новая папка 1 / 586693
.pdf–АТМ-банкинг;
–мобильный банкинг;
–видеобанкинг.
За исключением видеобанкинга, системы ДБО в настоящее время не позволяют идентифицировать клиента со 100 % уверенностью, оценить его адекватность и свободность в производстве операций со своими финансами. Однако системы видеобанкинга в настоящее время находятся в стадии разработки и, кроме того, будут имеет свой набор уязвимостей.
В остальных же системах ДБО присутствуют наборы уязвимостей, которые в реальных условиях взаимодействия клиента и КФО в настоящее время полностью закрыть не представляется возможным. Так, например, применение двухфакторной аутентификации в системах ДБО типа банк–клиент породило целый класс вредоносного ПО, которое не только способно обнаруживать драйверы систем аутентификации в памяти компьютеров, но и «понимать» – активирована система банк–клиент или нет, а в случае ее активации вредоносный код умеет «на лету» подменять данные счета получателя платежа на атрибуты злоумышленника. В системах ДБО, связанных с банкоматами, наибольшую проблему создают неумышленные и умышленные действия обслуживающего персонала. Обычно это неактивация настроек безопасности (например, активное состояние автозагрузки с внешних носителей), слабые пароли и т. д.
11
3. СИСТЕМА ОБЕСПЕЧЕНИЯ ИБ
Система обеспечения информационной безопасности КФО условно делится на пять направлений:
– защита централизованной (серверной) ИТ-инфраструктуры;
– поддержание необходимого уровня знаний сотрудников в области защиты информации;
– информирование клиентов о требованиях информационной безопасности;
– выявление и расследование инцидентов в области ИБ;
– применение систем защиты ДБО, как обычного класса (антивирусное ПО, системы многофакторной аутентификации, VPN, IDS|IPS, DLP, SIEM и т. д.), так и сложных аналитических онлайн-систем анализа действий клиента.
3.1. ИБ ЦЕНТРАЛИЗОВАННОЙ ИНФРАСТРУКТУРЫ
Система обеспечения ИБ централизованной инфраструктуры КФО базируется на наборе стандартных процессов ИБ, таких как «Обеспечение физической безопасности и защита от воздействия окружающей среды», «Контроль логического доступа», «Обеспечение непрерывности в условиях ЧС» и т. д. (всего 20 ИБ-процессов). Уровень СОИБ определяется уровнем зрелости соответствующих ИБ-процессов.
3.2. КОНТРОЛЬ ПЕРСОНАЛА
Контроль персонала, или точнее – обеспечение информационной безопасности при операционных действиях персонала, основывается на правильно организованном ИБ-процессе «Осведомленность и информирование». Целью процесса является непрерывное повышение уровня знаний сотрудников как в области информационной безопасности, так и в профессиональной сфере, что позволяет избежать ошибок при совершении рабочих операций (операционной деятельности)4.
4 Снижение операционных рисков, в том числе и в информационной безопасности, является одним из основных требований международного стандарта для КФО Basel II.
12
3.3. ИНФОРМИРОВАНИЕ КЛИЕНТОВ
Противодействие рискам ИБ, связанными с действиями клиентов, осуществляется двумя путями – во-первых, это информирование клиентов с помощью различных памяток, выдаваемых клиенту при заключении договора, и информации, размещаемой на сайте КФО, о наличии и опасности киберпреступности, во-вторых, это реализация в информационных системах КФО сложных алгоритмов проверок операций (например, блокирование операций по пластиковой карте, проводимых из другой страны, при отсутствии оповещения банка клиентом о его выезде за рубеж).
3.4.РАССЛЕДОВАНИЕ ИНЦИДЕНТОВ ИБ
Вданном направлении большую роль играют опытность службы безопасности банка и наличие данных из информационных систем, указывающих на «сомнительность» проводимых операций, особенно со стороны персонала банка (фрод-операции).
3.5.ЗАЩИТА ЭЛЕМЕНТОВ СИСТЕМ ДБО
Наиболее ресурсоемкое направление СОИБ, поскольку требует приобретения и внедрения большого числа специализированных систем защиты информации, подготовленных специалистов по данным системам и хорошо поставленного процесса «Планирование и отчетность». В перечень применяемых систем защиты информации входят практически все виды существующих систем – от систем антивирусной защиты, защиты от НСД, многофакторной аутентификации, до
IDS|IPS-, DLP-, SIEM-систем.
В последнее время на «вооружение» служб безопасности банков начали поступать системы онлайн-анализа как действий клиента, так и анализа окружающей клиента действительности (данные о клиенте из соцсетей и т. д.).
13
4.РЕЗЮМЕ
1.Для обеспечения высокого уровня информационной безопасности ИТ-инфраструктуры КФО необходима эффективная СОИБ, основанная на постоянно действующем высокоуровневом процессе ИБ «Управление информационной безопасностью».
2.СОИБ требует непосредственной поддержки со стороны руководства КФО.
3.Результативность системы обеспечения информационной безопасностью зависит от уровня зрелости процессов информационной безопасности и основных процессов информационных технологий.
4.Уровень зрелости процессов зависит не только от количества купленных систем защиты информации, но, в большей степени, от подготовленности персонала как бизнес-подразделений, так и служб безопасности.
14
СПИСОК ЛИТЕРАТУРЫ
1.Федеральный закон от 02.12.1990 № 395-1 «О банках и банковской деятельности».
2.Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных дан-
ных».
3.Федеральный закон от 29.07.2004 № 98-ФЗ «О коммерческой тайне».
4.Федеральный закон от 27.06.2011 № 161-ФЗ «О национальной платежной системе».
5.Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации».
6.Положение от 09.06.2012 № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств».
7.СТО БР ИББС – комплект документов Стандарта Банка России по обеспечению информационной безопасности организаций банковской системы Российской Федерации.
8.Положение Банка России № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств».
9.ISO/IEC 27001 «Информационные технологии. Методы обеспечения безопасности. Системы управления информационной безопасностью. Требования».
10.ISO/IEC 27002 «Информационные технологии. Методы обеспечения безопасности. Практические правила управления информационной безопасностью».
11.NIST SP 800 – набор стандартов по ИБ National Institute of Standards and Technology.
12.ITIL – библиотека, описывающая лучшие из применяемых на практике способов организации работы подразделений или компаний, занимающихся предоставлением услуг в области информационных технологий.
13.CobiT – пакет открытых документов, около 40 международных и национальных стандартов и руководств в области управления IT, аудита и ITбезопасности.
14.ITSM (IT Service Management, управление ИТ-услугами) – документы,
описывающие подход к управлению и организации ИТ-услуг, направленный на удовлетворение потребностей бизнеса.
15
ОГЛАВЛЕНИЕ |
|
Введение................................................................................................................... |
3 |
1. Термины и определения................................................................................... |
5 |
2. Информационная безопасность в кредитно-финансовых |
|
организациях ...................................................................................................... |
6 |
2.1. Суть проблемы............................................................................................... |
6 |
2.2. Требования законодательства и регуляторов.............................................. |
6 |
2.3. Назначение и структура ................................................................................ |
7 |
2.4. ИТ-инфраструктура КФО.............................................................................. |
9 |
2.5. Системы дистанционного банковского обслуживания............................ |
10 |
3. Система обеспечения ИБ................................................................................ |
12 |
3.1. ИБ централизованной инфраструктуры..................................................... |
12 |
3.2. Контроль персонала..................................................................................... |
12 |
3.3. Информирование клиентов......................................................................... |
13 |
3.4. Расследование инцидентов ИБ................................................................... |
13 |
3.5. Защита элементов систем ДБО................................................................... |
13 |
4. Резюме................................................................................................................ |
14 |
Список литературы................................................................................................ |
15 |
16