Файл: .Система защиты информации в банковских системах.pdf

Банкам же, которые ранее уже выполнили требования по защите ПДн по старому стандарту, для соответствия новым требованиям нужно скорректировать свои внутренние нормативные документы, провести заново классификацию и переадресацию ИСПДн и, в соответствии с уровнем защищенности, определить для себя новый перечень защитных мероприятий. Хочется отметить, что сейчас у банков появилось больше свободы в выборе средств и методов защиты, однако применение именно сортированных ФСТЭК средств защиты информации по-прежнему является обязательным. Информационная безопасность национальной платежной системы Национальная платежная система (НПС), в виду последних событий, становится все более приоритетным направлением во внутренней политике государства.

Президент России Владимир Путин подписал закон о создании в России национальной системы платежных карт (НСПК) и обеспечении бесперебойности работы международных платежных систем. Оператор НСПК создается в форме ОАО, 100% активов которого принадлежит Банку России. Целью проекта обозначено инфраструктурно и информационно замкнуть процесс осуществления денежных переводов внутри России, закрепить территориально внутри страны операционные центры и платежные клиринговые центры. Фактически, до выхода закона деньги могли появляться из «ниоткуда» и исчезать в «никуда». С выходом закона ситуация меняется, НПС дает возможность отслеживает все денежные операции, в том числе финансирование сомнительных сделок и мошеннические операции, которые могут угрожать безопасности граждан или страны в целом. Кроме того, уход от наличного оборота, по мнению правительства, является еще одним шагом в борьбе со взяточничеством.

Для обеспечения безопасности НПС был выпущен целый рад подзаконных актов, серди которых основополагающее Положение о защите информации в платежной системе» от 13.06.2012 №584. Но в большей мере отвечает выпущенное ответственным департаментом Банком России Положение о требованиях к обеспечению защиты информации при осуществлении переводов денежных средств…» от 09.06.2012 N 382-П) С обновлением П-382 тенденции обеспечения защиты теперь смещены в сторону:

• применением банкоматов и платежных терминалов; применения пластиковых платежных карт;
• использования сети Интернет (систем дистанционного банковского обслуживания (ДБО) и мобильного банкинга);
• требований к порядку разработки и распространения специализированного ПО, предназначенного для использования клиентом при переводе денежных средств;
• расширение требований по повышению осведомленности клиентов о возможных рисках получения несанкционированного доступа к защищаемой информации и рекомендуемых мерах по их снижению;
• требований о необходимости проведения классификации банкоматов и платежных терминалов, результаты которой должны учитываться при выборе мер защиты;
• процедур приостановления проведения платежа оператором по переводу денежных средств в случае обнаружения признаков мошеннических действий;
• предусмотрены процедуры защиты от современных угроз безопасности, таких как: скимминг (путем использования специализированных средств, препятствующих несанкционированному считыванию треков платежных карт;
• защита сервисов расположенных в сети Интернет от внешних атак (DoS-атак);
• защита от фишинга (от фальсифицированных лождных ресурсов сети Интернет);
• требование по применению платежных карт, оснащенных микропроцессором, с 2015 года и запрет выпуска карт, не оснащенных микропроцессором, после 1-го января 2015 года;
• 29 новых показателей оценки.

Аналогичная ситуация складывается с использованием пластиковых карт. В мировом сообществе признанным стандартом безопасности считается Payment Card Industry Data Security Standard (PCI DSS), который был разработан советом PCI SSC. В него вошли такие карточные брэнды, как Visa, MasterCard, American Express, JCB и Discovery. Стандарт PCI DSS описывает требования к защите данных о держателях карт, сгруппированные в двенадцать тематических разделов.

Основной акцент в стандарте PCI DSS делается на обеспечении безопасности сетевой инфраструктуры и защите хранимых данных о держателях платежных карт, как наиболее уязвимых с точки зрения угроз конфиденциальности местах.

Также следует отметить, что стандарт регламентирует правила безопасной разработки, поддержки и эксплуатации платежных систем, в том числе процедуры их мониторинга. Не менее важную роль стандарт отводит разработке и поддержке базы нормативных документов системы менеджмента информационной безопасности.

Международные платежные системы обязывают организации, на которые распространяются требования стандарта, проходить регулярную проверку соответствия этим требованиям, что рано или поздно может затронуть и НСПК. Однако сертификация российских банков по зарубежному PCI DSS стандарту шла довольно медленно, а отечественного аналога на сегодняшний день нет.

1.6 Блокировка мошеннических сайтов

Банк России и Минкомсвязи работают над изменениями в закон «Об информации, информационных технологиях и о защите информации», которые позволят противодействовать мошенническим ресурсам в сети интернет более эффективно.

Предполагается наделить Банк России правом принимать решение о включении ресурсов в единый реестр запрещенных сайтов. Таким образом, в Рунете появится новый вид запрещенной информации — информация, использующаяся для мошенничеств на финансовом рынке. Например, в ряде случаев финансовые организации, которые лишились лицензии, продолжают через интернет предлагать «заем до зарплаты».

Банк России на основе соглашений с компетентными организациями инициирует блокировку в российском сегменте интернета мошеннических ресурсов, относящихся к сфере финансовых рынков и национальной платежной системе, — подтвердили в пресс-службе ЦБ. — На данный момент снято с делегирования порядка 400 доменов.

Сайты, созданные для мошенничества на финансовом рынке, будут блокироваться. Экспертизу подобных ресурсов будет проводить Центральный банк России. Об этом говорится в Стратегии государственной политики в области защиты прав потребителей.

Банк России разработал проект указания о внесении изменений в Положение «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств».

Согласно документу, операторы по переводу денежных средств будут обязаны использовать ПО, сертифицированное на соответствие требованиям по безопасности информации. То есть, банки и платежные системы смогут использовать только программы, прошедшие проверку на наличие уязвимостей и недекларированных возможностей в соответствии с требованиями Федеральной службы по техническому и экспортному контролю или требованиями к оценочному уровню доверия не ниже чем ОУД 4 в соответствии с ГОСТ Р ИСО/МЭК 15408-3-2013.

Анализ уязвимостей в ПО должны проводить организации, имеющие лицензию на осуществление деятельности по технической защите конфиденциальной информации. Тестирование на проникновение и анализ уязвимостей должно проводиться ежегодно. Указание вступает в силу с 1 июля 2018 года.

Госстандарт защиты информации для банков ГОСТ Р 57580.1-2017

ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций.

Базовый набор организационных и технических мер» утв. 08.08.2017

Распространяется на Банки, некредитные финансовые организации, других субъектов НПС

Что принципиально нового:

Уровни защиты информации:

Уровень 3 – минимальный (соответствует четвертому УЗ ПДн)

Уровень 2 – стандартный (соответствует второму и третьему УЗ ПДн)

Уровень 1 – усиленный (соответствует первому УЗ ПДн)

Уровень защиты информации устанавливается для конкретного контура безопасности (информационная система, реализующая бизнес-процессы единой степени критичности, для которых применяется единый режим защиты информации)

Пример: Платежные и информационные технологические процессы могут составлять разные контуры безопасности

Формируется один или несколько контуров безопасности

Уровень защиты для контура безопасности устанавливается нормативными актами Банка России на основе:

1. Вида деятельности, состава предоставляемых услуг, бизнес-процессов в рамках контура безопасности
2. Объема финансовых операций
3. Размера организации
4. Значимости для финансового рынка и НПС

В числе мер, способствующих снижению рисков утечки информации, Банк России предлагает финансовым организациям установить и документировать классификацию обрабатываемой информации.

Рекомендуется выделить как минимум два класса – «информация конфиденциального характера» и «открытая информация». Классификацию рекомендуется проводить на основе оценивания степени тяжести последствий для организации от возможных утечек информации конфиденциального характера, говорится в документе.

Организациям также рекомендуется документировать и обеспечить выполнение идентификации и учета всех информационных активов информации конфиденциального характера и объектов среды информационных активов.

В этом пункте подробно рассматривается состав правил идентификации и учета информационных активов и объектов среды информационных активов, типы информационных активов и объектов, подлежащих идентификации и учету, набор учетных данных, которые необходимо хранить и др.

Для учета и идентификации информационных активов и средств вычислительной техники рекомендуется использовать средства автоматизации.

Банк России рекомендует определить категории возможных внутренних нарушителей и потенциальных каналов утечки информации, состав процессов их мониторинга и контроля, обеспечить реализацию процессов системы менеджмента информационной безопасности и др.

Один из подпунктов рекомендаций, достаточно обширный, охватывает автоматизацию процессов мониторинга и контроля потенциальных каналов утечки информации организации.

Советов по выбору конкретных технических решений здесь не содержится, за исключением пункта о централизованном управлении и мониторинге использования мобильных устройств сотрудниками организации.

Глава 2 Реализация средств защиты информации в автоматизированных банковских системах

2.1 Физические средства защиты информации

Физические средства защиты направлены на создание физических препятствий на пути хищения и порчи информации. К ним относятся:

физическая изоляция территории (заборы, решетки);

установка кодовых замков и переговорных устройств;

установка систем по опознанию личности, автоматически управляющих доступом на территорию;

установка систем теленаблюдения;

охрана объектов и проверка документов;

установка специальных устройств, препятствующих выносу техники;

установка сейфов.

Рис.1. Расположение камер охранного видеонаблюдения.

2.2 Технические средства защиты информации

Технические средства реализуются в виде электрических, электромеханических и электронных устройств, реализующих механизмы защиты (идентификацию пользователей, разграничение доступа к ресурсам, криптографическое закрытие информации и т.д.).

Все технические средства делятся на аппаратные и физические [4].

Под аппаратными техническими средствами принято понимать устройства, встраиваемые в компьютеры или периферийные устройства. Физические реализуются в виде автономных устройств. Самая распространенная функция технических средств защиты — шифрование информации. Сообщение зашифровывается с помощью алгоритма шифрования — ключа, который является частью аппаратуры или программой. Защиту обеспечивает секретность ключа, восстановив ключ, можно восстановить информацию. Более надежными являются аппаратные и программно-аппаратные средства защиты, так как защищен ключ

Программные средства защиты представляют собой программное обеспечение, специально предназначенное для выполнения функций защиты информации, и подразделяются на несколько видов:

• программы идентификации пользователя, например, идентификация пользователя с помощью пароля;
• программы контроля и разграничения доступа производят проверку полномочий пользователей на доступ к ресурсам сети, контроль в точках входа — промежуточных и конечной;
• программы криптографического закрытия предназначены для шифрования (дешифрования) информации;
• механизмы электронной подписи используются для подписи электронных документов: приказов, платежных поручений, контрактов и других распорядительных и финансовых документов;
• заменяют традиционные печать и подпись на бумажном документе;
• дают возможность доказательства факта того, что автор действительно фиксировал акт своего волеизъявления в отчуждаемом электронном документе;
• электронная подпись представляет собой файл, который хранится на дискете;
• программы резервного копирования и восстановления;
• механизмы управления маршрутизацией, арбитража осуществляют выбор маршрутов движения информации по компьютерной сети таким образом, чтобы исключить передачу секретных сведений по скомпрометированным физически ненадежным каналам; вся информация, передаваемая между объектами,
• проходит через арбитра, который подтверждает характеристики потока;
• программы контроля целостности программного обеспечения и программы защиты от вирусов — применение «иммуностойких» программ, программ-анализаторов, осуществляющих контроль возникновения отклонений в деятельности прикладных программ, входной контроль новых программ перед их использованием;
• программы, тестирующие механизмы защиты;
• вспомогательные программы, например, ведение регистрационных журналов, которые фиксируют все действия всех пользователей при работе в автоматизированной системе (осуществляют регистрацию входа в систему: успешный — неуспешный, регистрацию выхода, учет выдачи печатных документов, отправляемых документов, вызываемых функций, составляемых форм отчетности и т.д.).