Информационная безопасность банков

Содержание

Информационная безопасность банков: хрупкий баланс – События – Finversia (Финверсия)

Информационная безопасность банков

30-31 января в Москве проходил Инфофорум-2020. Во второй день форума состоялся круглый стол «Цифровая инфраструктура, технологии искусственного интеллекта и вопросы информационной безопасности в банковской сфере».

Банковские безопасники и «сочувствующие» собрались в здании Правительства Москвы на Новом Арбате, 36, чтобы обсудить новые тенденции в сфере кибербезопасности.

— Многие угрозы неизвестны даже самим разработчикам, они обнаруживаются только в ходе промышленной эксплуатации, — сказал, предваряя дискуссию, модератор круглого стола, заместитель председателя комиссии по цифровым финансовым технологиям ТПП РФ Тимур Аитов. – Как соблюсти баланс между удобством технологий и их безопасностью?

Один из банков сделал сверхзащищённую систему дистанционного обслуживания (ДБО), а его клиенты не захотели нажимать огромное количество кнопок и перешли в другой банк, рассказал «страшную байку» модератор.

Клиенты не думают о безопасности

— Когда мы говорим о новых рисках, мы сами себя обманываем. Неизменно существуют три риска: риск потери персональных данных, финансов и репутации банка, — отметил Василий Окулесский, заместитель начальника службы ИБ банка «Возрождение». – Клиент не выбирает уровень защищённости. Он выбирает, как ему удобно работать. 90% клиентов не думают о защищённости вообще.

— Люди ждут, что кто-то подумает за них, — добавил Аркадий Затуловский, ИТ-директор Нордеа Банка (Nordea). – Поэтому нормально, когда разработчики приложений думают о безопасности пользователей и где-то навязывают им технологии.

— Я считаю, мы сами воспитываем «социальных иждивенцев», решая всё время за клиентов, — возразил независимый эксперт Карл Сумманен.

Гендиректор RuSIEM Максим Степченков согласился с мнением большинства коллег – банк должен по максимуму «думать за клиента». При этом нужно внедрять технологии, которые помогают выявить нетипичное поведение пользователя (например, когда он пьян или телефон взял другой человек).

Нестрашные утечки и отключение ДБО

Максим Степченков прокомментировал недавние громкие события с утечками данных клиентов: «У красно-белого банка утекли персональные данные. Ну утекли и утекли. У всех моих знакомых есть карта этого банка. И ничего не произошло!».

Начальник отдела ФЦНИВТ «СНПО «Элерон» Виталий Матвиенко отметил, что тонкости безопасности должны закладываться на этапе разработки при помощи математических моделей, и пользователь не должен о них думать и знать.

— Пользователям стало всё проще продавать безопасность. Однако никто пока этого не делает. Банки не говорят: «Мы самый безопасный банк», — заметил Сергей Белов, руководитель продуктовой безопасности Mail.ru.

Иногда в целях безопасности лучше отключать счета от ДБО, а вернее, от «видимости» в ДБО (например, когда банк выдаёт кредитную карту с большим лимитом, и клиент не хочет подвергать себя повышенному риску), добавил Карл Сумманен.

Инфофорум-2020
Альберт Тахавиев, Finversia.ru

Семирукий безопасник

Николай Силин, эксперт Международного дискуссионного клуба «Валдай», заявил о наличии проблем с доверенной средой. «Мы не управляем теми платформами, которыми пользуемся», — сказал эксперт.

— Клиент не разбирается в ИБ, он не может сам решить, чем расписываться – УКЭПом или ПЭПом через смс. Банк должен предложить ему подходящий вариант, — высказал своё мнение Олег Ковпак, директор по продуктам ID R&D.

– Мы с вами думаем только про студентов, бабушек, предпринимателей, но забываем про мошенников, у которых мешками лежат карты разных банков, — добавил Александр Виноградов, консультант по ИБ Нефтепромбанка.

– Также мы забываем про маленькие банки за пределами топ-200, где сидит один безопасник, он не может быть семируким. Он подходит к руководству, говорит: «Нужно это, нужно то», а руководство отвечает: «Денег нет, делай сам».

Выбор между тремя сковородками

Как регулировать разработчиков? Нужно ли их регулировать? И кто/что лучше справится с этой задачей – сертификация, саморегулирование или ЦБ? – задал новую тему для дискуссии Тимур Аитов.

Отвечая на вопрос, Василий Окулесский привёл аналогию: «Вот ты сидишь на сковородке, а тебе предлагают ещё вторую и третью сковородку, чтобы ты между ними выбрал. На каждой температура 140 градусов. Только одна с тефлоном, другая чугунная, а третья стальная». По мнению Василия Окулесского, упор нужно делать на безопасную разработку.

— Сертификация – излишняя вещь, не работающая ни разу вообще, — сказал Аркадий Затуловский. – Есть другие подходы. Первый – это требования. Они есть во всём мире, и становятся обязательными. Второе – извините, есть конкуренция на рынке. Хотя, конечно, она опосредованная.

Справедливости ради он отметил, что даже огромное количество социальной инженерии не отвратило людей, например, от Сбербанка. Однако маленькому банку такие кейсы вполне могут повредить.

Участники дискуссии не раз обращались к теме СБП (Системы быстрых платежей). Эксперты отметили, что привязка всех счетов к номеру телефона, реализованная в рамках СБП, является инфраструктурным нагромождением и создаёт дополнительную почву для социальной инженерии.

Глобальные угрозы

— Цифровая независимость государства проходит сейчас не по физическим границам территории, а там, где пролегают границы между юрисдикциями разных государств. А эти границы проходят сегодня в нашем компьютере или гаджете, — сказал Андрей Курило, президент компании «Реальная безопасность».

Многие российские компании используют в своём ПО открытые коды, которые кто-то создавал явно не из альтруизма. ПО при этом формально является российским, но оно не безопасно, — поднял ещё одну важную проблему Виталий Матвиенко.

Необходимо регулировать глобальные компании, которые фактически ведут банковскую деятельность на территории России, но не получают здесь банковские лицензии и не попадают под регулирование ЦБ, добавил профессор Высшей школы экономики Михаил Левашов. Для этого нужно подталкивать такие компании к открытию российских юридических лиц.

В соответствии с законодательством, даже если организация не зарегистрирована на территории России, но оказывает услуги гражданам РФ за рубли, имеет сайт на русском языке и т.д.

, то она обязана подчиняться российским законам, заверил Валерий Комаров, начальник отдела обеспечения осведомленности Управления информационной безопасности Департамента информационных технологий города Москвы.

Дальнейшие действия – вопрос регулирующих и контролирующих органов.

Москва.

Источник: https://www.finversia.ru/news/events/informatsionnaya-bezopasnost-bankov-khrupkii-balans-69775

Информационная безопасность банковских безналичных платежей. Часть 3 — Формирование требований к системе защиты

Информационная безопасность банков

О чем исследование

В предыдущих частях исследования мы обсудили экономические основы и IT-инфраструктуру банковских безналичных платежей. В этой части речь пойдет о формировании требований к создаваемой системе информационной безопасности (ИБ). Далее мы рассмотрим:

  • роль обеспечения безопасности в жизни коммерческой организации;
  • место службы информационной безопасности в структуре менеджмента организации;
  • практические аспекты обеспечения безопасности;
  • применение теории управления рисками в ИБ;
  • основные угрозы и потенциальный ущерб от их реализации;
  • состав обязательных требований, предъявляемых к системе ИБ банковских безналичных платежей.

Роль обеспечения безопасности в жизни коммерческой организации

В современной российской экономической среде существует множество различных типов организаций. Это могут быть государственные предприятия (ФГУП, МУП), общественные фонды и, наконец, обычные коммерческие организации.

Главным отличием последних от всех других является то, что их основная цель – получение максимальной прибыли, и все, что они делают, направлено именно на это. Зарабатывать коммерческая организация может различными способами, но прибыль всегда определяется одинаково – это доходы за вычетом расходов.

При этом, если обеспечение безопасности не является основным видом деятельности компании, то оно не генерирует доход, а раз так, то для того, чтобы эта деятельность имела смысл, она должна снижать расходы.

Экономический эффект от обеспечения безопасности бизнеса заключается в минимизации или полном устранении потерь от угроз.

Но при этом также следует учитывать то, что реализация защитных мер тоже стоит денег, и поэтому истинная прибыль от безопасности будет равна размеру сэкономленных от реализации угроз безопасности средств, уменьшенному на стоимость защитных мер.

Однажды между собственником коммерческого банка и руководителем службы безопасности его организации состоялся разговор на тему экономического эффекта от обеспечения безопасности. Суть этого разговора наиболее точно отражает роль и место обеспечения безопасности в жизни организации: — Безопасность не должна мешать бизнесу. — Но за безопасность надо платить, а за ее отсутствие расплачиваться. Идеальная система безопасности – это золотая середина между нейтрализованными угрозами, затраченными на это ресурсами и прибыльностью бизнеса.

Место службы информационной безопасности в структуре менеджмента организации

Структурное подразделение, отвечающее за обеспечение информационной безопасности, может назваться по-разному. Это может быть отдел, управление или даже департамент ИБ. Далее для унификации это структурное подразделение будем называть просто службой информационной безопасности (СИБ). Причины создания СИБ могут быть разными.

Выделим две основные:

  1. Cтрах. Руководство компании осознает, что компьютерные атаки или утечки информации могут привести к катастрофическим последствия, и предпринимает усилия для их нейтрализации.
  2. Обеспечение соответствия законодательным требованиям.

    Действующие законодательные требования налагают на компанию обязательства по формированию СИБ, и топ-менеджмент предпринимает усилия по их исполнению.

Применительно к кредитным организациям необходимость существования СИБ зафиксирована в следующих документах:
Требуемый от СИБ функционал прописан в выше указанных документах.

Штатная численность жестко не регламентирована, за исключением, пожалуй, лицензионных требований ФСБ России на криптографию (минимум 2 сотрудника, но они могут быть в разных подразделениях) и может выбираться организацией самостоятельно.

Для обоснования размера штата рекомендуется пользоваться документом — Рекомендации в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Ресурсное обеспечение информационной безопасности» РС БР ИББС-2.

7-2015» С точки зрения подчиненности СИБ существует только одно ограничение, прописанное в вышеуказанных положениях ЦБ РФ — «Служба информационной безопасности и служба информатизации (автоматизации) не должны иметь общего куратора», в остальном свобода выбора остается за организацией. Рассмотрим типовые варианты. Таблица 1.

Подчиненность Особенности
СИБ в составе IT1. Организация защиты возможна только против внешнего злоумышленника. Основным вероятным внутренним злоумышленником является сотрудник IT. Бороться с ним в составе IT невозможно. 2. Нарушение требований Банка России.3. Прямой диалог с IT, простое внедрение систем защиты информации
СИБ в составе службы безопасности1. Защита от действий как внутренних злоумышленников, так и внешних. 2. СБ — единая точка взаимодействия топ-менеджмента по любым вопросам безопасности. 3. Сложность взаимодействия с IT, поскольку общение происходит на уровне глав IT и СБ, а последний, как правило, обладает минимальными знаниями в IT.
СИБ подчиняется Председателю Правления1. СИБ обладает максимальными полномочиями и собственным бюджетом. 2. Для Председателя Правления создается дополнительная точка контроля и взаимодействия, требующая к себе определенного внимания. 3. Возможные конфликты СБ и СИБ по зонам ответственности при расследовании инцидентов.4. Отдельный СИБ может «политически» уравновешивать полномочия СБ.

При взаимодействии с другими структурными подразделениями и топ-менеджментом банка у СИБ любой организации есть одна общая проблема — доказательства необходимости своего существования (финансирования). Проблема заключается в том, что размер сэкономленных средств от нейтрализованных угроз информационной безопасности невозможно точно определить. Если угроза не реализовалась, то и ущерба от нее нет, а раз проблем нет, то и не нужно их решать. Для решения этой проблемы СИБ может действовать двумя способами:

  1. Показать экономическую значимость
    Для этого ей необходимо вести учет инцидентов и оценивать потенциальный ущерб от их реализации. Совокупный размер потенциального ущерба можно считать сэкономленными денежными средствами. Для устранения разногласий по размеру оцениваемого ущерба рекомендуется предварительно разработать и утвердить методику его оценки.
  2. Заниматься внутренним PR-ом
    Рядовые работники организации обычно не знают, чем занимается СИБ, и считают ее сотрудников бездельниками и шарлатанами, мешающими работать, что приводит к ненужным конфликтам. Поэтому СИБ должна периодически доносить до коллег результаты своей деятельности, рассказывать об актуальных угрозах ИБ, проводить обучения и повышать их осведомленность. Любой сотрудник компании должен чувствовать, что, если у него возникнет проблема, связанная с ИБ, то он может обратиться в СИБ, и ему там помогут.

Практические аспекты обеспечения безопасности

Выделим практические аспекты обеспечения безопасности, которые обязательно должны быть донесены до топ-менеджмента и других структурных подразделений, а также учтены при построении системы защиты информации:

  1. Обеспечение безопасности — это непрерывный бесконечный процесс.

    Степень защищенности, достигаемая с ее помощью, будет колебаться с течением времени в зависимости от воздействующих вредоносных факторов и усилий, направленных на их нейтрализацию.

  2. Безопасность невозможно обеспечить постфактум, то есть в тот момент, когда угроза уже реализовалась.

    Чтобы нейтрализовать угрозу, процесс обеспечения безопасности должен начаться до попытки ее реализации.

  3. Большая часть угроз имеет антропогенный характер, то есть организации тем или иным образом угрожают люди. Как говорят компьютерные криминалисты: «Воруют не программы, воруют люди».

  4. В нейтрализации угроз должны участвовать люди, чья безопасность обеспечивается,
    будь это собственники бизнеса или клиенты.
  5. Безопасность — это производная от корпоративной культуры. Дисциплина, требуемая для реализации защитных мер, не может быть выше общей дисциплины при работе организации.

Подводя промежуточный итог под вышесказанным, отметим, что создаваемая система ИБ безналичных платежей должна иметь практическую направленность и быть экономически эффективной. Лучшим подспорьем в достижении указанных свойств является применение риск-ориентированного подхода.

Управление рисками (risk management)

Информационная безопасность — это всего лишь одно из направлений обеспечения безопасности (экономическая безопасность, физическая безопасность, пожарная безопасность, …).

Помимо угроз информационной безопасности, любая организация подвержена другим, не менее важным угрозам, например, угрозам краж, пожаров, мошенничества со стороны недобросовестных клиентов, угрозам нарушения обязательных требований (compliance) и т. д.

В конечном счете для организации все равно, от какой конкретно угрозы она понесет потери, будь то кража, пожар или компьютерный взлом. Важен размер потерь (ущерб).

Кроме размера ущерба, важным фактором оценки угроз является вероятность из реализации, которая зависит от особенностей бизнес-процессов организации, ее инфраструктуры, внешних вредоносных факторов и принимаемых контрмер. Характеристика, учитывающая ущерб и вероятность реализации угрозы, называется риском.
Примечание. Научное определение риска можно получить в ГОСТ Р 51897-2011

Риск может быть измерен как количественно, например, путем умножения ущерба на вероятность, так и качественно. Качественная оценка проводится, когда ни ущерб, ни вероятность количественно не определены. Риск в этом случае может быть выражен как совокупность значений, например, ущерб — «средний», вероятность — «высокая». Оценка всех угроз как рисков позволяет организации эффективным образом использовать имеющиеся у нее ресурсы на нейтрализацию именно тех угроз, которые для нее наиболее значимы и опасны.

Управление рисками является основным подходом к построению комплексной экономически эффективной системы безопасности организации. Более того, почти все банковские нормативные документы построены на базе рекомендаций по управлению рисками Базельского комитета по банковскому надзору.

Основные угрозы и оценка потенциального ущерба от их реализации

Выделим основные угрозы, присущие деятельности по осуществлению банковских безналичных платежей, и определим максимальный возможный ущерб от их реализации. Таблица 2.

УгрозаМаксимальный возможный ущерб
1Прекращение (длительная остановка) деятельностиОтзыв лицензии на банковскую деятельность
2Кража денежных средствВ размере остатка денежных средств на счетах
3Нарушение обязательных требований к деятельности, установленных действующим законодательством и договорами с Банком РоссииОтзыв лицензии на банковскую деятельность

Здесь в состав анализируемой деятельности входит совокупность бизнес-процессов:

  • реализация корреспондентских отношений с банками-партнерами и ЦБ РФ;
  • проведение расчетов с клиентами.

В дальнейшем мы будем рассматривать только вопросы обеспечения безопасности корреспондентских отношений с Банком России. Тем не менее, полученные наработки могут быть использованы для обеспечения безопасности и других видов расчетов.

Обязательные требования к системе ИБ безналичных платежей

При рассмотрении основных угроз мы оценили их ущерб, но не оценили вероятность их реализации. Дело в том, что если максимально возможный ущерб будет одинаковым для любых банков, то вероятность реализации угроз будет отличаться от банка к банку и зависеть от применяемых защитных мер. Одними из основных мер по снижению вероятности реализации угроз информационной безопасности будут:

  • внедрение передовых практик по управлению IT и инфраструктурой;
  • создание комплексной системы защиты информации.

Про IT практики здесь мы говорить не будем, затронем только вопросы обеспечения информационной безопасности. Основным нюансом, который необходимо учитывать в вопросах обеспечения информационной безопасности, является то, что данный вид деятельности довольно жестко регулируется со стороны государства и Центрального Банка. Как бы не оценивались риски, как бы не малы были те ресурсы, которыми располагает банк, его защита должна удовлетворять установленным требованиям. В противном случае он не сможет работать. Рассмотрим требования по организации защиты информации, налагаемые на бизнес-процесс корреспондентских отношений с Банком России. Таблица 3.

Защита персональных данных. Основание – в платежных документах есть персональные данные (Ф.И.О. плательщика / получателя, его адрес, реквизиты документа, удостоверяющего личность)
Федеральный закон «О персональных данных» от 27.07.2006 № 152-ФЗКоАП РФ Статья 13.11, КоАП РФ Статья 13.12 – до 75 тыс. руб. штраф., УК РФ Статья 137 – до 2 лет лишения свободы

Источник: https://habr.com/post/350852/

Информационная безопасность банков: распространённые угрозы и методы их устранения

Информационная безопасность банков

Банковская деятельность связана с обработкой больших объемов информации, основную часть которых составляют конфиденциальные данные клиентов.

К ним относится личные данные пользователей, копии их документов, номера счетов, данные о проведенных операциях, транзакциях и пр.

В процессе работы с этой информацией важно, чтобы она не попала в руки злоумышленников, не была изменена или утеряна.

Защита банковской информации

Учитывая важность архивов, хранимых в информационной среде банка, существенно возросла их ценность и требования к защите банковской информации.

Сложность поддержки безопасности данных заключается в том, что банки должны обеспечить доступность к этим данным их пользователям и блокировать любые попытки получить информацию чужими людьми и злоумышленниками.

Чтобы успешно реализовать эту задачу потребуется комплекс мер, предназначенный для поддержки конфиденциальности данных, сохранности и безопасности обрабатываемой информации, а также безотказный доступ к данным во время проведения финансовых операций.

Также Вы можете прочесть статью: Классификация методов защиты информации в современных реалиях

Чем важна информационная безопасность в банковских учреждениях

Чтобы понять какую роль играет информационная безопасность в банковской деятельности, следует разобраться в том, какая данные банка требуют защиты и почему.

Важность банковской информационной безопасности

К банковским данным относится совокупность информации, которая обеспечивает возможность представления финансового учреждения в информационной среде, а также данные, обеспечивающие возможность проведения финансовых операций между клиентом и банком, а также между несколькими клиентами, использующих банковское учреждение в качестве финансового посредника.

Существует два вида банковской информации – это те данные, которые используются в информационной среде с целью представления деятельности финансового учреждения для его клиентов, а также совокупность данных клиентов финучреждения как юридических, так и физических.

Несмотря на то, что одна информация является открытой, а вторая закрытой, обе они требуют надежной защиты.
  1. Безопасность открытых данных заключается в том, что эта информация всегда должна быть достоверной и подаваться клиентам в том ракурсе, который выбрал для себя банк. Если по каким-то причинам эти данные будут видоизменены или подменены, то банк может потерпеть не только существенные финансовые потери, а также и удар по своему имиджу и репутации.
  2. Опасность завладения закрытыми данными заключается в том, что если она попадет в руки злоумышленников, то они могут использовать ее с целью получения для себя неправомерной финансовой прибыли. Это может осуществляться путем проведения неправомерных финансовых операций или посредством вымогательства с угрозой распространить какую-либо скрытую информацию о клиентах банка.

Как видим, защита информации в банковских системах – это очень важный аспект деятельности финансового учреждения, который всегда должен быть ключевым среди большого перечня задач, с которыми сталкиваются банки.

Попытки доступа к тайной банковской информации

Среди способов несанкционированного доступа к данным банков на сегодня наиболее часто встречаются следующие.

  • Физический доступ и последующая кража нужной информации. Вариантов реализовать этот способ очень много, начиная с кражи конфиденциальной информации одним из сотрудников банка, который имеет доступ к ней и заканчивая вероятностью вооруженного налета с целью получения важных архивов, баз данных и пр.
  • Второй метод воровства заключается в том, что архивы можно неправомерно получить во время создания резервных копий. Всем известно, что любое учреждение делает резервирование и архивирование важных данных, чтобы не потерять их во время сбоя информационной системы или какой-нибудь более глобальной катастрофы. Большинство банковских учреждений архивируют свою информацию с помощью стримеров, записывая данные на ленту, которая хранится в отдельных помещениях. Во время процесса транспортирования лент и их хранения возможно копирование данных и распространение их вне информационной среды банка.
  • К одним из наиболее распространенных и вероятных способов утечки информации относится несанкционированный доступ к данным через права администратора информационной системы или посредством специальных программ, которые позволяют обойти защиту и получить доступ к нужной информации. Иногда сотрудники могут делать это даже непреднамеренно, например, беря работу домой. Как бы и ничего опасного, но вероятность того, что данные попадут в руки недоброжелателю, в таком случае, существенно возрастает.
  • Еще одним способом получить засекреченную информацию является распространение разного рода программ-шпионов, вирусов, плагинов, специализированного софта.

Методы защиты банковской информации

Учитывая перечисленные выше угрозы потери важных данных, должны выбираться методы и средства защиты банковской информации.

Защита от физического доступа

Большинство банков уделяют достаточно большое внимание уровню физической безопасности своей информации.

Пример архива коммерческого банка

Начинается этот процесс с того, что места, где хранятся информационные архивы и устанавливаются банковские сервера, имеют более высокий уровень защищенности от проникновения и возможности пребывания там сторонних физических лиц.

Кроме этого, активная работа ведется и по подбору персонала, который будет иметь доступ к конфиденциальным данным банка и его клиентов. Реализация перечисленных факторов существенно снижает вероятность кражи архивов, но не исключает ее полностью.

Создание резервных копий

Резервирование информации и запись ее в архивы – это важный шаг чтобы сохранить нужные для себя данные.

Но чтобы исключить вероятность их попадания в руки злоумышленников, этот процесс должен происходить с применением систем шифрования.

Использование современной криптографической защиты сведет к нулю вероятность того, что даже украденная информация будет кем-то использована.

На сегодня есть много различных программных продуктов, которые обеспечивают шифрование данных в момент переноса их в архив.

Криптографическая защита документов

Весь процесс полностью автоматизирован и не несет для банка существенных затрат в финансовом плане и в плане потребности дополнительных сотрудников.

Также важно, чтобы в процессе создания зашифрованного архива использовались хранилища, построенные на физических накопителях, а не на виртуальных.

Это гарантирует еще один уровень защищенности информации, ведь виртуальное хранилище легче взломать, нежели реальное.

Предотвращение инсайдерской информации

Предотвратить утечку инсайдерской информации порой бывает труднее всего. Защитить ее с помощью различных аппаратных и программных средств – это только половина решения поставленной задачи. В этом случае ключевую роль играет человеческий фактор.

Именно через сотрудников очень часто происходит потеря важных данных, что впоследствии влияет на будущее и текущую деятельность банка.

Система контроля доступа в организации

Поэтому подбор кадров, эффективная работа внутренней службы безопасности, а также использование системы ограничения доступа позволит минимизировать риски потери инсайдерской информации.

Заключение

Выше были рассмотрены основные способы защиты банковской информации.

Чтобы гарантировать 100-процентую ее защиту важно использовать все существующие на сегодня способы в комплексе.

Учитывая, что киберпреступность в последнее время развивается очень сильно и защитить информацию становится все труднее, важно, чтобы этим процессом занимались профессионалы своего дела.

Они помогут подобрать правильные аппаратные и программные средства, а также создадут верную стратегию защиты данных в конкретной информационной среде банка.

: Правила защиты банковской карты от мошенничества

Источник: https://bezopasnostin.ru/informatsionnaya-bezopasnost/osobennosti-zashhity-informatsii-v-bankovskih-sistemah.html

ЭУП

Информационная безопасность банков

Цель темы — изучение базовых понятий комплексного обеспечения информационной безопасности банковских сетей.Задачи темы:В результате изучения темы студенты должны освоить:

  • основы концепции безопасности банка;
  • классификацию угроз информационной безопасности;
  • виды обеспечения информационной безопасности;
  • подходы к обеспечению безопасности банковских систем.

Концепция безопасности банка представляет собой научно обоснованную систему взглядов на определение основных направлений, условий и порядка практического решения задач защиты банка от противоправных действий и недобросовестной конкуренции.

Под безопасностью банка в целом понимают состояние защищенности интересов владельцев, руководства и клиентов банка, материальных ценностей и информационных ресурсов от внутренних и внешних угроз.

Обеспечение безопасности является неотъемлемой частью деятельности банка. Концепция безопасности определяет цели и задачи системы безопасности; подходы к ее организации; виды угроз безопасности и ресурсы, подлежащие защите; а также основные направления разработки системы безопасности, включая правовую, организационную и инженерно-техническую защиту.

Главными целями системы безопасности являются:

  • обеспечение устойчивого функционирования банка и предотвращение угроз его безопасности;
  • защита законных интересов от противоправных посягательств, охрана жизни и здоровья персонала;
  • недопущение хищения финансовых и материально-технических средств, уничтожения имущества и ценностей, разглашения, утечки и несанкционированного доступа к служебной информации, нарушений работы технических средств обеспечения производственной деятельности, включая и средства информатизации.

К основным задачам системы безопасности банка следует отнести:

  • прогнозирование и своевременное выявление и устранение угроз безопасности персоналу и ресурсам банка;
  • отнесение информации к категории ограниченного доступа (государственной, служебной, банковской, коммерческой тайне, подлежащей защите от неправомерного использования), а информационных ресурсов – к различным уровням уязвимости и подлежащих защите;
  • создание механизма и условий оперативного реагирования на угрозы безопасности и проявления негативных тенденций в функционировании банка;
  • эффективное пресечение угроз персоналу и посягательств на ресурсы на основе правовых, организационных и инженерно-технических мер и средств обеспечения безопасности.

Рассмотренные цели и задачи системы безопасности банка определяют и концепцию комплексной защиты информационной банковской сети. А именно, в настоящее время на первый план выходит задача создания комплексной сис темы управления информационной безопасностью, которая охватывает всю инфраструктуру компании и, независимо от сложности и масштаба информационной системы, позволяет:

  • централизованно и оперативно оказывать управляющие воздействия на всю информационную инфраструктуру;
  • проводить регулярный аудит и всеохватывающий мониторинг, дающие объективную информацию о состоянии информационной безопасности для принятия оперативных решений;
  • накапливать статистические данные о работе информационной инфраструк туры для прогнозирования ее развития.

6.2. Объекты банковской безопасности

К объектам, подлежащим защите от потенциальных угроз и противоправных посягательств, относятся:

  • персонал (руководящие работники, производственный и обслуживающий персонал, работники бухгалтерии, осведомленные о сведениях, составляющих банковскую и коммерческую тайну, и др.);
  • финансовые и материальные средства;
  • сведения, составляющие служебную, банковскую и коммерческую тайну, а также иная конфиденциальная информация на бумажной, магнитной, оптической основе, информационные массивы и базы данных, программное обеспечение;
  • средства и системы информатизации (автоматизированные системы и вычислительные сети различного уровня и назначения, линии телеграфной, телефонной, факсимильной, радио- и космической связи, технические средства передачи информации, средства размножения и отображения информации, вспомогательные технические средства и системы).

В рамках данной темы целесообразно подробно рассмотреть такой объект безопасности как информация.

6.2.1. Информация как объект банковской безопасности

Информация по Федеральному закону «Об информации, информатизации и защите информации» определена как сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления.

Согласно этому закону информация бывает как документированная (документ), так и в виде информационных ресурсов — отдельные документы, отдельные массивы документов, документы и массивы документов в информационных системах.

В свою очередь информация бывает открытой и ограниченного использования. Последняя подразделяется на государственную тайну и на конфиденциальную информацию. Конфиденциальная информация — документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации.

Информационные ресурсы являются объектами отношений физических, юридических лиц, государства.

Правовой режим информационных ресурсов определяется нормами права владения, права пользования и права распоряжения, устанавливающими:

  • порядок документирования информации;
  • право собственности;
  • категорию информации по уровню доступа к ней;
  • порядок правовой защиты.

При этом собственнику предоставляется право самостоятельно, в пределах своей компетенции, устанавливать режим защиты информационных ресурсов и доступа к ним.

Конфиденциальная информация в силу закона. Федеральный закон «Об информации, информатизации и защите информации» (ст. 11) напрямую относит к категории конфиденциальной информации персональные данные (информацию о гражданах). Гражданский кодекс Российской Федерации (ст.

857) вводит понятие «банковская тайна», а Закон РСФСР «О банках и банковской деятельности в РСФСР» ограничивает доступ к этим сведениям и определяет круг лиц, допущенных к ним (ст. 25). Федеральный закон «О связи» (ст.

32) на основании Конституции Российской Федерации дает понятие «тайна связи» и определяет круг лиц, допущенных к ней и обеспечивающих ее соблюдение.

Конфиденциальная информация по признакам. Не ко всяким сведениям, составляющим тайну, в силу их неопределенности применима прямая норма. Иногда законодательно возможно определить только признаки, которым должны удовлетворять эти сведения.

Признаками, определенными законом, можно считать такие неотъемлемые свойства информации, которые непосредственно указаны в законе, присущи сведениям, составляющим тайну, и совокупность которых позволяет однозначно определить объект правовых отношений. Так, Гражданским кодексом Российской Федерации (ст.

139) определяются признаки служебной и коммерческой тайны как особого объекта гражданских прав, а также предусматриваются основания и формы их защиты. Коммерческая и служебная тайна в качестве объекта гражданского права обладает тремя признаками:

  • соответствующая информация неизвестна третьим лицам;
  • к ней нет свободного доступа на законном основании;
  • собственник информации принимает меры обеспечения ее конфиденциальности.

Федеральный закон «Об информации, информатизации и защите информации» регулирует взаимоотношения в информационной сфере только при обращении с документированной информацией: «Документированная информация (документ) — зафиксированная на материальном носителе информация с реквизитами, позволяющими ее идентифицировать».

Источник: http://eos.ibi.spb.ru/umk/5_14/5/5_R0_T6.html

Виды защиты банковской информации

Информационная безопасность банков

В банковской сфере изначально существовала проблема, связанная с конфиденциальностью информации, ее хранением и защитой. Безопасность данных банковских учреждений играет важную роль в бизнесе, поскольку конкуренты и преступные лица всегда интересуются такой информацией и прилагают все усилия для ее достижения.

Во избежание возникновения такого рода проблем, необходимо научиться защищать банковские данные. Для того чтобы защита банковской информации была эффективной нужно, прежде всего учесть все возможные способы утечки информации.

А именно: тщательно проверять данные людей при подборе кадров, проверять их биографические данные и предыдущие места работы.

Информационная безопасность банковских учреждений

Все информационные данные, находящиеся в обработке банковских и кредитных организаций, подвергаются риску. Это как данные клиентов, так и данные о непосредственной работе банков, их базы данных и так далее.

Дело в том, что такая информация может быть полезна как конкурентам, так и физическим лицам, занимающимся преступной деятельностью.

Их действия, по сравнению с проблемами, возникающими из-за вирусного поражения аппаратуры или сбоев операционных систем, приносят действительно колоссальный ущерб для организаций подобного рода.

Защита банковских серверов и локальных сетей от злоумышленников и несанкционированного доступа к материалам компании просто необходима в условиях жесткой конкуренции современного общества.

Информационная безопасность систем банковских учреждений имеет важное значение поскольку это гарантирует соблюдение конфиденциальности данных о клиентах банков. Проведение ежедневного резервного копирования, которое осуществляется организациями, снижает риск полной утери важной информации.

Помимо этого, разработаны способы защиты данных от угроз, касающихся несанкционированного доступа. Утечка такого рода информации может возникать вследствие работы как шпионских служб, специально засланных в организацию, так и сотрудников, давно работающих и решившихся заработать на хищении информационного имущества банка.

Безопасность обеспечивается благодаря работе профессионалов и специалистов, знающих свое дело.

Защита клиентов – это один из важнейших показателей, влияющих на репутацию банка в целом, в том числе и на доход организации. Поскольку только хорошие отзывы помогут банку выйти на высокий уровень обслуживания и обойти конкурентов.

Рекомендуем также это видео по банковской сфере:

Несанкционированный доступ к информации банковских систем

Одним из самых частых способов кражи банковской информации является использование резервного копирования, вынос данных на носителе или имитация взлома, но не с целью кражи материальных средств, а чтобы получить доступ к информации на сервере.

Поскольку резервные копии обычно хранятся на стримерах в отдельных местах, то во время их транспортировки в место назначения можно сделать копии. Вот почему сотрудники, которых берут на подобную работу, тщательно проверяются через различные государственные органы на наличие судимости, проблем с законом в прошлом, в том числе и достоверность предоставленной о себе информации.

Поэтому не стоит недооценивать такую возможность хищения банковской информации, ведь мировая практика пестрит такими случаями.

К примеру, так в 2005 году были выставлены на продажу базы данных проводок Центрального Банка Российской Федерации.

Не исключено, что эта информация просочилась за пределы банковской организации именно из-за недостаточной безопасности банковских систем.

Похожая ситуация не раз происходила во всемирно известных компаниях Соединенных штатов Америки, информационная безопасность которых очень сильно страдала от этого.

Интервью с начальником службы безопасности банка:

Более того, еще один способ, вследствие которого может возникнуть утечка информации из систем, это банковские сотрудники, жаждущие заработать на этом.

Несмотря на то, что в большинстве случаев несанкционированный доступ к информации банковских систем делается только лишь с целью получить возможность поработать дома, именно они становятся причиной распространения информации, которая носит конфиденциальный характер. К тому же это прямое нарушение политики безопасности систем банковских организаций.

Следует также учесть, что в любом банке работают люди, имеющие значительные привилегии по доступу к таким данным. Это, как правило, системные администраторы. С одной стороны, это производственная необходимость, которая дает возможность выполнять служебные обязанности, а с другой – они могут использовать ее в собственных целях и при этом умеют профессионально “заметать за собой следы”.

Способы снижения рисков утечки информации

Защита банковской информации от несанкционированного доступа обычно включает в себя не менее 3 составляющих. Каждая из этих составляющих помогает обеспечить безопасность банков именно в той сфере, где она используется. Сюда можно отнести защиту от физического доступа, резервных копий и защиту от инсайдеров.

Поскольку банки с особым вниманием относятся к физическому доступу и стараются еще в корне исключить возможность несанкционированного доступа, то им приходится использовать специальные средства и способы шифрования и кодирования важной информации.

Поскольку банки имеют похожие системы и средства для защиты данных, то лучше использовать криптографические защитные средства. Они помогают сохранить коммерческую информацию, а также сократить риски возникновения таких ситуаций.

Лучше всего хранить информацию в закодированном виде, используя принцип прозрачного шифрования, который помогает снизить затраты на защиту информации, а также освобождает от необходимости постоянно расшифровывать и зашифровывать данные.

Учитывая тот факт, что все данные банковских систем фактически являются деньгами клиентов, следует уделять должное внимание их сохранности. Одним из способов является определение наличия вышедших из строя секторов на жестком диске.

Функция отмены или приостановки процесса играет далеко не последнюю роль при первоначальном шифровании, зашифровывании, расшифровывании и перешифровании диска. Такая процедура имеет высокую продолжительность, и поэтому любой сбой может привести к полной утере информации.

Наиболее надежный способ хранения ключей шифрования и систем – это смарт карты или USB-ключи.

Защита систем информации осуществляется более эффективно благодаря применению не только стримеров, но и съемных жестких дисков, DVD-носителей и прочего. Комплексное использование средств защиты от физического проникновения к источникам информации увеличивает шансы ее сохранности и неприкосновенности со стороны конкурентов и злоумышленников.

Из этого видео вы узнаете о мерах, которые стоит предпринять:

Методы защиты информационных систем от инсайдеров

В основном хищение информации происходит с помощью мобильных носителей, различного рода USB-устройств, дисковых накопителей, карт памяти и прочих мобильных устройств. Поэтому одним из правильных решений, является запрет использования подобных устройств на рабочих местах.

Все, что необходимо содержится на серверах и тщательно отслеживается, куда и откуда передается информация в среде банков. Кроме того, в крайних случаях разрешается использовать только те носители, которые приобретаются компанией.

Можно установить специальные ограничения, благодаря которым компьютер не будет распознавать посторонние носители и карты памяти.

Защита информации – одна из важнейших задач банковских организаций, необходимая для эффективного функционирования. Современный рынок располагает большими возможностями для осуществления этих планов. Блокировка компьютеров и портов – важнейшее условие, которое следует соблюдать, чтобы защита систем была более надежной.

Не следует забывать и о том, что лица занимающиеся кражей данных тоже знакомы с набором систем, благодаря которым осуществляется защита коммерческой информации,и могут их обойти с помощью специалистов. Чтобы предотвратить возникновение таких рисков нужно постоянно работать над улучшением безопасности и стараться использовать усовершенствованные системы защиты.

Источник: https://camafon.ru/informatsionnaya-bezopasnost/zashhita-banka

Поделиться:
Нет комментариев

    Добавить комментарий

    Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.