Архитектура Аудит Военная наука Иностранные языки Медицина Металлургия Метрология Образование Политология Производство Психология Стандартизация Технологии |
ОБЗОР ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ БАНКА
Нормативные и правовые документы соответствующие отраслевым и международным стандартам
В последнее время банки начали создавать в своей структуре подразделения, отвечающие за обеспечение информационной безопасности. Это, безусловно, позитивная тенденция. Согласно рекомендациям отраслевого стандарта России СТО БР ИББС_1.0_2010, информационная безопасность в банках должна выделяться в независимое подразделения, и это заключается в том, что служба ИБ и служба информатизации (автоматизации) не должны иметь общего начальника. Такая структурная независимость не означает, что это подразделение имеет самостоятельный бюджет и необходимые материальные ресурсы для решения всех проблем [2]. Основными целями стандартизации по обеспечению ИБ организаций в БС РФ являются: — предотвращение и(или) снижение ущерба от инцидентов ИБ. — развитие и укрепление БС РФ; — повышение доверия населения к БС РФ; — поддержание стабильности организаций БС РФ и на этой основе — стабильности БС РФ в целом; — достижение адекватности мер защиты реальным угрозам ИБ; Основные цели этой стандартизации по обеспечению ИБ организаций является установление единых требований и норм по обеспечению ИБ организаций БС и повышение эффективности мероприятий по функционированию и поддержанию ИБ организаций БС РФ [2]. Среди нормативных документов ОАО,, Россельхозбанк” следующие соответствуют стандарту Банка России СТО БР ИББС-1.0-2010: · SecretNet 5.0-С. Принципы построения и применения · Инструкция пользователю АС · Инструкция по работе с ключевыми дискетами в организации · Должностная инструкция ведущего специалиста по информационной безопасности службы безопасности Тамбовского РФ ОАО «Россельхозбанк» · План обеспечения непрерывной работы и восстановления работоспособности подсистемы · Политика безопасности при работе в Интернете · Политика информационной безопасности · Регламент централизованного резервного копирования и восстановления информационных ресурсов Тамбовского регионального филиала ОАО «Россельхозбанк» · Система криптографической авторизации электронных документов «Сигнатура» версия 3.1 · Условия дистанционного банковского обслуживания юридических лиц и индивидуальных предпринимателей в ОАО «Россельхозбанк» с использованием системы «Банк-Клиент»/«Интернет-Клиент» Исследуя ИБ ОАО,, Россельхозбанк” было выявлено, что прикладное и сетевое программное обеспечение указанные в приложении А и приложении В соответствует стандарту Банка России СТО БР ИББС-1.0-2010. Отраслевые стандарты В настоящее время в международном праве существует большое число законов, отраслевых стандартов для финансовых институтов, телекоммуникационных компаний, учреждений здравоохранения и обязательных и рекомендательных документов, затрагивающих защиту информации от внутренних угроз и управление операционными рисками. Для банковской системы применяются в основном стандарт Банка России СТО БР ИББС-1.0-2010, кодекс корпоративного поведения ФСФР, PCI DSS: Стандарт Банка России СТО БР ИББС-1.0-2010 для банков, исполнение положений которого пока носит рекомендательный характер. В стандарте, затронута необходимость защиты от действий инсайдеров, в том числе необходимость контроля использования Интернета и корпоративной почты, а также ведения архива электронной почты, что повышает уровень защиты БС в целом. Принят и введен в действие Распоряжением Банка России от 25 декабря 2008 года №Р_1674. Кодекс корпоративного поведения ФСФР представляет собой свод правил и рекомендации ФСФР России для компаний-участников рынков ценных бумаг России. Основная цель Кодекса — обеспечение равенства прав акционеров и защита их интересов, а одна из важнейших глав Кодекса — контроль финансово-хозяйственной деятельности общества. В Кодексе корпоративного поведения регламентируется создание прозрачной системы менеджмента и построение системы управления операционными рисками, а также необходимость создания условий для независимой оценки любой финансово-хозяйственной операции. Корпоративное поведение должно обеспечивать высокий уровень деловой этики в отношениях между участниками рынка [3]. Кодексу корпоративного поведения ФСФР соответствуют лицензии выданные ОАО,, Россельхозбанк” Федеральной службой по финансовым рынкам: · Лицензия на осуществление депозитарной деятельности (выдана Федеральной службой по финансовым рынкам от 19.05.2005 №077-08461-000100) · Лицензия на осуществление дилерской деятельности (выдана Федеральной службой по финансовым рынкам от 19.05.2005 №077-08456-010000) · Лицензия на осуществление брокерской деятельности (выдана Федеральной службой по финансовым рынкам от 19.05.2005 №007-08455-100000) · Лицензия биржевого посредника, совершающего товарные фьючерсные и опционные сделки в биржевой торговле (выдана Федеральной службой по финансовым рынкам от 17.11.2009 №1473) [4]. PCI DSS – это стандарт безопасности данных индустрии платежных карт PCI DSS, объединивший в себе требования международных платежных систем к обеспечению информационной безопасности, который был разработан советом PCI SSC. В него вошли такие карточные бренды, как Visa, MasterCard, JCB, AmericanExpress и Discovery [5]. В стандарте регламентируется необходимость шифрования носителей информации, содержащих данные платежных карт, и надежной защиты ключей шифрования. В PCI DSS определена необходимость генерации стойкого ключа и разделение криптографического ключа между несколькими лицами. Согласно стандарту операторы платежных карт должны защищать информацию от утечек по различным каналам, жестко регламентировав использование внешних устройств и перемещение конфиденциальных данных. В PCI DSS определена необходимость использования двухфакторной аутентификации для доступа к данным [6]. Россельхозбанк подтвердил соответствие своего процессинга требованиям стандарта PCI DSS. ОАО «Россельхозбанк» получил также сертификат соответствия стандарту PCI DSS (Payment CardIndustry DataSecurity Standard), что свидетельствует о высокой степени безопасности операций, проводимых с выпускаемыми банком платежными картами. В настоящее время Россельхозбанк предоставляет своим клиентам услуги по выпуску и обслуживанию платежных карт международных платежных систем VISA Int. и Master Card World Wide. С этой целью в банке функционирует собственный процессинговый центр, обслуживающий операции, совершаемые более миллионом действующих платежных карт, выпущенных банком, 2500 банкоматами и более 3000 POS-терминалами [7].
Программно-аппаратное обеспечение и его соответствие отраслевым стандартам
Программное и программно-аппаратное обеспечение находящиеся в ОАО,, Россельхозбанк” указанное в приложении A и приложении B соответствует ГОСТ Р МЭК61508-3-2007 «Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью» [8]. Так же работа с программно-аппаратными комплексами по шифрованию в связи с получением лицензий ОАО,, Россельхозбанк” по следующим направлениям: · Лицензия на предоставление услуг шифрования информации (выдана Центром по лицензированию, сертификации и защите государственной тайны ФСБ от 27.04.2010 №8744У) · Лицензия на распространение шифровальных (криптографических) средств (выдана Центром по лицензированию, сертификации и защите государственной тайны ФСБ России от 27.04.2010 №8743Р) · Лицензия на техническое обслуживание шифровальных (криптографических) средств (выдана Центром по лицензированию, сертификации и защите государственной тайны ФСБ от 27.04.2010 №8742Х) [4].
Виды угроз для банков
Как и в любой сфере связанной с финансами, нельзя забывать про безопасность информационных и платежных систем которым могут угрожать злоумышленники. Рассмотрим угрозы используемые злоумышленниками в банковской сфере, которые с течением времени совершенствуются, а значит для которых требуются более эффективные способы защиты. К ним относятся: · Фишинг · Угрозы при использовании дистанционного банковского обслуживания · Банковские трояны · Кардинг Фишинг — мошенники от имени банка связываются склиентом по электронной почте и просят его подтвердить некоторые конфиденциальные данные своей карты. Также распространеноиспользуется и телефонный фишинг (вишинг), когда держатель пластиковой карты получает телефонный звонок либо с информацией о том, что по его карте произведен платеж на некоторую сумму, либо с просьбой погасить просроченную задолженность по кредиту. В основном как правило, информирование происходит в автоматическом режиме («электронный голос»), а название банка, из которого пришел звонок, не уточняется. Для получения дополнительной информации рекомендуется следовать указаниям системы. Владелец карты соединяется с оператором и узнает, что является клиентом или заемщиком банка, с которым на самом деле никаких отношений не поддерживает, но оператор любезно предлагает свою «помощь» в прояснении ситуации, для чего просит сообщить конфиденциальные данные имеющейся у владельца карты для поиска в «межбанковской системе» [9]. Дистанционное банковское обслуживание – это одно из направлений, способствующих предоставлению клиентам максимального удобства в их работе, является дистанционное банковское обслуживание (ДБО), осуществляемое через сеть Интернет. Возможность полностью управлять своим личным счётом при условии простоты выполнения операций, комфорта и мобильности всегда привлекало, и будет привлекать клиентов. Основными направлениями распределения рисков в области безопасности для систем ДБО являются: - каналы связи используемые для транзакций; - вопросы организации эксплуатации систем ДБО; - клиенты, обслуживаемые через Интернет; - глобальная сеть Интернет [10]. Банковские трояны к которым относятся вредоносные программы, предназначенные для похищения конфиденциальной информации и обеспечения несанкционированного доступа к системам дистанционного банковского обслуживания. Многие банковские трояны сочетают в себе функции бэкдора и шпионских программ [11]. Кардинг — вид мошенничества, при котором производится операция с использованием платежной карты или ее реквизитов, не инициированная или не подтвержденная ее держателем. Реквизиты платежных карт берут со взломанных серверов интернет-магазинов, платежных и расчётных систем, а также с персональных компьютеров (либо непосредственно, либо через программы удаленного доступа, «трояны», «боты» с функцией форм граббера (шпионская программа, служит для перехвата введённых паролей и логинов)). Самым распространённым методом похищения номеров платежных карт на сегодня является фишинг — создание мошенниками сайта, который будет пользоваться доверием у пользователя, например сайт, похожий на сайт банка пользователя, через который и происходит похищение реквизитов платежных карт [12].
Выводы по главе
В главе были рассмотрены международные стандарты безопасности, отраслевые стандарты и положения Центробанка о безопасности банковской деятельности, определены виды угроз и которые существуют в банковской сфере и которые осуществимы с помощью высоких технологий и специализированного оборудования. Популярное:
|
Последнее изменение этой страницы: 2017-03-03; Просмотров: 1176; Нарушение авторского права страницы