Чтение онлайн

на главную

Жанры

Применение технологий электронного банкинга: риск-ориентированный подход

Лямин Л. В.

Шрифт:

Изложенный подход целесообразно расширить в направлении имитации инцидентов информационной безопасности в части моделирования угроз кредитной организации со стороны клиента и криминальных сообществ — в интересах поддержания, совершенствования и адаптации периметра информационной безопасности кредитной организации. Этому способствует статистический анализ ситуаций такого рода, при этом статистика набирается с помощью ее сервис-центра и в порядке ведения претензионной работы. Далее результаты этой работы следует использовать для улучшения ОИБ, совершенствования отношений с клиентами ДБО (включая уточнение текстов соответствующих договоров), модернизации моделей угроз надежности банковской деятельности и сценариев их развития (фиксируемых во внутренних документах кредитной организации по ОИБ)

и т. п.

Следует заметить, что отмечавшаяся в комментарии к 4-му принципу управления рисками, приведенному в параграфе 5.2, возможность использования злоумышленниками специальных средств контроля сетевого трафика предполагает организацию противодействия со стороны кредитной организации. Такой контроль может вестись как пассивными («прослушка»), так и активными способами. Соответственно С Б такой организации целесообразно применять средства обнаружения «вторжения» в ее вычислительную сеть и контролировать сетевое пространство на предмет попыток перехвата конфиденциальной информации, НСД к банковским базам данных и программному обеспечению и других противоправных действий.

Наряду с рассмотренными мероприятиями в обеспечение надежности банковской деятельности необходимо строить многоуровневую, так сказать, «эшелонированную» систему защиты, в которой различные барьеры в виде политик, методов, процедур, средств разного уровня «работают» совместно. Надежность разнородных уровней защиты в первую очередь обусловлена тем, что, даже если каждому средству присущ какой-либо недостаток, эти недостатки не совпадают в эшелонированном периметре безопасности кредитной организации в целом; кроме того, появляется возможность «приобретения» совокупной квалификации, которая свойственна разным компаниям — разработчикам оборудования. Такой подход целесообразно четко отражать в «Политике обеспечения информационной безопасности» кредитной организации, распространяя его и на связанные с ней внутрибанковские документы и порядки, а при использовании нескольких систем ДБО, возможно, и в частных «политиках» такого рода.

Важно, чтобы руководство кредитной организации обеспечило условия совершенствования ОИБ по мере развития ДБО, при которых обеспечиваемая безопасность ее информационно-процессинговых ресурсов (в оптимальном варианте) соответствовала ее бизнес-моделям, критично важные файлы данных и программы были точно известны и особенно тщательно и контролируемо защищены от НСД и неавторизованного воздействия так, чтобы обеспечивалась действительно эффективная защита, учитывающая все возможные атаки. Необходимо наличие осознания и у исполнительных органов кредитной организации, и у ее специалистов по ОИБ того, что состояние «самоуспокоенности» — это серьезный дополнительный фактор риска, потому что, как отмечено в работе Crume /. Inside Internet Security: «Невозможность взломать компьютерную систему или проникнуть в вычислительную сеть не означает, что она безопасна, — это означает только то, что она неуязвима в данный момент для конкретного набора атак, а может быть и только то, что ее недостаточно испытывали на неуязвимость». Во всяком случае, должны быть разделены функции управления и контроля, разработки/модернизации и эксплуатации банковских автоматизированных систем, как и их администрирование, равно как и вычислительных сетей, баз данных и информационной безопасности. Все это должно быть описано в «Политике информационной безопасности» и контролироваться независимой службой — ВК.

Здесь уместно привести две цитаты из так называемых официально установленных в США «Стандартов Безопасности и Надежности» банковской деятельности [154] , а именно: «Каждый банк обязан осуществлять мониторинг, оценку и, при необходимости, корректировку Программы информационной безопасности в зависимости от затрагивающих соответствующие вопросы изменений в технологиях, значимости клиентской информации, внутренних или внешних угроз для информации, а также внесения банком изменений в свои деловые соглашения, таких как слияния и приобретения, совместная и партнерская деятельность, использование аутсорсинга и внесение изменений в клиентские информационные системы» и «каждый банк обязан как минимум ежегодно составлять для своего совета директоров или соответствующего комитета такого совета отчет с описанием общего состояния программы информационной безопасности и соответствия деятельности банка настоящим рекомендациям; в этом отчете следует рассмотреть значимые для этой программы вопросы, касающиеся: оценки риска, управления риском и соответствующих решений, отношений с провайдерами, результатов тестирования, нарушений безопасности и реакции на них, а также рекомендаций по внесению изменений в программу».

154

12 CFR (Code of Federal Regulations), Pt. 30 — SAFETY & SOUNDNESS STANDARDS (пункты E и F). Под «Программой обеспечения информационной безопасности» имеется в виду «Политика информационной безопасности».

Эти законодательно закрепленные в США положения, возможно, было бы полезно использовать и отечественным кредитным организациям.

Наконец, целесообразно привести еще ряд соображений, высказанных в работе /. Сгите’а относительно учета в процедурах ОИБ, устанавливаемых в высокотехнологичной кредитной организации, некоторых специфических факторов возникновения дополнительных источников компонентов банковских рисков, о которых часто забывают, считая их незначительными:

1) брандмауэры — это только начало защиты. При организации сетевой защиты внимание уделяется преимущественно брандмауэрам. Это действительно критично важные компоненты защиты, но они защищают не от всех атак и не все атаки могут обнаружить;

2) не все «плохие парни» находятся вне организации. Предположение о том, что в организации все работники честные, а все мошенники действуют извне, далеко не всегда справедливо, примерно половина атак замышляются сотрудниками, хорошо знающими объекты атак и способными нанести гораздо больший ущерб, чем хакеры;

3) человек — самое слабое звено в компьютерной системе. Прочность цепи определяется ее слабейшим звеном; в компьютерном мире этим звеном может оказаться человек, которому «свойственно ошибаться», особенно при недостаточной квалификации, чем часто пользуются хакеры;

4) пароли могут оказаться незащищенными. Пароли используются для идентификации личностей чаще всего, но это одно из наиболее слабых мест в защищаемых компьютерных системах, вследствие чего защита должна быть комплексной и контролируемой;

5) хакеры могут незаметно наблюдать за деятельностью. Прослушивание сетевого трафика или перехват передаваемой по вычислительной сети информации может раскрыть более чем достаточно сведений для хакера, стремящегося к получению прав и полномочий наиболее высокого уровня. Такие атаки являются пассивными, вследствие чего их трудно обнаружить, поэтому целесообразно применять средства обнаружения «прослушки» в вычислительных сетях;

6) устаревшее программное обеспечение уязвимо. Давно используемое программное обеспечение хорошо изучено хакерами, и его недостатки, обычно известные хакерскому сообществу, легко могут быть использованы в хорошо известных атаках. Необходимо постоянно следить за обновлением версий программного обеспечения технических средств, защищающих сетевые ресурсы, и разработать соответствующий порядок обновления;

7) установки по умолчанию могут быть опасны. Многие программно-технические средства часто поставляются с системными предустановками, которые хорошо известны хакерам (логины, пароли и т. д.). Следует отключить функции и сменить внутрисистемные установки;

8) лучше всего жуликов ловят другие жулики. Защита должна быть не «реактивной», а «проактивной». Необходимо представлять себе возможные действия хакеров и создавать модели нарушителей и возможных атак, а также сценарии их развития и последствий. На основе этого строится система обеспечения информационной безопасности, определяются методы и средства защиты данных и операций;

Поделиться:
Популярные книги

Долг

Кораблев Родион
7. Другая сторона
Фантастика:
боевая фантастика
5.56
рейтинг книги
Долг

На грани развода. Вернуть любовь

Невинная Яна
2. Около развода. Второй шанс на счастье
Любовные романы:
современные любовные романы
5.00
рейтинг книги
На грани развода. Вернуть любовь

Титан империи 2

Артемов Александр Александрович
2. Титан Империи
Фантастика:
фэнтези
боевая фантастика
аниме
5.00
рейтинг книги
Титан империи 2

Таблеточку, Ваше Темнейшество?

Алая Лира
Любовные романы:
любовно-фантастические романы
6.30
рейтинг книги
Таблеточку, Ваше Темнейшество?

Мимик нового Мира 4

Северный Лис
3. Мимик!
Фантастика:
юмористическая фантастика
постапокалипсис
рпг
5.00
рейтинг книги
Мимик нового Мира 4

Не отпускаю

Шагаева Наталья
Любовные романы:
современные любовные романы
эро литература
8.44
рейтинг книги
Не отпускаю

Тайны ордена

Каменистый Артем
6. Девятый
Фантастика:
боевая фантастика
попаданцы
7.48
рейтинг книги
Тайны ордена

Я – Орк. Том 2

Лисицин Евгений
2. Я — Орк
Фантастика:
юмористическое фэнтези
попаданцы
аниме
5.00
рейтинг книги
Я – Орк. Том 2

Вперед в прошлое 3

Ратманов Денис
3. Вперёд в прошлое
Фантастика:
попаданцы
альтернативная история
5.00
рейтинг книги
Вперед в прошлое 3

Предатель. Ты не знаешь о сыне

Безрукова Елена
3. Я тебя присвою
Любовные романы:
современные любовные романы
5.00
рейтинг книги
Предатель. Ты не знаешь о сыне

Кукловод

Злобин Михаил
2. О чем молчат могилы
Фантастика:
боевая фантастика
8.50
рейтинг книги
Кукловод

Назад в СССР: 1985 Книга 4

Гаусс Максим
4. Спасти ЧАЭС
Фантастика:
попаданцы
альтернативная история
5.00
рейтинг книги
Назад в СССР: 1985 Книга 4

Идеальный мир для Лекаря 13

Сапфир Олег
13. Лекарь
Фантастика:
фэнтези
юмористическое фэнтези
аниме
5.00
рейтинг книги
Идеальный мир для Лекаря 13

Неожиданный наследник 2

Яманов Александр
2. Царь Иоанн Кровавый
Фантастика:
попаданцы
альтернативная история
5.00
рейтинг книги
Неожиданный наследник 2