Система защиты информации в банковских системах ( ПОДХОДЫ К ХРАНЕНИЮ И ЗАЩИТЕ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ В БАНКОВСКИХ СИСТЕМАХ)

Содержание:

ВВЕДЕНИЕ

Отрасль информационных и телекоммуникационных технологий в России развивается высокими темпами, ежегодно прирастая примерно на 25%, что существенно выше среднегодовых темпов роста ВВП и темпов роста отдельных отраслей. Информационные технологии (ИТ) и информационные услуги стали достаточно существенной статьей российского несырьевого экспорта.

По ряду параметров в этой сфере Россия не сильно отличается от некоторых европейских стран, где доля сектора ИТ составляет около 5% ВВП, около 30% населения никогда не пользовались Интернетом и только 38% граждан использовали эту сеть при получении государственных услуг (в основном для получения формы заявления). Однако сводные индексы и межстрановые сопоставления до сих пор характеризуют Россию в рассматриваемом здесь плане не лучшим образом, что говорит о недостаточном уровне развития в стране данной отрасли, об ее отставании от мировых лидеров в этой сфере, а также о нереализованности потенциала уже существующих инфраструктур и технологий.

Становится очевидным, что для дальнейшего развития информационных технологий в России необходимо устранить целый ряд существующих барьеров:

—    одним из факторов, негативно влияющих на уровень распространения ИТ, является недостаточно высокий уровень социально-экономического развития многих субъектов РФ;

—    препятствующим фактором является недостаточный уровень распространения в обществе базовых навыков пользования информационными технологиями;

—    следует отметить также критически высокий уровень зависимости российского рынка от зарубежной продукции в сфере ИТ. В подавляющем большинстве создаваемых информационных систем в России сегодня используются в основном зарубежные разработки. Остается низким уровень развития отечественного производства в сфере информационных и телекоммуникационных технологий, доля России на мировом рынке электроники составляет 0,5%;

—    барьером, препятствующим успешному развитию отечественной промышленности в сфере ИТ, является низкий уровень правовой защиты интеллектуальной собственности;

-    уровень конкуренции на российском рынке ИТ остается низким, в том числе за счет наличия существенных административных барьеров в экономике и государственном управлении.

При решении указанных проблем общество также должно быть готово к возникновению проблем иного характера. Следует отметить, что развитие и внедрение во все сферы деятельности информационных технологий влечет за собой не только повышение качества жизни и ведения бизнеса, но и порождает новые проблемы - проблемы информационной безопасности. С каждым годом увеличивается количество компьютерных преступлений, в том числе трансграничных, возросла их корыстная направленность, наносимый ими материальный ущерб. ИТ все чаще используются для совершения традиционных преступлений - хищений, вымогательств, мошенничества и террористической деятельности.

Цель: рассмотреть систему защиты информации в банковских системах

Задачи:

 Изучить особенности системы защиты информации в банковских системах

Выявить проблемы защиты информации в банковских системах

Объектом исследования является система защиты информации в банковских системах

Предметом исследования является выбор средств системы защиты информации в банковских системах

Теоретической и методологической основой исследования стали книги и статьи следующих авторов работают Волков Д.И., Вахрушева М.Ю., Геращенко С.С. и др.

Структура данной работы включает в себя: введение, двух глав, заключение и список использованной литературы.

Во введении рассмотрены: актуальность темы, определяются предмет, объект, цели и задачи.

В первой главе будут рассмотрены особенности системы защиты информации в банковских системах.

Во второй главе показаны проблемы защиты информации в банковских системах.

В заключении проведены итоги.

ГЛАВА 1. ОСОБЕННОСТИ СИСТЕМЫ ЗАЩИТЫ В БАНКОВСКИХ СИСТЕМАХ

1.1 ПОДХОДЫ К ХРАНЕНИЮ И ЗАЩИТЕ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ В БАНКОВСКИХ СИСТЕМАХ

В настоящий момент, в связи с бурным ростом информационных технологий, доступностью технических и информационных ресурсов и глобальной сети, становится особенно актуальным вопрос защиты информации на стратегических объектах. ^[1]

Среди объектов, подвергающихся рискам, особое место занимает защита банковской информации. Когда обычный человек слышит слова «безопасность банка», ему представляются тяжелые двери банковских хранилищ, надежные сейфы, многоуровневые посты охраны и контроля.

Но в современном мире значительную часть ценностей представляют собой не материальные ресурсы, а информация. Информационная безопасность в банковских системах, так же, как и физическая, должна строится по многоуровневой схеме с контролем всех "точек входа" и использованием самых надежных технических средств. ^[2]

На сегодняшний день наиболее распространены три причины утечки конфиденциальной информации:

1. физический доступ к местам ее хранения и обработки;

2. использование резервных копий;

3. наиболее вероятный способ утечки конфиденциальной информации — несанкционированный доступ сотрудниками банка.

При использовании систем разделения прав только стандартных средств операционных систем у пользователей нередко существует возможность целиком скопировать базы данных, с которыми они работают, и вынести их за пределы банка. ^[3]

Банковская сеть, как сеть любого предприятия или организации, содержит в своем составе вполне стандартный набор объектов: рабочие станции сотрудников, инфраструктурные и специализированные серверы, сетевые шлюзы.

В настоящее время все чаще добавляются ноутбуки, смартфоны и планшеты, с которых осуществляется доступ сотрудников к банковской информационной системе. Кроме того, в банках добавляются банкоматы и платежные терминалы. ^[4]

Информационная система имеет также доступ для клиентов банка.

Таким образом, задача защиты информации, хотя и близка по схеме и используемым средствам к задачам, решаемым для обычной организации, также должна иметь ярко выраженную банковскую специфику. Исходя из мирового опыта и опыта отечественных специалистов, можно сказать, что для обеспечения безопасности банковской информации необходимо выработать четкую модель и политику безопасности.

Основные черты:

– обеспечить надежную и безопасную работу автоматизированной банковской системы;

– обеспечить безопасный доступ сотрудников и клиентов к банковской системе в территориально распределенной сети;

– обеспечить доступ сотрудников к внешним информационным сетям;

– обеспечить защиту банкоматов и терминалов;

– иметь возможность контроля всех процессов в системе и своевременного обнаружения любых нарушений. ^[5]

Сегодня на рынке имеется большое количество утилит, осуществляющих шифрование данных. Однако особенности их обработки в банках предъявляют к соответствующему ПО дополнительные требования: в системе криптографической защиты должен быть реализован принцип прозрачного шифрования и система защиты информации должна работать не с виртуальными, а с реальными разделами винчестеров, RAID-массивами и прочими серверными носителями информации, например, с хранилищами SAN. ^[6]

Оба этих обязательных требования существенно сужают круг подходящих для реализации защиты продуктов. Фактически сегодня на российском рынке имеется лишь несколько таких систем.

Так, самой популярной на сегодняшний день считается разработка Диасофт, кроме того, можно выделить продукты R-Style Software Lab, ПрограммБанк, Инверсия, собственные разработки и др. ^[7]

На сегодняшний день на рынке есть продукты, с помощью которых можно организовать надежную систему защиты информации от несанкционированного доступа и нецелевого использования.

Но, при их выборе нужно быть очень осмотрительным. В идеале этим должны заниматься собственные специалисты соответствующего уровня. Допускается использование услуг посторонних компаний. ^[8]

Однако в этом случае возможна ситуация, когда банку будет искусно навязано не адекватное программное обеспечение, а то, которое выгодно фирме – поставщику. В идеальном случае система информационной безопасности банка должна быть единой.

1.2. МОДЕЛЬ ОЦЕНКИ ЗАЩИЩЕННОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ

В настоящее время одной из значительных и активно развивающихся отраслей экономики Российской Федерации (РФ) является банковская деятельность. Одной из составляющих успешного развития которой является обеспечение информационной безопасности (ИБ).

И это связано не только с задачами обеспечения успешной коммерческой деятельности, конкурентоспособности и поддержанием хорошей репутацией банка, но и с экономической стабильностью финансо- вой системы РФ в целом.

Поскольку, негативные последствия сбоев в работе отдельных организаций банковской системы (БС) РФ могут привести к быстрому развитию системного кризиса платежной системы РФ, нанести ущерб интересам собственников и клиентов. ^[9]

Следовательно, для организаций БС РФ угрозы и инциденты, связанные с нарушением ИБ представляют существенную опасность. Для противостояния подобным угрозам и дестабилизирующим факторам и снижению потенциальных рисков, а также для обеспечения эффективности мероприятий по устранению последствий инцидентов ИБ в организациях БС РФ следует обеспечить достаточный уровень защищенности. ^[10]

При этом объем и виды мероприятий принимаемых организациями БС РФ для защиты информации зависит не только от желания и возможностей собственника, но и определяется рядом обязательных требований регуляторов.

В их числе – постановления и инструкции ЦБ РФ; стандарт СТО БР ИББС-1.0-2010, посвященный системе управления ИБ банка; различные международные стандарты, например, ISO 13569 «Banking and related financial services-Information security guide lines»; требования Basel II; различные требования международных платежных систем, например, стандарт Payment Card Industry Data Security Standard (PCI DSS), и другие.

Сегодня в России помимо крупнейших игроков банковского сектора существует множество небольших банков, которые в силу финансовых ограничений не могут позволить себе вкладывать значительные суммы в информационную безопасность. ^[11]

Тем не менее, обеспечить безопасность автоматизированных банковских систем и информационных систем банков, является необходимостью для банков любого масштаба. ^[12]

Следовательно, актуальным направлением является решение задач связанных с оценкой защищенности организаций банковской системы и выбором наиболее рациональных средств защиты, применение которых позволило бы при ограниченном бюджете удовлетворить обязательным требованиям регуляторов и обеспечить необходимую защищенность системы.

Анализ показывает, что БС РФ включает в себя следующие организации:

- Банк России;

- кредитные организации;

- филиалы и представительства иностранных банков.^[13]

В процессе осуществления своей деятельности каждая организация из перечисленных выше групп реализует множество бизнес - процессов, которые разделяют на три категории:

- основные процессы, обеспечивающие достижение целей и задач организации БС РФ;

- вспомогательные процессы, обеспечивающие качество, в том числе обеспечение ИБ организации БС РФ;

- процессы управления, направленные на обеспечение поддержки параметров основных и вспомогательных процессов в заданных пределах и их корректировку в случае изменения внешних или внутренних условий. ^[14]

Для автоматизации бизнес-процессов и обработки больших объемов информации, которыми оперирует любая организация БС РФ, используются автоматизированные банковские и информационные системы, типовая модель которой может быть описана следующим элементами:

- аппаратные средства (сервера, АРМ пользователей и операторов, терминалы и т.п.); линии связи;

- сетевое оборудование (маршрутизаторы, коммутаторы, концентраторы и пр.);

- сетевые приложений и сервисы;

- операционные системы (ОС);

- системы управления базами данных (СУБД);

- банковские технологические процессы и приложения;

- бизнес-процессов организации.

При этом успешность выполнения каждой категории бизнес-процессов посредством выделенных элементов автоматизированной банковской информационной системы (АБИС) будет зависеть от полноты выполнения следующих требований к ИБ:

- обеспечение конфиденциальности информации;

- обеспечение доступности информации, сервисов и сетевых и аппаратных подсистем;

- обеспечение целостности информации;

- обеспечение непрерывности бизнес-процессов.

Данные требования должны выполняться как в штатных ситуациях, в процессе нормального функционирования, так и в условиях воздействия на систему дестабилизирующих факторов и угроз различного характера:

- локальных инцидентов ИБ;

- чрезвычайных ситуаций, широкомасштабных катастроф, аварий различной природы и их последствий. ^[15]

При этом, для каждого элемента АБИС угрозы нарушения ИБ и их источники (как случайные так и умышленные), методы и средства защиты, а также подходы к оценке их эффективности являются различными. ^[16]

Проведенный анализ литературных источников позволяет сделать вывод, что архитектура системы ИБ организаций БС РФ, которая покрывает основные классы угроз, должна содержать следующие компоненты:

- подсистему межсетевого экранирования;

- подсистему защиты внутренних сетевых ресурсов;

- подсистему защиты Web-ресурсов;

- подсистему обнаружения и предотвращения вторжений;

- антивирусную подсистему;

- подсистему контроля содержимого Интернет-трафика;

- подсистему аутентификации и авторизации пользователей;

- подсистему криптографической защиты информации;

- подсистему протоколирования, отчета и мониторинга средств защиты;

- подсистему физической защиты;

- подсистему защиты рабочих станций;

- подсистему управления ИБ.^[17]

После внедрения спроектированной системы необходимо обеспечить ее поддержку и сопровождение.

Таким образом мероприятия по обеспечению ИБ в организациях БС РФ проводятся в четыре этапа:

- планирование системы ИБ организации;

- реализация и внедрение системы ИБ организации;

- проверка и оценка системы ИБ организации БС РФ;

- поддержка и улучшение системы ИБ организации. ^[18]

В модели отношений определены следующие типы связей:

- MP – имеется механизм защиты, данный вид связи указывает, что для существующей угрозы в организации БС РФ имеется средство, противодействующее ее деструктивному воздействию;

- NMP – нет механизма защиты, данный вид связи показывает, что для существующей угрозы нет средства, осуществляющего защиту.

Под уровнем защищенности организаций БС РФ предлагается понимать обобщенный показатель, позволяющий комплексно оценить существуют ли в организации недопустимые риски, незакрытые средствами защиты угрозы, а также насколько система ИБ в организации соответствует требованиям регуляторов.

ВЫВОД К 1 ГЛАВЕ

Таким образом, оценка защищенности информации в организации БС РФ является важным этапом процесса управления всей ИБ организации в целом, позволяющим не только составить модель актуальных угроз, модель злоумышленника, проанализировать потенциальные риски и степень выполнения организацией требований регуляторов к ИБ, оценить эффективность и достаточность используемых механизмов защиты информации. Но и выработать рекомендации по повышению общего уровня защищенности применение которых, на практике, позволит улучшить систему ИБ организации.

ГЛАВА 2. ПРОБЛЕМЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В БАНКОВСКОЙ СИСТЕМЕ

2.1. АНАЛИЗ ПРОБЛЕМ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В РОССИЙСКОЙ БАНКОВСКОЙ ПРАКТИКЕ НА СОВРЕМЕННОМ ЭТАПЕ

Около 1000 компаний дают представление о технических и поведенческих аспектах действий совершающихся нарушений в банках, которые можно охарактеризовать следующими основными факторами.

Во-первых, большинство инцидентов не требовало для осуществления высокого уровня технической подготовки, то есть большая часть рассмотренных инцидентов, произошедших в банковском и финансовом секторах, не была технически сложной для осуществления. ^[19]

И виновниками, в основном, становились сотрудники с низким уровнем знаний и квалификации.

Во-вторых, нарушители планировали свои действия, большинство инцидентов были обдуманы и спланированы заранее, то есть посвященные обычно были напрямую связаны с планированием либо ждали выгоды от запланированных действий. ^[20]

В-третьих, финансовая выгода была мотивом для большинства нарушителей, т. е. большая их часть преследовала цель получения финансовой выгоды, а не принесения ущерба банку или ее информационной системе.

Среди других распространенных мотивов можно выделить месть, неудовлетворенность менеджерами компании, ее политикой или культурой и желание уважения.

В-четвертых, нарушители не были ранее замечены в инцидентах, были ранее замечены в участии в атаках на сеть или хакерской деятельности и, как правило, не относились к «проблемным» работникам.

В-пятых, инциденты были детектированы разными методами и разными людьми, не только работниками, ответственными за безопасность, но и людьми, как внутренними, так и внешними по отношению к банку.

В детектировании использовались как процедуры, производимые вручную, так и автоматизированные. ^[21]

В-шестых, банки-жертвы понесли практически от всех нарушений финансовый ущерб. Многие банки пострадали сразу по нескольким аспектам.

В-седьмых, нарушения происходили в рабочее время. Россия и бывшие республики СССР хотя и в меньшей степени, но также страдают при использовании информационных технологий в банковской деятельности от преступлений.

Важно отметить, что при начальном построении системы антивирусной безопасности важно точно определить точки, которые необходимо защищать и свести огромную архитектуру сети к четкой функциональной модели.

В настоящее время наступил новый этап, когда любое физическое или юридическое лицо сможет для банковских операций пользоваться Интернетом, что, в свою очередь, приводит к возникновению новых проблем, связанных с обеспечением информационной безопасности, ключевым направлением которой являются защита информации при передаче по каналам связи, надежность долгосрочного хранения данных в электронном виде, контроль доступа к информации (включая Интернет), предотвращение несанкционированного доступа к информации, идентификация ее пользователей. ^[22]

Исследование проблем внутренних угроз показало, что российские организации больше всего озабочены утечкой конфиденциальной ин- формации: 98 % респондентов поставили этот риск на первое место.

Остальные угрозы отстают со значительным разрывом: искажение информации (62 %), сбои в работе ИС по причине халатности персонала (15 %), утрата информации (7 %), кража оборудования (6 %), другие (28 %).

Таким образом, на первый план выходит проблема обеспечения безопасности информационных систем организаций со стороны сетевого воздействия, где основными средствами защиты были, есть и остаются межсетевые экраны, которые предоставляют определенный уровень защиты и являются средством реализации политики безопасности на сетевом уровне.

Уровень безопасности, который предоставляет сетевой экран, может варьироваться в зависимости от требований безопасности. Существует традиционный компромисс между безопасностью, простотой использования, стоимостью, сложностью и т. д. ^[23]

Сетевой экран является одним из нескольких механизмов, используемых для управления и наблюдения за доступом к сети с целью ее защиты, что значительно проще и надежнее, так как обеспечивает защиту каждой машины, а не многих. ^[24]

Чаще всего межсетевой экран представляет сетевую станцию с двумя и более сетевыми элементами. При этом по одному каналу осуществляется связь с Интернетом, а по второму – с защищенной сетью.

Таким образом, межсетевой экран одновременно выполняет функции маршрутизатора-шлюза, экрана и его управления.

Результатом методики является количественная оценка уровня защищенности, по которой можно более точно сравнивать несколько вариантов защиты и таким образом выбирать наиболее эффективный вариант.

Согласно предлагаемой методике на вход подаются вероятности реализации угроз и уязвимостей относительно защищаемой информационной системы организации, стоимость защищаемых ресурсов (оценка потери в случае выхода из строя информационного ресурса) и частота угроз каждого вида в общем потоке угроз. ^[25]

Вводятся ограничения на стоимость системы защиты информации и снижение уровня производительности системы. А на выходе получаем количественную оценку защищенности для всей системы в целом.

Таким образом, фактический уровень защищенности определяется как отношение рисков в защищенной системе к рискам незащищенной системы.

В методику положен подход оценки систем при помощи рисков, который в настоящее время внедряется во многих областях информационной безопасности, что позволяет более точно описывать информационные ресурсы через характерные уязвимости, стоимость самих ресурсов, ранжировать риски и, соответственно, информационные ресурсы по степени критичности для деятельности организации.

К преимуществам методики следует отнести простоту ее реализации, распространённый математический аппарат, доступность для понимания.

Таким образом, разработанная методика может использоваться для определения обеспечиваемого уровня защиты систем защиты информации, как на начальных этапах проектирования, так и на стадии оценки уровня защиты уже существующих систем с целью их модификации или при проведении аудита.

Разработанная методика может применяться для оценки уровня защищенности организаций всех сфер деятельности, так как она характеризует информационную систему со стороны рисков и, соответственно, может быть конкретизирована под конкретную организацию. ^[26]

Степень конкретизации зависит от уровня зрелости организации, специфики ее деятельности, требуемого уровня защищенности, модели злоумышленника и прочих факторов.

То есть в каждом конкретном случае методика может быть адаптирована под конкретные нужды предприятия с учетом специфики его функционирования и ведения бизнеса. ^[27]

Уровень точности получаемой на выходе оценки зависит в первую очередь от полноты списка угроз и уязвимостей как основных составляющих риска, точности оценки информационных ресурсов, а также точности оценки вероятностных характеристик реализации угроз.^[28]

В заключение отметим, что чем крупнее банк, тем труднее обеспечить контроль над оборотом информации, так как всего одна утечка может привести к банкротству. Поэтому удивительно, почему российские банки до сих пор столь инертны в плане внедрения адекватных средств защиты.

В настоящее время всеобщее внимание приковано к бесконечным вирусным эпидемиям и хакерским атакам, что создает впечатление отсутствия угроз изнутри. Однако результаты исследований многих авторитетных аналитических организаций красноречиво свидетельствуют, что именно внутренние угрозы являются одной из наиболее актуальных проблем информационной безопасности для банков на современном этапе.

Для минимизации потерь от внешних и внутренних угроз необходимо регулярно проводить анализ рисков в информационных системах, используя передовые стандарты информационной безопасности. ^[29]

Противостояние таким угрозам может быть эффективным лишь в том случае, если будут обеспечены эффективные мероприятия по ликвидации неблагоприятных последствий инцидентов информационной безопасности, которые могут повлиять на операционные, кредитные и иные риски в организациях.

По этим причинам обеспечение информационной безопасности является для организаций банковской системы одним из основополагающих аспектов их деятельности.

2.2. ОСОБЕННОСТИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ БАНКОВСКИХ СИСТЕМ И МЕРЫ ПО ЕЕ ОБЕСПЕЧЕНИЮ

Коммерческие банки, являясь важнейшим финансовым институтом современного социума, должны следовать определенным правилам информационной безопасности и уметь противостоять дестабилизирующим факторам.

В настоящее время стоимость и значимость банковской информации многократно возросли, что привело к росту преступного интереса к ней. Каждый банк обязан обеспечить безопасность хранимых им данных, именно поэтому он должен следить за регулярной сменой и проверкой паролей, а также за контролем вероятности утечки информации. ^[30]

Банковские информационные системы и базы данных содержат конфиденциальную информацию о клиентах банка, состоянии их счетов и проведении различных финансовых операций. Необходимо поддерживать сохранность этих данных, обеспечивать их информационную безопасность, осуществлять быстрый и своевременный обмен и обработку информации, чтобы банковская система не дала сбой.

Для этого необходима целая структура, которая будет способна обеспечить защиту информации, а также конфиденциальность клиентской базы. План действий, обеспечивающих информационную безопасность банков, принципиально отличается от плана действий других организаций.

Главными причинами этого являются специфический характер угроз, а также публичная деятельность банков, которые обязаны делать доступ к счетам несложным с целью удобства для клиентов. Факторы, которые следует учитывать для обеспечения информационной безопасности банков:

1. Информация, которая хранится и обрабатывается в банках, – это реальные деньги. При открытом доступе к данной информации через компьютеры могут открываться кредиты, производиться выплаты, а так- же могут переводиться значительные суммы денег без ведома владельца данного счета.

Совершенно ясно, что такое незаконное манипулирование информацией приведет к убыткам различной степени. Данная особенность увеличила число мошенников, которые покушаются именно на банки, ведь информация, к примеру, промышленных компаний чаще всего не представляет такого интереса.

2. Информация, которая относится к банковской сфере, касается большого количества людей и организаций, то есть клиентов банков. Банк должен обеспечить достаточный уровень конфиденциальности информации, что является приоритетной задачей, поскольку каждый клиент вправе рассчитывать, что банк будет заботиться о его интересах, ведь от этого напрямую зависят репутация и успешность самого банка.

3. От того, как клиенту удобно работать с банком, а также от широкого спектра предоставляемых им услуг напрямую зависит конкурентоспособность банка. ^[31]

Именно поэтому банк должен предоставлять возможность быстрого и неутомительного распоряжения денежными средствами. Но именно такая легкость доступа к денежным активам и увеличивает число преступников, которые проявляют интерес к банковским системам.

4. Банк обязан обеспечить высокую надежность работы компьютерных систем даже в случае нештатных ситуаций, ведь банк, в отличие от большинства компаний, отвечает не только за свои денежные средства, но и за деньги клиентов.

5. Банк хранит важную информацию о своих клиентах, что расширяет круг потенциальных злоумышленников, заинтересованных в краже или порче такой информации.

Чтобы защищать интересы и цели всей банковской системы Российской Федерации в условиях угроз, были созданы отечественные стандарты по информационной безопасности (Стандарт Банка России по обеспечению информационной безопасности организаций банковской системы РФ).

Но, к сожалению, даже эти стандарты не могут ответить на все вопросы, поэтому они постоянно меняются и усовершенствуются за счет ранее накопленного всеми поколениями опыта по защите информации. В условиях современной геополитической ситуации явно прослеживается тенденция к переходу на национальную систему платежных карт.

Это, в свою очередь, требует повышение надежности и безопасности банковских информационных систем. Все эти факторы привели к очередному переизданию стандартов СТО БР ИББС.

Июнь 2014 года ознаменовался вступлением в силу пятой обновленной версии СТО БР ИББС – 2014.

В отдельных блоках этого стандарта подробно описаны требования к обеспечению безопасности, а также даются конкретные перечни мер защиты по тому или иному блоку.

По обработке персональных данных 9 Отдельным заголовком вынесены требования к системе менеджмента информационной безопасности 5 мая 2014 года Президент Российской Федерации Владимир Владимирович Путин подписал закон о создании в России национальной системы платежных карт, а также об обеспечении бесперебойной работы международных платежных систем.

Национальная система платежных карт создается в форме ОАО, 100% активов которого принадлежит Банку России. Цель проекта – информационно замкнуть процесс осуществления денежных переводов внутри России.

Если ранее деньги могли появляться из «ниоткуда» и исчезать в «никуда», то после выхода закона ISSN 1993-5552 ситуация изменилась, то есть национальная платежная система позволяет отслеживать все денежные операции.

Например, финансирование сомнительных сделок и мошеннические операции. И, что немаловажно, уход от наличного оборота, как считает правительство, поможет государству в борьбе с коррупцией.

Чтобы обеспечить безопасность национальной платежной системы, был выпущен целый ряд подзаконных актов, среди которых основополагающее «Положение о защите информации в платежной системе» от 13.06.2012 г. № 584.

Большую роль сыграло выпущенное ответственным департаментом Банка России «Положение о требованиях к обеспечению защиты информации при осуществлении переводов денежных средств…» от 09.06.2012 г. № 382-П.

После внесения изменений в Положение Банка России от 09.06.2012 г. № 382-П тенденции обеспечения защиты смещены в сторону:

- применения банкоматов и платежных терминалов;

- применения пластиковых платежных карт;

- использования сети Интернет (систем дистанционного банковского обслуживания (ДБО) и мобильного банкинга);

- требований к порядку разработки и распространения специализированного программного обеспечения, предназначенного для использования клиентом при переводе денежных средств;

- расширения требований по повышению осведомленности клиентов о возможных рисках получения несанкционированного доступа к защищаемой информации и рекомендуемых мерах по их снижению;

- требований о необходимости проведения классификации банкоматов и платежных терминалов, результаты которой должны учитываться при выборе мер защиты;

- процедур приостановления проведения платежа оператором по переводу денежных средств в случае обнаружения признаков мошеннических действий;

- процедур защиты от современных угроз безопасности, таких как скимминг (путем использования специализированных средств, препятствующих несанкционированному считыванию треков платежных карт);

- защиты сервисов, расположенных в сети Интернет, от внешних атак (DoS-атак);

- защиты от фишинга (фальсифицированных ложных ресурсов сети Интернет);

- требования по применению платежных карт, оснащенных микропроцессором, с 2015 года и запрета выпуска карт, не оснащенных микропроцессором, после 1 января 2015 года. ^[32]

На наш взгляд, банковские структуры должны взять курс на эти тенденции, а именно, на скорейший переход от пластиковых карт с магнитной полосой к картам с чипами, технологически более защищённым от несанкционированного воздействия.

Также банкам следует непрестанно совершенствовать механизмы защиты банкоматов от установки скиммингового оборудования.

В том числе периодически изменять настройки, увеличивать количество штатных видеокамер, устанавливать банкоматы исключительно в людных общественных местах и крупных учреждениях.

Если банки смогут обеспечить высокий уровень информационной безопасности, то это позволит свести к минимуму следующие риски:

− риск потери, а также разрушения ценных данных;

− риск утечки информации, которая составляет служебную/коммерческую/банковскую тайну;

− риск распространения во внешней среде информации, которая будет угрожать репутации банка;

− риск использования неполной или искаженной информации в деятельности банка.

И, конечно же, нельзя забывать о работе по широкому освещению проблематики информационной безопасности.

В том числе, о разработке рекомендаций для клиентов, выработке у них навыков безопасного использования банкоматов и других дистанционных сервисов, ведь безопасность банков, как известно, имеет две составляющие: безопасность со стороны банка и безопасность со стороны клиента.

Вторая составляющая предполагает обеспечение безопасности процедуры подтверждения клиентом платежа. Данная задача решается посредством использования устройств защищенного хранения ключей электронной подписи (ЭП) и защищенной выработки электронной подписи, доверенных устройств отображения ключевых реквизитов и подписи платежного поручения, доверенных каналов подтверждения платежа, доверенной среды для работы с приложением «клиент – банк», а также посредством мониторинга платежей на предмет выявления подозрительных и потенциально мошеннических сделок. ^[33]

Если говорить о безопасности платежных систем, признанным стандартом безопасности считается Payment Card Industry Data Security Standard (PCI DSS).

В него вошли такие карточные брэнды как Visa, MasterCard, American Express, JCB и Discovery. Основной акцент в стандарте PCI DSS делается на обеспечении безопасности сетевой инфраструктуры и защите хранимых данных о держателях платежных карт как наиболее уязвимых с точки зрения угроз конфиденциальности местах.

Также следует отметить, что стандарт регламентирует правила безопасной разработки, поддержки и эксплуатации платежных систем, в том числе процедуры их мониторинга.

Не менее важную роль стандарт отводит разработке и поддержке базы нормативных документов системы менеджмента информационной безопасности. Сертификация российских банков по зарубежному PCI DSS стандарту шла довольно медленно, а отечественного аналога на сегодняшний день нет.

Однако, выполняя пункты «Положения о требованиях к обеспечению защиты информации при осуществлении переводов денежных средств…» и последней редакции СТО БР ИББС – 2014, можно во многом подготовиться к прохождению сертификации по PCI DSS, ведь многие его положения пересекаются с требованиями из отечественного документа: антивирусная безопасность, шифрование, фильтрация с помощью межсетевых экранов, разграничение доступа, отслеживании сеансов связи, а также мониторинг, аудит и менеджмент системы информационной безопасности (ИБ)

ВЫВОД 2 ГЛАВЕ

Таким образом, СТО БР ИББС является очень важной вехой эволюционного пути развития отечественной системы обеспечения информационной безопасности. Стандарт Банка России по обеспечению информационной безопасности организаций банковской системы – один из первых отраслевых и адаптированных под российскую действительность стандартов.

Выполняя требования стандарта, многие банки готовят себя к международной сертификации обеспечения безопасности платежных систем PCI DSS, обеспечивают защиту персональных данных в соответствии с последними требованиями регуляторов.

Проводимый ежегодный внутренний аудит позволяет объективно проверить защищенность банков от существенных рисков и угроз ИБ, а руководителям – эффективнее спланировать построение и управление комплексной системой защиты. И, разумеется, нужно развивать программы, направленные на повышение грамотности населения в сфере компьютерной безопасности.

Перед банками, обществом и государством стоят общие цели, поэтому нужно развивать взаимодействие между данными структурами и совершенствовать методики их взаимной работы.

ЗАКЛЮЧЕНИЕ

Важнейшей частью информационной безопасности любого государства является информационная безопасность (ИБ) в банковской деятельности. Вопросы обеспечения ИБ каждого банка являются жизненно важными в силу ряда причин:

1)    с точки зрения ИБ банк как сосредоточение «живых» денег — организация повышенного риска, незаконное манипулирование с информацией из автоматизированной системы которой, может привести к серьезным убыткам;

2)    современный банк предоставляет большое число сервисов, связанных с удаленным доступом к его информационной системе (персональный интернет-банкинг, интернет-доступ к финансовым рынкам, электронный документооборот и многое другое). С этих позиций банк — «точка пересечения» публичных сетей (Интернет) и коммерческих финансовых сетей;

3)    банки обладают сложными информационными системами, которые включают большой набор «бэк-офисных» и «фронт-офисных» приложений, нередко гетерогенных, а управление ими осложняется территориальной распределенностью компаний, нередко наличием разных филиалов и иных офисов. При этом информационная система современного банка является основой функционирования почти всех его основных бизнес-процессов;

4)    банк хранит персональные данные граждан и конфиденциальную информацию своих клиентов - юридических лиц;

5)    банки выполняют особую роль посредников при расчетах экономических субъектов. Негативные последствия сбоев в работе даже отдельных кредитных организаций (КО) могут привести к быстрому развитию кризиса всей платежной системы страны.

Указанные причины заставляют предъявлять жесткие требования к системе защиты корпоративной информационной системы современного банка, основными из которых являются комплексность, интегрируемость, адекватность финансовым затратам, легитимность, управляемость, масштабность и отказоустойчивость.

Проблема защиты банковской информации и формирование системы информационной безопасности - одна из самых актуальных в современных условиях. 

Информационная безопасность банка — состояние защищенности интересов организации в условиях наличия угроз в информационной сфере, обеспечивающее формирование, использование и дальнейшее развитие информационной среды банка. Соответственно защита информации представляет собой деятельность, направленную, в частности, на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на нее и другие действия, т.е. деятельность, направленная на достижение и поддержание состояния защищенности нуждающейся в этом информации. Защита конфиденциальности, целостности и доступности информации банка является частью процесса обеспечения его информационной безопасности.

Проблемы защиты информации в банке связаны прежде всего с обширностью и емкостью информации, с разнообразием и техническими характеристиками используемого аппаратного обеспечения и территориальной удаленностью информационных каналов для пользователей информации. При хранении и защите информации в первую очередь должно соблюдаться требование о неизменности (сохранности) надлежащего качества информации. Это означает следующее.

1.    Информация должна быть надежной (достоверной). Информацию можно считать надежной (достоверной) в том случае, если она не искажает истинного положения дел. На практике выполнение этого требования достигается за счет использования методически правильной техники получения данных, а также путем перепроверки полученных сведений. Управленческие решения, принятые на основе недостоверной информации, скорее всего будут ошибочными и будут вести к более или менее крупным потерям для экономического субъекта.

2.    Информация должна характеризоваться полнотой и регулярностью ее получения, что подразумевают систематическое поступление необходимого объема данных, а также должный уровень организации их хранения. Информация удовлетворяет требованию полноты, если ее достаточно для понимания и принятия на ее основе верных управленческих решений. Неполнота информации не только сдерживает принятие решений, но также может стать причиной управленческих и исполнительских ошибок.

3.    Информация должна представлять ценность, т.е. быть полезной, поскольку в противном случае она лишь отвлекает внимание, мешает осмыслению сущности процессов, событий, операций. Ценность информации зависит от объема и значимости решаемых на ее основе задач.

4.    Информация должна быть в достаточной степени подготовлена к применению, что позволяет своевременно и эффективно использовать ее для принятия управленческих решений. Выполнение этого требования обеспечивается за счет соответствующей обработки данных и представления их в доступной, легко читаемой форме (например, в виде таблиц, схем, диаграмм).

5.    Информация должна удовлетворять и такому важному требованию, как сопоставимость. Без этого обработка новых данных становится бессмысленной. Сопоставимость данных достигается за счет использования единой методической базы наблюдений и регистрации показателей во всех подразделениях банка, включая филиалы и иные территориально удаленные подразделения.

6.    Информация должна быть своевременной и быстро доступной для предоставления в заданный момент требования. Пользователей информации при этом может быть несколько, и всем им необходимо обеспечить возможность использования нужной информации. Для проведения многих видов операций необходимо иметь доступ к данным в режиме реального времени.

7.    Информация должна быть актуальной на тот момент, когда становится доступной для ее использования. Требования к актуальности существенно возрастают при работе в постоянно меняющихся условиях. Временной период, в течение которого информация остается актуальной, зависит, в частности, от природы принимаемых на ее основе решений, но в любом случае этот период должен быть меньше времени, которое отводится для принятия управленческого решения.

8.    Информация должна характеризоваться целостностью и конфиденциальностью, что предполагает защиту от сбоев, ведущих к ее потере, от несанкционированных изменений или уничтожения данных, а также должен быть обеспечен ограниченный доступ к информации, предназначенной только для авторизованного пользователя.

ЛИТЕРАТУРА

1. Автоматизированные информационные технологии в банковской деятельности / под ред. Г. А. Титоренко. – М. : Финстатинформ, 2007.
2. Акимова Е.В., Акимов Д.А., Разработка системы оценки факторов внешней среды предприятия // Актуальные аспекты современной науки – IV, Липецк, 2014. – С.104-112.
3. Акимова Е.В., Карпов Э.А., Акимов Д.А., Крахт В.Б. Информационные системы и технологии в экономике и управлении. Учебное пособие. – Старый Оскол, ООО «ТНТ», 2007. – 189 с.
4. Аткина В.С. Система синтеза проектов рациональных катастрофоустойчивых решений для корпоративных информационных систем // Информационные системы и технологии. – 2013. – № 4 (78). – С. 122-130.
5. Ахтулов А. Л., Ахтулова Л. Н. Значение стандартов безопасности в обеспечении качества банковских услуг // Вестник ИжГТУ. – 2014. – № 3(63). – С. 156–160.
6. Ахтулов А. Л., Бирюкова Е. Ю. Система менеджмента качества как основа конкурентоспособности коммерческого банка // Вестник ИжГТУ. – 2009. – № 4(44). – С. 78–79.
7. Ахтулов А. Л., Горяинова С. Ю. Классификация методов исследования систем управления // Материалы 64-й науч.-техн. конф. ГОУ «СибАДИ». – Омск : Изд-во СибАДИ, 2010. – С. 165–168.
8. Ахтулов А. Л., Лашин С. В. Значение современных технологий в обеспечении качества банковских расчетов // Экономические проблемы эффективности и качества работы предприятий : межвуз. тем. сб. науч. тр. – Омск : Изд-во ОмГУПС, 2007. – С. 51–55.
9. Гайкович В. Ю., Першин А. Ю. Безопасность электронных банковских систем. – М. : Единая Европа, 1994. – 360 с.
10. Голов А. Обеспечение безопасности современного банка // CIO. – 2006. – № 6. – С. 2 3-25.
11. Гришина Н.В. Организация комплексной системы защиты информации. – Изд.: Гелиос АРВ, 2007. – 256 с.
12. Давлетханов М. Защита банковской информации // Директор информационной службы. – 2007. – №6.
13. Максимова Е.А. Методология принятия оптимальных решений при проектировании системы защиты информации в беспроводных сетях // Актуальные вопросы информационной безопасности региона в условиях глобализации информационного пространства: материалы Всерос. науч.-практ. конф., г. Волгоград, 27 апреля 2012 г. – Волгоград: Изд-во ВолГУ, 2012. – С. 99-105.
14. Максимова Е.А., Сидоров М.В. Разработка модели безопасности сенсорных беспроводных сетей// Актуальные вопросы информационной безопасности регионов в условиях глобализации информационного пространства // Материалы II Всерос.научн.-практ. конф., г. Волгоград, 26 апр. 2013 г. – Волгоград: Изд-во ВолГУ, 2013. – С. 132-138.
15. Молчанов А. В. Коммерческие банки в современной России, теория и практика. – М.: Финансы и статистика, 2006.
16. Никишова А.В. Принципы функционирования многоагентной системы обнаружения атак// Известия ЮФУ. Технические науки. – 2012. – № 12 (137). – С. 28-33.
17. Оладько А.Ю. Модель адаптивной многоагентной системы защиты // Известия ЮФУ. Технические науки. – 2011. – № 12 (125). – С. 210-217.
18. Райзберг Б. А., Лозовский Л. Ш., Стародубцева Е. Б. Современный экономический словарь. М.: Инфра-М, 2006. 512 с.
19. Стpельченко Ю. А. Обеспечение информационной безопасности банков. – М. : ИПКИР, 1994. – 120 с.
20. Фатьянов А. А. Правовое обеспечение безопасности информации в Российской Федерации. М.: Изд. группа «Юрист», 2001. 412 с.
21. Ясенев В. Н. Информационная безопасность в экономических системах: учебное пособие. Н. Новгород: Изд-во ННГУ, 2006.

1. Аткина В.С. Система синтеза проектов рациональных катастрофоустойчивых решений для корпоративных информационных систем // Информационные системы и технологии. – 2013. – № 4 (78). – С. 122-130. ↑

2. Ахтулов А. Л., Лашин С. В. Значение современных технологий в обеспечении качества банковских расчетов // Экономические проблемы эффективности и качества работы предприятий : межвуз. тем. сб. науч. тр. – Омск : Изд-во ОмГУПС, 2007. – С. 51–55. ↑

3. Гайкович В. Ю., Першин А. Ю. Безопасность электронных банковских систем. – М. : Единая Европа, 1994. – 360 с. ↑

4. Ахтулов А. Л., Лашин С. В. Значение современных технологий в обеспечении качества банковских расчетов // Экономические проблемы эффективности и качества работы предприятий : межвуз. тем. сб. науч. тр. – Омск : Изд-во ОмГУПС, 2007. – С. 51–55. ↑

5. Гайкович В. Ю., Першин А. Ю. Безопасность электронных банковских систем. – М. : Единая Европа, 1994. – 360 с. ↑

6. Максимова Е.А., Сидоров М.В. Разработка модели безопасности сенсорных беспроводных сетей// Актуальные вопросы информационной безопасности регионов в условиях глобализации информационного пространства // Материалы II Всерос.научн.-практ. конф., г. Волгоград, 26 апр. 2013 г. – Волгоград: Изд-во ВолГУ, 2013. – С. 132-138. ↑

7. Максимова Е.А., Сидоров М.В. Разработка модели безопасности сенсорных беспроводных сетей// Актуальные вопросы информационной безопасности регионов в условиях глобализации информационного пространства // Материалы II Всерос.научн.-практ. конф., г. Волгоград, 26 апр. 2013 г. – Волгоград: Изд-во ВолГУ, 2013. – С. 132-138. ↑

8. Гайкович В. Ю., Першин А. Ю. Безопасность электронных банковских систем. – М. : Единая Европа, 1994. – 360 с. ↑

9. Максимова Е.А., Сидоров М.В. Разработка модели безопасности сенсорных беспроводных сетей// Актуальные вопросы информационной безопасности регионов в условиях глобализации информационного пространства // Материалы II Всерос.научн.-практ. конф., г. Волгоград, 26 апр. 2013 г. – Волгоград: Изд-во ВолГУ, 2013. – С. 132-138. ↑

10. Ахтулов А. Л., Лашин С. В. Значение современных технологий в обеспечении качества банковских расчетов // Экономические проблемы эффективности и качества работы предприятий : межвуз. тем. сб. науч. тр. – Омск : Изд-во ОмГУПС, 2007. – С. 51–55. ↑

11. Гайкович В. Ю., Першин А. Ю. Безопасность электронных банковских систем. – М. : Единая Европа, 1994. – 360 с. ↑

12. Максимова Е.А., Сидоров М.В. Разработка модели безопасности сенсорных беспроводных сетей// Актуальные вопросы информационной безопасности регионов в условиях глобализации информационного пространства // Материалы II Всерос.научн.-практ. конф., г. Волгоград, 26 апр. 2013 г. – Волгоград: Изд-во ВолГУ, 2013. – С. 132-138. ↑

13. Ахтулов А. Л., Лашин С. В. Значение современных технологий в обеспечении качества банковских расчетов // Экономические проблемы эффективности и качества работы предприятий : межвуз. тем. сб. науч. тр. – Омск : Изд-во ОмГУПС, 2007. – С. 51–55. ↑

14. Максимова Е.А., Сидоров М.В. Разработка модели безопасности сенсорных беспроводных сетей// Актуальные вопросы информационной безопасности регионов в условиях глобализации информационного пространства // Материалы II Всерос.научн.-практ. конф., г. Волгоград, 26 апр. 2013 г. – Волгоград: Изд-во ВолГУ, 2013. – С. 132-138. ↑

15. Гайкович В. Ю., Першин А. Ю. Безопасность электронных банковских систем. – М. : Единая Европа, 1994. – 360 с. ↑

16. Максимова Е.А., Сидоров М.В. Разработка модели безопасности сенсорных беспроводных сетей// Актуальные вопросы информационной безопасности регионов в условиях глобализации информационного пространства // Материалы II Всерос.научн.-практ. конф., г. Волгоград, 26 апр. 2013 г. – Волгоград: Изд-во ВолГУ, 2013. – С. 132-138. ↑

17. Автоматизированные информационные технологии в банковской деятельности / под ред. Г. А. Титоренко. – М. : Финстатинформ, 2007. ↑

18. Максимова Е.А., Сидоров М.В. Разработка модели безопасности сенсорных беспроводных сетей// Актуальные вопросы информационной безопасности регионов в условиях глобализации информационного пространства // Материалы II Всерос.научн.-практ. конф., г. Волгоград, 26 апр. 2013 г. – Волгоград: Изд-во ВолГУ, 2013. – С. 132-138. ↑

19. Гришина Н.В. Организация комплексной системы защиты информации. – Изд.: Гелиос АРВ, 2007. – 256 с. ↑

20. Максимова Е.А., Сидоров М.В. Разработка модели безопасности сенсорных беспроводных сетей// Актуальные вопросы информационной безопасности регионов в условиях глобализации информационного пространства // Материалы II Всерос.научн.-практ. конф., г. Волгоград, 26 апр. 2013 г. – Волгоград: Изд-во ВолГУ, 2013. – С. 132-138. ↑

21. Максимова Е.А., Сидоров М.В. Разработка модели безопасности сенсорных беспроводных сетей// Актуальные вопросы информационной безопасности регионов в условиях глобализации информационного пространства // Материалы II Всерос.научн.-практ. конф., г. Волгоград, 26 апр. 2013 г. – Волгоград: Изд-во ВолГУ, 2013. – С. 132-138. ↑

22. Давлетханов М. Защита банковской информации // Директор информационной службы. – 2007. – №6. ↑

23. Райзберг Б. А., Лозовский Л. Ш., Стародубцева Е. Б. Современный экономический словарь. М.: Инфра-М, 2006. 512 с. ↑

24. Ахтулов А. Л., Ахтулова Л. Н. Значение стандартов безопасности в обеспечении качества банковских услуг // Вестник ИжГТУ. – 2014. – № 3(63). – С. 156–160. ↑

25. Оладько А.Ю. Модель адаптивной многоагентной системы защиты // Известия ЮФУ. Технические науки. – 2011. – № 12 (125). – С. 210-217. ↑

26. Максимова Е.А. Методология принятия оптимальных решений при проектировании системы защиты информации в беспроводных сетях // Актуальные вопросы информационной безопасности региона в условиях глобализации информационного пространства: материалы Всерос. науч.-практ. конф., г. Волгоград, 27 апреля 2012 г. – Волгоград: Изд-во ВолГУ, 2012. – С. 99-105. ↑

27. Ахтулов А. Л., Бирюкова Е. Ю. Система менеджмента качества как основа конкурентоспособности коммерческого банка // Вестник ИжГТУ. – 2009. – № 4(44). – С. 78–79. ↑

28. Никишова А.В. Принципы функционирования многоагентной системы обнаружения атак// Известия ЮФУ. Технические науки. – 2012. – № 12 (137). – С. 28-33. ↑

29. Голов А. Обеспечение безопасности современного банка // CIO. – 2006. – № 6. – С. 2 3-25. ↑

30. Молчанов А. В. Коммерческие банки в современной России, теория и практика. – М.: Финансы и статистика, 2006. ↑

31. Стpельченко Ю. А. Обеспечение информационной безопасности банков. – М. : ИПКИР, 1994. – 120 с. ↑

32. Фатьянов А. А. Правовое обеспечение безопасности информации в Российской Федерации. М.: Изд. группа «Юрист», 2001. 412 с. ↑

33. Ясенев В. Н. Информационная безопасность в экономических системах: учебное пособие. Н. Новгород: Изд-во ННГУ, 2006. ↑