Сравнение  в пользу

37
Николай Кромин советник генерального директора, Компания «Инверсия»

Динамичное развитие информационных технологий привело к тому, что почти все средние и крупные участники финансового рынка сегодня сталкиваются с необходимостью собирать и хранить большие объемы данных. В то же время анализ этих данных и их грамотное применение дарит бизнесу целый спектр новых возможностей и конкурентных преимуществ. Однако с учетом того, что большинство этих данных относятся к категории коммерческой и банковской тайны, очень важно уделить повышенное внимание проблемам защиты хранимой информации.

 

Еще Натан Ротшильд сказал:

 «Кто владеет информацией – 

тот владеет миром».

 

Для решения соответствующей проблемы в финансовых структурах появилась отдельное направление деятельности – «Обеспечение информационной безопасности». Суть данного направления в том, чтобы независимо от области применения защищать информационные ресурсы от случайных, злонамеренных или чрезвычайных внутренних/внешних воздействий. 

 

Направление «Обеспечение информационной безопасности» строится на трех главных принципах: 

 

1. Конфиденциальность. Обеспечение доступа к информации только авторизованным пользователям.

 

2. Целостность. Обеспечение достоверности и полноты информации и методов ее обработки.

 

3. Доступность. Обеспечение доступа к информации и связанным с ней активам авторизованных пользователей по мере необходимости.

 

Для банков и прочих финансовых организаций, которые являются важным звеном в структуре государства, «кровеносной системой» экономики, обеспечивающей и регулирующей движение финансовых потоков, данная тема особенно актуальна. В их базах хранятся персональные данные клиентов, данные о финансовых и нефинансовых транзакциях, договорах, сделках и пр. 

 

Получить доступ к этой информации – огромный соблазн для злоумышленников, которые сегодня очень хорошо научились использовать возможности и последние достижения информационных технологий. 

 

В России проблема информационной безопасности банков и других финансовых институтов выведена на государственный уровень. Инициативу по разработке, регулированию и контролю требований по обеспечению информационной безопасности взял на себя Центральный банк Российской Федерации.

 

Начиная с 2004 года ЦБ РФ начал разрабатывать и совершенствовать пакет отечественных отраслевых стандартов по информационной безопасности СТО БР ИБСС. При создании стандарта ЦБ по ИТ-безопасности был тщательно изучен лучший мировой опыт. Пакет объединяет в себе основные положения стандартов по управлению ИТ-безопасностью (ISO 17799, 13335), который регламентирует описание жизненного цикла программных средств и критерии оценки ИТ-безопасности (ГОСТ Р ИСО/МЭК 15408-1-2-3). 

 

В процессе применения стандарт несколько раз корректировался и дополнялся, периодически к нему, с учетом законодательных изменений, выпускались новые разъясняющие документы. 

 

Позднее весь обобщенный опыт был учтен в новом документе – в 2017 году был выпущен Государственный стандарт ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер».

 

Помимо ГОСТа для организации обеспечения информационной безопасности ЦБ РФ был выпущен еще ряд документов, которые не утратили свою силу и на сегодняшний день, а именно:

 

• Стандарт Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» (СТО БР ИББС-1.0-2014).

 

• Стандарт Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Аудит информационной безопасности СТО БР ИББС-1.1-2007» (СТО БР ИББС-1.1-2007).

 

• Рекомендации в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Ресурсное обеспечение информационной безопасности» (РС БР ИББС-2.7-2015). 

 

• Рекомендации в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Обеспечение информационной безопасности на стадиях жизненного цикла автоматизированных банковских систем» (РС БР ИББС-2.6-2014) и ряд других.

 

Рассмотрев документы, регулирующие принципы информационной безопасности, можно выделить два типа задач: 

 

1. Решаемые организационными и/или техническими способами.

 

2. Относящиеся к программному обеспечению:

 

a) требования к обеспечению ИБ внешних приложений, которыми пользуются клиенты, такие как ДБО, интернет-банкинг, мобильный банкинг, выделенные фронтальные решения;

 

b) требования к обеспечению ИБ финансовых и нефинансовых данных, хранящихся непосредственно в АБС, и организации их защиты от умышленных или неумышленных, некорректных или ошибочных действий пользователей – сотрудников банка.

 

Предметом анализа, проводимого в настоящей статье, является документ РС БР ИББС-2.6-2014 «Приложение 1. Типовые недостатки в реализации функций безопасности автоматизированных систем». В этом документе ЦБ РФ сформулировал основные недостатки АБС в части обеспечения информационной безопасности.

 

Так как документ достаточно обширен, полный анализ в статье не проводится, выделены некоторые недостатки и приведены рекомендации по их устранению, в частности реализованные в ЦАБС «БАНК 21 ВЕК». 

 

Управление доступом

 

 

Идентификация и аутентификация

 

Регистрация событий и просмотр журналов регистрации событий

 

ПОДЕЛИСЬ С ДРУЗЬЯМИ: