Архитектура Аудит Военная наука Иностранные языки Медицина Металлургия Метрология
Образование Политология Производство Психология Стандартизация Технологии


ОБЗОР ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ БАНКА



 

Нормативные и правовые документы соответствующие отраслевым и международным стандартам

 

В последнее время банки начали создавать в своей структуре подразделения, отвечающие за обеспечение информационной безопасности. Это, безусловно, позитивная тенденция. Согласно рекомендациям отраслевого стандарта России СТО БР ИББС_1.0_2010, информационная безопасность в банках должна выделяться в независимое подразделения, и это заключается в том, что служба ИБ и служба информатизации (автоматизации) не должны иметь общего начальника. Такая структурная независимость не означает, что это подразделение имеет самостоятельный бюджет и необходимые материальные ресурсы для решения всех проблем [2].

Основными целями стандартизации по обеспечению ИБ организаций в БС РФ являются:

— предотвращение и(или) снижение ущерба от инцидентов ИБ.

— развитие и укрепление БС РФ;

— повышение доверия населения к БС РФ;

— поддержание стабильности организаций БС РФ и на этой основе — стабильности БС РФ в целом;

— достижение адекватности мер защиты реальным угрозам ИБ;

Основные цели этой стандартизации по обеспечению ИБ организаций является установление единых требований и норм по обеспечению ИБ организаций БС и повышение эффективности мероприятий по функционированию и поддержанию ИБ организаций БС РФ [2].

Среди нормативных документов ОАО,, Россельхозбанк” следующие соответствуют стандарту Банка России СТО БР ИББС-1.0-2010:

· SecretNet 5.0-С. Принципы построения и применения

· Инструкция пользователю АС

· Инструкция по работе с ключевыми дискетами в организации

· Должностная инструкция ведущего специалиста по информационной безопасности службы безопасности Тамбовского РФ ОАО «Россельхозбанк»

· План обеспечения непрерывной работы и восстановления работоспособности подсистемы

· Политика безопасности при работе в Интернете

· Политика информационной безопасности

· Регламент централизованного резервного копирования и восстановления информационных ресурсов Тамбовского регионального филиала ОАО «Россельхозбанк»

· Система криптографической авторизации электронных документов «Сигнатура» версия 3.1

· Условия дистанционного банковского обслуживания юридических лиц и индивидуальных предпринимателей в ОАО «Россельхозбанк» с использованием системы «Банк-Клиент»/«Интернет-Клиент»

Исследуя ИБ ОАО,, Россельхозбанк” было выявлено, что прикладное и сетевое программное обеспечение указанные в приложении А и приложении В соответствует стандарту Банка России СТО БР ИББС-1.0-2010.

Отраслевые стандарты

В настоящее время в международном праве существует большое число законов, отраслевых стандартов для финансовых институтов, телекоммуникационных компаний, учреждений здравоохранения и обязательных и рекомендательных документов, затрагивающих защиту информации от внутренних угроз и управление операционными рисками.

Для банковской системы применяются в основном стандарт Банка России СТО БР ИББС-1.0-2010, кодекс корпоративного поведения ФСФР, PCI DSS:

Стандарт Банка России СТО БР ИББС-1.0-2010 для банков, исполнение положений которого пока носит рекомендательный характер. В стандарте, затронута необходимость защиты от действий инсайдеров, в том числе необходимость контроля использования Интернета и корпоративной почты, а также ведения архива электронной почты, что повышает уровень защиты БС в целом. Принят и введен в действие Распоряжением Банка России от 25 декабря 2008 года №Р_1674.

Кодекс корпоративного поведения ФСФР представляет собой свод правил и рекомендации ФСФР России для компаний-участников рынков ценных бумаг России. Основная цель Кодекса — обеспечение равенства прав акционеров и защита их интересов, а одна из важнейших глав Кодекса — контроль финансово-хозяйственной деятельности общества. В Кодексе корпоративного поведения регламентируется создание прозрачной системы менеджмента и построение системы управления операционными рисками, а также необходимость создания условий для независимой оценки любой финансово-хозяйственной операции. Корпоративное поведение должно обеспечивать высокий уровень деловой этики в отношениях между участниками рынка [3].

Кодексу корпоративного поведения ФСФР соответствуют лицензии выданные ОАО,, Россельхозбанк” Федеральной службой по финансовым рынкам:

· Лицензия на осуществление депозитарной деятельности (выдана Федеральной службой по финансовым рынкам от 19.05.2005 №077-08461-000100)

· Лицензия на осуществление дилерской деятельности (выдана Федеральной службой по финансовым рынкам от 19.05.2005 №077-08456-010000)

· Лицензия на осуществление брокерской деятельности (выдана Федеральной службой по финансовым рынкам от 19.05.2005 №007-08455-100000)

· Лицензия биржевого посредника, совершающего товарные фьючерсные и опционные сделки в биржевой торговле (выдана Федеральной службой по финансовым рынкам от 17.11.2009 №1473) [4].

PCI DSS – это стандарт безопасности данных индустрии платежных карт PCI DSS, объединивший в себе требования международных платежных систем к обеспечению информационной безопасности, который был разработан советом PCI SSC. В него вошли такие карточные бренды, как Visa, MasterCard, JCB, AmericanExpress и Discovery [5].

В стандарте регламентируется необходимость шифрования носителей информации, содержащих данные платежных карт, и надежной защиты ключей шифрования. В PCI DSS определена необходимость генерации стойкого ключа и разделение криптографического ключа между несколькими лицами. Согласно стандарту операторы платежных карт должны защищать информацию от утечек по различным каналам, жестко регламентировав использование внешних устройств и перемещение конфиденциальных данных. В PCI DSS определена необходимость использования двухфакторной аутентификации для доступа к данным [6].

Россельхозбанк подтвердил соответствие своего процессинга требованиям стандарта PCI DSS. ОАО «Россельхозбанк» получил также сертификат соответствия стандарту PCI DSS (Payment CardIndustry DataSecurity Standard), что свидетельствует о высокой степени безопасности операций, проводимых с выпускаемыми банком платежными картами.

В настоящее время Россельхозбанк предоставляет своим клиентам услуги по выпуску и обслуживанию платежных карт международных платежных систем VISA Int. и Master Card World Wide. С этой целью в банке функционирует собственный процессинговый центр, обслуживающий операции, совершаемые более миллионом действующих платежных карт, выпущенных банком, 2500 банкоматами и более 3000 POS-терминалами [7].

 

 

Программно-аппаратное обеспечение и его соответствие отраслевым стандартам

 

Программное и программно-аппаратное обеспечение находящиеся в ОАО,, Россельхозбанк” указанное в приложении A и приложении B соответствует ГОСТ Р МЭК61508-3-2007 «Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью» [8].

Так же работа с программно-аппаратными комплексами по шифрованию в связи с получением лицензий ОАО,, Россельхозбанк” по следующим направлениям:

· Лицензия на предоставление услуг шифрования информации (выдана Центром по лицензированию, сертификации и защите государственной тайны ФСБ от 27.04.2010 №8744У)

· Лицензия на распространение шифровальных (криптографических) средств (выдана Центром по лицензированию, сертификации и защите государственной тайны ФСБ России от 27.04.2010 №8743Р)

· Лицензия на техническое обслуживание шифровальных (криптографических) средств (выдана Центром по лицензированию, сертификации и защите государственной тайны ФСБ от 27.04.2010 №8742Х) [4].

 

Виды угроз для банков

 

Как и в любой сфере связанной с финансами, нельзя забывать про безопасность информационных и платежных систем которым могут угрожать злоумышленники. Рассмотрим угрозы используемые злоумышленниками в банковской сфере, которые с течением времени совершенствуются, а значит для которых требуются более эффективные способы защиты. К ним относятся:

· Фишинг

· Угрозы при использовании дистанционного банковского обслуживания

· Банковские трояны

· Кардинг

Фишинг — мошенники от имени банка связываются склиентом по электронной почте и просят его подтвердить некоторые конфиденциальные данные своей карты. Также распространеноиспользуется и телефонный фишинг (вишинг), когда держатель пластиковой карты получает телефонный звонок либо с информацией о том, что по его карте произведен платеж на некоторую сумму, либо с просьбой погасить просроченную задолженность по кредиту. В основном как правило, информирование происходит в автоматическом режиме («электронный голос»), а название банка, из которого пришел звонок, не уточняется. Для получения дополнительной информации рекомендуется следовать указаниям системы. Владелец карты соединяется с оператором и узнает, что является клиентом или заемщиком банка, с которым на самом деле никаких отношений не поддерживает, но оператор любезно предлагает свою «помощь» в прояснении ситуации, для чего просит сообщить конфиденциальные данные имеющейся у владельца карты для поиска в «межбанковской системе» [9].

Дистанционное банковское обслуживание – это одно из направлений, способствующих предоставлению клиентам максимального удобства в их работе, является дистанционное банковское обслуживание (ДБО), осуществляемое через сеть Интернет. Возможность полностью управлять своим личным счётом при условии простоты выполнения операций, комфорта и мобильности всегда привлекало, и будет привлекать клиентов.

Основными направлениями распределения рисков в области безопасности для систем ДБО являются:

- каналы связи используемые для транзакций;

- вопросы организации эксплуатации систем ДБО;

- клиенты, обслуживаемые через Интернет;

- глобальная сеть Интернет [10].

Банковские трояны к которым относятся вредоносные программы, предназначенные для похищения конфиденциальной информации и обеспечения несанкционированного доступа к системам дистанционного банковского обслуживания. Многие банковские трояны сочетают в себе функции бэкдора и шпионских программ [11].

Кардинг — вид мошенничества, при котором производится операция с использованием платежной карты или ее реквизитов, не инициированная или не подтвержденная ее держателем. Реквизиты платежных карт берут со взломанных серверов интернет-магазинов, платежных и расчётных систем, а также с персональных компьютеров (либо непосредственно, либо через программы удаленного доступа, «трояны», «боты» с функцией форм граббера (шпионская программа, служит для перехвата введённых паролей и логинов)). Самым распространённым методом похищения номеров платежных карт на сегодня является фишинг — создание мошенниками сайта, который будет пользоваться доверием у пользователя, например сайт, похожий на сайт банка пользователя, через который и происходит похищение реквизитов платежных карт [12].

 

Выводы по главе

 

В главе были рассмотрены международные стандарты безопасности, отраслевые стандарты и положения Центробанка о безопасности банковской деятельности, определены виды угроз и которые существуют в банковской сфере и которые осуществимы с помощью высоких технологий и специализированного оборудования.


Поделиться:



Популярное:

Последнее изменение этой страницы: 2017-03-03; Просмотров: 1176; Нарушение авторского права страницы


lektsia.com 2007 - 2024 год. Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав! (0.018 с.)
Главная | Случайная страница | Обратная связь