Файл: Система защиты информации в банковских системах (Понятие информационной безопасности).pdf

Идентификация человека по персональным характеристикам успешно использовалась задолго до появления компьютерных технологий. Безупречная точность такого вида идентификации послужила поводом для разработки автоматизированных систем контроля доступа, где необходим высокий уровень конфиденциальности информации. Таким примером может служить повсеместное внедрение биометрических паспортов с идентификационным чипом^[20].

Биометрические системы контроля доступа в настоящее время основываются на считывании и сравнении данных физиологического или поведенческого характера человека, таких как, радужная оболочка глаза, отпечаток пальца, геометрия и форма руки, голос. Несомненно, удобство такого метода — все идентификаторы всегда при себе, в отличие от внешнего носителя-карты, тем более, что индивидуальные особенности человека абсолютно уникальны и не поддаются подделке. Однако минус данного метода идентификации состоит в несовершенстве считывающей аппаратуры, поэтому в продуктивности они могут уступать стандартным кодам карт. Поэтому для наиболее точной аутентификации личности используются комбинированные биометрические системы контроля доступа с видеонаблюдением, использованием смарт-карты или учетом нескольких биометрических характеристик.

В системе обеспечения безопасности все большее значение приобретает обеспечение информационной безопасности предприятия. Это связано с растущим объемом информации, с необходимостью ее хранения, передачи и обработки. Перевод значительной части информации в электронную форму, использование локальных и глобальных сетей создают качественно новые угрозы конфиденциальной информации.

Проблемы, связанные с информационной безопасностью на предприятиях, могут быть решены только с помощью систематического и комплексного подхода. С методологической точки зрения, подход к проблемам информационной безопасности начинается с выявления субъектов информационных отношений и интересов этих субъектов.
В обеспечении информационной безопасности нуждаются разные субъекты информационных отношений:

– государство в целом или отдельные его органы и организации;

– общественные или коммерческие организации (объединения),

предприятия (юридические лица);

– отдельные граждане (физические лица).

В зависимости от сочетания уровней конфиденциальности информации и характера условий размещений определяют категории объектов КСЗИ( рис.1).

Рисунок 1.Объекты системы защиты информации

Деятельность по созданию КСЗИ относится к лицензируемым видам деятельности и лицензируется Государственной службой специальной связи и защиты информации России. Право на проведение государственных экспертиз КСЗИ имеют лицензиаты в области ТЗИ, которые также входят в Реестр Организаторов экспертизы в сфере ТЗИ, который формирует и ведет Контролирующий орган. К проведению работ по созданию КСЗИ и государственной экспертизе КСЗИ привлекаются различные субъекты, для исключения нарушений и злоупотреблений в сфере защиты информации.

1.2. Проблемы информационной безопасности банков

Банковский сектор является важным элементом цельной финансовой системы любой страны. Коммерческие банки призваны аккумулировать денежные средства, осуществлять кредитование различных отраслей экономики. С момента своего возникновения, банки неистово вызывали и вызывают интерес, который связан не только с хранением или получением денежных средств, но и с секретной информацией о финансовой деятельности различных субъектов экономики, имеющих соглашения с банками^[21].

В век современных технологий значение информационной безопасности банков в связи с глобальной компьютеризацией, распространением использования облачных ресурсов и развитием инструментов внедрения в информационные системы из внешней среды многократно возросло^[22].

В нашей стране данная проблема является особенно актуальной, поскольку в отличие от западных банков, где программное обеспечение (ПО) разрабатывается конкретно под каждый банк и устройство автоматизированной системы обработки информации банка (АСОИБ) во многом является коммерческой тайной. В России получили распространение типовые, «стандартные» банковские пакеты, информация о которых известна большому кругу IT-сотрудников многочисленных банков, в т.ч. ушедшим из компании кадрам, что облегчает несанкционированный доступ в банковские информационные системы^[23].

Причем, во-первых, надежность «стандартного» ПО ниже из-за того, что разработчик нацелен на более широкие условия, в которых этому ПО придется функционировать, а во-вторых, некоторые российские банковские пакеты, прежде всего, их ранние версии, не в полной мере удовлетворяют требованиям безопасности и разграничения доступа к информационным ресурсам. Так, на экономическом форуме в Казани «Finopolis 2016» было объявлено об объеме покушений на хищение денежных средств со счетов российских банков за 9 месяцев 2016 года. Цифра составила 5 млрд рублей. Кражу 3 млрд все-таки удалось предотвратить, но 2 млрд рублей мошенникам удалось похитить.

И хотя, по словам начальника главного управления безопасности и защиты информации ЦБ РФ Артема Сычева, «эта сумма совсем несущественна», так как составляет только «десятые доли от всего объема денежного оборота в России»^[24], не обращать внимания на угрозы банковскому сектору нельзя. И многое уже делается. В июле текущего года заместителем председателя Банка России Ольгой Скоробогатовой было объявлено, что в России будет создан так называемый консорциум при участии регулятора (ЦБ РФ) для изучения технологии блокчейна^[25].

Идея технологии блокчейн состоит в реализации огромной базы данных общего пользования, которая функционирует без централизованного руководства. Интерес к этой идее в форме консорциума проявили группа QIWI, Accenture, БИНБАНК, МДМ Банк, Банк «Открытие», Тинькофф Банк и совсем недавно – Сбербанк России. Участники консорциума ЦБ РФ будут выявлять проблемы функционирования предлагаемой инновационной системы, предполагающей защиту от отступлений в финансовом законодательстве. В чем же состоит идея данной технологии? Все привыкли, что операции с деньгами и документами обязательно проходят через посредников.

Государственные органы, банки или юристы призваны проверять подлинность каждой из проделанных операций. Но суть блокчейна состоит в том, чтобы каждый из участников системы был ее же регулятором. Таким образом, не подразумевается иметь центральный орган управления. Но так ли идеальна эта идея в будущем? Конечно, способ снижения затрат бизнеса на услуги посредников достаточно притягателен.

Однако в то же время нельзя не упомянуть об угрозах кибератак. Преступность вероятнее всего будет заинтересована в едином центре информации. Следовательно, создаваемому консорциуму, как представляется авторам, необходимо изучить и исследовать на практике все сбои и вероятные проблемы при эксплуатации такого рода технологии в реальной жизни. То есть перед правительством и заинтересовавшимися в блокчейне институтами стоит огромная задача выявления рисков новомодной инновации для безопасности банковского сектора. К данным условиям неопределенности можно отнести технологические риски, возникновение которых возможно на начальных этапах внедрения. Сбои в настройке системы и ее работе, – действия по устранению данных неполадок необходимо заранее предусмотреть, так как неточная проработка первых шагов внедрения на рынок блокчейна может привести к губительной системе в целом.

Следует добиться исключения или, по крайней мере, существенного снижения воздействия на банковские информационные системы, функционирующих в современных технологических реалиях, случайных и преднамеренных угроз, как внешних, так и внутренних.

Глава 2. Система защиты информации в банковских системах

2.1. Особенности информационной безопасности банковских систем и меры по ее обеспечению

Коммерческие банки, являясь важнейшим финансовым институтом современного социума, должны следовать определенным правилам информационной безопасности и уметь противостоять дестабилизирующим факторам^[26]. В настоящее время стоимость и значимость банковской информации многократно возросли, что привело к росту преступного интереса к ней^[27].

Каждый банк обязан обеспечить безопасность хранимых им данных, именно поэтому он должен следить за регулярной сменой и проверкой паролей, а также за контролем вероятности утечки информации. Банковские информационные системы и базы данных содержат конфиденциальную информацию о клиентах банка, состоянии их счетов и проведении различных финансовых операций. Необходимо поддерживать сохранность этих данных, обеспечивать их информационную безопасность, осуществлять быстрый и своевременный обмен и обработку информации, чтобы банковская система не дала сбой. Для этого необходима целая структура, которая будет способна обеспечить защиту информации, а также конфиденциальность клиентской базы. План действий, обеспечивающих информационную безопасность банков, принципиально отличается от плана действий других организаций.

Главными причинами этого являются специфический характер угроз, а также публичная деятельность банков, которые обязаны делать доступ к счетам несложным с целью удобства для клиентов.

Факторы, которые следует учитывать для обеспечения информационной безопасности банков^[28]:

1. Информация, которая хранится и обрабатывается в банках, – это реальные деньги. При открытом доступе к данной информации через компьютеры могут открываться кредиты, производиться выплаты, а также могут переводиться значительные суммы денег без ведома владельца данного счета. Совершенно ясно, что такое незаконное манипулирование информацией приведет к убыткам различной степени. Данная особенность увеличила число мошенников, которые покушаются именно на банки, ведь информация, к примеру, промышленных компаний чаще всего не представляет такого интереса.

2. Информация, которая относится к банковской сфере, касается большого количества людей и организаций, то есть клиентов банков. Банк должен обеспечить достаточный уровень конфиденциальности информации, что является приоритетной задачей, поскольку каждый клиент вправе рассчитывать, что банк будет заботиться о его интересах, ведь от этого напрямую зависят репутация и успешность самого банка.

3. От того, как клиенту удобно работать с банком, а также от широкого спектра предоставляемых им услуг напрямую зависит конкурентоспособность банка. Именно поэтому банк должен предоставлять возможность быстрого и неутомительного распоряжения денежными средствами. Но именно такая легкость доступа к денежным активам и увеличивает число преступников, которые проявляют интерес к банковским системам.

4. Банк обязан обеспечить высокую надежность работы компьютерных систем даже в случае нештатных ситуаций, ведь банк, в отличие от большинства компаний, отвечает не только за свои денежные средства, но и за деньги клиентов.

5. Банк хранит важную информацию о своих клиентах, что расширяет круг потенциальных злоумышленников, заинтересованных в краже или порче такой информации. Чтобы защищать интересы и цели всей банковской системы Российской Федерации в условиях угроз, были созданы отечественные стандарты по информационной безопасности (Стандарт Банка России по обеспечению информационной безопасности организаций банковской системы РФ)^[29]. Но, к сожалению, даже эти стандарты не могут ответить на все вопросы, поэтому они постоянно меняются и усовершенствуются за счет ранее накопленного всеми поколениями опыта по защите информации.

В условиях современной геополитической ситуации явно прослеживается тенденция к переходу на национальную систему платежных карт. Это, в свою очередь, требует повышение надежности и безопасности банковских информационных систем. Все эти факторы привели к очередному переизданию стандартов СТО БР ИББС. Июнь 2014 года ознаменовался вступлением в силу пятой обновленной версии СТО БР ИББС – 2014. В отдельных блоках этого стандарта подробно описаны требования к обеспечению безопасности, а также даются конкретные перечни мер защиты по тому или иному блоку (Таблица 1).