- •3. Классификация угроз информационной безопасности банка
- •4.1. Организационное обеспечение банковской безопасности
- •4.2. Инженерно–техническое обеспечение безопасности банка
- •5. Компьютерные преступления
- •6. Технологии защиты информационных банковских сетей
- •6.1. Технологии защиты от вирусов
- •6.2. Современные криптографические средства защиты банковской информации
- •7. Проблемы криптографической защиты банковской информации
- •8. Функции межсетевых экранов. Проблемы безопасности межсетевых экранов
- •9. Построение виртуальных защищенных сетей (vpn)
- •10. Классификация сетей vpn. Основные варианты архитектуры сетей vpn
- •3.1. Установка TrueCrypt
- •3.2 Симметричное шифрование данных с использованием TrueCrypt. Создание хранилища зашифрованных данных
- •3.2.1. Шифрование с использованием файлового контейнера
- •Монтирование файлового контейнера.
- •3.1 Установка gnu pt Установка программы стандартная
- •3.2 Настройка программы и создание связки ключей
- •3.3 Экспорт открытого ключа
- •3.4 Импорт открытого ключа
- •3.5 Шифрование файла
- •3.6 Расшифрование файла
- •3.7 Формирование электронной цифровой подписи файла
- •3.8 Проверка электронной цифровой подписи файла
Стандарты Центрального Банка России по обеспечению информационной безопасности кредитно–финансовой сферы
В 2004 году (а затем с внесенными поправками в 2006 году) банковскому сообществу был предложен стандарт Банка России «Обеспечение информационной безопасности организаций банковской системы РФ или СТО БР ИББС», кот призван предотвратить возникновение угроз в системе информационной безопасности банков и связанных с ними рисков. Сегодня система стандартов насчитывает уже пять документов, включая стандарт аудита, методику оценок соответствия требованиям Стандарта, а также соответствующие рекомендации по стандартизации (РС).
Таблица 1
Обеспечение информационной безопасности организаций банковской системы Российской Федерации Стандарты (СТО) и рекомендации по стандартизации (РС) | |||
Классификатор СТО БР ИББС – 0.0 |
Термины и определения СТО БР ИББС – 0.1 | ||
Общие положения СТО БР ИББС – 1.0 |
Аудит информационной безопасности СТО БР ИББС – 1.1 |
Методика оценки соответствия СТО БР ИББС – 1.2 | |
Документы по обеспечению информационной безопасности РС БР ИББС – 2.0 |
Руководство по самооценке РС БР ИББС – 2.1 | ||
Методика классификации активов РС БР ИББС – 2.2 |
Методика оценки рисков РС БР ИББС – 2.3 |
В основу комплекса стандартов положена идеология международного стандарта качества ISO (The International Organization for Standartization) серии 9000. Смысл этого стандарта заключается в следующем: если при производстве какого–либо продукта обеспечены и контролируются постоянные условия производства, то качество продукции будет всегда соответствовать исходным, заранее заданным требованиям. Идеология международной системы стандартов серии ISO 9000 была положена в основу идеологии стандартов COBIT, ISO/IES 17799, 15408, а затем и серии 27000, которые являются основополагающими стандартами информационной безопасности.
Следующее, что положено в основу идеологии стандартов безопасности Банка России – риски информационной безопасности, которые в соответствии с рекомендациями Базель II входят в операционные риски.
Для разработки стандарта были проведены исследования зарубежных аналогов, лучших практик национальных стандартов, международных стандартов ISO, выполнены научно–исследовательские работы, был создан специальный подкомитет по стандартизации (подкомитет № 3 «Защита информации в кредитно–финансовой сфере» Технического комитета № 362 «Защита информации» Федеральной службы по техническому регулированию и метрологии).
Подкомитет является постоянно действующим органом, обеспечивающим на государственном уровне разработку, согласование, подготовку к утверждению и экспертизу документов в области стандартизации по защите информации и обеспечения информационной безопасности в кредитно–финансовой сфере Российской Федерации. Сегодня он включает более двадцати крупнейших кредитных организаций плюс организации, занимающие значимое место на рынке средств и услуг в области информационной безопасности, и представители органов технического регулирования.
Кроме того, чтобы поддержать процедуру внедрения Стандарта в практической деятельности, было создано сообщество ABISS (Association for Banking Information Security Standards) – Сообщество пользователей стандартов Центрального Банка РФ по обеспечению информационной безопасности организаций банковской системы РФ. В сообщество вошли все заинтересованные кредитно-финансовые организации, в том числе и многие банки.
Принципы обеспечения информационной безопасности по Стандарту Банка России (не очень внятный ответ, все в куче, но лучшего нет)
Зачем нужен стандарт?
Банк работает с деньгами других экономических и финансовых субъектов. В случае возникновения у него серьезных трудностей, о которых непременно и очень быстро станет известно, другие кредитные учреждения будут вынуждены закрыть ему линии рефинансирования, клиентов же это побудит забрать либо не возобновлять свои вклады – а это неизбежно приведет к кризису ликвидности. Дестабилизация работы даже одного из ее компонентов может привести к системному обвалу, что уже создает угрозу государству.
Основные принципы обеспечения ИБ Cтандарта.
Общие принципы безопасного функционирования организации, отражают суть понятия «информационная безопасность организации банковской системы РФ», которое в стандарте определено как «состояние защищенности интересов (целей) организации банковской системы (БС) РФ в условиях угроз в информационной сфере».
В частности они ориентированы на то, чтобы не допустить таких ситуаций, когда в системе собственника устанавливается сверхмощная, дорогая и сертифицированная по высочайшему уровню система управления доступом, а на поверке через месяц оказывается, что в системе всем и все разрешено. При этом собственник остается уверенным, что он, вложив значительные средства, имеет надежную систему безопасности, а на практике все обстоит иначе. Таким образом, в систему должны устанавливаться только те защитные меры, правильность работы которых может быть проверена.
Модели угроз и нарушителей ИБ стандарта.
Деятельность организации БС РФ поддерживается входящей в ее состав информационной инфраструктурой, которая обеспечивает реализацию банковских технологий и может быть представлена в виде иерархии следующих основных уровней:
– физического (линии связи, аппаратные средства и пр.);
– сетевого (сетевые аппаратные средства: маршрутизаторы, коммутаторы, концентраторы и пр.);
– сетевых приложений и сервисов;
– операционных систем (ОС);
– систем управления базами данных (СУБД);
– банковских технологических процессов и приложений;
– бизнес–процессов организации.
При этом на каждом из перечисленных уровней угрозы и их источники (в том числе злоумышленники), методы и средства защиты и подходы к оценке эффективности являются различными. Организация должна определить конкретные объекты защиты на каждом из уровней информационной инфраструктуры.
Также положениями стандарта определено, возможна разработка моделей угроз и нарушителей ИБ для данной организации. Требования к модели угроз ИБ, включающие описание источников угрозы, уязвимостей, используемых угрозами, методов и объектов нападений, пригодных для реализации угрозы, типов возможной потери, масштабов потенциального ущерба, основываются на соответствующих требованиях стандартов международных стандартов.
Для источников угроз – людей может быть разработана модель злоумышленников (нарушителей), включающая описание опыта, знаний, доступных ресурсов, необходимых для реализации угрозы, и возможной мотивации их действий.
Политика ИБ стандарта.
В стандарт включены общие требования (правила) ИБ по следующим восьми областям, которые должны найти отражение в политике ИБ организации:
1. назначение и распределение ролей и обеспечение доверия к персоналу;
2. ИБ автоматизированных банковских систем на стадиях жизненного цикла;
3. обеспечение ИБ при управлении доступом и регистрация;
4. обеспечение ИБ средствами антивирусной защиты;
5. обеспечение ИБ при использовании ресурсов сети Интернет;
6. обеспечение ИБ при использовании средств криптографической защиты информации;
7. обеспечение ИБ банковских платежных технологических процессов;
8. обеспечение ИБ банковских информационных технологических процессов.
В то же время в политике ИБ организации могут быть рассмотрены и другие области обеспечения ИБ, которые отвечают ее бизнес–целям.
3. Классификация угроз информационной безопасности банка
Компьютерные преступления в банке – это реализация угроз безопасности информации.
Угрозы делят на общие (характерные для любой информационной системы) и специфические (связанные с функциями кредитной организации). Обобщенно можно привести следующую классификацию:
Природные угрозы :
Стихийные бедствия (Нарушение работы инф. системы. Физическое уничтожение людей, носителей )
Магнитные бури и Радиоактивное излучение (Воздействие на магнитные носители информации, электронные средства обработки и передачи данных. Отказы и сбои аппаратуры)
Технические :
Отключение электропитания (Потери информации)
Отказы и сбои аппаратуры (Искажение и потеря информации)
Электромагнитные излучения и наводки (Несанкционированный перенос информации за пределы информационной системы)
Утечки через каналы связи (за счет имеющейся возможности снятия ее специальными датчиками или посредством прямого подключения.)
Человеческий фактор
Непреднамеренные или преднамеренные действия управленческого и обслуживающего персонала, программистов, пользователей информационной системы, службы безопасности и др
Конкретно для банковской системы важными являются следующие специфические угрозы:
– несанкционированный доступ посторонних лиц, не принадлежащих к числу банковских служащих, и ознакомление с хранимой конфиденциальной информацией;
– ознакомление банковских служащих с информацией, к которой они не должны иметь доступа;
– несанкционированное копирование программ и данных;
– перехват и последующее раскрытие конфиденциальной информации, передаваемой по каналам связи;
– кража магнитных носителей, содержащих конфиденциальную информацию;
– кража распечатанных банковских документов;
– случайное или умышленное уничтожение информации;
– несанкционированная модификация банковскими служащими финансовых документов, отчетности и баз данных.
– фальсификация сообщений, передаваемых по каналам связи, в том числе и навязывание ранее переданного сообщения;
– отказ от авторства сообщения, переданного по каналам связи;
– отказ от факта получения информации;
– разрушение файловой структуры из–за некорректной работы программ или аппаратных средств;
– разрушение информации, вызванное вирусными воздействиями;
– разрушение архивной банковской информации, хранящейся на магнитных носителях;
– кража оборудования;
– ошибки в программном обеспечении;
– сбои оборудования, в том числе и за счет отключения электропитания и других факторов, препятствующих работе оборудования.
НА ВСЯКИЙ СЛУЧАЙ КАК СДЕЛАТЬ БЕЗОПАСНО В БАНКЕ
4.1. Организационное обеспечение банковской безопасности
Комплексная система обеспечения банковской безопасности – это совокупность взаимосвязанных мероприятий организационно–правового характера, осуществляемых в целях защиты банка от реальных или потенциальных действий физических и юридических лиц, которые могут привести к существенным потерям.
Основными задачами системы безопасности являются:
обеспечение безопасности функционирования банка
организация специального делопроизводства, исключающего несанкционированное получение конфиденциальных сведений;
выявление и локализация возможных каналов разглашения, утечки и несанкционированного доступа к конфиденциальной информации в процессе повседневной деятельности и в экстремальных ситуациях;
обеспечение режима безопасности при проведении всех видов деятельности, включая встречи, переговоры, совещания, связанные с деловым сотрудничеством на национальном и международном уровне;
обеспечение охраны зданий, помещений, оборудования и технических средств обеспечения производственной деятельности;
обеспечение безопасности персонала;
Система безопасности действует на основе следующих организационно–правовых документов:
Устава банка;
Положения о системе безопасности;
Руководства по защите конфиденциальной информации;
Инструкции о порядке работы с иностранными специалистами;
Руководства по инженерно–технической защите помещений и технических средств.