чем обеспечивается информационная безопасность банка
Информационная безопасность банковских безналичных платежей. Часть 7 — Базовая модель угроз
В данной статье представлена базовая модель угроз информационной безопасности банковских безналичных переводов, осуществляемых через платежную систему Банка России.
Угрозы, представленные здесь, справедливы практически для любого банка в Российской Федерации, а также для любых других организаций, использующих для осуществления расчетов толстые клиенты с криптографическим подтверждением платежей.
Настоящая модель угроз предназначена для обеспечения практической безопасности и формирования внутренней документации банков в соответствии с требованиями Положений Банка России № 552-П от 24 августа 2016 г. и № 382-П от 9 июня 2012 г.
Применение сведений из статьи в противоправных целях преследуется по закону.
Методика моделирования
Структура модели угроз
Одним из наиболее удачных на сегодняшний день способов моделирования компьютерных атак является Kill chain. Данный способ представляет компьютерную атаку как последовательность этапов, выполняемую злоумышленниками для достижения поставленных ими целей.
Описание большинства этапов приведено в MITRE ATT&CK Matrix, но в ней нет расшифровки конечных действий — «Actions» (последнего этапа Kill chain), ради которых злоумышленники осуществляли атаку и которые, по сути, и являются кражей денег у банка. Другой проблемой применения классического Kill chain для моделирования угроз является отсутствие в нем описания угроз, связанных с доступностью.
Данная модель угроз призвана компенсировать эти недостатки. Для этого она формально будет состоять из двух частей:
Методика формирования модели угроз
Основными требованиями к создаваемой модели угроз были:
Порядок применения данной модели угроз к реальным объектам
Применение данной модели угроз к реальным объектам следует начинать с уточнения описания информационной инфраструктуры, а затем, в случае необходимости, провести более детальную декомпозицию угроз.
Порядок актуализации угроз, описанных в модели, следует проводить в соответствии с внутренними документами организации. В случае отсутствия таких документов их можно разработать на базе методик, рассмотренных в предыдущей статье исследования.
Особенности оформления модели угроз
В данной модели угроз приняты следующие правила оформления:
Базовая модель угроз информационной безопасности банковских безналичных платежей
Объект защиты, для которого применяется модель угроз (scope)
Область действия настоящей модели угроз распространяется на процесс безналичных переводов денежных средств через платежную систему Банка России.
Архитектура
В зону действия модели входит следующая информационная инфраструктура:
«Участок платежной системы Банка России (ПС БР)» — участок информационной инфраструктуры, подпадающий под действие требований Положения Банка России от 24 августа 2016 г. № 552-П. Критерий отнесения информационной инфраструктуры к участку ПС БР — обработка на объектах информационной инфраструктуры электронных сообщений в формате УФЭБС.
«Канал передачи электронных сообщений» включает в себя канал связи банка с ЦБ РФ, построенный через специализированного оператора связи или модемное соединение, а так же механизм обмена электронными сообщениями, функционирующий с помощью курьера и отчуждаемых машинных носителей информации (ОМНИ).
Перечень помещений, входящих в зону действия модели угроз, определяется по критерию наличия в них объектов информационной инфраструктуры, участвующих в осуществлении переводов денежных средств.
Ограничения модели
Настоящая модель угроз распространяется только на вариант организации платежной инфраструктуры с АРМ КБР, совмещающим в себе функции шифрования и электронной подписи, и не рассматривает случая использования АРМ КБР-Н, где электронная подпись осуществляется «на стороне АБС».
Угрозы безопасности верхнего уровня
У1. Прекращение функционирования системы безналичных переводов.
У2. Кража денежных средств в процессе функционирования системы безналичных переводов.
У1. Прекращение функционирования системы безналичных переводов
Потенциальный ущерб от реализации данной угрозы можно оценить на основании следующих предпосылок:
При декомпозиции данной угрозы учитывались следующие документы:
У2. Кража денежных средств в процессе функционирования системы безналичных переводов
Кража денежных средств в процессе функционирования системы безналичных переводов представляет собой кражу безналичных денежных средств с их последующим или одновременным выводом из банка-жертвы.
Кража безналичных денежных средств представляет собой несанкционированное изменение остатка на счете клиента или банка. Данные изменения могут произойти в результате:
Нештатное изменение остатка на счете, как правило, сопровождается штатными операциями по расходованию украденных денежных средств. К подобным операциям можно отнести:
Формирование поддельных распоряжений о переводе денежных средств может производиться как по вине клиентов, так и по вине банка. В настоящей модели угроз будут рассмотрены только угрозы, находящиеся в зоне ответственности банка. В качестве распоряжений о переводах денежных средств в данной модели будут рассматриваться только платежные поручения.
В общем случае можно считать, что обработка банком внутрибанковских переводов является частным случаем обработки межбанковских переводов, поэтому для сохранения компактности модели далее будут рассматривать только межбанковские переводы.
Кража безналичных денежных средств может производиться как при исполнении исходящих платежных поручений, так и при исполнении входящих платежных поручений. При этом исходящим платежным поручением будем называть платежное поручение, направляемое банком в платежную систему Банка России, а входящим будем называть платежное поручение, поступающие в банк из платежной системы Банка России.
У2.1. Исполнение банком поддельных исходящих платежных поручений.
У2.2. Исполнение банком поддельных входящий платежных поручений.
У2.3. Нештатное изменение остатков на счете.
У2.1. Исполнение банком поддельных исходящих платежных поручений
Основной причиной, из-за которой банк может исполнить поддельное платежное поручение является его внедрение злоумышленниками в бизнес-процесс обработки платежей.
У2.1.1. Внедрение злоумышленниками поддельного исходящего платежного поручения в бизнес-процесс обработки платежей.
У2.1.1. Внедрение злоумышленниками поддельного исходящего платежного поручения в бизнес-процесс обработки платежей
Декомпозиция данной угрозы будет производиться по элементам информационной инфраструктуры, в которых может произойти внедрение поддельного платежного поручения.
| Элементы | Декомпозиция угрозы «У2.1.1. Внедрение злоумышленниками поддельного исходящего платежного поручения в бизнес-процесс обработки платежей» |
| Операционист банка | У2.1.1.1. |
| Сервер ДБО | У2.1.1.2. |
| Модуль интеграции ДБО-АБС | У2.1.1.3. |
| АБС | У2.1.1.4. |
| Модуль интеграции АБС-КБР | У2.1.1.5. |
| АРМ КБР | У2.1.1.6. |
| Модуль интеграции КБР-УТА | У2.1.1.7. |
| УТА | У2.1.1.8. |
| Канал передачи электронных сообщений | У2.1.1.9. |
Декомпозиция
У2.1.1.1. в элементе «Операционист банка»
Операционист при приеме бумажного платежного поручения от клиента заносит на его основании электронный документ в АБС. Подавляющее большинство современных АБС основано на архитектуре клиент-сервер, что позволяет произвести анализ данной угрозы на базе типовой модели угроз клиент-серверных информационных систем.
У2.1.1.1.1. Операционист банка принял от злоумышленника, представившегося клиентом банка, поддельное платежное поручение на бумажном носителе.
У2.1.1.1.2. От имени операциониста банка в АБС внесено поддельное электронное платежное поручение.
У2.1.1.1.2.1. Операционист действовал по злому умыслу или совершил непреднамеренную ошибку.
У2.1.1.1.2.2. От имени операциониста действовали злоумышленники:
У2.1.1.1.2.2.1. Ссылка: «Типовая модель угроз. Информационная система, построенная на базе архитектуры клиент-сервер. У1. Совершение злоумышленниками несанкционированных действий от имени легитимного пользователя».
Примечание. Типовые модели угроз будут рассмотрены в следующих статьях.
Политика информационной безопасности банка
Защита денег
с помощью DLP-системы
Р епутация кредитного учреждения – нематериальный, но ценный актив. Для того чтобы сохранить доверие клиентов, необходимо обеспечить сохранение банковской и коммерческой тайны. Для оптимального решения этой задачи необходимо разработать политику информационной безопасности банка, которой неукоснительно должны следовать все его служащие.
Нормативно-правовая база для разработки политики
Деятельность банков России регулируется ЦБ РФ. Не мог Центробанк остаться в стороне и от обеспечения политики информационной безопасности, поэтому им были предложены банкам стандарты, описывающие рекомендованные методики защиты конфиденциальной информации. Интересно, что в этих стандартах носителем основной угрозы становятся не хакеры или конкуренты, а сотрудники, инсайдеры. В качестве основного источника риска ЦБР видит конфликт между наемным работником и собственником банка, который и приводит к преднамеренным утечкам информации.
Помимо общих методик защиты организаций банковской системы, работающих почти без изменений с 2007 года, в 2017 году Центральный банк предложил банковской общественности подготовленный им ГОСТ информационной безопасности, а именно стандарт СТО БР ИББС-1.0-2014, который определяет систему обеспечения информационной безопасности (ИБ), как совокупность системы информационной безопасности (СИБ) и системы менеджмента ИБ (СМИБ). Львиная доля ответственности за сохранность данных возлагается, исходя из логики документов, на руководящий состав банковских работников. Это логично, так как их назначение на должность ими согласовывается, и они вправе определять степень их ответственности за наиболее важные вопросы банковской деятельности.
Этапы разработки документа
Деятельность банков строго регламентируется, и источником высшей власти в акционерном обществе или обществе с ограниченной ответственностью становится Совет директоров. Именно его одобрение должно лечь в основу разработки политики информационной безопасности. Обычно в разработке документа непосредственно участвуют:
Все эти подразделения должны работать согласованно, чтобы проект не содержал противоречий или системных ошибок. Иногда вместе с ними задействуются внешние консультанты и разработчики.
Таким образом, процесс разработки политики информационной безопасности банка делится на следующие этапы:
Весь процесс может занять несколько месяцев.
Структура документа
Не существует строго утвержденной структуры политики информационной безопасности коммерческого банка, но многие кредитные организации следуют рекомендациям стандартов. Размер политики может варьироваться от 11 до 200 и более страниц, это зависит от того, как именно принято решение отражать существенные моменты. Часто многие регламенты и методики реализации процессов выносятся в документы второго и третьего уровней. Такие документы предназначены, в отличие от информационной политики банка, для конкретных подразделений, а не для отдельных сотрудников. В документе отражаются средства и методы защиты информационной безопасности, призванные обеспечить конфиденциальность персональных данных, банковской и коммерческой тайны. Отражаются и меры, направленные на защиту технических средств, составляющих периметр информационной безопасности банка.
Термины и определение
Начинается документ всегда с терминов и определений, которые помогут в дальнейшем лучше понимать его содержание. Среди них обязательно встретятся следующие:
Количество терминов может быть ограниченным или очень большим, все зависит от времени, затраченного на разработку банковской политики информационной безопасности и целей ее подготовки.
Правовая основа
Любой внутренний документ коммерческой организации, утверждаемый на уровне ее органов управления, дает отсылки к законам и нормативным документам, регулирующим общие принципы затрагиваемых тем. В этой главе политики обычно ссылаются на:
Иногда дополнительно дается отсылка к стандартам ISO. Но поскольку они часто предлагают конфликтующие с политиками ЦБР нормы и правила, чаще сертификация систем банковской информационной безопасности происходит в каждой из систем отдельно. Именно в этом разделе чаще всего речь идет о том, что политика определяет методологические основы защиты информации и не распространяется на регулирование требуемых для качественной системы защиты программных и финансовых ресурсов.
Объекты защиты
Это один из самых интересных разделов. Он не всегда корреспондируется с перечнем информации, составляющей коммерческую тайну, и в качестве объектов предлагает более технические и относящиеся исключительно к понятиям информатизации активы. Выделяется три группы субъектов защиты:
В этом разделе обязательно описывается структура всех объектов защиты, их размещение, системы связи между ними. Указание этих данных в политике требуется для обеспечения безопасности информационных ресурсов.
Защищаемые информационные базы данных делятся на группы в зависимости от уровня их важности и конфиденциальности, в политике обязательно проводится ранжирование групп и определяются уровни доступа банковского персонала для каждой группы. Обычно выделяются:
Но ранжирование может производиться и по сущности сделок, по их суммам, по наличию в досье государственной тайны, если кредитуются связанные с ней проекты.
Цели и задачи обеспечения безопасности информации
Потребители политики должны знать, с какой целью разработан этот документ, какие права и интересы он защищает. В этом разделе обязательно указываются меры ответственности, предусмотренные действующим законодательством при разглашении или похищении конфиденциальных данных. Выделяются отдельные субъекты, чьи интересы могут пострадать. Среди них:
Все эти лица заинтересованы в защите данных от хищения, изменения, распространения, а также в возможности беспрепятственного доступа к ним на регулярной основе.
Задачи обеспечения информационной безопасности и пути их решения
В этом разделе разработчики должны указать, какие именно цели они поставили перед собой при создании Политики информационной безопасности банка. Среди задач чаще всего называются:
После постановки целей определяются основные пути их достижения. Обычно среди них указываются:
Основные угрозы и их источники
Без этого раздела не обходится ни одна политика информационной безопасности банка, список угроз может меняться и пополняться по мере развития технической оснащенности потенциальных злоумышленников. Все типы угроз делятся на естественные и искусственные, вызванные человеческим фактором. Вторые можно разделить на внешние и внутренние, непреднамеренные и угрозы, вызванные действиями злоумышленников. Среди основных типов угроз информационной безопасности банка:
При этом наиболее катастрофичными результатами конфигурации угроз становятся:
Принципы построения системы информационной безопасности
Без этой главы не обходится ни одна политика. На основе разработанных принципов реализуются методики, оформляемые уже в виде самостоятельных документов. Среди принципов:
Опираясь на эти принципы, специалисты подбирают комплекс технических и организационных мер, который будет приемлемым именно для защиты информационной безопасности в сфере банковской деятельности. Законность является столь же важной основой, что и системность, не существует вероятности использовать средства, не применимые в рамках действующего законодательства Российской Федерации. Защита должна распространяться и на сотрудников, против которых могут применяться меры, не предусмотренные нормами закона.
Особенности политики информационной безопасности банка
В отличие от научных и коммерческих организаций, в распоряжении банка имеются два массива охраняемой законом информации: коммерческая и банковская тайна. Каждый из них имеет собственный режим защиты, что необходимо изложить в политике. Банковская тайна, связанная со счетами и вкладами клиентов, в определенных случаях может быть предоставлена третьим лицам – государственным органам. Но ее непреднамеренное разглашение станет серьезным репутационным ущербом, может привести к возникновению уголовных и гражданских дел.
Также имеет значение структура информационных баз банка. Та система, которая предназначена для учета информации о деятельности банка, формирует ежедневную отчетность для ЦБ РФ, связана напрямую с базами данных Центрального банка по своим каналам связи, но не должна быть связана с сетями Интернет. На практике это правило часто нарушается, и на одном автоматизированном рабочем месте происходит обработка и сугубо конфиденциальной информации, и данных общего характера. Избежать риска проникновения в системы внешних и внутренних злоумышленников поможет многоуровневая иерархическая система доступов. Кроме того, для банка критично важно обеспечение резервного копирования информации, осуществляемое в ежедневном, если не ежечасном, режиме. К информационной среде банка политики безопасности обычно относят:
Все это ставит задачи регулярной и четкой работы систем на одно из важных мест в политике информационной безопасности. Нарушение режима работы может уничтожить результаты труда сотен людей.
Разрабатывая политику информационной безопасности банка, нельзя забывать о том, что документ готовится для сотрудников, а не для того, чтобы храниться среди прочих методических материалов. Он должен просто, понятно и логично отразить основные понятия и дать рекомендации для действий, совершаемых в результате любых информационных атак.
Информационная банковская безопасность и ее необходимость
В нынешнем мире банковская информация, ее цена и значение намного возросли. Именно по этой причине к ней и возникает преступный интерес.
Неотъемлемая часть работы любого банковского учреждения – это обеспечение безопасности хранения данных, наличие регулярной смены и проверки паролей. Также контролируется вероятность утечки информации.
Чтобы совершить кражу и взлом банковской системы, злоумышленник совсем не обязательно должен ворваться в банковское учреждение. Осуществление взлома пользователем сети может производиться с помощью своего персонального компьютера. Таким образом, вопрос информационной банковской безопасности стал достаточно острым.
Меры, помогающие обеспечить защиту банковской информации
В банковских информационных системах и базах данных содержится конфиденциальная информация о банковских клиентах, о состоянии их счетов и о том, какие ими проводятся финансовые операции.
То, что информационная безопасность таких данных должна быть превыше всего – факт очевидный. При этом, если быстрый и своевременный обмен и обработка информации отсутствуют – произойдет сбой банковской системы. Поэтому необходимо наличие целой структуры, благодаря которой возможно обеспечение защиты банковской информации и конфиденциальности клиентской базы.
Меры по защите данных такого типа должны осуществляться последовательно:
Банком может полностью осуществляться его деятельность лишь тогда, когда есть налаженный обмен внутренними данными и присутствует надежная защитная система. Оборудование такой защиты банковских объектов обладает различными формами.
Специалистами в сфере обеспечения информационной банковской безопасности могут создаваться как разновидности локальных систем, так и централизованных защитных программ.
При выборе конкретной защитной формы стоит уточнить следующее: нужно продумать вопрос о всевозможных способах взлома и утечки данных. В случае грамотного и профессионального подхода к обеспечению безопасности работа всех банковских отделений будет слаженной – а, значит, финансовые системы будут функционировать беспрерывно.
Комплекс защитных мер, направленный на предотвращение нарушения конфиденциальности данных обладает следующими конкретными действиями:
Чтобы открыть ООО – необходимо наличие учредителей. Учредитель – любое юридическое лицо, то есть какая-либо фирма, либо же физическое лицо, то есть гражданин.
Решившись на открытие своей фирмы, и составляя бизнес-план, большинство граждан не знают, что именно им необходимо проделать для получения государственной регистрации.
Доступ к банковским данным защищен с помощью идентификационной системы, то есть ее охраняют пароли или электронные ключи. Работа с сотрудниками, пользующимися банковскими данными, включает в себя различные инструктажи и слежку за выполнением нужных регламентов.
Каналы и сервера подлежат строгому учету, также есть меры, направленные на обеспечение технической защиты информации и банковской безопасности – то есть защищаются резервные копии, обеспечивается бесперебойное питание оборудования, обладающего ценной информацией, ограничивается доступ к сейфам.
Чтобы анализировать, насколько эффективны принятые меры, необходимо ведение учета или записи, благодаря которым будет отмечаться работоспособность и действенность используемых средств защиты информации в банковском учреждении.
Принципы информационной безопасности банка
Несмотря на то, что возможностей взломать и забрать информацию всегда много, обеспечение безопасности банковских данных – процедура вполне реальная.
Благодаря наличию современных методов теперь усовершенствована система криптографии, а также реализована такая мера, как электронная цифровая подпись (ЭЦП). Она так называемый аналог и заменяет собственноручную подпись. Также она обладает непосредственной привязкой к электронному ключу, хранящемуся у владельца подписи. У этого ключа две части: открытая и закрытая, а также есть защита – наличие специального кода.
Система безопасности, в общем, является непрерывным процессом идентификации, анализа и контроля.
Существуют основные принципы, согласно которым обеспечивается информационная безопасность банка:
Также стоит отдельно выделить, насколько важна тщательная и регулярная работа с персоналом, так как обеспечение безопасности информации зависит и от того, насколько качественно и аккуратно выполняются требования службы безопасности.
Угрозы информационной безопасности банка
Человеческий фактор – основная и главная угроза информационной безопасности, напрямую зависящий от человеческих отношений. Утечка информации чаще всего происходит во вине банковского персонала.
Как показывает статистика, примерно 80% правонарушений происходит из-за банковских сотрудников – из-за тех, кто обладает доступом к данным.
При этом обеспечение внутренней информационной безопасности банка, является крайне необходимой мерой как для того, чтобы защитить конфиденциальность данных от обычной халатности, так и для того, чтобы исключить намеренный взлом баз данных.
Есть не только внутренний фактор – но и наличие технической угрозы информационной безопасности, как банковских организаций, так и компаний. Технические угрозы – это взломы информационных систем, лицами, не имеющими прямого доступа к системе. Это могут быть криминальные или конкурирующие организации.
Снимают и получают информацию в этом случае с помощью особенной аудио или видео аппаратуры. Современная популярная форма взлома – когда применяются электрические и электромагнитные излучения. Злоумышленники за это время получают конфиденциальную информацию, ЭЦП.
Опасность и угроза для программного обеспечения исходит и от различных вредоносных для носителя информации компьютерных вирусов, программных закладок, способных привести к разрушению введенных кодов.
Самый известный способ решения подобных компьютерных проблем – установка лицензионных антивирусных программ, успешно справляющихся с данной проблемой.
В защите банковской информации от внутренних и внешних утечек может помочь поможет грамотный специалист в этой области и программное обеспечение, которое будет заниматься отслеживанием и блокировкой передачи информации на съемные носители (например — флешки).
Что необходимо, чтобы успешно автоматизировать склад: четко представлять складские процессы, наличие достаточных исходных данных о продукции, наличие интегрируемой информационной корпоративной системы и подготовленного персонала.
Если на складе не будут работать такие высококвалифицированные специалисты, как: заведующий складом, кладовщики, грузчики и уборщицы, то и эффекта ожидать будет довольно сложно.
Важное защитное направление – своевременное распознавание и ограничение утечек различного вида.
Подводя итоги можно сказать, что поскольку банковские системы очень важны в экономическом смысле – их информационная безопасность обязательно будет обеспечена. Так как информация, находящаяся в базе данных банков – это реальная материальная стоимость, то требования к хранению и обработке этой информации всегда будут повышенными.
Специфика и особенности системы обеспечения безопасности, само собой, индивидуальны для любой банковской организации в отдельности, поэтому комплексное и профессиональное предоставление систем защиты – необходимое условие работы всей банковской системы.