Банковская деятельность связана с обработкой больших объемов информации, основную часть которых составляют конфиденциальные данные клиентов.
К ним относится личные данные пользователей, копии их документов, номера счетов, данные о проведенных операциях, транзакциях и пр.
В процессе работы с этой информацией важно, чтобы она не попала в руки злоумышленников, не была изменена или утеряна.
Учитывая важность архивов, хранимых в информационной среде банка, существенно возросла их ценность и требования к защите банковской информации.
Сложность поддержки безопасности данных заключается в том, что банки должны обеспечить доступность к этим данным их пользователям и блокировать любые попытки получить информацию чужими людьми и злоумышленниками.
Чтобы успешно реализовать эту задачу потребуется комплекс мер, предназначенный для поддержки конфиденциальности данных, сохранности и безопасности обрабатываемой информации, а также безотказный доступ к данным во время проведения финансовых операций.
Чем важна информационная безопасность в банковских учреждениях
Чтобы понять какую роль играет информационная безопасность в банковской деятельности, следует разобраться в том, какая данные банка требуют защиты и почему.
Важность банковской информационной безопасности
К банковским данным относится совокупность информации, которая обеспечивает возможность представления финансового учреждения в информационной среде, а также данные, обеспечивающие возможность проведения финансовых операций между клиентом и банком, а также между несколькими клиентами, использующих банковское учреждение в качестве финансового посредника.
Существует два вида банковской информации – это те данные, которые используются в информационной среде с целью представления деятельности финансового учреждения для его клиентов, а также совокупность данных клиентов финучреждения как юридических, так и физических.
Несмотря на то, что одна информация является открытой, а вторая закрытой, обе они требуют надежной защиты.
- Безопасность открытых данных заключается в том, что эта информация всегда должна быть достоверной и подаваться клиентам в том ракурсе, который выбрал для себя банк. Если по каким-то причинам эти данные будут видоизменены или подменены, то банк может потерпеть не только существенные финансовые потери, а также и удар по своему имиджу и репутации.
- Опасность завладения закрытыми данными заключается в том, что если она попадет в руки злоумышленников, то они могут использовать ее с целью получения для себя неправомерной финансовой прибыли. Это может осуществляться путем проведения неправомерных финансовых операций или посредством вымогательства с угрозой распространить какую-либо скрытую информацию о клиентах банка.
Как видим, защита информации в банковских системах – это очень важный аспект деятельности финансового учреждения, который всегда должен быть ключевым среди большого перечня задач, с которыми сталкиваются банки.
Попытки доступа к тайной банковской информации
Среди способов несанкционированного доступа к данным банков на сегодня наиболее часто встречаются следующие.
- Физический доступ и последующая кража нужной информации. Вариантов реализовать этот способ очень много, начиная с кражи конфиденциальной информации одним из сотрудников банка, который имеет доступ к ней и заканчивая вероятностью вооруженного налета с целью получения важных архивов, баз данных и пр.
- Второй метод воровства заключается в том, что архивы можно неправомерно получить во время создания резервных копий. Всем известно, что любое учреждение делает резервирование и архивирование важных данных, чтобы не потерять их во время сбоя информационной системы или какой-нибудь более глобальной катастрофы. Большинство банковских учреждений архивируют свою информацию с помощью стримеров, записывая данные на ленту, которая хранится в отдельных помещениях. Во время процесса транспортирования лент и их хранения возможно копирование данных и распространение их вне информационной среды банка.
- К одним из наиболее распространенных и вероятных способов утечки информации относится несанкционированный доступ к данным через права администратора информационной системы или посредством специальных программ, которые позволяют обойти защиту и получить доступ к нужной информации. Иногда сотрудники могут делать это даже непреднамеренно, например, беря работу домой. Как бы и ничего опасного, но вероятность того, что данные попадут в руки недоброжелателю, в таком случае, существенно возрастает.
- Еще одним способом получить засекреченную информацию является распространение разного рода программ-шпионов, вирусов, плагинов, специализированного софта.
Методы защиты банковской информации
Учитывая перечисленные выше угрозы потери важных данных, должны выбираться методы и средства защиты банковской информации.
Защита от физического доступа
Большинство банков уделяют достаточно большое внимание уровню физической безопасности своей информации.
Начинается этот процесс с того, что места, где хранятся информационные архивы и устанавливаются банковские сервера, имеют более высокий уровень защищенности от проникновения и возможности пребывания там сторонних физических лиц.
Кроме этого, активная работа ведется и по подбору персонала, который будет иметь доступ к конфиденциальным данным банка и его клиентов. Реализация перечисленных факторов существенно снижает вероятность кражи архивов, но не исключает ее полностью.
Создание резервных копий
Резервирование информации и запись ее в архивы – это важный шаг чтобы сохранить нужные для себя данные.
Но чтобы исключить вероятность их попадания в руки злоумышленников, этот процесс должен происходить с применением систем шифрования.
Использование современной криптографической защиты сведет к нулю вероятность того, что даже украденная информация будет кем-то использована.
На сегодня есть много различных программных продуктов, которые обеспечивают шифрование данных в момент переноса их в архив.
Весь процесс полностью автоматизирован и не несет для банка существенных затрат в финансовом плане и в плане потребности дополнительных сотрудников.
Также важно, чтобы в процессе создания зашифрованного архива использовались хранилища, построенные на физических накопителях, а не на виртуальных.
Это гарантирует еще один уровень защищенности информации, ведь виртуальное хранилище легче взломать, нежели реальное.
Предотвращение инсайдерской информации
Предотвратить утечку инсайдерской информации порой бывает труднее всего. Защитить ее с помощью различных и программных средств – это только половина решения поставленной задачи. В этом случае ключевую роль играет человеческий фактор.
Именно через сотрудников очень часто происходит потеря важных данных, что впоследствии влияет на будущее и текущую деятельность банка.
Поэтому подбор кадров, эффективная работа внутренней службы безопасности, а также использование системы ограничения доступа позволит минимизировать риски потери инсайдерской информации.
Заключение
Выше были рассмотрены основные способы защиты банковской информации.
Чтобы гарантировать 100-процентую ее защиту важно использовать все существующие на сегодня способы в комплексе.
Учитывая, что киберпреступность в последнее время развивается очень сильно и защитить информацию становится все труднее, важно, чтобы этим процессом занимались профессионалы своего дела.
Они помогут подобрать правильные аппаратные и программные средства, а также создадут верную стратегию защиты данных в конкретной информационной среде банка.
Видео: Правила защиты банковской карты от мошенничества
Банки и все, что с ними
связанно — всегда были мишенью для всякого
рода мошенников. В наше время эти
мошенничества связанны с электронной
преступностью. И я, как человек, который
пытается предотвратить их, хотел бы немного
осветить данный вопрос и развенчать миф о
хакере-одиночке — проникающим в банковские
системы и получающим ПОЛНЫЙ доступ к ее
информационным ресурсам.
Для начала рассмотрим
вопрос обеспечения безопасности
вычислительного комплекса. Под
безопасностью системы понимают —
способность противодействовать попыткам
проникновения, НСД, получения прав и
привилегий, а также уничтожения или
искажения информации. Нас больше всего
интересует внутренняя безопасность, т.е.
обеспечение функционирования системы в
штатном режиме и обеспечении целостности,
сохранности и конфиденциальности
информации.
Анализируя список
существующих угроз — можно определить
основные направления защиты банковской
системы:
- Физическая защита. Т.е.
защита оборудования от механических
повреждений, хищений, установки спец.
оборудования для электромагнитного
съема. - Защита от НСД.
- Защита электронного
документооборота. Т.е. шифрование с
открытым ключом всей значимой
электронной переписки. - Антивирусная защита.
Установка комплекса
специализированного программного
обеспечения по предотвращению
проникновения в вычислительную сеть
вредоносных программ.
Разобравшись с тем, что
такое безопасность и определившись в
значимости вопроса ее обеспечения перейдем
к освещению средств защиты электронных
систем.
К средствам защиты
относят программные, аппаратные и
аппаратно — программные системы.
По своим характеристикам
самую надежную систему защиты позволяют
реализовать только аппаратные и аппаратно —
программные средства. Это связанно с тем,
что данные системы чаще всего
специализированные, то есть выполняющие
определенные функции, что является большим
преимуществом, т.к. защитить или
протестировать специализированное
устройство намного проще, чем
универсальное. Еще одним преимуществом
специализированных систем является то, что
они позволяют физически и логически
изолировать блоки с критически важной
информацией. Кроме того, программно —
аппаратные системы обеспечивают надежную
защиту от модификации, удаления или хищения
информации системными программистами или
высоко квалифицированным персоналом.
Обычно в программно — аппаратных средствах
обеспечения безопасности
предусматривается функция стирания
секретной информации при попытках
физического проникновения в аппаратную
часть системы.
Учитывая еще и
экономическую эффективность системы
обеспечения безопасности, чаще применяют
только программные средства, т.к. стоимость
специализированных аппаратных модулей —
достаточно высока. При использовании
программных средств, вы получаете очень
гибкую, обеспечивающую достаточный уровень
защиты, и в то же время незначительную по
стоимости обслуживания программных
комплексов,(в сравнении с аппаратными,
систему. Еще одним немаловажным
преимуществом программной реализации
защиты — является возможность ее изменения
в сторону усложнения или упрощения, в
зависимости от потребностей обеспечения
безопасности.
С помощью программных
средств можно реализовать следующие
способы защиты:
- Криптографическое
преобразование .
Т.е. шифрование информации. Самыми
распространенными методами являются DES
и RSA. DES — DATA ENCRIPTION STANDART — этот стандарт
криптографического преобразования
данных разработанный фирмой IBM для
собственных нужд, но позже ставший
федеральным стандартом США. Алгоритм DES
широко используется во всем мире,
является открытым и был опубликован. Он
прост в понимании, использует метод
защиты, который основан на ключе и не
зависит от степени «секретности»
алгоритма. RSA — на данный момент
является самым перспективным методом, т.к.
не требует передачи ключа для
шифрования другим пользователям.
Криптографическая модификация данных
осуществляется первым открытым ключом,
а восстановление информации происходит
с помощью второго секретного ключа.
Основное применение RSA на данный момент —
защита электронного документооборота. В
качестве примера можно привести
протокол SSL (Secure Sockets Layer), гарантирующий
безопасную передачу данных по сети. SSL
комбинирует криптографическую систему
с открытым ключом и блочное шифрование
данных. Единственным недостатком
алгоритма RSA является то, что он не до
конца изучен и не существует 100% гарантии
его надежности. - Аутентификация
пользователей .
Т.е. проверка правильности введенной
пользователем регистрационной
информации для входа в систему.
Используется для принудительного
применения избирательных прав доступа к
информационным ресурсам и прав на
выполнение операций в системе. - Разграничение
прав и привилегий пользователей на
доступ к информационным ресурсам . - Контроль
целостности информации, антивирусная
защита, аудит. Т.е.
отслеживание деятельности
пользователей и ПО работающих в системе
путем регистрации предопределенных
типов событий в системном журнале
безопасности, а также выполнение
определенных ответных действий или
запрещение выполнения. - Наблюдение за
работой комплексов защиты информации,
как программных, так и аппаратных .
Т.е. реализация средств контроля и
управления защитными механизмами
системы обеспечения безопасности. - Резервное
копирование и в последствии
восстановление информации . - Брандмауер (
firewall)
— система или комбинация систем,
создающая защитный барьер между двумя
или большим количеством сетей и
предотвращающая вторжение в частную
сеть. Firewall’ы служат виртуальными
барьерами для передачи пакетов из одной
сети в другую.
Главным недостатком
систем защиты, построенных на основе только
программных комплексов, является
возможность их анализа при НСД. В
результате чего нельзя исключить
возможность разработки способов
преодоления комплекса программных средств
обеспечения безопасности или его
модификации.
Продолжение следует…
Банковская деятельность всегда была связана с обработкой и хранением большого количества конфиденциальных данных. В первую очередь это персональные данные о клиентах, об их вкладах и обо всех осуществляемых операциях.
Вся коммерческая информация, хранящаяся и обрабатываемая в кредитных организациях, подвергается самым разнообразным рискам, связанным с вирусами, выходом из строя аппаратного обеспечения, сбоями операционных систем и т.п. Но эти проблемы не способны нанести сколько-нибудь серьезный ущерб. Ежедневное резервное копирование данных, без которого немыслима работа информационной системы любого предприятия, сводит риск безвозвратной утери информации к минимуму. Кроме того, хорошо разработаны и широко известны способы защиты от перечисленных угроз. Поэтому на первый план выходят риски, связанные с несанкционированным доступом к конфиденциальной информации (НСД).
Несанкционированный доступ - это реальность
На сегодняшний день наиболее распространены три способа воровства конфиденциальной информации. Во-первых, физический доступ к местам ее хранения и обработки. Здесь существует множество вариантов. Например, злоумышленники могут забраться в офис банка ночью и украсть жесткие диски со всеми базами данных. Возможен даже вооруженный налет, целью которого являются не деньги, а информация. Не исключена ситуация, когда сам сотрудник банка может вынести носитель информации за пределы территории.
Во-вторых, использование резервных копий. В большинстве банков системы резервирования важных данных основаны на стримерах. Они записывают создаваемые копии на магнитные ленты, которые потом хранятся в отдельном месте. Доступ к ним регламентируется гораздо более мягко. При их транспортировке и хранении относительно большое количество человек может снять с них копии. Риски, связанные с резервным копированием конфиденциальных данных, нельзя недооценивать. Например, большинство экспертов уверено, что появившиеся в продаже в 2005 году базы данных проводок Центрального Банка РФ были украдены именно благодаря снятым с магнитных лент копиям. В мировой практике известно немало подобных инцидентов. В частности, в сентябре прошлого года сотрудники компании Chase Card Services (подразделение JPMorgan Chase & Co.), поставщика кредитных карт, по ошибке выкинули пять магнитных лент с резервными копиями, содержащими информацию о 2,6 млн. владельцев кредитных счетов Circuit City.
В-третьих, наиболее вероятный способ утечки конфиденциальной информации - несанкционированный доступ сотрудниками банка. При использовании для разделения прав только стандартных средств операционных систем у пользователей нередко существует возможность опосредованно (с помощью определенного ПО) целиком скопировать базы данных, с которыми они работают, и вынести их за пределы компании. Иногда сотрудники делают это без всякого злого умысла, просто чтобы поработать с информацией дома. Однако такие действия являются серьезнейшим нарушением политики безопасности и они могут стать (и становятся!) причиной огласки конфиденциальных данных.
Кроме того, в любом банке есть группа людей, обладающих в локальной сети повышенными привилегиями. Речь идет о системных администраторах. С одной стороны, это необходимо им для выполнения служебных обязанностей. Но, с другой стороны, у них появляется возможность получить доступ к любой информации и «замести следы».
Таким образом, система защиты банковской информации от несанкционированного доступа должна состоять как минимум из трех подсистем, каждая из которых обеспечивает защиту от своего вида угроз. Это подсистема защиты от физического доступа к данным, подсистема обеспечения безопасности резервных копий и подсистема защиты от инсайдеров. И желательно не пренебрегать ни одной из них, поскольку каждая угроза может стать причиной разглашения конфиденциальных данных.
Банкам закон не писан?
В настоящее время деятельность банков регламентируется федеральным законом «О банках и банковской деятельности». В нем, помимо всего прочего, вводится понятие «банковская тайна». Согласно ему любая кредитная организация обязана обеспечивать конфиденциальность всех данных о вкладах клиентов. За их разглашение она несет ответственность, включая возмещение причиненного утечкой информации ущерба. При этом никаких требований к безопасности банковских информационных систем не предъявляется. Это значит, что все решения по защите коммерческих данных банки принимают самостоятельно, основываясь на опыте своих специалистов или сторонних компаний (например, осуществляющих аудит информационной безопасности). Единственной рекомендацией является стандарт ЦБ РФ «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения». Впервые он появился в 2004 году, а в 2006 был принят новый его вариант. При создании и доработке этого ведомственного документа использовались действующие российские и международные стандарты в области информационной безопасности.
ЦБ РФ может только рекомендовать его другим банкам, но не может настаивать на обязательном внедрении. Кроме того, в стандарте мало четких требований, определяющих выбор конкретных продуктов. Он, безусловно, важен, но в данный момент не имеет серьезного практического значения. Например, про сертифицированные продукты в нем сказано так: «...могут использоваться сертифицированные или разрешенные к применению средства защиты информации от НСД». Соответствующий список отсутствует.
Перечислены в стандарте и требования к криптографическим средствам защиты информации в банках. И вот здесь уже есть более-менее четкое определение: «СКЗИ... должны быть реализованы на основе алгоритмов, соответствующих национальным стандартам РФ, условиям договора с контрагентом и(или) стандартам организации». Подтвердить соответствие криптографического модуля ГОСТ 28147-89 можно путем сертификации. Поэтому при использовании в банке систем шифрования желательно применять сертифицированные ФСБ РФ программные или аппаратные криптопровайдеры, то есть внешние модули, подключающиеся к программному обеспечению и реализующие сам процесс шифрования.
В июле прошлого года был принят федеральный закон Российской Федерации «О персональных данных», который вступил в действие 1 января 2007 года. Некоторые эксперты связывали с ним появление более определенных требований к банковским системами защиты, поскольку банки относятся к организациям, обрабатывающим персональные данные. Однако сам закон, безусловно очень важный в целом, на сегодняшний день не применим на практике. Проблема заключается в отсутствии стандартов защиты приватных данных и органов, которые могли бы контролировать их исполнение. То есть получается, что в настоящее время банки свободны в выборе систем защиты коммерческой информации.
Защита от физического доступа
Банки традиционно уделяют очень большое внимание физической безопасности операционных отделений, отделений хранения ценностей и т.п. Все это снижает риск несанкционированного доступа к коммерческой информации путем физического доступа. Однако офисы банков и технические помещения, в которых размещаются серверы, по степени защиты обычно не отличаются от офисов других компаний. Поэтому для минимизации описанных рисков необходимо использовать систему криптографической защиты.
Сегодня на рынке имеется большое количество утилит, осуществляющих шифрование данных. Однако особенности их обработки в банках предъявляют к соответствующему ПО дополнительные требования. Во-первых, в системе криптографической защиты должен быть реализован принцип прозрачного шифрования. При его использовании данные в основном хранилище всегда находятся только в закодированном виде. Кроме того, эта технология позволяет минимизировать затраты на регулярную работу с данными. Их не нужно каждый день расшифровывать и зашифровывать. Доступ к информации осуществляется с помощью специального ПО, установленного на сервере. Оно автоматически расшифровывает информацию при обращении к ней и зашифровывает перед записью на жесткий диск. Эти операции осуществляются прямо в оперативной памяти сервера.
Во-вторых, банковские базы данных очень объемны. Таким образом, криптографическая система защиты информации должна работать не с виртуальными, а с реальными разделами винчестеров, RAID-массивами и прочими серверными носителями информации, например, с хранилищами SAN. Дело в том, что файлы-контейнеры, которые могут подключаться к системе в качестве виртуальных дисков, не предназначены для работы с большими объемами данных. В том случае, когда виртуальный диск, созданный из такого файла, имеет большой размер, при обращении к нему одновременно даже нескольких человек можно наблюдать значительное уменьшение скорости чтения и записи информации. Работа же нескольких десятков человек с файлом-контейнером большого объема может превратиться в сущее мучение. Кроме того, нужно учитывать, что эти объекты подвержены риску повреждения из-за вирусов, сбоев файловой системы и т.д. Ведь, по сути, они представляют собой обычные файлы, но довольно большого размера. И даже небольшое их изменение может привести к невозможности декодирования всей содержащейся в нем информации. Оба этих обязательных требования существенно сужают круг подходящих для реализации защиты продуктов. Фактически сегодня на российском рынке имеется лишь несколько таких систем.
Подробно рассматривать технические особенности серверных систем криптографической защиты информации нет необходимости, поскольку в одном из прошлых номеров мы уже сравнивали эти продукты. (Столяров Н., Давлетханов М. UTM-защита. ) Но стоит отметить некоторые особенности таких систем, наличие которых желательно для банков. Первая связана с уже упомянутой сертификацией используемого криптографического модуля. Соответствующее программное или аппаратное обеспечение уже есть в большинстве банков. Поэтому система серверной защиты информации должна предусматривать возможность их подключения и использования. Вторым особым требованием к системе защиты информации является возможность интеграции в систему физической безопасности офиса и/или серверной комнаты. Это позволяет защитить информацию от несанкционированного доступа, связанного с кражей, взломом и т.п.
Особое внимание в банках должно уделяться сохранности информации, поскольку она фактически является деньгами клиентов. Поэтому в системе защиты должны быть предусмотрены специальные возможности, минимизирующие риск ее утери. Одной из самых заметных является функция определения испорченных секторов на жестком диске. Кроме того, большую важность имеет возможность приостановки и отмены процессов первоначального зашифровывания диска, его расшифровывания и перешифровывания. Это довольно длительные процедуры, любой сбой во время которых грозит полной потерей всех данных.
Очень большое влияние на риски, связанные с несанкционированным доступом к конфиденциальной информации, имеет человеческий фактор. Поэтому желательно, чтобы система защиты предусматривала возможность уменьшения такой взаимосвязи. Достигается это путем использования надежных средств хранения ключей шифрования - смарт-карт или USB-ключей. Оптимальным является вхождение этих токенов в состав продукта, оно позволяет не только оптимизировать затраты, но и обеспечивает полную совместимость программного и аппаратного обеспечения.
Другой важной функцией, позволяющей минимизировать влияние человеческого фактора на надежность системы защиты, является кворум ключей. Суть его заключается в разделении ключа шифрования на несколько частей, каждая из которых отдается в пользование одному ответственному сотруднику. Для подключения закрытого диска требуется наличие заданного количества частей. Причем оно может быть меньше общего числа частей ключа. Такой подход позволяет обезопасить данные от нецелевого использования ответственными сотрудниками, а также обеспечивает необходимую для работы банка гибкость.
Защита резервных копий
Регулярное резервирование всей хранящейся в банке информации - абсолютно необходимая мера. Она позволяет существенно снизить убытки в случае возникновения таких проблем, как порча данных вирусами, выход из строя аппаратного обеспечения и т.п. Но в то же время она усиливает риски, связанные с несанкционированным доступом. Практика показывает, что носители, на которые записываются резервные копии, должны храниться не в серверной комнате, а в другом помещении или даже здании. В противном случае при возникновении пожара или другого серьезного инцидента безвозвратно утерянными могут оказаться как сами данные, так и их архивы. Надежно защитить резервные копии от несанкционированного использования можно только с помощью криптографии. В этом случае, храня ключ шифрования у себя, офицер безопасности может спокойно передавать носители с архивами техническому персоналу.
Основная сложность в организации криптографической защиты резервных копий заключается в необходимости разделения обязанностей по управлению архивированием данных. Настраивать и осуществлять сам процесс резервного копирования должен системный администратор или другой технический сотрудник. Управлять же шифрованием информации должен ответственный сотрудник - офицер безопасности. При этом необходимо понимать, что резервирование в подавляющем большинстве случаев осуществляется в автоматическом режиме. Решить эту проблему можно только путем «встраивания» системы криптографической защиты между системой управления резервным копированием и устройствами, которые осуществляют запись данных (стримеры, DVD-приводы и т.п.).
Таким образом, криптографические продукты для возможности их применения в банках должны также иметь возможность работы с различными устройствами, использующимися для записи резервных копий на носители информации: стримерами, CD- и DVD-приводами, съемными жесткими дисками и т.п.
На сегодня существуют три типа продуктов, призванных минимизировать риски, связанные с несанкционированным доступом к резервным копиям. К первому относятся специальные устройства. Такие аппаратные решения имеют множество преимуществ, в том числе и надежное шифрование информации, и высокая скорость работы. Однако они обладают тремя существенными недостатками, которые не позволяют использовать их в банках. Первый: очень высокая стоимость (десятки тысяч долларов). Второй: возможные проблемы c ввозом в Россию (нельзя забывать, что мы говорим о криптографических средствах). Третий минус заключается в невозможности подключить к ним внешние сертифицированные криптопровайдеры. Эти платы работают только с реализованными в них на аппаратном уровне алгоритмами шифрования.
Вторую группу систем защиты криптографической защиты резервных копий составляют модули, которые предлагают своим клиентам разработчики программного и аппаратного обеспечения для резервного копирования. Существуют они для всех наиболее известных в данной области продуктов: ArcServe, Veritas Backup Exec и др. Правда, и у них есть свои особенности. Самая главная - это работа только со «своим» ПО или накопителем. Между тем информационная система банка постоянно развивается. И возможна ситуация, когда замена или расширение системы резервного копирования может потребовать дополнительных затрат на модификацию системы защиты. Кроме того, в большинстве продуктов этой группы реализованы старые медленные алгоритмы шифрования (например, 3DES), нет средств управления ключами, отсутствует возможность подключения внешних криптопровайдеров.
Все это заставляет обратить самое пристальное внимание на системы криптографической защиты резервных копий из третьей группы. К ней относятся специально разработанные программные, программно-аппаратные и аппаратные продукты, не привязанные к конкретным системам архивирования данных. Они поддерживают широкий спектр устройств записи информации, что позволяет применять их во всем банке, включая и все его филиалы. Это обеспечивает единообразие используемых средств защиты и минимизацию эксплуатационных затрат.
Правда, стоит отметить, что, несмотря на все их преимущества, на рынке представлено совсем немного продуктов из третьей группы. Это объясняется, скорее всего, отсутствием большого спроса на системы криптографической защиты резервных копий. Как только руководство банков и прочих крупных организаций осознает реальность рисков, связанных с архивированием коммерческой информации, число игроков на этом рынке вырастет.
Защита от инсайдеров
Последние исследования в области информационной безопасности, например ежегодное CSI/FBI Computer Crime And Security Survey, показало, что финансовые потери компаний от большинства угроз год от года снижаются. Однако есть несколько рисков, убытки от которых растут. Одно из них - намеренное воровство конфиденциальной информации или же нарушение правил обращения с ней теми сотрудниками, доступ которых к коммерческим данным необходим для выполнения служебных обязанностей. Их называют инсайдерами.
В подавляющем большинстве случаев воровство конфиденциальной информации осуществляется с помощью мобильных носителей: CD и DVD-дисков, ZIP-устройств и, самое главное, всевозможных USB-накопителей. Именно их массовое распространение и привело к расцвету инсайдерства по всему миру. Руководители большинства банков прекрасно понимают, чем может грозить, например, попадание базы данных с персональными данными их клиентов или, тем более, проводками по их счетам в руки криминальных структур. И они пытаются бороться с вероятным воровством информации доступными им организационными методами.
Однако организационные методы в данном случае неэффективны. Сегодня можно организовать перенос информации между компьютерами с помощью миниатюрной флэшки, сотового телефона, mp3-плеера, цифрового фотоаппарата... Конечно, можно попробовать запретить проносить на территорию офиса все эти устройства, однако это, во-первых, негативно скажется на отношениях с сотрудниками, а во-вторых, наладить реально действенный контроль над людьми все равно очень сложно - банк не «почтовый ящик». И даже отключение на компьютерах всех устройств, которые могут использоваться для записи информации на внешние носители (FDD и ZIP-диски, CD и DVD-приводы и т.п.), и USB-портов не поможет. Ведь первые нужны для работы, а ко вторым подключается различная периферия: принтеры, сканеры и т.п. И никто не может помешать человеку отключить на минуту принтер, вставить в освободившийся порт флэш-диск и скопировать на него важную информацию. Можно, конечно, найти оригинальные способы защиты. Например, в одном банке попробовали такой метод решения проблемы: залили место соединения USB-порта и кабеля эпоксидной смолой, намертво «привязав» последний к компьютеру. Но, к счастью, сегодня существуют более современные, надежные и гибкие способы контроля.
Самым эффективным средством минимизации рисков, связанных с инсайдерами, является специальное программное обеспечение, осуществляющее динамическое управление всеми устройствами и портами компьютера, которые могут использоваться для копирования информации. Принцип их работы таков. Для каждой группы пользователей или для каждого пользователя в отдельности задаются разрешения на использование различных портов и устройств. Самое большое преимущество такого ПО - гибкость. Вводить ограничения можно для конкретных типов устройств, их моделей и отдельных экземпляров. Это позволяет реализовывать очень сложные политики распределения прав доступа.
Например, некоторым сотрудникам можно разрешить использовать любые принтеры и сканеры, подключенные к USB-портам. Все же остальные устройства, вставленные в этот порт, останутся недоступными. Если же в банке применяется система аутентификации пользователей, основанная на токенах, то в настройках можно указать используемую модель ключей. Тогда пользователям будет разрешено использовать только приобретенные компанией устройства, а все остальные окажутся бесполезными.
Исходя из описанного выше принципа работы систем защиты, можно понять, какие моменты важны при выборе программ, реализующих динамическое блокирование устройств записи и портов компьютера. Во-первых, это универсальность. Система защиты должна охватывать весь спектр возможных портов и устройств ввода-вывода информации. Иначе риск кражи коммерческой информации остается недопустимо высоким. Во-вторых, рассматриваемое ПО должно быть гибким и позволять создавать правила с использованием большого количество разнообразной информации об устройствах: их типов, производителей моделей, уникальных номеров, которые есть у каждого экземпляра и т.п. Ну и, в-третьих, система защиты от инсайдеров должна иметь возможность интеграции с информационной системой банка, в частности с Active Directory. В противном случае администратору или офицеру безопасности придется вести по две базы пользователей и компьютеров, что не только неудобно, но и увеличивает риски возникновения ошибок.
Подводим итоги
Итак, сегодня на рынке есть продукты, с помощью которых любой банк может организовать надежную систему защиты информации от несанкционированного доступа и нецелевого использования. Правда, при их выборе нужно быть очень осмотрительным. В идеале этим должны заниматься собственные специалисты соответствующего уровня. Допускается использование услуг посторонних компаний. Однако в этом случае возможна ситуация, когда банку будет искусно навязано не адекватное программное обеспечение, а то, которое выгодно фирме-поставщику. Кроме того, отечественный рынок консалтинга в области информационной безопасности находится в зачаточном состоянии.
Между тем сделать правильный выбор совсем несложно. Достаточно вооружиться перечисленными нами критериями и внимательно изучить рынок систем безопасности. Но здесь есть «подводный камень», о котором необходимо помнить. В идеальном случае система информационной безопасности банка должна быть единой. То есть все подсистемы должны интегрироваться в существующую информационную систему и, желательно, иметь общее управление. В противном случае неминуемы повышенные трудозатраты на администрирование защиты и увеличение рисков из-за ошибок в управлении. Поэтому для построения всех трех описанных сегодня подсистем защиты лучше выбирать продукты, выпущенные одним разработчиком. Сегодня в России есть компании, которые создают все необходимое для защиты банковской информации от несанкционированного доступа.
Какие основные проблемы в области обеспечения безопасности вы выделяете на настоящий момент как в аспекте информационной безопасности, так и с точки зрения обеспечения безопасности бизнеса?
Андрей Богословских, директор Дирекции информационных технологий Росбанка:
Нацеленность хакерского сообщества на создание вредоносного кода, адаптированного к технологиям систем дистанционного банковского обслуживания. Кража паролей и ключевой информации с зараженных компьютеров клиентов.
Константин Меденцев, вице-президент по информационным технологиям Московского Банка Реконструкции и Развития:
Основной задачей информационной безопасности является обеспечение и совершенствование защиты информационной инфраструктуры. Информационные технологии все шире используются и в криминальных целях. Технологии становятся более доступными, и стоимость атак на информационные системы снижается, тогда как защита электронных информационных ресурсов обходится все дороже. С помощью информационных систем кредитным организациям удается существенно снизить издержки на обслуживание клиентов, что, в свою очередь, ведет к увеличению прибыли. Однако механизмы исполнения установленных регуляторами требований ведут к значительному удорожанию банковского обслуживания. Чем выше уровень защиты данных, тем, разумеется, труднее их получить, так как усложняется архитектура соответствующих автоматизированных систем. В этой связи важно найти интегрированный подход или алгоритм действий, реализация которого позволит выполнить законные требования, но при этом не скажется отрицательно на деятельности банка и не приведет к удорожанию продуктов и услуг для потребителя.
Владилен Новоселецкий, начальник Управления информационной безопасности БИНБАНКа:
Главная проблема - ограниченность финансирования ИБ. Она во многом определяет все остальные проблемы.
Вторая проблема - выбор для бизнеса той степени свободы, которая, с одной стороны, не позволит злоумышленникам разорить бизнес, с другой - не задушит бизнес. Очевидно, что инцидентов ИБ не будет, если все запретить. Но тогда и бизнес развиваться не будет. Поэтому нужно найти баланс между необходимой для бизнеса свободой действий и необходимой для обеспечения ИБ системой ограничений.
Третья проблема - проблема выбора СЗИ с требуемым функционалом, не оказывающих заметного негативного влияния на защищаемые средства (проблема функциональности и совместимости). СЗИ на рынке предлагается много, но... гладко было на бумаге.
Четвертая проблема - правовая - лицензирование деятельности с использованием СКЗИ, сертификация СЗИ и аттестация объектов автоматизации. Среди сертифицированных ФСТЭК России (ФСБ России) СЗИ большинство устарели. Поэтому при выборе СЗИ возникает дилемма: выполнить требования ФЗ, приобретя сертифицированное, но устаревшее СЗИ. Либо приобрести СЗИ новейшей разработки и, соответственно, более эффективное, но несертифицированное. Если выбран и уже приобретен несертифицированный вариант СЗИ, то его последующая сертификация превращается просто в кормушку для занимающихся этим организаций. В ходе сертификации СЗИ лучше не станет, но станет гораздо дороже. А если результат сертификации окажется отрицательным, то что делать с этим СЗИ? Вернуть продавцу?
Олег Подкопаев, директор по информационным технологиям Русфинанс Банка: Как всегда, основной угрозой информационной безопасности организации и бизнеса является инсайдер. И хотя последствия инсайдерских действий, как правило, менее заметны в явном виде, а иногда даже просто не видны - именно в этом заключается их основная опасность. Компрометация клиентской базы, например, помимо прямых юридических рисков в дальнейшем приводит к снижению бизнеса и потере доли на рынке, причем последствия становятся видны только тогда, когда делать что-либо уже поздно. Соответственно, основные усилия должны быть направлены на превентивные мероприятия, позволяющие не допустить подобной утечки либо вовремя ее выявить.
Александр Туркин, руководитель Центра верификации и информационного обеспечения БИНБАНКа: С аттестацией объектов информатизации картина такая: при любом изменении объект нужно переаттестовывать. Но в банке изменения происходят непрерывно! Меняется как компьютерное оборудование, так и программное обеспечение, технология работ. Таким образом, формально аттестация/переаттестация превращается в непрерывный бесконечный процесс с бесконечными расходами.
Как известно, для использования СКЗИ, подпадающих под постановление Правительства РФ от 29.12.2007 № 957, утвердившее Положения о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами, необходимы лицензии ФСБ России. Но тогда они нужны не только для банка, но и для всех клиентов системы Клиент-Банк. Аналогично для всех клиентов систем электронного обмена с ФНС, Пенсионным фондом и т. п. Получается, что лицензии ФСБ России нужны для большинства организаций страны.
Евгений Шевцов, вице-президент ЗАО АКБ «НОВИКОМБАНК»: Кредитно-финансовые организации сегодня все чаще сталкиваются с широким спектром существующих угроз, таких как компьютерное мошенничество, компьютерные вирусы, взлом компьютерных систем, отказ в обслуживании и т. д. Высокая зависимость этих организаций, нашего банка в частности, от информационных ресурсов, объединение корпоративных сетей и сетей общего доступа, совместное использование информационных ресурсов повышают уязвимость от подобных угроз. Поскольку существующие в банке информационные системы изначально не проектировались с необходимым уровнем защищенности, то в большинстве случаев возможности обеспечения информационной безопасности ограничены.
Важнейшей проблемой, стоящей перед руководством и службой безопасности, является проблема внутренних угроз информационной безопасности, или, иными словами, проблема защиты информации от инсайдеров.
Поэтому сегодня, как в аспекте информационной безопасности, так и с точки зрения обеспечения безопасности бизнеса, жизненно необходима комплексная система информационной безопасности, которая задействует не только технические, но и организационные ресурсы, создание которой может обойтись банку значительно дешевле, чем ликвидация последствий угроз ИБ.
Изменился ли в результате кризиса характер взаимоотношений между IT-подразделением банка и службой безопасности? Произошло ли перераспределение обязанностей и функций? Каким образом?
Андрей Богословских: Кризис не изменил взаимоотношения между IT и безопасностью.
Константин Меденцев: Финансово-экономический кризис оказал существенное влияние на характер ведения бизнеса, что в ряде случаев повлекло за собой заметные изменения в структуре кредитных организаций, связанные либо с сокращением, либо с перераспределением задач между подразделениями. В части информационной безопасности с основными смежными подразделениями, а именно - с подразделениями информационных технологий. Наблюдения показывают, что в ряде случаев имеет место передача функций, связанных с эксплуатацией систем обеспечения информационной безопасности, в подразделения информационных технологий. Однако негативное влияние данного перераспределения на ведение бизнеса в целом в основе своей может быть проявиться только в случае отсутствия оперативной корректировки процедур взаимодействия смежных подразделений. В случае грамотного описания процедур взаимодействия негативного влияния данное перераспределение не оказывает.
Владилен Новоселецкий: В связи со вступлением в действие Закона «О персональных данных» характер взаимоотношений должен был бы измениться в сторону ИБ. Но он не изменился. Возможно, что основной вклад в это внес кризис.
Олег Подкопаев: Кризис как таковой, конечно, на такие взаимоотношения не повлиял, поскольку его сущность была иной. Но с точки зрения взаимодействия подразделений банка действия стали слаженнее. В большей мере повлияли требования регуляторов, реализация которых требует более четкого взаимодействия служб IT и безопасности. При этом распределение функций не меняется: подразделения информационной безопасности являются регулирующими и контролирующими органами внутри банка, IT призвано реализовывать и обеспечивать информационную безопасность.
Евгений Шевцов: Характер взаимодействия не изменился. Обязанности и функции подразделений остались прежними, определяемыми нормативными документами банка.
Как вы оцениваете роль регулятора в области информационной безопасности банка? Насколько полезны, в частности, те шаги, которые ЦБ РФ предпринимает в законодательной сфере?
Андрей Богословских: Банк России разрабатывает стандарты ИБ, они носят рекомендательный характер (не являются законодательной сферой). Оценка двоякая. С одной стороны, стандарты ИБ ЦБ РФ полезны, так как они базируются на современных международных стандартах по ИБ. С другой стороны, в них много спорного, так как они базируются еще и на устаревших методиках и инструкциях Гостехкомиссии (ФСТЭК).
Константин Меденцев: Усилия Центрального банка не могут оставаться незамеченными. Важной вехой в становлении нормативно-методической базы Центрального банка в области информационной безопасности стал выпуск ряда регламентирующих документов. Таких как «Методика оценки соответствия информационной безопасности требованиям СТО БР ИБСС-1.0-2008» и «Методика оценки рисков нарушения информационной безопасности».
Олег Подкопаев: Я полагаю, ЦБ РФ поступает абсолютно правильно, приучая банки к мысли о возможной регуляции в области информационной безопасности. Причем это делается очень разумно, посредством выпуска сначала рекомендаций и методик самооценки, проведением пилотов по аудиту информационной безопасности, и лишь потом - а это вопрос времени - введением обязательных требований.
Александр Туркин: Регуляторов в области ИБ у нас три: ЦБ РФ, ФСТЭК России, ФСБ России. Шаги ЦБ в законодательной сфере предпринимаются в интересах банков, поэтому они, безусловно, для банков полезны, а вот насколько они окажутся эффективны - время покажет. Пока похоже, что какой-то эффект будет, хотя может и меньше, чем хотелось бы. Получили отсрочку на год, и ФСТЭК России снял гриф ДСП с четырех своих документов - уже хорошо. Вместе с тем хотелось бы подчеркнуть, что роль Банка России в этом вопросе, несомненно, позитивная. По приглашению Андрея Петровича Курило мы вошли в Рабочую группу АРБ по Закону № 152-ФЗ. Предложения и замечания по совершенствованию законодательства в сфере персональных данных, родившиеся в процессе совещаний Рабочей группы, я думаю, внесли значительный вклад в общую копилку.
Евгений Шевцов: Основным документом, которым руководствуется в своей деятельности служба информационной безопасности банка, является Стандарт Банка России: «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» (СТО БР ИББС-1.0-2008). Ожидаем, что новая редакция документа станет отраслевым стандартом для кредитно-финансовых организаций РФ.
Вступление в силу требований Закона № 152-ФЗ в полном объеме. Насколько сегодня банки готовы к этому? Что дает годичная отсрочка, которой удалось добиться?
Андрей Богословских: Банки не готовы. Годовая отсрочка мало что дает. Защищать ПД сильнее, чем банковскую и коммерческую тайну, - это нонсенс.
Константин Меденцев: Несмотря на то что Федеральный закон «О персональных данных» был принят еще в 2006 г., нормативно-методические документы, регламентирующие процессы построения систем защиты персональных данных, вышли в свет существенно позже. Учитывая немалые объемы финансовых затрат на реализацию систем защиты, у операторов обработки персональных данных на их реализацию осталось слишком мало времени. В этой связи годичная отсрочка пришлась очень кстати.
Олег Подкопаев: Естественно, никто, в том числе и банки, к введению Закона № 152-ФЗ в полном объеме не готов. Более того, не готовы регуляторы, что в общем-то и определило возможность переноса сроков. Причем годичная отсрочка здесь нужна не столько операторам, сколько законодателям, чтобы внести необходимые поправки, сформулированные в процессе попыток практической реализации требований Закона и соответствующих нормативных актов. Я думаю, это будет сделано в течение 2010 г. Будет также понятнее, что и как делать, требования станут больше соответствовать реалиям, и, наконец, у консультантов поднакопится опыт реализации на «пилотных» проектах.
Александр Туркин: Тут одна из проблем - толкование этого ФЗ и подзаконных актов. Если подходить формально и строго, то банки не готовы, и год отсрочки ситуацию кардинально не изменит. Если ряд требований будут скорректированы в сторону их ослабления, то степень готовности повысится.
Евгений Шевцов: Годичная отсрочка дает возможность сэкономить денежные средства при выполнении этих требований.
В связи с развитием дистанционного банковского обслуживания и планами активного развития банков в этом направлении насколько серьезной представляется проблема DDOS-атак на сайты банков, фишинга и прочих угроз для каналов ДБО?
Андрей Богословских: Угроза DDoS серьезна, но не сама по себе, а как средство сокрытия мошеннических транзакций с использованием украденных реквизитов клиентов.
Константин Меденцев: Как уже говорилось, развитие информационных технологий оказывает влияние и на криминальную сферу. Однако системы дистанционного банковского обслуживания при грамотном построении могут вполне уверенно противостоять некоторым видам угроз. Существующие в настоящее время средства мониторинга сетевой активности позволяют выявить источник DDOS-атаки достаточно быстро и наряду с этим позволяют предотвратить нанесение ущерба техническим средствам самой системы дистанционного банковского обслуживания. Однако проблемы, связанные с несанкционированным использованием ключевой информации, мало кого обошли стороной. Исключить данное явление возможно только совместными усилиями как со стороны кредитных организаций - путем внедрения более совершенных механизмов реализации криптографических процедур, так и со стороны самих клиентов - путем неукоснительного соблюдения рекомендаций по обеспечению информационной безопасности.
Александр Туркин: Проблема одна из самых серьезных. В некоторых банках накоплено много информации об источниках таких угроз. Ее консолидация, вероятно, могла бы существенно повысить раскрываемость в данной сфере. Но заинтересованного в такой информации консолидирующего правоохранительного органа не видно. И это при том, что в Доктрине информационной безопасности РФ эта угроза рассматривается как серьезная для экономики страны.
Евгений Шевцов: Считаю данную проблему серьезной. Банку необходимы инструменты, позволяющие предотвращать такие атаки на начальном этапе их действия. И не просто предотвращать, а защищать.
Какие основные проблемы/угрозы для своей деятельности с точки зрения ИБ вы видите на ближайшее будущее - 2010 г.?
Андрей Богословских: Соблюдение требований методических рекомендаций ФСБ и ФСТЭК по защите ПД. Развитие направления мошенничества с использованием каналов ДБО.
Константин Меденцев: Технический прогресс неуклонно идет вперед. Как уже отмечалось ранее, проникновение информационных технологий в криминальную сферу происходит ускоренными темпами. В этой связи представляется, что количество угроз информационной безопасности деятельности кредитных организаций может только возрастать. Однако более детальную оценку их характера и последствий сможет дать только время.
Владилен Новоселецкий: Основная проблема - приведение банка в соответствие с Законом «О персональных данных», а основная угроза - недопонимание или неверное понимание этой проблемы со стороны всех тех лиц, от которых зависит ее решение.
Евгений Шевцов: В рамках создания системы защиты персональных данных рассмотреть вопрос организации комплексной системы безопасности информационных ресурсов банка.
Оценить:
