Главная страница

ВКР Данилов. Создание системы информационной безопасности в банковских системах Введение


Скачать 1.68 Mb.
НазваниеСоздание системы информационной безопасности в банковских системах Введение
Дата25.09.2022
Размер1.68 Mb.
Формат файлаdocx
Имя файлаВКР Данилов.docx
ТипДокументы
#694969
страница2 из 3
1   2   3

1.5.

Появление автоматизированной банковской системы позволило кредитным организациям эффективнее организовывать свою работу, сокращая время обработки информации и обеспечивая непрерывное функционирование всех процессов. Однако их большая открытость и широкое распространение одновременно приводят к уязвимости банков. Этим пользуются киберпреступники, которые посредством атак на автоматизированные банковские системы получают доступ к хранящейся, передаваемой и обрабатываемой информации. Основными причинами подобных преступлений являются однотипность стандартных вычислительных средств, наличие локальных вычислительных сетей с базовой техникой и программным обеспечением, а также схожего языка программирования, используемого при написании программного обеспечения. При этом с каждым годом повышается и техническая оснащенность киберпреступников: атаки на информационные системы становятся более комплексными и адресными, тщательно распланированными и менее предсказуемыми. В результате банковский сектор несет существенные денежные потери, снижается количество клиентов и падает доверие на рынке финансовых услуг в целом.

Так, например, хакерская атака на два российских банка «Русский международный банк» и «Металлинвестбанк» в 2016 г. привела к финансовому ущербу более чем 1 млрд. рублей. Способы совершения преступления бывают разные и подразумевают определенную систему поведения злоумышленника до совершения преступления, в момент злодеяния и после него. Каждый способ включает в себя характерные черты, помогающие криминалистам определять суть преступления, цель и основные последствия.

Основные способы совершения преступления могут быть классифицированы в пять групп:

1. Изъятие средств компьютерной техники – направлено на изъятие чужого имущества. При этом компьютерная техника выступает лишь предметом совершения преступления.

2. Перехват информации – при данном способе преступник нацелен на получение информации посредством аудиовизуального и электромагнитного перехвата.

3. Несанкционированный доступ к СКТ может осуществляться в момент активности информационной системы и отсутствия сотрудника банка на своем рабочем месте, а также посредством перехвата контроля над системой после сигнала о завершении активного режима работы. Самым популярным способ является так называемый «компьютерный абордаж». Он подразумевает автоматический перебор абонентских номеров компьютерной системы с помощью модемного устройства. С помощью такого перебора злоумышленник пытается подключиться к компьютеру в банке.

4. Манипуляция данными и управляющими командами заключается в подмене данных при их вводе и выводе.

5. Комплексные методы. Для того, чтобы обезопасить банки от преднамеренных вмешательств в нормальный процесс функционирования автоматизированной банковской системы необходимо разрабатывать и применять на практике определенные способы и средства защиты информации.

Первый способ заключается в создании препятствий на пути к информации. Он может быть реализован через физические средства защиты такие как физическую изоляцию территории, установку систем опознавания личности, систем теленаблюдения и кодовых замков, установку сейфов и др.

Защиту данных можно также обеспечить путем управления доступом, который предполагает получение ресурсов информационной системы только определенным кругом лиц – использование технических средств защиты. Такой способ помогает идентифицировать специалистов банка, следить за регламентом запросов на информацию, регистрировать обращения к секретным ресурсам, реагировать на попытки получения несанкционированного доступа в систему.

Следующий способ – кодирование информации – является наиболее используемым в наши дни и предоставляющим наибольшую защиту системе. Кодирование или криптографическое закрытие предусматривает использование механизмов шифрования.

Так, передаваемые сообщения кодируются с помощью определенного алгоритма шифрования – ключа и затем могут быть расшифрованы только в результате его восстановления.

Помимо технических средств шифрования разработаны и программные, при которых особая роль в обеспечении безопасности системы отдается программному обеспечению. В Российской практике одними из распространенных программных средств защиты являются «песочница» и SIEM. «Песочница» (sandpit) предполагает глубокий анализ передаваемой информации в виртуальной среде и при обнаружении вредоносных файлов их блокировку. В итоге данная машина способна безопасно оценить риски открытия файлов данных и заблокировать в случае угрозы.

В большинстве случаев «песочница» используется против целевых атак, направленных на определенный банк и рассчитанных на длительное время. Суть такой атаки заключается во внедрении вирусного кода в информационную систему. Целенаправленные атаки представляют собой большую угрозу по сравнению с мелкими взломами и способны нанести существенный вред системе.

По данным Hewlette Packard Enterprise время с момента проникновения злоумышленника до его обнаружения в системе может занимать около 243 дней, т.е. около восьми месяцев. В качестве машины по виртуальной диагностике данных на российском рынке хорошо зарекомендовало себя программное решение FireEye. В отличие от «песочницы» система SIEM не способна бороться с угрозами, ее основная цель заключается в анализе поступающей информации и выявлении отклонений от норм по установленным критериям.

Входная информация может быть любой, все зависит от того как запрограммировать. Основные правила программирования могут включать наборы условий, сценарии поведения, триггеры и счетчики. Например, SIEM в ходе анализа платежных расчетов клиента обнаруживает территориальную несогласованность: два платежа с одной банковской карты в течение 10 минут сделаны в двух разных странах. В таком случае предупреждающее сообщение, которое выдается системой, будет содержать информацию о необходимости блокировки карты. Особую роль в организации безопасности автоматизированных банковских систем играет законодательство.

В Российской Федерации основные требования к информационным системам заложены в федеральном законе №86- ФЗ «О центральном банке Российской Федерации» в п.14. ст.4 и в федеральном законе №152-ФЗ «О персональных данных» в частности в главе 4 «Обязанности оператора». Также участники информационного обмена могут на добровольной основе принять «Стандарт Банка России по обеспечению информационной безопасности организаций банковской системы Российской Федерации» (СТО БР ИББС) и выполнять требования данного стандарта. В случае непринятия СТО БР ИББС все работы, связанные с разработкой и сопровождением автоматизированной банковской системы, предполагают наличие лицензий таких органов как ФСТЭК (Федеральной службы по техническому и экспортному контролю) и ФСБ. К тому же в данном случае все разработанные средства защиты информации должны соответствовать требованиям Федерального закона №149-ФЗ «Об информационных технологиях и защите информации».

Наличие нормативно-правовой базы позволяет выстроить определенные регламенты функционирования автоматизированных банковских систем, а также установить меру ответственности за их нарушение.

В настоящее время Банк России ведет активную работу по нейтрализации информационных атак, путем разработки положений и стандартов, призванных обеспечить согласованность и комплексность в Сбор информации Анализ информации Формирование базы данных борьбе с киберпреступностью. Одним из продуктов деятельности Центрального Банка Российской Федерации можно также считать создание Центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (ФинЦЕРТ) в июне 2015 г.

Основными причинами создания ФинЦЕРТа стали необходимость получения оперативной информации об актуальных информационных угрозах и создания программных средств и рекомендаций, призванных уменьшить риски потерь участников финансового рынка. Источниками всех данных являются кредитные организации. До июля 2018 г. предоставление информации носило добровольный характер, и все сведения о кибератаках поступали в ФинЦЕРТ в неполном объеме, что не позволяло получить целостную картину всех информационных угроз. Начиная с 1 июля передача всех сведений носит обязательный характер. За четыре года работы ФинЦЕРТа удалось уменьшить количество и объем несанкционированных операций, снизить киберриск, увеличить защищенность прав и интересов клиентов российских банков, повысить уровень финансовой устойчивости участников кредитно-финансовой сферы.

Процессы совместной борьбы с киберпреступностью происходят не только в России. Так, например, восемь крупных банков США, среди которых присутствуют J.P. Morgan Chase&Co., Bank of America Corp. и Goldman Sachs Group, объединяются, чтобы общими усилиями бороться с финансовой киберпреступностью.

Все действия, направленные на защиту информации в автоматизированных банковских системах, существенно повышают информационную безопасность. Однако решить все проблемы до сих пор не предоставляется возможным.

Руководитель службы безопасности «Тинькофф Банка» Станислав Павлунин в своем интервью говорит о цикличности хакерских атак. Злоумышленники находятся в постоянном поиске новых путей проникновения в информационную систему.

В таком случае, если банки находят пути защиты от одной угрозы, неизменно появляется новая, от которой они никак не защищены. По мнению Павлунина, в банках существует нехватка высококвалифицированных кадров, которые бы своевременно могли реагировать на целевые кибератаки и даже их предупреждать.

Согласно исследованием «Лаборатории Касперского» кредитные организации зачастую пользуются устаревшим оборудованием и программным обеспечением, а автоматизированные банковские системы могут не обновляться годами. Только после морального износа оборудования, компании принимают решения о покупке новых компьютерных средств с новым ПО. Несмотря на наличие обильной нормативно - правовой базы, она по своей сути является очень запутанной и в некоторых случаях противоречивой.

В то же время злоумышленники показывают высокую осведомленность в несостыковках законодательства и используют «лазейки» для совершения противоправных деяний. Чаще всего атака может быть спровоцирована сотрудником банка, в силу незнания или нарушения правил безопасности. Подобное «случайное» вмешательство может происходить и в силу наличия разрыва между разработчиком и пользователем системы. Сотрудники получают продукт и используют его в своей работе в банке, обслуживая клиентов и выполняя операционные задачи, при этом не вникая в суть самого процесса и не тестируя систему на наличие внутренних ошибок.

Поэтому в случае наличия проблем не могут их своевременно обнаружить. Существенной угрозой для автоматизированных банковских систем являются компьютерные вирусы, которые внедряются для выполнения разрушительных действий.

Известно большое количество вредоносных программ как «троянские кони», «червяки», «захватчики паролей» и др., которые путем заражения других программ, искажения или уничтожения информации, а также другими действиями способны нанести существенный урон системе. Проблема заключается в том, что полностью избавиться от компьютерных вирусов невозможно. Всех имеющих средств противодействия недостаточно для борьбы с данной угрозой.

Одним из средств преступлений является рассылка вредоносного программного обеспечения. ВПО способно проникнуть в автоматизированную банковскую систему посредством смс-рассылки на почты сотрудников банка или ссылок на сайты с ВПО.

По данным ФинЦЕРТа на финансовые организации приходится 40,2% целевых атак с ВПО, остальные же атаки направлены либо на хищение средств клиентов, либо иные цели. Одним из опасных вирусов считаются WannaCry, NotPetya и BadRabbit.

Однако в 2018 г. воздействие WannaCry на банковскую систему не было значительным. Кроме нескольких заразившихся банкоматов и одного терминала других инцидентов не было.

Для того, чтобы обеспечить антивирусную защиту автоматизированной банковской системы кредитные организации обязаны соблюдать ряд требований. Необходимо устанавливать и постоянно обновлять антивирусные программные средства защиты на всех компьютерах, организовывать автоматический режим обновления антивирусных программ, контроль со стороны руководящих органов в процессе установки и обновления. Необходимо устанавливать средства фильтрации трафика электронного почтового обмена, осуществлять предварительную проверку на отсутствие вредоносных файлов в устанавливаемом программном обеспечении и др. В случае обнаружения вирусов, необходимо официально документировать их характерные черты, степень атаки, основные потери в связи с их присутствием в системе, порядок отражения и методы борьбы с ними.

Автоматизированная банковская система хранит в себе самую полную информацию обо всех транзакциях, остатках и движениях по счетам, и потому является самой желанной целью злоумышленников. Чтобы получить доступ в систему атаки становятся более подготовленными, адресными и контролируемыми, тем самым увеличивая риски кредитных организаций.

Таким образом, для решения данной проблемы необходимо уделять повышенное внимание организации профессионального обучения в целях подготовки кадров для борьбы с киберпреступностью, обучению сотрудников в области техники безопасности, разрабатывать согласующиеся законодательные стандарты.

Проблема защиты информационной системы должна стать общей задачей всей банковской системы. Действуя в рамках единой политики безопасности, кредитные организации смогут минимизировать финансовые потери и выстроить более прочную структуру защиты
1.6.

Информация о личной, индивидуальной или семейной жизни человека всегда имела большую ценность. В ст. 2 Конституции Российской Федерации закреплен основной принцип современного демократического общества: «Человек, его права и свободы являются высшей ценностью».

Попав в руки мошенников, персональная информация превращается в орудие преступления, в руки инсайдера – товар для продажи конкуренту, в руки уволенного сотрудника – в средство мщения. Именно поэтому персональные данные нуждаются в самой серьезной защите.

С развитием средств электронной коммерции и доступных средств массовых коммуникаций возросли также и возможности злоупотреблений, связанных с использованием собранной и накопленной информации о человеке. Появились и эффективно используются злоумышленниками средства интеграции и быстрой обработки персональных данных, создающие угрозу правам и законным интересам человека.

Сегодня вряд ли можно представить деятельность любой организации, а кредитно-финансовой особенно, без обработки информации о человеке. В любом случае организация хранит и обрабатывает данные о сотрудниках, клиентах, партнерах и других физических лицах.

Утечка, потеря или несанкционированное изменение персональных данных приводит к невосполнимому ущербу, а порой и к полной остановке деятельности организации, несет угрозу репутации, деятельности коммерческого банка. Понимая важность и ценность информации о человеке, а также заботясь о соблюдении прав своих граждан, государство требует от организаций и физических лиц обеспечить надежную защиту персональных данных.

Законодательство Российской Федерации в области персональных данных основывается на Конституции РФ и международных договорах Российской Федерации и состоит из Федерального закона РФ от 27 июля 2006 г. № 152-ФЗ «О персональных данных», других федеральных законов, определяющих случаи и особенности обработки персональных данных, отраслевых нормативных актов, инструкций и требований регуляторов.

По определению Конвенции Совета Европы о защите частных лиц в отношении автоматизированной обработки данных личного характера, персональные данные означают любую информацию об определенном или поддающемся определению физическом лице.

Само понятие термина персональные данные определено в Федеральном законе «О персональных данных»: Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Персональные данные – это, прежде всего, паспортные данные, сведения о семейном положении, сведения об образовании, номера ИНН, страхового свидетельства государственного пенсионного страхования, медицинской страховки, сведения о трудовой деятельности, социальное и имущественное положение, сведения о доходах. Такими данными располагает любая кредитно-финансовая организация.

Субъектом персональных данных выступает физическое лицо, в том числе работники банка, в отношении которых осуществляется обработка персональных данных. Информационная система персональных данных (ИСПД) представляет собой совокупность персональных данных, содержащихся в базе данных информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таковых.

В финансово-кредитной организации персональные данные находятся в следующих информационных системах: • автоматизированная банковская система (АБС); • системы «Клиент–Банк»; • системы мгновенного перевода денег; • бухгалтерские системы учета; • кадровые системы учета; • корпоративная информационная система; • внутренний web-портал.

Персональные данные также могут содержаться на бумажных носителях (письменная форма трудового и других договоров, приказы, инструкции, анкеты, соглашения и т.д.).

Согласно закону «О персональных данных» операторами персональных данных являются государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.

Под обработкой персональных данных понимаются действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных. Исходя из определения можно сделать вывод о том, что все без исключения организации или компании независимо от форм собственности, в том числе и коммерческие банки, являются операторами персональных данных, поскольку они как минимум осуществляют сбор, систематизацию, хранение и уточнение сведений о своих сотрудниках в соответствии с российским законодательством.

Помимо этого организации обрабатывают сведения о своих клиентах, партнерах, поставщиках, контрагентах по роду своей деятельности, которые им необходимы для выполнения функций в соответствии с их назначением. Перечень персональных данных, подлежащих защите в коммерческом банке, формируется в соответствии с законом «О персональных данных» и Уставом банка.

Банк обрабатывает персональные данные следующих категорий субъектов: работника банка; аффелированного лица или руководителя; участника или сотрудника юридического лица, являющегося аффелированным лицом по отношению к банку; клиента (потенциального клиента, партнера, контрагента); заемщика (залогодателя, поручителя, потенциального заемщика). Кроме того, банк обрабатывает информацию, необходимую ему для выполнения своих договорных обязательств и осуществления прав в рамках соответствующего договора для минимизации рисков банка, связанных с нарушением обязательств по кредитному договору (договору поручительства, договору залога, договору о предоставлении банковской гарантии) и для выполнения требований законодательства РФ.

Понятие персональные данные входит в перечень сведений, составляющих банковскую тайну. На основании ст. 857 «Банковская тайна» Гражданского кодекса РФ банк гарантирует тайну банковского счета и банковского вклада, операций по счету и сведений о клиенте.

Сведения, составляющие банковскую тайну, могут быть предоставлены только самим клиентам или их представителям, а также представлены в бюро кредитных историй на основаниях и в порядке, которые предусмотрены законом «О кредитных историях». Государственным органам и их должностным лицам такие сведения могут быть предоставлены исключительно в случаях и порядке, которые предусмотрены законом. В случае разглашения банком сведений, составляющих банковскую тайну, клиент, права которого нарушены, вправе потребовать от банка возмещения причиненных убытков.

Согласно ст. 26 ФЗ «О банках и банковской деятельности» кредитная организация гарантирует тайну об операциях, о счетах и вкладах своих клиентов и корреспондентов. Все служащие кредитной организации обязаны хранить тайну об операциях, счетах и вкладах ее клиентов и корреспондентов, а также об иных сведениях, устанавливаемых кредитной организацией, если это не противоречит федеральным законам.

Банковская тайна является частным видом коммерческой тайны банка. И коммерческая, и банковская тайны, и персональные данные являются конфиденциальной информацией, доступ к которой ограничен, утечка которой может нанести значительный ущерб кредитной организации.

Основным документом, регламентирующим деятельность по обеспечению информационной безопасности в целом и персональных данных в частности, является «Стандарт Банка России. Обеспечение информационной безопасности организаций банковской системы Российской Федерации. СТО БР ИББС-1.0- 2014».

Субъектами угроз информационной безопасности банка могут выступать: – конкуренты как самого банка, так и его клиентов; – криминальные структуры, пытающиеся получить сведения о самом банке или его клиентах; – индивидуальные злоумышленники (в современных условиях чаще всего наемные хакеры), выполняющие либо заказ нанимателя, либо действующие в собственных интересах; – собственные нелояльные сотрудники банка, пытающиеся получить конфиденциальные сведения для их последующей передачи (по различным мотивам) сторонним структурам или шантажа своего работодателя; – государство в лице фискальных или правоохранительных органов, использующих специальные методы сбора информации для выполнения установленных им контрольных или оперативных функций.

При организации системы защиты персональных данных (СЗПД) основным этапом является построение частной модели угроз для кредитной организации. На основании этой модели в дальнейшем подбираются адекватные и достаточные средства защиты.

Под угрозами безопасности персональных данных при их обработке в информационной системе персональных данных понимается совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных. Появление угроз безопасности может быть связано как с преднамеренными действиями злоумышленников, так и с непреднамеренными действиями персонала или пользователей информационной системы персональных данных.

Причинами утечки персональных данных через персонал банка могу выступать: – отсутствие персональной ответственности должностных лиц банка за сохранность конфиденциальных сведений; – допуск к конфиденциальным сведениям необоснованно широкого круга лиц; – нарушение правил специального делопроизводства; – нарушение пропускного режима; – отсутствие должностного контроля над соблюдением режима защиты персональных данных как конфиденциальной информации; – безалаберное отношение должностных лиц к защите персональных данных.

Регулярно в СМИ и интернет-изданиях появляется информация об утере/утечке персональных данных. Приведем некоторые факты. 05 июля 2013 г. в г. Сургуте возле офиса «Сиббизнесбанка» были найдены сотни разорванных листов с персональными данными клиентов. Документы валялись на тротуарах, дороге и газоне неподалеку от здания банка на улице Маяковского. Обрывки документов с паспортными данными вкладчиков валялись прямо на тротуаре, под ногами у прохожих. Найти виновника журналистам не составило труда – документы заверены печатью ОАО «Сибирский банк развития бизнеса», – сообщает издание. Как оказалось, сотрудники банка были не в курсе, что прямо под их окнами происходит нарушение закона о персональных данных. На вопрос журналиста о том, как на улице оказались ксерокопии, заверенные печатью их банка, сотрудники предположили, что это вина самих клиентов. Однако, выйдя вместе с журналистами на улицу, удостоверились, что масштабы происходящего не могут объясняться неосторожностью клиентов. В банке не смогли объяснить случившееся. Сотрудники банка пообещали убрать документы с улицы в ближайшее время.

Ранее подобный случай произошел в южноуральском Озерске. Клиентка нашла перед Сбербанком выброшенные на улицу договоры и копии паспортов клиентов банка.

15 января 2014 г. сотрудники одного крупного банка изъяли обнаруженные на несанкционированной свалке Ижевска документы с персональными данными клиентов, которые были свалены вперемешку с мешками со строительным мусором в частном секторе Ижевска рядом с проезжей частью. По словам местных жителей, свалка появилась здесь после рождественских праздников. Среди бумаг, датированных 2008, 2010 и 2012 гг., – внутренняя переписка сотрудников банка, заполненные заявления-анкеты заемщиков и копии личных документов.

28 февраля 2014 г. в Екатеринбурге во дворе филиала «Альфа-Банка» выбросили на улицу документы с персональными данными клиентов. По данным интернет-издания, большой пакет со смятыми бумагами и две коробки с документами пролежали какое-то время во дворе банка. Сообщается, что среди документов – копии паспортов, договоры, фирменные бланки с логотипом кредитной организации. Часть бумаг сотрудники банка все же уничтожили по правилам с помощью шредера.

В Уральском филиале «Альфа-Банка» сообщили, что коробка с документами, приготовленными к уничтожению, со двора уже изъята. «По факту ситуации начато служебное расследование службой экономической безопасности банка. Виновные будут наказаны вплоть до увольнения», – сообщили в пресс-службе «Альфа-Банка». Сколько пролежали документы на улице, выяснить сейчас невозможно.

26 января 2015 г. хакеры взломали один из виртуальных сайтов знакомств и похитили персональные данные по меньшей мере 20 миллионов пользователей, половина из которых являются жителями России, после чего эти данные были выставлены на торги на специальном портале.

Как сообщает агентство «Bloomberg», мошенники могут использовать похищенные учетные данные для доступа к кредитным картам, банковским счетам, медицинским картам и другой персональной информации. Подобные данные обычно продаются очень быстро, покупателями являются мошенники, которые при помощи специальных программ находят сайты и взламывают аккаунты пользователей, которые используют ту же комбинацию имени пользователя и пароля, что и на сайте знакомств. Любая компания, ежедневно осуществляющая обработку электронных персональных данных посредством использования портативных устройств, компьютеров, серверов, интернет-ресурсов, подвергается рискам кибер-атак. Банковские организации не стали исключением.

Кибер-риски могут быть различными: от потери информации на одном ноутбуке до атак, связанных с функционированием систем вычислений, порождающих сбой в работе информационных систем или взлома веб-сайта. Потеря или утечка персональных данных может привести к штрафам и нанести ущерб репутации организации.

Хакерские атаки могут вызвать остановку работы серверов, как следствие, банк несет убытки (упущенная прибыль) и теряет доверие клиентов.

Появление потенциальных угроз безопасности связано с наличием слабых мест в информационной системе персональных данных (ИСПД) – ИСПД уязвимостей. Уязвимость ИСПД – это недостаток или слабое место в системном или прикладном программном (программно-аппаратном) обеспечении системы, которые могут быть использованы для реализации угрозы безопасности персональных данных.

Причинами возникновения уязвимостей в общем случае являются: – ошибки при разработке программного обеспечения; – преднамеренные изменения программного обеспечения с целью внесения уязвимостей; – неправильные настройки программного обеспечения; – несанкционированное внедрение вредоносных программ; – неумышленные действия пользователей; – сбои в работе программного и аппаратного обеспечения.

Уязвимости, как и угрозы, можно классифицировать по различным признакам: 1) по типу ПО – системное или прикладное; 2) по этапу жизненного цикла ПО, на котором возникла уязвимость, – проектирование, эксплуатация и др.; 3) по причине возникновения уязвимости, например, недостатки механизмов аутентификации сетевых протоколов; 4) по характеру последствий от реализации атак – изменение прав доступа, подбора пароля, вывод из строя системы в целом и пр.

Следовательно, прежде чем приступать к построению системы защиты информации, целесообразно провести анализ уязвимостей ИСПД и попытаться сократить их количество, то есть использовать метод превентивности. Например, закрыть лишние порты, поставить «заплатки» на программное обеспечение, ввести более сильные методы аутентификации и т.п. Эти меры могут существенно сократить материальные, временные и трудовые затраты на построение системы защиты персональных данных в дальнейшем.

Разработка и реализация практических мер по организации системы защиты персональных данных регламентируется приказом Федеральной службы по техническому и экспертному контролю (ФСТЭК) России № 21.

Учитывая требования законодательных актов, регламентирующих защиту персональных данных, можно выделить следующие основные мероприятия по организации защиты персональных данных: 1) организация конфиденциального делопроизводства, принятия работниками банка обязательства строго исполнять его правила и нести персональную ответственность за обеспечение сохранности доверенных конфиденциальных сведений и информационных носителей, содержащих данные сведения; 2) организация обучения работников правилам соблюдения банковской тайны; 3) осуществление систематического контроля над исполнением организационно-распорядительных документов и инструкций по защите банковской тайны; 4) организация и осуществление мер по защите помещений, выделенных для хранения и обработки конфиденциальных материалов: • установление режима охраны помещений и согласование его с разрешительной системой доступа к защищаемым сведениям; • установка электроконтактных или магнитных датчиков охранной сигнализации на двери и окнах; • выдача ключей от служебных помещений и хранилищ только лицам, ответственным за эти помещения; • установка и замена оборудования и мебели только по согласованию с руководителем подразделения по защите информации, а уборка – в присутствии ответственного лица или лица, его замещающего; • проведение ремонта помещений под наблюдением лица, назначенного по согласованию с руководителем подразделения по защите информации; 5) организация технической защиты: • помещений, предназначенных для ведения конфиденциальных переговоров; • средств и систем информатизации (средства вычислительной техники, автоматизированные системы различного уровня и назначения на базе средств вычислительной техники, средств и систем связи и пере- дачи данных, технических средств приема, передачи и обработки информации, средств изготовления, тиражирования документов, программных средств (операционных систем, систем управления базами данных, другого общесистемного и прикладного программного обеспечения); • технических средств и систем, не обрабатывающих непосредственно конфиденциальную информацию, но размещенных в помещениях, где обрабатывается (циркулирует) конфиденциальная информация (с целью предупреждения незаконного получения конфиденциальной информации путем перехвата); 6) подготовка приказов о создании соответствующих подразделений по защите информации и назначении лиц, ответственных за эксплуатацию технического оборудования и электронных банков данных; 7) периодическая проверка технических средств и служебных помещений на предмет наличия возможно внедренных электронных устройств перехвата информации («закладок»); организация охраны и физическая защита объекта информатизации и отдельных технических средств, исключающих несанкционированный доступ к ним, а также контроль над состоянием и эффективностью защиты информации; 8) составление паспортов защиты охраняемых помещений, содержащих план размещения оборудования и схему его кабельных соединений, перечень оборудования и мебели, установленных в помещении, с указанием типа, учетного или инвентарного номера и даты установки или замены; 9) организация разрешительной системы допуска исполнителей к работе с компьютерной информацией, документами и сведениями различного уровня доступа; 10) установление персональной ответственности пользователей за сохранность доверенных им конфиденциальных документов (носителей), за неправомерные действия в информационной системе, которые повлекли (могли повлечь) несанкционированное ознакомление с защищаемой информацией, ее искажение или уничтожение, которые сделали информацию недоступной для законных пользователей; 11) разработка должностной инструкции, определяющей задачи, права, функции, ответственность и обязанность администратора системы защиты информации, лица, ответственного за защиту информации; 12) установление порядка ведения служебной документации средств защиты информации (смену паролей, ключей, изменения списка субъектов, имеющих право на доступ), организацию их надежного хранения; 13) оперативный контроль целостности программного и технического обеспечения, контроля над ходом технологического процесса обработки информации; 14) учет, хранение и выдача пользователям носителей конфиденциальной информации, паролей и ключей для средств защиты информации; 15) ежедневный контроль над системой защиты информации с целью выявления изменений в сетевых компонентах, произошедших в нерабочее время; 16) оперативный контроль над действиями пользователей информационной системы банка, над организацией физической защиты помещений, в которых производится автоматизированная обработка конфиденциальной информации; 17) обучение пользователей правилам безопасной работы с защищаемой информацией и выявлению признаков противоправных посягательств на информацию; 18) организация включения в информационную систему банка программ и механизмов, закрывающих к ней доступ посторонних, в том числе с использованием пароля, шифрования или других методов, позволяющих: • получить доступ к чтению, записи, созданию или уничтожению информации только уполномоченным лицам; • защитить правовую силу электронных документов в процессе обработки, хранения и передачи информационных сообщений, содержащих платежные поручения и другие финансовые документы, путем использования так называемых цифровых подписей; 19) организация обеспечения информационной системы банка механизмами идентификации и аутентификации (проверка подлинности пользователей) на основе использования паролей, ключей, электронной цифровой подписи, а также биометрических характеристик личности пользователя.

Таким образом, поскольку отличительной особенностью банковского сектора экономики является статус кредитно-финансовой организации как доверенного лица своих клиентов, располагающего конфиденциальными сведениями об их финансовой и коммерческой деятельности, хранящего их персональные данные, эти сведения являются приоритетным объектом защиты в системе безопасности любого банка. Мероприятия по обеспечению безопасности обработки персональных данных являются технически сложными, требуют высокой квалификации исполнителей, специальных знаний, в том числе законодательной базы, глубокого понимания ответственности за сохранность сведений, составляющих банковскую, коммерческую тайну, а также средств ее защиты.

1   2   3


написать администратору сайта