ВУЗ: Не указан

Категория: Не указан

Дисциплина: Не указана

Добавлен: 28.07.2021

Просмотров: 421

Скачиваний: 1

ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.


  1. Стандарты Центрального Банка России по обеспечению информационной безопасности кредитно–финансовой сферы

В 2004 году (а затем с внесенными поправками в 2006 году) банковскому сообществу был предложен стандарт Банка России «Обеспечение информационной безопасности организаций банковской системы РФ или СТО БР ИББС», кот призван предотвратить возникновение угроз в системе информационной безопасности банков и связанных с ними рисков. Сегодня система стандартов насчитывает уже пять документов, включая стандарт аудита, методику оценок соответствия требованиям Стандарта, а также соответствующие рекомендации по стандартизации (РС).

Таблица 1

Обеспечение информационной безопасности организаций банковской системы Российской Федерации Стандарты (СТО) и рекомендации по стандартизации (РС)

Классификатор

СТО БР ИББС – 0.0

Термины и определения

СТО БР ИББС – 0.1

Общие положения

СТО БР ИББС – 1.0

Аудит информационной безопасности

СТО БР ИББС – 1.1

Методика оценки соответствия

СТО БР ИББС – 1.2

Документы по обеспечению информационной безопасности

РС БР ИББС – 2.0

Руководство по самооценке

РС БР ИББС – 2.1

Методика классификации активов

РС БР ИББС – 2.2

Методика оценки рисков

РС БР ИББС – 2.3




В основу комплекса стандартов положена идеология международного стандарта качества ISO (The International Organization for Standartization) серии 9000. Смысл этого стандарта заключается в следующем: если при производстве какого–либо продукта обеспечены и контролируются постоянные условия производства, то качество продукции будет всегда соответствовать исходным, заранее заданным требованиям. Идеология международной системы стандартов серии ISO 9000 была положена в основу идеологии стандартов COBIT, ISO/IES 17799, 15408, а затем и серии 27000, которые являются основополагающими стандартами информационной безопасности.

Следующее, что положено в основу идеологии стандартов безопасности Банка России – риски информационной безопасности, которые в соответствии с рекомендациями Базель II входят в операционные риски.

Для разработки стандарта были проведены исследования зарубежных аналогов, лучших практик национальных стандартов, международных стандартов ISO, выполнены научно–исследовательские работы, был создан специальный подкомитет по стандартизации (подкомитет № 3 «Защита информации в кредитно–финансовой сфере» Технического комитета № 362 «Защита информации» Федеральной службы по техническому регулированию и метрологии).

Подкомитет является постоянно действующим органом, обеспечивающим на государственном уровне разработку, согласование, подготовку к утверждению и экспертизу документов в области стандартизации по защите информации и обеспечения информационной безопасности в кредитно–финансовой сфере Российской Федерации. Сегодня он включает более двадцати крупнейших кредитных организаций плюс организации, занимающие значимое место на рынке средств и услуг в области информационной безопасности, и представители органов технического регулирования.


Кроме того, чтобы поддержать процедуру внедрения Стандарта в практической деятельности, было создано сообщество ABISS (Association for Banking Information Security Standards) – Сообщество пользователей стандартов Центрального Банка РФ по обеспечению информационной безопасности организаций банковской системы РФ. В сообщество вошли все заинтересованные кредитно-финансовые организации, в том числе и многие банки.



  1. Принципы обеспечения информационной безопасности по Стандарту Банка России (не очень внятный ответ, все в куче, но лучшего нет)

Зачем нужен стандарт?

Банк работает с деньгами других экономических и финансовых субъектов. В случае возникновения у него серьезных трудностей, о которых непременно и очень быстро станет известно, другие кредитные учреждения будут вынуждены закрыть ему линии рефинансирования, клиентов же это побудит забрать либо не возобновлять свои вклады – а это неизбежно приведет к кризису ликвидности. Дестабилизация работы даже одного из ее компонентов может привести к системному обвалу, что уже создает угрозу государству.

Основные принципы обеспечения ИБ Cтандарта.

Общие принципы безопасного функционирования организации, отражают суть понятия «информационная безопасность организации банковской системы РФ», которое в стандарте определено как «состояние защищенности интересов (целей) организации банковской системы (БС) РФ в условиях угроз в информационной сфере».

В частности они ориентированы на то, чтобы не допустить таких ситуаций, когда в системе собственника устанавливается сверхмощная, дорогая и сертифицированная по высочайшему уровню система управления доступом, а на поверке через месяц оказывается, что в системе всем и все разрешено. При этом собственник остается уверенным, что он, вложив значительные средства, имеет надежную систему безопасности, а на практике все обстоит иначе. Таким образом, в систему должны устанавливаться только те защитные меры, правильность работы которых может быть проверена.

Модели угроз и нарушителей ИБ стандарта.

Деятельность организации БС РФ поддерживается входящей в ее состав информационной инфраструктурой, которая обеспечивает реализацию банковских технологий и может быть представлена в виде иерархии следующих основных уровней:

физического (линии связи, аппаратные средства и пр.);

сетевого (сетевые аппаратные средства: маршрутизаторы, коммутаторы, концентраторы и пр.);

сетевых приложений и сервисов;

операционных систем (ОС);

систем управления базами данных (СУБД);

банковских технологических процессов и приложений;

бизнес–процессов организации.

При этом на каждом из перечисленных уровней угрозы и их источники (в том числе злоумышленники), методы и средства защиты и подходы к оценке эффективности являются различными. Организация должна определить конкретные объекты защиты на каждом из уровней информационной инфраструктуры.


Также положениями стандарта определено, возможна разработка моделей угроз и нарушителей ИБ для данной организации. Требования к модели угроз ИБ, включающие описание источников угрозы, уязвимостей, используемых угрозами, методов и объектов нападений, пригодных для реализации угрозы, типов возможной потери, масштабов потенциального ущерба, основываются на соответствующих требованиях стандартов международных стандартов.

Для источников угроз – людей может быть разработана модель злоумышленников (нарушителей), включающая описание опыта, знаний, доступных ресурсов, необходимых для реализации угрозы, и возможной мотивации их действий.

Политика ИБ стандарта.

В стандарт включены общие требования (правила) ИБ по следующим восьми областям, которые должны найти отражение в политике ИБ организации:

1. назначение и распределение ролей и обеспечение доверия к персоналу;

2. ИБ автоматизированных банковских систем на стадиях жизненного цикла;

3. обеспечение ИБ при управлении доступом и регистрация;

4. обеспечение ИБ средствами антивирусной защиты;

5. обеспечение ИБ при использовании ресурсов сети Интернет;

6. обеспечение ИБ при использовании средств криптографической защиты информации;

7. обеспечение ИБ банковских платежных технологических процессов;

8. обеспечение ИБ банковских информационных технологических процессов.

В то же время в политике ИБ организации могут быть рассмотрены и другие области обеспечения ИБ, которые отвечают ее бизнес–целям.



3. Классификация угроз информационной безопасности банка

Компьютерные преступления в банке – это реализация угроз безопасности информации.

Угрозы делят на общие (характерные для любой информационной системы) и специфические (связанные с функциями кредитной организации). Обобщенно можно привести следующую классификацию:

Природные угрозы :

  • Стихийные бедствия (Нарушение работы инф. системы. Физическое уничтожение людей, носителей )

  • Магнитные бури и Радиоактивное излучение (Воздействие на магнитные носители информации, электронные средства обработки и передачи данных. Отказы и сбои аппаратуры)

Технические :

  • Отключение электропитания (Потери информации)

  • Отказы и сбои аппаратуры (Искажение и потеря информации)

  • Электромагнитные излучения и наводки (Несанкционированный перенос информации за пределы информационной системы)

  • Утечки через каналы связи (за счет имеющейся возможности снятия ее специальными датчиками или посредством прямого подключения.)

Человеческий фактор

  • Непреднамеренные или преднамеренные действия управленческого и обслуживающего персонала, программистов, пользователей информационной системы, службы безопасности и др


Конкретно для банковской системы важными являются следующие специфические угрозы:


несанкционированный доступ посторонних лиц, не принадлежащих к числу банковских служащих, и ознакомление с хранимой конфиденциальной информацией;

ознакомление банковских служащих с информацией, к которой они не должны иметь доступа;

несанкционированное копирование программ и данных;

перехват и последующее раскрытие конфиденциальной информации, передаваемой по каналам связи;

кража магнитных носителей, содержащих конфиденциальную информацию;

кража распечатанных банковских документов;

случайное или умышленное уничтожение информации;

несанкционированная модификация банковскими служащими финансовых документов, отчетности и баз данных.

фальсификация сообщений, передаваемых по каналам связи, в том числе и навязывание ранее переданного сообщения;

отказ от авторства сообщения, переданного по каналам связи;

отказ от факта получения информации;

разрушение файловой структуры из–за некорректной работы программ или аппаратных средств;

разрушение информации, вызванное вирусными воздействиями;

разрушение архивной банковской информации, хранящейся на магнитных носителях;

кража оборудования;

ошибки в программном обеспечении;

сбои оборудования, в том числе и за счет отключения электропитания и других факторов, препятствующих работе оборудования.


НА ВСЯКИЙ СЛУЧАЙ КАК СДЕЛАТЬ БЕЗОПАСНО В БАНКЕ

4.1. Организационное обеспечение банковской безопасности

Комплексная система обеспечения банковской безопасности – это совокупность взаимосвязанных мероприятий организационно–правового характера, осуществляемых в целях защиты банка от реальных или потенциальных действий физических и юридических лиц, которые могут привести к существенным потерям.


Основными задачами системы безопасности являются:

  • обеспечение безопасности функционирования банка

  • организация специального делопроизводства, исключающего несанкционированное получение конфиденциальных сведений;

  • выявление и локализация возможных каналов разглашения, утечки и несанкционированного доступа к конфиденциальной информации в процессе повседневной деятельности и в экстремальных ситуациях;

  • обеспечение режима безопасности при проведении всех видов деятельности, включая встречи, переговоры, совещания, связанные с деловым сотрудничеством на национальном и международном уровне;

  • обеспечение охраны зданий, помещений, оборудования и технических средств обеспечения производственной деятельности;

  • обеспечение безопасности персонала;

Система безопасности действует на основе следующих организационно–правовых документов:

  • Устава банка;

  • Положения о системе безопасности;

  • Руководства по защите конфиденциальной информации;

  • Инструкции о порядке работы с иностранными специалистами;

  • Руководства по инженерно–технической защите помещений и технических средств.



4.2. Инженерно–техническое обеспечение безопасности банка

К основным средствам инженерно–технической защиты информации относятся:

физические средства защиты;

аппаратные средства защиты;

программные средства защиты;

математические (криптографические) методы защиты.


Указанные средства применяются для решения следующих задач:

охраны территории и наблюдения за ней;

охраны зданий, внутренних помещений и наблюдения за ними;

охрана оборудования, хранилищ и перемещаемых носителей и к осуществления контролируемого доступа в защищаемые зоны, охраняемые помещения и хранилища;

создания препятствия визуальному наблюдению;

исключения возможности перехвата электромагнитных излучений средств связи, обработки информации и электронно–вычислительной техники.



5. Компьютерные преступления

Наиболее часто проблемы с защитой такого рода информации возникают из–за массового использования средств вычислительной техники с программным обеспечением, позволяющим сравнительно легко модифицировать, уничтожать или копировать обрабатываемую информацию.

Классификация компьютерных преступлений

1. Кража:

технических средств (винчестеров, ноутбуков, системных блоков);

носителей информации (бумажных, магнитных, оптических и пр.);

информации (чтение и несанкционированное копирование);

средств доступа (ключи, пароли, ключевая документация и пр.).


2. Подмена (модификация):

операционных систем;

систем управления базами данных;

прикладных программ;

информации (данных), отрицание факта отправки сообщений;

паролей и правил доступа.


3. Уничтожение (разрушение):

технических средств (винчестеров, ноутбуков, системных блоков);

носителей информации (бумажных, магнитных, оптических и пр.);

программного обеспечения (ОС, СУБД, прикладного ПО);

информации (файлов, данных);

паролей и ключевой информации.


  1. Нарушение нормальной работы (прерывание):


скорости обработки информации;

пропускной способности каналов связи;

объемов свободной оперативной памяти;

объемов свободного дискового пространства;

электропитания технических средств.

5. Ошибки:

при инсталляции ПО, ОС, СУБД;

при написании прикладного ПО;

при эксплуатации ПО;

при эксплуатации технических средств.


6. Перехват информации (несанкционированный):

за счет ПЭМИ от технических средств;

за счет наводок по линиям электропитания;

за счет наводок по посторонним проводникам;

по акустическому каналу от средств вывода;

по акустическому каналу при обсуждении вопросов;

при подключении к каналам передачи информации;

за счет нарушения установленных правил доступа (взлом).


В последние годы наметилась устойчивая тенденция объединения лиц, причастных к преступной деятельности в сфере компьютерной информации, для совершения крупномасштабных преступлений. Такие союзы носят ярко выраженные признаки организованных преступных групп, участники которых лично не знакомы и осуществляют конспиративную связь друг с другом через Интернет.


Смотрите также файлы