5 СТАНДАРТЫ БЕЗОПАСНОСТИ БАНКОВСКОЙ СИСТЕМЫ РФ
Выполнение требований к СИБ организации БС РФ является основой для обеспечения должного уровня ИБ. Формирование требований к СИБ организации БС РФ должно проводиться на основе:
- положений настоящего раздела стандарта;
- выполнения деятельности в рамках СМИБ организации БС РФ.
Основой для построения СОИБ организации БС РФ являются требования законодательства Российской Федерации, нормативные акты Банка России, контрактные требования организации БС РФ.
Рисунок 1 иллюстрирует взаимосвязь СИБ, СМИБ и СОИБ организации БС РФ.
Рисунок 1. СОИБ организации БС РФ
Требования к СИБ организации БС РФ должны быть оформлены документально в соответствии с Рекомендациями в области стандартизации Банка России РС БР ИББС-2.0 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методические рекомендации по документации в области обеспечения информационной безопасности в соответствии с требованиями СТО БР ИББС-1.0».
. Требования к СИБ должны быть сформированы, в том числе для следующих областей:
-назначения и распределения ролей и обеспечения доверия к персоналу;
-обеспечения ИБ на стадиях ЖЦ АБС;
-защиты от НСД и НРД, управления доступом и регистрацией всех действий в АБС, в телекоммуникационном оборудовании, автоматических телефонных станциях и т. д.;
-антивирусной защиты;
-использования ресурсов Интернет;
-использования СКЗИ;
-защиты банковских платежных и информационных технологических процессов, в том числе банковских технологических процессов, в рамках которых обрабатываются персональные данные.
В конкретной организации БС РФ требования к СИБ могут формироваться и для других областей и направлений деятельности.
При распределении прав доступа работников и клиентов к информационным активам организации БС РФ следует руководствоваться принципами:
-«знать своего клиента»;
-«знать своего служащего»;
-«необходимо знать», а также рекомендуется использовать принцип «двойное управление».
Формирование ролей должно осуществляться на основании существующих бизнес-процессов организации БС РФ и проводиться с целью исключения концентрации полномочий и снижения риска инцидентов ИБ, связанных с потерей информационными активами свойств доступности, целостности или конфиденциальности.
Формирование ролей не должно выполняться по принципу фиксации фактических сложившихся прав и полномочий персонала организации БС РФ.
Для обеспечения ИБ и контроля за качеством обеспечения ИБ в организации БС РФ должны быть определены роли, связанные с деятельностью по обеспечению ИБ. Руководство организации БС РФ должно осуществлять координацию своевременности и качества выполнения ролей, связанных с обеспечением ИБ. При принятии руководством организации БС РФ решений об использовании сети Интернет, при формировании документов, регламентирующих порядок использования сети Интернет, а также иных документов, связанных с обеспечением ИБ при использовании сети Интернет, необходимо учитывать следующие положения:
-сеть Интернет не имеет единого органа управления (за исключением службы управления пространством имен и адресов) и не является юридическим лицом, с которым можно было бы заключить договор (соглашение). Провайдеры (посредники) сети Интернет могут обеспечить только те услуги, которые реализуются непосредственно ими;
-существует вероятность несанкционированного доступа, потери и искажения информации, передаваемой посредством сети Интернет;
-существует вероятность атаки злоумышленников на оборудование, программное обеспечение и информационные ресурсы, подключенные/доступные из сети Интернет;
-гарантии по обеспечению ИБ при использовании сети Интернет никаким органом/учреждением/организацией не предоставляются.
В рамках банковских платежных технологических процессов в качестве активов, защищаемых в первую очередь, следует рассматривать:
- банковский платежный технологический процесс;
- платежную информацию.
?
6 УГРОЗЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ БАНКОВСКОЙ СФЕРЫ РФ
Угрозы или просто преступление - это общественно опасное деяние, посягающее на личность, общество и государство, а также на иные охраняемые законом объекты. Осуществляются, как правило, с применением насилия или угроз: терроризм, взлом, ограбление банка, похищение, вымогательство, угроза взрыва.
Виды преступлений экономической направленности: хищения финансовых и материальных средств. мошенничество в сфере финансовой деятельности, незаконные сделки с валютными ценностями, изготовление поддельных денег и др.
В процессе выявления, анализа потенциальных угроз интересам банка в рамках концепции учитываются объективно существующие внешние и внутренние условия, влияющие на их безопасность:
-нестабильная политическая, социально-экономическая обстановка и обострение криминогенной ситуации;
-невыполнение законодательных актов, правовой нигилизм, отсутствие ряда законов по жизненно важным вопросам;
-снижение моральной, психологической и производственно-ответственности граждан.
6.1. КЛАССИФИКАЦИЯ УГРОЗ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Угроза – это потенциальные или реальные действия, приводящие к моральному или материальному ущербу.(рис.2)
Рисунок 2. Классификация угроз
Основными угрозами информации являются ее разглашение, утечка и несанкционированный доступ к ее источникам. Под угрозами конфиденциальной информации принято понимать потенциальные или реально возможные действия по отношению к информационным ресурсам, приводящие к неправомерному овладению охраняемыми сведениями:
-ознакомление с конфиденциальной информацией различными путями и способами без нарушения ее целостности;
-модификация информации в криминальных целях как частичное или значительное изменение состава и содержания сведений;
-разрушение информации как акт вандализма с целью прямого нанесения материального ущерба.
В итоге противоправные действия с информацией приводят к нарушению ее конфиденциальности, полноты, достоверности и доступности, что в свою очередь приводит к нарушению как режима управления, так и его качества в условиях ложной или неполной информации.
Исходя из этого, угрозы могут быть классифицированы по следующим причинам:
1 По величине принесенного ущерба:
-предельный, после которого организация может стать банкротом;
-значительный, но не приводящий к банкротству;
-незначительный, который организация за какое-то вре мя может компенсировать.
2 По вероятности возникновения:
-весьма вероятная угроза;
-вероятная угроза;
-маловероятная угроза.
3 По причинам появления:
-стихийные бедствия;
-преднамеренные действия.
-4 По отношению к объекту:
внутренние;
-внешние.
Источниками внешних угроз являются: недобросовестные конкуренты; преступные группировки и формирования; отдельные лица и организации административно- управленческого аппарата.
Источниками внутренних угроз могут быть: администрация предприятия; персонал; технические средства обеспечения производственной и трудовой деятельности.
Соотношение внешних и внутренних угроз на усредненном уровне можно охарактеризовать так: 82% угроз совершается собственными сотрудниками организации при их прямом или опосредованном участии; 17% угроз совершается извне – внешние угрозы; 1% угроз совершается случайными лицами.
Промежуточная ситуация – это утечка информа ции по техническим каналам, при которой источник еще не знает об этом, а злоумышленник легко, без особых усилий может их использовать в своих интересах.
Факт получения охраняемых сведений злоумышленниками или конкурентами называют утечкой. Однако, одновременно с этим в значительной части законодательных актов, законов, кодексов, официальных материалов используются и такие понятия, как разглашение сведений и несанкционированный доступ к конфиденциальной информации.
Подход к классификации действий, способствующих неправомерному овладению конфиденциальной информацией, показывает многогранность угроз и многоаспектность защитных мероприятий, необходимых для обеспечения комплексной информационной безопасности.
Возможны следующие условия, которые способствуют неправомерному овладению конфиденциальной информацией:
-разглашение (излишняя болтливость сотрудников) – 32%;
-несанкционированный доступ путем подкупа и склонения к сотрудничеству со стороны конкурентов и преступных группировок – 24%;
-отсутствие на фирме надлежащего контроля и жестких условий обеспечения информационной безопасности – 14%;
-традиционный обмен производственным опытом -12%;
-бесконтрольное использование информационных систем – 10%;
-наличие предпосылок возникновения среди сотрудников конфликтных ситуаций – 8%;
Каждому из условий неправомерного овладения конфиденциальной информацией можно поставить в соответствие определенные каналы, определенные способы защитных действий и определенные классы средств защиты или противодействия.
Для того чтобы построить эффективную систему информационной безопасности, необходимо в первую очередь определить реальные и потенциальные угрозы, каналы несанкционированного доступа и утечки информации
6.2 ПРОМЫШЛЕННЫЙ ШПИОНАЖ
Развитие предпринимательской деятельности в нашей стране обусловило активизацию деятельности в области экономической разведки и промышленного шпионажа.
Промышленный шпионаж - это получение обманным путем конфиденциальной информации, используемой для достижения промышленных, коммерческих, финансовых и других криминальных целей.
Конкурентная борьба в условиях рыночной экономики невозможна без получения своевременной и достоверной информации, а стремление получить эту информацию в условиях закрытого доступа порождает недобросовестные действия, т.е. шпионаж за конкурентом. Чтобы добыть коммерческие секреты за счет использования различных каналов негласного получения конфиденциальной информации промышленными шпионами, разработана разведывательная аппаратура самого различного назначения и технологического исполнения.
В настоящее время промышленный шпионаж стал областью экономики, в которой вращаются миллиарды долларов. Создана своя структура и методология, используются самые современные технические средства и системы.
Целью промышленного шпионажа является получение данных о перспективах деятельности конкурента, производственных процессах, торговой стратегии и результатах научных исследований и промышленных разработок, об организациях, продающих его товар, списков потребителей, расчетных документов.
Экономической основой процветания промышленного шпионажа является конкуренция. Важным условием эффективности конкурентной борьбы является сохранение в тайне сведений, овладение которыми посторонними лицами могло бы ослабить экономические позиции предприятия и нанести ему ущерб. Данные сведения описываются понятием коммерческая или банковская тайна.
Промышленный шпионаж не позволяет реализовать предприятию конкурентные преимущества, обесценивает значительные затраты, связанные с осуществлением исследований, опытно-конструкторских разработок и других мер. В то же время недобросовестный конкурент имеет возможность резко снизить издержки конкурентной борьбы.
6.3. КОМПЬЮТЕРНЫЕ ПРЕСТУПЛЕНИЯ
Интенсивное развитие и внедрение в практику современных информационных технологий значительно повысило уязвимость информации, циркулирующей в информационно-телекоммуникационных системах кредитно-финансовой сферы.
Наиболее часто проблемы с защитой такого рода информации возникают из-за массового использования средств вычислительной техники с программным обеспечением, позволяющим сравнительно легко модифицировать, уничтожать или копировать обрабатываемую информацию.
Причиной повышения уязвимости этой информации является широкое распространение глобальных открытых компьютерных сетей типа Интернет, построенных на основе телекоммуникационных магистралей общего пользования.
Виды компьютерных преступлений:
-Кража:
-Подмена (модификация):
-Уничтожение (разрушение):
-Нарушение нормальной работы (прерывание):
-Ошибки:
Современные информационные телекоммуникационные системы предоставляют преступникам и недобросовестным конкурентам широкий спектр возможностей для совершения различного рода преступлений, ведения промышленного шпионажа, а также реализации иных форм негативного воздействия на деятельность государственных и коммерческих организаций.
В последние годы наметилась устойчивая тенденция объединения лиц, причастных к преступной деятельности в сфере компьютерной информации, для совершения крупномасштабных преступлений. Такие союзы носят ярко выраженные признаки организованных преступных групп, участники которых лично не знакомы и осуществляют конспиративную связь друг с другом через Интернет.
