- •Введение
- •Раздел 1. Характеристика угроз безопасности банка
- •Тема 1.1.Основы банковской безопасности Назначение темы:
- •Цель темы: После изучения темы студент должен знать:
- •Ключевые слова и термины:
- •Содержание темы:
- •1.1.2. Опасности и угрозы
- •1.1.3.Внешние и внутренние угрозы безопасности банка
- •1.1.4.Правовые и организационные основы безопасности
- •Контрольные вопросы по теме:
- •Тесты для оценки знаний.
- •Тема 1.2. Наиболее характерные преступления, совершаемые в банковской сфере.
- •1.2.2.Мошенничество.
- •Концептуальная модель мошенничества
- •Приемы и способы совершения мошеннических действий посторонним субъектом
- •1.2.3.Лжепредпринимательство.
- •1.2.4.Злоупотребление депозитным капиталом.
- •Наиболее часто встречающимися преступными операциями являются:
- •Другие преступления, совершаемые в банковской сфере.
- •1.2.5.Злоумышленники
- •1.2.6.Недобросовестная конкуренция
- •Контрольные вопросы по теме:
- •Тесты для оценки знаний.
- •Раздел 2. Защита конфиденциальной банковской информации
- •Тема 2.1. Правовые основы защиты конфиденциальности банковской информации.
- •2.1.1. Внешние и внутренние правовые и законодательные акты обеспечения безопасности банка
- •2.1.1. Внешние и внутренние правовые и законодательные акты обеспечения безопасности банка
- •Внешние правовые и законодательные акты обеспечения безопасности банка
- •Внутренние организационно-правовые документы по безопасности
- •Контрольные вопросы по теме:
- •Тесты для оценки знаний.
- •Тема 2.2. Понятие и состав конфиденциальной банковской информации.
- •2.2.1 Конфиденциальная информация.
- •2.2.1. Конфиденциальная информация
- •Конфиденциальная информация
- •Контрольные вопросы по теме:
- •Тесты для оценки знаний.
- •Тема 2.3. Порядок организации защиты конфиденциальной банковской информации.
- •2.3.2. Защита от физического доступа
- •2.3.3. Защита резервных копий
- •Недостатки
- •2.3.4. Защита от инсайдеров
- •Контрольные вопросы по теме:
- •Тесты для оценки знаний.
- •Раздел 3. Защита банковской информации в автоматизированных системах обработки
- •Тема 3.1. Классификация угроз утечки информации при автоматизированной обработке.
- •3.1.1. Угрозы утечки информации
- •3.1.1. Угрозы утечки информации
- •Контрольные вопросы по теме:
- •Тесты для оценки знаний.
- •Тема 3.2. Виды и источники утечки банковской информации по техническим каналам.
- •3.2.1. Основы теории информации. Коммуникационный процесс
- •3.2.2. Источники конфиденциальной информации и каналы ее утечки
- •3.2.1. Основы теории информации. Коммуникационный процесс.
- •3.2.2. Источники конфиденциальной информации и каналы ее утечки
- •Действия,
- •Контрольные вопросы по теме:
- •Тесты для оценки знаний.
- •Тема 3.3. Общие методы защиты информации в компьютерных системах.
- •3.3.2. Информация как объект защиты
- •3.3.3. Организация защиты информации
- •3.3.4.Средства защиты информации
- •Контрольные вопросы по теме:
- •Тесты для оценки знаний.
- •Раздел 4. Защита банковской информации и обеспечение банковской тайны Тема
- •4.1. Организация, система банковской безопасности, структура и функции службы безопасности банка.
- •4.1.2.Общие функции службы безопасности
- •4.1.3.Состав службы безопасности
- •Контрольные вопросы по теме:
- •Тесты для оценки знаний.
- •Тема 4.2. Координация и взаимодействие подразделения безопасности банка с правоохранительными органами
- •4.2.2.Нештатные структуры службы безопасности
- •4.2.3.Автоматизация деятельности службы безопасности
- •Контрольные вопросы по теме:
- •Тесты для оценки знаний.
- •Тема 4.3. Обеспечение безопасности банка при возникновении кризисных ситуаций
- •4.3.2.Взаимодействие служб безопасности банков между собой
- •4.3.3.Централизованная служба банковской безопасности
- •Контрольные вопросы по теме:
- •Тесты для оценки знаний.
- •Раздел 5. Инженерно-технические средства защиты банков
- •Тема 5.1 Организационное обеспечение банковской безопасности
- •5.1.2. Положение о системе банковской безопасности
- •5.1.3. Положение о Совете безопасности банка
- •Задачи совета
- •Контрольные вопросы по теме:
- •Тесты для оценки знаний.
- •Тема 5.2. Инженерно-технические средства охраны, средства самозащиты, специальный транспорт. Организации внутрибанковского пропускного режима в здании и его техническая укрепленность.
- •5.2.1.Инженерно-техническое обеспечение банковской безопасности
- •5.2.2.Обеспечение качества работ в системе безопасности
- •5.2.1. Инженерно-техническое обеспечение банковской безопасности
- •5.2.2. Обеспечение качества работ в системе безопасности
- •Контрольные вопросы по теме:
- •Тесты для оценки знаний.
Тесты для оценки знаний.
Тема 2.3. Порядок организации защиты конфиденциальной банковской информации.
Назначение темы:
В процессе изучения программного материала рассмотрена концепция защиты конфиденциальной банковской информации различными способами.
Цель темы:
После изучения темы студент должен знать:
способы воровства конфиденциальной информации;
способы защиты информации от физического доступа;
методы защиты от инсайдеров.
Студент должен уметь:
различать средства защиты конфиденциальной информации.
Ключевые слова и термины:
Банковская тайна, криптопровайдеры, криптография, инсайдеры.
Содержание темы:
2.3.1. Защита банковской информации
2.3.2. Защита от физического доступа
2.3.3. Защита резервных копий
2.3.4. Защита от инсайдеров
2.3.1. Защита банковской информации
Данные о клиентах банков, их счетах и операциях интересны не только конкурентам, но и преступникам, которые для несанкционированного доступа к ним используют все возможные средства. Поэтому к банковским системам защиты конфиденциальной информации предъявляются особые требования.
Банковская деятельность всегда была связана с обработкой и хранением большого количества конфиденциальных данных. В первую очередь это персональные данные о клиентах, об их вкладах и обо всех осуществляемых операциях.
Вся коммерческая информация, хранящаяся и обрабатываемая в кредитных организациях, подвергается самым разнообразным рискам, связанным с вирусами, выходом из строя аппаратного обеспечения, сбоями операционных систем и т.п. Но эти проблемы не способны нанести сколько-нибудь серьезный ущерб. Ежедневное резервное копирование данных, без которого немыслима работа информационной системы любого предприятия, сводит риск безвозвратной утери информации к минимуму. Кроме того, хорошо разработаны и широко известны способы защиты от перечисленных угроз. Поэтому на первый план выходят риски, связанные с несанкционированным доступом к конфиденциальной информации (НСД).
Несанкционированный доступ — это реальность
На сегодняшний день наиболее распространены три способа воровства конфиденциальной информации.
Во-первых, физический доступ к местам ее хранения и обработки. Здесь существует множество вариантов. Например, злоумышленники могут забраться в офис банка ночью и украсть жесткие диски со всеми базами данных. Возможен даже вооруженный налет, целью которого являются не деньги, а информация. Не исключена ситуация, когда сам сотрудник банка может вынести носитель информации за пределы территории.
Во-вторых, использование резервных копий. В большинстве банков системы резервирования важных данных основаны на стримерах. Они записывают создаваемые копии на магнитные ленты, которые потом хранятся в отдельном месте. Доступ к ним регламентируется гораздо более мягко. При их транспортировке и хранении относительно большое количество человек может снять с них копии. Риски, связанные с резервным копированием конфиденциальных данных, нельзя недооценивать. Например, большинство экспертов уверено, что появившиеся в продаже в 2005 году базы данных проводок Центрального Банка РФ были украдены именно благодаря снятым с магнитных лент копиям. В мировой практике известно немало подобных инцидентов. В частности, в сентябре прошлого года сотрудники компании Chase Card Services (подразделение JPMorgan Chase & Co.), поставщика кредитных карт, по ошибке выкинули пять магнитных лент с резервными копиями, содержащими информацию о 2,6 млн. владельцев кредитных счетов Circuit City.
В-третьих, наиболее вероятный способ утечки конфиденциальной информации — несанкционированный доступ сотрудниками банка. При использовании для разделения прав только стандартных средств операционных систем у пользователей нередко существует возможность опосредованно (с помощью определенного ПО) целиком скопировать базы данных, с которыми они работают, и вынести их за пределы компании. Иногда сотрудники делают это без всякого злого умысла, просто чтобы поработать с информацией дома. Однако такие действия являются серьезнейшим нарушением политики безопасности, и они могут стать причиной огласки конфиденциальных данных.
Кроме того, в любом банке есть группа людей, обладающих в локальной сети повышенными привилегиями. Речь идет о системных администраторах. С одной стороны, это необходимо им для выполнения служебных обязанностей. Но, с другой стороны, у них появляется возможность получить доступ к любой информации и «замести следы».
Таким образом, система защиты банковской информации от несанкционированного доступа должна состоять как минимум из трех подсистем, каждая из которых обеспечивает защиту от своего вида угроз. Это подсистема защиты от физического доступа к данным, подсистема обеспечения безопасности резервных копий и подсистема защиты от инсайдеров. И желательно не пренебрегать ни одной из них, поскольку каждая угроза может стать причиной разглашения конфиденциальных данных.
В настоящее время деятельность банков регламентируется федеральным законом «О банках и банковской деятельности». В нем, помимо всего прочего, вводится понятие «банковская тайна». Согласно ему любая кредитная организация обязана обеспечивать конфиденциальность всех данных о вкладах клиентов. За их разглашение она несет ответственность, включая возмещение причиненного утечкой информации ущерба. При этом никаких требований к безопасности банковских информационных систем не предъявляется. Это значит, что все решения по защите коммерческих данных банки принимают самостоятельно, основываясь на опыте своих специалистов или сторонних компаний (например, осуществляющих аудит информационной безопасности). Единственной рекомендацией является стандарт ЦБ РФ «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения». Впервые он появился в 2004 году, а в 2006 был принят новый его вариант. При создании и доработке этого ведомственного документа использовались действующие российские и международные стандарты в области информационной безопасности.
ЦБ РФ может только рекомендовать его другим банкам, но не может настаивать на обязательном внедрении. Кроме того, в стандарте мало четких требований, определяющих выбор конкретных продуктов. Он, безусловно, важен, но в данный момент не имеет серьезного практического значения. Например, про сертифицированные продукты в нем сказано так: «...могут использоваться сертифицированные или разрешенные к применению средства защиты информации от НСД». Соответствующий список отсутствует.
Перечислены в стандарте и требования к криптографическим средствам защиты информации в банках. И вот здесь уже есть более-менее четкое определение: «СКЗИ... должны быть реализованы на основе алгоритмов, соответствующих национальным стандартам РФ, условиям договора с контрагентом или стандартам организации». Подтвердить соответствие криптографического модуля ГОСТ 28147—89 можно путем сертификации. Поэтому при использовании в банке систем шифрования желательно применять сертифицированные ФСБ РФ программные или аппаратные криптопровайдеры, то есть внешние модули, подключающиеся к программному обеспечению и реализующие сам процесс шифрования.