В СИСТЕМЕ ИНТЕРНЕТ-БАНКИНГА
Ю.А. Караева, магистрант Н.Ю. Сайбель, канд. экон. наук, доцент Кубанский государственный университет (Россия, г. Краснодар)
DOI:10.24412/2500-1000-2021-2-1-172-177
Аннотация. В предложенной статье рассмотрены теоретические основы информационной безопасности; приведена характеристика рисков информационной безопасности; дана оценка преимуществ банковской организации, соблюдающей правила информационной безопасности; рассмотрены положения и письма Банка России, разработанные для обеспечения информационной безопасности; определены основные принципы создания системы безопасности информационной среды банковской организации; определена роль модели Деминга в соблюдении информационной безопасности банковской организацией.
Ключевые слова: информационная безопасность, банковская организация, цифровые технологии, кибербезопасность, риск-менеджмент.
Активное развитие и применение информационных технологий в различных сферах экономической деятельности не могли не коснуться сферы банковского бизнеса. Переход к цифровым технологиям охватывает как внутренние процессы банка, так и формат его взаимодействия с клиентами. И первостепенную роль в этом отношении играют системы электронного банкинга. К таким системам предъявляют высокие требования по отказоустойчивости, быстродействию, удобству пользования (юзабилити) и защищенности.
Поскольку банковские клиентские сервисы движутся в сторону удаленного обслуживания клиентов, происходит возникновение принципиально новых видов рисков и угроз в сфере безопасности. Выявление и предотвращение таких угроз является ключевой задачей при создании систем банковского дистанционного обслуживания. Банк России, учитывая всю сложность вопросов, связанных с информационной безопасностью, а также мировой опыт стандартизации в этой сфере, разработал и ввел в действие комплекс стандартов по обеспечению информационной безопасности.
В соответствии с положениями стандартов Банка России информационная безопасность определяется, как процесс, посредством которого организация обес-
печивает контроль над своими информационными активами и поддержку бизнес-процессов [1]. Информационная безопасность включает в себя обеспечение доступности, целостности и конфиденциальности информационных активов банковской организации, а также охватывает управление персоналом. Под доступностью понимают обеспечение доступности информации и основных услуг для пользователя в нужное время. Под целостностью понимают обеспечение сохранности информации в неискаженном виде. Под конфиденциальность понимают обеспечение защиты информации от несанкционированного доступа. Под управлением персоналом понимают необходимость осведомлённости персонала о наличии проблем кибербезопасности, а именно, пользователи должны понимать необходимость информационной безопасности для целей бизнеса, то есть для чего им нужны пароли, антивирусное ПО и прочее.
Следует отметить, что информационную безопасность принято рассматривать с технической, организационной и технологической сторон. Техническая сторона подразумевает технические средства. Организационная - формирование комплекса требований по информационной безопасности и организацию контроля их исполнения. Технологическая сторона подразу-
мевает выстраивание бизнес-процессов так, чтобы риск был минимален [1].
Любая целенаправленная деятельность банковской организации порождает риски, в том числе риски кибербезопасности. Они разделяются на риски внешней и внутренней среды. Ярким примером риска внешней среды служит электронная почта. Тяжело представить функционирование современного бизнеса без данного инструмента, так как это удобный и уже привычный способ коммуникации и между сотрудниками одного предприятия, и между разными предприятиями в целом. Но вместе с тем, электронная почта является потенциальным источником распространения вирусов и троянских программ. Особое внимание следует обращать на угрозы внутренней среды. Наибольшими возможностями для нанесения ущерба банковской организации в Российской Федерации обладает ее собственный персонал. Очевидно, что обиженный или недовольный сотрудник компании, имеющий легальный доступ к сетевым и информационным ресурсам и обладающий определенными знаниями о структуре корпоративной сети, может нанести своей компании гораздо больший ущерб, чем хакер, взламывающий корпоративную сеть через Интернет. По различным оценкам, от 50 до 80% атак, направленных на получение информации или хищение денежных средств со счетов клиентов, начинаются из локальной сети банка [2].
В ранее упомянутом комплексе стандартов Банка России изложен подход к организации информационной безопасности. Он помогает предотвратить возникновение подобных инцидентов, а также предоставляет ряд преимуществ банковской организации:
- эффективное управление операционными рисками (т.е. рисками убытков в результате ошибочных или неадекватных внутренних процессов или действий сотрудников);
- создание эффективной и управляемой системы информационной безопасности;
- повышение прозрачности в процессах управления ГГ-безопасностью в банковской организации;
- улучшение и защита имиджа банковской организации;
- выполнение рекомендаций и требований Банка России.
Последний пункт включает несколько положений и писем Банка России, разработанных для обеспечения информационной безопасности:
1) Письмо Банка России от 13 мая 2002 г. №59-Т «О рекомендациях Базель-ского комитета по банковскому надзору»;
2) Положение Банка России от 16 декабря 2003 г. №242-П «Об организации внутреннего контроля в кредитных организациях и банковских группах»;
3) Письмо Банка России от 24 мая 2005 г. №76-Т «Об организации управления операционным риском в кредитных организациях» и ряд других документов;
4) Письмо Банка России от 30 июня 2005 г. №92-Т «Об организации управления правовым риском и риском потери деловой репутации в кредитных организациях и банковских группах»;
5) Письмо Банка России от 7 декабря 2007 г. №197-Т «О рисках при дистанционном банковском обслуживании»;
6) Письмо Банка России от 27 апреля 2007 г. №60-Т «Об особенностях обслуживания кредитными организациями клиентов с использованием технологии дистанционного доступа к банковскому счету клиента (включая интернет-банкинг)»;
7) Письмо Банка России от 26 октября 2010 г №141-Т «О Рекомендациях по подходам кредитных организаций к выбору провайдеров и взаимодействию с ними при осуществлении дистанционного банковского обслуживания»;
8) Письмо Банка России от 14 декабря
2012 г. №172-Т «О Рекомендациях по вопросам применения статьи 9 Федерального закона «О национальной платежной системе»;
9) Письмо Банка России от 10 июня
2013 г. №104-Т «О повышении внимательности кредитных организаций к отдельным операциям клиентов»;
10) Письмо Банка России от 19 июня 2013 г №110-Т «О повышении внимания кредитных организаций к отдельным операциям клиентов»;
11) Письмо Банка России от 24 марта 2014 г. №49-Т «О рекомендациях по организации применения средств защиты от вредоносного кода при осуществлении банковской деятельности» [1].
В процессе создания системы безопасности информационной среды банковские организации должны провести комплекс работ, которые включают в себя обеспечение идентификации информационных банковских активов и анализ характерных для банка рисков кибербезопасности.
Примерный план создания системы управления информационной безопасностью (СУИБ) состоит из шести этапов:
- этап создания комитета, занимающегося обеспечением кибербезопасности;
- этап идентификации информационных активов и анализа рисков 1Т-безопасности;
- этап формирования и внедрения документации;
- этап информирования и обучения персонала;
- этап внедрения защитных мер;
- этап проведения независимой оценки соответствия [1].
Комитет по информационной безопасности создается с целью разработки совместных с бизнес-подразделениями решений по обеспечению кибербезопасно-сти. Такое взаимодействие позволяет избежать чрезмерной нагрузки на бизнес-подразделения, при этом обеспечение информационной безопасности остается на достаточном уровне. В состав комитета, как правило, включают специалистов следующих подразделений:
- информатизации;
- информационной безопасности;
- риск-менеджмента;
- внутреннего контроля;
- основных бизнес-подразделений.
Курирование деятельности комитета по
обеспечению информационной безопасности осуществляется первым лицом банка или его заместителем.
Идентификация информационных активов банка необходима для сбора и анализа данных об организационной и функциональной структуре информационной системы. Эти данные нужны для составления
прогноза информационной безопасности и разработки модели угроз и модели нарушителя [3]. Данные модели служат для разработки политики информационной безопасности (ПИБ).
ПИБ - это главный нормативный документ, который представляет собой одно или несколько правил, процедур и руководящих принципов по кибербезопасности и утверждается высшим руководством банковской организации. Он разрабатывается с учетом особенностей деятельности банка, его организационной структуры и размещения корпоративной информационной системы и характера решаемых задач.
ПИБ позволяет добиться необходимого уровня безопасности, обеспечивающего доверие в бизнесе в условиях воздействия актуальных для организации угроз. Принципы, которые необходимо учитывать при формировании ПИБ:
- Know you Customer или «Знать своего клиента». Данный принцип используется регулирующими органами по отношению к финансовым организациям с точки зрения знания деятельности их клиентов;
- Know to Employee или «Знать своего служащего». Принцип демонстрирует озабоченность организации по поводу отношения служащих к своим обязанностям и возможных проблем, например, злоупотребление имуществом, финансовые трудности или аферы, которые могут приводить к проблемам с безопасностью;
- Dual Control или «Двойное управление». Принцип сохранения целостности процесса и борьбы с искажением функций системы, требующий того, чтобы два лица независимо предпринимали некое действие до завершения определенных транзакций;
- Need to Know или «Необходимо знать». Принцип безопасности, ограничивающий доступ к информации и ресурсам по обработке информации тем, кому требуется выполнять определенные обязанности [1].
В ПИБ учитываются особенности бизнес-процессов банковской организации, поэтому важно, чтобы особенности электронного банкинга также нашли свое от-
ражение в политике информационной безопасности:
- операции клиентов во время всей длительности сеанса работы с системами дистанционного банковского обслуживания должны выполняться только после выполнения процедур идентификации, аутентификации и авторизации;
- при взаимодействии дистанционного банковского обслуживания с сетью Интернет обязательно должны применяться защитные механизмы, которые предотвращают возможность подмены авторизи-рованного клиента неизвестным злоумышленником во время установленного сеанса, а все попытки подобных подмен должны регистрироваться регламентированным образом [4];
- доступ пользователей к системам дистанционного банковского обслуживания рекомендуется осуществлять через специализированное программное обеспечение клиентских мест.
Политика информационной безопасности является вершиной документационно-го обеспечения информационной безопасности в банковских организациях. Следующий уровень документов по информационной безопасности включает положения, определяющие правила, которые используются в отдельных областях информационной безопасности, видах и технологиях деятельности банка:
- Положение о конфиденциальной информации;
- Положение об идентификации информационных активов;
- ПИБ при использовании ресурсов Интернета;
- Политика использования электронной почты;
- Порядок организации парольной защиты;
- Положение по использованию средств криптографической защиты;
- Политика антивирусной защиты;
- Регламент реагирования на нарушения информационной безопасности;
- Соглашения о контроле использования служебных сервисов [1].
Несмотря на то, что интернет-банкинг привносит неоспоримые пользовательские преимущества, такие как отсутствие необходимости личного присутствия при обращении за банковскими услугами или отказ от бумажной технологии информационного обмена, он содержит значительные риски как для клиентов кредитной организации, так и для нее самой. Риски связаны с осуществлением неправомерных действий для получения сведений, составляющих банковскую тайну, попытками осуществления мошеннических банковских операций по счетам клиентов, проведением сомнительных операций по клиентским счетам, которые не соответствуют хозяйственной деятельности клиента, а также попыток дезорганизовать бесперебойную работу системы банковского обслуживания [3].
Указанные риски требуют от банковской организации создание специализированной эффективной системы обеспечения информационной безопасности, включающей организационные и правовые аспекты, использование программно-технических средств защиты, включая средства криптографической защиты информации, без которых невозможно пользоваться услугами электронного банкинга через общедоступные телекоммуникационные сети, в частности, через Интернет. Также обязательным и неотъемлемым элементом информационной безопасности является контроль состояния и оценка ее соответствия требованиям и рекомендациям нормативно-правовых документов на уровне государства и регулятора банковского сектора.
Весь процесс информационной безопасности в целом, как и контрольные мероприятия в частности, должны соответствовать циклическому процессу менеджмента кибербезопасности организации. Наглядно представить данный процесс позволяет модель Деминга (рис. 1).
При верил
Рис. 1. Применение модели Деминга к процессу менеджмента информационной безопасности организации [5]
Модель Деминга (цикл Деминга) - это неразрывный постоянный круг
контроля, усовершенствования и оптимизации продукта и производственных процессов. Модель состоит из четырех этапов, позволяющих, при помощи постоянного аудита, обнаружить слабые места:
- Plan (Планирование),
- Do (Реализация),
- Check (Проверка),
- Act (Совершенствование).
Помимо вышеперечисленных составляющих особого внимания требует вопрос информирования персонала об информационной безопасности. Необходимо донести до сотрудников всю важность данного вопроса и сделать информационную безопасность элементом корпоративной культуры.
Библиографический список
1. Сычев А.М. Безопасность электронного банкинга / А.М. Сычев, П.В. Ревенков, А.Б. Дудка. - М.: Интеллектуальная литература, 2017.
2. Тропина Т.Л. Криминализация киберпреступлений: достижение консенсуса. - Запорожье: Компьютерная преступность и кибертерроризм. исследования, аналитика, 2017.
3. Сдали на взлом: мошенники научились маскироваться под ЦБ. - URL: https://iz.ru/847082/dmitrii-grinkevich/sdali-na-vzlom-moshennikinauchilis-maskirovatsia-pod-tcb (дата обращения: 10.02.2021).
Таким образом, можно отметить, что информационной безопасности в банковском секторе уделяется колоссальное внимание. Банковские организации испытывают крайнюю необходимость в разработке и правильном функционировании надежной системы информационной безопасности, которую необходимо постоянно совершенствовать. Также следует отметить, что без должного уровня системы информационной безопасности не представляется возможным функционирование дистанционного банковского обслуживания, поскольку все финансовые и информационные активы банковской организации становятся легкодоступными для злоумышленников.
4. Электронная торговля как инструмент повышения качества взаимодействия государства, бизнеса и общества. - URL: http://elibrary.ru/item.asp?id=26191475 (дата обращения: 10.02.2021).
5. О банке Альфа-Банк: официальный сайт. - URL: https://alfabank.ru/about/ (дата обращения: 10.02.2021).
CYBER SECURITY IN THE INTERNET BANKING SYSTEM U.A. Karaeva, Graduate Student
N.Y. Saybel, Candidate of Economic Sciences, Associate Professor Kuban State University (Russia, Krasnodar)
Abstract. The proposed article considers the theoretical foundations of information security; the characteristics of information security risks are given; the assessment of the advantages of a banking organization complying with the rules of information security is given; considered the regulations and letters of the Bank of Russia, developed to ensure information security; the basic principles of creating a security system for the information environment of a banking organization have been determined; the role of the Deming model in compliance with information security by a banking organization is determined.
Keywords: information security, banking organization, digital technologies, cyber security, risk management.
