Стандарты банка России в области информационной безопасности

АННОТАЦИЯ 3 ABSTRACT 3 СПИСОК СОКРАЩЕНИЙ 5 ВВЕДЕНИЕ 6 1 СТАНДАРТЫ БЕЗОПАСНОСТИ БАНКОВСКОЙ СИСТЕМЫ РФ 8 2 УГРОЗЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ БАНКОВСКОЙ СФЕРЫ РФ 10 2.1. КЛАССИФИКАЦИЯ УГРОЗ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ 10 2.2 ПРОМЫШЛЕННЫЙ ШПИОНАЖ 12 2.3. КОМПЬЮТЕРНЫЕ ПРЕСТУПЛЕНИЯ 13 3 СПОСОБЫ ЗАЩИТЫ ИНФОРМАЦИОННЫХ СИСТЕМ БАНКОВСКОЙ СФЕРЫ РФ 15 3.1 ПРАВОВОЕ ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ БАНКА 15 3.2 ОРГАНИЗАЦИОННОЕ ОБЕСПЕЧЕНИЕ БАНКОВСКОЙ БЕЗОПАСНОСТИ 17 3.3 ИНЖЕНЕРНО-ТЕХНИЧЕСКОЕ ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ БАНКА 20 ЗАКЛЮЧЕНИЕ 24 СПИСОК ЛИТЕРАТУРЫ 25 ОТЧЕТ ОБ ОРИГИНАЛЬНОСТИ 27

1. Федеральный Закон «О банках и банковской деятельности» от 01.12.1990 № 395–1 в ред. ФЗ от 03.02.1996 №17–ФЗ, от 31.07.1998 № 151–ФЗ, от 05.07.1999 № 126–ФЗ, от 08.07.1999 № 136–ФЗ, от 19.06.2001 № 82–ФЗ, от 07.08.2001 № 121–ФЗ, от 21.03.2002 № 31–ФЗ, с изменениями, внесенными постановлением Конституционного Суда РФ от 23.02.1999 № 4–П 2. Федеральный закон «О Центральном Банке Российской Федерации (Банке России)» от 10 июля 2002 года № 86–ФЗ 3. Федеральный закон «Об информации, информационных технологиях и о защите информации» от 27 июля 2006 г. № 149-ФЗ 4. ISO/IEC IS 27001–2005 Information technology. Security techniques. Information security management systems. Requirements 5. Федеральный закон «О персональных данных» от 27 июля 2006 г. № 152-ФЗ. 6. Постановление Правительства РФ от 15 сентября 2008 г. N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации". 7. Приказ Федеральной службы по техническому и экспортному контролю, Федеральной службы безопасности Российской Федерации и Министерства информационных технологий и связи Российской Федерации от 13 февраля 2008 г. N 55/86/20 "Об утверждении Порядка проведения классификации информационных систем персональных данных" 8. . Автоматизация банковских операций: Учебное пособие. Ч. 2 Автор: Преображенский Н.Б. Издательство: АТиСО, 2008 г. 9. Гайкович Ю.В, Першин А.С. Безопасность электронных банковских систем. -- М: Единая Европа, 2008 г. 10. Демин В.С. и др. Автоматизированные банковские системы. -- М: Менатеп-Информ, 2009г. 11. Крысин В.А. Безопасность предпринимательской деятельности. -- М: Финансы и статистика, 2008 г. 12. Линьков И.И. и др. Информационные подразделения в коммерческих структурах: как выжить и преуспеть. -- М: НИТ, 2008 г. 13. Материалы агентства "Интерфакс". 1995-2009 гг. 14. Финансовая газета (Региональный выпуск), Москва, 28.03.2009 15. Абрамов А.В. Новое в финансовой индустрии: информатизация банковских технологий. — СПБ: Питер, 2007 г. 16. Гайкович Ю.В, Першин А.С. Безопасность электронных банковских систем. — М: Единая Европа, 2004 г. 17. Демин В.С. и др. Автоматизированные банковские системы. — М: Менатеп-Информ, 1997 г. 18. Крысин В.А. Безопасность предпринимательской деятельности. — М:Финансы и статистика, 2006 г. 19. Линьков И.И. и др. Информационные подразделения в коммерческих структурах: как выжить и преуспеть. — М: НИТ, 2008 г. 20. Титоренко Г.А. и др. Компьютеризация банковской деятельности. — М: Финстатинформ, 2007 г. 21. Тушнолобов И.Б., Урусов Д.П., Ярцев В.И. Распределенные сети. — СПБ: Питер, 2008 г. 22. Novell NetWare. Руководство пользователя, 2008 г. 23. Аглицкий И. Состояние и перспективы информационного обеспечения российских банков. — Банковские технологии, 2007 г. №1. 24. Аджиев В. Мифы о безопасности программного обеспечения: уроки знаменитых катастроф. — Открытые системы, 2008 г., №6. 25. Джонсон Джордж, Распределенные системы в многофилиальной структуре. — PC Magazine/Russian Edition, 2008 г., №10. 26. Заратуйченко О.В. Концепции построения и реализации информационных систем в банках. — СУБД, 2006 г., №4. 27. Кузнецов В.Е. Измерение финансовых рисков. — Банковские технологии, 2007, №9. 28. Мур Г. Глобальный информационный рынок. — Материалы агентства VDM-News, мониторинг иностранной прессы, 14.01.99 г. 29. Семеновых В.А. Некоторые вопросы информационно-аналитической работы в банке. — Материалы Семинара «Практические вопросы информационно-аналитической работы в коммерческом банке», 24-26.03.08 г. 30. Тарасов П.И. Диасофт предлагает комплексные решения для банков. — Мир ПК, 2008

1 СТАНДАРТЫ БЕЗОПАСНОСТИ БАНКОВСКОЙ СИСТЕМЫ РФ На современном этапе развития информационных технологий становится понятным, что для эффективных и надежно работающих банковских продуктов необходим высокий уровень их информационной безопасности. В мировой практике существуют такие стандарты (COBIT, BS 7799 ISO 17799), успешно использующиеся в банковском секторе. В России тоже имеется отраслевой комплекс стандартов банка России, под общим названием «Обеспечение информационной безопасности организаций банковской системы Российской Федерации», который состоит из 8 документов, а именно: -«Общие положения» СТО БР ИББС 1.0 – 2010; -«Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям стандарта СТО БР ИББС-1.0-20ХХ» -СТО БР ИББС-1.2-2010; -«Руководство по самооценке информационной безопасности организаций банковской системы Российской Федерации требованиям стандарта СТО БР ИББС-1.0» РС БР ИББС-2.12007; -«Аудит информационной безопасности» -СТО БР ИББС-1.1-2007; -«Методические рекомендации по документации в области обеспечения информационной безопасности в соответствии с требованиям стандарта СТО БР ИББС-1.0» РС БР ИББС-2.02007; -«Методика оценки рисков информационной безопасности» РС БР ИББС-2.2-2009; -«Требования по обеспечению безопасности персональных данных в информационных системах персональных данных организаций банковской системы Российской Федерации» -РС БР ИББС-2.3-2010; -«Отраслевая частная модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных организаций банковской системы Российской Федерации» РС БР ИББС-2.4-2010. Стандарт Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» СТО БР ИББС 1.0 – 2010 является базовым документом, в котором последовательно реализованы требования международных стандартов в области ИБ с учетом условий современной БС России. Рисунок 1 иллюстрирует систему обеспечения ИБ БС РФ. Рисунок 1. СОИБ организации БС РФ ? 2 УГРОЗЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ БАНКОВСКОЙ СФЕРЫ РФ 2.1. КЛАССИФИКАЦИЯ УГРОЗ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ Угроза – это действия, приводящие к моральному или материальному ущербу. (рис.2) Рисунок 2. Классификация источников угроз Основными угрозами информации являются ее утечка, разглашение и несанкционированный доступ к ее источникам. Под угрозами конфиденциальной информации принято понимать потенциальные или реально возможные действия по отношению к информационным ресурсам, приводящие к неправомерному овладению охраняемыми сведениями: -ознакомление с конфиденциальной информацией различными путями и способами без нарушения ее целостности; -модификация информации в криминальных целях как частичное или значительное изменение состава и содержания сведений; -разрушение информации как акт вандализма с целью прямого нанесения материального ущерба. Противоправные действия с информацией приводят к нарушению ее полноты, конфиденциальности, достоверности и доступности, что приводит к нарушению как режима управления, так и его качества в условиях ложной или неполной информации. Рисунок 3. Классификация угроз Источниками внешних угроз являются: преступные группировки и формирования; недобросовестные конкуренты; отдельные лица и организации административно- управленческого аппарата (рис.3). Источниками внутренних угроз могут быть: персонал; администрация предприятия; технические средства обеспечения производственной и трудовой деятельности. Соотношение внешних и внутренних угроз на усредненном уровне можно охарактеризовать так: 82% угроз совершается собственными сотрудниками организации при их прямом или опосредованном участии; 17% угроз совершается извне – внешние угрозы; 1% угроз совершается случайными лицами. Подход к классификации действий, способствующих неправомерному овладению конфиденциальной информацией, показывает многогранность угроз и многоаспектность защитных мероприятий, необходимых для обеспечения комплексной информационной безопасности. Возможны следующие условия, которые способствуют неправомерному овладению конфиденциальной информацией: -разглашение – 32%; -несанкционированный доступ путем подкупа и склонения к сотрудничеству со стороны конкурентов и преступных группировок – 24%; -отсутствие на фирме надлежащего контроля и жестких условий обеспечения информационной безопасности – 14%; -традиционный обмен производственным опытом -12%; -бесконтрольное использование информационных систем – 10%; -наличие предпосылок возникновения среди сотрудников конфликтных ситуаций – 8%; Каждому из условий неправомерного овладения конфиденциальной информацией можно поставить в соответствие определенные каналы, определенные способы защитных действий и определенные классы средств защиты или противодействия. Для того чтобы построить эффективную систему информационной безопасности, необходимо в первую очередь определить реальные и потенциальные угрозы, каналы несанкционированного доступа и утечки информации 2.2 ПРОМЫШЛЕННЫЙ ШПИОНАЖ Развитие предпринимательской деятельности в нашей стране обусловило активизацию деятельности в области экономической разведки и промышленного шпионажа. Промышленный шпионаж - получение обманным путем конфиденциальной информации, которая используется для достижения коммерческих, промышленных, финансовых и других криминальных целей. Конкурентная борьба в условиях рыночной экономики невозможна без получения своевременной и достоверной информации, а стремление получить эту информацию в условиях закрытого доступа порождает недобросовестные действия, т.е. шпионаж за конкурентом. Чтобы добыть коммерческие секреты за счет использования различных каналов негласного получения конфиденциальной информации промышленными шпионами, разработана разведывательная аппаратура самого различного назначения и технологического исполнения. Сейчас промышленный шпионаж стал областью экономики, в которой вращаются миллиарды долларов. Создана своя структура и методология, используются самые современные технические средства и системы. Экономической основой процветания промышленного шпионажа является конкуренция. Важным условием эффективности конкурентной борьбы является сохранение в тайне сведений, овладение которыми посторонними лицами могло бы ослабить экономические позиции предприятия и нанести ему ущерб. Данные сведения описываются понятием коммерческая или банковская тайна. Промышленный шпионаж не позволяет реализовать предприятию конкурентные преимущества, обесценивает значительные затраты, связанные с осуществлением исследований, опытно-конструкторских разработок и других мер. В то же время недобросовестный конкурент имеет возможность резко снизить издержки конкурентной борьбы. 2.3. КОМПЬЮТЕРНЫЕ ПРЕСТУПЛЕНИЯ Интенсивное развитие и внедрение в практику современных информационных технологий значительно повысило уязвимость информации, циркулирующей в информационно-телекоммуникационных системах кредитно-финансовой сферы. Наиболее часто проблемы с защитой такого рода информации возникают из-за массового использования средств вычислительной техники с программным обеспечением, позволяющим сравнительно легко модифицировать, уничтожать или копировать обрабатываемую информацию. Причиной повышения уязвимости этой информации является широкое распространение глобальных открытых компьютерных сетей типа Интернет, построенных на основе телекоммуникационных магистралей общего пользования. Виды компьютерных преступлений (рис.4) Рисунок 4. Виды компьютерных преступлений Современные информационные телекоммуникационные системы предоставляют преступникам и недобросовестным конкурентам широкий спектр возможностей для совершения различного рода преступлений, ведения промышленного шпионажа, а также реализации иных форм негативного воздействия на деятельность государственных и коммерческих организаций. В последние годы наметилась устойчивая тенденция объединения лиц, причастных к преступной деятельности в сфере компьютерной информации, для совершения крупномасштабных преступлений. Такие союзы носят ярко выраженные признаки организованных преступных групп, участники которых лично не знакомы и осуществляют конспиративную связь друг с другом через Интернет. ? 3 СПОСОБЫ ЗАЩИТЫ ИНФОРМАЦИОННЫХ СИСТЕМ БАНКОВСКОЙ СФЕРЫ РФ 3.1 ПРАВОВОЕ ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ БАНКА Федеральный закон «Об информации, информатизации и защите информации» от 20 февраля 1995 г. № 24-ФЗ определяет информацию как «сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления». По категориям доступа информация делится на открытую (общедоступную) и закрытую (с ограниченным доступом) (рис.5). К последней относится только три вида информации: -Сведения, отнесенные к государственной тайне; -Персональные данные; -Конфиденциальная документированная информация. Вся прочая информация является общественно доступной. Некоторые виды информации, доступ к которым ограничивать нельзя, прямо названы законодательством. Рисунок 5. Текущая ситуация с регулированием ИБ БС РФ Важнейшими задачами в области защиты информации являются: -Установление необходимого баланса между потребностью в свободном обмене документами (сведениями) и допустимыми ограничениями доступа к ним; -Совершенствование информационной структуры, ускорение развития новых информационных технологий и их широкое распространение, унификация средств поиска, сбора, хранения, обработки и анализа информации с учетом вхождения России в глобальную информационную инфраструктуру; -Разработка соответствующей нормативной правовой базы и координация деятельности федеральных органов государственной власти и управления, органов государственной власти и управления субъектов РФ, местного самоуправления, организаций и предприятий, независимо от формы собственности для решения задач обеспечения государственной тайны и конфиденциальности информации и документов. В настоящее время спектр правового обеспечения в данной сфере довольно широк, начиная от законодательных актов федерального уровня, Указов Президента РФ, правовых нормативных актов субъектов Федерации, постановлений Правительства, заканчивая отраслевыми приказами, инструкциями, положениями. Важнейшим направлением обеспечения информационной безопасности является правовое регулирование. С учетом этого Советом безопасности была образована комиссия по вопросам совершенствования нормативно–правовой базы в области обеспечения информационной безопасности, одной из основных задач которой стала разработка основных направлений нормативно-правового обеспечения информационной безопасности РФ.