Применение технологий электронного банкинга: риск-ориентированный подход - Л. Лямин

Рассматриваемая проблематика, как видно из изложенного выше, многоаспектна. Поэтому, в частности, службе безопасности (СБ) кредитной организации, которая состоит, как правило, из подразделений информационной, экономической и физической безопасности, целесообразно было бы регулярно проводить скрупулезный анализ не только информационных ресурсов самой организации, ядром которых являются ее БАС и базы банковских и клиентских данных, но также и всей информации, угрозы безопасности которой могут негативно повлиять на финансовое состояние, статус, имидж и другие характеристики организации и на интересы ее клиентов. Состав ресурсов такого рода определяется их значимостью в перечисленных отношениях, включая сохранение банковской тайны и защиту персональных данных. При этом целесообразно учитывать, что критичными для клиентов могут оказаться различные варианты НСД к банковской информации: от массивов данных бухгалтерского учета до сведений о фактах осуществления тех или иных банковских операций и сделок. Поэтому, как часто пишут, «специальное внимание» целесообразно уделять, как минимум, тем информационным сечениям в БАС, между БАС и системой ДБО и во внешнем сегменте ИКБД, в которых такой НСД потенциально может иметь место (как, впрочем, и другие атакующие воздействия). Регулярность детального анализа определяется, во-первых, теми интервалами времени, которые связаны с модернизациями банковских автоматизированных систем или нововведениями в банковских информационных технологиях — их темпом, а во-вторых, появлением информации о компрометации средств защиты компьютерных систем.

Что касается организации информационных сечений, то менеджерам различных уровней целесообразно обращать внимание на наличие и содержание ролевых функций персонала кредитной организации при передаче (и, возможно, преобразовании) потоков данных из одной АС в другую. От этого зависит в первую очередь эффективность реализации в кредитной организации процессов управления, обеспечения информационной безопасности и внутреннего контроля, включая финансовый мониторинг. Как правило, без какого-либо хотя бы косвенного участия персонала в процедурах обработки (преобразования) данных при ДБО не обходится даже в случае упоминавшейся ранее автоматизированной сквозной обработки. В таких случаях целесообразно рассматривать, как минимум, следующие вопросы:

— предусмотрено ли наличие функций, выполняемых операторами БАС (или в ряде случаев систем ДБО) либо системными администраторами, обладающими полномочиями доступа к данным из поступающих ордеров клиентов, и если предусмотрено, то с какими правами, и существуют ли возможности несанкционированного считывания (хищения, утечки) информации, ее подмены или уничтожения, имитации проводимых операций как бы от лица легитимных клиентов и т. п.?

— могут ли функции, выполняемые уполномоченными сотрудниками кредитной организации, давать возможности осуществления каких-либо мошенничеств разного рода: хищения финансовых средств (например, за счет подмены реквизитов ордеров), сокрытия сомнительных операций, подлежащих обязательному контролю, несанкционированного использования конфиденциальной информации (ключи или пароли доступа, кодовые фразы, персональные данные клиентов или сведения о проводимых ими операциях и т. д.)?

— внедрены ли в кредитной организации процедуры контроля над функциями, выполняемыми сотрудниками, имеющими доступ к информационным сечениям, и чем гарантируется эффективность этих процедур (используемые методы, внутрибанковские документы, примененные средства, способы и программы проверок, ответственность за проведение проверок и отчетность о проверках, гарантии невозможности реализации сговора или нелегитимных действий, приводящих к нарушению целостности данных и т. п.)?

Эти вопросы тесно связаны, хотя и не пересекаются полностью с проблематикой ОИБ в кредитной организации, включая защиту информационных и процессинговых ресурсов этой организации от неправомерного доступа с применением технологий ДБО.

Упомянутое выше «специальное внимание» может реализовываться в разных формах. Прежде всего логично разработать и внедрить процедуры контроля доступа к файлам данных, проходящим через значимые информационные сечения, например, между системами ДБО и БАС кредитной организации. В таких сечениях могут располагаться операторы какой-либо АС, системные или сетевые администраторы или операторы, специально выделенные для выполнения каких-либо функций. Ни один из таких сотрудников кредитной организации не должен обладать делегированными ему неконтролируемыми полномочиями (особенно при совмещении обязанностей, к примеру, системного администратора и администратора информационной безопасности, что нередко получается «само собой»). Особенно целесообразно ограничивать и контролировать возможные действия, следствием которых может стать нарушение целостности банковских данных или их утечка. В то же время для осознания образования такой «неконтролируемости» в виртуальном пространстве требуется знание о наличии возможностей для этого. Поэтому в материалах зарубежных органов банковского регулирования и надзора часто подчеркивается важность обеспечения следования так называемому принципу «четырех глаз» (двойного независимого параллельного контроля — особенно при принятии ответственных решений), что может быть отнесено ко многим направлениям банковской деятельности (необязательно связанным с информационными технологиями).

Важное значение имеет определение и описание защищаемых ресурсов с указанием их значимости для кредитной организации и ее клиентов. Таким документам лучше придавать статус «для служебного пользования» и разделять права доступа к ним между специалистами разных подразделений (естественно, на разумных основаниях — без ущерба функционированию кредитной организации, ее БАС и СЭБ, а также осуществлению ОИБ, ВК, ФМ и УБР). Анализ уязвимостей в распределенных компьютерных системах кредитной организации необходимо проводить сначала превентивно, а затем как на регулярной, так и на оперативной основе. При внедрении новой ТЭБ его в любом случае следует проводить превентивно в рамках предварительного анализа состава новых компонентов банковских рисков, впоследствии сопоставляя развитие реальной ситуации с прогнозировавшейся. Эта процедура завершается выбором, приобретением и установкой конкретных средств сетевой защиты от угроз, ассоциируемых с ИКБД. Поскольку количество таких угроз постоянно растет, в первую очередь ввиду «успехов» хакерского сообщества, для СБ логично отслеживать «достижения», связанные с «пробоем» средств защиты, к числу которых относятся в первую очередь брандмауэры и прокси-сервера (что было показано на рис. 5.2). Поэтому хорошей практикой считается изучение материалов, представляемых хакерским сообществом на многочисленных web-сайтах, используя их в том числе и для оперативной замены скомпрометированных средств защиты.

Вместе с тем известно, что «идеальных» способов и средств ОИБ в сетевых структурах до настоящего времени не существует. По существу, в современных условиях это обеспечение стало постоянным итеративным процессом: возникновение новых угроз надежности банковской деятельности — в это понятие входит и обеспечение гарантий конфиденциальности информации, обрабатываемой и хранящейся в кредитной организации — приводит к необходимости внедрения и совершенствования средств защиты информационно-процессинговых ресурсов кредитной организации. Каждое из возможных средств защиты характеризуется индивидуальными специфическими недостатками, причем, поскольку «то, что один человек сделал, другой всегда может сломать», со средствами сетевой защиты это происходит почти постоянно, из-за чего становится необходимой разработка специальной «политики управления обновлениями»[144] (или в буквальном смысле — «заплатками»).

Реализующая эту «политику» процедура (Patch Management) определяется как ОИБ компьютерных систем с целью противодействия атакам на компьютерные системы организации и обеспечения целостности ее АПО. По сути это компонент управления его модернизацией, включающий функции оценки текущей ситуации в отношении устойчивости АПО АС к атакам, приобретения средств, необходимых для коррекции выявленных недостатков, тестирования и включения «заплаток» в состав АПО. В обеспечение надежности описанной процедуры обычно разрабатывается специальное документарное обеспечение, хотя и не столь значительное по объему, как документы, регламентирующие реализацию внутрибанковских процессов (объем зависит от «насыщенности» кредитной организации автоматизированными системами), но предназначенное для охвата всех компонентов вычислительной сети, которые могут потребовать модернизации.