Система защиты банка от угрозы утечки информации

Особенности защиты информации в банковских системах: основные принципы и методики

Банковская деятельность связана с обработкой больших объемов информации, основную часть которых составляют конфиденциальные данные клиентов.

К ним относится личные данные пользователей, копии их документов, номера счетов, данные о проведенных операциях, транзакциях и пр.

В процессе работы с этой информацией важно, чтобы она не попала в руки злоумышленников, не была изменена или утеряна.

Учитывая важность архивов, хранимых в информационной среде банка, существенно возросла их ценность и требования к защите банковской информации.

Сложность поддержки безопасности данных заключается в том, что банки должны обеспечить доступность к этим данным их пользователям и блокировать любые попытки получить информацию чужими людьми и злоумышленниками.

Чтобы успешно реализовать эту задачу потребуется комплекс мер, предназначенный для поддержки конфиденциальности данных, сохранности и безопасности обрабатываемой информации, а также безотказный доступ к данным во время проведения финансовых операций.

Чем важна информационная безопасность в банковских учреждениях

Чтобы понять какую роль играет информационная безопасность в банковской деятельности, следует разобраться в том, какая данные банка требуют защиты и почему.

К банковским данным относится совокупность информации, которая обеспечивает возможность представления финансового учреждения в информационной среде, а также данные, обеспечивающие возможность проведения финансовых операций между клиентом и банком, а также между несколькими клиентами, использующих банковское учреждение в качестве финансового посредника.

Существует два вида банковской информации – это те данные, которые используются в информационной среде с целью представления деятельности финансового учреждения для его клиентов, а также совокупность данных клиентов финучреждения как юридических, так и физических.

Несмотря на то, что одна информация является открытой, а вторая закрытой, обе они требуют надежной защиты.

  1. Безопасность открытых данных заключается в том, что эта информация всегда должна быть достоверной и подаваться клиентам в том ракурсе, который выбрал для себя банк. Если по каким-то причинам эти данные будут видоизменены или подменены, то банк может потерпеть не только существенные финансовые потери, а также и удар по своему имиджу и репутации.
  2. Опасность завладения закрытыми данными заключается в том, что если она попадет в руки злоумышленников, то они могут использовать ее с целью получения для себя неправомерной финансовой прибыли. Это может осуществляться путем проведения неправомерных финансовых операций или посредством вымогательства с угрозой распространить какую-либо скрытую информацию о клиентах банка.

Как видим, защита информации в банковских системах – это очень важный аспект деятельности финансового учреждения, который всегда должен быть ключевым среди большого перечня задач, с которыми сталкиваются банки.

Попытки доступа к тайной банковской информации

Среди способов несанкционированного доступа к данным банков на сегодня наиболее часто встречаются следующие.

  • Физический доступ и последующая кража нужной информации. Вариантов реализовать этот способ очень много, начиная с кражи конфиденциальной информации одним из сотрудников банка, который имеет доступ к ней и заканчивая вероятностью вооруженного налета с целью получения важных архивов, баз данных и пр.
  • Второй метод воровства заключается в том, что архивы можно неправомерно получить во время создания резервных копий. Всем известно, что любое учреждение делает резервирование и архивирование важных данных, чтобы не потерять их во время сбоя информационной системы или какой-нибудь более глобальной катастрофы. Большинство банковских учреждений архивируют свою информацию с помощью стримеров, записывая данные на ленту, которая хранится в отдельных помещениях. Во время процесса транспортирования лент и их хранения возможно копирование данных и распространение их вне информационной среды банка.
  • К одним из наиболее распространенных и вероятных способов утечки информации относится несанкционированный доступ к данным через права администратора информационной системы или посредством специальных программ, которые позволяют обойти защиту и получить доступ к нужной информации. Иногда сотрудники могут делать это даже непреднамеренно, например, беря работу домой. Как бы и ничего опасного, но вероятность того, что данные попадут в руки недоброжелателю, в таком случае, существенно возрастает.
  • Еще одним способом получить засекреченную информацию является распространение разного рода программ-шпионов, вирусов, плагинов, специализированного софта.

Методы защиты банковской информации

Учитывая перечисленные выше угрозы потери важных данных, должны выбираться методы и средства защиты банковской информации.

Защита от физического доступа

Большинство банков уделяют достаточно большое внимание уровню физической безопасности своей информации.

Начинается этот процесс с того, что места, где хранятся информационные архивы и устанавливаются банковские сервера, имеют более высокий уровень защищенности от проникновения и возможности пребывания там сторонних физических лиц.

Кроме этого, активная работа ведется и по подбору персонала, который будет иметь доступ к конфиденциальным данным банка и его клиентов. Реализация перечисленных факторов существенно снижает вероятность кражи архивов, но не исключает ее полностью.

Создание резервных копий

Резервирование информации и запись ее в архивы – это важный шаг чтобы сохранить нужные для себя данные.

Но чтобы исключить вероятность их попадания в руки злоумышленников, этот процесс должен происходить с применением систем шифрования.

Использование современной криптографической защиты сведет к нулю вероятность того, что даже украденная информация будет кем-то использована.

На сегодня есть много различных программных продуктов, которые обеспечивают шифрование данных в момент переноса их в архив.

Весь процесс полностью автоматизирован и не несет для банка существенных затрат в финансовом плане и в плане потребности дополнительных сотрудников.

Также важно, чтобы в процессе создания зашифрованного архива использовались хранилища, построенные на физических накопителях, а не на виртуальных.

Это гарантирует еще один уровень защищенности информации, ведь виртуальное хранилище легче взломать, нежели реальное.

Предотвращение инсайдерской информации

Предотвратить утечку инсайдерской информации порой бывает труднее всего. Защитить ее с помощью различных аппаратных и программных средств – это только половина решения поставленной задачи. В этом случае ключевую роль играет человеческий фактор.

Именно через сотрудников очень часто происходит потеря важных данных, что впоследствии влияет на будущее и текущую деятельность банка.

Поэтому подбор кадров, эффективная работа внутренней службы безопасности, а также использование системы ограничения доступа позволит минимизировать риски потери инсайдерской информации.

Заключение

Выше были рассмотрены основные способы защиты банковской информации.

Чтобы гарантировать 100-процентую ее защиту важно использовать все существующие на сегодня способы в комплексе.

Учитывая, что киберпреступность в последнее время развивается очень сильно и защитить информацию становится все труднее, важно, чтобы этим процессом занимались профессионалы своего дела.

Они помогут подобрать правильные аппаратные и программные средства, а также создадут верную стратегию защиты данных в конкретной информационной среде банка.

Видео: Правила защиты банковской карты от мошенничества

Банк России: борьба с утечками информации необходима

Защита информации в банковском бизнесе регулируется целым рядом нормативных актов и надзорных органов. Наиболее важными нормативами, регулирующими информационную безопасность в российской банковской отрасли, являются Стандарты Банка России группы «Обеспечение информационной безопасности организаций банковской системы Российской Федерации». Весной 2016 г. эти стандарты были существенно расширены новыми рекомендациями по предотвращению утечек информации.

Введение

Несмотря на то, что стандарты Банка России группы СТО БР ИББС носят рекомендательный характер, де-факто многими действующими в России банками они рассматриваются как обязательные. Некоторые финансовые организации уже реализовали соответствие требованиям Стандартов, другие – находятся в начале этого пути.

Стандарт Банка России СТО БР ИББС-1.0-2014 совершенно справедливо обращает внимание на проблему инсайдеров. Некоторые банки пытаются не замечать угрозы со стороны внутренних нарушителей, однако игнорирование риска утечки персональных и/или финансовых сведений клиентов или злоупотребление ими может привести к многомиллионным потерям и испорченной репутации.

Весной 2016 г. Банк России выпустил новый ключевой документ, также имеющий рекомендательный характер — «ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ. ПРЕДОТВРАЩЕНИЕ УТЕЧЕК ИНФОРМАЦИИ» (РС БР ИББС-2.9-2016), где прямо указано, что организациям банковской системы РФ следует принимать меры по обеспечению конфиденциальности обрабатываемой информации. Наибольшими возможностями для нанесения ущерба, в том числе неумышленного, организации БС РФ и ее клиентам в части возможного нарушения конфиденциальности обрабатываемой информации обладают работники организации БС РФ и (или) иные лица, обладающие легальным доступом к информации, – возможные внутренние нарушители информационной безопасности. При этом утечка информации является одной из наиболее актуальных угроз нарушения информационной безопасности, которую могут реализовать внутренние нарушители ИБ.

Основные рекомендации РС БР ИББС-2.9-2016

Документ «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Предотвращение утечек информации» является логическим продолжением базового стандарта Банка России СТО БР ИББС-1.0-2014 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения». Он содержит в себе высокоуровневые рекомендации, выполнение которых обеспечивает снижение рисков утечки информации путем мониторинга и контроля информационных потоков техническими способами в сочетании с организационными мерами.

Уже во вводной части Рекомендаций указывается, что одним из направлений деятельности организации БС РФ по обеспечению конфиденциальности обрабатываемой информации являются мониторинг и контроль информационных потоков, осуществляемые для предотвращения утечек информации.

Собственно, утечкой информации Банк России именует несанкционированное предоставление или распространение информации конфиденциального характера, не контролируемое организацией. При этом подразумевается, что пользователь обладает правами доступа к информации. Другой важный термин, именованный в документе — защита информации от утечки. Таковой признается деятельность, направленная на предотвращение неконтролируемого предоставления или распространения информации конфиденциального характера.

Банк России указывает, что для защиты конфиденциальной информации от возможных утечек организации рекомендуется обеспечивать:

  • идентификацию и формирование перечня категорий информации конфиденциального характера;
  • идентификацию и учет информационных активов (информационных ресурсов), содержащих информацию конфиденциального характера и объектов среды информационных активов, используемых для обработки и (или) хранения информации конфиденциального характера;
  • определение категорий возможных внутренних нарушителей и актуальных угроз, связанных с их действиями,
  • определение потенциальных каналов утечки информации конфиденциального характера;
  • выполнение процессов системы обеспечения ИБ, которые обеспечивают непосредственный мониторинг и контроль информационных потоков, т.е. потенциальных каналов утечки информации конфиденциального характера (информационных потоков).

Рекомендации к определению потенциальных каналов утечки информации

Организациям БС РФ рекомендуется рассматривать следующие значимые потенциальные каналы утечки информации:

  • передача информации за пределы контролируемой информационной инфраструктуры с применением электронной почты;
  • передача информации с применением сервисов сети Интернет, в том числе социальных сетей и форумов;
  • размещение информации конфиденциального характера на объекте информационной инфраструктуры организации, не предназначенном для ее хранения;
  • удаленный доступ к информационной инфраструктуре организации с использованием сети Интернет;
  • копирование информации на переносные носители информации;
  • печать и (или) копирование информации на бумажные носители;
  • использование и (или) утеря переносных носителей информации;
  • визуальное (включая фотографирование и видеосъемку) и слуховое ознакомление с информацией.

Особая ценность Рекомендаций заключается в том, что помимо перечисления категорий нарушителей и потенциальных каналов утечки информации Банк России приводит также Перечень угроз утечки информации конфиденциального характера, где в табличной форме увязывает потенциальные каналы утечки с категориями нарушителей, актуальные для различных типов объектов среды – от серверного оборудования до бумажных носителей информации.

Кроме того, в документе приводится широкий перечень действий, рекомендуемых для обеспечения необходимого и достаточного уровня предотвращения утечек информации. В частности, организациям рекомендуется обеспечить мониторинг и контроль использования различных сервисов и каналов электронных (сетевых) коммуникаций, канала печати, а также мониторинг, контроль, блокирование копирования информации на переносные носители информации.

Особо отмечается, что режим блокирования возможности использования потенциальных каналов утечки информации или режим их непрерывного мониторинга и контроля рекомендуется определять в зависимости от правил доступа для различных категорий потенциальных внутренних нарушителей. При этом применение режима блокирования возможности использования потенциальных каналов утечки информации не отменяет целесообразность проведения службой информационной безопасности организации БС РФ регулярного контроля, направленного на корректность реализации процессов мониторинга и контроля потенциальных каналов утечки информации.

Кроме того, Рекомендации указывают, что для большей эффективности в решении задачи предотвращения утечки информации рекомендуется реализация автоматизированного протоколирования и (или) блокирования передачи информации на основе контентного анализа передаваемой (переносимой) информации – в частности, при передаче информации на внешние адреса электронной, публикации в сети Интернет, включая социальные сети и форумы; при печати, сохранении на переносные носители информации и др. Что важно, контентный анализ рекомендуется использовать именно и непосредственно для реализации процессов мониторинга, контроля, блокирования использования каналов передачи информации – а не только для анализа архива электронных сообщений и файлов.

Возможности DeviceLock DLP применительно к РС БР ИББС-2.9-2016

Согласно ключевой парадигме Стандартов, наибольшие угрозы ИБ исходят от собственных сотрудников компаний. Программный комплекс DeviceLock DLP ориентирован на предотвращение утечек данных, связанных с нарушениями со стороны именно внутренних пользователей корпоративных ИС и потому является необходимым инструментом обеспечения информационной безопасности организаций, желающих успешно реализовать требования и пройти аудит соответствия Стандартам Банка России.

DeviceLock DLP контролирует перемещение (передачу) данных через локальные порты рабочей станции, съемные носители и каналы сетевых коммуникаций на основе гибких, персонализированных политик с использованием технологий контентной фильтрации. Каждый раз решение о том, чтобы разрешить или запретить доступ к устройству или сетевому протоколу, чтобы разрешить, запретить или сделать теневую копию передаваемого файла или документа — принимается автоматически на основании контекстных параметров и, при необходимости, анализа содержимого перемещаемых данных.

Использование DeviceLock DLP позволяет обеспечить комплексный контроль действий пользователей непосредственно на их рабочих станциях, что, в свою очередь существенно упрощает моделирование угроз и действий нарушителей. Например, если политика безопасности компании запрещает копирование информации на съемные устройства, использование DeviceLock DLP минимизирует риск утечки через данный канал в рамках общей модели угроз. Благодаря использованию DeviceLock DLP предотвращаются хищения информации внутренними нарушителями через порты рабочих станций, беспроводные сети, принтеры, мобильные устройства, а также электронную почту, мессенджеры, файлообменные сервисы и другие каналы сетевых коммуникаций. Кроме того, поддержка DeviceLock DLP событийного протоколирования и теневого копирования обеспечивает юридическую документируемость и доказательность фактов попыток доступа и копирования конкретных данных. Как результат внедрение разработанного компанией Смарт Лайн Инк программного комплекса DeviceLock DLP помогает организациям БС РФ обеспечить соответствие их информационных систем отраслевым Стандартам СТО БР ИББС.

Защита информации от внутренних угроз

2006 год отличился значительным ростом зафиксированных случаев утечки информации. Удивляет не только их количество, но и масштабы. Если сохранится наметившаяся тенденция, в скором будущем понятие конфиденциальности будет лишь условным атрибутом общедоступной информации.

Современные информационные системы позволяют защитить конфиденциальные данные компаний от внешних злоумышленников. Но, как правило, остается одно уязвимое место – собственный персонал, обладающий легитимным доступом к накопленным сведениям. Поскольку организации стараются скрыть инциденты с утечкой своих информационных ресурсов, составить достоверную картину о масштабах происшествий затруднительно. Но между тем, согласно исследованиям ФБР и Института компьютерной безопасности США, более 70 процентов от общего объема потерь компаний, возникающих в результате реализации ИТ-рисков, связаны именно с их персоналом.

На отечественном рынке труда, к сожалению, нормой стало то, что сотрудники организаций, увольняясь, безнаказанно переносят конфиденциальные сведения с одного места работы на другое. Успешных примеров проведения расследований по статье 183 Уголовного кодекса «Незаконное получение и разглашение коммерческой тайны» к настоящему моменту крайне мало. Поэтому инсайдеры и нелояльные сотрудники продолжают безбоязненно копировать и использовать сведения, составляющие коммерческую тайну предприятия, в котором они работают.

Даже среди организаций, специализирующихся на предоставлении услуг в области информационной безопасности, вряд ли найдется компания, которая никогда не сталкивалась с финансовыми потерями в результате утечки конфиденциальных сведений, не говоря уже о фирмах, основная деятельность которых не связана с защитой информации. Решение проблемы утечки информации

Многие предприятия предоставляют своим сотрудникам значительную свободу в выборе и использовании компьютерной техники и программного обеспечения, а также не уделяют должного внимания вопросу найма собственных IT-специалистов. Другая крайность проявляется в том, что топ-менеджеры некоторых компаний устанавливают режим тотальной секретности, отслеживая практически все перемещения информации, в том числе и не содержащей коммерческой тайны. В таких случаях часто неоправданно велики требования к ресурсам службы экономической безопасности предприятия. Поэтому очень важно добиться разумного компромисса между разумной управляемостью и жестким контролем.

На основе зарубежного и отечественного опыта решения задач защиты конфиденциальных сведений разработаны методологии построения системы управления информационной безопасностью (далее – СУИБ), например:

  • стандарты британского института ISO 27001 (ISO 17799);
  • требования акта Сарбанеса–Оксли (США) SOX;
  • стандарт Банка России СТО БР ИББС-1.0-2006;
  • отраслевые стандарты предприятий.

    Каждая методология включает рекомендации как по организационным, так и по техническим мерам обеспечения безопасности. Помимо выполнения внутренних проверок, предприятия заказывают такие услуги, как комплексный аудит информационной безопасности – «взгляд со стороны». В основе процессного подхода западных стандартов лежит также непрерывный контроль и совершенствование уже существующих мер. В российской действительности защиту конфиденциальных сведений следует начинать с введения в компании режима коммерческой тайны.

    Поскольку поток документов, обрабатываемых сотрудником, в большинстве случаев превышает то количество, с которым он одновременно может работать, возрастает необходимость в технических средствах автоматизированного выполнения следующих основных действий:

  • классификации информации (разделения на конфиденциальную и открытую);
  • разграничения доступа к сведениям, содержащим коммерческую тайну;
  • учета перемещений данных между сотрудниками;
  • регистрации исходящих сообщений. Технические меры
  • В настоящее время существуют совершенные средства защиты от внешних рисков – антивирусы, межсетевые экраны, антиспам и т. д. А вот рынок защитных устройств от внутренних угроз еще не настолько развит, чтобы можно было ограничиться неким «универсальным» средством для покрытия всех каналов утечки конфиденциальной информации.

    Попробуем разобраться в вариантах IT-решений по защите информации при различных сценариях поведения нарушителей. Так, если злоумышленник не является специалистом в шпионском оборудовании, то, скорее всего, он воспользуется одним из наиболее доступных способов передачи информации:

  • перепишет файлы на мобильный носитель (например, наладочный компьютер, сотовый телефон, записываемые диски, по IR- или BlueTooth-каналу на личный ноутбук);
  • отправит файлы по электронной почте;
  • перешлет через web-почту или выгрузит на внешний файловый сервер;
  • распечатает и унесет на бумажных носителях.

    В данном случае для защиты информации можно выбрать различные устройства, различающиеся как по используемым технологиям, так и по количеству покрываемых каналов утечки.

    1. Средства контроля мобильных носителей. На отечественном рынке распространены решения DeviceLock, которые позволяют управлять открытием и закрытием портов ввода-вывода информации в зависимости от привилегий пользователей и профилей устройств. Эти IT-решения чаще всего используются для целей контроля USB-носителей.

    Решение Net Monitor компании InfoWatch позволяет следить за перемещением информации на основе меток уровня конфиденциальности документов. Так, согласно политике безопасности, для определенной группы пользователей могут быть установлены запрет или разрешение на такие действия над документами, как открытие, модификация, сохранение, печать, копирование на носители.

    Особый тип в данной группе составляют IT-решения по защите мобильных компьютеров. Ведь именно кражи корпоративных ноутбуков, согласно последним данным статистики от компании InfoWatch, среди прочих внутренних угроз вызывают наибольшие потери. Помимо организационных мер, рекомендуется использовать криптографические средства, например шифрование дисков, одновременно с созданием нескольких виртуальных машин для разделения данных.

    2. Средства фильтрации почтового и web-трафика. Система «Дозор-Джет» защищает фирмы от нецелевого использования web-ресурсов и предотвращает утечку конфиденциальной информации по web-каналам и через корпоративную электронную почту. В основе технологии – программа-фильтр, которая проверяет входящие и исходящие сообщения по ключевым словам и по шаблонным выражениям, поэтому требуется ее предварительная настройка в соответствии с каталогом конфиденциальной информации.

    Решение Traffic Monitor компании InfoWatch также защищает предприятия от утечек информации через web-каналы, электронную почту и создает хранилище отправленных сообщений для оперативного разбора инцидентов. В зависимости от плана внедрения действия программы могут быть скрыты от пользователей для целей прозрачного контроля, а информация об их действиях, нарушающих безопасность, моментально доводится до сведения сотрудника службы безопасности. IT-решение основывается на морфологическом анализе исходящего текста, при котором учитываются словоформы русского языка и возможные подмены символов.

    Отдельно можно отметить западное решение SurfControl, уже достаточно известное и распространенное в России благодаря возможностям тонкой настройки контроля использования web-ресурсов. Технология фильтрации основана на перечне запрещенных слов, которые не должны покинуть пределы корпоративной информационной системы. Если в исходящем сообщении суммарный «вес» запрещенных слов превысит установленный уровень, то действия сотрудника будут блокированы. Как выбрать IT-решение

    На выбор IT-решения для защиты информации влияют несколько факторов.

    1. Цели внедрения технологического решения:

  • соответствие стандартам по информационной безопасности – в связи с вступлением в ВТО, а также для повышения инвестиционной привлекательности обязательным требованием к компаниям зачастую становится соответствие одному из отечественных или зарубежных стандартов (ФЗ РФ, СТО БР ИББС, ISO 27001/17799, SOX § 404);
  • выявление каналов утечки;
  • комплексная защита предприятия от утечек путем создания системы управления информационной безопасностью.

    2. Размер компании: в организациях, использующих более 300–500 рабочих станций, возрастают требования к консолидации управления информационной безопасностью. Можно выделить решение InfoWatch Enterprise Solution, которое предоставляет единый интерфейс контроля сразу нескольких каналов утечки.

    3. Унаследованная инфраструктура: промышленные гиганты борются за унификацию своей инфраструктуры, но многочисленные унаследованные приложения, которые используются для управления ресурсами предприятия, а также большие затраты по их интеграции ее затрудняют.

    4. Сертификация: ряд организаций, например министерства, предъявляют требования к компании-разработчику и к внедряемым программно-аппаратным комплексам по наличию у них сертификатов и лицензий ФСТЭК и ФСБ. В результате выбор может быть предопределен набором тех IT-решений, которые имеют требуемый сертификат. Цена защиты

    Объем инвестиций в комплексную защиту от утечек конфиденциальной информации определяется составляющими:

    1. Лицензионной – как правило, лицензирование программных комплексов привязывается к количеству контролируемых узлов (рабочих станций, серверов, почтовых ящиков). Следует учесть также и стоимость сопутствующего программного обеспечения (операционных систем, Oracle DataBase, MS SQL Server, MS ISA Server и т. д.).

    2. Аппаратной – каждое программно-техническое решение имеет свои требования к серверному и сетевому оборудованию, используемому для реализации проекта. Например, оперативный контроль над почтовым трафиком является чрезвычайно важным элементом бизнеса и может потребовать отдельного сервера для его фильтрации.

    3. Работами по внедрению – часть рассмотренных решений являются «коробочными» продуктами и настраиваются системными администраторами компании, однако другие требуют выполнения проектных работ с привлечением консультантов, лингвистов, технических специалистов. Объем работ может составлять от 30 до 100 процентов от лицензионной составляющей программного комплекса.

    4. Обслуживанием – после внедрения IT-системы компания несет затраты на ее техническое сопровождение (обычно от 10 до 30% от стоимости лицензии за один год).

    5. Работами по интеграции – дополнительные расходы могут быть связаны с настройкой межсистемных интерфейсов. Если СУИБ внедряется на основе решений нескольких поставщиков, то затраты на их интеграцию и сопровождение также возрастают и требуют учета.

    6. Занятостью персонала – на этапе внедрения системы и ее промышленной эксплуатации для изучения и сопровождения СУИБ необходимо привлекать технических специалистов и сотрудников службы безопасности. Требования к работникам зависят от достоверности и уровня автоматизированности основных действий по контролю над информационными ресурсами.

    Таким образом, внедрение СУИБ в компании – многофакторный процесс, а его успешная реализация позволяет значительно снизить риски организаций при использовании информационных ресурсов и иметь законную основу для защиты конфиденциальных сведений.

    Принципы построения СУИБ:
    1) анализ текущего состояния предприятия с точки зрения существующих уязвимых мест в информационной безопасности;
    2) оценка возможных рисков компании, связанных с использованием информационной инфраструктуры;
    3) разработка СУИБ организации на основе наложения рисков и уязвимых мест;
    4) внедрение СУИБ и осуществление соответствующих организационных мер.

    Введение в компании режима коммерческой тайны сопровождается:
    1) разработкой положения о коммерческой тайне компании;
    2) выпуском приказа по организации, утверждающего положение;
    3) подписанием с сотрудниками приложений к трудовому договору о неразглашении секретных сведений;
    4) включением раздела о конфиденциальности во все договора предприятия;
    5) физическим и техническим разграничением доступа к информации;
    6) организацией учета лиц, получающих доступ к коммерческой тайне;
    7) регистрацией всех исходящих документов, содержащих секретные сведения.

    Александр Чачава, президент LETA IT-Сompany

    ПРАКТИЧЕСКАЯ ЭНЦИКЛОПЕДИЯ БУХГАЛТЕРА

    Полная информация о правилах учета и налогах для бухгалтера.
    Только конкретный алгоритм действий, примеры из практики и советы экспертов.
    Ничего лишнего. Всегда актуальная информация.

    Мы пишем полезные статьи, чтобы помочь вам разобраться в сложных проблемах бухучета, переводим сложные документы «с чиновничьего на русский». Вы можете помочь нам в этом. Это легко.

    *Нажимая кнопку отплатить вы совершаете добровольное пожертвование

    Информационная банковская безопасность и ее необходимость

    • Статьи
      • Банкротство физлиц
      • Банкротство юрлиц
      • Законодательство в области банковской сферы
      • Автокредиты
      • Банковская деятельность
        • Что будет с банковским сектором в ближайшие 5 лет?
        • Банки для людей с ограниченными возможностями
        • Хоум Кредит Банк — планы и перспективы
        • Зима. Экономия банкиров.
        • Создание почтового банка
        • ЦБ беспощаден к «малышам»
        • Направления Банка России
        • Банк Москвы — результаты и перспективы
        • Падение интереса к банковской профессии
        • Перспективные увольнения банка «Возрорждение»
        • Сбербанком проводится процедура капитальной отсрочки
        • Проблемы банков — дело самих банков
        • ЦБ была обнаружена «дыра» в балансе двух организаций
        • ЦБ было дано объяснение по поводу «долгого отзыва» лицензии у банка Связной
        • ЦБ отозвал лицензии у Связного Банка, Нота-Банка, Ипозембанка и банка «Балтика»
        • Как санкции меняют российский банковский бизнес
        • Банки готовы к добровольной сдаче лицензии ЦБ
        • Неликвидная ликвидность
        • Товарищи! Революция, о необходимости которой все время говорил Банк России, совершилась.
        • Экономические новости
        • Экономические новости: ноябрь 2015
        • Каким образом начисляются кредитные проценты?
        • Самые выгодные ставки по вкладам в крупнейших банковских организациях теперь составляют 12,75% годовых в рублях
        • Кто такой кредитный брокер
        • Благонадежность и репутация в бизнесе
        • Как сегодня работают банки
        • Что такое платежеспособность
        • В чем прибыль банков?
        • Конкуренция среди банков
        • Виды инвестиций
        • Виды денег
        • Все о расчетно-кассовом обслуживании
        • Золотовалютные запасы государств
        • Паевые инвестиционные фонды
        • Потребительская корзина
        • Признаки подлинности российских банкнот
        • Покупательная способность населения
        • Экономическая стагнация
        • Почему в Европе низкие процентные ставки?
        • Как банк обрабатывает претензии
        • Бабушки с молотками выбегают
        • Как пользоваться банкоматом
        • Кредитоматы и банкоматы будущего
        • Кто такие банкиры?
        • Самые известные и влиятельные банкиры в истории
        • Профессия — банкир.
        • Как появились деньги и банкиры
        • Банковские гарантии
        • С 1 июня 2015 банковская гарантия стала НЕЗАВИСИМОЙ. Обзор поправок к ФЗ №42-ФЗ
        • Россиянами в первом квартале было потрачено больше заработанного
        • Хоум Кредит Банком сокращена треть сотрудников и введена курьерская кредитная доставка
        • Ситуация финансового рынка стала более предсказуемой
        • Кому и куда жаловаться на банк. Часть I
        • Кому и куда жаловаться на банк. Часть II
        • Что будет с ключевой ставкой по экспертным прогнозам
        • Все о банковской тайне
        • Как проверяют заемщика
        • Информационная банковская безопасность и ее необходимость
        • Цессия как финансовое явление
      • Валюта
      • Виды кредитов
      • Вклады
      • Кредитные должники
      • Залоговое имущество
      • Интернет-банкинг
      • Ипотечные кредиты
      • Кредитные карты
      • Коллекторы
      • Кредитная история
      • Микрозаймы и микрокредиты
      • Мошенничество в сфере кредитования
      • Платежные системы
      • Судебные приставы
      • Страхование
      • Судебная система
      • Антиколлекторы
      • Общие вопросы кредитования
    • Видео

    • В нынешнем мире банковская информация, ее цена и значение намного возросли. Именно по этой причине к ней и возникает преступный интерес.

      Неотъемлемая часть работы любого банковского учреждения – это обеспечение безопасности хранения данных, наличие регулярной смены и проверки паролей. Также контролируется вероятность утечки информации.

      Чтобы совершить кражу и взлом банковской системы, злоумышленник совсем не обязательно должен ворваться в банковское учреждение. Осуществление взлома пользователем сети может производиться с помощью своего персонального компьютера. Таким образом, вопрос информационной банковской безопасности стал достаточно острым.

      Меры, помогающие обеспечить защиту банковской информации

      В банковских информационных системах и базах данных содержится конфиденциальная информация о банковских клиентах, о состоянии их счетов и о том, какие ими проводятся финансовые операции.

      То, что информационная безопасность таких данных должна быть превыше всего – факт очевидный. При этом, если быстрый и своевременный обмен и обработка информации отсутствуют – произойдет сбой банковской системы. Поэтому необходимо наличие целой структуры, благодаря которой возможно обеспечение защиты банковской информации и конфиденциальности клиентской базы.

      Меры по защите данных такого типа должны осуществляться последовательно:

    • Сперва оценивается и разрабатывается конфиденциальная информация;
    • Оборудуется объект для осуществления защиты.
    • Контролируется эффективность принятых мер.

      Банком может полностью осуществляться его деятельность лишь тогда, когда есть налаженный обмен внутренними данными и присутствует надежная защитная система. Оборудование такой защиты банковских объектов обладает различными формами.

      Специалистами в сфере обеспечения информационной банковской безопасности могут создаваться как разновидности локальных систем, так и централизованных защитных программ.

      При выборе конкретной защитной формы стоит уточнить следующее: нужно продумать вопрос о всевозможных способах взлома и утечки данных. В случае грамотного и профессионального подхода к обеспечению безопасности работа всех банковских отделений будет слаженной – а, значит, финансовые системы будут функционировать беспрерывно.

      Комплекс защитных мер, направленный на предотвращение нарушения конфиденциальности данных обладает следующими конкретными действиями:

    • Контролируется обмен данных, они строго регламентированы.
    • Банковские сотрудники проходят подготовку и соблюдают все требования безопасности
    • Каналы и сервера подвергаются строгому учету
    • Анализируется эффективность.

      В каждом направлении есть различные рабочие этапы. Например, при контроле обмена данных, проводится не только обработка скорости передачи информации, — также своевременно уничтожаются остаточные сведения.

      Чтобы открыть ООО – необходимо наличие учредителей. Учредитель – любое юридическое лицо, то есть какая-либо фирма, либо же физическое лицо, то есть гражданин.

      Решившись на открытие своей фирмы, и составляя бизнес-план, большинство граждан не знают, что именно им необходимо проделать для получения государственной регистрации.

      Доступ к банковским данным защищен с помощью идентификационной системы, то есть ее охраняют пароли или электронные ключи. Работа с сотрудниками, пользующимися банковскими данными, включает в себя различные инструктажи и слежку за выполнением нужных регламентов.

      Каналы и сервера подлежат строгому учету, также есть меры, направленные на обеспечение технической защиты информации и банковской безопасности – то есть защищаются резервные копии, обеспечивается бесперебойное питание оборудования, обладающего ценной информацией, ограничивается доступ к сейфам.

      Чтобы анализировать, насколько эффективны принятые меры, необходимо ведение учета или записи, благодаря которым будет отмечаться работоспособность и действенность используемых средств защиты информации в банковском учреждении.

      Принципы информационной безопасности банка

      Несмотря на то, что возможностей взломать и забрать информацию всегда много, обеспечение безопасности банковских данных – процедура вполне реальная.

      Благодаря наличию современных методов теперь усовершенствована система криптографии, а также реализована такая мера, как электронная цифровая подпись (ЭЦП). Она так называемый аналог и заменяет собственноручную подпись. Также она обладает непосредственной привязкой к электронному ключу, хранящемуся у владельца подписи. У этого ключа две части: открытая и закрытая, а также есть защита – наличие специального кода.

      Система безопасности, в общем, является непрерывным процессом идентификации, анализа и контроля.

      Существуют основные принципы, согласно которым обеспечивается информационная безопасность банка:

    • Проблемы своевременно устанавливаются и обнаруживаются
    • Можно спрогнозировать развитие
    • Предпринятые меры должны быть актуальными и эффективными.

      Также стоит отдельно выделить, насколько важна тщательная и регулярная работа с персоналом, так как обеспечение безопасности информации зависит и от того, насколько качественно и аккуратно выполняются требования службы безопасности.

      Угрозы информационной безопасности банка

      Человеческий фактор – основная и главная угроза информационной безопасности, напрямую зависящий от человеческих отношений. Утечка информации чаще всего происходит во вине банковского персонала.

      Как показывает статистика, примерно 80% правонарушений происходит из-за банковских сотрудников – из-за тех, кто обладает доступом к данным.

      При этом обеспечение внутренней информационной безопасности банка, является крайне необходимой мерой как для того, чтобы защитить конфиденциальность данных от обычной халатности, так и для того, чтобы исключить намеренный взлом баз данных.

      Есть не только внутренний фактор – но и наличие технической угрозы информационной безопасности, как банковских организаций, так и компаний. Технические угрозы – это взломы информационных систем, лицами, не имеющими прямого доступа к системе. Это могут быть криминальные или конкурирующие организации.

      Снимают и получают информацию в этом случае с помощью особенной аудио или видео аппаратуры. Современная популярная форма взлома – когда применяются электрические и электромагнитные излучения. Злоумышленники за это время получают конфиденциальную информацию, ЭЦП.

      Опасность и угроза для программного обеспечения исходит и от различных вредоносных для носителя информации компьютерных вирусов, программных закладок, способных привести к разрушению введенных кодов.

      Самый известный способ решения подобных компьютерных проблем – установка лицензионных антивирусных программ, успешно справляющихся с данной проблемой.

      В защите банковской информации от внутренних и внешних утечек может помочь поможет грамотный специалист в этой области и программное обеспечение, которое будет заниматься отслеживанием и блокировкой передачи информации на съемные носители (например — флешки).

      Что необходимо, чтобы успешно автоматизировать склад: четко представлять складские процессы, наличие достаточных исходных данных о продукции, наличие интегрируемой информационной корпоративной системы и подготовленного персонала.

      Если на складе не будут работать такие высококвалифицированные специалисты, как: заведующий складом, кладовщики, грузчики и уборщицы, то и эффекта ожидать будет довольно сложно.

      Важное защитное направление – своевременное распознавание и ограничение утечек различного вида.

      Подводя итоги можно сказать, что поскольку банковские системы очень важны в экономическом смысле – их информационная безопасность обязательно будет обеспечена. Так как информация, находящаяся в базе данных банков – это реальная материальная стоимость, то требования к хранению и обработке этой информации всегда будут повышенными.

      Специфика и особенности системы обеспечения безопасности, само собой, индивидуальны для любой банковской организации в отдельности, поэтому комплексное и профессиональное предоставление систем защиты – необходимое условие работы всей банковской системы.

      Утечки информации и борьба с ними

      В последнее время наметился всплеск новостей об утечках информации и средствах борьбы с ними. Более того, аналитики отмечают 30%-ный рост рынка таких решений в России. Почему это происходит?

      Причин тому можно отметить две. Первая — реальный рост как реальных утечек, так и новостей о них, спровоцированных Ассанжем и проектом WikiLeaks, Меннингом, Сноуденом и другими предателями американских спецслужб (или патриотами своей страны, как считают противники США). Вторая причина связана с насыщением рынка информационной безопасности традиционными средствами защиты (антивирусы, межсетевые экраны, средства предотвращения вторжений, средства криптографической защиты и т.п.). И пользователи, и продавцы уже не знают, что бы такого нового можно было использовать, что и приводит к поиску новых ниш и решений. А системы контроля утечек (DLP) как раз и представляют такую новинку, которая к тому же ложится на хорошо удобренную СМИ почву об утечках конфиденциальной информации.

      Все течет, все утекает…

      • Информация о новых банковских продуктах (новые кредитные продукты, новые тарифы, новые программы повышения лояльности клиентов, новые акции).
      • Информация о рынке (анализ финансового состояния и другой информации по целевой аудитории, анализ ключевых показателей в регионе, в котором представлен банк).
      • Информация о планах развития (планы слияний и поглощений, планы получения иностранных инвестиций, планы сотрудничества с игроками рынка, планы выхода на новые рынки, планы внедрения новых технологий).
      • Информация об управлении банком (стратегия управления рисками, финансовое состояние, условия взаимодействия с поставщиками, уровни скидок).
      • Информация о клиентах (состояние и движение по счету, персональные данные, кредитные истории).
      • Информация о сотрудниках (ценные кадры, уровень текучки кадров, персональные данные руководства, частота и места командировок).
      • Информация о системе безопасности.

      Как видно, информации, которая может быть интересна потенциальным или реальным злоумышленникам, очень много. Сказать, что именно может быть интересно, не проведя предварительного анализа, нельзя. В один момент времени и одного нарушителя может интересовать база клиентов private banking или клиентов с положительной кредитной историей. В другой момент времени конкурентов может заинтересовать информация о частоте и месте командировок руководящего состава, которую можно сравнить с наличием допофисов или филиалов в местах командировок. Такое сравнение может помочь сделать вывод о планируемом поглощении или открытии нового филиала или офиса. Преступников может интересовать информация о системе безопасности, что позволит обойти ее и украсть денежные средства со счетов клиентов или в процессе их инкассации. Сценариев утечек очень много, и в одной статье описать их все достаточно сложно.

      Кто виноват в утечках?

      Как происходит утечка?

      Если угрозы комплексные, векторы атак разные, а утечки могут произойти по различным каналам, то и система противодействия им должна состоять не из одного продукта, пусть и самого разрекламированного и недешевого

      1) Атаки становятся гораздо сложнее, незаметнее и опаснее. Неслучайно появляется термин «целенаправленные» или «скрытые» атаки (APT). Они могут создаваться под конкретную организацию и в течение длительного времени оставаться незамеченными. По статистике, между моментом проникновения и моментом утечки информации проходят в среднем минуты, реже часы. А между моментом утечки и моментом ее обнаружения обычно проходят недели и месяцы. Это реальная угроза, отличающаяся от того, что было еще два-три года назад, когда различные атаки и утечки могли обнаруживаться почти сразу после начала их воздействия на организацию-жертву.

      2) Число одновременно используемых способов проникновения во внутренние сети организаций и каналов утечки информации возрастает — от обычной электронной почты или зараженной флешки до приложения, скачанного из интернет-магазина, и передачи ценной информации через несанкционированно установленный 3G/4G-модем или точки беспроводного доступа.

      Что делать?

      Организационные

      • Определение реально важной информации, утечка которой повлечет за собой нанесение ущерба банку (финансового, репутационного или юридического).
      • Определение мест хранения и обработки этой информации, а также каналов ее циркуляции. Консолидация этих мест сильно облегчает их контроль и позволяет экономить средства на защиту.
      • Определение списка лиц, имеющих доступ к такой информации, с возможностью его сокращения.
      • Проведение обучения и регулярных тренингов для персонала по вопросам защиты данных.

      Юридические

      • Включение в должностные обязанности каждого сотрудника раздела, посвященного защите данных, а также ответственности за его нарушение.
      • Ознакомление каждого сотрудника под роспись с ответственностью за разглашение ценной информации (это стоит делать регулярно).
      • Подготовка юридического обоснования для внедрения средств мониторинга действий персонала, используемых ими технических средств или каналов коммуникаций (если такая мера будет реализована).

      Технические

      • Внедрение принципа минимума привилегий в используемых операционных системах и приложениях — это половина успеха и минимум финансовых затрат (по сравнению с другими техническими мерами).
      • Внедрение средств мониторинга аномальной активности, сигнализирующих о любых отклонениях в «поведении» пользователей, приложений, устройств.
      • Внедрение средств фильтрации коммуникационных каналов, ограничивающих любые попытки обхода установленных средств защиты периметра, даже размытого.
      • Внедрение средств борьбы с утечками (DLP) и контроля действий персонала (включая и чужой), заточенных под поиск целенаправленных или случайных утечек по оставшимся легитимным каналам взаимодействия.

      Это неполный перечень основных мер, которые должны быть реализованы для создания эффективности системы нейтрализации утечек информации за пределы банка, включая и его мобильных сотрудников.