Článok je venovaný poskytovaniu bezpečnosti informácií v bankových inštitúciách na základe vnútroštátnych regulačných požiadaviek sektorových noriem Banky Ruska STR BR IBBS-1.0-2014. Uvažujú sa niektoré aspekty ochrany v automatizovaných bankových systémoch (ABS), ochrana osobných údajov v bankovom sektore, vnútorný audit a sebahodnotenie dodržiavania požiadaviek IB, ako aj niektoré funkcie a problémové miesta týkajúce sa špecifických informácií Bezpečnosť v bankách.

Úvod

Nie je tajomstvom, že banky sú základným kameňom úveru a finančného systému krajiny a najdôležitejším finančným inštitútom modernej spoločnosti. V tejto súvislosti sú uložené na osobitné požiadavky na bezpečnosť informácií. Až do vzniku vnútroštátnych sektorových bezpečnostných noriem, SR BRB Banks riadená bezpečnosť na základe ustanovení vnútorného regulačné dokumenty. Ale po prijatí týchto dokumentov existuje mnoho otázok, ktoré si vyžadujú svoje rozhodnutie. Niektoré otázky považované v článku sú spojené s riešením "prekážok" bankového systému IB a prispôsobením bezpečnostných politík pre nové požiadavky, pričom zohľadní už k dispozícii "batožinu" v oblasti ochrany informácií.

Tvorba noriem IB Bank Rusko

V Rusku až do polovice 2000s, slovo "Bezpečnosť"spojené s kontrolou "Bankové riziká" . Kontrola situácií, ktoré by mohli viesť k strate úverovej inštitúcie a degradácii svojej likvidity v dôsledku nástupu nežiaducich účinkov. Takéto kategórie ako "Informačná bezpečnosť" alebo "Ochrana informácií" V zásade neexistovala. Len federálny zákon "o bankových aktivitách" od 02.12.1990 N 395-1 FZ v článku 26, bankové tajomstvo poskytlo obmedzené právo a schopnosť chrániť dôverné informácie v bankovom sektore. Viac ako desaťročie vydala domácim Rulprons Federálny zákon "o obchodnom tajomstve" 29. júla 2004 N 98-фз, ktorý nakoniec plne vyhlásiť novú formu činnosti a samostatnú kategóriu otázok, ako napríklad "Information Security of banky ".

V tom istom roku sa trendy objavili v domácom bankovom spoločenstve, aby prijali medzinárodné bankové normy, najmä normy Bazilej II. Vo svojej interpretácii sa táto norma preskúmala bezpečnosť informácií ako operačné riziko a vo všeobecnosti požadovali opatrenia na audit a kontrolu informačnej sféry, čo bolo absolútnou inováciou pre ruské banky v tom čase. To však nestačilo - rozvoj moderných informačných technológií a neustálej túžby návrhu nových bankových produktov na trh sa na tieto otázky vyžadovalo väčšiu väčšiu pozornosť.

Ďalším evolučným rozvojom rozvoja bol 2004 s vydaním prvého vydania balíka domácich sektorových noriem pre informačnú bezpečnosť Str BRA IBS. Norma bezpečnostného IT bola v tom čase považovaná za najlepšiu sektorovú normu, pretože si predstavoval najlepšie svetové skúsenosti a prax, kombinuje základné ustanovenia noriem riadenia IT bezpečnosti (ISO 17799, 13335), reguluje opis životného cyklu softvéru a Kritériá pre hodnotenie bezpečnosti IT (GOST R ISO / IEC 15408-1-2-3). Dokument tiež odráža technológie na posudzovanie hrozieb a zraniteľných miest, niektoré ustanovenia britskej metodiky na posúdenie informačných rizík CRAMM (pozri obrázok 1).

Obrázok 1. Vzťah rôznych požiadaviek a noriem v IT, bezpečnosti a riadení

Medzi hlavné ustanovenia štandardu centrálnej banky, bolo možné poznamenať orientáciu na riešenie problému zasvätených. Na tento účel Bank of Rusko stanovuje kontrolu nad odvolaním o dôverných informácií v rámci firemného prostredia. Značná pozornosť sa venuje externým hrozbám: Ustanovenia štandardu vyžadujú od bánk, ktoré majú antivírusovú ochranu s pravidelnými aktualizovanými základmi, filtračnými nástrojmi spamu, riadenie prístupu, regulovať interné audítorské postupy, používajú šifrovanie na ochranu pred neoprávneným prístupom atď.

Napriek všetkým týmto zjavným výhodám bola štandardom reportoviskom - jej pozícia by mohla uplatniť domáce banky len na dobrovoľnom základe. Podľa výsledkov štúdie respondentov predstavených v III medzibankovej konferencie však došlo k jasnému trendu smerom k prijatiu týchto dokumentov ako povinného základného základu pre ruské banky.

Súbežne s rozvojom bankových noriem v polovici 2000s, proces tvorby vnútroštátnych právnych predpisov v oblasti informačnej bezpečnosti bol zahrnutý aj v Rusku. Kľúčový moment Aktualizácia federálneho zákona "o informáciách, informačných technológiách a ochrane informácií" z 27. júla 2006 N 149-FZ, ktorý poskytuje nové skutočné definície informácií, informačných technológií a procesov, oddelene sa prideľuje názov "Ochrana informácií". Sledovať ho samostatná kategória V praxi o ochrane informácií som označil cestu zo zákona "o osobných údajoch" 27. júla 2006 N 152-FZ.

Vzhľadom na všetky tieto inovácie a meniace sa realitu spoločnosti, boli zverejnené nové vydania Str Br Ebbs. V treťom vydaní štandardu roka 2008 sa teda balík dokumentov výrazne prepracoval, nové podmienky a oznámenie boli povedané, niektoré bezpečnostné požiadavky boli rafinované a podrobné; Aktualizované požiadavky na systém riadenia bezpečnosti informácií. Štandard tiež získal vlastný model hrozieb a porušovateľov informačnej bezpečnosti organizácií BS RF. Nové bloky boli zavedené podľa požiadaviek IB v automatizovaných bankových systémoch, proces bankových platobných a informačných technologických procesov bol regulovaný, zvlášť sa hovorí o využívaní finančných prostriedkov ochrany kryptografických informácií.

Na pozadí posledných svetových udalostí v roku 2014 a ekonomických sankcií uložených západnými krajinami vo vzťahu k Rusku, došlo k jasnému trendu smerom k rozvoju a prechodu na systém národnej platobnej karty. To preto robí dodatočné požiadavky na spoľahlivosť a bezpečnosť takýchto systémov, ktoré zahŕňajú a zvyšujú význam domácich noriem IB.

Výsledkom všetkých týchto udalostí bol ďalším opätovným výnosom štandardu. A v júni 2014, aktualizovaná piata nadobudla účinnosť a zatiaľ čo posledný doteraz, redakčnú kanceláriu Str BR IBBS - 2014. Nové vydanie opravené nedostatky minulých otázok a, čo je veľmi dôležité, požiadavky a odporúčania Strového vedenia v súlade s vyššie opísaným 382-p. Napríklad bol objasnený zoznam vyžadujúcich registráciu operácií v DBO, zoznam chránených informácií bol rozšírený, založený na P-382, tabuľke súladu s ukazovateľmi súkromných oceňovaní zo stoviek a ukazovateľov verzia 382-p.

A nie je menej významným úspechom bola aktualizovaná základňa regulačných požiadaviek, pričom sa zohľadnilo najnovšie zmeny v právnych predpisoch v oblasti ochrany osobných údajov, a to pridaných odkazov na vyhláška vlády č. 1119 a príkazom FSTEC Ruska č. 21.

To všetko vytvorilo jednotnú metodickú a regulačnú platformu na zabezpečenie komplexnej bezpečnosti informácií s prihliadnutím na bankové špecifiká. Balenie dokumentov STR BR IBBS ruské banky Po vybudovaní v nich bezpečnostný systém z sektorového hľadiska, ale zároveň absorboval najlepšiu globálnu prax a skúsenosti zahraničných kolegov, aby zabezpečili bezpečnosť informácií.

Informačná bezpečnosť v bankách, pričom zohľadní STR BR IBBS-2014

V súčasnosti pozostáva Bank of Bank of Bank of Docues of Str Brbs z nasledujúcich častí:

1. STR BR IBBS-1.2-2014. "Metódy posudzovania súladu informačnej bezpečnosti organizácií bankového systému Ruskej federácie s požiadavkami Str BBBS-1.0-2014 (4 vydanie)";

Okrem toho Bank of Rusko vyvinula a zaviedla tieto odporúčania v oblasti normalizácie IB:

1. RS BR IBBS-2.0-2007. "Metodické odporúčania pre dokumentáciu o bezpečnosti informácií v súlade s požiadavkami Str BRA IBBS-1.0";
2. RS BR IBBS-2.1-2007. "Usmernenia pre sebahodnotenie súladu informačnej bezpečnosti organizácií bankového systému Ruskej federácie s požiadavkami STR BR IBBS-1. 0 ";
3. RS BR IBBS-2.2-2009. "Metódy posudzovania rizika informačného zabezpečenia";
4. RS BR IBBS-2.5-2014. "Riadenie incidentov informácií o bezpečnosti informácií"

Prvé tri dokumenty sú povinné pre všetky banky, ktoré prijali špecifikovanú normu ako svoju základnú politiku. Dokument "Všeobecne" sú základom pre vytvorenie všetkých činností na ochranu informácií. Celá štruktúra je rozdelená na samostatné bloky. Podrobne opisujú bezpečnostné požiadavky, majú konkrétne zoznamy ochranných opatrení konkrétnym blokom. (pozri tabuľku 1)

Tabuľka 1. Požiadavky na bezpečnosť informácií

- pri priradení a distribúcii rolí a zabezpečenie dôvery v personál;

- v automatizovaných bankových systémoch (ABS) v etapách životného cyklu;

- pri riadení prístupu a registrácie používateľa;

- na prostriedky antivírusovej ochrany;

- pri používaní internetových zdrojov;

- pri použití prostriedkov kryptografickej ochrany informácií;

- v bankových platobných technologických procesoch;

- na zaobchádzanie s osobnými údajmi;

- hotelový nadpis bol vydaný požiadavky na systém riadenia informácií o bezpečnosti informácií.

Dokument "Audit informačnej bezpečnosti" Najkrajšie odolné voči všetkému naznačuje potrebu vykonať audit systému IB a tiež odkazuje na ročné sebahodnotenie podľa požiadaviek štandardu. Údaje o konečnom sebahodnotení slúžia ako základ pre formulár podávania správ v prípade testovania centrálnou bankou a uzatvorením súladu s úrovňou bezpečnosti informačného zabezpečenia systému banky zo strany odhalených rizík a hrozieb IB.

A posudzovaný posledný dokument "Metódy posudzovania zhody s požiadavkami IB" - Toto je súbor metód hodnotenia a tabuľky s príslušnými poliami na plnenie. Každá udalosť a miera ochrany poskytujú určitú hmotnostnú hodnotu pri hodnotení ukazovateľa skupiny. Podľa výsledkov skupinových indikátorov je kruhový diagram zhody s požiadavkou IBBS Str BRA (pozri obrázok 2). Všetky hodnoty ukazovateľov skupín sú v rozsahu od 0 predtým 1 V ktorom ďalších 6 úrovní dodržiavania štandardu začínajúcemu nulu sa prideľuje na určenie výsledku. Banka Ruska Odporúčaná úroveň 4 a 5 (pozri obrázok 2). Čím vyššia je hodnota, tým viac očakáva chránený systém. Na kruhovom diagrame majú tieto sektory zelený, červeno-kritický ukazovateľ úrovne.

Obrázok 2. Kruhové požiadavky na plnenie zhody Str Br Ibbs

Čo ešte môžete pridať - pomerne veľa pozornosti sa venuje procesom riadenia informácií, najmä, môžete prideliť Bicyklipoužívajú top manažérov v riadení kvality (obrázok 3).

Obrázok 3. Cyklus demingu pre SOCI BR St. IBBS

V novom vydaní Banka Ruska aktualizovala metodiku hodnotenia súladu s bezpečnosťou informácií. Hlavné zmeny ovplyvnili prístup hodnotenia: \\ t

• všetky požiadavky sa teraz pripisujú jednej z troch tried ( dokumentácia, výkon, dokumentácia a vykonanie);
• hodnotenie ukazovateľov skupín je definované ako aritmetický priemer (neexistujú žiadne vážiace koeficienty súkromných ukazovateľov);
• zavádza sa koncepcia korekčných koeficientov ovplyvňujúcich odhady v smeroch a závisí od počtu plne vykonávaných požiadaviek štandardu;
• hodnota indikátora M9 (VŠEOBECNÉ POŽIADAVKY NA SPRACOVANIE OSOBNÝCH ÚDAJOV) sa vypočíta všeobecným systémom (a nie ako minimálne hodnoty hodnôt prichádzajúcich súkromných ukazovateľov v predchádzajúcej verzii štandardu).

Stojí za zmienku, že sa stala oveľa dlhšou, aby venovala pozornosť dokumentácii bezpečnostných postupov v interných regulačných dokumentoch bánk. Tak, aj keď sa postup skutočne nevykonáva, ale je poskytovaný a zdokumentovaný, zvyšuje výsledok vnútorného auditu.

V porovnaní s poslednou úpravou sa zvýšil počet súkromných ukazovateľov, ako aj hodnoty hmotnosti odhadov (pozri obrázok 4).

Obrázok 4. Zmeny v minulosti a aktuálnom vydaní STR BR IBBS (podľa InfoContal Management, www. Km-ltd.com, 2014)

Malo by sa povedať o ešte ďalšieho pridávania, pokiaľ ide o vstavané mechanizmy ochrany ABS - Banka Ruska vydala odporúčania "zabezpečenie bezpečnosti informácií v etapách životného cyklu automatizovaných bankových systémov" (RS BR IBBS-2.6-2014) ). " Ich podstata spočíva v tom, že banky teraz môžu, odkazovať na tento dokument, stanoviť požiadavky vývojárom na softvérové \u200b\u200bfunkcie z hľadiska ochranných mechanizmov. Nesmieme zabúdať, že tieto sú odporúčania, a nie požiadavky, a banka Ruska sám nemôže nič uložiť, ale umožňuje vám vysielať tieto odporúčania v mene bankovej komunity, a to je už zmena pre lepšie.

Ochrana osobných údajov v bankách

Pred vydaním 5. ročníka Str BR IBBS-2014 bola ochrana osobných údajov v bankách založená na dvoch dokumentoch: BR IBBS-2.3-2010. "Požiadavky na bezpečnosť osobných údajov v informačné systémy Osobné údaje organizácií bankového systému Ruskej federácie "a RS BR IBBS-2.4-2010. "Sektorový súkromný model hrozieb pre bezpečnosť osobných údajov, keď sa spracúvajú v informačných systémoch osobných údajov organizácií bankového systému Ruskej federácie."

V praxi to vyzeralo takto: vzali súkromný priemyselný model hrozieb, ktoré navrhla centrálna banka, podľa metodických odporúčaní, určili požiadavky na ochranu každého CDN, na základe a číslo a zoznam spracovaných údajov a neskôr postavil zoznam potrebných udalostí.

Hlavnou bolesťou hlavy špecialistov do dnešného dňa bolo, že súčasné požiadavky pôsobili až do ďalšieho vydania Str BR IBBS - 2014, hoci v tom čase bola obhajoba PDN postavená v súlade s odsekom 1119 a príkazom FSTEC č. 21 . Vzhľadom na skutočnosť, že banky musia byť v súlade s prijatým balíkom Str BR IBBS, mnohé z nich používali relevantné techniky av dôsledku toho nespĺňali novú realitu bezpečnosti.

S prepustením týchto dvoch uvedených regulačných dokumentov sa situácia zmenila na lepšie - niektoré prísne požiadavky na udelenie licencií boli zrušené, postupy klasifikácie CD, operátor OPN, je poskytnutá viac práv na výber ochranných opatrení. Výpočet na výpočet na výpočet na výpočet na výpočet výpočtu "Úroveň ochrany" a bezpečnostné postupy sa na ne uplatňovali, z ktorých podrobnosti boli prezentované príkazom FSTEC č. 21. To umožnilo vyrovnať rozdiely v spôsobe ochrany PDN v sektorovej norme \\ t Centrálna banka a všeobecná ruská legislatíva.

Aktualizovaný štandard má nový termín "zdroj PDN", pre ktorý sa vytvoria požiadavky na dokumentáciu jednotlivých postupov týkajúcich sa spracovania osobných údajov (oddiel 7.10). Samostatne sa zvažujú otázky týkajúce sa zničenia osobných údajov: Organizácie majú možnosť zničiť PDN nie okamžite, ale na pravidelnom základe, ale aspoň raz za šesť mesiacov.

Roskomnadzor bol samostatne vysvetlený pre biometrické PDNS, ako sú fotografie zamestnancov, ak sa používajú na vykonanie registrácie režimu alebo sú vystavené na internetovej stránke spoločnosti ako verejne dostupné usmernenia, nespadajú do požiadaviek na osobitné ochrany.

Do bánk, ktoré predtým splnili požiadavky na ochranu PD na starého štandardu, aby spĺňali nové požiadavky, musíte upraviť svoje interné regulačné dokumenty, aby ste ho mohli prehodnotiť a presmerovať a v súlade s úrovňou bezpečnosti, \\ t Určite pre seba nový zoznam ochranných udalostí. Chcel by som si všimnúť, že teraz banky majú väčšiu slobodu pri výbere finančných prostriedkov a metódach ochrany, avšak aplikácia nástrojov na bezpečnosť informácií je stále rôznorodá.

Informačná bezpečnosť národného platobného systému

Národný platobný systém (NP), vzhľadom na najnovšie udalosti, sa stáva čoraz prioritnejším smerom v domácej politike štátu. Ruský prezident Vladimir Putin podpísal zákon o zriadení národnej platobnej karty (NSPK) v Rusku a zabezpečuje nepretržitú prácu medzinárodných platobných systémov. Prevádzkovateľ NPC je vytvorený vo forme JSC, 100% majetku, ktorý patrí do Banky Ruska. Účelom projektu je indikovaná infraštruktúra a informácie o vykonávaní vykonávania prevody peňazí Vnútri Ruska, konsolidovať územne do prevádzkových centier krajiny a clearing clearing.

V skutočnosti, pred vydaním zákona sa peniaze mohli objaviť z "nikde" a zmiznú do "nikde". S výkonom zákona sa situácia zmení, NPC umožňuje sledovať všetky peňažné operácie, vrátane financovania pochybných transakcií a podvodných operácií, ktoré môžu ohroziť bezpečnosť občanov alebo krajinu ako celok. Okrem toho, odklon od vlády, podľa vlády, je ďalším krokom v boji proti úplatkárstvu.

Aby sa zabezpečila bezpečnosť NPS, celý rad podbehných aktov bol uvoľnený, čo sú základným ustanovením o ochrane informácií v platobnom systéme "od 13.06.2012 č. 584. Ale nariadenie o požiadavkách na zabezpečenie ochrany informácií pri vykonávaní prevodu peňazí ... "od 09.06.2012 č. 382-P) je zodpovedný za banku

S aktualizáciou P-382 sa teraz presúvajú trendy ochrany na strane:

• uplatňovanie bankomatov a platobných terminálov;
• aplikácie plastových platobných kariet;
• používanie internetu (vzdialené bankové systémy (dB) a mobilné bankové systémy);
• požiadavky na postup pre rozvoj a distribúciu špecializovaného softvéru určeného na používanie klientom pri prevode finančných prostriedkov;
• ktorý bol veľmi potešený, rozšírila požiadavky na povedomie zákazníkov o možných rizikách pri prijímaní neoprávneného prístupu k chráneným informáciám a odporúčané opatrenia na ich zníženie;
• požiadavky na potrebu klasifikovať bankomaty a platobné terminály, ktorého výsledky by sa mali zohľadniť pri výbere ochranných opatrení;
• postupy na zavedenie platby platbou prevádzkovateľom pre prevod finančných prostriedkov v prípade odhaľovania známok podvodných činností;
• poskytli sa postupy ochrany z moderných bezpečnostných hrozieb, ako napríklad: skimming (pomocou špecializovaných fondov, ktoré bránia neoprávnenému čítaniu tratí platobných kariet; ochrana služieb umiestnených na internete z externých útokov (DOS-útoky); Ochrana phishingu (z falšovaných rodinných zdrojov internetu).
• požiadavka na používanie platobných kariet vybavených mikroprocesorom, od roku 2015 A zákazom uvoľnenia kariet, ktoré nie sú vybavené mikroprocesorom, po 1. januári 2015;
• 29 Nové ukazovatele hodnotenia.

Informačná bezpečnosť platobných systémov

Podobná situácia sa aplikuje pomocou plastové karty. V Svetovom spoločenstve sa uznávaná bezpečnostná norma považuje za štandardnú normu bezpečnosti platobných kariet (PCI DSS), ktorá bola vyvinutá radami PCI SSC. Zahŕňa také značky kariet ako vízum, MasterCard, American Express, JCB a Discovery.

Štandard PCI DSS popisuje požiadavky na ochranu údajov na kartách zoskupených do dvanástich tematických sekcií. Hlavným zameraním na štandardu PCI DSS sa vykonáva na zabezpečenie bezpečnosti sieťovej infraštruktúry a ochrany uložených údajov o držiteľoch platobných kariet, ako najzraniteľnejšia z hľadiska hrozieb dôvernosti. Treba tiež poznamenať, že norma upravuje pravidlá bezpečného rozvoja, podpory a prevádzky platobných systémov vrátane postupov ich monitorovania. Rovnako dôležitou úlohou je rozvoj a podpora základne regulačných dokumentov systému riadenia bezpečnosti informácií.

Medzinárodné platobné systémy zaväzujú organizácie, ktoré majú podliehať požiadavkám normy, podstúpiť pravidelné overovanie dodržiavania týchto požiadaviek, ktoré sa skôr alebo neskôr môžu ovplyvniť NSPK. Avšak, certifikácia ruských bánk na zahraničnom štandarde PCI DSS išiel pomaly, a dnes neexistuje žiadny domáci náprotivok.

Avšak, splnenie požiadaviek P-382 a poslednej redakčnej rady USA BR IBBS-2014, je možné vo veľkej miere pripraviť na prechod certifikácie na PCI DSS, pretože mnohé z jeho ustanovení sa pretínajú s požiadavkami domáceho dokumentu : Anti-Virus Security, šifrovanie, filtrovanie s firewallmi, prístupový prístup, sledovanie komunikačných stretnutí, ako aj monitorovanie, audit a riadenie systému IB (pozri obrázok 5).

Obrázok 5. Porovnanie kategórií chránených informácií podľa rôznych noriem (podľa Center Security Center URAL, www.usssc.ru, 2014)

Na rozdiel od všetkých cudzích štandardov je ruský 382-p nominovaný na stimuláciu domácich vývojárov a výrobcov nástrojov na ochranu informácií (СZI), napríklad zaväzuje subjekty NPC, aby sa zabezpečilo používanie nepatrného prístupu z neoprávneného prístupu vrátane tých, vrátane tých, ktoré sú predpísané predpísaným spôsobom, postup posudzovania zhody. Zároveň je jasne povolená aplikácia zahraničných výrobných riešení.

Okrem toho Bank of Rusko posilňuje svoju kontrolu nad dodržiavaním stanovených pravidiel. Vo svojom dokumente, indikácia č. 2831-y z 09.06.2012 "o podávaní správ, aby sa zabezpečila ochrana informácií v platobných systémoch ..." výslovne naznačuje, v akom formulári, a s ktorou frekvenciu by mali byť predmety platobných systémov uvádzané na \\ t Stav bezpečnosti informácií v platobných systémoch.

Napriek popularite a rozšíreným PCI DSS, existujú aj iné medzinárodné bezpečnostné štandardy prípadových systémov, ktoré by tiež rád povedal. Jedným z nich je štandard PCI PA-DSS (platba štandardu bezpečnosti aplikácií). A druhý štandard Platobnej karty Industry Pin Transaction Security (PCI PTS), predtým PCI PED sa vzťahuje na výrobcov, ktorí špecifikujú a implementujú technické parametre a riadiaci systém pre zariadenia, ktoré podporujú súbor PIN kódu a používajú sa na vykonávanie platobných transakcií.

závery

Str Br Ibbs je veľmi dôležitým míľnikom evolučnej cesty vývoja systému domáceho informačného zabezpečenia. Toto je jeden z prvého priemyslu a prispôsobený ruskej reality noriem. Samozrejme, že to nie je všeliek zo všetkých ťažkostí, stále existuje mnoho problémov, ktoré špecialisti bojujú, ale toto je prvá a veľmi úspešná skúsenosť, ktorá nás prinášajú odkazy na najlepšie zahraničné praktiky.

Po požiadavkách štandardu sa mnohé banky pripravujú na medzinárodnú certifikáciu na zabezpečenie bezpečnosti platobných systémov PCI DSS. Poskytnite ochranu osobných údajov v súlade s najnovšími požiadavkami regulačných orgánov. Ročné interný audit Umožňuje objektívne kontrolovať bezpečnosť bánk z podstatných rizík a hrozieb IB a manažéri sú efektívnejšie naplánovať výstavbu a riadenie komplexného systému ochrany.

Existujúce nedostatky a zrejmé chyby, dúfame, že bude v nasledujúcich vydaniach opravená, ktorej uvoľnenie nie je ďaleko. Na jar roku 2015 čakáme na aktualizované P-382 a zmeny v komplexe BR EBBS môžu nasledovať a nasledovať. Stále môžem byť spokojný s októbrovým uvoľnením "štandard finančných operácií" TC 122 a nezabudnite, že bez ohľadu na to, aké dobré je všetko úsilie vyššieho orgánu sú dobré, naša bezpečnosť je stále v našich rukách!

Volzhsky Štátna univerzita Služba

Alshanskaya Tatyana Vladimirovna, Kandidát pedagogických vied, Associate, Katedra aplikovanej informatiky v Ekonomike, Štátna univerzita vo VOLGA

Anotácia:

Tento článok odráža súčasný stav metód informácií šité bankový sektor a vyhliadky na jeho rozvoj. Článok zverejňuje hlavné hrozby pre informačnú bezpečnosť bánk. Činnosti na ochranu informácií v banke, ktoré sa musia vykonať na vytvorenie efektívneho systému ochrany.

Tento článok odráža súčasný stav metód ochrany informovania o bankovom sektore a jeho rozvojových vyhliadok. Článok sa vzťahuje na hlavné hrozby pre informačnú bezpečnosť bánk. Predstavuje opatrenia na ochranu informácií v banke, ktoré sa majú vykonať na vytvorenie efektívneho systému ochrany.

Kľúčové slová:

breh; Informačná bezpečnosť; Ochrana informácií.

bezpečnosť informácií; Informačná bezpečnosť.

UDC 338.14

Aktivity banky sú priamo v závislosti od toho, ako rýchlosť je výmena informácií v rámci nej a do akej miery je systém bezpečnosti informácií. Výsledky nerozvinutej bankovej infraštruktúry sú katastrofické: Banka je schopná stratiť nielen základne zákazníkov, ale aj ich dôveru. Kolízia s touto úlohou viedla k vytvoreniu najnovších pojmov na ochranu informácií, ktoré boli vyvinuté za podmienok úverových inštitúcií. Štúdia systémov ochrany informácií v bankovom sektore je teda príslušnou úlohou.

Podľa čl. 19 Federálneho zákona "o informáciách, informačných technológiách a ochrane informácií" z 27.07.2006 č. 149-FZ, ochrana informácií je prijatím právnych, organizačných a technických opatrení zameraných na zabezpečenie informácií od protiprávneho prístupu, zničenia, modifikácie, blokovania , Kopírovanie, poskytovanie, distribúcia, ako aj iné nezákonné akcie týkajúce sa týchto informácií, súlad s dôvernosťou informácií obmedzeného prístupu, ako aj implementácia práva na prístup k informáciám.

Ochrana bankových údajov obsahuje implementáciu jednotného súboru udalostí - od auditu ochrany informácií a na vytvorenie pojmov ochrany rôznych bankových služieb. Odborníci tejto gule sú pripravené na vytvorenie presne ako nezávislý bezpečnostný modul a kompletný koncentrovaný koncept systému ochrany údajov.

V procese implementácie základných funkcií služby na ochranu informácií, vznikajú úlohy, ktorého riešenie je slabo dostupné pre formalizáciu. V tomto prípade je možné použiť metódy teórie systémov a systémovej analýzy zameranej na aktiváciu intuície a skúseností špecialistov.

Jednou z metód ochrany informácií banky je kontrolovať pasáž a registráciu tajných informácií. Najvýznamnejším v tomto probléme je vytvoriť mimoriadne bezpečné alternatívy k výmene súborov v rámci banky.

Na ochranu informácií banky sa používajú pojmy identifikácie, charakterizujú dostupnosť prístupových práv údajov. Na tento účel použite systém hesiel na vstup do miestnej siete banky. Môžu byť vybraní užívateľom, generovaný systémom alebo ich prideľte ho za bezpečnostného manažéra. Okrem toho existujú plastové prístupové karty s čipom. Pomocou špeciálneho algoritmu systému kóduje a robí individuálne údaje konkrétneho používateľa. Elektronické klávesy pôsobia, keď kontakt s mechanizmom na dverách inštalovaných v tajných miestnostiach, v serverových a užívateľských počítačoch.

Ochrana informácií banky bude spoľahlivo pracovať len vtedy, keď je včasný systém externých hrozieb. V vonkajšom prostredí systému sú oddelené nasledujúce typy informačných hrozieb, tabuľky. jeden.

Tabuľka 1. Typy hrozieb informácií vo vonkajšom prostredí

	Názov hrozby	Charakteristický
	porušenie fyzickej integrity	zničenie, zničenie prvkov
	porušenie logickej integrity	zničenie logických pripojení
	modifikácia obsahu	zmena informačných blokov, externé uloženie nepravdivých informácií
	porušenie súkromia	ochrana obrany, zníženie stupňa bezpečnosti informácií
	porušenie vlastníctva informácií	neoprávnené kopírovanie

Plánovanie systémov ochrany údajov pre spoločnosť by malo uľahčiť zníženie pravdepodobných nepriaznivých výsledkov súvisiacich s uplatňovaním informačných technológií a zaručiť možnosť implementácie kľúčových cieľov a cieľov úverovej inštitúcie. Stavebné modely Pri navrhovaní alebo modernizácii systému ochrany údajov v bankách je prirodzeným prostriedkom na riešenie problémov analýzy a dizajnu s najmenšími nákladmi a významnými výnosmi. Banky používajú model porušovateľa informácií o bezpečnosti informácií, ktorý zahŕňa:

1. Opis porušovateľov bezpečnosti informácií;
2. Klasifikácia porušovateľov bezpečnosti informácií;
3. Opis skúseností a znalostí votrelcov;
4. Opis dostupných zdrojov potrebných na vykonávanie hrozby;
5. Opis možnej motivácie činností votrelca;
6. Spôsoby implementácie hrozieb informačnej bezpečnosti podľa špecifikovaných porušovateľov.

Vybudovať model porušujúceho, informácie z bezpečnostnej služby, rizikových jednotiek a služby vnútornej kontroly banky na existujúcich spôsoboch prístupu k informáciám a spracovaniu, o možných metódach zachytenia údajov vo fáze prenosu, spracovania a skladovania Nastavenie v tíme a na predmet ochrany, informácií o konkurentoch a situácii na trhu, o prípadoch krádeže informácií a podobne. .

Okrem toho sa odhadujú skutočné prevádzkové technické schopnosti páchateľa, aby ovplyvnili koncepciu ochrany alebo na chránenom predmete. V rámci technických možností sa chápe ako zoznam rôznych technických prostriedkov, že páchateľ môže byť umiestnený počas prevádzky operácií zameraných na systém ochrany informácií.

Nakoniec treba poznamenať, že efektívne využívanie modelov je prípustné len s vysokokvalitnými zdrojovými údajmi potrebnými na opis modelov pri riešení ochrany. Skutočnosť, že ohromujúce množstvo zdrojových údajov má vysoký stupeň neistoty. Z tohto dôvodu nie je potrebné simulovať potrebné údaje, ale pravidelne ich vykonať posúdenie a konkretizáciu.

Bibliografický zoznam:

1. ALSHANSKAYA, T. V. APLIKÁCIE METÓDY ANALÝZY Systém expertov na bezpečnosť informácií [Text] / T. V. Alshanskaya. Informačné systémy a technológie: Riadenie a bezpečnosť: SAT. Umenie. III Medzinárodná korešpondencia Vedecká a praktická konferencia / Štát VOLGA. Univerzita služby. - Tolyatti: Vydavateľstvo PVGUS, 2014. - 348 p.
2. TROFIMOVA, V. V. Informačné systémy a technológie v ekonomike a riadení [Text] / V.V. TROFIMOVA. M.: Yurait, 2012. - 521 p.
3. Federálny zákon "o informáciách, informačných technológiách a ochrane informácií" z 07/27/2006 č. 149-FZ

Bankové aktivity boli vždy spojené so spracovaním a uskladnením veľkého počtu dôverných údajov. V prvom rade ide o osobné údaje o klientoch, ich príspevkoch a všetkých vykonaných operáciách.

Všetky komerčné informácie uložené a spracované v úverové organizácieje vystavený širokej škále rizík spojených s vírusmi, zlyhaním hardvéru, zlyhania systému, atď. Ale tieto problémy nie sú schopné spôsobiť žiadne vážne škody. Denné zálohovanie údajov, bez ktorých je práca informačného systému akéhokoľvek podniku nemysliteľná, znižuje riziko neodvolateľnej straty informácií na minimum. Okrem toho sú metódy ochrany pred uvedenými hrozbami dobre navrhnuté a široko navrhnuté. Riziká spojené s neoprávneným prístupom k dôverným informáciám (NSD) preto prichádzajú do popredia.

Neautorizovaný prístup je realitou.

K dnešnému dňu sú najčastejšie tri spôsoby krádeže dôverných informácií. Prvý, fyzický prístup k jeho skladovacím a spracovateľským miestam. Existuje mnoho možností. Napríklad útočníci môžu vyliezť do bankovej kancelárie v noci a ukradnúť pevné disky so všetkými databázami. Je možné aj ozbrojenú chybu, ktorej účel nie je peniaze, ale informácie. Situácia nie je vylúčená, keď zamestnanec banky môže niesť dopravcovi informácií mimo územia.

Po druhé, použitie záloh. Vo väčšine bánk je systém redundancie dôležitých údajov založený na pokrokoch. Zaznamenávajú vytvorené kópie pre magnetické pásky, ktoré sa potom uložia na samostatnom mieste. Prístup k nim je regulovaný oveľa jemnejšie. Keď sú prepravované a uskladnené, relatívne veľký počet ľudí môže od nich odstrániť kópie. Riziká spojené s zálohovaním dôverných údajov nemožno podceňovať. Napríklad väčšina odborníkov sú presvedčení, že databázy centrálnej banky Ruskej federácie v roku 2005 boli ukradnuté vďaka kópiám z magnetických pások. Vo svetovej praxi existuje veľa podobných incidentov. Najmä v septembri minulého roka zamestnanci služby Chase Card Služby (Divízia JPMORGAN CHASE & CO), dodávateľ kreditných kariet, omylom búšil päť magnetických pások s zálohami obsahujúcimi informácie o 2,6 milióna držiteľov Circuits Circuit City.

Po tretie, najpravdepodobnejším spôsobom uniknutia dôverných informácií je neoprávnený prístup bankových zamestnancov. Ak sa používajú na oddelenie práv iba štandardných nástrojov operačných systémov, používatelia majú často schopnosť nepriamo (pomocou špecifického softvéru) úplne kopírovať databázy, s ktorými pracujú a robia z nich zo spoločnosti. Niekedy to zamestnanci robia bez akéhokoľvek škodlivého zámeru, len aby pracovali s informáciami doma. Takéto akcie sú však hlavným porušením bezpečnosti a môžu sa stať (a stať sa!) Dôvodom publicity dôverných údajov.

Okrem toho, v ktorejkoľvek banke existuje skupina ľudí, ktorí majú v Zvýšených privilégiách v miestnej sieti. Hovoríme o správcovi systému. Na jednej strane je potrebné, aby mohli plniť oficiálne povinnosti. Na druhej strane však majú možnosť pristupovať k žiadnym informáciám a "Kontrola skladieb".

Systém ochrany bankové informácie Od neoprávneného prístupu by sa mal pozostávať z najmenej troch subsystémov, z ktorých každý zabezpečuje ochranu proti svojmu typu hrozieb. Ide o subsystém ochrany pred fyzickým prístupom k údajom, subsystému zálohovania a bezpečnostných subsystémov zálohovania. A je žiaduce nie je zanedbanie ktoréhokoľvek z nich, pretože každá hrozba môže spôsobiť zverejnenie dôverných údajov.

Zákon bánk nebol napísaný?

V súčasnosti sú aktivity bánk upravené federálnou právom "o bankových a bankových činnostiach". V ňom je zavedená koncepcia "bankového tajomstva". Akákoľvek úverová organizácia je podľa neho povinná zabezpečiť dôvernosť všetkých údajov o vkladoch zákazníkov. Za ich zverejnenie je zodpovedné, vrátane náhrady škody v dôsledku úniku. Zároveň nie sú predložené žiadne požiadavky na bezpečnosť bankových informačných systémov. To znamená, že všetky rozhodnutia o ochrane obchodných dátových bánk sú prijaté nezávisle na základe skúseností svojich špecialistov alebo spoločností tretích strán (napríklad vykonávanie auditu bezpečnosti informácií). Jediným odporúčaním je štandard centrálnej banky Ruskej federácie "zabezpečenie informačnej bezpečnosti organizácií bankového systému Ruskej federácie. Všeobecne. " Najprv sa objavil v roku 2004 av roku 2006 bola prijatá nová verzia. Pri vytváraní a vylepšení tohto rezortného dokumentu sa použili existujúce ruské a medzinárodné normy v oblasti informačnej bezpečnosti.

Centrálna banka Ruskej federácie ju môže odporučiť len iným bankám, ale nemôže trvať na povinnom implementácii. Okrem toho, v štandarde existujú malé jasné požiadavky, ktoré určujú výber špecifických výrobkov. Je to určite dôležité, ale v súčasnosti nemá vážnu praktickú hodnotu. Napríklad, o certifikovaných produktoch v nej sa hovorí: "... Certifikované alebo autorizované nástroje na ochranu informácií z NSD možno použiť. Zodpovedajúci zoznam chýba.

Uvedené v štandarde a požiadavkách na kryptografické prostriedky na ochranu informácií v bankách. A tu je už viac alebo menej jasná definícia: "Lyžiarsky ... by sa mal implementovať na základe algoritmov, ktoré spĺňajú národné normy Ruskej federácie, podmienky zmluvy s protistranami a (alebo) štandardmi organizácie." Potvrďte, že korešpondencia GOST 28147-89 Cryptographic Module môže byť vykonaná certifikáciou. Preto, keď sa používa v banke šifrovacích systémov, je žiaduce aplikovať certifikovaný FSB Ruskej federácie softvéru alebo hardvérových kryptoproviders, to znamená, že externé moduly, ktoré sú pripojené k softvéru a aktuálnym procesom šifrovania.

V júli minulého roka bola prijatá federálne zákon Ruskej federácie "o osobných údajoch", ktoré nadobudlo účinnosť 1. januára 2007. Niektorí experti s ním spojení s ním vznik špecifických požiadaviek na systémy na ochranu bankovníctva, pretože bánky patria organizáciám spracúva osobné údaje. Samotný zákon sa však určite veľmi dôležitý vo všeobecnosti, dnes neplatí v praxi. Problém spočíva v absencii noriem na ochranu súkromných údajov a orgánov, ktoré by mohli kontrolovať ich vykonanie. To znamená, že sa ukázalo, že v súčasnosti sú banky bezplatné pri výbere komerčných systémov ochrany informácií.

Ochrana fyzického prístupu

Banky tradične platia veľa pozornosti na fyzikálnu bezpečnosť prevádzkových kancelárií, údržby nehnuteľností, atď. To všetko znižuje riziko neoprávneného prístupu k obchodným informáciám fyzickým prístupom. Avšak, bankové kancelárie a technické budovyKtoré hostiteľské servery podľa stupňa ochrany sa zvyčajne nelíšia od kancelárií iných spoločností. Aby sa minimalizovali popísané riziká, je potrebné použiť kryptografický systém.

Dnes existuje veľký počet verejných služieb na trhu, ktorý šifruje údaje. Vlastnosti ich spracovania v bankách však ukladajú príslušným dodatočným požiadavkám. Po prvé, v systéme kryptografickej ochrany by sa mal implementovať princíp transparentného šifrovania. Pri používaní je dáta väčšinou archívmi sú vždy iba kódované. Okrem toho táto technológia vám umožní minimalizovať pravidelné pracovné náklady. Každý deň nemusia dešifrovať a šifrovať. Prístup k informáciám sa vykonáva pomocou špeciálneho softvéru nainštalovaného na serveri. Automaticky dešifruje informácie pri prístupe k nej a šifruje pred zápisom na pevný disk. Tieto operácie sa vykonávajú priamo v serveri RAM.

Po druhé, bankové databázy sú veľmi objemné. Tak, že kryptografický systém ochrany by mal pracovať s virtuálnymi, ale so skutočnými oddielmi pevných diskov, RAID, ktoré sú a iné dopravcovi serverových informácií, napríklad s ukladacími zariadeniami SAN. Faktom je, že kontajnerové súbory, ktoré môžu byť pripojené k systému, pretože virtuálne disky nie sú určené na prácu s veľkými množstvami údajov. V prípade, že virtuálny disk vytvorený z takejto súboru má veľkú veľkosť, pri jeho prístup k jej súčasne, dokonca aj niekoľko ľudí, môžete pozorovať výrazné zníženie rýchlosti čítania a písania informácií. Práca niekoľkých desiatok ľudí s veľkým množstvom kontajnerov môže zmeniť vizuálne trápenie. Okrem toho je potrebné pripomenúť, že tieto objekty sú vystavené riziku poškodenia v dôsledku vírusov, zlyhania súborového systému atď. Koniec koncov, v podstate predstavujú bežné súbory, ale dosť veľké. A dokonca aj ich malá zmena môže viesť k nemožnosti dekódovania celej obsiahnutej v ňom. Obe tieto povinné požiadavky výrazne úzko úzko úzko úzko vhodný na ochranu produktu. V súčasnosti ruský trh Existuje len niekoľko takýchto systémov.

Nie je potrebné zvážiť technické vlastnosti serverových systémov kryptografickej ochrany informácií podrobne, pretože v jednom z minulých čísel sme tieto výrobky porovnávali. (Stolyarov N., Davletkhanov M. UTM-Ochrana.) Ale stojí za zmienku niektoré z vlastností takýchto systémov, ktorých prítomnosť je výhodne pre banky. Prvý je spojený s už spomínanou certifikáciou použitého kryptografického modulu. Zodpovedajúci softvér alebo hardvér je už vo väčšine bánk. Preto musí systém zabezpečenia servera zabezpečiť možnosť ich pripojenie a používania. Druhou osobitnou požiadavkou pre systém bezpečnosti informácií je možnosť integrácie systému fyzického zabezpečenia kancelárie a / alebo serverovej miestnosti. To vám umožní chrániť informácie pred neoprávneným prístupom spojeným s krádežou, hackovaním atď.

Osobitná pozornosť v bankách by sa mala venovať bezpečnosti informácií, pretože je to vlastne peniaze zákazníkov. V systéme ochrany sa preto musia poskytnúť osobitné možnosti na minimalizáciu rizika jeho straty. Jednou z najvýznamnejších je funkcia určovania pokazených sektorov na pevnom disku. Okrem toho je najdôležitejšia možnosť pozastavenia a zrušenia procesov počiatočného šifrovania disku, jeho dešifrovanie a miešanie. Toto sú pomerne dlhé postupy, akékoľvek zlyhanie, počas ktorého ohrozuje úplnú stratu všetkých údajov.

Veľmi veľký vplyv na riziká spojené s neoprávneným prístupom k dôverným informáciám má ľudský faktor. Preto je žiaduce, aby systém ochrany stanovil možnosť zníženia takýchto vzťahov. To sa dosahuje pomocou spoľahlivých nástrojov na ukladanie s šifrovacími klávesmi - Smart Cards alebo USB kľúčov. Optimálnou je vstup týchto žetónov do výrobku, umožňuje nielen optimalizovať náklady, ale tiež poskytuje plnú kompatibilitu softvéru a hardvéru.

Ďalšou dôležitou funkciou, ktorá vám umožní minimalizovať vplyv ľudského faktora na spoľahlivosť systému ochrany je kvórum kľúčov. Jeho podstata leží v rozdelení šifrovacieho kľúča do niekoľkých častí, z ktorých každá je daná na použitie jedného zodpovedného zamestnanca. Na pripojenie uzavretého disku sa vyžaduje prítomnosť daného počtu častí. Okrem toho môže byť menší ako celkový počet častí kľúča. Tento prístup vám umožňuje zabezpečiť údaje z zneužitia zodpovedných zamestnancov a tiež poskytuje potrebnú flexibilitu na prácu.

Ochrana zálohovania

Pravidelná rezervácia celých informácií uložených v banke je absolútne nevyhnutným opatrením. To vám umožní výrazne znížiť straty v prípade problémov, ako je poškodenie vírusov, zlyhania hardvéru atď. Ale zároveň zvyšuje riziká spojené s neoprávneným prístupom. Prax ukazuje, že médiá, na ktorých sa zálohovanie zaznamenávajú, by sa nemali uložiť v serverovom miestnosti, ale v inej miestnosti alebo dokonca budovy. V opačnom prípade, keď sa vyskytne oheň alebo iný závažný incident, neodvolateľne stratené môžu byť ako údaje aj ich archívy. Môžete bezpečne chrániť záložné kópie z neoprávneného použitia pomocou kryptografie. V tomto prípade držte kľúčové šifrovanie samo o sebe, môže bezpečnostný dôstojník pokojne prenášať médiá s technickými archívmi zamestnancov.

Hlavnou zložitosťou v organizácii kryptografickej ochrany záložných kópií je potreba oddeliť povinnosti na správu archivácie údajov. Konfigurácia a implementácia samotného procesu zálohovania, správcu systému alebo iného technického riaditeľa. Ak chcete spravovať rovnaké šifrovanie informácií, musí byť zodpovedným zamestnancom - bezpečnostným dôstojníkom. V tomto prípade je potrebné pochopiť, že rezervácia v ohrozovacej väčšine sa vykonáva v automatickom režime. Tento problém môžete vyriešiť iba "vložením" systému kryptografického ochranného systému medzi systémom zálohovania a zariadeniami, ktoré zaznamenávajú údaje (stuhy, DVD disky atď.).

Teda, kryptografické výrobky pre možnosť ich používania v bankách by mali byť schopné pracovať aj s rôznymi zariadeniami používanými na nahrávanie záložných kópií na médiá: Strides, CD a DVD disky, odnímateľné pevné disky atď.

Dnes existujú tri typy výrobkov určených na minimalizáciu rizík spojených s neoprávneným prístupom k záložným kópiám. Prvá obsahuje špeciálne zariadenia. Takéto hardvérové \u200b\u200briešenia majú mnoho výhod, vrátane spoľahlivých šifrovania informácií a vysokej rýchlosti. Majú však tri významné nevýhody, ktoré im neumožňujú používať v bankách. Prvý: veľmi vysoké náklady (desiatky tisíc dolárov). Druhý: Možné problémy s dovozom do Ruska (Nemôžete zabúdať, že hovoríme o kryptografických prostriedkoch). Tretí mínus je neschopnosť pripojiť externé certifikované kryptopródy. Tieto dosky fungujú len so šifrovacími algoritmami realizovanými v hardvérovej úrovni.

Druhá skupina kryptografických ochranných systémov pre zálohovanie tvoria moduly, ktoré ponúkajú softvér softvéru softvéru a hardvér pre zálohovanie. Existujú pre všetky najznámejšie produkty v tejto oblasti: Arcserve, Veritas Backup Exec a ďalšie. Pravda, a majú svoje vlastné funkcie. Najdôležitejšou je práca len s "vaším" softvérom alebo pohonom. Medzitým sa informačný systém banky neustále vyvíja. A je možné, že výmena alebo rozšírenie záložného systému môže vyžadovať dodatočné náklady na úpravu ochrany systému. Okrem toho, vo väčšine produktov tejto skupiny, staré pomalé algoritmy s pomalým šifrovaním (napríklad 3DES) sú implementované, neexistujú žiadne nástroje na správu kľúčov, nie je možné pripojiť externé kryptooproviders.

To všetko núti veľkú pozornosť kryptografickým ochranným systémom záložných kópií z tretej skupiny. Zahŕňa špeciálne navrhnuté softvérové, softvérové \u200b\u200ba hardvérové \u200b\u200ba hardvérové \u200b\u200bprodukty, ktoré nie sú ovplyvnené špecifickými systémami archivácie údajov. Podporujú širokú škálu zariadení na nahrávanie informácií, čo im umožňuje aplikovať ich v celej banke, vrátane všetkých svojich pobočiek. Tým sa zabezpečí jednotnosť použitých nástrojov a minimalizácia prevádzkových nákladov.

Je pravda, že stojí za zmienku, že aj napriek všetkým svojim výhodám sú na trhu zastúpené niekoľko výrobkov z tretej skupiny. To je s najväčšou pravdepodobnosťou kvôli nedostatku veľkého dopytu po kryptografických ochranných systémoch záložných kópií. Akonáhle je riadenie bánk a ďalších hlavných organizácií si uvedomiť realitu rizík spojených s archiváciou obchodných informácií, počet hráčov na tomto trhu bude rásť.

Ochrana proti insiders

Nedávny výskum v oblasti informačnej bezpečnosti, ako je ročný prieskum počítačovej kriminality CSI / FBI a bezpečnosti, ukázal, že finančné straty spoločností z väčšiny hrozieb sa znižujú z roku. Existuje však niekoľko rizík, straty, z ktorých rastú. Jedným z nich je úmyselným krádeným dôverným informáciám alebo porušením pravidiel o zaobchádzaní s týmito zamestnancami, ktorých prístup k obchodným údajom je potrebné na splnenie úradných povinností. Nazývajú sa insiders.

V ohromnej väčšine prípadov sa krádež dôverných informácií vykonáva pomocou mobilných médií: CD a DVD, ZIP zariadení a čo je najdôležitejšie, všetky druhy USB diskov. Je to ich masová distribúcia a viedla k kvitnutiu zasväteného sveta. Vedúci predstavitelia väčšiny bánk dokonale pochopia, čo môžu ohroziť, napríklad databázu z osobných údajov od svojich zákazníkov alebo najmä elektroinštalácie na ich účtoch v rukách trestných konštrukcií. A snažia sa bojovať s pravdepodobnou krádežou informácií, ktoré im sú k dispozícii organizačnými metódami.

Organizačné metódy v tomto prípade sú však neúčinné. Dnes môžete organizovať prenos informácií medzi počítačmi pomocou miniatúrneho flash disk, mobilný telefón, MP3 prehrávač, digitálny fotoaparát ... Samozrejme, môžete sa pokúsiť zakázať všetky tieto zariadenia do kancelárie, ale toto, prvé, Negatívne ovplyvní vzťah so zamestnancami a po druhé, na vytvorenie skutočne účinnej kontroly nad ľuďmi je stále veľmi ťažké - banka nie je "poštová schránka". A dokonca vypnutie na počítače všetky zariadenia, ktoré možno použiť na zaznamenávanie informácií o externých nosičoch (FDD a zips diskov, CD a DVD diskoch atď.) A porty USB nepomôže. Koniec koncov, prvá je potrebná pre prácu, a druhý je spojený rôznymi perifériami: tlačiarne, skenery atď. A nikto nemôže zabrániť osobe, aby tlačiareň na minútu zakázala, vložte disk Flash do uvoľňovaného portu a kopírujte dôležité informácie. Môžete, samozrejme, nájsť originálne spôsoby ochrany. Napríklad, v jednej banke, takýto spôsob riešenia problému sa snažil: USB portové pripojenia a kábel epoxidového živice sa nalial, pevne "zviazaný" posledný k počítaču. Ale našťastie, dnes existujú modernejšie, spoľahlivé a flexibilné metódy monitorovania.

Najúčinnejším prostriedkom na minimalizáciu rizík spojených s Insider je špeciálny softvér, ktorý vykonáva dynamické riadenie všetkých zariadení a portov počítača, ktoré možno použiť na kopírovanie informácií. Zásada ich práce je taká. Pre každú skupinu používateľov alebo pre každého používateľa sú povolenia nastavené na použitie rôznych portov a zariadení. Najväčšou výhodou tohto softvéru je flexibilná. Môžete zadať obmedzenia pre konkrétne typy zariadení, ich modely a jednotlivé inštancie. To vám umožní implementovať veľmi zložité politiky prístupu na prístup.

Niektorí zamestnanci môžu napríklad umožniť používať všetky tlačiarne a skenery pripojené k portom USB. Všetky zostávajúce zariadenia vložené do tohto portu zostanú neprístupné. Ak sa banka používa v banke, token-založený autentifikačný systém, potom v nastaveniach môžete zadať použité kľúče. Potom budú môcť užívatelia používať iba zariadenie nakúpené spoločnosťou a všetky ostatné budú zbytočné.

Na základe princípu prevádzky ochranných systémov opísaných vyššie možno pochopiť, ktoré momenty sú dôležité pri výbere programov, ktoré implementujú dynamické blokovanie záznamov a portov počítača. Po prvé, toto je všestrannosť. Systém ochrany by mal pokrývať celé spektrum možných portov a I / O zariadenia. V opačnom prípade zostáva riziko krádeže obchodných informácií neprijateľné vysoké. Po druhé, nasledovné by malo byť flexibilné a umožní nám vytvoriť pravidlá pomocou veľkého počtu rôznych informácií o zariadeniach: ich typy, výrobcov modelov, jedinečné čísla, ktoré majú každú inštanciu atď. No, po tretie, ochrana insiders 'by mal byť schopný integrovať s informačným systémom banky, najmä s Active Directory. V opačnom prípade bude správca alebo dôstojník bezpečnosti bude musieť vykonávať dve databázy užívateľov a počítačov, čo nie je len nepohodlné, ale tiež zvyšuje riziká chýb.

Poďme zhrnúť

Takže, dnes existujú produkty na trhu, s ktorým môže každá banka zariadiť spoľahlivý systém Ochrana informácií pred neoprávneným prístupom a nevhodným používaním. TRUE, keď si vyberú, musíte byť veľmi obozretný. V ideálnom prípade by sa to malo zaoberať svojimi vlastnými odborníkmi na príslušnej úrovni. Využívanie zahraničných spoločností je povolené. Avšak, v tomto prípade, situácia je možná, keď bude banka šikovne uložená na adekvátny softvér, a to je prospešné pre dodávateľa spoločnosti. Okrem toho je domáci konzultačný trh v oblasti bezpečnosti informácií v detstve.

Medzitým, urobte správnu voľbu celkom jednoduché. Stačí na ARMA Naše kritériá uvedené v USA a starostlivo preskúmajte trh bezpečnostného systému. Ale je tu "podvodný kameň", ktorý sa musí zapamätať. V ideálnom prípade musí byť systém informačnej bezpečnosti banky zjednotený. To znamená, že všetky subsystémy by mali byť integrované do existujúceho informačného systému, a je žiaduce mať spoločný manažment. V opačnom prípade sú zvyšujúce sa náklady práce nevyhnutné pre administratívnu ochranu a rastúce riziká z dôvodu chýb v manažmente. Preto vybudovať všetky tri predpätie opísané dnes, je lepšie vybrať si výrobky vydané jedným vývojárom. Dnes sú spoločnosti v Rusku, ktoré vytvárajú všetko potrebné na ochranu informácií o bankách pred neoprávneným prístupom.

Stratégia bezpečnosti informácií bánk je veľmi odlišná od podobných stratégií iných spoločností a organizácií. Je to primárne kvôli špecifickej povahe hrozieb, ako aj verejnej činnosti bánk, ktoré sú nútené prístup k účtom, sú dostatočne jednoduché pohodlie pre zákazníkov.

Zvyčajná spoločnosť buduje svoju informačnú bezpečnosť, pokračujú len z úzkeho okruhu potenciálnych hrozieb - najmä ochrana informácií od konkurentov (v ruskej realite hlavnou úlohou je chrániť informácie od daňové orgány a zločinné spoločenstvo s cieľom znížiť pravdepodobnosť nekontrolovateľného rastu daňových platieb a racety). Takéto informácie sú zaujímavé len úzkeho kruhu zainteresovaných strán a organizácií a je zriedka kvapalina, t.j. Zhromaždiť do menovej formy.

Informačná bezpečnosť banky musí zohľadňovať tieto osobitné faktory: \\ t

1. Skladovanie a spracovanie informácií o bankových systémoch sú skutočné peniaze. Na základe informácií o počítači sa môžu zaplatiť platby, úvery otvoriť, prekladať značné sumy. Je jasné, že nelegálna manipulácia s takýmito informáciami môže viesť k vážnym stratám. Táto funkcia ostro rozširuje kruh kruhu ostro na brehu (na rozdiel od, napríklad priemyselných spoločností, interné informácie majú malý záujem).

2. Informácie v bankových systémoch ovplyvňujú záujmy veľkého počtu ľudí a organizácií - zákazníkov banky. Je pravidlo, že je to dôverné, a banka je zodpovedná za poskytovanie požadovaného stupňa utajenia svojim zákazníkom. Prirodzene, zákazníci majú právo očakávať, že banka by sa mala starať o svoje záujmy, inak riskovať svoju povesť so všetkými dôsledkami, ktoré vznikajú.

3. Konkurencieschopnosť banky závisí od toho, ako vhodné spolupracovať s bankou, ako aj ako široké rozsah poskytovaných služieb vrátane služieb súvisiacich s vzdialeným prístupom. Klient by preto mal byť schopný rýchlo a bez únavných postupov nakladať s jeho peniazmi. Takýto jednoduchosť prístupu k peniazom však zvyšuje pravdepodobnosť prenikania trestného činu do bankových systémov.

4. Informačná bezpečnosť banky (na rozdiel od väčšiny spoločností) by mala zabezpečiť vysokú spoľahlivosť počítačových systémov, dokonca aj v prípade núdzových situácií, pretože banka je zodpovedná nielen pre jej finančné prostriedky, ale aj pre peniaze zákazníka.

5. Banka ukladá dôležité informácie o svojich klientoch, čo rozširuje rozsah potenciálnych votrelcov, ktorí majú záujem o krádež alebo poškodenie takýchto informácií.

Trestné činy v bankovom sektore majú tiež svoje vlastné charakteristiky:

Mnoho trestných činov spáchaných vo finančnej sfére zostáva neznáme širokej verejnosti kvôli tomu, že manažéri banky nechcú rušiť svojich akcionárov, sa bojí vystaviť svoje organizácie novým útokom, obávajú sa ich povesti ako spoľahlivý sklad finančných prostriedkov a, V dôsledku toho strácajú zákazníkov.

Útočníci spravidla používajú svoje vlastné účty, na ktoré sú preložené unesené množstvá. Väčšina zločincov nevie, ako "umývať" ukradnuté peniaze. Schopnosť spáchať zločin a schopnosť získať peniaze nie je to isté.

Väčšina počítačových zločinov je malá. Poškodenie z nich leží v rozsahu od 10 000 dolárov na 50 000 USD.

Úspešné počítačové zločiny spravidla vyžadujú veľký počet bankových operácií (až do niekoľkých stoviek). Avšak veľké sumy môžu byť odoslané a len niekoľko transakcií.

Väčšina útočníkov je úradníci. Hoci najvyšší pracovníci banky môže tiež spáchať trestné činy a dať banku oveľa väčšie škody - takéto prípady sú jednotné.

Počítačové zločiny nie sú vždy high-tech. Stačí na falošné údaje, zmeny v parametroch média ASOIB, atď. A tieto akcie sú prístupné oboch servisných pracovníkov.

Mnohí útočníci vysvetľujú svoje činy skutočnosťou, že berie len do dlhu bankou s následným návratom. Avšak, "návrat", spravidla, sa však nevyskytuje.

Špecifiká ochrany automatizovaných systémov na spracovanie informácií o bankách (ASOIB) sú spôsobené vlastnosťami úloh vyriešených:

ABOB sa zvyčajne spracováva veľký prúd neustále prichádzajúcich požiadaviek v reálnom čase, z ktorých každý nevyžaduje na spracovanie mnohých zdrojov, ale spolu môžu byť liečení len s vysoko výkonným systémom;

Asoib je skladované a dôverné informácie sa spracúvajú, nie sú určené pre širokú verejnosť. Jeho falošný alebo únik môže viesť k vážnym (pre banku alebo jej klientov). AOB je preto odsúdený na zostáva relatívne uzavretý, pracovať pod kontrolou špecifického softvéru a venovať veľkú pozornosť na zabezpečenie jej bezpečnosti;

Ďalšou vlastnosťou ASOIB je zvýšené požiadavky na spoľahlivosť hardvéru a softvéru. Na základe toho mnoho moderných Asobibs je takzvaná architektúra tolerantnej poruchy počítačov, čo umožňuje vykonávať nepretržité spracovanie informácií aj v podmienkach rôznych porúch a zlyhaní.

Môžete vybrať dva typy úloh riešených ASOIB:

1. Analytické. Tento typ zahŕňa úlohy plánovania, analýza účtu atď. Nie sú funkčné a môžu požadovať na riešenie dlhého času a ich výsledky môžu ovplyvniť politiku banky týkajúcu sa konkrétneho klienta alebo projektu. Subsystém, s ktorým sa riešia analytické úlohy, sa preto musia bezpečne izolovať z hlavného systému spracovania informácií. Na vyriešenie takýchto problémov, zvyčajne nie sú žiadne silné výpočtové prostriedky, zvyčajne 10-20% kapacity celého systému je zvyčajne dosť. Z dôvodu možnej hodnoty výsledkov však musí byť ich ochrana trvalá.

2. príležitostné. Tento typ obsahuje úlohy riešené v každodennej činnosti, v prvom rade, platbách a upravovaní účtov. Je to oni, ktoré určujú veľkosť a kapacitu hlavného systému banky; Na ich riešenie je zvyčajne potrebné oveľa viac zdrojov ako na analytické úlohy. Zároveň je hodnota informácií spracovaných pri riešení takýchto úloh dočasná. Postupne sa hodnota informácií, napríklad na vykonanie akejkoľvek platby, nie je relevantná. Samozrejme, záleží na mnohých faktoroch, nejako: sumy a čas platby, čísla účtov, ďalšie charakteristiky atď. Z tohto dôvodu je to zvyčajne dostatočné na ochranu platby práve v čase jeho vykonávania. V tomto prípade by mala byť ochrana procesu spracovania a konečných výsledkov trvalá.

Aké opatrenia na ochranu systémov spracovania informácií uprednostňujú zahraniční špecialisti? Túto otázku možno odpovedať pomocou výsledkov prieskumu, ktorý uskutočnil informačnú skupinu DataPro v roku 1994 medzi bankami a finančnými inštitúciami:

Formulované politiky informačnej bezpečnosti majú 82% respondentov. V porovnaní s rokom 1991 sa percento organizácií s bezpečnostnými politikami zvýšil o 13%.

Ďalších 12% respondentov plánuje rozvíjať bezpečnostné politiky. Nasledujúci trend je zjavne vyslovovaný: organizácie s veľkým počtom pracovníkov radšej budú mať rozvinutú bezpečnostnú politiku v viac akoako organizácie s malým počtom pracovníkov. Napríklad podľa tohto hlasovania má len 66% organizácií s počtom zamestnancov menej ako 100 ľudí bezpečnostné politiky, zatiaľ čo pre organizácie s počtom zamestnancov viac ako 5 000 ľudí je podiel týchto organizácií 99%.

V 88% organizácií s informačnými bezpečnostnými politikami existuje osobitná divízia, ktorá je zodpovedná za jej implementáciu. V tých organizáciách, ktoré neobsahujú takúto jednotku, tieto funkcie sú predovšetkým poverené správcom systému (29%), na správcovi informačného systému (27%) alebo do služby fyzickej bezpečnostnej služby (25%). To znamená, že existuje tendencia prideliť zamestnancov zodpovedných za počítačovú bezpečnosť na špeciálnu divíziu.

Z hľadiska ochrany sa osobitná pozornosť venuje ochrane počítačových sietí (90%), veľkých počítačov (82%), obnovenie informácií po nehodách a katastrofách (73%), ochrana pred počítačovými vírusmi (72%), ochrana proti počítačovým vírusom (72%) osobné počítače (69%).

Nasledujúce závery možno vyvodiť z funkcií ochrany informácií v zahraničných finančných systémoch:

Hlavná vec na obranu finančných organizácií je funkčná a ak je to možné, plné využitie informácií po nehodách a neúspechoch. Asi 60% respondentov finančných organizácií má plán na takéto oživenie, ktoré sa každoročne reviduje vo viac ako 80% z nich. V podstate sa ochrana informácií od zničenia dosiahne vytvorením záloh a ich externého ukladania, používania neprerušovaného zdroja napájania a organizácie "Hot" hardvérovej rezervy.

Nasledujúci problém je pre finančné organizácie rovnako dôležité - to je riadenie užívateľského prístupu k uloženým a spracovaným informáciám. Existujú široko používané rôzne systémy riadenia prístupu, ktoré môžu niekedy nahradiť antivírusový softvér. Používajte hlavne zakúpený softvér na kontrolu prístupu. Okrem toho sa vo finančných inštitúciách venuje osobitnú pozornosť takýmto používateľom do siete. Certifikované kontroly prístupu sú však mimoriadne zriedkavé (3%). To možno vysvetliť skutočnosťou, že s certifikovaným softvérom je ťažké pracovať a sú veľmi drahé v prevádzke. To je vysvetlené skutočnosťou, že certifikačné parametre boli vyvinuté s prihliadnutím na požiadavky na vojenské systémy.

Na rozdieloch v organizácii ochrany počítačových sietí vo finančných inštitúciách zahŕňajú rozšírené používanie štandardu (tj prispôsobené, ale nie je špeciálne navrhnuté pre konkrétnu organizáciu) Komerčný softvér pre riadenie prístupu k sieti (82%), ochrana spojenie DOTS Systém prostredníctvom komunikácie s prepínaním (69%). S najväčšou pravdepodobnosťou je to spôsobené väčším prevalenciou telekomunikácií vo finančných oblastiach a túžbe chrániť pred vonkajším rušením. Ďalšie ochranné metódy, ako napríklad použitie antivírusového, terminálového a kanálového šifrovania prenášaných dát, autentifikácia správ sú približne rovnaké a hlavne (s výnimkou antivírusových činidiel), menej ako 50% skúmaných organizácií.

Veľa pozornosti vo finančných inštitúciách je daná fyzickej ochrane priestorov, v ktorých sa počítače nachádzajú (asi 40%). To znamená, že ochrana počítača pred prístupom k neoprávneným osobám je riešená nielen s pomocou softvéru, ale aj organizačného a technického (bezpečnosti, kódové zámky atď.).

Šifrovanie lokálnych informácií sa používajú len viac ako 20% finančných organizácií. Dôvodom je zložitosť distribúcie kľúčov, prísne požiadavky na rýchlosť systému, ako aj potrebu operatívneho vymáhania informácií v prípade porúch a zlyhaní zariadenia.

Významne menej pozornosť vo finančných organizáciách je daná na ochranu telefónnych komunikácií telefónnych liniek (4%) a používanie počítača vyvinuté, pričom sa zohľadní požiadavky normy TEMPEST (ochrana pred únikom informácií prostredníctvom elektromagnetických emisných kanálov a špičky). Vo vládnych organizáciách, vyriešenie problému s bojom proti informáciám pomocou elektromagnetických emisií a podaním sa venuje oveľa väčšiu pozornosť.

Analýza štatistík vám umožňuje urobiť dôležitý záver: Ochrana finančných organizácií (vrátane bánk) je trochu odlišná ako bežné obchodné a štátne organizácie. V dôsledku toho sa ochrana ABOP nemožno použiť na tie isté technické a organizačné riešenia, ktoré boli vyvinuté pre štandardné situácie. Nie je možné bezúdržbovo kopírovať systémy iných ľudí - boli navrhnuté pre iné podmienky.

Od svojho vzhľadu, banky dôsledne spôsobili záujem z trestného sveta. A tento záujem bol spojený nielen so skladovaním v úverových inštitúciách finančných prostriedkov, ale aj so skutočnosťou, že banky zamerali dôležité a často tajné informácie o finančnej a ekonomickej činnosti mnohých ľudí, spoločností, organizácií a dokonca aj celých štátov. V súčasnosti je bankové tajomstvo chránené zákonom spolu so štátnym tajomstvom.

V súvislosti s univerzálnymi informáciami a počítačmi bankových aktivít sa opakovane zvýšila dôležitosť informačnej bezpečnosti bánk. Ďalších 30 rokov, cieľom informácií o útokoch boli údaje o zákazníkov bánk alebo na činnosti samotnej banky. Takéto útoky boli zriedkavé, kruh ich zákazníkov bol veľmi úzky a poškodenie by mohlo byť významné len v osobitných prípadoch. V súčasnosti v dôsledku rozsiahlej distribúcie elektronických platieb, plastových kariet, počítačových sietí, objekt informačných útokov sa stal priamo hotovosť banky aj ich zákazníci. Pokus o zdobenie môže niekto - len prítomnosť počítača pripojeného k internetu. A pretože to nevyžaduje fyzicky preniknúť do banky, môžete "pracovať" a tisíce kilometrov od neho.

Služby poskytované bankami dnes sú vo veľkej miere založené na využívaní elektronickej interakcie bánk medzi sebou, bankami a ich zákazníkmi a obchodnými partnermi. V súčasnosti je prístup k bankám možný z rôznych vzdialených bodov, vrátane domácich terminálov a servisných počítačov. Táto skutočnosť spôsobuje, že sa odkloní od konceptu "uzamknutých dverí", ktorý bol charakteristický pre banky v šesťdesiatych rokoch, keď boli počítače použité vo väčšine prípadov v dávkovom režime ako pomoc a nemajú žiadne spojenie s vonkajším svetom.

Počítačové systémy bez toho, ktoré nemôže robiť žiadna moderná banka - zdroj úplne nových, predtým neznámych hrozieb. Väčšina z nich je spôsobená použitím bankový obchod Nové informačné technológie a sú charakteristické nielen pre banky.

Úroveň vybavenia v automatizácii prostredníctvom automatizácie zohráva dôležitú úlohu v činnostiach banky, a preto sa priamo odráža v jej pozícii a príjmoch. Posilnenie hospodárskej súťaže medzi bankami vedie k potrebe skrátiť čas na výrobu výpočtov, zvýšenie nomenklatúry a zlepšenie kvality poskytovaných služieb.

Čím menej času budú mať výpočty medzi bankou a zákazníkmi, tým vyššia je bankový obrat, a preto zisk. Okrem toho bude banka rýchlejšie reagovať na zmenu finančnej situácie. Rôzne bankové služby (v prvom rade to odkazuje na možnosť nepeňažných platieb medzi bankou a jej klientmi pomocou plastových kariet) môže výrazne zvýšiť počet svojich zákazníkov av dôsledku toho zvýšiť zisk. Zároveň sa ABS Bank stane jedným z najzraniteľnejších miest v celej organizácii, ktorá priťahuje votrelcov ako zvonku a spomedzi zamestnancov samotnej banky. Na ochranu seba a svojich zákazníkov, väčšina bánk robí potrebné ochranné opatrenia vrátane ochrany ABS berie jedno z najdôležitejších miest. Ochrana ABS Banka je drahá a zložitá udalosť, vyžaduje si nielen významné jednorazové investície, ale stanovuje náklady na podporu systému ochrany na správnej úrovni. V priemere, banky v súčasnosti na podporu dostatočnej úrovne ochrany trávia viac ako 20 miliónov dolárov ročne.

Stratégia bezpečnosti informácií bánk je veľmi odlišná od podobných stratégií iných spoločností a organizácií. Je to primárne kvôli špecifickej povahe hrozieb, ako aj verejnej činnosti bánk, ktoré sú nútené prístup k účtom, sú dostatočne jednoduché pohodlie pre zákazníkov.

Zvyčajná spoločnosť buduje svoju informačnú bezpečnosť, pokračujú len z úzkeho kruhu potenciálnych hrozieb - najmä ochrana informácií od konkurentov (v ruskej reality Hlavnou úlohou je chrániť informácie od daňových orgánov a zločineckého spoločenstva s cieľom znížiť pravdepodobnosť Nekontrolovaný rast daňových platieb a RACETIS). Takéto informácie sú zaujímavé len pre úzky kruh zainteresovaných strán a organizácií a je zriedka kvapalina, to znamená, že sa zmení na peňažnú formu.

7.2. Bezpečnostné požiadavky na bankové informácie

Informačná bezpečnosť banky musí zohľadňovať tieto osobitné faktory: \\ t

1. Ukladanie a spracovanie informácií o bankových systémoch sú skutočné peniaze. Na základe informácií o počítači sa môžu zaplatiť platby, úvery otvoriť, prekladať značné sumy. Je jasné, že nelegálna manipulácia s takýmito informáciami môže viesť k vážnym stratám. Táto funkcia prudko rozširuje kruh kruhu ostro na brehu (na rozdiel od priemyselných spoločností, ktorých interné informácie je málo ľudí, ktorí majú záujem).
2. Informácie v bankových systémoch ovplyvňujú záujmy veľkého počtu ľudí a organizácií - bankových zákazníkov. Je pravidlo, že je to dôverné, a banka je zodpovedná za poskytovanie požadovaného stupňa utajenia svojim zákazníkom. Prirodzene, zákazníci majú právo očakávať, že banka by sa mala starať o svoje záujmy, inak riskovať svoju povesť so všetkými dôsledkami, ktoré vznikajú.
3. Konkurencieschopnosť banky závisí od toho, ako vhodné pracovať s bankou, ako aj v rozsahu poskytovaných služieb vrátane služieb súvisiacich s vzdialeným prístupom. Klient by preto mal byť schopný rýchlo a bez únavných postupov nakladať s jeho peniazmi. Takýto jednoduchosť prístupu k peniazom však zvyšuje pravdepodobnosť prenikania trestného činu do bankových systémov.
4. Informačná bezpečnosť banky (na rozdiel od väčšiny spoločností) by mala zabezpečiť vysokú spoľahlivosť počítačových systémov, a to aj v prípade núdzových situácií, pretože banka je zodpovedná nielen pre jej finančné prostriedky, ale aj pre peniaze zákazníka.
5. Banka vedie dôležité informácie o svojich klientoch, čo rozširuje rozsah potenciálnych votrelcov, ktorí majú záujem o krádež alebo poškodenie týchto informácií.

Trestné činy v bankovom sektore majú tiež svoje vlastné charakteristiky:

• Mnohé zločiny spáchané vo finančnom sektore zostáva neznáme širokej verejnosti v dôsledku skutočnosti, že hlavy bánk nechcú rušiť svojich akcionárov, sa bojí podstúpiť svoju organizáciu novým útokom, obávajú sa ich povesti ako spoľahlivý sklad finančných prostriedkov A ako výsledok strácajú zákazníkov.
• Útočníci spravidla používajú svoje vlastné účty, na ktoré sú preložené unesené množstvá. Väčšina zločincov nevie, ako "umývať" ukradnuté peniaze. Schopnosť spáchať zločin a schopnosť získať peniaze nie je to isté.
• Väčšina počítačových zločinov je malá. Poškodenie z nich leží v rozsahu od 10 000 USD do 50 000.
• Úspešné počítačové zločiny spravidla vyžadujú veľký počet bankových operácií (až do niekoľkých stoviek). Avšak veľké sumy môžu byť odoslané a len niekoľko transakcií.
• Väčšina útočníkov sú zamestnanci nízkodobých bánk, úradníkov. Hoci najvyšší pracovníci banky môže tiež spáchať trestné činy a dať banku oveľa väčšie škody - takéto prípady sú jednotné.
• Počítačové zločiny nie sú vždy high-tech. Stačí na falošné dáta, zmeny v parametroch média ABS atď. A tieto akcie sú k dispozícii a servisný personál.
• Mnohí útočníci vysvetľujú svoje činy skutočnosťou, že berie len do dlhu bankou s následným návratom. Avšak, "návrat", spravidla, sa však nevyskytuje.

Špecifiká ochrany automatizovaných systémov na spracovanie informácií o bankách (ABS) sú spôsobené vlastnosťami úloh vyriešených:

• ABS zvládne veľký prúd neustále prichádzajúcich požiadaviek v reálnom čase, z ktorých každý nevyžaduje, aby zvládol mnoho zdrojov, ale spolu môžu byť spracované len vysoko výkonným systémom.
• V ABS sú dôverné informácie uložené a spracované, nie sú určené pre širokú verejnosť. Jeho falošný alebo únik môže viesť k vážnym (pre banku alebo jej klientov). Preto sú ABS odsúdené na to, aby zostali relatívne uzavreté, pracujú pod kontrolou špecifického softvéru a venovali veľkú pozornosť na zabezpečenie ich bezpečnosti.
• Ďalšou vlastnosťou ABS je zvýšené požiadavky na spoľahlivosť hardvéru a softvéru. Preto je väčšina moderných ABS postavená pomocou architektúry počítačovej siete, ktorá umožňuje nepretržité spracovanie informácií aj v podmienkach rôznych porúch a zlyhaní.

Môžete vybrať dva typy úloh vyriešených ABS:

1. Analytické. Tento typ obsahuje úlohy plánovania, analýzy účtov atď. Nie sú operatívne a môžu požadovať na riešenie dlhého času a ich výsledky môžu ovplyvniť politiku banky týkajúce sa konkrétneho klienta alebo projektu. Subsystém, s ktorým sa riešia analytické úlohy, by sa preto mal bezpečne izolovať z hlavného systému spracovania informácií a okrem toho, že vďaka možnej hodnote výsledkov musí byť ich ochrana trvalá.
2. Prevádzkové. Tento typ obsahuje úlohy riešené v každodennej činnosti, v prvom rade, platbách a upravovaní účtov. Je to oni, ktoré určujú veľkosť a kapacitu hlavného systému banky; Na ich riešenie je zvyčajne potrebné oveľa viac zdrojov ako na analytické úlohy. Zároveň je hodnota informácií spracovaných pri riešení takýchto úloh dočasná. Postupne sa hodnota informácií, ako je realizácia akejkoľvek platby, stáva irelevantným. Samozrejme, záleží na mnohých faktoroch, nejako: sumy a čas platby, číslo účtu, dodatočné charakteristiky atď. Zvyčajne je to dosť na zabezpečenie ochrany platby práve v čase jej vykonávania. V tomto prípade by mala byť ochrana procesu spracovania a konečných výsledkov trvalá.

7.3. Metódy ochrany informácií v automatizovaných systémoch spracovania údajov

Pod ochranou informácií v informačných systémoch (IP) znamená pravidelné využívanie finančných prostriedkov a metód v nich, pri prijímaní opatrení a vykonávacích opatrení s cieľom systémovej podpory požadovanej spoľahlivosti uložených a spracovaných informácií. Spoľahlivosť informácií - integrálny ukazovateľ, ktorý charakterizuje kvalitu informácií z hľadiska fyzickej integrity (nedostatok skreslenia alebo zničenie prvkov informácií), dôvera v informácie (dôvera v absencia substitúcie) a bezpečnosť - nedostatok neoprávneného potvrdenia a kopírovanie.

Komponenty integrálnej informačnej bezpečnosti:

• organizačné bezpečnostné opatrenia;
• bezpečnostné opatrenia: ochrana a ochrana budov, priestorov, počítačov prepravovaných dokumentmi atď.
• zabezpečenie bezpečnosti hardvéru: zabezpečenie spoľahlivej prevádzky počítačov a sieťových zariadení;
• zabezpečenie bezpečnosti komunikačných kanálov: ochrana komunikačných kanálov z vonkajších vplyvov;
• poskytovanie bezpečnostného softvéru a matematickej podpory: ochrana pred vírusmi, hackermi, škodlivými programami s dôvernými informáciami.

Je známe, že 80% zločinov súvisiacich s krádežou, poškodením alebo narušením informácií je spáchaných s účasťou zamestnancov spoločnosti. Preto je najdôležitejšia úloha vedenia, oddelenie personálnych a bezpečnostných služieb je dôkladným výberom zamestnancov, rozdelenie právomocí a výstavbu systému vstupu na prvky informácií, ako aj kontrolu disciplíny a správania zamestnancov, ktorý vytvára dobrú morálnu klímu v tíme.

Organizačné prostriedky Ochrana informácií je osobitná organizačná a technická a právne činnosti vykonávané v procese vytvárania a prevádzky systému, ktorý integruje ochranu informácií.

Legislatívnynástroje na ochranu informácií sú definované ako legislatívne akty, ktoré upravujú postup na využívanie a spracovanie informácií, obmedzenia prístupu a ktoré zakladajú zodpovednosť a sankcie za porušenie týchto pravidiel.

Technické prostriedky sú rozdelené do fyzický (zámky, mriežky, signalizačné systémy atď.) hardvér(Zámky, zamykanie, alarmy a iné zariadenia používané priamo na prostriedkoch výpočtovej techniky a dátových prostriedkov). Softvér Ochrana informácií je špeciálne nástroje na ochranu informácií zabudované do systémového softvéru a nezávisle alebo v komplexe s inými prostriedkami na ochranu informácií v systéme.

Softvérnástroje na bezpečnosť informácií:

1. Softvér identifikácia používateľa a určenie ich právomocí.
2. Softvér identifikácia terminálov.
3. Softvér ochrana súborov.
4. Softvér oS ochrana, počítač a používateľské programy.
5. Pomocné programy na rôzne účely.

Kryptografické prostriedky Informačná bezpečnosť - špeciálne metódy kódovania, šifrovanie alebo iná konverzia informácií, v dôsledku ktorého sa obsah stáva neprístupným bez prezentácie niektorých špeciálnych informácií a reverznej transformácie. Použitie kryptografických metód sa stalo obzvlášť relevantným v súvislosti s prevodom veľkých objemov verejných, vojenských, obchodných a súkromných informácií v otvorenej sieti. Vzhľadom na vysoké náklady na škody zo straty, zverejnenia a narušenia informácií uložených v databázach a prenášaných cez miestne siete sa odporúča ukladať a prenášať informácie v šifrovanej forme.

Kryptografický systém- Rodina algoritmov otvoreného textového konverzie v Ciphertext.

Abecedný- konečné súbory používané na kódovanie informácií o informáciách. Ako príklady abeced používaných v moderných informačných systémoch možno priniesť:

• abeceda Z33 - 32 písmen ruskej abecedy a priestoru;
• abeceda Z256 - symboly zahrnuté v štandardných kódoch ASCII;
• binárna abeceda - Z2 \u003d (0,1).

Šifrovanie zahŕňa konverziu zdrojového textu pomocou kľúča k šifrovaniu textu T. Kľúče- Vymeniteľný šifrovací prvok, ktorý sa aplikuje na šifrovanie konkrétnej správy. Keď sa použije šifrovanie, koncepcia "CIPHER GAMMA" - to je pseudon-náhodná numerická sekvencia generovaná daným algoritmom, na šifrovanie otvorených dát a dešifrovanie šifronov.

Pri povahe použitia kľúča môžu byť známe kryptosystémy rozdelené na dva typy: symetrický (Pevná, s tajným kľúčom) a asymetrický(Otvorte kľúč).

V prvom prípade sa rovnaký kľúč používa v snímači odosielateľa a dekodéra príjemcu. Kodér tvorí šifrovací program, ktorý je funkciou otvoreného textu, konkrétny pohľad na šifrovaciu funkciu je určená tajným kľúčom. Dekodér príjemcu správy vykonáva reverznú transformáciu rovnakým spôsobom. Tajný kľúč je uchovávaný v tajnosti a odosielateľ správy prenáša príjemcovi cez chránený kanál, s výnimkou zachytenia kľúčového kryptanalitiky súpera.

Šifrovanie sa uskutočňuje substitúciou a permatačnými metódami. Najjednoduchšie, ale nie dekombinačné šifrovanie - s výmenou textových symbolov na náhodné znaky alebo čísla. V tomto prípade musí dĺžka kľúčov zodpovedať dĺžke textu, ktorá je nepohodlná s veľkým množstvom informácií. Kľúč sa používa raz, potom je zničený, takže táto metóda sa nazýva "šifrovanie so slzím poznámkovým bodom".

V skutočnosti sa šifrovanie uskutočňuje v binárnom kóde s použitím krátkych kľúčov - v Medzinárodnom štandarde DES (dátový šifrovací štandard), ktorý pracuje so 64 bytes 64 dátovými blokmi (1998), v GOST 28147 - 89 - 256 Bytes, ktorý poskytuje výrazne väčšiu kryptoštilnosť . Na krátkom kľúči počítač vytvára dlhú kľúčovú hru, s použitím jedného z niekoľkých algoritmov načrtnutých v normách des šifrovania alebo GOST. Algoritmy na vytvorenie gama - GAMMING sú založené na sérii náhrad a posunov, je možné pomocou CIPHERText. Šifrovacie algoritmy nie sú tajné, iba kľúče sú vylučované. Ak chcete distribuovať kľúčové klávesy bežné použitie Použije sa nasledujúca technológia: Prvé klávesy Rank sa prenášajú cez kuriéri, sú šifrované a prenášané cez svoje siete, ktoré sú v druhom poradí, ktoré sa používajú na šifrovanie dokumentov.

Najmodernejšie šifrovacie systémy používajú asymetrické algoritmy s otvorenými a tajnými kľúčmi, kde nie je problém bezpečnej prepravy kľúča. Takéto systémy zahŕňajú algoritmus RSA, ktorý vyzval vývojári (Rivest-Shamir-ADLEMAN - vývojári tohto systému Ronald Rivest, Adi Shamir a Leonard Admunman, 1977), založené na rozšírení veľkých čísel na multiplikátoroch.

V asymetrické kryptosystémy (Otvorte klávesové kryptystémy) V algoritách šifrovania a dešifrovania sa používajú rôzne kľúče, z ktorých každý nie je možné získať od ostatných s prijateľnými nákladmi na dočasné a iné zdroje. Jeden kľúč je otvorený - používa sa na šifrovanie informácií, druhý je tajný - pre dešifrovanie, t.j. čítanie správy môže len jeden, ku ktorému je určený, napríklad hlava spoločnosti prijímajúca správy z jeho početných agentov.

Elektronické podpisové systémyna základe asymetrického šifrovania je však tajný kľúč uložený pri odosielateľovi správ a otvorený kľúč vytvorený na základe tajomstva matematickej transformácie, mnohí. Verejný kľúč je možné preniesť so správou. Ale v tomto prípade správa nie je šifrovaná a jeho hashová funkcia získaná zo správy tým, že ju konvertuje na konkrétny algoritmus a zaberá len niekoľko bajtov. Zmeňte aspoň jeden bit v texte správy vedie k významnej zmene funkcie Hash. Príjemca správy môže rozlúštiť šifrovanú funkciu hash odoslanú so správou, vytvoriť funkciu Hash z prijatej správy pomocou známeho algoritmu a porovnáte dešifrované a obnovené funkcie Hash. Ich náhoda zaručuje integritu prijatého dokumentu, t.j. absencia narušenia v ňom. Príjemca nemôže vykonať zmeny do prijatého dokumentu, pretože nemôže šifrovať novú funkciu hash. Preto má elektronický podpis rovnakú právnu silu ako obvyklý podpis a tlač na papier. Tajné a otvorené kľúče, programy a vybavenie pre systémy elektronického podpisu napájajú licencované FSB firiem, ktoré môžu v prípade potreby predložiť kópiu kľúča na súd.

Existujú dve hlavné metódy ochrany: Softvér a hardvér. Metóda ochrany softvéru je dobrá v tom, že s relatívne nízkymi nákladmi môžete získať program, ktorý zabezpečuje požadovanú spoľahlivosť ukladanie informácií. Ale softvérové \u200b\u200bnástroje majú niekoľko významných nevýhod, ktoré by mali byť známe pri výbere tejto cesty:

• zvyčajne pracujú pomalšie hardvér;
• každý program je možné otvoriť, je to len otázka času a kvalifikácií špecialistu;
• keď je médium sprenerované, program je unesený.

Hardvér má tiež množstvo nedostatkov: Ich rozvoj je drahší, náklady na výrobu a údržbu sa pridávajú, hardvérový systém je zložitejší a tiež vyžaduje softvér okrem hardvéru.

Ale výhody používania hardvéru sú zrejmé:

• rýchla práca bez systémových zdrojov;
• nie je možné preniknúť do hardvérového programu bez jeho sprenevery;
• nemáte žiadny hardvér, nie je možné dešifrovať chránené údaje.

7.4. Legislatívne akty v oblasti ochrany informácií

Rusko prijíma opatrenia na boj proti informačným zbraniam a počítačovým zločinom. V štáte Duma Ruskej federácie sa nachádza zástupca skupiny "Elektronické Rusko", okrúhle tabuľky pre informačnú bezpečnosť sa považujú za vypracovanie príslušných zákonov. Zákon Ruskej federácie "o bezpečnosti", zákonom "o elektronickom podpise" a "o informáciách, informatizácii a ochrane informácií", ktorá určuje, že informácie podliehajú ochrane, ako aj materiálu vlastníctva vlastníka. Poskytovanie bezpečného prenosu vládnych informácií sa predtým zapojilo do FAPSI, teraz FSB a FSO, ochranu obchodných informácií - firmy, ktoré majú licenciu FSB. Bol vypracovaný sprievodca dokumentom štátnej komisie Ruskej federácie "Automatizované systémy. Ochrana pred neoprávneným prístupom k informáciám. Klasifikácia automatizovaných systémov a požiadaviek na ochranu informácií »A príslušné normy vlády: \\ t

GOST 28147-89. Systémy na spracovanie informácií. Kryptografická ochrana. Cryptografický transformačný algoritmus;

GOST R 34. 10-94. Informačné technológie. Kryptografická ochrana informácií. Postupy na rozvoj a overovanie elektronického digitálneho podpisu založeného na asymetrickom kryptografickom algoritme;

GOST R 34. 11-94. Informačné technológie. Kryptografická ochrana informácií. Funkcia hash;

GOST R 50739-95. Počítačové vybavenie. Ochrana pred neoprávneným prístupom k informáciám. Všeobecné technické požiadavky.

Od roku 2004 došlo k novej národnej bezpečnostnej normy GOST / ISO IEC 15408 - 2002. Všeobecné kritériá na posúdenie bezpečnosti informačných technológií.

Rok narodenia štandardu možno považovať za 90. rokov - to bolo potom, že práca začala na vytvorenie štandardu na posúdenie bezpečnosti informačných technológií (IT) pod záštitou Medzinárodnej organizácie pre normalizáciu (ISO). Tento dokument bol preložený a prijatý ako základ pre rozvoj GOST / ISO IEC 15408 - 2002. Názov štandardu sa historicky vyvinul. Práca na ňom bola vykonaná s pomocou Štátne organizácie Podľa štandardizácie Spojených štátov, Kanady, Veľkej Británie, Francúzska, Nemecka a Holandska a sleduje tieto koncepčné ciele: \\ t

• zjednotenie rôznych národných noriem v oblasti bezpečnosti IT;
• zlepšenie úrovne dôvery v hodnotení IT bezpečnosti;
• zníženie nákladov na hodnotenie bezpečnosti IT na základe vzájomného uznávania certifikátov.

Ruský štandard je presný preklad medzinárodný štandard. Bol prijatý uznesením Štátnej normy Ruska z 04.04.2002 č. 133-priestor s dátumom vykonávania 1. januára 2004. Vznik tejto GOST odráža nielen proces zlepšovania ruských noriem využívajúcich medzinárodné skúsenosti, \\ t Ale aj súčasť vládneho programu na pristúpenie Ruska k WTO (ako je dobre známe pri vstupe do tejto organizácie, musí byť žiadateľ zjednotený povinnosti, dane, normy výroby, normy kvality a niektoré normy v oblasti bezpečnosti informácií).

V rámci nového štandardu sa zavádzajú koncepcie "hrozby" a "profilu".

Profil ochrany - "nezávislý od implementácie bezpečnostných požiadaviek pre niektoré kategórie výrobkov alebo IT systémov, ktoré spĺňajú špecifické požiadavky na spotrebiteľov."

Všetky bezpečnostné mechanizmy opísané v profile sa nazývajú funkcie zabezpečenia objektu (FBO). Profil ochrany zahŕňa iba tie bezpečnostné funkcie, ktoré musia byť chránené pred hrozbami a dodržiavať bezpečnostné politiky.

Bezpečnostné predpoklady sú opis konkrétnych podmienok, v ktorých bude systém prevádzkovaný. Bezpečnostná politika - "Jedna alebo viacero pravidiel, postupov, praktických techník alebo usmernení v oblasti bezpečnosti riadenej organizáciou v ich činnostiach." Všeobecne platí, že takýto súbor pravidiel je druh funkčnosti softvérového produktu, ktorý je potrebný na jeho použitie v konkrétnej organizácii.

Jedným z najviac vyvážených a životaschopných dokumentov je normou v rámci priemyslu Bank of Rusko na IB. Jeho najnovšie vydanie (2006) poukazuje na výslovný zámer centrálnej banky zmeniť odporúčanie dokumentu pre povinný štatút.

7.5. Štandard na ochranu informácií v oblasti bankových kariet

Platobná karta Priemyselný bezpečnostný bezpečnostný štandard (PCI DSS) je štandardom pre ochranu informácií v priemysle platobných kariet, vyvíjaných medzinárodnými platobnými systémami Visa a MasterCard.

Rozhodnutie o vytvorení tejto jednotnej normy bolo prijaté medzinárodnými platobnými systémami z dôvodu rastúceho počtu spoločností, ktoré uviedli, že ich dôverné informácie o účtoch svojich klientov boli stratené alebo ukradnuté.

Štandardné ciele:

• zvýšenie bezpečnosti elektronických obchodných a platobných systémov;
• zabezpečenie bezpečného prostredia pre skladovanie údajov kariet;
• zníženie nekonzistentnosti bezpečnostných požiadaviek v priemysle platobných kariet;
• modernizácia a racionalizácia obchodných procesov a znížených nákladov.

Požiadavky štandardu PCI DSS sú distribuované všetkým spoločnostiam pracujúcim s medzinárodnými platobnými systémami Visa a Mastercard. V závislosti od počtu transakcií každej spoločnosti je každá spoločnosť pridelená určitá úroveň s primeraným súborom požiadaviek, ktoré musia vykonávať. V rámci požiadaviek štandardného sa predpokladá, že ročné audity spoločností, ako aj štvrťročné siete skenovania.

Od septembra 2006 bola štandardná norma bezpečnosti údajov PCI zavedená medzinárodným vízovým platobným systémom v regióne CEMEA ako povinné, v tomto poradí, jeho akcia sa vzťahuje na Rusko. Poskytovatelia služieb (spracovateľské centrá, platobné brány, poskytovatelia internetu), ktorí pracujú priamo z Visanet, musia prejsť postupom auditu na dodržiavanie požiadaviek štandardu. V opačnom prípade bude víza aplikovať určité sankcie spoločnostiam.

Otázky pre seba-test

1. Aký je hlavný rozdiel medzi ochranou bankových počítačových systémov z ochrany priemyselných počítačových systémov?
2. Aké činnosti možno pripísať opatreniam organizačnej ochrany?
3. Aký je princíp "zatvorených dverí" v bankách a prečo sa momentálne nemôže efektívne uplatňovať?
4. Aké prostriedky ochrany možno pripísať fyzickým?
5. Aké systémy, analytické alebo funkčné, vyžadujú dôkladnejšie metódy ochrany a prečo?
6. Aké sú kryptografické metódy transformácie textu?
7. Aký je kľúč?
8. Dajte definíciu "Gamming". Prečo sa vyžaduje?
9. Čo je kódovanie s "odtrhávaním notebooku" a prečo to nie je použiteľné?
10. Aká je dĺžka kľúča pri kódovaní pomocou normy Des?
11. Je dĺžka kľúčov odlišná od ruských noriem z medzinárodného? Čo je ona?
Názov workshopu anotácia

Prezentácie

Názov prezentácie	anotácia