Обеспечение информационной безопасности современного банка

Федеральное государственное образовательное бюджетное учреждение

высшего профессионального образования

«Финансовый университет при Правительстве Российской Федерации»

Реферат

по дисциплине «Информационная безопасность»

на тему

«Обеспечение информационной безопасности современного банка»

Исполнитель: ГарабаеваВ.Н.

Факультет: Заочный экономики

Направление: Финансы и кредит

Группа: ЗБ3-ЭФ2-9

№ зачетной книжки: 133485

Руководитель: Крылов Г.О.

Москва 2015 
Содержание

Введение

Вопросы обеспечения информационной безопасности (ИБ) для современного банка являются жизненно важными. Во-первых, банк с точки зрения информационной безопасности – компания «повышенного» риска. Банк – сосредоточение «живых» денег. При этом автоматизированная банковская система (АБС), неотъемлемая составляющая корпоративной информационной системы банка, поддерживает процессы проведения выплат, предоставления кредитов, перевода средств и др., и очевидно, что незаконное манипулирование такой информацией может привести к серьезным убыткам. Во-вторых, современный банк предоставляет большое число сервисов, связанных с удаленным доступом к информационной системе банка. Это и персональный интернет-банкинг, и система интернет-доступа к финансовым рынкам, и система электронного документооборота, и многое другое. С этих позиций банк – «точка пересечения» публичных сетей (Интернет) и коммерческих финансовых сетей (Western Union, VisaNet, SWIFT и др.). В-третьих, на сегодняшний день банки обладают сложными информационными системами, которые включают большой набор «бэк-офисных» и «фронт-офисных» приложений, нередко гетерогенных. А управление этими системами осложняется территориальной распределенностью компаний, наличием многочисленных филиалов и офисов. При этом информационная система современного банка является основой функционирования почти всех основных бизнес-процессов. Наконец, банк хранит персональные данные граждан и конфиденциальную информацию своих клиентов - юридических лиц.

Все это предъявляет жесткие требования к системе защиты корпоративной информационной системы современного банка, основными из которых являются комплексность, интегрируемость, адекватность финансовым затратам, легитимность, управляемость, масштабируемость и отказоустойчивость.

Со стороны регулирующих органов, к банку также предъявляется множество требований и предлагается комплекс рекомендаций по обеспечению ИБ. В их числе - постановления и инструкции ЦБ РФ; различные международные стандарты, например, ISO 13569 «Banking and related financial services- Information security guidelines»; требования Basel II; различные требования международных платежных систем, например, стандарт Payment Card Industry Data Security Standard (PCI DSS), и другие. К основным элементам системы ИБ Банка («контрольным» точкам), которые должны соответствовать требованиям регулирующих органов и стандартов, относятся:

• авторизация и аутентификация;

• защита от несанкционированного доступа (НСД) к системам, в том числе и внутренняя защита от НСД сотрудников банка;

• защита каналов передачи данных, обеспечение целостности и актуальности данных при обмене информацией с клиентами;

• обеспечение юридической значимости электронных документов;

• управление инцидентами ИБ;

• управление непрерывностью ведения бизнеса;

• внутренний и внешний аудит системы ИБ.

1.1 Типичные атаки на банковские системы

• Атаки на системы «front-end» – это атаки, направленные на манипулирование с транзакциями, в т.ч. и с финансовыми. Это могут быть, например, атаки на терминалы (POS терминалы или банкоматы), терминалы SWIFT и др. Данные атаки не получили широкого распространения, т.к. обеспечение ИБ транзакционных систем основано на использовании стойких криптографических алгоритмов, как для шифрования, так и для электронной подписи. Единственное, чему стоит уделить внимание – это надежной системе распределения ключей и физической безопасности терминалов.

• Атаки на системы «back-office». Это наиболее популярный вид атак, и совершаются они как «внешними» злоумышленниками, так и внутренними («инсайдерами»). Атаки направлены на манипуляции с базами данных, которые осуществляются как через приложения, так и напрямую. Типов атак очень много. Например, одна из самых популярных - это атака типа «салями», когда счет округляется в «нужную» сторону. Для противодействия можно использовать широкий спектр контрмер. Это мониторинг и аудит, управление доступом, физическая безопасность, организационные меры, разделение среды разработчиков и операционной среды и др.

1.2 Надежная система ИБ

Здесь сразу стоит отметить различия в подходах к планированию бюджета ИБ у российских компаний и их коллег из ведущих стран мира. У нас именно финансовые директора и руководители «вспоминают» об ИБ, когда угроза реализуется уже в виде инцидента. Обычно в таких случаях начинается авральная работа по «латанию дыр» в системе ИБ, денег при этом тратится много, а эффект в большинстве случаев несоизмеримо мал. Зачастую в России деньги на ИБ выделяются из бюджета ИТ-подразделений, что не совсем правильно, так как цели ИТ и ИБ различны: цель корпоративной информационной системы – это доступность и эффективность ИТ-поддержки бизнес-процессов, а система информационной безопасности обеспечивает конфиденциальность, целостность данных, соответствие системы защиты действующему законодательству. Как показывает практика, российскими компаниями на ИБ выделяется 5-10% ИТ-бюджета, вне зависимости от уровня «зрелости» информационной системы. Хотя, например, у «молодого» бизнеса риски информационной безопасности выше, и вопросы ИБ должны стоять на первом месте (в том числе задачи классификации информации по степени ее критичности для бизнеса, распределения ответственности в сфере обеспечения ИБ, формирования договорных отношений о конфиденциальности и уровне обслуживания, построения процессов обеспечения ИБ и технической архитектуры системы ИБ).

Ведущие мировые компании, в отличие от российских, основной упор делают на превентивные меры защиты, на анализ рисков, управление ИБ, в том числе построение процессов обеспечения непрерывности бизнеса (disaster recovery), управления инцидентами (incident management) и др. Значение этих мероприятий трудно переоценить. Ведь если «взлом» системы – само по себе опасное событие, то отсутствие системы управления ИБ может усугубить последствия таких инцидентов. Поэтому зарубежные фирмы заранее прорабатывают вопросы, связанные с тем, как компания будет реагировать на возможные инциденты, какие мероприятия будут проводиться по устранению инцидента, его расследованию, чтобы предотвратить подобные ситуации в дальнейшем. И такой подход дает свои результаты. Пример - случай с CardSystems, когда украли информацию о 40 млн.!!! пластиковых карт. Удивительно, но компания, хотя и очень сильно пострадала, все же выжила.

У нас же основной упор делается на комплекс технических средств, прежде всего, сетевой безопасности, а точнее, защите периметра, что совсем не означает построение системы ИБ.

Ответ на вопрос, сколько целесообразно потратить на обеспечение информационной безопасности, может дать только анализ рисков, желательно количественный, когда возможный ущерб компании измеряется в конкретных денежных суммах.

1.3 Построение системы информационной безопасности

Необходимо понимать, что обеспечение информационной безопасности – процесс непрерывный, а применяемые меры должны носить комплексный и превентивный характер. Еще один важный момент: эффективная защита невозможна без комплекса организационных мер. Должны быть определены цели, задачи, приоритеты и риски в области ИБ, и с учетом этих факторов сформулированы требования к системе ИБ, разработана политика и система управления ИБ, регламенты, процедуры и пр. Выбор технических средств защиты также должен опираться на предварительно проведенный анализ рисков.

Таким образом, построение системы ИБ банка целесообразно начинать с комплексного диагностического обследования основных бизнес-процессов и информационной системы банка, а также существующих инструментов обеспечения ИБ. Обследование (аудит) существующей  системы информационной безопасности позволит установить, соответствует ли уровень безопасности информационно-технологических ресурсов банка выдвигаемым требованиям, т.е., обеспечиваются ли необходимые параметры конфиденциальности, целостности и доступности ресурсов информационной системы. В ходе диагностического обследования проводится анализ рисков. Для проверки способности информационной системы противостоять попыткам несанкционированного доступа и воздействия на информацию, иногда целесообразно выполнять тесты на проникновение.

Результатом работ по диагностическому обследованию, помимо рекомендаций и предложений, может являться спроектированная система ИБ. Работы по проектированию системы ИБ банка также включают следующие этапы.

1. Разработка Концепции обеспечения информационной безопасности. Определение основных целей, задач и требований, а также общей стратегии построения системы ИБ, идентификация критичных информационных ресурсов, выработка требований и базовых подходов к их реализации.

2. Создание политики ИБ.

3. Построение модели системы управления ИБ.

4. Подготовка технического задания на создание системы информационной безопасности.

5. Создание модели системы ИБ.

6. Разработка техническо-рабочего проекта (ТРП) создания системы ИБ и архитектуры системы ИБ. ТРП по созданию системы ИБ включает следующие документы.

• Описание основных технических решений по созданию системы ИБ и организационных мероприятий по подготовке системы ИБ к эксплуатации.

• Обоснование выбранных компонентов системы ИБ и определение мест их размещения. Описание разработанных профилей защиты.

• Спецификацию на комплекс технических средств системы ИБ.

• Спецификацию на комплекс программных средств системы ИБ.

• Определение настроек и режима функционирования компонентов системы ИБ.

7. Тестирование на стенде спроектированной системы ИБ.

8. Разработка организационно-распорядительных документов системы управления ИБ по обеспечению информационной безопасности (политик, процедур, регламентов и т.п.).

9. Разработка рабочего проекта (включая документацию на используемые средства защиты и порядок администрирования, план ввода системы ИБ в эксплуатацию и др.), планирование обучения пользователей и обслуживающего персонала информационной системы.

При проектировании архитектуры системы ИБ необходимо учитывать, что ее эффективность может быть достигнута, если все компоненты представлены качественными решениями, функционируют как единый комплекс и, в случае распределенных систем, имеют централизованное управление. Построение интегрированного решения обеспечивает ряд преимуществ: позволяет снизить совокупную стоимость владения системой ИБ, повысить коэффициент возврата инвестиций и улучшить управляемость системы.

Например, некоторые компании используют решения Check Point в качестве «стержня» комплексной системы ИБ. Выбор решений для других компонентов системы ИБ также не случаен: их производители входят в консорциум OPSEC (Open Platform for SECurity), объединяющий более 300 компаний,  продукты которых можно интегрировать. Используемая компаниями архитектура системы ИБ покрывает основные классы угроз и содержит следующие компоненты:

• подсистему межсетевого экранирования;

• подсистему защиты внутренних сетевых ресурсов;

• подсистему защиты Web-ресурсов;

• подсистему обнаружения и предотвращения вторжений;

• антивирусную подсистему;

• подсистему контроля содержимого Интернет-трафика;

• подсистему аутентификации и авторизации пользователей;

• подсистему криптографической защиты информации;

• подсистему протоколирования, отчета и мониторинга средств защиты;

• подсистему физической защиты;

• подсистему защиты рабочих станций;

• подсистему управления ИБ.

После внедрения спроектированной системы необходимо обеспечить ее поддержку и сопровождение.

1.4 Рекомендации по продуктовой  линейке современного банка при  построении системы ИБ

Самое главное – это выстроить максимально интегрированную систему для обеспечения высокой управляемости системы ИБ и отслеживания событий ИБ.

В первую очередь, необходимо обратить внимание на защиту внутренних ресурсов. Здесь важны системы разграничения доступа и контроля трафика. Для этого могут быть использованы, например, продукты Check Point Interspect и Infowatch.

При наличии сервиса интернет-банкинга или телефонного банкинга, необходимо обеспечение строгой аутентификации, то есть использование двухфакторной аутентификации, например, токенов Vasco или RSA SecureID. А также необходима защита рабочих мест клиентов банка – для этого могут быть использованы продукты Check Point Integrity или Cisco Security Agent. Также стоит уделить внимание защите шлюзов Интернет-банкинга – здесь можно порекомендовать продукт Check Point Connectra.

Необходимо обеспечить жесткий мониторинг и аудит системы ИБ. Здесь стоить отметить продукты Check Point Eventia Analyzer или CISCO Systems MARS, Особое внимание целесообразно уделить аспектам непрерывности ведения бизнеса и восстановления после катастроф, а также управления инцидентами ИБ.

Заключение

При проведении такого рода работ банк часто обращается за помощью к внешним консультантам. Как выбрать надежного партнера, которому можно было бы доверить одну из самых критичных областей бизнеса? В-первую очередь, компания-консультант должна иметь хорошую репутацию на рынке. Во-вторых, необходимо убедиться в обширном опыте работы в сфере ИБ как самой компании-консультанта, так и конкретных сотрудников, задействованных в проекте. В-третьих, необходимо наличие у исполнителя программно-аппаратных средств для построения тестовых стендов, проведения работ по проектированию и моделированию системы ИБ. Кроме того, наличие у исполнителя высоких партнерских статусов с поставщиками программно-аппаратных комплексов является определенной гарантией опыта компании-консультанта, а также дает право на расширенную поддержку и консультации с разработчиками решений. И, главное - необходимо наличие у исполнителя центра поддержки, работающего в круглосуточном режиме.

Исходя из нашего опыта, наиболее востребованными сегодня являются услуги по построению системы управления ИБ (СУИБ), соответствующей стандарту ЦБ РФ, а иногда и «с прицелом» на дальнейшую сертификацию по ISO 27001. Наша компания выработала подход к построению процессно-ролевой модели системы управления ИБ, основываясь на стандарте и методике аудита ЦБ РФ, лучшей практике ITIL, NIST SP800-35 «Guide to Information Technology Security Services», рекомендациях Microsoft service management function (SMF), ISO 27701, а также существующих моделях ISM3, «The Systems Security Engineering Capability Maturity Model». В результате выделяются процессы обеспечения ИБ, описывается их связь с ИТ-процессами, строится ролевая модель. Это обеспечивает «прозрачность» СУИБ, основанной на оценке рисков, позволяет эффективно отслеживать изменения, вносимые в систему ИБ, дает преимущество в страховании информационных рисков, а также позволяет эффективно управлять системой в критичных ситуациях, снижать и оптимизировать стоимость поддержки системы ИБ, получать другие преимущества.

Список литературы

1. Галатенко, В.А. Основы информационной безопасности. Интернет-университет информационных технологий. – М.: ИНТУИТ.ру, 2008.

2. Галатенко, В.А. Стандарты информационной безопасности. Интернет-университет информационных технологий. – М.: ИНТУИТ.ру, 2005.

3. Лопатин, В.Н. Информационная безопасность России: Человек, общество, государство. Серия: Безопасность человека и общества. - М.: 2000.

4. Шаньгин, В.Ф. Защита компьютерной информации. Эффективные методы и средства. - М.: ДМК Пресс, 2008.

5. http://www.journal.ib-bank.ru/ - Журнал «BIS Journal - Информационная безопасность банков»