Информационная безопасность банка (А. Шахлевич, "Финансовая газета. Региональный выпуск", N 29, июль 2010 г.)

Информационная безопасность банка

В последние годы значительно возросло значение информации, хранимой в банках. Одновременно увеличилось и число утечек информации в финансовой отрасли, особенно в кризисном 2009 году, в условиях, когда нестабильная ситуация на рынке труда и высокая стрессовая нагрузка подталкивали к совершению противоправных действий. Так, в результате недавней (ноябрь 2009 г.) утечки сведений о более полутора миллионах банковских карточек только прямые убытки компании RBS WorldPay составили 9 млн. долл., не говоря уже о репутационных потерях, которые понес королевский шотландский банк, подразделением которого является RBS WorldPay.

На протяжении последнего десятилетия мировая банковская индустрия находится в условиях жесткой конкурентной борьбы. Появление новых информационных технологий оказывает серьезное воздействие на выработку стратегической политики банка. Нынешние изменения в банковской сфере связаны с влиянием ряда факторов, в числе которых международная тенденция к глобализации рынка банковских услуг, изменение законодательства, а также развитие информационных технологий. Но чтобы остаться конкурентоспособными, банки должны оценивать и адекватно реагировать не только на внешние факторы, но и на внутренние, такие как изменение запросов клиентов, необходимость уменьшения времени обслуживания, тесная интеграция деятельности и высоких технологий. Существующий круг клиентов - это ключевой ресурс банка, который необходимо не только сохранить, но и увеличить. Такое конкурентное преимущество, как возможность доступа клиента к банку с помощью существующих филиальных сетей, теперь уже не является залогом успеха. Изменение требований клиентов, новые технологии и фиксированно высокая стоимость содержания этих сетей заставляют искать альтернативные стратегии. Сейчас используются следующие подходы:

мобильные пункты продажи товаров и услуг;

механизмы прямой продажи товаров и услуг;

технологии расчета в точке продажи;

электронное и телефонное банковское обслуживание и др.

Компьютеризация банковской деятельности

В связи со всеобщей информатизацией и компьютеризацией банковской деятельности важную роль стали играть информационная безопасность банков. Еще 30 лет назад объектом информационных атак были данные о клиентах банков или деятельности самого банка, но такие атаки были редкими, круг их заказчиков был очень узок, а ущерб мог быть значительным лишь в особых случаях. В настоящее последнее время в результате повсеместного распространения компьютерных сетей, электронных платежей и пластиковых карт объектом информационных атак стали как банки, так и их клиенты. Совершить попытку хищения может любой - необходимо лишь наличие компьютера, подключенного к сети Интернет. Причем для этого даже не требуется физически проникать в банк, можно "работать" и за тысячи километров от него. Например, летом 2009 г. хакерам удалось проникнуть в банковскую систему одного из крупнейших американских банков Citibank и похитить около 10 млн. долл. В совершении преступления подозреваются российские хакеры, которые также получили доступ к компьютерным сетям еще двух организаций США, в том числе одной из правительственных структур.

Компьютеризация банковской деятельности позволила значительно повысить производительность труда сотрудников банка, внедрить новые финансовые продукты и технологии. Однако прогресс в технике преступлений шел не менее быстрыми темпами, чем развитие банковских технологий. В последнее время большинство всех преступлений в финансовой отрасли связано с использованием автоматизированных систем обработки информации банка (АСОИБ). Следовательно, при создании и модернизации АСОИБ банкам необходимо уделять пристальное внимание обеспечению ее безопасности, именно эта проблема является сейчас наиболее актуальной. Если в обеспечении физической и классической информационной*(1) безопасности давно уже выработаны устоявшиеся подходы (хотя развитие происходит и здесь), то в связи с частыми радикальными изменениями в компьютерных технологиях методы безопасности АСОИБ требуют постоянного обновления.

Особо актуальна данная проблема в России. В западных банках программное обеспечение разрабатывается конкретно под каждый банк, и устройство АСОИБ во многом является коммерческой тайной. В России получили распространение "стандартные" банковские пакеты, информация о которых широко известна, что облегчает несанкционированный доступ в банковские компьютерные системы. Причем, во-первых, надежность "стандартного" программного обеспечения ниже из-за того, что разработчик не всегда хорошо представляет конкретные условия, в которых этому программному обеспечению придется работать, а во-вторых, некоторые российские банковские пакеты не удовлетворяли условиям безопасности.

Наиболее популярным каналом утечки информации последние несколько лет остаются мобильные накопители и ноутбуки (рис. 1).

"Рис.1. Популярные каналы утечек информации."

Стратегия информационной безопасности

Стратегия информационной безопасности банков существенно отличается от аналогичных стратегий других компаний и организаций. Это обусловлено прежде всего специфическим характером угроз, а также публичной деятельностью банков. Обычная компания строит свою информационную безопасность исходя лишь из узкого круга потенциальных угроз - главным образом защита информации от конкурентов (в российских реалиях основной задачей является защита информации от налоговых органов и преступного сообщества с целью уменьшения вероятности неконтролируемого роста налоговых выплат). Такая информация интересна лишь узкому кругу заинтересованных лиц и организаций и редко бывает ликвидна.

Информационная безопасность банка должна учитывать следующие специфические факторы.

1. Хранимая и обрабатываемая в банковских системах информация представляет собой реальные деньги. На основании информации компьютера могут производиться выплаты, открываться кредиты, переводиться значительные суммы. Понятно, что незаконное манипулирование с такой информацией может привести к серьезным убыткам. Эта особенность резко расширяет круг преступников, покушающихся именно на банки (в отличие, например, от промышленных компаний, внутренняя информация которых далеко не всегда интересна).

2. Информация в банковских системах затрагивает интересы большого количества людей и организаций - клиентов банка. Как правило, она конфиденциальна, и банк несет ответственность за обеспечение требуемой степени секретности перед своими клиентами. Кроме того, обязательность защиты персональных данных и данных держателей кредитных карт прописана юридически - Федеральный закон от 27.06.06 г. N 152-ФЗ "О персональных данных" (в ред. от 27.12.09 г.) и PCIDSS соответственно.

3. Конкурентоспособность банка зависит от того, насколько клиенту удобно работать с банком, а также насколько широк спектр предоставляемых услуг, включая услуги, связанные с удаленным доступом. Поэтому клиент должен иметь возможность быстро и без утомительных процедур распоряжаться своими деньгами. Но такая легкость доступа к деньгам способствует повышению вероятности преступного проникновения в банковские системы.

4. Информационная безопасность банка (в отличие от большинства компаний) должна обеспечивать высокую надежность работы компьютерных систем даже в случае нештатных ситуаций, поскольку банк несет ответственность не только за свои средства, но и за деньги клиентов.

По данным Deloitte (рис. 2), 61% компаний уже приняли стратегию информационной безопасности, а в 21% случаев этот документ находится в процессе согласования. При этом наличие такого документа де-факто ни о чем не свидетельствует - значительно важнее его содержание и частота применения. Однако с этими параметрами как раз имеются трудности, поскольку стратегия безопасности согласуется с бизнес-целями организации только в 63% случаев, а защита - это своего рода соревнование обороны и нападения: кто больше знает и предусматривает действенные меры - тот и выиграл.

"Рис.2. Наличие стратегии по информационной безопасности."

Организация защиты АСОИБ - это единый комплекс мер, которые должны учитывать все особенности процесса обработки информации. Несмотря на возможные неудобства, причиняемые пользователю во время работы, во многих случаях средства защиты могут оказаться совершенно необходимыми для нормального функционирования системы.

Построение системы информационной безопасности

Необходимо понимать, что обеспечение информационной безопасности - процесс непрерывный, а применяемые меры должны носить комплексный и превентивный характер. Еще один важный момент: эффективная защита невозможна без комплекса организационных мер. Должны быть определены цели, задачи, приоритеты и риски в области информационной безопасности, и с учетом этих факторов сформулированы требования к системе информационной безопасности, разработана политика и система управления, регламенты, процедуры и пр. Выбор технических средств защиты также должен опираться на предварительно проведенный анализ рисков.

Таким образом, построение системы информационной безопасности банка целесообразно начинать с комплексного диагностического обследования основных бизнес-процессов и информационной системы банка, а также существующих инструментов обеспечения защиты. Обследование (аудит) системы информационной безопасности позволит установить, соответствует ли уровень безопасности информационно-технологических ресурсов банка выдвигаемым требованиям, т.е. обеспечиваются ли необходимые параметры конфиденциальности, целостности и доступности ресурсов информационной системы. В ходе диагностического обследования проводится анализ рисков. Для проверки способности информационной системы противостоять попыткам несанкционированного доступа и воздействия на информацию иногда целесообразно выполнять тесты на проникновение.

Результатом работ по диагностическому обследованию помимо рекомендаций и предложений может являться спроектированная система информационной безопасности банка. Работы по ее проектированию включают следующие этапы:

разработку концепции обеспечения информационной безопасности, определение основных целей, задач и требований, а также общей стратегии построения системы, идентификацию критичных информационных ресурсов, выработку требований и базовых подходов к их реализации;

разработку политики информационной безопасности;

построение модели системы управления;

подготовку технического задания на создание системы информационной безопасности;

создание модели системы;

разработку техническо-рабочего проекта по созданию системы и ее архитектуры;

тестирование спроектированной системы;

разработку организационно-распорядительных документов системы управления по обеспечению информационной безопасности (политик, процедур, регламентов и т.п.);

разработку рабочего проекта (включая документацию на используемые средства защиты и порядок администрирования, план ввода системы в эксплуатацию и др.), планирование обучения пользователей и обслуживающего персонала информационной системы.

При проектировании архитектуры системы информационной безопасности необходимо учитывать, что высокая эффективность достигается, если все компоненты представлены качественными решениями, функционируют как единый комплекс и в случае распределенных систем имеют централизованное управление. Построение интегрированного решения обеспечивает ряд преимуществ: позволяет снизить совокупную стоимость владения системой информационной безопасности, повысить коэффициент возврата инвестиций и улучшить управляемость системы.

А. Шахлевич,

ведущий специалист департамента

маркетинга компании "Информзащита"

"Финансовая газета. Региональный выпуск", N 29, июль 2010 г.

------------------------------------------------------------------------

*(1) Под классической информационной безопасностью понимаются система разделения прав доступа к информации, мероприятия по защите от прослушивания, предотвращение утечек со стороны персонала и другие меры, непосредственно не связанные с АСОИБ.