Файл: Система защиты информации в банковских системах ( ПОДХОДЫ К ХРАНЕНИЮ И ЗАЩИТЕ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ В БАНКОВСКИХ СИСТЕМАХ).pdf

- сетевое оборудование (маршрутизаторы, коммутаторы, концентраторы и пр.);

- сетевые приложений и сервисы;

- операционные системы (ОС);

- системы управления базами данных (СУБД);

- банковские технологические процессы и приложения;

- бизнес-процессов организации.

При этом успешность выполнения каждой категории бизнес-процессов посредством выделенных элементов автоматизированной банковской информационной системы (АБИС) будет зависеть от полноты выполнения следующих требований к ИБ:

- обеспечение конфиденциальности информации;

- обеспечение доступности информации, сервисов и сетевых и аппаратных подсистем;

- обеспечение целостности информации;

- обеспечение непрерывности бизнес-процессов.

Данные требования должны выполняться как в штатных ситуациях, в процессе нормального функционирования, так и в условиях воздействия на систему дестабилизирующих факторов и угроз различного характера:

- локальных инцидентов ИБ;

- чрезвычайных ситуаций, широкомасштабных катастроф, аварий различной природы и их последствий. ^[15]

При этом, для каждого элемента АБИС угрозы нарушения ИБ и их источники (как случайные так и умышленные), методы и средства защиты, а также подходы к оценке их эффективности являются различными. ^[16]

Проведенный анализ литературных источников позволяет сделать вывод, что архитектура системы ИБ организаций БС РФ, которая покрывает основные классы угроз, должна содержать следующие компоненты:

- подсистему межсетевого экранирования;

- подсистему защиты внутренних сетевых ресурсов;

- подсистему защиты Web-ресурсов;

- подсистему обнаружения и предотвращения вторжений;

- антивирусную подсистему;

- подсистему контроля содержимого Интернет-трафика;

- подсистему аутентификации и авторизации пользователей;

- подсистему криптографической защиты информации;

- подсистему протоколирования, отчета и мониторинга средств защиты;

- подсистему физической защиты;

- подсистему защиты рабочих станций;

- подсистему управления ИБ.^[17]

После внедрения спроектированной системы необходимо обеспечить ее поддержку и сопровождение.

Таким образом мероприятия по обеспечению ИБ в организациях БС РФ проводятся в четыре этапа:

- планирование системы ИБ организации;

- реализация и внедрение системы ИБ организации;

- проверка и оценка системы ИБ организации БС РФ;

---

- поддержка и улучшение системы ИБ организации. ^[18]

В модели отношений определены следующие типы связей:

- MP – имеется механизм защиты, данный вид связи указывает, что для существующей угрозы в организации БС РФ имеется средство, противодействующее ее деструктивному воздействию;

- NMP – нет механизма защиты, данный вид связи показывает, что для существующей угрозы нет средства, осуществляющего защиту.

Под уровнем защищенности организаций БС РФ предлагается понимать обобщенный показатель, позволяющий комплексно оценить существуют ли в организации недопустимые риски, незакрытые средствами защиты угрозы, а также насколько система ИБ в организации соответствует требованиям регуляторов.

ВЫВОД К 1 ГЛАВЕ

Таким образом, оценка защищенности информации в организации БС РФ является важным этапом процесса управления всей ИБ организации в целом, позволяющим не только составить модель актуальных угроз, модель злоумышленника, проанализировать потенциальные риски и степень выполнения организацией требований регуляторов к ИБ, оценить эффективность и достаточность используемых механизмов защиты информации. Но и выработать рекомендации по повышению общего уровня защищенности применение которых, на практике, позволит улучшить систему ИБ организации.

ГЛАВА 2. ПРОБЛЕМЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В БАНКОВСКОЙ СИСТЕМЕ

2.1. АНАЛИЗ ПРОБЛЕМ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В РОССИЙСКОЙ БАНКОВСКОЙ ПРАКТИКЕ НА СОВРЕМЕННОМ ЭТАПЕ

Около 1000 компаний дают представление о технических и поведенческих аспектах действий совершающихся нарушений в банках, которые можно охарактеризовать следующими основными факторами.

Во-первых, большинство инцидентов не требовало для осуществления высокого уровня технической подготовки, то есть большая часть рассмотренных инцидентов, произошедших в банковском и финансовом секторах, не была технически сложной для осуществления. ^[19]

---

И виновниками, в основном, становились сотрудники с низким уровнем знаний и квалификации.

Во-вторых, нарушители планировали свои действия, большинство инцидентов были обдуманы и спланированы заранее, то есть посвященные обычно были напрямую связаны с планированием либо ждали выгоды от запланированных действий. ^[20]

В-третьих, финансовая выгода была мотивом для большинства нарушителей, т. е. большая их часть преследовала цель получения финансовой выгоды, а не принесения ущерба банку или ее информационной системе.

Среди других распространенных мотивов можно выделить месть, неудовлетворенность менеджерами компании, ее политикой или культурой и желание уважения.

В-четвертых, нарушители не были ранее замечены в инцидентах, были ранее замечены в участии в атаках на сеть или хакерской деятельности и, как правило, не относились к «проблемным» работникам.

В-пятых, инциденты были детектированы разными методами и разными людьми, не только работниками, ответственными за безопасность, но и людьми, как внутренними, так и внешними по отношению к банку.

В детектировании использовались как процедуры, производимые вручную, так и автоматизированные. ^[21]

В-шестых, банки-жертвы понесли практически от всех нарушений финансовый ущерб. Многие банки пострадали сразу по нескольким аспектам.

В-седьмых, нарушения происходили в рабочее время. Россия и бывшие республики СССР хотя и в меньшей степени, но также страдают при использовании информационных технологий в банковской деятельности от преступлений.

Важно отметить, что при начальном построении системы антивирусной безопасности важно точно определить точки, которые необходимо защищать и свести огромную архитектуру сети к четкой функциональной модели.

В настоящее время наступил новый этап, когда любое физическое или юридическое лицо сможет для банковских операций пользоваться Интернетом, что, в свою очередь, приводит к возникновению новых проблем, связанных с обеспечением информационной безопасности, ключевым направлением которой являются защита информации при передаче по каналам связи, надежность долгосрочного хранения данных в электронном виде, контроль доступа к информации (включая Интернет), предотвращение несанкционированного доступа к информации, идентификация ее пользователей. ^[22]

Исследование проблем внутренних угроз показало, что российские организации больше всего озабочены утечкой конфиденциальной ин- формации: 98 % респондентов поставили этот риск на первое место.

---

Остальные угрозы отстают со значительным разрывом: искажение информации (62 %), сбои в работе ИС по причине халатности персонала (15 %), утрата информации (7 %), кража оборудования (6 %), другие (28 %).

Таким образом, на первый план выходит проблема обеспечения безопасности информационных систем организаций со стороны сетевого воздействия, где основными средствами защиты были, есть и остаются межсетевые экраны, которые предоставляют определенный уровень защиты и являются средством реализации политики безопасности на сетевом уровне.

Уровень безопасности, который предоставляет сетевой экран, может варьироваться в зависимости от требований безопасности. Существует традиционный компромисс между безопасностью, простотой использования, стоимостью, сложностью и т. д. ^[23]

Сетевой экран является одним из нескольких механизмов, используемых для управления и наблюдения за доступом к сети с целью ее защиты, что значительно проще и надежнее, так как обеспечивает защиту каждой машины, а не многих. ^[24]

Чаще всего межсетевой экран представляет сетевую станцию с двумя и более сетевыми элементами. При этом по одному каналу осуществляется связь с Интернетом, а по второму – с защищенной сетью.

Таким образом, межсетевой экран одновременно выполняет функции маршрутизатора-шлюза, экрана и его управления.

Результатом методики является количественная оценка уровня защищенности, по которой можно более точно сравнивать несколько вариантов защиты и таким образом выбирать наиболее эффективный вариант.

Согласно предлагаемой методике на вход подаются вероятности реализации угроз и уязвимостей относительно защищаемой информационной системы организации, стоимость защищаемых ресурсов (оценка потери в случае выхода из строя информационного ресурса) и частота угроз каждого вида в общем потоке угроз. ^[25]

Вводятся ограничения на стоимость системы защиты информации и снижение уровня производительности системы. А на выходе получаем количественную оценку защищенности для всей системы в целом.

Таким образом, фактический уровень защищенности определяется как отношение рисков в защищенной системе к рискам незащищенной системы.

В методику положен подход оценки систем при помощи рисков, который в настоящее время внедряется во многих областях информационной безопасности, что позволяет более точно описывать информационные ресурсы через характерные уязвимости, стоимость самих ресурсов, ранжировать риски и, соответственно, информационные ресурсы по степени критичности для деятельности организации.

---

К преимуществам методики следует отнести простоту ее реализации, распространённый математический аппарат, доступность для понимания.

Таким образом, разработанная методика может использоваться для определения обеспечиваемого уровня защиты систем защиты информации, как на начальных этапах проектирования, так и на стадии оценки уровня защиты уже существующих систем с целью их модификации или при проведении аудита.

Разработанная методика может применяться для оценки уровня защищенности организаций всех сфер деятельности, так как она характеризует информационную систему со стороны рисков и, соответственно, может быть конкретизирована под конкретную организацию. ^[26]

Степень конкретизации зависит от уровня зрелости организации, специфики ее деятельности, требуемого уровня защищенности, модели злоумышленника и прочих факторов.

То есть в каждом конкретном случае методика может быть адаптирована под конкретные нужды предприятия с учетом специфики его функционирования и ведения бизнеса. ^[27]

Уровень точности получаемой на выходе оценки зависит в первую очередь от полноты списка угроз и уязвимостей как основных составляющих риска, точности оценки информационных ресурсов, а также точности оценки вероятностных характеристик реализации угроз.^[28]

В заключение отметим, что чем крупнее банк, тем труднее обеспечить контроль над оборотом информации, так как всего одна утечка может привести к банкротству. Поэтому удивительно, почему российские банки до сих пор столь инертны в плане внедрения адекватных средств защиты.

В настоящее время всеобщее внимание приковано к бесконечным вирусным эпидемиям и хакерским атакам, что создает впечатление отсутствия угроз изнутри. Однако результаты исследований многих авторитетных аналитических организаций красноречиво свидетельствуют, что именно внутренние угрозы являются одной из наиболее актуальных проблем информационной безопасности для банков на современном этапе.

Для минимизации потерь от внешних и внутренних угроз необходимо регулярно проводить анализ рисков в информационных системах, используя передовые стандарты информационной безопасности. ^[29]

Противостояние таким угрозам может быть эффективным лишь в том случае, если будут обеспечены эффективные мероприятия по ликвидации неблагоприятных последствий инцидентов информационной безопасности, которые могут повлиять на операционные, кредитные и иные риски в организациях.

---