Комплексные решения в области соблюдения мер обеспечения информационной безопасности в банковской сфере Текст научной статьи по специальности «Компьютерные и информационные науки»

КОМПЛЕКСНЫЕ РЕШЕНИЯ В ОБЛАСТИ СОБЛЮДЕНИЯ МЕР ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

В БАНКОВСКОЙ СФЕРЕ М.А. Семёнова, В.А. Семёнов Научный руководитель - д.т.н., профессор А.Г. Коробейников

В статье рассматриваются политика информационной безопасности организации банковской системы РФ, необходимость учитывать цели организации и имеющиеся ресурсы, необходимость соблюдения стандарта «Обеспечение информационной безопасности организаций банковской системы РФ». Приведены рекомендации соблюдения информационной безопасности в коммерческих банках.

Введение

Под информационной безопасностью (ИБ) банковских систем понимается система мер защиты банка от утечки конфиденциальной информации, в первую очередь о его клиентах. Речь идет о проверке выполнения стандарта «Обеспечение информационной безопасности организаций банковской системы РФ». В документе указывается, что наибольшими возможностями для нанесения ущерба банку обладает его собственный персонал. Сейчас этот стандарт носит рекомендательный характер и необязателен для исполнения. Чтобы разобраться в вопросах применения российских стандартов, необходимо представить себе структуру ИБ и понять, какое место они в ней занимают. Эта структура показана на рис. 1, откуда видно, что стандарты относятся к специальным нормативным документам по технической защите информации и находятся в определенном логическом соответствии с правовыми и организационно-распорядительными документами.

Рис. 1. Структура информационной безопасности в России

Для проведения проверок ЦБ разработал проект стандарта по аудиту информационной безопасности в банках и проект методики оценки ее соответствия требованиям стандарта. Эти документы были представлены для обсуждения в Ассоциацию пользователей стандартов ЦБ по обеспечению ИБ организаций банковской системы России. После того как документы будут утверждены, ими будут руководствоваться аудиторы при проверке ИБ в банках и сами сотрудники ЦБ.

Таким образом, Банк России среагировал на утечки банковской конфиденциальной информации, участившиеся в последние полгода. С лета 2006 г. в продаже на черном рынке стали появляться базы заемщиков - физических лиц. Источником утечки эксперты и сами банкиры называли службы безопасности банков. Участники рынка опасаются, что проверки выявят огромные объемы утечки конфиденциальной банковской информации, в первую очередь о корпоративных клиентах.

Политика информационной безопасности

Собственник организации должен обеспечить разработку, принятие и внедрение политики ИБ организации БС РФ, включая выделение требуемых для реализации этой политики ресурсов [3].

Для эффективного выполнения целей организации и задач по управлению активами должны быть выделены и определены соответствующие роли персонала организации. Роли следует персонифицировать с установлением ответственности за их исполнение. Формирование ролей, как правило, должно осуществляться на основании бизнес-процессов. Ответственность должна быть зафиксирована в должностных инструкциях [2].

При определении ролей для сотрудников организации БС РФ необходимо учитывать цели организации, имеющиеся ресурсы, функциональные и процедурные требования, критерии оценки эффективности выполнения правил для данной роли. Не рекомендуется, чтобы одна персональная роль целиком отражала цель, например, включала все правила, требуемые для реализации бизнес-процесса. Совокупность правил, составляющих роли, не должна быть критичной для организации с точки зрения последствий успешного нападения на ее исполнителя. Не следует совмещать в одном лице (в любой комбинации) роли разработки, сопровождения, исполнения, администрирования или контроля, например, исполнителя и администратора, администратора и контролера или других комбинаций.

При приеме на работу должны быть проверены идентичность личности, заявляемая квалификация, точность и полнота биографических фактов, наличие рекомендаций.

Лиц, которых предполагается принять на работу, связанную с защищаемыми активами или операциями, следует подвергать проверке в части профессиональных навыков и оценки профессиональной пригодности. Рекомендуется выполнять контрольные проверки уже работающих сотрудников регулярно, а также внепланово при выявлении фактов их нештатного поведения, или участия в инцидентах ИБ, или подозрений в таком поведении или участии.

Весь персонал организации БС РФ должен давать письменное обязательство о соблюдении конфиденциальности, приверженности правилам корпоративной этики, включая требования по недопущению конфликта интересов [3]. При этом условие о соблюдении конфиденциальности должно распространяться на всю защищаемую информацию, доверенную сотруднику или ставшую ему известной в процессе выполнения им своих служебных обязанностей. Для внешних организаций требования по ИБ регламентируются положениями, включаемыми в договоры (соглашения).

Персонал организации должен быть компетентным для выполнения своих функций в области обеспечения ИБ. Компетентность персонала следует обеспечивать с помощью процессов обучения в области ИБ, осведомленности персонала и периодической проверки уровня компетентности.

Привлекаемые для разработки и (или) производства средств и систем защиты АБС на договорной основе специализированные организации должны иметь лицензии на данный вид деятельности в соответствии с законодательством РФ.

Оперативный контроль доступа пользователей осуществляется подразделениями (лицами) в организации, ответственными за обеспечение ИБ; регистрация действий

персонала и пользователей в специальном электронном журнале. Данный электронный журнал должен быть доступным для чтения, просмотра, анализа, хранения и резервного копирования только администратору ИБ. При невозможности поддержки данного режима эксплуатирующимися в организации БС РФ аппаратно-программными средствами реализация данного требования должна быть обеспечена организационными и/или административными мерами.

При обеспечении антивирусной защиты в организации должны быть разработаны и введены в действие инструкции по антивирусной защите, учитывающие особенности банковских технологических процессов. Особое внимание должно быть уделено антивирусной фильтрации трафика электронного почтового обмена.

Лучшей практикой является построение эшелонированной централизованной системы антивирусной защиты, предусматривающей использование средств антивирусной защиты различных производителей и их раздельную установку на рабочих станциях, почтовых серверах и межсетевых экранах.

Электронная почта должна архивироваться. Архив должен быть доступен только подразделению (лицу) в организации, ответственному за обеспечение ИБ. Изменения в архиве не допускаются. Доступ к информации архива должен быть ограничен.

Общие требования по обеспечению информационной безопасности при использовании средств криптографической защиты информации

Средства криптографической защиты информации (СКЗИ) должны допускать встраивание в технологическую схему обработки электронных сообщений, обеспечивать взаимодействие с прикладным программным обеспечением на уровне обработки запросов на криптографические преобразования и выдачи результатов [2].

Внутренний порядок применения СКЗИ в АБС определяется руководством организации и должен включать:

1 порядок ввода в действие;

2 порядок эксплуатации;

3 порядок восстановления работоспособности в аварийных случаях;

4 порядок внесения изменений;

5 порядок снятия с эксплуатации;

6 порядок управления ключевой системой;

7 порядок обращения с носителями ключевой информации.

Ключи кодов аутентификации (КА) и/или электронной цифровой подписи (ЭЦП) должны изготавливаться в каждой организации самостоятельно. В случае изготовления ключей КА, ЭЦП для одной организации в другой организации БС РФ согласие первой организации считать данный ключ своим должно быть зафиксировано в договоре. В качестве объектов защиты должны рассматриваться:

1 банковский платежный технологический процесс;

2 платежная информация;

3 технологический процесс по управлению ролями и полномочиями сотрудников организации БС РФ, задействованных в обеспечении банковского платежного технологического процесса.

Банковский платежный технологический процесс должен быть однозначно определен (отражен) в нормативно-методических документах организации БС РФ.

Порядок обмена платежной информацией должен быть зафиксирован в договорах между участниками, осуществляющими обмен платежной информацией. В роли участников могут выступать организации БС РФ, юридические и физические лица.

Сотрудники организации БС РФ, в том числе администраторы автоматизированных систем и средств защиты информации, не должны обладать всей полнотой полномочий

для бесконтрольного создания, авторизации, уничтожения и изменения платежной информации, а также проведения операций по изменению состояния банковских счетов. Результаты технологических операций по обработке платежной информации должны быть контролируемы (проверены) и удостоверены лицами/автоматизированными процессами. Лица/автоматизированные процессы, осуществляющие обработку платежной информации и контроль (проверку) результатов обработки, должны быть независимы друг от друга.

При работе с платежной информацией необходимо проводить авторизацию и контроль целостности данной информации.

Лучшей практикой при автоматизированной обработке платежной информации является оснащение средств вычислительной техники (на которых осуществляются операции над платежной информацией) сертифицированными или разрешенными руководителем организации БС РФ к применению средствами защиты от НСД и средствами криптографической защиты информации.

Безопасность информации, отнесенной к банковской тайне, обеспечивается в соответствии со статьей 26 Федерального закона «О банках и банковской деятельности» [6].

Администратор ИБ не должен иметь права добавить нового пользователя в АБС, а также удалить из нее существующего пользователя. В случае отсутствия у администратора ИБ технических возможностей по настройке параметров АБС, влияющих на полномочия пользователей по доступу к информации эти настройки выполняются администратором АБС, но с обязательным предварительным согласованием устанавливаемых прав доступа пользователей к информации с администратором ИБ

Для каждой АБС должен быть определен порядок контроля ее функционирования со стороны лиц, отвечающих за ИБ.

Процессы подготовки, ввода, обработки и хранения информации, а также порядок установки, настройки, эксплуатации и восстановления необходимых технических и программных средств должны быть регламентированы и обеспечены инструктивными и методическими материалами, согласованными со службой ИБ. Должна осуществляться и быть регламентирована процедура периодического тестирования всех реализованных программно-техническими средствами функций (требований) по обеспечению ИБ. Регламентирующие документы должны быть согласованы со службой ИБ. Должна осуществляться и быть регламентирована процедура восстановления всех реализованных программно-техническими средствами функций по обеспечению ИБ. Регламентирующие документы должны быть согласованы со службой ИБ.

Рекомендации по проверке соблюдения безопасности информационных

систем в коммерческих банках

Банк России ввел новые стандарты обеспечения ИБ банковской системы

Согласно сообщению ЦБ, с целью повышения уровня ИБ организаций банковской системы ЦБ разработал стандарт СТО БР ИББС-1.0. Введение этого стандарта - реакция Банка России на скандалы из-за утечки информации из кредитных организаций. По замыслу ЦБ, ввод в действие этих документов позволит обеспечить единый подход к оценке ИБ российских банков. Кроме того, регулятор считает, что это расширит возможности применения стандарта СТО БР ИББС-1.0 для целей надзора и инспектирования кредитных организаций.

1. Основной целью проведения проверки соблюдения безопасности информационных систем в банках является оценка уровня ИБ банков, оценка рисков нарушений ИБ путем выявления угроз информационной безопасности, определения их источников и возможных последствий для банков. Наиболее опасными (значимыми) угрозами ИБ

информационных систем (способами нанесения ущерба субъектам информационных отношений) являются [3]:

1 нарушение конфиденциальности (разглашение, утечка) сведений, составляющих банковскую или коммерческую тайну, а также персональных данных;

2 нарушение доступности (дезорганизация работы) информационных систем, блокирование доступа к информации, нарушение технологических процессов, срыв своевременного решения задач;

3 нарушение целостности (искажение, подмена, уничтожение) информационных, программных и других ресурсов, а также фальсификация (подделка) документов.

2. Основными объектами проверки являются:

1 нормативная база банка по обеспечению ИБ;

2 системы обеспечения безопасности информационных ресурсов с ограниченным доступом, составляющих государственную, коммерческую, банковскую тайну, иных чувствительных по отношению к случайным и несанкционированным воздействиям и нарушению их безопасности информационных ресурсов, в том числе открытой (общедоступной) информации, представленной в виде документов и массивов информации, независимо от формы и вида их представления;

3 системы обеспечения безопасности процессов обработки информации - информационных технологий, регламента и процедур сбора, обработки, хранения и передачи информации;

4 системы обеспечения безопасности информационной инфраструктуры, включающей системы обработки и анализа информации, технических и программных средств ее обработки, передачи и отображения, в том числе каналов информационного обмена и телекоммуникаций, объектов и помещений, в которых размещены компоненты инфраструктуры.

3. Основными источниками угроз ИБ являются [6]:

1 непреднамеренные (ошибочные, случайные, необдуманные, без злого умысла и корыстных целей) нарушения установленных регламентов сбора, обработки и передачи информации, а также другие действия персонала при эксплуатации информационных систем, приводящие к непроизводительным затратам времени и ресурсов, разглашению сведений ограниченного распространения, потере ценной информации или нарушению работоспособности отдельных рабочих станций, подсистем или в целом всей системы;

2 преднамеренные (в корыстных целях, по принуждению третьими лицами, со злым умыслом и т.п.) действия сотрудников, допущенных к работе с информационными системами, а также сотрудников, отвечающих за обслуживание, администрирование программного и аппаратного обеспечения, средств защиты и обеспечения информационной безопасности;

3 деятельность преступных групп и формирований, политических и экономических структур, а также отдельных лиц по добыванию информации, навязыванию ложной информации, нарушению работоспособности системы в целом и ее отдельных компонентов;

4 ошибки, допущенные при проектировании информационных систем и их систем защиты, ошибки в программном обеспечении, отказы и сбои технических средств (в том числе средств защиты информации и контроля эффективности защиты);

5 действия компьютерных вирусов;

6 аварии, стихийные бедствия и т. п.

4. Нормативная база по обеспечению ИБ банка должна, как минимум, включать список нормативных документов, приведенных в приложении к Стандартам по обеспечению информационной безопасности учреждений банковской системы и соответствовать нормативным актам. Также инспектору необходимо изучить контрольную отчет-

ность - регистрационные журналы и отчеты по безопасности информационных систем, все организационно-распорядительные документы по вопросам обеспечения ИБ, а также отчеты внутреннего и внешнего аудита информационных систем.

5. В процессе проведения проверки инспектору необходимо изучить структуру информационной системы банка, а также нормативные документы, регламентирующие работу с информационными системами банка, а именно:

1 организация локальной вычислительной сети (ЛВС) в банке;

2 способы подключения к ЛВС рабочих мест сотрудников банка;

3 организация резервирования и восстановления важной информации. Организация восстановления работоспособности информационных систем на случай возникновения чрезвычайных ситуаций;

4 организация подключения к ресурсам сети Интернет и электронной почте;

5 способы защиты электронных платежей;

6 организация безопасности внутреннего электронного документооборота в банке;

7 организация делопроизводства с конфиденциальными документами. Доступ лиц к работе с конфиденциальными документами;

8 организация взаимодействия банка с представительствами банка и филиалами;

9 организация обучения сотрудников правилам безопасности;

10 организация систем архивирования, систем обнаружения атак злоумышленников и антивирусной защиты.

6. Проверка обеспечения безопасности при использовании пластиковых карт

В целях проверки обеспечения безопасности при использовании пластиковых карт инспектору необходимо проверить:

1 обеспечение контроля над целостностью и подлинностью передачи транзакций по каналам связи, а также последующей идентификацией и аутентификацией держателя карты;

2 проведение мониторинга и контроля над транзакциями в системе, мониторинга и управления сетью терминалов и банкоматов;

3 применение методов шифрования и верификации.

7. Проверка обеспечения безопасности коммуникаций. В целях проверки обеспечения безопасности коммуникаций инспектору необходимо проверить:

1 обеспечение безопасности использования линий связи и коммуникационного оборудования;

2 наличие резервных линий связи или альтернативных способов передачи информации;

3 применение средств криптографии, межсетевого экранирования данных, а также средств аутентификации при защите информации на внешнем уровне;

4 обеспечение защиты платежных документов;

5 обеспечение регистрации и хранения платежных документов.

8. Проверка обеспечения кадровой безопасности. В целях проверки обеспечения кадровой безопасности инспектору необходимо проверить:

1 наличие соответствующего персонала;

2 применение нормативной политики;

3 соблюдение сегрегации полномочий;

4 обеспечение контроля над установлением и соблюдением полномочий пользователей.

9. Проверка обеспечения целостности данных. В целях проверки обеспечения целостности данных инспектору необходимо проверить:

1 обеспечение дублирования данных;

2 обеспечение периодического резервного копирования и восстановления данных;

3 обеспечение соответствующей защитой данных на внешнем уровне.

10. Проверка обеспечения конфиденциальности данных. В целях проверки обеспечения конфиденциальности данных инспектору необходимо проверить:

1 применение нормативной политики безопасности;

2 обеспечение регистрирования доступа к конфиденциальным данным;

3 применение специальных средств кодирования информации (средства криптографии) и межсетевого экранирования.

11. Проверка контроля доступа к информационным ресурсам. В целях проверки недопущения несанкционированного доступа к информационным ресурсам инспектору необходимо проверить:

1 наличие системы разграничения доступа сотрудников к работе с автоматизированными системами;

2 применение регистрации пользователя, его действий, а также несанкционированных операций;

3 применение идентификации пользователя;

4 применение антивирусной защиты.

12. Проверка обеспечения безопасности программного обеспечения. В целях выявления нарушений соблюдения безопасности автоматизированных систем (АС), инспектору необходимо проверить:

1 соблюдение ограничения доступа к программному обеспечению;

2 разграничение прав и полномочий при работе с АС;

3 наличие резервной копии программного обеспечения.

13. Проверка обеспечения безопасности технических средств. В целях выявления нарушений соблюдения безопасности технических средств инспектору необходимо проверить [1]:

1 наличие помещений для оборудования информационной системы; соответствующего условиям эксплуатации данного оборудования;

2 соответствие технической укрепленности помещений требованиям НБКР;

3 соблюдение ограничения доступа в специальные помещения;

4 наличие специального оборудования для хранения носителей информации, обеспечивающего защиту от несанкционированного доступа, от теплового, механического и электромагнитного воздействия;

5 использование автономных и бесперебойных источников питания.

14. Составление отчета о проверке. По окончании проверки инспектор составляет отчет о проверке обеспечения безопасности информационных систем, включающий, как минимум, следующее [5]:

1 схематичное описание структуры информационной системы банка;

2 описание результатов проверки всех вышеизложенных разделов данных методических рекомендаций;

3 рекомендации по устранению нарушений соблюдения безопасности информационных систем, если таковые были выявлены.

Заключение

Информационная безопасность банковских систем - это система мер защиты банка от утечки конфиденциальной информации, выполнение стандарта «Обеспечение информационной безопасности организаций банковской системы РФ». Проанализированы необходимые меры по проверке соблюдения безопасности информационных систем в коммерческих банках и определены пути их устранения.

Литература

1. Галатенко В. А. Основы информационной безопасности. - М.:ИНТУИТ.РУ, 2003.-280 с.

2. Закон Российской Федерации «Об информации, информатизации и защите информации» от 25.01.95 // Собрание законодательства Российской Федерации. - 1995. - № 8. -С. 609.

3. Стрельченко Ю.А. Обеспечение информационной безопасности банков: Метод. пособие - М.: ИПКИР, 1994.

4. Шаваев А.Г. и др. Экономическая безопасность. Энциклопедия. - М.: Издательский дом «Правовое просвещение, 2001.

5. Шпак В. Методологические основы обеспечения информационной безопасности объекта // Конфидент. Защита информации. - 2006, январь-февраль, - С. 75-86.

6. Стандарт «Обеспечение информационной безопасности организаций банковской системы РФ. Общие положения» // Вестник Банка России. - № 68 (792). - 24 ноября 2004.