- •Мошенничество в банковской сфере с применением высоких технологий
- •2012 – Год таргетированных атак 26
- •Обозначения и сокращения
- •Введение
- •Отраслевые стандарты
- •Стандарт Банка России сто бр иббс-1.0-2008
- •Кодекс корпоративного поведения фсфр
- •Кодексу корпоративного поведения фсфр соответствуют лицензии выданные оао ,,Россельхозбанк” Федеральной службой по финансовым рынкам:
- •Россельхозбанк подтвердил соответствие своего процессинга требованиям стандарта pci dss
- •1.2 Программно-аппаратного обеспечения и его соответствиеотраслевым стандартам
- •Гостр мэк61508-3-2007. Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью.
- •1.3Виды угроз для банков
- •Инсайдеры
- •Дистанционноебанковскоеобслуживание
- •Банковские трояны
- •Кардинг, скимминг
- •2Угрозы информационной безопасности для банков
- •Причины актуальности угрозы
- •Цель проникновения
- •Методы перехвата информации
- •Методы маскировки от средств контроля и наблюдения
- •Атака на сотовые телефоны и смартфоны
- •Дистанционное банковское обслуживание: проблемы функционирования в российской банковской практике
- •Банковские трояны: продолжение следует
- •Android: любимая игрушка хакеров
- •JuniperResearch: мобильный банкинг набирает обороты
- •2012 – Год таргетированных атак
- •Руководство по защите от внутренних угроз информационной безопасности
- •Суть проблемы
- •Классификация инсайдеров
- •Подрабатывающие и внедренные инсайдеры
- •Скрытое оружие социальной инженерии
- •Атака администратора системы
- •Уход от ответственности
- •Кардинг
- •Фишинг, трэшинг, скимминг и другие виды кардерства
- •Трэшинг
- •Скимминг
- •Объединенные кардеры
- •3 Современные средства защиты в области защиты информации в банковской сфере Обязательные средства защиты
- •Надежный банкинг с помощью антилоггера
- •Дистанционное Банковское Обслуживание
- •Интернет-банкинг: признаки защищенности:
- •Бдительность – первое правило
- •Учет и анализ существующих рисковв дбо
- •Мероприятия, позволяющие влиять на уровень существующих рисков
- •Организационные мероприятия
- •Технические мероприятия
- •Краткие выводы
- •Инсайдеры Как бороться с инсайдерами
- •Фишинг Борьба с фишингом и фармингом
- •Кардинг
- •Заключение
- •Список использованных источников
Мероприятия, позволяющие влиять на уровень существующих рисков
Анализ существующих факторов риска поможет выявить процессы, влияющие на их уровень. Этот анализ должен включать:
- разработку и поддержание в актуальном состоянии нормативно распорядительных документов;
- поддержание требуемого уровня информационной безопасности, включая:
- управление жизненным циклом автоматизированных систем (от разработки до окончания эксплуатации);
- администрирование вычислительной сети и телекоммуникационного оборудования;
- управление идентификацией и доступом пользователей к информационным ресурсам;
- внедрение новых технологий повышающих безопасность эксплуатации систем ДБО;
- мониторинг сетевого трафика с целью обнаружения вредоносного кода и вторжений.
Для своевременного реагирования на существующие риски кредитным организациям необходимо обеспечить выполнение комплекса организационных и технических мероприятий, направленных на обеспечение безопасного функционирования системы ДБО. Обеспечение удобства работы клиентов в системе, при выполнении такого комплекса, может явиться дополнительным конкурентным преимуществом.
Организационные мероприятия
Существует мнение, что усиление безопасности всегда негативно сказывается на удобстве работы клиента. Это не верно. Если безопасность не является «параноидальной», а используемые технологии современны и адекватны наличествующим угрозам, обеспечить одновременно удобную и безопасную работу для клиента вполне возможно. В качестве примера рассмотрим часто возникающий вопрос: как организовать технологический процесс выработки клиентом своих криптографических ключей и обеспечить получение сертификата ключа подписи (далее СКП).
Ограничения для клиента, обычно накладываемые бизнес-подразделениями это однократное посещение клиентом кредитной организации. При этом подразделение безопасности требует от него самостоятельной генерации своих криптографических ключей.
Будем подразумевать, что безопасность системы ДБО опирается на использование инфраструктуры открытых ключей, а в предоставлении клиенту доступа к системе ДБО участвуют следующие действующие лица: сам клиент, менеджер филиала, оператор удостоверяющего центра. Обратите внимание, что клиент получает в банке только технологические закрытый ключ и СКП, которые не позволяют производить никаких действий в системе, кроме формирования запроса на новый СКП. Однако при этом клиент обязан сверить бумажную копию технологического СКП с его электронной версией и при совпадении заверить бумажную копию СКП заверить это действие собственноручной подписью.
В течении срока действия технологического СКП клиент обязан произвести генерацию своих криптоключей, сформировать запрос на свой рабочий СКП и, получив его, зарегистрировать в системе. После выполнения этих операций пользователь получает право на совершение финансовых операций. Если пользователь не обладает достаточными навыками или знаниями для выполнения этих действий, ему на возмездной основе может быть оказана помощь со стороны сотрудников банка. Для этого на территории кредитной организации может быть развёрнуто рабочее место, за которым клиент, в соответствии с полученными консультациями, может выполнить все необходимые операции.
Безусловно, данный сценарий можно усилить с помощью дополнительных мер безопасности, например, после выпуска СКП клиенту может быть направлен акт или сообщение о выполненных работах, на которое он должен определённым образом отреагировать. Такая мера может обезопасить клиента от лишних неприятностей. Однако в полную силу данная схема будет работать только при наличии выверенного комплекта нормативной документации. Как показывают лучшие практики, в состав такого комплекта обычно входят следующие документы:
- Правила пользования системой ДБО;
- Регламент управления СКП в системе ДБО банка;
- Описание технологического процесса использования СКП в системе ДБО;
- Соглашение об организации обслуживания Клиента через систему ДБО Банка и присоединении к Правилам пользования системой;
- Соглашение об организации системы электронного документооборота Клиента через систему ДБО Банка и присоединении к Правилам пользования системой ДБО Банка;
- Руководство администратора системы ДБО;
- Инструкции должностным лицам, осуществляющим обслуживание системы ДБО.
Такой комплект документов позволяет достаточно подробно описать взаимодействие всех субъектов системы ДБО, их права и обязанности, а также построить достаточно работоспособную юридическую схему.