Обеспечение информационной безопасности современного банка

Федеральное государственное образовательное бюджетное учреждение

высшего профессионального образования

«Финансовый университет при Правительстве Российской Федерации»

 

 

 

 

 

 

 

 

 

Реферат

 

по дисциплине «Информационная безопасность»

 

на тему

«Обеспечение информационной безопасности современного банка»

 

 

 

 

 

 

 

 

 

 

 

Исполнитель: ГарабаеваВ.Н.

Факультет: Заочный экономики

Направление: Финансы и кредит

Группа: ЗБ3-ЭФ2-9

№ зачетной книжки: 133485

Руководитель: Крылов Г.О.

 

 

Москва 2015 
Содержание

 

 

 

Введение

Вопросы обеспечения информационной безопасности (ИБ) для современного банка являются жизненно важными. Во-первых, банк с точки зрения информационной безопасности – компания «повышенного» риска. Банк – сосредоточение «живых» денег. При этом автоматизированная банковская система (АБС), неотъемлемая составляющая корпоративной информационной системы банка, поддерживает процессы проведения выплат, предоставления кредитов, перевода средств и др., и очевидно, что незаконное манипулирование такой информацией может привести к серьезным убыткам. Во-вторых, современный банк предоставляет большое число сервисов, связанных с удаленным доступом к информационной системе банка. Это и персональный интернет-банкинг, и система интернет-доступа к финансовым рынкам, и система электронного документооборота, и многое другое. С этих позиций банк – «точка пересечения» публичных сетей (Интернет) и коммерческих финансовых сетей (Western Union, VisaNet, SWIFT и др.). В-третьих, на сегодняшний день банки обладают сложными информационными системами, которые включают большой набор «бэк-офисных» и «фронт-офисных» приложений, нередко гетерогенных. А управление этими системами осложняется территориальной распределенностью компаний, наличием многочисленных филиалов и офисов. При этом информационная система современного банка является основой функционирования почти всех основных бизнес-процессов. Наконец, банк хранит персональные данные граждан и конфиденциальную информацию своих клиентов - юридических лиц.

Все это предъявляет жесткие требования к системе защиты корпоративной информационной системы современного банка, основными из которых являются комплексность, интегрируемость, адекватность финансовым затратам, легитимность, управляемость, масштабируемость и отказоустойчивость.

Со стороны регулирующих органов, к банку также предъявляется множество требований и предлагается комплекс рекомендаций по обеспечению ИБ. В их числе - постановления и инструкции ЦБ РФ; различные международные стандарты, например, ISO 13569 «Banking and related financial services- Information security guidelines»; требования Basel II; различные требования международных платежных систем, например, стандарт Payment Card Industry Data Security Standard (PCI DSS), и другие. К основным элементам системы ИБ Банка («контрольным» точкам), которые должны соответствовать требованиям регулирующих органов и стандартов, относятся:

• авторизация и аутентификация;

• защита от несанкционированного доступа (НСД) к системам, в том числе и внутренняя защита от НСД сотрудников банка;

• защита каналов передачи данных, обеспечение целостности и актуальности данных при обмене информацией с клиентами;

• обеспечение юридической значимости электронных документов;

• управление инцидентами ИБ;

• управление непрерывностью ведения бизнеса;

• внутренний и внешний аудит системы ИБ.

1.1 Типичные атаки на банковские системы

• Атаки на системы «front-end» – это атаки, направленные на манипулирование с транзакциями, в т.ч. и с финансовыми. Это могут быть, например, атаки на терминалы (POS терминалы или банкоматы), терминалы SWIFT и др. Данные атаки не получили широкого распространения, т.к. обеспечение ИБ транзакционных систем основано на использовании стойких криптографических алгоритмов, как для шифрования, так и для электронной подписи. Единственное, чему стоит уделить внимание – это надежной системе распределения ключей и физической безопасности терминалов.

• Атаки на системы «back-office». Это наиболее популярный вид атак, и совершаются они как «внешними» злоумышленниками, так и внутренними («инсайдерами»). Атаки направлены на манипуляции с базами данных, которые осуществляются как через приложения, так и напрямую. Типов атак очень много. Например, одна из самых популярных - это атака типа «салями», когда счет округляется в «нужную» сторону. Для противодействия можно использовать широкий спектр контрмер. Это мониторинг и аудит, управление доступом, физическая безопасность, организационные меры, разделение среды разработчиков и операционной среды и др.

1.2 Надежная система ИБ

Здесь сразу стоит отметить различия в подходах к планированию бюджета ИБ у российских компаний и их коллег из ведущих стран мира. У нас именно финансовые директора и руководители «вспоминают» об ИБ, когда угроза реализуется уже в виде инцидента. Обычно в таких случаях начинается авральная работа по «латанию дыр» в системе ИБ, денег при этом тратится много, а эффект в большинстве случаев несоизмеримо мал. Зачастую в России деньги на ИБ выделяются из бюджета ИТ-подразделений, что не совсем правильно, так как цели ИТ и ИБ различны: цель корпоративной информационной системы – это доступность и эффективность ИТ-поддержки бизнес-процессов, а система информационной безопасности обеспечивает конфиденциальность, целостность данных, соответствие системы защиты действующему законодательству. Как показывает практика, российскими компаниями на ИБ выделяется 5-10% ИТ-бюджета, вне зависимости от уровня «зрелости» информационной системы. Хотя, например, у «молодого» бизнеса риски информационной безопасности выше, и вопросы ИБ должны стоять на первом месте (в том числе задачи классификации информации по степени ее критичности для бизнеса, распределения ответственности в сфере обеспечения ИБ, формирования договорных отношений о конфиденциальности и уровне обслуживания, построения процессов обеспечения ИБ и технической архитектуры системы ИБ).

Ведущие мировые компании, в отличие от российских, основной упор делают на превентивные меры защиты, на анализ рисков, управление ИБ, в том числе построение процессов обеспечения непрерывности бизнеса (disaster recovery), управления инцидентами (incident management) и др. Значение этих мероприятий трудно переоценить. Ведь если «взлом» системы – само по себе опасное событие, то отсутствие системы управления ИБ может усугубить последствия таких инцидентов. Поэтому зарубежные фирмы заранее прорабатывают вопросы, связанные с тем, как компания будет реагировать на возможные инциденты, какие мероприятия будут проводиться по устранению инцидента, его расследованию, чтобы предотвратить подобные ситуации в дальнейшем. И такой подход дает свои результаты. Пример - случай с CardSystems, когда украли информацию о 40 млн.!!! пластиковых карт. Удивительно, но компания, хотя и очень сильно пострадала, все же выжила.

У нас же основной упор делается на комплекс технических средств, прежде всего, сетевой безопасности, а точнее, защите периметра, что совсем не означает построение системы ИБ.

Ответ на вопрос, сколько целесообразно потратить на обеспечение информационной безопасности, может дать только анализ рисков, желательно количественный, когда возможный ущерб компании измеряется в конкретных денежных суммах.

1.3 Построение системы информационной безопасности

Необходимо понимать, что обеспечение информационной безопасности – процесс непрерывный, а применяемые меры должны носить комплексный и превентивный характер. Еще один важный момент: эффективная защита невозможна без комплекса организационных мер. Должны быть определены цели, задачи, приоритеты и риски в области ИБ, и с учетом этих факторов сформулированы требования к системе ИБ, разработана политика и система управления ИБ, регламенты, процедуры и пр. Выбор технических средств защиты также должен опираться на предварительно проведенный анализ рисков.

Таким образом, построение системы ИБ банка целесообразно начинать с комплексного диагностического обследования основных бизнес-процессов и информационной системы банка, а также существующих инструментов обеспечения ИБ. Обследование (аудит) существующей  системы информационной безопасности позволит установить, соответствует ли уровень безопасности информационно-технологических ресурсов банка выдвигаемым требованиям, т.е., обеспечиваются ли необходимые параметры конфиденциальности, целостности и доступности ресурсов информационной системы. В ходе диагностического обследования проводится анализ рисков. Для проверки способности информационной системы противостоять попыткам несанкционированного доступа и воздействия на информацию, иногда целесообразно выполнять тесты на проникновение.

Результатом работ по диагностическому обследованию, помимо рекомендаций и предложений, может являться спроектированная система ИБ. Работы по проектированию системы ИБ банка также включают следующие этапы.

1. Разработка Концепции обеспечения информационной безопасности. Определение основных целей, задач и требований, а также общей стратегии построения системы ИБ, идентификация критичных информационных ресурсов, выработка требований и базовых подходов к их реализации.

2. Создание политики ИБ.

3. Построение модели системы управления ИБ.

4. Подготовка технического задания на создание системы информационной безопасности.

5. Создание модели системы ИБ.

6. Разработка техническо-рабочего проекта (ТРП) создания системы ИБ и архитектуры системы ИБ. ТРП по созданию системы ИБ включает следующие документы.

• Описание основных технических решений по созданию системы ИБ и организационных мероприятий по подготовке системы ИБ к эксплуатации.

• Обоснование выбранных компонентов системы ИБ и определение мест их размещения. Описание разработанных профилей защиты.

• Спецификацию на комплекс технических средств системы ИБ.

• Спецификацию на комплекс программных средств системы ИБ.

• Определение настроек и режима функционирования компонентов системы ИБ.

7. Тестирование на стенде спроектированной системы ИБ.

8. Разработка организационно-распорядительных документов системы управления ИБ по обеспечению информационной безопасности (политик, процедур, регламентов и т.п.).

9. Разработка рабочего проекта (включая документацию на используемые средства защиты и порядок администрирования, план ввода системы ИБ в эксплуатацию и др.), планирование обучения пользователей и обслуживающего персонала информационной системы.

При проектировании архитектуры системы ИБ необходимо учитывать, что ее эффективность может быть достигнута, если все компоненты представлены качественными решениями, функционируют как единый комплекс и, в случае распределенных систем, имеют централизованное управление. Построение интегрированного решения обеспечивает ряд преимуществ: позволяет снизить совокупную стоимость владения системой ИБ, повысить коэффициент возврата инвестиций и улучшить управляемость системы.

Например, некоторые компании используют решения Check Point в качестве «стержня» комплексной системы ИБ. Выбор решений для других компонентов системы ИБ также не случаен: их производители входят в консорциум OPSEC (Open Platform for SECurity), объединяющий более 300 компаний,  продукты которых можно интегрировать. Используемая компаниями архитектура системы ИБ покрывает основные классы угроз и содержит следующие компоненты:

• подсистему межсетевого экранирования;

• подсистему защиты внутренних сетевых ресурсов;

• подсистему защиты Web-ресурсов;

• подсистему обнаружения и предотвращения вторжений;

• антивирусную подсистему;

• подсистему контроля содержимого Интернет-трафика;

• подсистему аутентификации и авторизации пользователей;

• подсистему криптографической защиты информации;

• подсистему протоколирования, отчета и мониторинга средств защиты;

• подсистему физической защиты;

• подсистему защиты рабочих станций;

• подсистему управления ИБ.

После внедрения спроектированной системы необходимо обеспечить ее поддержку и сопровождение.

1.4 Рекомендации по продуктовой  линейке современного банка при  построении системы ИБ

Самое главное – это выстроить максимально интегрированную систему для обеспечения высокой управляемости системы ИБ и отслеживания событий ИБ.