Информационная безопасность в банковской сфере

Информационная безопасность банковской сферы

Как было выяснено в предыдущем параграфе, банки работают во внешней и внутренней информационной среде, которая представляет большую ценность, и это понимали еще со времени появления банков, что уже тогда вызывало преступный интерес у определенных лиц. И этот интерес был связан с тем, что банки располагают объемной информацией о финансовой и хозяйственной деятельности как физических и юридических лиц, так и государств. В современных условиях важность сохранения этой информации субъектами банковской сферы возросла, а необходимость обеспечения ее безопасности увеличилась.

Обобщая понимание информационной безопасности, содержащееся в нормативных документах и публикациях специалистов (см. рекомендуемую литературу), информационную безопасность следует понимать как защиту информации и поддерживающей ее инфраструктуры от различных вредоносных действий, реализация которых может нанести значительный ущерб субъектам информационных отношений банковской сферы. Поддерживающая инфраструктура — это различные технические средства обеспечения функционирования жизнедеятельности банка и его информационных систем, а также обеспечивающие техническую безопасность кадры. Безопасность информации (при применении информационных технологий) складывается из состояния защищенности как информационных технологий, так и самой информации.

Ранее объектами информационных нападений была информация о клиентах банка и сама деятельность банков, но такие атаки случались редко и ущерб был не столь велик для банков. В настоящее время хищения денежных средств банков и их клиентов с помощью электронных технологий стали распространенным явлением в силу повсеместного распространения информационных технологий.

Однако не надо думать, что компьютеризация несет в себе одни негативные моменты, ее использование позволило повысить эффективность работы сотрудников банка, в первую очередь тех, кто занимается сбором и обработкой информации, а также внедрить новые банковские продукты и технологии.

В настоящее время большая часть преступлений в банках совершается при помощи автоматизированных систем обработки информации банка (АСОИБ), и объем этих преступлений растет. Этот нарастающий негативный процесс обусловлен объективными причинами. Во-первых, объем информации, обрабатываемой с помощью автоматизированных систем обработки информации, постоянно растет, соответственно и доля преступлений также растет. Во-вторых, растет уровень доверия к этим системам, так как с их помощью управляют процессами, регулирование которыми было бы невозможно без их участия. Пользуясь высоким уровнем распространения этих систем, преступники и совершают свои криминальные действия.

В силу этого проблема защиты АСОИБ становиться более значимой. Таким образом, под безопасностью автоматизированной информационной системы следует понимать такое ее состояние, которое позволяет обеспечивать конфиденциальность, целостность и доступность информационных ресурсов, с которыми она работает. Распространение компьютерной грамотности среди широкого слоя граждан и доступность персональных ЭВМ актуализировало вопрос защиты информации, так как участились попытки вмешательства в функционирование банковских систем как с криминальным умыслом, так и с целью показать свою квалификацию. Эти вмешательства не прошли бесследно и нанесли значительный ущерб владельцам информации и компьютерных систем. В банках информация об электронных платежах и счетах представляет деньги. Варианты защиты информации могут быть разными, начиная с физических и заканчивая самыми продвинутыми электронными способами защиты и сокрытия данных.

Анализ организации информационной безопасности показывает, что систем, гарантирующих 100%-ную защиту, не существует, можно лишь предусмотреть защиту от проникновения той или иной категории нарушителей, обладающих той или иной компьютерной квалификацией.

Таким образом, использовать АСОИБ необходимо, но в процессе своего функционирования она приносит определенные неудобства.

К неудобствам следует отнести следующие моменты:

  • • дополнительные трудности работы с большинством защищенных систем;
  • • рост цены на систему с защитой;
  • • системные ресурсы подвергаются дополнительной нагрузке, что определяет увеличение затрат труда и замедляет выполнение всех операций кредитной организации;
  • • потребность в увеличении дополнительных сотрудников, которые требуются для поддержания работоспособности системы информационной безопасности.

Оставлять организацию системы информационной безопасности на «потом», считая «авось пронесет», — значит необоснованно рисковать ценной информацией. В современных условиях невозможно осуществлять банковскую деятельность без автоматизированной системы обработки информации. Однако сами системы уязвимы для преступников как из числа сотрудников банка, так и из числа посторонних лиц.

С позиции оценки нарушения информационной безопасности чаще всего происходят преступления, проистекающие из обыкновенной банковской практики, хакерские атаки и кража компьютеров бывают редко, но разовых убытков они приносят больше, а защита от них стоит дороже. Это требует оптимизации защиты информации и обусловливает необходимость наличия специальной стратегии информационной безопасности банков, отличной от стратегий организаций из других сфер экономики 1 . Информационная же безопасность небанковских организаций формируется исходя из того, что защищать информацию нужно прежде всего от налоговых органов, конкурирующих организаций и криминальных структур. При этом преследуется цель защиты информации для уменьшения налоговых выплат и рэкета. Круг же интересующихся такой информацией узок, и обратить ее в деньги, вследствие низкой ликвидности, сложно.

Проведенный анализ информации из официальных источников и публикаций ученых и практиков показывает, что организация информационной безопасности кредитной организации должна принимать во внимание целый ряд моментов.

Во-первых, информация, находящаяся в банковских системах, является по сути дела деньгами, поэтому криминальное манипулирование ею может нанести значительный ущерб. Такая специфика информации кредитной организации увеличивает число криминальных посягательств с целью доступа к ней и использования в преступных целях. Информация же хозяйствующих субъектов производственного сектора интересна ограниченному числу лиц.

Во-вторых, конфиденциальная информация в банковской сфере аккумулирует интересы значительного количества физических и юридических лиц, являющихся клиентами кредитной организации, которая должна заботиться об их интересах, иначе они уйдут обслуживаться в другой банк. Результат — потеря репутации и денежных ресурсов.

В-третьих, конкурентоспособность кредитной организации определяется количеством оказываемых услуг, в том числе большое значение имеют услуги, связанные с использованием информационных технологий, чтобы был обеспечен простой и легкий доступ для клиентов к своим денежным средствам. Однако это увеличивает число преступных посягательств на информацию банковских систем.

В-четвертых, поскольку кредитная организация несет ответственность как за свои деньги, так и за деньги клиентов, уровень компьютерных систем информационной безопасности должен быть высок.

В-пятых, информация как о клиентах, находящихся на обслуживании в банке в настоящее время, так и о клиентах, которые обслуживались ранее, хранится в банке, что увеличивает число потенциальных преступников.

В настоящее время при разработке стратегии кредитной организации необходимо учитывать такие моменты, как новые высокие информационные технологии, глобализация мирового финансового рынка, меняющиеся способы обслуживания клиентов с учетом их запросов. Все это кредитные организации обязаны учитывать, чтобы и в современных условиях оставаться на должном уровне конкурентоспособности.

Эти моменты заставляют кредитные организации формировать свою специфическую политику информационной безопасности с учетом новых реальностей. Как показывает анализ документов [1] политика информационной безопасности банка — это совокупность задокументированных правил, процедур, принципов, практических приемов в сфере обеспечения информационной безопасности, которые служат ориентирами для деятельности банка.

Организация работы по обеспечению информационной безопасности банка может быть представлена в следующем порядке. Сначала составляется список конфиденциальной информации, должным образом структурированный, который и будет представлять объект защиты, где каждый уровень структуры будет иметь соответствующий уровень секретности.

Можно рекомендовать следующий типовой перечень для кредитных организаций банковской сферы (исходя из условий политики информационной безопасности, который для каждого банка нуждается в приспособленной для него конкретизации): абсолютно конфиденциальные сведения, строго конфиденциальные сведения, конфиденциальные сведения, информация для служебного пользования.

Абсолютно конфиденциальные сведения кредитной организации содержат такую информацию, доступ к которой не уполномоченных на то лиц может привести к разглашению банковской тайны и стратегическому ущербу как банку, так и его клиентам.

Строго конфиденциальные сведения — это все прочие конфиденциальные сведения о клиентах банка и его сотрудниках.

Конфиденциальные сведения — это главным образом внутренние сведения, обеспечивающие системы управления, а также данные, касающиеся сотрудников, не вошедшие в первые два пункта.

Информация для служебного пользования включает в себя такие сведения, которые не могут быть опубликованы в открытых источниках.

Совокупность этих сведений составляет конфиденциальный секретный документ, именуемый «Перечень сведений, составляющих банковскую и коммерческую тайну». Этот документ, кроме общего определения структуры и объема защищаемой информации, содержит процедуру поэтапного снижения уровня ее секретности до уровня полного рассекречивания. С течением времени информация устаревает и не требует охраны.

С точки зрения информационной безопасности персонал банка необходимо рассматривать как самостоятельный информационной объект, требующий организации защитных мероприятий от многочисленных неприятностей. Необходимость защитных мероприятий определяется следующими объективными причинами:

  • • значительная часть сотрудников банка в силу занимаемой должности являются носителями конфиденциальной банковской и коммерческой информации;
  • • уход руководителей и ведущих специалистов из банка также представляет для работодателей существенную угрозу с большими финансовыми потерями;
  • • обособленность и высокая профессиональная специализация банковских работников создает при их уходе из банка серьезные проблемы, в том числе информационные.

Уровень информационной безопасности в кредитных организациях должен находиться под постоянных контролем, так как угрозы постоянно модифицируются. Методической основой контроля информационной безопасности является стандарт, включающий в себя целый набор положений по обеспечению информационной безопасности кредитных организаций. Определенная ими стратегическая цель информационной безопасности кредитной организации включает в себя различные процессы менеджмента информационной безопасности, определяемые потребностями обеспечения информационной безопасности. В стандарте используется риск-ориентированный подход, что и оставляет вопрос выбора средств обеспечения информационной безопасности за самим банком [2] .

Чтобы реализовать основные положения стандарта, необходимы следующие мероприятия:

  • • анализ рисков, связанных с нарушением информационной безопасности;
  • • идентификация активов, подлежащих защите;
  • • оценка рисков информационной безопасности с учетом технологий конкретного банка;
  • • разработка политики информационной безопасности банка;
  • • разработка пакета нормативных документов по вопросам информационной безопасности.

В дальнейшем, исходя из этих документов и положений, кредитная организация формирует свою систему менеджмента информационной безопасности. Стандарт рекомендует разработать следующий перечень документов для обеспечения информационной безопасности для кредитных организаций банковской сферы:

  • • документы, содержащие положения корпоративной политики информационной безопасности;
  • • документы, содержащие положения частных политик;
  • • документы, содержащие положения информационной безопасности, применяемые к процедурам (порядку выполнения действий или операций) обеспечения информационной безопасности;
  • • документы, содержащие свидетельства выполненной деятельности по обеспечению информационной безопасности.
Читайте также:  Обязанности газодымозащитника и постового на посту безопасности

Чтобы указанные документы способствовали обеспечению информационной безопасности, они должны не противоречить друг другу, носить обязательный характер, быть выполнимы и контролируемы, соответствовать требованиям ведения банковской деятельности.

В настоящих условиях применять или не применять стандарт, решают сами кредитные организации, однако практика свидетельствует о том, что обеспечить эффективную информационную безопасность без применения положений стандарта становится все труднее и труднее.

Важную роль в деятельности службы безопасности выполняет информационно- аналитическое подразделение, которое осуществляет сбор и обработку информации о конкурентах, маркетинговых условиях, криминогенных действиях. В процессе решения проблем, стоящих перед информационноаналитическим подразделением, оно решает следующие задачи:

  • • сбор, систематизация и ранжирование информации, определяющей уровень защищенности кредитной организации;
  • • выявление возможных субъектов преступных посягательств на информационную безопасность банка;
  • • проверка надежности и лояльности и иных значимых качеств лиц при приеме на работу;
  • • аналитические исследования для разработки стратегических и тактических решений по информационной защите деятельности кредитной организации;
  • • составление информационных документов по определенной проблеме. Эта деятельность включает подбор, анализ и систематизацию фактов, имеющих причастность к данному вопросу, оценку, отбор и истолкование фактов. На основании этого формулируется продуманное изложение в устной, письменной форме или электронной форме, что и представляет собой информационный документ.
  • 46 Глава 1.

В выгодном положении оказываются те банки, руководство которых способно лучше других оценить ситуацию на рынке, вовремя приспособить деятельность кредитной организации к динамично развивающейся рыночной конъюнктуре, правильно оценить реальные отношения с партнерами и конкурентами с учетом внешних и внутренних факторов в интересах наилучшей организации банковских процессов, повышения эффективности деятельности и конкурентоспособности. И в этом им должна помочь служба информационной безопасности.

Особенности защиты информации в банковских системах: основные принципы и методики

Банковская деятельность связана с обработкой больших объемов информации, основную часть которых составляют конфиденциальные данные клиентов.

К ним относится личные данные пользователей, копии их документов, номера счетов, данные о проведенных операциях, транзакциях и пр.

В процессе работы с этой информацией важно, чтобы она не попала в руки злоумышленников, не была изменена или утеряна.

Учитывая важность архивов, хранимых в информационной среде банка, существенно возросла их ценность и требования к защите банковской информации.

Сложность поддержки безопасности данных заключается в том, что банки должны обеспечить доступность к этим данным их пользователям и блокировать любые попытки получить информацию чужими людьми и злоумышленниками.

Чтобы успешно реализовать эту задачу потребуется комплекс мер, предназначенный для поддержки конфиденциальности данных, сохранности и безопасности обрабатываемой информации, а также безотказный доступ к данным во время проведения финансовых операций.

Чем важна информационная безопасность в банковских учреждениях

Чтобы понять какую роль играет информационная безопасность в банковской деятельности, следует разобраться в том, какая данные банка требуют защиты и почему.

К банковским данным относится совокупность информации, которая обеспечивает возможность представления финансового учреждения в информационной среде, а также данные, обеспечивающие возможность проведения финансовых операций между клиентом и банком, а также между несколькими клиентами, использующих банковское учреждение в качестве финансового посредника.

Существует два вида банковской информации – это те данные, которые используются в информационной среде с целью представления деятельности финансового учреждения для его клиентов, а также совокупность данных клиентов финучреждения как юридических, так и физических.

Несмотря на то, что одна информация является открытой, а вторая закрытой, обе они требуют надежной защиты.

  1. Безопасность открытых данных заключается в том, что эта информация всегда должна быть достоверной и подаваться клиентам в том ракурсе, который выбрал для себя банк. Если по каким-то причинам эти данные будут видоизменены или подменены, то банк может потерпеть не только существенные финансовые потери, а также и удар по своему имиджу и репутации.
  2. Опасность завладения закрытыми данными заключается в том, что если она попадет в руки злоумышленников, то они могут использовать ее с целью получения для себя неправомерной финансовой прибыли. Это может осуществляться путем проведения неправомерных финансовых операций или посредством вымогательства с угрозой распространить какую-либо скрытую информацию о клиентах банка.

Как видим, защита информации в банковских системах – это очень важный аспект деятельности финансового учреждения, который всегда должен быть ключевым среди большого перечня задач, с которыми сталкиваются банки.

Попытки доступа к тайной банковской информации

Среди способов несанкционированного доступа к данным банков на сегодня наиболее часто встречаются следующие.

  • Физический доступ и последующая кража нужной информации. Вариантов реализовать этот способ очень много, начиная с кражи конфиденциальной информации одним из сотрудников банка, который имеет доступ к ней и заканчивая вероятностью вооруженного налета с целью получения важных архивов, баз данных и пр.
  • Второй метод воровства заключается в том, что архивы можно неправомерно получить во время создания резервных копий. Всем известно, что любое учреждение делает резервирование и архивирование важных данных, чтобы не потерять их во время сбоя информационной системы или какой-нибудь более глобальной катастрофы. Большинство банковских учреждений архивируют свою информацию с помощью стримеров, записывая данные на ленту, которая хранится в отдельных помещениях. Во время процесса транспортирования лент и их хранения возможно копирование данных и распространение их вне информационной среды банка.
  • К одним из наиболее распространенных и вероятных способов утечки информации относится несанкционированный доступ к данным через права администратора информационной системы или посредством специальных программ, которые позволяют обойти защиту и получить доступ к нужной информации. Иногда сотрудники могут делать это даже непреднамеренно, например, беря работу домой. Как бы и ничего опасного, но вероятность того, что данные попадут в руки недоброжелателю, в таком случае, существенно возрастает.
  • Еще одним способом получить засекреченную информацию является распространение разного рода программ-шпионов, вирусов, плагинов, специализированного софта.

Методы защиты банковской информации

Учитывая перечисленные выше угрозы потери важных данных, должны выбираться методы и средства защиты банковской информации.

Защита от физического доступа

Большинство банков уделяют достаточно большое внимание уровню физической безопасности своей информации.

Начинается этот процесс с того, что места, где хранятся информационные архивы и устанавливаются банковские сервера, имеют более высокий уровень защищенности от проникновения и возможности пребывания там сторонних физических лиц.

Кроме этого, активная работа ведется и по подбору персонала, который будет иметь доступ к конфиденциальным данным банка и его клиентов. Реализация перечисленных факторов существенно снижает вероятность кражи архивов, но не исключает ее полностью.

Создание резервных копий

Резервирование информации и запись ее в архивы – это важный шаг чтобы сохранить нужные для себя данные.

Но чтобы исключить вероятность их попадания в руки злоумышленников, этот процесс должен происходить с применением систем шифрования.

Использование современной криптографической защиты сведет к нулю вероятность того, что даже украденная информация будет кем-то использована.

На сегодня есть много различных программных продуктов, которые обеспечивают шифрование данных в момент переноса их в архив.

Весь процесс полностью автоматизирован и не несет для банка существенных затрат в финансовом плане и в плане потребности дополнительных сотрудников.

Также важно, чтобы в процессе создания зашифрованного архива использовались хранилища, построенные на физических накопителях, а не на виртуальных.

Это гарантирует еще один уровень защищенности информации, ведь виртуальное хранилище легче взломать, нежели реальное.

Предотвращение инсайдерской информации

Предотвратить утечку инсайдерской информации порой бывает труднее всего. Защитить ее с помощью различных аппаратных и программных средств – это только половина решения поставленной задачи. В этом случае ключевую роль играет человеческий фактор.

Именно через сотрудников очень часто происходит потеря важных данных, что впоследствии влияет на будущее и текущую деятельность банка.

Поэтому подбор кадров, эффективная работа внутренней службы безопасности, а также использование системы ограничения доступа позволит минимизировать риски потери инсайдерской информации.

Заключение

Выше были рассмотрены основные способы защиты банковской информации.

Чтобы гарантировать 100-процентую ее защиту важно использовать все существующие на сегодня способы в комплексе.

Учитывая, что киберпреступность в последнее время развивается очень сильно и защитить информацию становится все труднее, важно, чтобы этим процессом занимались профессионалы своего дела.

Они помогут подобрать правильные аппаратные и программные средства, а также создадут верную стратегию защиты данных в конкретной информационной среде банка.

Видео: Правила защиты банковской карты от мошенничества

Информационная безопасность в банковской сфере

автор Анатолий Скородумов , дата 19 декабря 2020 г. 10:00:00 MSK

Финансовые организации исторически, наряду с нефтегазовой отраслью и телекомом, являются одними из лидеров по построению комплексных систем ИБ, использованию в них самых современных технологий и решений. С начала 2000-х гг. в финансовой отрасли действует отраслевой стандарт по ИБ, разработанный Банком России. К 2020 г. вышло уже четыре редакции данного стандарта, и в 2017 г. году на его основе был принят ГОСТ Р 57580.1.–2017 по обеспечению безопасности финансовых операций. Анатолий Скородумов, н ачальник Управления по обеспечению информационной безопасности Банка “Санкт-Петербург”, рассказывает о том, как развивается направление ИБ в банках и чего можно ожидать в будущем.

За прошедший год произошли важные изменения и появились нововведения в законодательстве, связанные с ИБ:

  • вступило в силу постановление европейской комиссии о защите данных (GDPR);
  • издан и вступил в силу закон 167-фЗ “о внесении изменений в отдельные законодательные акты рф в части противодействия хищению денежных средств”;
  • разработан большой пул подзаконных актов в части внедрения единой системы идентификации и аутентификации (ЕСИА).

Специалисты по ИБ прекрасно помнят серию атак 2016 г. на платежную систему Банка России (атаки на арМ кБр), общий ущерб от которых превысил 1,5 млрд рублей. Свежи в памяти произошедшие в 2016–2017 гг. несанкционированные списания с корреспондентских счетов банков через систему SWIFT.

С учетом все большего переноса бизнеса в электронную среду значимость вопросов обеспечения ИБ будет возрастать. Безопасность продукта или сервиса станет реальным конкурентным преимуществом.

С течением времени мы в меньшей степени будем использовать наложенные средства защиты, используя встроенные. Это закономерный процесс. основной фокус с точки зрения построения систем ИБ будет направлен на управление системой ИБ.

Хочется надеяться, что усилия Банка россии в области обеспечения ИБ приведут к тому, что задача по противодействию современным кибератакам уже в ближайшее время будет решаться финансовыми организациями сообща при активной поддержке Банка россии.

Активно станет развиваться рынок услуг ИБ, так как держать у себя в штате значительное число высококвалифицированных специалистов смогут только самые крупные банки.

В рамках деловой программы ТБ Форума 2019 состоится конференция “Защитные технологии банка будущего”, где будут представлены кейсы о новейших технологиях в финансовом секторе.

Информационная безопасность банков: хрупкий баланс

30-31 января в Москве проходил Инфофорум-2020. Во второй день форума состоялся круглый стол «Цифровая инфраструктура, технологии искусственного интеллекта и вопросы информационной безопасности в банковской сфере».

Банковские безопасники и «сочувствующие» собрались в здании Правительства Москвы на Новом Арбате, 36, чтобы обсудить новые тенденции в сфере кибербезопасности.

– Многие угрозы неизвестны даже самим разработчикам, они обнаруживаются только в ходе промышленной эксплуатации, – сказал, предваряя дискуссию, модератор круглого стола, заместитель председателя комиссии по цифровым финансовым технологиям ТПП РФ Тимур Аитов. – Как соблюсти баланс между удобством технологий и их безопасностью?

Один из банков сделал сверхзащищённую систему дистанционного обслуживания (ДБО), а его клиенты не захотели нажимать огромное количество кнопок и перешли в другой банк, рассказал «страшную байку» модератор.

Клиенты не думают о безопасности

– Когда мы говорим о новых рисках, мы сами себя обманываем. Неизменно существуют три риска: риск потери персональных данных, финансов и репутации банка, – отметил Василий Окулесский, заместитель начальника службы ИБ банка «Возрождение». – Клиент не выбирает уровень защищённости. Он выбирает, как ему удобно работать. 90% клиентов не думают о защищённости вообще.

– Люди ждут, что кто-то подумает за них, – добавил Аркадий Затуловский, ИТ-директор Нордеа Банка (Nordea). – Поэтому нормально, когда разработчики приложений думают о безопасности пользователей и где-то навязывают им технологии.

– Я считаю, мы сами воспитываем «социальных иждивенцев», решая всё время за клиентов, – возразил независимый эксперт Карл Сумманен.

Гендиректор RuSIEM Максим Степченков согласился с мнением большинства коллег – банк должен по максимуму «думать за клиента». При этом нужно внедрять технологии, которые помогают выявить нетипичное поведение пользователя (например, когда он пьян или телефон взял другой человек).

Нестрашные утечки и отключение ДБО

Максим Степченков прокомментировал недавние громкие события с утечками данных клиентов: «У красно-белого банка утекли персональные данные. Ну утекли и утекли. У всех моих знакомых есть карта этого банка. И ничего не произошло!».

Начальник отдела ФЦНИВТ «СНПО «Элерон» Виталий Матвиенко отметил, что тонкости безопасности должны закладываться на этапе разработки при помощи математических моделей, и пользователь не должен о них думать и знать.

– Пользователям стало всё проще продавать безопасность. Однако никто пока этого не делает. Банки не говорят: «Мы самый безопасный банк», – заметил Сергей Белов, руководитель продуктовой безопасности Mail.ru.

Иногда в целях безопасности лучше отключать счета от ДБО, а вернее, от «видимости» в ДБО (например, когда банк выдаёт кредитную карту с большим лимитом, и клиент не хочет подвергать себя повышенному риску), добавил Карл Сумманен.

Семирукий безопасник

Николай Силин, эксперт Международного дискуссионного клуба «Валдай», заявил о наличии проблем с доверенной средой. «Мы не управляем теми платформами, которыми пользуемся», – сказал эксперт.

– Клиент не разбирается в ИБ, он не может сам решить, чем расписываться – УКЭПом или ПЭПом через смс. Банк должен предложить ему подходящий вариант, – высказал своё мнение Олег Ковпак, директор по продуктам ID R&D.

– Мы с вами думаем только про студентов, бабушек, предпринимателей, но забываем про мошенников, у которых мешками лежат карты разных банков, – добавил Александр Виноградов, консультант по ИБ Нефтепромбанка. – Также мы забываем про маленькие банки за пределами топ-200, где сидит один безопасник, он не может быть семируким. Он подходит к руководству, говорит: «Нужно это, нужно то», а руководство отвечает: «Денег нет, делай сам».

Выбор между тремя сковородками

Как регулировать разработчиков? Нужно ли их регулировать? И кто/что лучше справится с этой задачей – сертификация, саморегулирование или ЦБ? – задал новую тему для дискуссии Тимур Аитов.

Отвечая на вопрос, Василий Окулесский привёл аналогию: «Вот ты сидишь на сковородке, а тебе предлагают ещё вторую и третью сковородку, чтобы ты между ними выбрал. На каждой температура 140 градусов. Только одна с тефлоном, другая чугунная, а третья стальная». По мнению Василия Окулесского, упор нужно делать на безопасную разработку.

– Сертификация – излишняя вещь, не работающая ни разу вообще, – сказал Аркадий Затуловский. – Есть другие подходы. Первый – это требования. Они есть во всём мире, и становятся обязательными. Второе – извините, есть конкуренция на рынке. Хотя, конечно, она опосредованная.

Справедливости ради он отметил, что даже огромное количество социальной инженерии не отвратило людей, например, от Сбербанка. Однако маленькому банку такие кейсы вполне могут повредить.

Участники дискуссии не раз обращались к теме СБП (Системы быстрых платежей). Эксперты отметили, что привязка всех счетов к номеру телефона, реализованная в рамках СБП, является инфраструктурным нагромождением и создаёт дополнительную почву для социальной инженерии.

Глобальные угрозы

– Цифровая независимость государства проходит сейчас не по физическим границам территории, а там, где пролегают границы между юрисдикциями разных государств. А эти границы проходят сегодня в нашем компьютере или гаджете, – сказал Андрей Курило, президент компании «Реальная безопасность».

Многие российские компании используют в своём ПО открытые коды, которые кто-то создавал явно не из альтруизма. ПО при этом формально является российским, но оно не безопасно, – поднял ещё одну важную проблему Виталий Матвиенко.

Необходимо регулировать глобальные компании, которые фактически ведут банковскую деятельность на территории России, но не получают здесь банковские лицензии и не попадают под регулирование ЦБ, добавил профессор Высшей школы экономики Михаил Левашов. Для этого нужно подталкивать такие компании к открытию российских юридических лиц.

В соответствии с законодательством, даже если организация не зарегистрирована на территории России, но оказывает услуги гражданам РФ за рубли, имеет сайт на русском языке и т.д., то она обязана подчиняться российским законам, заверил Валерий Комаров, начальник отдела обеспечения осведомленности Управления информационной безопасности Департамента информационных технологий города Москвы. Дальнейшие действия – вопрос регулирующих и контролирующих органов.

Информационная безопасность банков

Информационная безопасность банка – это состояние защищенности всех его информационных активов.

От информационной безопасности банка зависят его репутация и конкурентоспособность. Высокий уровень обеспечения информационной безопасности кредитной организации позволяет минимизировать следующие риски:

– риск утечки информации, составляющей служебную/коммерческую/банковскую тайну

– риск разрушения и потери ценных данных

– риск использования в деятельности банка, в том числе при принятии управленческих решений, неполной или искаженной информации

– риск распространения во внешней среде информации, угрожающей репутации банка.

Особенности банковских информационных систем заключаются в том, что они:

– хранят и обрабатывают большое количество данных о финансовом состоянии и деятельности физических и юридических лиц

– имеют инструменты совершения транзакций, ведущих к финансовым последствиям

– не могут быть полностью закрытыми, поскольку должны отвечать современным требованиям к уровню обслуживания (иметь систему онлайн-банкинга, сеть банкоматов, подключенных к публичным каналам связи и т.д.).

Указанные особенности приводят к тому, что информационные активы кредитных организаций являются желанной целью злоумышленников и нуждаются в серьезной защите.

Источниками угроз информационной безопасности банков являются:

– внешние злонамеренные и незлонамеренные нарушители ИБ

– внутренние злонамеренные и незлонамеренные нарушители информационной безопасности

– сбои и отказы программных и аппаратных компонентов информационных систем

– природные и техногенные катастрофы, нарушающие нормальный режим работы информационных систем.

Главная задача злоумышленников (внешних нарушителей и инсайдеров), атакующих информационные системы банков, – получение контроля над информационными активами кредитной организации для последующего совершения неправомерных транзакций или компрометации банка по заказу недобросовестных конкурентов.

Система обеспечения информационной безопасности банка должна:

– быть адекватной внутренним и внешним угрозам

– реализовывать комплексный подход к защите – включать все необходимые организационные меры и технические решения и защищать все компоненты ИС (системы электронных платежей, электронного документооборота и обслуживания платежных карт, банковские программные и программно-технические комплексы, системы удаленного обслуживания, сети связи и т.д.).

– обеспечивать высокую производительность – обрабатывать значительные объемы информации без снижения быстродействия

– быть надежной и отказоустойчивой благодаря применению технологий кластеризации, виртуализации, балансировки нагрузки и проч.

– иметь инструменты сбора, анализа данных об инцидентах и реагирования на события безопасности.

Постройте современную и эффективную систему защиты банковской информации вместе с ARinteg! Компания ARinteg имеет все необходимые компетенции и огромный опыт реализации проектов в ведущих российских кредитных организациях. Наши специалисты учтут все Ваши пожелания, специфику бизнеса, а также требования отраслевых и государственных стандартов информационной безопасности.

Заказчики ARinteg имеют возможность выполнить в рамках одного проекта требования сразу нескольких стандартов информационной безопасности, актуальных для российских кредитных организаций:

– Стандарта Банка России СТО БР ИББС;

– Федерального закона «О персональных данных» №152-ФЗ;

– Стандарта защиты информации в индустрии платёжных карт PCI DSS.

Выполнение требований сразу нескольких стандартов ИБ в рамках одного проекта позволяет заказчику:

– создать целостную и легко управляемую систему информационной безопасности

– не дублировать технические средства и организационные меры, направленные на выполнение требований стандартов

Оцените статью
Добавить комментарий