Файл: Система защиты информации в банковских системах (ПОНЯТИЕ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ).pdf

Далеко не каждое кредитное учреждение располагает потенциалом для самостоятельного составления моделей угроз и нарушителя, а также политики ИБ. В этом случае эти документы должны составляться с привлечением сторонних организаций. Модели угроз и нарушителя должны учитывать требования законодательства РФ в области ИБ, разработки ведущих специалистов банковской системы, а также международный опыт в этой сфере.

При разработке моделей угроз и моделей нарушителя необходимо учитывать, что из всех возможных объектов атак с наибольшей вероятностью злоумышленник выберет наиболее слабо защищённый и контролируемый, где его деятельность будет оставаться необнаруженной максимально долго и затраты на проникновение в систему будут минимальны, а выгода от проникновения максимальна. Поэтому все операции в банковских технологических процессах, где осуществляется взаимодействие персонала со средствами и системами автоматизации, должны особенно тщательно контролироваться и защищаться.

Стратегия обеспечения ИБ организаций банковской системы, таким образом, заключается как в эффективном использовании по имеющемуся плану заранее разработанных мер по обеспечению ИБ, противостоящих атакам злоумышленников, так
и в регулярном пересмотре моделей и политик ИБ, а также корректировке системы обеспечения информационной безопасности. В случае реализации угроз должен быть использован дополнительный (специально разработанный) план действий, позволяющий свести к минимуму возможные потери и восстановить систему обеспечения информационной безопасности. Модели ИБ (угроз и нарушителей) предназначены отражать возможные инциденты информационной безопасности, вследствие чего они носят прогнозный характер. Модели ИБ разрабатываются на основе происходивших событий и процессов, но ориентированы на будущее.

Любой целенаправленной деятельности (бизнесу) свойственны риски. Это объективная реальность, и понизить эти риски можно лишь до определенного остаточного уровня. Оставшаяся (остаточная) часть риска, определяемая в
том числе факторами среды деятельности, должна быть признана приемлемой и принята либо отклонена. В этом случае от риска следует уклониться (изменить среду деятельности), перевести на кого-нибудь (например, застраховать) или отдать на аутсорсинг специализированным организациям. Таким образом, уровень защищённости интересов банка определяется, во-первых, величиной принятых ею остаточных рисков, а во-вторых, эффективностью работ по поддержанию принятых рисков на допустимом, низком уровне.

---

Риски нарушения ИБ должны быть согласованы и иерархически связаны с рисками основной деятельности банка через возможный ущерб. Допускается оценка рисков информационной безопасности в составе операционных рисков с целью создания единой карты рисков и оценки стоимости ущерба по организации в целом. Риски нарушения ИБ выражаются в возможности потери состояния защищённости интересов (целей) банка в информационной сфере и возникновения ущерба бизнесу банка или убытков. Потеря состояния защищённости интересов банка в информационной сфере заключается в утрате свойств доступности, целостности или конфиденциальности информационных активов, утрате заданных целями бизнеса параметров или доступности сервисов инфраструктуры банка.

Уязвимость ИБ создаёт предпосылки к реализации угрозы через неё (инцидент ИБ) Реализация угрозы нарушения ИБ приводит к утрате защищённости интересов банка в информационной сфере, в результате чего банку наносится ущерб. Тяжесть ущерба совместно с вероятностью приводящего к нему инцидента ИБ определяют величину риска. Постоянный анализ и изучение инфраструктуры банка с целью выявления и устранения уязвимостей ИБ – основа эффективной работы системы обеспечения информационной безопасности.

Идентификация, анализ и оценивание рисков нарушения ИБ должны основываться на идентификации активов банка, на их ценности для целей и задач банка, на моделях угроз и нарушителей ИБ банка.

При принятии решений о внедрении защитных мер для противодействия идентифицированным угрозам необходимо учитывать, что тем самым одновременно может увеличиваться сложность системы обеспечения информационной безопасности банка, что, в свою очередь, как правило, порождает новые риски. Поэтому при выборе решения о внедрении защитных мер для обработки существующих рисков должны учитываться вопросы эксплуатации защитных мер и их влияния на общую структуру рисков организации.

Тщательное удаление информации и очищение памяти после работы приложений (этому подвержены также диски, дискеты, USB-накопители, мобильные жесткие диски).
Функция регистрации и учета предназначена для фиксирования обращений к защищаемым ресурсам, что позволяет позже расследовать инциденты, связанные с утечкой или утратой информации ограниченного доступа.
И еще исключительно важная задача СЗИ от НСД – это контроль и обеспечение целостности системы. В случае если программные или аппаратные компоненты системы подвергались модификации, правильность выполнения основной функции системы может быть поставлена под сомнение, поэтому необходимо, чтобы перед стартом компоненты системы сравнивались с эталоном и, в случае обнаружения расхождений, пользователь оповещается о несанкционированной модификации системы и дальнейшая работа системы блокировалась.

---

Программные и аппаратные средства позволяющие применять современные технологии аутентификации пользователей и предоставления доступа к информационным системам, а так же управление созданием и изменениями учетных записей пользователей в ИТ-системах.

Банки осуществляют свою деятельность путём реализации совокупности процессов, среди которых возможно выделение следующих групп:

• основные процессы, обеспечивающие достижение целей и задач банка;
• вспомогательные процессы, обеспечивающие качество, в
том числе обеспечение ИБ банка;
• процессы менеджмента, обеспечивающие поддержку параметров основных и вспомогательных процессов в заданных пределах и их корректировку в случае изменения внешних или внутренних условий.

Такое разделение процессов является условным, так как основные и вспомогательные процессы нередко образуют единое целое, например, функционирование защитных мер составляет часть группы основных процессов. В то же время процессы менеджмента отделены от основных и вспомогательных процессов, которые являются объектами менеджмента.

Совокупность защитных мер, реализующих обеспечение ИБ банка, и процессов их эксплуатации, включая ресурсное и административное (организационное) обеспечение, составляет систему информационной безопасности банка. Совокупность процессов менеджмента ИБ, включая ресурсное и административное (организационное) обеспечение этих процессов, составляет систему менеджмента информационной безопасности банка. Совокупность системы информационной безопасности и системы менеджмента информационной безопасности составляет систему обеспечения информационной безопасности банка.

Процессы эксплуатации защитных мер функционируют в реальном времени. Совокупность защитных мер и процессов их эксплуатации должна обеспечивать текущий требуемый уровень ИБ в условиях штатного функционирования, а также в условиях реализации угроз, учтенных в моделях банка и приводящих к возникновению:

• локальных инцидентов ИБ;
• широкомасштабных катастроф и аварий различной природы, последствия которых могут иметь отношение к ИБ банка.

Система обеспечения информационной безопасности должна быть определена, спланирована и регламентирована в банке. Однако даже правильно выстроенные процессы и используемые защитные меры в силу объективных причин со временем имеют тенденцию к ослаблению своей эффективности. Это неминуемо ведет к деградации системы защиты и возрастанию рисков нарушения ИБ. Для поддержания системы защиты на должном уровне в качестве оперативной меры используется мониторинг событий и инцидентов в системе информационной безопасности. Менеджмент событий и инцидентов безопасности, полученных в результате мониторинга ИБ, позволяет избежать деградации и обеспечить требуемый уровень безопасности активов.

---

Для оценки состояния ИБ защищаемого актива и выявления признаков деградации используемых защитных мер проводится оценка (самооценка) соответствия системы требованиям настоящего стандарта.

Для реализации и поддержания ИБ в банке необходима реализация четырех групп процессов:

• планирование системы обеспечения информационной безопасности (“планирование”);
• реализация системы обеспечения информационной безопасности (“реализация”);
• мониторинг и анализ системы обеспечения информационной безопасности (“проверка”);
• поддержка и улучшение системы обеспечения информационной безопасности (“совершенствование”).

Тщательное удаление информации и очищение памяти после работы приложений (этому подвержены также диски, дискеты, USB-накопители, мобильные жесткие диски).
Функция регистрации и учета предназначена для фиксирования обращений к защищаемым ресурсам, что позволяет позже расследовать инциденты, связанные с утечкой или утратой информации ограниченного доступа.
И еще исключительно важная задача СЗИ от НСД – это контроль и обеспечение целостности системы. В случае если программные или аппаратные компоненты системы подвергались модификации, правильность выполнения основной функции системы может быть поставлена под сомнение, поэтому необходимо, чтобы перед стартом компоненты системы сравнивались с эталоном и, в случае обнаружения расхождений, пользователь оповещается о несанкционированной модификации системы и дальнейшая работа системы блокировалась.

Программные и аппаратные средства позволяющие применять современные технологии аутентификации пользователей и предоставления доступа к информационным системам, а так же управление созданием и изменениями учетных записей пользователей в ИТ-системах.

Указанные группы процессов составляют систему менеджмента информационной безопасности банка.

Тщательное удаление информации и очищение памяти после работы приложений (этому подвержены также диски, дискеты, USB-накопители, мобильные жесткие диски).
Функция регистрации и учета предназначена для фиксирования обращений к защищаемым ресурсам, что позволяет позже расследовать инциденты, связанные с утечкой или утратой информации ограниченного доступа.
И еще исключительно важная задача СЗИ от НСД – это контроль и обеспечение целостности системы. В случае если программные или аппаратные компоненты системы подвергались модификации, правильность выполнения основной функции системы может быть поставлена под сомнение, поэтому необходимо, чтобы перед стартом компоненты системы сравнивались с эталоном и, в случае обнаружения расхождений, пользователь оповещается о несанкционированной модификации системы и дальнейшая работа системы блокировалась.

---

Программные и аппаратные средства позволяющие применять современные технологии аутентификации пользователей и предоставления доступа к информационным системам, а так же управление созданием и изменениями учетных записей пользователей в ИТ-системах.

Менеджмент ИБ есть часть общего корпоративного менеджмента банка, которая ориентирована на содействие достижению целей деятельности организации через обеспечение защищённости её информационной сферы. Группы процессов системы менеджмента информационной безопасности следует организовывать в виде циклической модели Деминга «… — планирование — реализация — проверка — совершенствование — планирование — …», Организация и выполнение процессов системы менеджмента информационной безопасности необходимы в
том числе для обеспечения уверенности в
том, что хороший практический опыт банка документируется, становится обязательным к применению, а система обеспечения информационной безопасности совершенствуется.

Основой для построения системы обеспечения информационной безопасности банка являются требования законодательства Российской Федерации, нормативные акты Банка России, контрактные требования банка, а также условия ведения бизнеса, выраженные на основе идентификации активов банка, построения модели нарушителей и угроз.

Рисунок 1 иллюстрирует взаимосвязь Системы информационной безопасности, системы менеджмента информационной безопасности и системы обеспечения информационной безопасности.

Руководству банка необходимо инициировать, поддерживать и контролировать выполнение процессов системы обеспечения информационной безопасности.

с целью уничтожения персональных данных Банком создается Комиссия из числа работников Банка, выявляющая перечень субъектов персональных данных, информация о которых подлежит уничтожению, ИСПДн, в которых производится обработка указанной информации, а также носители персональных данных, подлежащие уничтожению.

В случае выявления ИСПДн, содержащих сведения о субъектах персональных данных, информация о которых подлежит уничтожению, производится удаление указанных сведений из соответствующих ИСПДн. Результаты удаления фиксируются в Акте удаления персональных данных (по форме Приложения 9 к настоящему Положению).

В случае выявления носителей персональных данных, содержащих сведения о субъектах персональных данных, информация о которых подлежит уничтожению, при возможности и целесообразности производится уничтожение информации на носителях персональных данных с помощью программного обеспечения гарантированного уничтожения информации, в противном случае производится уничтожение указанных носителей персональных данных. Результаты уничтожения фиксируются в Акте уничтожения носителей персональных данных В случае поступления в Банк запроса­ субъекта ПДн, удовлетворяющего требованиям Федерального закона «О персональных данных», Руководитель подразделения, в которое поступило обращение, сообщает о наличии либо отсутствии обработки Банком персональных данных, относящихся к соответствующему субъекту ПДн путем направления Ответа о наличии обработки персональных данных (по форме Приложения 1 к настоящему Положению) либо Ответа об отсутствии обработки персональных данных (по форме Приложения 2 к настоящему Положению) соответственно.
В случае осуществления Банком обработки персональных данных, Банк также предоставляет возможность ознакомления с ними при обращении субъекта ПДн или его законного представителя в течение 30 (тридцати) рабочих дней с момента получения Банком запроса субъекта ПДн или его законного представителя. В случае отказа в предоставлении информации Руководитель подразделения сообщает об этом субъекту ПДн либо его законному представителю путем направления мотивированного Ответа об отказе в предоставлении информации о наличии обработки персональных данных  При обработке Банком персональных­ данных субъект ПДн имеет право:
- ознакомиться со своими персональными данными, обрабатываемыми Банком;
- получить информацию о способах, правовых основаниях и целях обработки персональных данных, о лицах (исключая работников Банка). Наряду с обеспечением конфиденциальности сведений, составляющих персональные данные, Банк предоставляет указанные сведения самому субъекту ПДн или его представителю, а также государственным органам и их должностным лицам, организациям в случаях и в порядке, предусмотренном законодательством Российской Федерации. Банк предоставляет на безвозмездной основе сведения, составляющие персональные данные, государственным органам и их должностным лицам, организациям в рамках их компетенции, определенной законодательством Российской Федерации, при поступлении в Банк оригинала оформленного надлежащим образом мотивированного запроса в письменной форме.
Работники Банка, ответственные за обработку и хранение персональных данных, имеющие доступ к персональными данными в силу своих должностных обязанностей, при приеме на работу подписывают «Обязательство о соблюдении требований обращения с конфиденциальной информацией»­ [9.2.2], за исключением случаев, когда аналогичные требования отражены в трудовом договоре или должностных обязанностях.. Оригиналы подписанных «Обязательств о соблюдении требований обращения с конфиденциальной информацией» хранятся в Отделе по работе с персоналом Банка.

---