Динамичное развитие информационных технологий привело к тому, что почти все средние и крупные участники финансового рынка сегодня сталкиваются с необходимостью собирать и хранить большие объемы данных. В то же время анализ этих данных и их грамотное применение дарит бизнесу целый спектр новых возможностей и конкурентных преимуществ. Однако с учетом того, что большинство этих данных относятся к категории коммерческой и банковской тайны, очень важно уделить повышенное внимание проблемам защиты хранимой информации.
Еще Натан Ротшильд сказал:
«Кто владеет информацией –
тот владеет миром».
Для решения соответствующей проблемы в финансовых структурах появилась отдельное направление деятельности – «Обеспечение информационной безопасности». Суть данного направления в том, чтобы независимо от области применения защищать информационные ресурсы от случайных, злонамеренных или чрезвычайных внутренних/внешних воздействий.
Направление «Обеспечение информационной безопасности» строится на трех главных принципах:
1. Конфиденциальность. Обеспечение доступа к информации только авторизованным пользователям.
2. Целостность. Обеспечение достоверности и полноты информации и методов ее обработки.
3. Доступность. Обеспечение доступа к информации и связанным с ней активам авторизованных пользователей по мере необходимости.
Для банков и прочих финансовых организаций, которые являются важным звеном в структуре государства, «кровеносной системой» экономики, обеспечивающей и регулирующей движение финансовых потоков, данная тема особенно актуальна. В их базах хранятся персональные данные клиентов, данные о финансовых и нефинансовых транзакциях, договорах, сделках и пр.
Получить доступ к этой информации – огромный соблазн для злоумышленников, которые сегодня очень хорошо научились использовать возможности и последние достижения информационных технологий.
В России проблема информационной безопасности банков и других финансовых институтов выведена на государственный уровень. Инициативу по разработке, регулированию и контролю требований по обеспечению информационной безопасности взял на себя Центральный банк Российской Федерации.
Начиная с 2004 года ЦБ РФ начал разрабатывать и совершенствовать пакет отечественных отраслевых стандартов по информационной безопасности СТО БР ИБСС. При создании стандарта ЦБ по ИТ-безопасности был тщательно изучен лучший мировой опыт. Пакет объединяет в себе основные положения стандартов по управлению ИТ-безопасностью (ISO 17799, 13335), который регламентирует описание жизненного цикла программных средств и критерии оценки ИТ-безопасности (ГОСТ Р ИСО/МЭК 15408-1-2-3).
В процессе применения стандарт несколько раз корректировался и дополнялся, периодически к нему, с учетом законодательных изменений, выпускались новые разъясняющие документы.
Позднее весь обобщенный опыт был учтен в новом документе – в 2017 году был выпущен Государственный стандарт ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер».
Помимо ГОСТа для организации обеспечения информационной безопасности ЦБ РФ был выпущен еще ряд документов, которые не утратили свою силу и на сегодняшний день, а именно:
• Стандарт Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» (СТО БР ИББС-1.0-2014).
• Стандарт Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Аудит информационной безопасности СТО БР ИББС-1.1-2007» (СТО БР ИББС-1.1-2007).
• Рекомендации в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Ресурсное обеспечение информационной безопасности» (РС БР ИББС-2.7-2015).
• Рекомендации в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Обеспечение информационной безопасности на стадиях жизненного цикла автоматизированных банковских систем» (РС БР ИББС-2.6-2014) и ряд других.
Рассмотрев документы, регулирующие принципы информационной безопасности, можно выделить два типа задач:
1. Решаемые организационными и/или техническими способами.
2. Относящиеся к программному обеспечению:
a) требования к обеспечению ИБ внешних приложений, которыми пользуются клиенты, такие как ДБО, интернет-банкинг, мобильный банкинг, выделенные фронтальные решения;
b) требования к обеспечению ИБ финансовых и нефинансовых данных, хранящихся непосредственно в АБС, и организации их защиты от умышленных или неумышленных, некорректных или ошибочных действий пользователей – сотрудников банка.
Предметом анализа, проводимого в настоящей статье, является документ РС БР ИББС-2.6-2014 «Приложение 1. Типовые недостатки в реализации функций безопасности автоматизированных систем». В этом документе ЦБ РФ сформулировал основные недостатки АБС в части обеспечения информационной безопасности.
Так как документ достаточно обширен, полный анализ в статье не проводится, выделены некоторые недостатки и приведены рекомендации по их устранению, в частности реализованные в ЦАБС «БАНК 21 ВЕК».
Управление доступом
.jpg)
Идентификация и аутентификация
.jpg)
Регистрация событий и просмотр журналов регистрации событий
.jpg)