Обеспечение информационной безопасности банковской системы

Защита данных
на базе системы

СёрчИнформ КИБ
30 дней для тестирования «СёрчИнформ КИБ»ОФОРМИТЬ ЗАЯВКУ
Время чтения
Шрифт

Информационная безопасность банковской системы является системообразующим фактором, обеспечивающим устойчивость экономики страны.

Модель угроз

Рассматривая модель угроз, уменьшающих стабильность банковского сектора, можно увидеть, что внешние риски признаются более существенными, чем инсайдерские. 

В системе менеджмента банковских рисков в качестве основных выделяются:

  • утечки информации, относящейся к охраняемой категории, – банковской, коммерческой, служебной тайны, персональных данных клиентов;
  • риск поломки или разрушения информационной системы, связанный с утерей данных;
  • риск использования при принятии ключевых решений неполной или искаженной информации;
  • риск несанкционированного списания денежных средств со счетов клиентов.

Реализация каждой категории рисков способна привести к серьезным репутационным и финансовым последствиям для кредитной организации. Это необходимо учитывать при создании архитектуры информационной сети, особенностями которой будут:

  • обработка большого объема информации, связанной с бизнесом и финансовыми операциями клиентов;
  • совершение трансакций в различных системах платежей, как дискретных, отправляющих средства несколькими траншами или рейсами в день, так и работающих в режиме реального времени;
  • разветвленность и сложность системы, подключенной к сети банкоматов и онлайн-терминалов, с необходимостью защиты передаваемых данных от перехвата.
  • Целью злоумышленников, как внешних, так и внутренних, становится получение доступа к информации, которая позволит обеспечить контроль за чужими активами. 

С учетом понимания модели угроз формируются требования к обеспечению информационной безопасности банковской системы:

  • адекватность, создание достойных ответов на внутренние и внешние угрозы;
  • комплексный подход, требующий уделять внимание всем элементам банковской системы – от сервиса быстрых платежей до ежедневного создания резервной копии баз данных;
  • высокая производительность – система должна мгновенно обрабатывать огромные массивы данных, не создавая избыточной нагрузки на инфраструктуру;
  • надежность, отказоустойчивость, умение восстанавливаться после сбоев в кратчайшее время;
  • наличие широкого спектра инструментов мониторинга, способных выявлять все типы уязвимостей в системе обеспечения информационной безопасности банков.

Конкретные решения по информационной безопасности, программные и технические средства, регулируются Стандартами Банка России, обязательными для применения. Общие принципы отразились в Концепции безопасности коммерческого банка, одобренной Советом Ассоциации российских банков (ранее – АРБ, Ассоциация российских банков, АРОС). Основной задачей организации является лоббирование интересов российских кредитных компаний, способствование принятию нужных законопроектов и выработке иных регулятивных решений.

Принципы организации системы ИБ

В коммерческом банке построение системы ИБ основывается на принятии стратегии, определяющей ключевые параметры внедряемых решений. 

Построение системы базируется на следующих принципах:

  • безопасность узлов системы и информационных ресурсов должна обеспечиваться на всех этапах жизненного цикла данных, в любых внешних и внутренних обстоятельствах;
  • информация ранжируется по степени важности, конфиденциальности, отнесению к защищаемым ресурсам согласно требованиям государства;
  • должен создаваться механизм мониторинга и оперативного реагирования на все отклонения от стандартной работы системы, выявляющий внешние подключения, подмену кода, работу вредоносных программ;
  • все внедряемые решения должны соответствовать требованиям закона.

Основой ИС в банке является АБС, автоматизированная банковская система, обрабатывающая финансовые трансакции и формирующая бухгалтерскую отчетность. По правилам работы Банка России, отчетность представляется регулятору не только раз в квартал, но и ежедневно, в АБС попадают все сведения об операциях по счетам клиентов и самой кредитной организации. Среди основных разработчиков АБС в России – компании «Диасофт» и R-Style. Ранее банки самостоятельно разрабатывали АБС, но после выхода закона о защите персональных данных эта возможность исчезла. Теперь их поставщики обязательно должны иметь лицензии ФСТЭК и ФСБ на разработку программных средств защиты, что для банков невозможно. Их лицензия является исключительной, предполагая только деятельность на финансовых рынках.

Защита АБС в любом случае будет установлена в соответствии с классами безопасности, предусматриваемыми для систем, обрабатывающих персональные данные. Но дополнительные меры безопасности будут связаны с обеспечением утечек не только ПД, но и финансовой информации. Степени защиты будут зависят от уровня модуля, –  функционального, например, управление депозитными или кредитными операциями, обрабатывающего первичную информацию и взаимодействующего с внешними каналами связи, и обеспечивающего, бухгалтерского или аналитического, работающего во внутренней сети и не требующего внешних подключений. 

Функциональные модули делятся на группы:

  • Front-Office. На этом уровне находятся рабочие места, обеспечивающие операционную деятельность банка, обработку платежных поручений, депозитные операции, приобретение ценных бумаг. Сотрудники имеют возможность непосредственного взаимодействия с клиентами, информация собирается и передается для обработки в другие офисы;
  • Back-Office. Здесь на базе полученной информации составляется отчетность, передаваемая далее в ЦБ РФ;
  • Head-Office. Здесь сконцентрированы модули, обеспечивающие аналитику и интеллектуальную обработку данных.
  • Работа всех подсистем реализуется в отдельных средах, отделенных друг от друга межсетевыми экранами. Помимо них, обязательно применяются:
  • средства антивирусной защиты;
  • средства обнаружения вторжений;
  • криптографические средства (СКЗИ);
  • средства доверенной загрузки.

Выбор решений зависит от того, насколько вычислительная мощность модуля позволяет устанавливать средства защиты.

Оценка эффективности ИБ

Обеспечение информационной безопасности банковской системы является не статическим явлением, а совокупностью процессов. Качество их реализации должно непрерывно измеряться для оценки эффективности. Существуют тысячи метрик, позволяющих оценить процесс, и выбор из них оказывается сложным решением.

Важным критерием при выборе метрики становится способность продемонстрировать качество решения специалистам разного уровня – от руководителя правления кредитного учреждения до приглашенного аудитора. 

Среди оцениваемых параметров:

  • цена выстраивания системы ИБ в пересчете на сотрудника или квадратный метр площади банка или отделения;
  • скорость перехода инцидента ИБ с первой линии поддержки SOC на вторую;
  • скорость восстановления системы после сбоя;
  • потери от неэффективного управления учетными записями;
  • снижение лояльности клиентов от неэффективно выстроенных процессов ИБ.

Цели разработки и внедрения системы метрик комплексные:

  • снижение числа неэффективных или неверно выстроенных процессов;
  • контроль работоспособности текущих бизнес-процессов;
  • анализ направления развития концепций ИБ;
  • проверка на соответствие требованиям регулятора;
  • подготовка управленческой отчетности с анализом инвестиций, сделанных в информационную инфраструктуру.

Метрики делятся на группы:

  • управление инцидентами с тем, чтобы целевая динамика показывала уменьшение их количества;
  • управление активами – метрика должна показать сокращение числа узлов сети, не имеющих официального владельца;
  • эффективность применения средств защиты информации;
  • управление уязвимостями – целевая динамика показывает их уменьшение;
  • управление рисками.

Внедрение метрик должно сопровождаться не только их применением, но и пересмотром, с целью сокращения числа уже не актуальных показателей.

Политика Банка России

Вопросы информационной безопасности в банковской сфере регулируются Банком России, и с каждым годом степень регулирования становится все больше. Ранее кредитные организации могли умалчивать о происходящих инцидентах информационной безопасности, сейчас им вменено в обязанность сообщать о них в ФинЦЕРТ в течение трех часов с момента возникновения. Обмен с подразделением регулятора данными о текущем состоянии информационной системы происходит в режиме онлайн, с выделенного рабочего места.

Основные стандарты, принимаемые в целях обеспечения информационной безопасности банковской системы, регулируют:

  • работу с биометрическими персональными данными. Создание условий для их хранения и избегание утечек становятся основными задачами в области обеспечения информационной безопасности банковской системы. Сферу регулируют Методические рекомендации, утвержденные Банком России в апреле 2019 года. Они рассматривают банковскую безопасность в общем и механизм передачи данных в Единую систему межведомственного взаимодействия (СМЭВ) с использованием средств криптографической защиты. Утрата биометрических данных поможет злоумышленникам при помощи этих идентификаторов получить несанкционированный и беспрепятственный доступ к банковским услугам и активам клиентов;
  • общие принципы защиты информации в банковской сфере регулирует ГОСТ Р-57580.2, утвержденный Росстандартом в 2018 году;
  • управление инцидентами информационной безопасности регулирует Стандарт Банка России, также утвержденный в 2018 году. Он обращает внимание на необходимость информировать регулятора обо всех выявленных инцидентах. В свою очередь, ЦБР готов оповещать банки обо всех аналогичных ситуациях, происходивших у других участников системы;
  • аудит информационной безопасности и методику оценки качества управления информационными процессами.

Одним из важных моментов поддержания информационной безопасности в сфере финансов становится организация форумов и конференций, где участники озвучивают актуальные проблемы сферы и делятся опытом. Ежегодный форум «Информационная безопасность финансовой сферы» собирает представителей регулятора, кредитных организаций, отечественных и зарубежных поставщиков ИТ-решений. Обсуждаются темы, связанные с развитием сотрудничества в области защиты информации, обеспечением безопасности финтеха, организацией киберустойчивости финансовых организаций, новые законодательные инициативы в области информационной безопасности, выдвигаемые банком России и самими кредитными организациями.

Стандарты безопасности

Основным документом регулятора, определяющим нормы, действующие в сфере банковской информационной безопасности, стал Стандарт «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» СТО БР ИББС-1.0. Банк России, рекомендующий кредитным учреждениям скрупулезное выполнение требований, продекларировал, что целями принятия нормативного документа стали:

  • повышение доверия населения и бизнеса к банковской системе страны;
  • повышение стабильности функционирования кредитных организаций банковской системы Российской Федерации и системы в целом;
  • достижение адекватности мер по защите от реальных угроз информационной безопасности;
  • предотвращение и (или) снижение ущерба от инцидентов информационной безопасности.

Банк предусмотрел поэтапное внедрение мер, направленных на исключение рисков несанкционированных переводов денежных средств. Штрафовать за невыполнение требований ЦБ РФ начнет только с лета 2020 года. За полтора года все аспекты ИБ в коммерческом банке должны соответствовать требованиям ГОСТа.

Риск нарушения информационной безопасности при аутсорсинге услуг

Отдельным стандартом регулирования ИБ в банковской сфере стал стандарт, устанавливающий критерии информационной безопасности при аутсорсинге ИТ-услуг. Стандарт был введен в 2018 году приказом № 568. Кредитные организации часто, не доверяя компетенции ИТ-службы, поручают выстраивать процессы обеспечения информационной безопасности привлеченным специалистам. 

Цели аутсорсинга:

  • повышение эффективности бизнес-процессов;
  • экономия и более рациональное размещение ресурсов;
  • повышение прозрачности и инвестиционной привлекательности бизнеса банка при размещении акций и облигаций на рынках ценных бумаг;
  • снижение зависимости от ресурсных ограничений.

Но приглашение внешних специалистов часто увеличивает риск утечек информации, как клиентской, так и связанной с системой организации безопасности данных в кредитном учреждении. Этот риск многоплановый и состоит из ряда факторов:

  • усиление зависимости функционирования банка от деятельности внешнего поставщика услуг, что критично при управлении платежными системами, работающими в режиме онлайн;
  • сбои в работе объектов инфраструктуры, если они находятся в зоне контроля поставщика услуг;
  • неверная оценка качества работы организации-аутсорсера;
  • неточности в договоре на поставку услуг, которые ограничивают деятельность банка с учетом требований ИБ.
  • Системно эти проблемы создают критические угрозы:
  • несанкционированного доступа внешних пользователей к информационным массивам;
  • доступа третьих лиц к финансовым ресурсам банка и клиентов;
  • утраты контроля за бизнес-процессами;
  • несоблюдения требований закона и регулятора.

ЦБ РФ предупреждает банки, что реализация угроз может привести к инцидентам информационной безопасности, следствием которых станет потеря существенных сумм. При этом организация – поставщик услуг может оказаться не способной компенсировать ее в полном объеме, размер потери способен оказаться равным остатку средств на корреспондентском счету в ЦБ РФ, что сравнимо с размером уставного капитала. 

Для снижения риска ЦБ устанавливает обязательные требования к подрядчикам:

  • принять внутренний распорядительный документ – Политику аутсорсинга, которая определит ограничения на работу поставщика услуг;
  • аутсорсинг должен производиться по утвержденной программе, предусматривающей внешний и внутренний контроль;
  • все мероприятия в рамках аутсорсинга должны соответствовать нормативным требованиям ЦБ России;
  • поставщик услуг должен иметь все необходимые лицензии;
  • в договоре с ним должна быть прописана ответственность, связанная с любым названным в Стандарте типом риска;
  • необходимо контролировать все действия, связанные с трансграничной передачей информации;
  • все функции, переданные на аутсорсинг, должны рассматриваться как одна из частей деятельности банка и контролироваться службами внутреннего контроля.

При соблюдении этих условий риск утраты информации и активов снижается, устойчивость банковской системы Российской Федерации и доверие к ней граждан повышаются.

Роль ФинЦЕРТ

Особую роль в структуре Банка России играет ФинЦЕРТ – подразделение, отвечающее за мониторинг и предотвращение критических инцидентов информационной безопасности, чьи сотрудники специализируются в сфере защиты информации. 
Подразделение регулятора разработало и утвердило основные принципы обеспечения информационной безопасности банковской системы на 2019-2020 годы:

  • улучшение правового регулирования системы, уточнение действующих нормативных актов;
  • обеспечение ИБ и кибербезопасности информационной инфраструктуры банков;
  • обеспечение ИБ и кибербезопасности ПО, используемого для защиты информационных активов и персональных данных клиентов;
  • соблюдение правил ИБ при разработке и внедрении технологий обработки данных;
  • улучшение качества финансовых технологий;
  • повышение доверия населения к финансовой системе в целом;
  • использование возможностей международного сообщества.

За три года работы подразделения по этим направлениям уровень рисков и количество инцидентов кибербезопасности удалось снизить. Действия регулятора и банковского сообщества направлены на структурное и целенаправленное обеспечение безопасности в банковской системе, это позволяет гарантировать устойчивость экономики в целом.

04.02.2020

ПОДПИШИТЕСЬ НА ПОЛЕЗНЫЕ СТАТЬИ

Рассказываем о тенденциях отрасли, утечках и способах борьбы с ними