Применение технологий электронного банкинга: риск-ориентированный подход
Шрифт:
Что касается возможного использования УРСИТ, то специалистами кредитных организаций рассмотренные материалы могут быть использованы в интересах собственных методических разработок индивидуального характера, которые целесообразно акцентировать на специфике применяемых этими организациями банковских автоматизированных систем в их связи с системами электронного банкинга, или применении ИТ в целом. При этом следует дополнить такие разработки учетом особенностей проектирования, внедрения и эксплуатации систем электронного банкинга.
5.4. Адаптация обеспечения информационной безопасности
Базовая причина усугубления проблемы ОИБ в условиях перехода к ДБО заключается в принципиальном изменении состава угроз надежности банковской деятельности в связи с формированием ИКБД, т. е. возникновении их новых видов, нетипичных для традиционной ее организации. Конечно, кредитные организации всегда подвергались и подвергаются рискам, связанным с ошибками или мошенничеством, но с внедрением компьютерных технологий уровень таких рисков и масштаб
142
Библия. Экклезиаст (1:11).
Задача ОИБ при использовании систем электронного банкинга является, возможно, наиболее сложной для решения. Как подчеркивает БКБН, «чтобы парировать проблемы с сохранением конфиденциальности важнейшей банковской информации в части электронного банкинга, необходимо гарантировать, что доступ ко всем конфиденциальным банковским данным и информации возможен только для должным образом авторизованных и аутентифицированных лиц, агентов или систем». Большинство задач в рамках решения указанной проблемы, которые возникают при образовании ИКБД, являются новыми и непосредственно связанными с ним, что отмечалось в главе 1. В общем случае требуется контроль адекватности ОИБ применяемым в кредитной организации ИТ [143] , для чего необходим анализ и практический учет новых реальных и потенциальных угроз, связанных с технологиями электронного банкинга, а также сценариев их возможной реализации с оценкой последствий для кредитной организации и ее клиентов. Они определяются исходя из результатов анализа источников компонентов банковских рисков, связанных с недостатками в ОИБ, вследствие чего их целесообразно точно указывать в «Положении об управлении банковскими рисками» и согласовывать содержание такого документа с «Политикой обеспечения информационной безопасности» кредитной организации.
143
Лямин Л.В. Три составные части и три источника информационной безопасности в кредитных организациях//Управление в коммерческом банке. 2006. № 1. С. 107–116; № 2. С, 118–126; № 3. С. 113–126; № 4. С, 111–126; № 5. С. 111–120.
Рассматриваемая проблематика, как видно из изложенного выше, многоаспектна. Поэтому, в частности, службе безопасности (СБ) кредитной организации, которая состоит, как правило, из подразделений информационной, экономической и физической безопасности, целесообразно было бы регулярно проводить скрупулезный анализ не только информационных ресурсов самой организации, ядром которых являются ее БАС и базы банковских и клиентских данных, но также и всей информации, угрозы безопасности которой могут негативно повлиять на финансовое состояние, статус, имидж и другие характеристики организации и на интересы ее клиентов. Состав ресурсов такого рода определяется их значимостью в перечисленных отношениях, включая сохранение банковской тайны и защиту персональных данных. При этом целесообразно учитывать, что критичными для клиентов могут оказаться различные варианты НСД к банковской информации: от массивов данных бухгалтерского учета до сведений о фактах осуществления тех или иных банковских операций и сделок. Поэтому, как часто пишут, «специальное внимание» целесообразно уделять, как минимум, тем информационным сечениям в БАС, между БАС и системой ДБО и во внешнем сегменте ИКБД, в которых такой НСД потенциально может иметь место (как, впрочем, и другие атакующие воздействия). Регулярность детального анализа определяется, во-первых, теми интервалами времени, которые связаны с модернизациями банковских автоматизированных систем или нововведениями в банковских информационных технологиях — их темпом, а во-вторых, появлением информации о компрометации средств защиты компьютерных систем.
Что касается организации информационных сечений, то менеджерам различных уровней целесообразно обращать внимание на наличие и содержание ролевых функций персонала кредитной организации при передаче (и, возможно, преобразовании) потоков данных из одной АС в другую. От этого зависит в первую очередь эффективность реализации в кредитной организации процессов управления, обеспечения информационной безопасности и внутреннего контроля, включая финансовый мониторинг. Как правило, без какого-либо хотя бы косвенного участия персонала в процедурах обработки (преобразования) данных при ДБО не обходится даже в случае упоминавшейся ранее автоматизированной сквозной обработки. В таких случаях целесообразно рассматривать, как минимум, следующие вопросы:
— предусмотрено ли наличие функций, выполняемых операторами БАС (или в ряде случаев систем ДБО) либо системными администраторами, обладающими полномочиями доступа к данным из поступающих ордеров клиентов, и если предусмотрено, то с какими правами, и существуют ли возможности несанкционированного считывания (хищения, утечки) информации, ее подмены или уничтожения, имитации проводимых операций как бы от лица легитимных клиентов и т. п.?
— могут ли функции, выполняемые уполномоченными сотрудниками кредитной организации, давать возможности осуществления каких-либо мошенничеств разного рода: хищения финансовых средств (например, за счет подмены реквизитов ордеров), сокрытия сомнительных операций, подлежащих обязательному контролю, несанкционированного использования конфиденциальной информации (ключи или пароли доступа, кодовые фразы, персональные данные клиентов или сведения о проводимых ими операциях и т. д.)?
— внедрены ли в кредитной организации процедуры контроля над функциями, выполняемыми сотрудниками, имеющими доступ к информационным сечениям, и чем гарантируется эффективность этих процедур (используемые методы, внутрибанковские документы, примененные средства, способы и программы проверок, ответственность за проведение проверок и отчетность о проверках, гарантии невозможности реализации сговора или нелегитимных действий, приводящих к нарушению целостности данных и т. п.)?
Эти вопросы тесно связаны, хотя и не пересекаются полностью с проблематикой ОИБ в кредитной организации, включая защиту информационных и процессинговых ресурсов этой организации от неправомерного доступа с применением технологий ДБО.
Упомянутое выше «специальное внимание» может реализовываться в разных формах. Прежде всего логично разработать и внедрить процедуры контроля доступа к файлам данных, проходящим через значимые информационные сечения, например, между системами ДБО и БАС кредитной организации. В таких сечениях могут располагаться операторы какой-либо АС, системные или сетевые администраторы или операторы, специально выделенные для выполнения каких-либо функций. Ни один из таких сотрудников кредитной организации не должен обладать делегированными ему неконтролируемыми полномочиями (особенно при совмещении обязанностей, к примеру, системного администратора и администратора информационной безопасности, что нередко получается «само собой»). Особенно целесообразно ограничивать и контролировать возможные действия, следствием которых может стать нарушение целостности банковских данных или их утечка. В то же время для осознания образования такой «неконтролируемости» в виртуальном пространстве требуется знание о наличии возможностей для этого. Поэтому в материалах зарубежных органов банковского регулирования и надзора часто подчеркивается важность обеспечения следования так называемому принципу «четырех глаз» (двойного независимого параллельного контроля — особенно при принятии ответственных решений), что может быть отнесено ко многим направлениям банковской деятельности (необязательно связанным с информационными технологиями).
Важное значение имеет определение и описание защищаемых ресурсов с указанием их значимости для кредитной организации и ее клиентов. Таким документам лучше придавать статус «для служебного пользования» и разделять права доступа к ним между специалистами разных подразделений (естественно, на разумных основаниях — без ущерба функционированию кредитной организации, ее БАС и СЭБ, а также осуществлению ОИБ, ВК, ФМ и УБР). Анализ уязвимостей в распределенных компьютерных системах кредитной организации необходимо проводить сначала превентивно, а затем как на регулярной, так и на оперативной основе. При внедрении новой ТЭБ его в любом случае следует проводить превентивно в рамках предварительного анализа состава новых компонентов банковских рисков, впоследствии сопоставляя развитие реальной ситуации с прогнозировавшейся. Эта процедура завершается выбором, приобретением и установкой конкретных средств сетевой защиты от угроз, ассоциируемых с ИКБД. Поскольку количество таких угроз постоянно растет, в первую очередь ввиду «успехов» хакерского сообщества, для СБ логично отслеживать «достижения», связанные с «пробоем» средств защиты, к числу которых относятся в первую очередь брандмауэры и прокси-сервера (что было показано на рис. 5.2). Поэтому хорошей практикой считается изучение материалов, представляемых хакерским сообществом на многочисленных web-сайтах, используя их в том числе и для оперативной замены скомпрометированных средств защиты.
Вместе с тем известно, что «идеальных» способов и средств ОИБ в сетевых структурах до настоящего времени не существует. По существу, в современных условиях это обеспечение стало постоянным итеративным процессом: возникновение новых угроз надежности банковской деятельности — в это понятие входит и обеспечение гарантий конфиденциальности информации, обрабатываемой и хранящейся в кредитной организации — приводит к необходимости внедрения и совершенствования средств защиты информационно-процессинговых ресурсов кредитной организации. Каждое из возможных средств защиты характеризуется индивидуальными специфическими недостатками, причем, поскольку «то, что один человек сделал, другой всегда может сломать», со средствами сетевой защиты это происходит почти постоянно, из-за чего становится необходимой разработка специальной «политики управления обновлениями» [144] (или в буквальном смысле — «заплатками»).
144
Patch Management Policy.