новая папка 1 / 586693

Министерство образования и науки Российской Федерации

НОВОСИБИРСКИЙ ГОСУДАРСТВЕННЫЙ ТЕХНИЧЕСКИЙ УНИВЕРСИТЕТ

В.Ю. ДРОНОВ, В.В. АНЮШИН

ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ БАНКОВСКОЙ ДЕЯТЕЛЬНОСТИ

Учебно-методическое пособие

НОВОСИБИРСК

2016

1

УДК 004.056:336.71(075.8) Д 758

Рецензенты:

А.В. Иванов, канд. техн. наук, доцент кафедры ЗИ Е.В. Прохоренко, канд. техн. наук, доцент, зав. кафедрой ССОД

Дронов В.Ю.

Д 758 Информационная безопасность банковской деятельности: учеб.- метод. пособие / В.Ю. Дронов, В.В. Анюшин. – Новосибирск: Изд-во НГТУ, 2016. – 16 с.

ISBN 978-5-7782-3111-5

Настоящее пособие предназначено для студентов, обучающихся по направлению 10.03.01 «Информационная безопасность» и специальности 10.05.03 «Информационная безопасность автоматизированных систем», а также может быть полезно при переподготовке руководителей подразделений и специалистов по информационной безопасности как коммерческих, так и государственных организаций.

В учебно-методическом пособии описывается подход по организации информационной безопасности в кредитно-финансовых организациях.

Работа подготовлена на кафедре защиты информации и утверждена Редакционно-издательским советом университета

в качестве учебно-методического пособия

Дронов Вадим Юрьевич, Анюшин Василий Васильевич ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ БАНКОВСКОЙ ДЕЯТЕЛЬНОСТИ Учебно-методическое пособие

Редактор М.О. Мокшанова

Выпускающий редактор И.П. Брованова Дизайн обложки А.В. Ладыжская Компьютерная верстка Л.А. Веселовская

Налоговая льгота – Общероссийский классификатор продукции Издание соответствует коду 95 3000 ОК 005-93 (ОКП)

___________________________________________________________________________________

Подписано в печать 19.12.2016. Формат 60 × 84 1/16. Бумага офсетная. Тираж 50 экз. Уч.-изд. л. 0,93. Печ. л. 1,0. Изд. № 322. Заказ № 111. Цена договорная

___________________________________________________________________________________

Отпечатано в типографии Новосибирского государственного технического университета

630073, г. Новосибирск, пр. К. Маркса, 20

ВВЕДЕНИЕ

Кредитно-финансовые организации являются основой современной экономики. Предоставление кредитов позволяет в короткий срок как организовать новый бизнес, так и расширить область охвата рынка существующим бизнесом. Наиболее близким сравнением функционирования КФО является функционирование кровеносной системы человека.

Существование большинства современных бизнес-процессов КФО невозможно без их информационного обеспечения. Фактически все больше и больше бизнес-процессов состоят минимум из одной, а в большинстве случаев из нескольких (иногда даже нескольких десятков) информационных систем, взаимодействующих как между собой, так и с внешними информационными системами. Значительно усложняют ситуацию следующие обстоятельства:

–банковский бизнес стал венчурным (высокорискованным);

–перечень рисков для бизнеса включает до шестисот риск-фак- торов;

–информационные системы должны обеспечивать функционирование бизнес-процессов независимо от территориального расположения подразделений компаний, структуры и состава ИТ-компонентов;

–руководство организаций, по различным причинам, неохотно выделяет средства на обеспечение информационной безопасности1.

Кроме того, все чаще современному бизнесу требуется прямой контакт с большим количеством внешних пользователей (клиентовпользователей сервисов, услуг, контрагентами и т. д.) и аналитическая обработка больших массивов данных (big data).

Таким образом – функционирование современного банковского биз-

неса обеспечивается сложной ИТ-инфраструктурой. При этом чем

1 Markus Ranum: «Когда дело доходит до безопасности, то нужно, чтобы парень, стоящий рядом с вами, получил пулю в голову, тогда руководство обратит внимание на безопасность».

3

сложнее система, тем больше уязвимостей она имеет. Успешная реализация хотя бы одной имеющейся уязвимости способна привести к длительному останову или даже полному выходу из строя ИТ-инфра- структуры, а, соответственно, и к останову бизнеса компании. Эффективно противодействовать существующим ИТ-угрозам может только современная система информационной безопасности. Актуальность СИБ обеспечивается соответствующей системой управления информационной безопасностью – СУИБ.

Основной целью курса «Информационная безопасность банковской деятельности» является получение знаний слушателями по следующим вопросам:

актуальность информационной безопасности в кредитнофинансовых организациях;

назначение и состав системы обеспечения информационной безопасности КФО;

построение системы управления информационной безопасно-

стью;

документарное обеспечение системы информационной безопасности.

4

1. ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ

5

2.ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ

ВКРЕДИТНО-ФИНАНСОВЫХ ОРГАНИЗАЦИЯХ

2.1. СУТЬ ПРОБЛЕМЫ

Подавляющее количество операций с финансами клиент проводит без непосредственного визита в подразделение КФО посредством систем дистанционного банковского обслуживания (ДБО).

Согласно данным Банка России – удельная величина риска в системах ДБО составляет 0,001 коп./руб. Средняя сумма одного инцидента может быть оценена в 250 тыс. руб.

Казалось бы, риски не велики, однако – в 2011 г. посредством платежной системы Российской Федерации и частными платежными системами с использованием электронных технологий проведено

в 4,5 млрд долл. Всего же оборот глобального рынка киберпреступлений оценивается в 12,5 млрд долл.

2.2. ТРЕБОВАНИЯ ЗАКОНОДАТЕЛЬСТВА И РЕГУЛЯТОРОВ

Важность КФО для экономического развития России обуславливает наличие большого количества законодательных требований со стороны государства в лице регулятора финансового рынка – Банка России (Центральный банк Российской федерации). Основные законы, распространяющие требования на КФО:

–Федеральный закон от 02.12.1990 № 395-1 «О банках и банковской деятельности»;

–Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;

–Федеральный закон от 29.07.2004 № 98-ФЗ «О коммерческой тайне»;

6

–Федеральный закон от 27.06.2011 № 161-ФЗ «О национальной платежной системе»;

–Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;

–Положение от 09.06.2012 № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств».

Из рекомендательных документов необходимо отметить стандарт Банка России – СТО БР ИББС-1.0-2014 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации».

2.3. НАЗНАЧЕНИЕ И СТРУКТУРА

Современный банковский бизнес2 немыслим без использования информационных технологий – сегодня информационные технологии в бизнесе являются не столько роскошью, сколько необходимостью. Практически все сферы предпринимательства информатизированы, что приводит к максимально эффективному и достаточно динамичному развитию бизнеса КФО.

Любая деловая активность подразумевает использование или преобразование посредством соответствующих технологий неких ресурсов. Однако как сами ресурсы, так и технологии имеют уязвимости, которые могут быть реализованы с той или иной степенью вероятности, как злоумышленниками, так и природными или техногенными негативными событиями. Таким образом – наличие уязвимостей порождает риски для бизнеса, которые, в случае их успешной реализации, способны нанести финансовые, репутационные и иные потери (рис. 1)3.

Поскольку чем более сложной ИТ-инфраструктурой обеспечивается функционирование бизнеса, тем больше ИТ-уязвимостей имеется.

2В данном методическом пособии под бизнесом понимается любая деловая активность, включая деятельность государственных организаций.

3Риск – это возможность того, что произойдет определенное неблагоприятное событие, имеющее свою цену (размер ожидаемого ущерба) и вероятность наступления. Риск информационной безопасности представляет собой возможность нарушения ИБ с негативными для организации последствиями.

7

Успешная реализация хотя бы одной из них способна привести к длительному останову или даже полному выходу из строя ИТ-инфра- структуры организации, что неизбежно ведет как к большим финансовым и репутационным потерям для бизнеса, так и к полной ликвидации бизнеса.

Рис. 1. Угрозы и риски бизнеса

В целях снижения рисков нарушения непрерывности бизнеса, по причине реализации угроз в области ИТ-инфраструктуры, в кредитнофинансовой организации должна быть создана система, снижающая риски для ИТ-инфраструктуры. Данную задачу решает система обеспечения информационной безопасности (СОИБ).

СОИБ, согласно определению Банка России, это совокупность системы информационной безопасности (СИБ) и системы управления информационной безопасностью (СУИБ).

СОИБ = СУИБ + СИБ.

СИБ – это организованная совокупность специальных органов, служб, средств, методов и мероприятий, снижающих уязвимость информационных ресурсов, обеспечивающих целостность информации,

8

доступность информации и информационных сервисов, препятствующих несанкционированному доступу к информации, ее разглашению или утечке.

СУИБ – это объединение всех применяемых на предприятии защитных и организационных мер в единый адекватный реальным угрозам и управляемый комплекс, позволяющий достигать корпоративных целей информационной безопасности на уровне всего предприятия.

Основными задачами СУИБ являются организация, планирование, мотивация, контроль действий в рамках СИБ, сбор и оценка результатов этих действий, корректирующие воздействия на СИБ.

Как и любая система, система обеспечения информационной безопасности имеет свои цели, задачи, методы и средства деятельности. Главная стратегическая задача информационной безопасности заключается в обеспечении устойчивого функционирования объекта защиты,

т. е. обеспечение непрерывности бизнеса посредством поддержания установленных уровней целостности, доступности и конфиденциальности для каждого актуального информационного ресурса.

Обеспечивая выполнение главной стратегической задачи, информационная безопасность решает косвенным образом еще одну важ-

нейшую для бизнеса задачу – повышение качества предоставляемых ИТ-услуг пользователям (т. е. повышает уровень зрелости ИТ-про- цессов организации).

2.4. ИТ-инфраструктура КФО

Современная ИТ-инфраструктура КФО строится на основе клиентсерверной архитектуры (рис. 2). При этом серверная часть информационных систем обычно достаточно хорошо защищена с точки зрения информационной безопасности, поскольку обеспечивается ИТ- и ИБпроцессами высокого уровня зрелости (3–4 по модели CobIT). Процессы такого уровня способны обеспечить эффективное противодействие большинству угроз стихийного, техногенного и антропогенного (как внешнего, так и внутреннего) характера.

В целях создания эффективной СОИБ одним из важнейших шагов является разработка и периодическая актуализация модели угроз, включающая стихийные и техногенные угрозы непрерывности бизнеса, и модели нарушителя. На данных моделях функционирует основной ИБпроцесс «Управление рисками». Выходные данные процесса являются основой для успешной работы всех основных ИБ-процессов КФО.

9

Рис. 2. Построение современных информационных систем КФО

Наиболее уязвимыми элементами ИТ-инфраструктуры КФО являются сотрудники (инсайдерство, умышленные и неумышленные ошибочные действия), клиенты (слабое знание даже элементарных требований кибербезопасности, ведущее к компрометации данных банковских карт, данных идентификации в системах дистанционного банковского обслуживания), элементы ИТ-инфраструктуры, обслуживающие системы дистанционного взаимодействия клиента с банком.

2.5. СИСТЕМЫ ДИСТАНЦИОННОГО БАНКОВСКОГО ОБСЛУЖИВАНИЯ

Системы дистанционного банковского обслуживания предназначены для непосредственного удаленного управления клиентами КФО своими финансовыми средствами и включают:

–телефонный банкинг;

–системы банк–клиент;

–web-банкинг;

10