Информационная безопасность банковской системы является системообразующим фактором, обеспечивающим устойчивость экономики страны.

Модель угроз

Рассматривая модель угроз, уменьшающих стабильность банковского сектора, можно увидеть, что внешние риски признаются более существенными, чем инсайдерские. 

В системе менеджмента банковских рисков в качестве основных выделяются:

• утечки информации, относящейся к охраняемой категории, – банковской, коммерческой, служебной тайны, персональных данных клиентов;
• риск поломки или разрушения информационной системы, связанный с утерей данных;
• риск использования при принятии ключевых решений неполной или искаженной информации;
• риск несанкционированного списания денежных средств со счетов клиентов.

Реализация каждой категории рисков способна привести к серьезным репутационным и финансовым последствиям для кредитной организации. Это необходимо учитывать при создании архитектуры информационной сети, особенностями которой будут:

• обработка большого объема информации, связанной с бизнесом и финансовыми операциями клиентов;
• совершение трансакций в различных системах платежей, как дискретных, отправляющих средства несколькими траншами или рейсами в день, так и работающих в режиме реального времени;
• разветвленность и сложность системы, подключенной к сети банкоматов и онлайн-терминалов, с необходимостью защиты передаваемых данных от перехвата.
• Целью злоумышленников, как внешних, так и внутренних, становится получение доступа к информации, которая позволит обеспечить контроль за чужими активами. 

С учетом понимания модели угроз формируются требования к обеспечению информационной безопасности банковской системы:

• адекватность, создание достойных ответов на внутренние и внешние угрозы;
• комплексный подход, требующий уделять внимание всем элементам банковской системы – от сервиса быстрых платежей до ежедневного создания резервной копии баз данных;
• высокая производительность – система должна мгновенно обрабатывать огромные массивы данных, не создавая избыточной нагрузки на инфраструктуру;
• надежность, отказоустойчивость, умение восстанавливаться после сбоев в кратчайшее время;
• наличие широкого спектра инструментов мониторинга, способных выявлять все типы уязвимостей в системе обеспечения информационной безопасности банков.

Конкретные решения по информационной безопасности, программные и технические средства, регулируются Стандартами Банка России, обязательными для применения. Общие принципы отразились в Концепции безопасности коммерческого банка, одобренной Советом Ассоциации российских банков (ранее – АРБ, Ассоциация российских банков, АРОС). Основной задачей организации является лоббирование интересов российских кредитных компаний, способствование принятию нужных законопроектов и выработке иных регулятивных решений.

Принципы организации системы ИБ

В коммерческом банке построение системы ИБ основывается на принятии стратегии, определяющей ключевые параметры внедряемых решений. 

Построение системы базируется на следующих принципах:

• безопасность узлов системы и информационных ресурсов должна обеспечиваться на всех этапах жизненного цикла данных, в любых внешних и внутренних обстоятельствах;
• информация ранжируется по степени важности, конфиденциальности, отнесению к защищаемым ресурсам согласно требованиям государства;
• должен создаваться механизм мониторинга и оперативного реагирования на все отклонения от стандартной работы системы, выявляющий внешние подключения, подмену кода, работу вредоносных программ;
• все внедряемые решения должны соответствовать требованиям закона.

Основой ИС в банке является АБС, автоматизированная банковская система, обрабатывающая финансовые трансакции и формирующая бухгалтерскую отчетность. По правилам работы Банка России, отчетность представляется регулятору не только раз в квартал, но и ежедневно, в АБС попадают все сведения об операциях по счетам клиентов и самой кредитной организации. Среди основных разработчиков АБС в России – компании «Диасофт» и R-Style. Ранее банки самостоятельно разрабатывали АБС, но после выхода закона о защите персональных данных эта возможность исчезла. Теперь их поставщики обязательно должны иметь лицензии ФСТЭК и ФСБ на разработку программных средств защиты, что для банков невозможно. Их лицензия является исключительной, предполагая только деятельность на финансовых рынках.

Защита АБС в любом случае будет установлена в соответствии с классами безопасности, предусматриваемыми для систем, обрабатывающих персональные данные. Но дополнительные меры безопасности будут связаны с обеспечением утечек не только ПД, но и финансовой информации. Степени защиты будут зависят от уровня модуля, –  функционального, например, управление депозитными или кредитными операциями, обрабатывающего первичную информацию и взаимодействующего с внешними каналами связи, и обеспечивающего, бухгалтерского или аналитического, работающего во внутренней сети и не требующего внешних подключений. 

Функциональные модули делятся на группы:

• Front-Office. На этом уровне находятся рабочие места, обеспечивающие операционную деятельность банка, обработку платежных поручений, депозитные операции, приобретение ценных бумаг. Сотрудники имеют возможность непосредственного взаимодействия с клиентами, информация собирается и передается для обработки в другие офисы;
• Back-Office. Здесь на базе полученной информации составляется отчетность, передаваемая далее в ЦБ РФ;
• Head-Office. Здесь сконцентрированы модули, обеспечивающие аналитику и интеллектуальную обработку данных.
• Работа всех подсистем реализуется в отдельных средах, отделенных друг от друга межсетевыми экранами. Помимо них, обязательно применяются:
• средства антивирусной защиты;
• средства обнаружения вторжений;
• криптографические средства (СКЗИ);
• средства доверенной загрузки.

Выбор решений зависит от того, насколько вычислительная мощность модуля позволяет устанавливать средства защиты.

Оценка эффективности ИБ

Обеспечение информационной безопасности банковской системы является не статическим явлением, а совокупностью процессов. Качество их реализации должно непрерывно измеряться для оценки эффективности. Существуют тысячи метрик, позволяющих оценить процесс, и выбор из них оказывается сложным решением.

Важным критерием при выборе метрики становится способность продемонстрировать качество решения специалистам разного уровня – от руководителя правления кредитного учреждения до приглашенного аудитора. 

Среди оцениваемых параметров:

• цена выстраивания системы ИБ в пересчете на сотрудника или квадратный метр площади банка или отделения;
• скорость перехода инцидента ИБ с первой линии поддержки SOC на вторую;
• скорость восстановления системы после сбоя;
• потери от неэффективного управления учетными записями;
• снижение лояльности клиентов от неэффективно выстроенных процессов ИБ.

Цели разработки и внедрения системы метрик комплексные:

• снижение числа неэффективных или неверно выстроенных процессов;
• контроль работоспособности текущих бизнес-процессов;
• анализ направления развития концепций ИБ;
• проверка на соответствие требованиям регулятора;
• подготовка управленческой отчетности с анализом инвестиций, сделанных в информационную инфраструктуру.

Метрики делятся на группы:

• управление инцидентами с тем, чтобы целевая динамика показывала уменьшение их количества;
• управление активами – метрика должна показать сокращение числа узлов сети, не имеющих официального владельца;
• эффективность применения средств защиты информации;
• управление уязвимостями – целевая динамика показывает их уменьшение;
• управление рисками.

Внедрение метрик должно сопровождаться не только их применением, но и пересмотром, с целью сокращения числа уже не актуальных показателей.

Политика Банка России

Вопросы информационной безопасности в банковской сфере регулируются Банком России, и с каждым годом степень регулирования становится все больше. Ранее кредитные организации могли умалчивать о происходящих инцидентах информационной безопасности, сейчас им вменено в обязанность сообщать о них в ФинЦЕРТ в течение трех часов с момента возникновения. Обмен с подразделением регулятора данными о текущем состоянии информационной системы происходит в режиме онлайн, с выделенного рабочего места.

Основные стандарты, принимаемые в целях обеспечения информационной безопасности банковской системы, регулируют:

• работу с биометрическими персональными данными. Создание условий для их хранения и избегание утечек становятся основными задачами в области обеспечения информационной безопасности банковской системы. Сферу регулируют Методические рекомендации, утвержденные Банком России в апреле 2019 года. Они рассматривают банковскую безопасность в общем и механизм передачи данных в Единую систему межведомственного взаимодействия (СМЭВ) с использованием средств криптографической защиты. Утрата биометрических данных поможет злоумышленникам при помощи этих идентификаторов получить несанкционированный и беспрепятственный доступ к банковским услугам и активам клиентов;
• общие принципы защиты информации в банковской сфере регулирует ГОСТ Р-57580.2, утвержденный Росстандартом в 2018 году;
• управление инцидентами информационной безопасности регулирует Стандарт Банка России, также утвержденный в 2018 году. Он обращает внимание на необходимость информировать регулятора обо всех выявленных инцидентах. В свою очередь, ЦБР готов оповещать банки обо всех аналогичных ситуациях, происходивших у других участников системы;
• аудит информационной безопасности и методику оценки качества управления информационными процессами.

Одним из важных моментов поддержания информационной безопасности в сфере финансов становится организация форумов и конференций, где участники озвучивают актуальные проблемы сферы и делятся опытом. Ежегодный форум «Информационная безопасность финансовой сферы» собирает представителей регулятора, кредитных организаций, отечественных и зарубежных поставщиков ИТ-решений. Обсуждаются темы, связанные с развитием сотрудничества в области защиты информации, обеспечением безопасности финтеха, организацией киберустойчивости финансовых организаций, новые законодательные инициативы в области информационной безопасности, выдвигаемые банком России и самими кредитными организациями.

Стандарты безопасности

Основным документом регулятора, определяющим нормы, действующие в сфере банковской информационной безопасности, стал Стандарт «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» СТО БР ИББС-1.0. Банк России, рекомендующий кредитным учреждениям скрупулезное выполнение требований, продекларировал, что целями принятия нормативного документа стали:

• повышение доверия населения и бизнеса к банковской системе страны;
• повышение стабильности функционирования кредитных организаций банковской системы Российской Федерации и системы в целом;
• достижение адекватности мер по защите от реальных угроз информационной безопасности;
• предотвращение и (или) снижение ущерба от инцидентов информационной безопасности.

Банк предусмотрел поэтапное внедрение мер, направленных на исключение рисков несанкционированных переводов денежных средств. Штрафовать за невыполнение требований ЦБ РФ начнет только с лета 2020 года. За полтора года все аспекты ИБ в коммерческом банке должны соответствовать требованиям ГОСТа.

Риск нарушения информационной безопасности при аутсорсинге услуг

Отдельным стандартом регулирования ИБ в банковской сфере стал стандарт, устанавливающий критерии информационной безопасности при аутсорсинге ИТ-услуг. Стандарт был введен в 2018 году приказом № 568. Кредитные организации часто, не доверяя компетенции ИТ-службы, поручают выстраивать процессы обеспечения информационной безопасности привлеченным специалистам. 

Цели аутсорсинга:

• повышение эффективности бизнес-процессов;
• экономия и более рациональное размещение ресурсов;
• повышение прозрачности и инвестиционной привлекательности бизнеса банка при размещении акций и облигаций на рынках ценных бумаг;
• снижение зависимости от ресурсных ограничений.

Но приглашение внешних специалистов часто увеличивает риск утечек информации, как клиентской, так и связанной с системой организации безопасности данных в кредитном учреждении. Этот риск многоплановый и состоит из ряда факторов:

• усиление зависимости функционирования банка от деятельности внешнего поставщика услуг, что критично при управлении платежными системами, работающими в режиме онлайн;
• сбои в работе объектов инфраструктуры, если они находятся в зоне контроля поставщика услуг;
• неверная оценка качества работы организации-аутсорсера;
• неточности в договоре на поставку услуг, которые ограничивают деятельность банка с учетом требований ИБ.
• Системно эти проблемы создают критические угрозы:
• несанкционированного доступа внешних пользователей к информационным массивам;
• доступа третьих лиц к финансовым ресурсам банка и клиентов;
• утраты контроля за бизнес-процессами;
• несоблюдения требований закона и регулятора.

ЦБ РФ предупреждает банки, что реализация угроз может привести к инцидентам информационной безопасности, следствием которых станет потеря существенных сумм. При этом организация – поставщик услуг может оказаться не способной компенсировать ее в полном объеме, размер потери способен оказаться равным остатку средств на корреспондентском счету в ЦБ РФ, что сравнимо с размером уставного капитала. 

Для снижения риска ЦБ устанавливает обязательные требования к подрядчикам:

• принять внутренний распорядительный документ – Политику аутсорсинга, которая определит ограничения на работу поставщика услуг;
• аутсорсинг должен производиться по утвержденной программе, предусматривающей внешний и внутренний контроль;
• все мероприятия в рамках аутсорсинга должны соответствовать нормативным требованиям ЦБ России;
• поставщик услуг должен иметь все необходимые лицензии;
• в договоре с ним должна быть прописана ответственность, связанная с любым названным в Стандарте типом риска;
• необходимо контролировать все действия, связанные с трансграничной передачей информации;
• все функции, переданные на аутсорсинг, должны рассматриваться как одна из частей деятельности банка и контролироваться службами внутреннего контроля.

При соблюдении этих условий риск утраты информации и активов снижается, устойчивость банковской системы Российской Федерации и доверие к ней граждан повышаются.

Роль ФинЦЕРТ

Особую роль в структуре Банка России играет ФинЦЕРТ – подразделение, отвечающее за мониторинг и предотвращение критических инцидентов информационной безопасности, чьи сотрудники специализируются в сфере защиты информации. 
Подразделение регулятора разработало и утвердило основные принципы обеспечения информационной безопасности банковской системы на 2019-2020 годы:

• улучшение правового регулирования системы, уточнение действующих нормативных актов;
• обеспечение ИБ и кибербезопасности информационной инфраструктуры банков;
• обеспечение ИБ и кибербезопасности ПО, используемого для защиты информационных активов и персональных данных клиентов;
• соблюдение правил ИБ при разработке и внедрении технологий обработки данных;
• улучшение качества финансовых технологий;
• повышение доверия населения к финансовой системе в целом;
• использование возможностей международного сообщества.

За три года работы подразделения по этим направлениям уровень рисков и количество инцидентов кибербезопасности удалось снизить. Действия регулятора и банковского сообщества направлены на структурное и целенаправленное обеспечение безопасности в банковской системе, это позволяет гарантировать устойчивость экономики в целом.

04.02.2020