Файл: Bezopasnost (1).doc

1. Стандарты Центрального Банка России по обеспечению информационной безопасности кредитно–финансовой сферы

В 2004 году (а затем с внесенными поправками в 2006 году) банковскому сообществу был предложен стандарт Банка России «Обеспечение информационной безопасности организаций банковской системы РФ или СТО БР ИББС», кот призван предотвратить возникновение угроз в системе информационной безопасности банков и связанных с ними рисков. Сегодня система стандартов насчитывает уже пять документов, включая стандарт аудита, методику оценок соответствия требованиям Стандарта, а также соответствующие рекомендации по стандартизации (РС).

Таблица 1

В основу комплекса стандартов положена идеология международного стандарта качества ISO (The International Organization for Standartization) серии 9000. Смысл этого стандарта заключается в следующем: если при производстве какого–либо продукта обеспечены и контролируются постоянные условия производства, то качество продукции будет всегда соответствовать исходным, заранее заданным требованиям. Идеология международной системы стандартов серии ISO 9000 была положена в основу идеологии стандартов COBIT, ISO/IES 17799, 15408, а затем и серии 27000, которые являются основополагающими стандартами информационной безопасности.

Следующее, что положено в основу идеологии стандартов безопасности Банка России – риски информационной безопасности, которые в соответствии с рекомендациями Базель II входят в операционные риски.

Для разработки стандарта были проведены исследования зарубежных аналогов, лучших практик национальных стандартов, международных стандартов ISO, выполнены научно–исследовательские работы, был создан специальный подкомитет по стандартизации (подкомитет № 3 «Защита информации в кредитно–финансовой сфере» Технического комитета № 362 «Защита информации» Федеральной службы по техническому регулированию и метрологии).

Подкомитет является постоянно действующим органом, обеспечивающим на государственном уровне разработку, согласование, подготовку к утверждению и экспертизу документов в области стандартизации по защите информации и обеспечения информационной безопасности в кредитно–финансовой сфере Российской Федерации. Сегодня он включает более двадцати крупнейших кредитных организаций плюс организации, занимающие значимое место на рынке средств и услуг в области информационной безопасности, и представители органов технического регулирования.

Кроме того, чтобы поддержать процедуру внедрения Стандарта в практической деятельности, было создано сообщество ABISS (Association for Banking Information Security Standards) – Сообщество пользователей стандартов Центрального Банка РФ по обеспечению информационной безопасности организаций банковской системы РФ. В сообщество вошли все заинтересованные кредитно-финансовые организации, в том числе и многие банки.

2. Принципы обеспечения информационной безопасности по Стандарту Банка России (не очень внятный ответ, все в куче, но лучшего нет)

Зачем нужен стандарт?

Банк работает с деньгами других экономических и финансовых субъектов. В случае возникновения у него серьезных трудностей, о которых непременно и очень быстро станет известно, другие кредитные учреждения будут вынуждены закрыть ему линии рефинансирования, клиентов же это побудит забрать либо не возобновлять свои вклады – а это неизбежно приведет к кризису ликвидности. Дестабилизация работы даже одного из ее компонентов может привести к системному обвалу, что уже создает угрозу государству.

Основные принципы обеспечения ИБ Cтандарта.

Общие принципы безопасного функционирования организации, отражают суть понятия «информационная безопасность организации банковской системы РФ», которое в стандарте определено как «состояние защищенности интересов (целей) организации банковской системы (БС) РФ в условиях угроз в информационной сфере».

В частности они ориентированы на то, чтобы не допустить таких ситуаций, когда в системе собственника устанавливается сверхмощная, дорогая и сертифицированная по высочайшему уровню система управления доступом, а на поверке через месяц оказывается, что в системе всем и все разрешено. При этом собственник остается уверенным, что он, вложив значительные средства, имеет надежную систему безопасности, а на практике все обстоит иначе. Таким образом, в систему должны устанавливаться только те защитные меры, правильность работы которых может быть проверена.

Модели угроз и нарушителей ИБ стандарта.

Деятельность организации БС РФ поддерживается входящей в ее состав информационной инфраструктурой, которая обеспечивает реализацию банковских технологий и может быть представлена в виде иерархии следующих основных уровней:

– физического (линии связи, аппаратные средства и пр.);

– сетевого (сетевые аппаратные средства: маршрутизаторы, коммутаторы, концентраторы и пр.);

– сетевых приложений и сервисов;

– операционных систем (ОС);

– систем управления базами данных (СУБД);

– банковских технологических процессов и приложений;

– бизнес–процессов организации.

При этом на каждом из перечисленных уровней угрозы и их источники (в том числе злоумышленники), методы и средства защиты и подходы к оценке эффективности являются различными. Организация должна определить конкретные объекты защиты на каждом из уровней информационной инфраструктуры.

Также положениями стандарта определено, возможна разработка моделей угроз и нарушителей ИБ для данной организации. Требования к модели угроз ИБ, включающие описание источников угрозы, уязвимостей, используемых угрозами, методов и объектов нападений, пригодных для реализации угрозы, типов возможной потери, масштабов потенциального ущерба, основываются на соответствующих требованиях стандартов международных стандартов.

Для источников угроз – людей может быть разработана модель злоумышленников (нарушителей), включающая описание опыта, знаний, доступных ресурсов, необходимых для реализации угрозы, и возможной мотивации их действий.

Политика ИБ стандарта.

В стандарт включены общие требования (правила) ИБ по следующим восьми областям, которые должны найти отражение в политике ИБ организации:

1. назначение и распределение ролей и обеспечение доверия к персоналу;

2. ИБ автоматизированных банковских систем на стадиях жизненного цикла;

3. обеспечение ИБ при управлении доступом и регистрация;

4. обеспечение ИБ средствами антивирусной защиты;

5. обеспечение ИБ при использовании ресурсов сети Интернет;

6. обеспечение ИБ при использовании средств криптографической защиты информации;

7. обеспечение ИБ банковских платежных технологических процессов;

8. обеспечение ИБ банковских информационных технологических процессов.

В то же время в политике ИБ организации могут быть рассмотрены и другие области обеспечения ИБ, которые отвечают ее бизнес–целям.

3. Классификация угроз информационной безопасности банка

Компьютерные преступления в банке – это реализация угроз безопасности информации.

Угрозы делят на общие (характерные для любой информационной системы) и специфические (связанные с функциями кредитной организации). Обобщенно можно привести следующую классификацию:

Природные угрозы :

• Стихийные бедствия (Нарушение работы инф. системы. Физическое уничтожение людей, носителей )

• Магнитные бури и Радиоактивное излучение (Воздействие на магнитные носители информации, электронные средства обработки и передачи данных. Отказы и сбои аппаратуры)

Технические :

• Отключение электропитания (Потери информации)

• Отказы и сбои аппаратуры (Искажение и потеря информации)

• Электромагнитные излучения и наводки (Несанкционированный перенос информации за пределы информационной системы)

• Утечки через каналы связи (за счет имеющейся возможности снятия ее специальными датчиками или посредством прямого подключения.)

Человеческий фактор

• Непреднамеренные или преднамеренные действия управленческого и обслуживающего персонала, программистов, пользователей информационной системы, службы безопасности и др

Конкретно для банковской системы важными являются следующие специфические угрозы:

– несанкционированный доступ посторонних лиц, не принадлежащих к числу банковских служащих, и ознакомление с хранимой конфиденциальной информацией;

– ознакомление банковских служащих с информацией, к которой они не должны иметь доступа;

– несанкционированное копирование программ и данных;

– перехват и последующее раскрытие конфиденциальной информации, передаваемой по каналам связи;

– кража магнитных носителей, содержащих конфиденциальную информацию;

– кража распечатанных банковских документов;

– случайное или умышленное уничтожение информации;

– несанкционированная модификация банковскими служащими финансовых документов, отчетности и баз данных.

– фальсификация сообщений, передаваемых по каналам связи, в том числе и навязывание ранее переданного сообщения;

– отказ от авторства сообщения, переданного по каналам связи;

– отказ от факта получения информации;

– разрушение файловой структуры из–за некорректной работы программ или аппаратных средств;

– разрушение информации, вызванное вирусными воздействиями;

– разрушение архивной банковской информации, хранящейся на магнитных носителях;

– кража оборудования;

– ошибки в программном обеспечении;

– сбои оборудования, в том числе и за счет отключения электропитания и других факторов, препятствующих работе оборудования.

НА ВСЯКИЙ СЛУЧАЙ КАК СДЕЛАТЬ БЕЗОПАСНО В БАНКЕ

4.1. Организационное обеспечение банковской безопасности

Комплексная система обеспечения банковской безопасности – это совокупность взаимосвязанных мероприятий организационно–правового характера, осуществляемых в целях защиты банка от реальных или потенциальных действий физических и юридических лиц, которые могут привести к существенным потерям.

Основными задачами системы безопасности являются:

• обеспечение безопасности функционирования банка

• организация специального делопроизводства, исключающего несанкционированное получение конфиденциальных сведений;

• выявление и локализация возможных каналов разглашения, утечки и несанкционированного доступа к конфиденциальной информации в процессе повседневной деятельности и в экстремальных ситуациях;

• обеспечение режима безопасности при проведении всех видов деятельности, включая встречи, переговоры, совещания, связанные с деловым сотрудничеством на национальном и международном уровне;

• обеспечение охраны зданий, помещений, оборудования и технических средств обеспечения производственной деятельности;

• обеспечение безопасности персонала;

Система безопасности действует на основе следующих организационно–правовых документов:

• Устава банка;

• Положения о системе безопасности;

• Руководства по защите конфиденциальной информации;

• Инструкции о порядке работы с иностранными специалистами;

• Руководства по инженерно–технической защите помещений и технических средств.

4.2. Инженерно–техническое обеспечение безопасности банка

К основным средствам инженерно–технической защиты информации относятся:

 физические средства защиты;

 аппаратные средства защиты;

 программные средства защиты;

 математические (криптографические) методы защиты.

Указанные средства применяются для решения следующих задач:

 охраны территории и наблюдения за ней;

 охраны зданий, внутренних помещений и наблюдения за ними;

 охрана оборудования, хранилищ и перемещаемых носителей и к осуществления контролируемого доступа в защищаемые зоны, охраняемые помещения и хранилища;

 создания препятствия визуальному наблюдению;

 исключения возможности перехвата электромагнитных излучений средств связи, обработки информации и электронно–вычислительной техники.

5. Компьютерные преступления

Наиболее часто проблемы с защитой такого рода информации возникают из–за массового использования средств вычислительной техники с программным обеспечением, позволяющим сравнительно легко модифицировать, уничтожать или копировать обрабатываемую информацию.

Классификация компьютерных преступлений

1. Кража:

 технических средств (винчестеров, ноутбуков, системных блоков);

 носителей информации (бумажных, магнитных, оптических и пр.);

 информации (чтение и несанкционированное копирование);

 средств доступа (ключи, пароли, ключевая документация и пр.).

2. Подмена (модификация):

 операционных систем;

 систем управления базами данных;

 прикладных программ;

 информации (данных), отрицание факта отправки сообщений;

 паролей и правил доступа.

3. Уничтожение (разрушение):

 технических средств (винчестеров, ноутбуков, системных блоков);

 носителей информации (бумажных, магнитных, оптических и пр.);

 программного обеспечения (ОС, СУБД, прикладного ПО);

 информации (файлов, данных);

 паролей и ключевой информации.

3. Нарушение нормальной работы (прерывание):

скорости обработки информации;

 пропускной способности каналов связи;

 объемов свободной оперативной памяти;

 объемов свободного дискового пространства;

 электропитания технических средств.

5. Ошибки:

 при инсталляции ПО, ОС, СУБД;

 при написании прикладного ПО;

 при эксплуатации ПО;

 при эксплуатации технических средств.

6. Перехват информации (несанкционированный):

 за счет ПЭМИ от технических средств;

 за счет наводок по линиям электропитания;

 за счет наводок по посторонним проводникам;

 по акустическому каналу от средств вывода;

 по акустическому каналу при обсуждении вопросов;

 при подключении к каналам передачи информации;

 за счет нарушения установленных правил доступа (взлом).

В последние годы наметилась устойчивая тенденция объединения лиц, причастных к преступной деятельности в сфере компьютерной информации, для совершения крупномасштабных преступлений. Такие союзы носят ярко выраженные признаки организованных преступных групп, участники которых лично не знакомы и осуществляют конспиративную связь друг с другом через Интернет.