ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 28.07.2021
Просмотров: 422
Скачиваний: 1
-
Стандарты Центрального Банка России по обеспечению информационной безопасности кредитно–финансовой сферы
В 2004 году (а затем с внесенными поправками в 2006 году) банковскому сообществу был предложен стандарт Банка России «Обеспечение информационной безопасности организаций банковской системы РФ или СТО БР ИББС», кот призван предотвратить возникновение угроз в системе информационной безопасности банков и связанных с ними рисков. Сегодня система стандартов насчитывает уже пять документов, включая стандарт аудита, методику оценок соответствия требованиям Стандарта, а также соответствующие рекомендации по стандартизации (РС).
Таблица 1
Обеспечение информационной безопасности организаций банковской системы Российской Федерации Стандарты (СТО) и рекомендации по стандартизации (РС) |
|||
Классификатор СТО БР ИББС – 0.0 |
Термины и определения СТО БР ИББС – 0.1 |
||
Общие положения СТО БР ИББС – 1.0 |
Аудит информационной безопасности СТО БР ИББС – 1.1 |
Методика оценки соответствия СТО БР ИББС – 1.2 |
|
Документы по обеспечению информационной безопасности РС БР ИББС – 2.0 |
Руководство по самооценке РС БР ИББС – 2.1 |
||
Методика классификации активов РС БР ИББС – 2.2 |
Методика оценки рисков РС БР ИББС – 2.3 |
В основу комплекса стандартов положена идеология международного стандарта качества ISO (The International Organization for Standartization) серии 9000. Смысл этого стандарта заключается в следующем: если при производстве какого–либо продукта обеспечены и контролируются постоянные условия производства, то качество продукции будет всегда соответствовать исходным, заранее заданным требованиям. Идеология международной системы стандартов серии ISO 9000 была положена в основу идеологии стандартов COBIT, ISO/IES 17799, 15408, а затем и серии 27000, которые являются основополагающими стандартами информационной безопасности.
Следующее, что положено в основу идеологии стандартов безопасности Банка России – риски информационной безопасности, которые в соответствии с рекомендациями Базель II входят в операционные риски.
Для разработки стандарта были проведены исследования зарубежных аналогов, лучших практик национальных стандартов, международных стандартов ISO, выполнены научно–исследовательские работы, был создан специальный подкомитет по стандартизации (подкомитет № 3 «Защита информации в кредитно–финансовой сфере» Технического комитета № 362 «Защита информации» Федеральной службы по техническому регулированию и метрологии).
Подкомитет является постоянно действующим органом, обеспечивающим на государственном уровне разработку, согласование, подготовку к утверждению и экспертизу документов в области стандартизации по защите информации и обеспечения информационной безопасности в кредитно–финансовой сфере Российской Федерации. Сегодня он включает более двадцати крупнейших кредитных организаций плюс организации, занимающие значимое место на рынке средств и услуг в области информационной безопасности, и представители органов технического регулирования.
Кроме того, чтобы поддержать процедуру внедрения Стандарта в практической деятельности, было создано сообщество ABISS (Association for Banking Information Security Standards) – Сообщество пользователей стандартов Центрального Банка РФ по обеспечению информационной безопасности организаций банковской системы РФ. В сообщество вошли все заинтересованные кредитно-финансовые организации, в том числе и многие банки.
-
Принципы обеспечения информационной безопасности по Стандарту Банка России (не очень внятный ответ, все в куче, но лучшего нет)
Зачем нужен стандарт?
Банк работает с деньгами других экономических и финансовых субъектов. В случае возникновения у него серьезных трудностей, о которых непременно и очень быстро станет известно, другие кредитные учреждения будут вынуждены закрыть ему линии рефинансирования, клиентов же это побудит забрать либо не возобновлять свои вклады – а это неизбежно приведет к кризису ликвидности. Дестабилизация работы даже одного из ее компонентов может привести к системному обвалу, что уже создает угрозу государству.
Основные принципы обеспечения ИБ Cтандарта.
Общие принципы безопасного функционирования организации, отражают суть понятия «информационная безопасность организации банковской системы РФ», которое в стандарте определено как «состояние защищенности интересов (целей) организации банковской системы (БС) РФ в условиях угроз в информационной сфере».
В частности они ориентированы на то, чтобы не допустить таких ситуаций, когда в системе собственника устанавливается сверхмощная, дорогая и сертифицированная по высочайшему уровню система управления доступом, а на поверке через месяц оказывается, что в системе всем и все разрешено. При этом собственник остается уверенным, что он, вложив значительные средства, имеет надежную систему безопасности, а на практике все обстоит иначе. Таким образом, в систему должны устанавливаться только те защитные меры, правильность работы которых может быть проверена.
Модели угроз и нарушителей ИБ стандарта.
Деятельность организации БС РФ поддерживается входящей в ее состав информационной инфраструктурой, которая обеспечивает реализацию банковских технологий и может быть представлена в виде иерархии следующих основных уровней:
– физического (линии связи, аппаратные средства и пр.);
– сетевого (сетевые аппаратные средства: маршрутизаторы, коммутаторы, концентраторы и пр.);
– сетевых приложений и сервисов;
– операционных систем (ОС);
– систем управления базами данных (СУБД);
– банковских технологических процессов и приложений;
– бизнес–процессов организации.
При этом на каждом из перечисленных уровней угрозы и их источники (в том числе злоумышленники), методы и средства защиты и подходы к оценке эффективности являются различными. Организация должна определить конкретные объекты защиты на каждом из уровней информационной инфраструктуры.
Также положениями стандарта определено, возможна разработка моделей угроз и нарушителей ИБ для данной организации. Требования к модели угроз ИБ, включающие описание источников угрозы, уязвимостей, используемых угрозами, методов и объектов нападений, пригодных для реализации угрозы, типов возможной потери, масштабов потенциального ущерба, основываются на соответствующих требованиях стандартов международных стандартов.
Для источников угроз – людей может быть разработана модель злоумышленников (нарушителей), включающая описание опыта, знаний, доступных ресурсов, необходимых для реализации угрозы, и возможной мотивации их действий.
Политика ИБ стандарта.
В стандарт включены общие требования (правила) ИБ по следующим восьми областям, которые должны найти отражение в политике ИБ организации:
1. назначение и распределение ролей и обеспечение доверия к персоналу;
2. ИБ автоматизированных банковских систем на стадиях жизненного цикла;
3. обеспечение ИБ при управлении доступом и регистрация;
4. обеспечение ИБ средствами антивирусной защиты;
5. обеспечение ИБ при использовании ресурсов сети Интернет;
6. обеспечение ИБ при использовании средств криптографической защиты информации;
7. обеспечение ИБ банковских платежных технологических процессов;
8. обеспечение ИБ банковских информационных технологических процессов.
В то же время в политике ИБ организации могут быть рассмотрены и другие области обеспечения ИБ, которые отвечают ее бизнес–целям.
3. Классификация угроз информационной безопасности банка
Компьютерные преступления в банке – это реализация угроз безопасности информации.
Угрозы делят на общие (характерные для любой информационной системы) и специфические (связанные с функциями кредитной организации). Обобщенно можно привести следующую классификацию:
Природные угрозы :
-
Стихийные бедствия (Нарушение работы инф. системы. Физическое уничтожение людей, носителей )
-
Магнитные бури и Радиоактивное излучение (Воздействие на магнитные носители информации, электронные средства обработки и передачи данных. Отказы и сбои аппаратуры)
Технические :
-
Отключение электропитания (Потери информации)
-
Отказы и сбои аппаратуры (Искажение и потеря информации)
-
Электромагнитные излучения и наводки (Несанкционированный перенос информации за пределы информационной системы)
-
Утечки через каналы связи (за счет имеющейся возможности снятия ее специальными датчиками или посредством прямого подключения.)
Человеческий фактор
-
Непреднамеренные или преднамеренные действия управленческого и обслуживающего персонала, программистов, пользователей информационной системы, службы безопасности и др
Конкретно для банковской системы важными являются следующие специфические угрозы:
– несанкционированный доступ посторонних лиц, не принадлежащих к числу банковских служащих, и ознакомление с хранимой конфиденциальной информацией;
– ознакомление банковских служащих с информацией, к которой они не должны иметь доступа;
– несанкционированное копирование программ и данных;
– перехват и последующее раскрытие конфиденциальной информации, передаваемой по каналам связи;
– кража магнитных носителей, содержащих конфиденциальную информацию;
– кража распечатанных банковских документов;
– случайное или умышленное уничтожение информации;
– несанкционированная модификация банковскими служащими финансовых документов, отчетности и баз данных.
– фальсификация сообщений, передаваемых по каналам связи, в том числе и навязывание ранее переданного сообщения;
– отказ от авторства сообщения, переданного по каналам связи;
– отказ от факта получения информации;
– разрушение файловой структуры из–за некорректной работы программ или аппаратных средств;
– разрушение информации, вызванное вирусными воздействиями;
– разрушение архивной банковской информации, хранящейся на магнитных носителях;
– кража оборудования;
– ошибки в программном обеспечении;
– сбои оборудования, в том числе и за счет отключения электропитания и других факторов, препятствующих работе оборудования.
НА ВСЯКИЙ СЛУЧАЙ КАК СДЕЛАТЬ БЕЗОПАСНО В БАНКЕ
4.1. Организационное обеспечение банковской безопасности
Комплексная система обеспечения банковской безопасности – это совокупность взаимосвязанных мероприятий организационно–правового характера, осуществляемых в целях защиты банка от реальных или потенциальных действий физических и юридических лиц, которые могут привести к существенным потерям.
Основными задачами системы безопасности являются:
-
обеспечение безопасности функционирования банка
-
организация специального делопроизводства, исключающего несанкционированное получение конфиденциальных сведений;
-
выявление и локализация возможных каналов разглашения, утечки и несанкционированного доступа к конфиденциальной информации в процессе повседневной деятельности и в экстремальных ситуациях;
-
обеспечение режима безопасности при проведении всех видов деятельности, включая встречи, переговоры, совещания, связанные с деловым сотрудничеством на национальном и международном уровне;
-
обеспечение охраны зданий, помещений, оборудования и технических средств обеспечения производственной деятельности;
-
обеспечение безопасности персонала;
Система безопасности действует на основе следующих организационно–правовых документов:
-
Устава банка;
-
Положения о системе безопасности;
-
Руководства по защите конфиденциальной информации;
-
Инструкции о порядке работы с иностранными специалистами;
-
Руководства по инженерно–технической защите помещений и технических средств.
4.2. Инженерно–техническое обеспечение безопасности банка
К основным средствам инженерно–технической защиты информации относятся:
физические средства защиты;
аппаратные средства защиты;
программные средства защиты;
математические (криптографические) методы защиты.
Указанные средства применяются для решения следующих задач:
охраны территории и наблюдения за ней;
охраны зданий, внутренних помещений и наблюдения за ними;
охрана оборудования, хранилищ и перемещаемых носителей и к осуществления контролируемого доступа в защищаемые зоны, охраняемые помещения и хранилища;
создания препятствия визуальному наблюдению;
исключения возможности перехвата электромагнитных излучений средств связи, обработки информации и электронно–вычислительной техники.
5. Компьютерные преступления
Наиболее часто проблемы с защитой такого рода информации возникают из–за массового использования средств вычислительной техники с программным обеспечением, позволяющим сравнительно легко модифицировать, уничтожать или копировать обрабатываемую информацию.
Классификация компьютерных преступлений
1. Кража:
технических средств (винчестеров, ноутбуков, системных блоков);
носителей информации (бумажных, магнитных, оптических и пр.);
информации (чтение и несанкционированное копирование);
средств доступа (ключи, пароли, ключевая документация и пр.).
2. Подмена (модификация):
операционных систем;
систем управления базами данных;
прикладных программ;
информации (данных), отрицание факта отправки сообщений;
паролей и правил доступа.
3. Уничтожение (разрушение):
технических средств (винчестеров, ноутбуков, системных блоков);
носителей информации (бумажных, магнитных, оптических и пр.);
программного обеспечения (ОС, СУБД, прикладного ПО);
информации (файлов, данных);
паролей и ключевой информации.
-
Нарушение нормальной работы (прерывание):
скорости обработки информации;
пропускной способности каналов связи;
объемов свободной оперативной памяти;
объемов свободного дискового пространства;
электропитания технических средств.
5. Ошибки:
при инсталляции ПО, ОС, СУБД;
при написании прикладного ПО;
при эксплуатации ПО;
при эксплуатации технических средств.
6. Перехват информации (несанкционированный):
за счет ПЭМИ от технических средств;
за счет наводок по линиям электропитания;
за счет наводок по посторонним проводникам;
по акустическому каналу от средств вывода;
по акустическому каналу при обсуждении вопросов;
при подключении к каналам передачи информации;
за счет нарушения установленных правил доступа (взлом).
В последние годы наметилась устойчивая тенденция объединения лиц, причастных к преступной деятельности в сфере компьютерной информации, для совершения крупномасштабных преступлений. Такие союзы носят ярко выраженные признаки организованных преступных групп, участники которых лично не знакомы и осуществляют конспиративную связь друг с другом через Интернет.