Полная версия

Главная arrow Финансы arrow БАНКОВСКОЕ ДЕЛО. ЧАСТЬ 2

  • Увеличить шрифт
  • Уменьшить шрифт


<<   СОДЕРЖАНИЕ ПОСМОТРЕТЬ ОРИГИНАЛ   >>

Безопасность банковских систем

При создании своих электронных систем банкам необходимо уделить как можно больше внимания защите и обеспечению их безопасности. Обычно различают внутреннюю и внешнюю безопасность. Внутренняя безопасность обязана обеспечивать целостность программ и данных и нормальную работу всей системы. Внешняя безопасность должна защищать от любых, угрожающих сбоем в системе, проникновений. В настоящее время существуют два подхода к построению защиты банковских систем:

  • — комплексный подход — объединяет разнообразные методы противодействия угрозам;
  • — фрагментарный подход, т.е. противодействие определенным угрозам (антивирусные средства и т.п.).

Комплексный подход применяется для защиты крупных систем (например, международных межбанковских сетей). В 1985 г. Национальным центром компьютерной безопасности Министерства обороны США была опубликована «Оранжевая книга», в которой приводился свод правил и норм, а также основные понятия защищенности информационно-вычислительных систем. В дальнейшем эта книга превратилась в настоящее руководство к действию для специалистов по защите информации. В ней определяются такие понятия.

1. Политика безопасности — совокупность норм, правил и методик, на основе которых в дальнейшем строится деятельность информационной системы в области обращения, хранения, распределения критичной информации.

Политика безопасности определяет:

  • 1.1. Цели, задачи, приоритеты системы безопасности.
  • 1.2. Гарантированный минимальный уровень защиты.
  • 1.3. Обязанности персонала по обеспечению защиты.
  • 1.4. Санкции за нарушение защиты.
  • 1.5. Области действия отдельных подсистем.
  • 2. Анализ риска, который состоит из нескольких этапов:
  • 2.1. Описание состава системы (документация, аппаратные средства, данные, персонал и т.д.).
  • 2.2. Определение уязвимых мест по каждому элементу системы.
  • 2.3. Оценка вероятности реализации угроз.
  • 2.4. Оценка ожидаемых размеров потерь.
  • 2.5. Анализ методов и средств защиты.
  • 2.6. Оценка оптимальности предлагаемых мер.

Окончательно анализ риска выливается в стратегический план обеспечения безопасности, важным при этом является разбивка информации на категории. Наиболее простой метод категорирования информации таков: конфиденциальная информация, доступ к которой строго ограничен; открытая информация, доступ к которой посторонних не связан с материальными и другими потерями. Для деятельности коммерческого банка такой градации вполне достаточно.

Наиболее распространенными угрозами безопасности являются:

  • — несанкционированный доступ, который заключается в получении пользователем доступа к объекту, на который нет разрешения;
  • — «взлом системы» — умышленное проникновение, основную нагрузку защиты в этих случаях несет программа входа;
  • — «маскарад» — выполнение каких-либо действий одним пользователем банковской системы от имени другого;
  • — вирусные программы — воздействие на систему специально созданными программами, которые сбивают процесс обработки информации, и т.д.

В зависимости от существующих угроз различают следующие направления защиты банковских электронных систем.

  • 1. Защита аппаратуры и носителей информации от повреждения, похищения, уничтожения.
  • 2. Защита информационных ресурсов от несанкционированного использования.
  • 3. Защита информационных ресурсов от несанкционированного доступа.
  • 4. Защита информации в каналах связи и узлах коммутации (блокирует угрозу прослушивания).
  • 5. Защита юридической значимости электронных документов.
  • 6. Защита систем от вирусов.

Существуют различные программно-технические средства защиты.

К классу технических средств относятся: средства физической защиты территорий, сети электропитания; аппаратные и аппаратно-программные средства управления доступом к персональным компьютерам, комбинированные устройства и системы.

К классу программных средств защиты относятся: проверка паролей, программы шифрования (криптографического преобразования), программы цифровой подписи, средства антивирусной защиты, программы восстановления и резервного хранения информации. Руководящие документы в области защиты информации для коммерческих структур носят рекомендательный характер, а в государственном секторе и при содержании информации, относящейся к государственной тайне, они обязательны к исполнению. Постоянно появляются новые технологии защиты данных. Безопасность — один из наиболее важных вопросов интернет-банкинга, который волнует как самих банкиров, так и их потенциальных клиентов. Несмотря на то, что периодически появляются новые вирусы и развиваются хакерские методики, существуют технологии, которые практически сводят на нет вероятность краж в Интернете. Кражи как таковые происходят достаточно редко. Большинство действий хакеров в Интернете относится к категории вандализма. Банки должны не только брать на вооружение самые современные методы обеспечения безопасности интернет-транзакций, но и в упреждающем режиме доводить свою политику в сфере безопасности до сведения общественности. Клиент должен быть уверен, что в его банке применяются процедуры, позволяющие создать максимально безопасную среду интернет-банкинга. Пользователя, как правило, интересуют два вопроса из области безопасности — идентификация личности и защищенность самих транзакций. Все более популярным становится использование смарт-карт и генераторов случайных паролей. При осуществлении транзакций есть необходимость обеспечения безопасности любых телекоммуникаций, передачи информации, а также предотвращения их перехвата или искажения «в пути». Существующие на сегодня стандарты шифрования — вполне надежное средство обеспечения безопасности в этой области. При использовании открытых и частных ключей шифрования декодирование данных в процессе передачи является практически невозможным.

В области функционирования единой системы противодействия информационным угрозам в кредитно-финансовой сфере Банк России проводит работу:

  • — по минимизации риска нарушения финансовой стабильности организаций кредитно-финансовой сферы и их клиентов в результате проведения компьютерных атак;
  • — по минимизации риска возникновения непосредственного финансового ущерба клиентов и контрагентов организаций кредитно- финансовой сферы, связанного с несанкционированными финансовыми трансакциями;
  • — по обеспечению доверия клиентов и контрагентов организаций кредитно-финансовой сферы к безопасности реализуемых электронных технологий и сервисов.

Сферами особого внимания Банка России являются:

  • — информационные и платежные ресурсы и сервисы Банка России;
  • — платежные сервисы, предоставляемые национальной системой платежных карт;
  • — сервисы и платежные ресурсы иных организаций кредитно- финансовой сферы.

Объем несанкционированных операций по переводу денежных средств продолжил снижаться и по итогам 2017 г. составил 2,53 млрд руб. (в 2016 г. — 2,98 млрд руб., в 2015 г. — 4,95 млрд руб.). При этом в 2017 г. Банком России, как уже было отмечено, выявлено одно покушение на хищение денежных средств с корреспондентских счетов кредитных организаций, открытых в платежной системе Банка России, на сумму 27 млн руб. (за 2015—2016 гг. — 21 крупное покушение на сумму, превышающую 2,5 млрд руб., из которых на сумму около

1 млрд руб. наступила окончательность перевода денежных средств). Удельный вес несанкционированных переводов денежных средств по итогам 2017 г. составляет 0,0016% от общего объема переведенных денежных средств (1,6 коп. на 1 тыс. руб. переводов). Указанный показатель не превышает установленный Банком России на уровне 0,005% целевой показатель доли объема несанкционированных операций в общем объеме операций, совершенных с использованием платежных карт, и находится в пределах, рекомендуемых международными платежными системами.

Продолжается совершенствование оперативного обмена информацией между организациями кредитно-финансовой сферы, Банком России и правоохранительными органами об инцидентах, связанных с нарушениями требований к обеспечению защиты информации при осуществлении переводов денежных средств. В обмене по состоянию на 1 января 2018 г. на добровольной основе участвуют 419 кредитных организаций, 17 небанковских кредитных организаций и 128 некредитных финансовых организаций.

В 2017 г. Банком России разработаны стандарты информационной безопасности, устанавливающие технические требования к обеспечению защиты информации в финансовых организациях и определяющие методику оценки соответствия защиты информации в финансовых организациях техническим требованиям национальных стандартов. С 1 января 2018 г. введен в действие национальный стандарт РФ ГОСТ Р 57580.1—2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер». С 1 июля 2018 г. вводится в действие стандарт Банка России СТО БР ИББС 1.4—2018 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Управление риском нарушения информационной безопасности при аутсорсинге». С 1 сентября 2018 г. вводится в действие национальный стандарт Российской Федерации ГОСТ Р 57580.2—2018 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия».

Переход на новые стандарты позволит финансовым организациям повысить уровень защищенности от киберпреступлений, обеспечить стабильное и бесперебойное обслуживание клиентов[1].

  • [1] Источник: данные Банка России. URL: http://www.cbr.ru
 
<<   СОДЕРЖАНИЕ ПОСМОТРЕТЬ ОРИГИНАЛ   >>