Информационная Безопасность Коммерческих Структур и Финансовых Учреждений - Часть 1

ВВЕДЕНИЕ

Современные коммерческие банки (КБ) представляют собой многофункциональные организации, предоставляющие клиентам различные услуги в сфере финансового обслуживания. Главная задача КБ заключается в стимулирование финансовых и материальных накоплений.

Главными требованиями к защите информации в КБ являются: обеспечение надежного функционирования банка, минимизация рисков и потерь, а также предотвращение угроз его безопасности. Применительно к сфере международных перевозок, читайте о современных методах в этой статье.

Актуальной задачей является обеспечение защиты информационных ресурсов кредитных отделов банковских организаций, а также применение мер обеспечения информационной целостности персональных данных пользователей-клиентов банка.

Под защитой информации в информационных системах (ИС) КБ понимается регулярное использование в них средств и методов, принятие мер и осуществление мероприятий с целью системного обеспечения требуемой надежности хранимой и обрабатываемой информации.

1 АНАЛИЗ СПЕЦИФИКИ ИНФОРМАЦИОННЫХ СИСТЕМ КОММЕРЧЕСКИХ БАНКОВ

1.1 Общие требования по защите информации в коммерческом банке

Перечень требований к защите информации в КБ:

• прогнозирование и оперативное выявление с последующим устранением информационных угроз безопасности персоналу и ресурсам банка;
• интеграция информационных средств анализа причин и условий, которые потенциально или явно наносят различного рода ущерб банку, что приводит к нарушению его привычного функционирования;
• классификация конфиденциальной информации к категориям ограниченного доступа (банковской и коммерческой тайнам, платежным и личным данным клиентов и сотрудников банковский организаций) и оценка критериев их уязвимости;
• обеспечение информационных средств оперативного реагирования на идентифицируемые угрозы безопасности на локальном или глобальном уровне и контроль проявления отрицательных тенденций в функциональной деятельности банка;
• эффективное и своевременное пресечение информационных угроз персоналу;
• создание условий для минимизации рисков наносимого ущерба при проведении неправомерных действий и ослабления отрицательного влияния последствий нарушения информационной безопасности на выполнение операционных и стратегических задач банка.

В настоящее время информационные угрозы в банках (и не только) проявляются в виде:

• разглашения различной конфиденциальной финансовой информации о клиентах или инфраструктуре банка;
• утечки подобного рода секретной информации посредством использования технических средств обеспечения деятельности сотрудников банка;
• несанкционированного доступа к конфиденциальной информации и другим ресурсам банка, которые охраняются законом, со стороны конкурентов и злоумышленников.

Основными источниками угроз информационной безопасности (ИБ) являются:

• неблагоприятные события природного, техногенного и социального характера;
• террористы и криминальные элементы;
• зависимость от поставщиков/провайдеров/партнеров/клиентов;
• сбои, отказы, повреждения программных и технических средств;
• работники, реализующие угрозы ИБ с использованием легально предоставленных им прав и полномочий;
• внешние нарушители ИБ;
• несоответствие требованиям надзорных и регулирующих органов, действующему законодательству.

Реализация несанкционированного доступа к информационным ресурсам, на практике, согласно имеющемуся опыту современных банковских компаний, часто производиться путем организации злоумышленниками следующих действий:

• хакерского доступа, копирования и изменения важной банковской информации;
• перехвата информационных потоков и пакетов, движущихся в системах связи и вычислительной техники с помощью аппаратно-технических средств съема информации.

Защита информационных ресурсов банка должна предусматривать:

• обоснованность любого доступа к ресурсам, т.е. каждый сотрудник или пользователь имеет соответствующую собственную форму допуска для работы с информацией, реализованную на определенном уровне конфиденциальности;
• персональную ответственность, которая выражается в том, что сотрудник или пользователь несет ответственность за сохранность данных, информации и за свои действия в ИС;
• надежность хранения данных, т.е. интеграции условий исключающих возможные способы несанкционированного доступа к информации;
• контроль и предупреждение передачи критичной конфиденциальной информации по существующим незащищенным линиям передачи данных;
• целостность информационной программной среды, обеспечивающейся физической сохранностью средств информатизации, обновление программной операционной среды с устранением возможных потенциальных мест взлома.

Таким образом, необходимо отметить, что стратегия информационной безопасности банков весьма сильно отличается от аналогичных стратегий других компаний и организаций. Это обусловлено, прежде всего, специфическим характером угроз, а также публичной деятельностью банков, которые вынуждены делать доступ к счетам достаточно легким с целью удобства для клиентов.

Обычная компания строит свою информационную безопасность, исходя лишь из узкого круга потенциальных угроз — главным образом защита информации от конкурентных организаций и коммерческих структур. Такая информация интересна лишь узкому кругу заинтересованных лиц и организаций и редко бывает ликвидна, т. е. обращаема в денежную форму.

Информационная безопасность банка (в отличие от большинства существующих компаний) должна обеспечивать максимально возможную надежность работы ИС, в том числе и в случае нештатных ситуаций, т.к. банк несет всю ответственность за свои средства, но и средства своих клиентов.

1.2 Анализ структуры информационной системы коммерческого банка

Информационная банковская система (ИБС) - программно-технический комплекс, обеспечивающий автоматизацию обработки банковской информации, которая отражает различные стороны деятельности банков, на базе использования специализированных банковских технологий.

Специфика деятельности коммерческого банка определяет архитектуру интегрируемой ИС, а также тип информационного продукта, используемого для обеспечения процесса принятия управленческих решений по управлению его деятельностью. Характерной особенностью современных отечественных коммерческих банков заключается в том, что их производственная деятельность, с учетом специфики и специализации, является в целом универсальной. Во многом, это определяет сферу палитры услуг и является основанием для анализа структуры ИС банка.

Следует отметить, что специфика организации производственной деятельности в современном банковском бизнесе не подразумевает необходимости в интеграции и выполнении трудоемких и ресурсоемких вычислительных расчетов (как например поиск оптимального плана в грузовых операциях). При этом, главными проблемами являются объемы учетной информации и безопасностью доступа.

Поэтому в основе автоматизации банковской системы лежит среда хранения и доступа к данным. Среда должна обеспечивать уровень надежности хранения и эффективность доступа. Соответствующие области информации должны иметь максимальную защищенность от несанкционированного доступа. Также, структура информационной системы коммерческого банка должна базироваться и проектироваться в соответствие с его организационной структурой.

В общем виде данная структура приведена на рис.1.

Рисунок 1 – Организационная структура коммерческого банка

Распространенная структурная схема архитектуры построения ИС КБ приведена на рис.2.

Рисунок 2 - Структурная схема архитектуры построения ИС КБ

Главными составляющими структуры ИС КБ являются:

1. Информационное обеспечение. Представляет собой совокупность всей хранимой информации в банке (системы различных финансовых показателей, методы кодирования информации и документов, базы данных и базы знаний).
2. Функциональное обеспечение. Необходимо для формирования содержательной направленности ИС КБ, реализуется в виде ряда операций и функций.
3. Технологическое обеспечение выражается в виде совокупности проектных решений. Необходимо для определения технологии создания технологических условий для обеспечения корректного выполнения банковских операций в автоматическом режиме. Данный тип обеспечения объединяет информационное и функциональное. Базовым элементом выступает внешнее событие, при возникновении реакции инициируется выполнение ряда технологических операций, определенным образом взаимосвязанных.
4. Программное обеспечение. Заключается в интеграции операционных систем с развернутыми системами управления базами данных и модулями реализации программных интерфейсов.
5. Аппаратные средства. Как правило, это средства вычислительной техники, оборудование локальных и глобальных вычислительных сетей, средства связи, платежные терминалы и банкоматы.

Схема подсистемы обеспечения информационной защищенности банка приведена на рис.3.

Рисунок 3 – Схема подсистемы обеспечения информационной защищенности банка

Схема организации удаленного пользовательского доступа к ИС банка приведена на рисунке 4.

Рисунок 4 – Схема организации удаленного пользовательского доступа к ИС банка

Таким образом, структура ИС банка должна представлять собой максимально универсальный программно-технологический комплекс, позволяющий удовлетворить все требования, предъявляемые к безопаности и эффективно использующийся для обеспечения сбалансированности вех информационных и материальных ресурсов. Такая ИС должна позволять адекватно отражать специфику взаимодействия и взаимосвязей всех имеющихся бизне-процессов, а также учитывать топологию иерархической организационной структуры компании, различные функциональные цели и операционные задачи, гибкость в работе по обеспечению задач управления процессами, которые зачастую носят вероятностный и малопредсказуемый характер.

1.3 Автоматизация мониторинга событий информационной безопасности

Для автоматизации процессов мониторинга и управления событиями информационной безопасности (ИБ) банков и других финансовых организаций в настоящее время руководства ведущих отделов ИБ современных компаний часто принимает решение о внедрении специализированных систем, которые направлены на обеспечение оперативного мониторинга событий, их последующую обработку, анализ и выявление инцидентов с ранжированием приоритетов и рисков.

Процесс процедуры мониторинга ИБ банков проводиться путем реализации следующих этапов:

• идентификация действий и операций, которые подлежат регистрации;
• определение содержания данных о действиях и операциях, которые подлежат регистрации, обозначить сроки их хранения;
• организация резервирования объема памяти для выполнения записи данных;
• обеспечение оперативной реакции на сбои при регистрации действий и операций, таких как программные и аппаратные ошибки;
• формирование генерации временных меток для выполнения регистрирующих действий по синхронизации системного времени на используемых технических средствах мониторинга ИБ.

На практике, к таким системам автоматизации мониторинга и управления событиями (МУС) предъявляются следующие требования:

• обеспечение анализа различных инцидентов и событий ИБ в режиме онлайн;
• автоматизация всех процессов, направленных на выявление причин возникновения критических ситуаций, инцидентов и рисков;
• оптимизация производственных операций, выполняемых специалистами по обеспечению мониторинга состояния ИБ на предприятии или организации;
• минимизация различных финансовых и временных затрат по получению, хранению, структуризации и классификации, анализу и оценке выявленных инцидентов;
• оптимизация существующих рутинных операционных задач, которые нацелены на обеспечение оценки эффективности применяемых мер по ИБ.

Современные системы МУС ИБ типа SIEM (Security Information and Event Management) в итоге должны обеспечивать комплексный подход к решению основных функциональных, задач, наиболее приоритетными из которых являются:

• автоматизированный сбор и структурирование соответствующей информации;
• оперативный анализ воздействующих нежелательных внешних и внутренних факторов;
• контроль событий, информация о которых поступает от интегрированных средств защиты.

МУС ИБ типа SIEM, в частности, помогает решить следующие приоритетные для банковской сферы, задачи:

• координация всего объема событий ИБ;
• обеспечение визуализации происходящих процессов и оценки стабильности ситуации ИБ в целом в рамках функционирования информационной системы;
• оценка текущего уровня безопасности, путем расчета показателей эффективности (KPI);
• оперативное и точное обнаружение появившихся инцидентов в ИБ;
• обеспечение получения достоверных данных для идентификации, анализа и оценки соответствующих финансовых и материальных рисков;
• поддержка принятия управляющих решений, направленных на повышение уровня безопасностью функционирования всей информационной инфраструктуры банка;
• обеспечение соблюдения и выполнения соответствующих законодательных требований и актов в области выполнения мониторинга событий ИБ.

ВЫВОДЫ

Проведенный анализ специфики информационных систем коммерческих банков позволил выявить и структурировать общие требования по защите информации в коммерческом банке, формализовать его структуру и описать процесс автоматизации мониторинга событий информационной безопасности в рамках банковских организаций. Полученные результаты в дальнейшем могут быть использованы при проектировании защищенных информационных систем поддержки операционных задач в финансовой и организационной сферах банковской деятельности.

Авторы:

к.т.н., доцент кафедры информационных технологий ОНМУ Рудниченко Н.Д.

к.т.н., доцент кафедры информационных технологий ОНМУ Бойко В.Д.

к.т.н., старший преподаватель кафедры информационных технологий ОНМУ Шибаева Н.О.

старший преподаватель кафедры информационных технологий ОНМУ Косенко Е.Д.

аспирант кафедры информационных технологий ОНМУ Шибаев Д.С.