the Retail Finance

Культовый журнал новой финансовой элиты

Сравнение  в пользу

 
Николай Кромин,
советник генерального директора, Компания «Инверсия»
 
Динамичное развитие информационных технологий привело к тому, что почти все средние и крупные участники финансового рынка сегодня сталкиваются с необходимостью собирать и хранить большие объемы данных. В то же время анализ этих данных и их грамотное применение дарит бизнесу целый спектр новых возможностей и конкурентных преимуществ. Однако с учетом того, что большинство этих данных относятся к категории коммерческой и банковской тайны, очень важно уделить повышенное внимание проблемам защиты хранимой информации.
 
Еще Натан Ротшильд сказал:
 «Кто владеет информацией – 
тот владеет миром».
 
Для решения соответствующей проблемы в финансовых структурах появилась отдельное направление деятельности – «Обеспечение информационной безопасности». Суть данного направления в том, чтобы независимо от области применения защищать информационные ресурсы от случайных, злонамеренных или чрезвычайных внутренних/внешних воздействий. 
 
Направление «Обеспечение информационной безопасности» строится на трех главных принципах: 
 
1. Конфиденциальность. Обеспечение доступа к информации только авторизованным пользователям.
 
2. Целостность. Обеспечение достоверности и полноты информации и методов ее обработки.
 
3. Доступность. Обеспечение доступа к информации и связанным с ней активам авторизованных пользователей по мере необходимости.
 
Для банков и прочих финансовых организаций, которые являются важным звеном в структуре государства, «кровеносной системой» экономики, обеспечивающей и регулирующей движение финансовых потоков, данная тема особенно актуальна. В их базах хранятся персональные данные клиентов, данные о финансовых и нефинансовых транзакциях, договорах, сделках и пр. 
 
Получить доступ к этой информации – огромный соблазн для злоумышленников, которые сегодня очень хорошо научились использовать возможности и последние достижения информационных технологий. 
 
В России проблема информационной безопасности банков и других финансовых институтов выведена на государственный уровень. Инициативу по разработке, регулированию и контролю требований по обеспечению информационной безопасности взял на себя Центральный банк Российской Федерации.
 
Начиная с 2004 года ЦБ РФ начал разрабатывать и совершенствовать пакет отечественных отраслевых стандартов по информационной безопасности СТО БР ИБСС. При создании стандарта ЦБ по ИТ-безопасности был тщательно изучен лучший мировой опыт. Пакет объединяет в себе основные положения стандартов по управлению ИТ-безопасностью (ISO 17799, 13335), который регламентирует описание жизненного цикла программных средств и критерии оценки ИТ-безопасности (ГОСТ Р ИСО/МЭК 15408-1-2-3). 
 
В процессе применения стандарт несколько раз корректировался и дополнялся, периодически к нему, с учетом законодательных изменений, выпускались новые разъясняющие документы. 
 
Позднее весь обобщенный опыт был учтен в новом документе – в 2017 году был выпущен Государственный стандарт ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер».
 
Помимо ГОСТа для организации обеспечения информационной безопасности ЦБ РФ был выпущен еще ряд документов, которые не утратили свою силу и на сегодняшний день, а именно:
 
Стандарт Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» (СТО БР ИББС-1.0-2014).
 
Стандарт Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Аудит информационной безопасности СТО БР ИББС-1.1-2007» (СТО БР ИББС-1.1-2007).
 
Рекомендации в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Ресурсное обеспечение информационной безопасности» (РС БР ИББС-2.7-2015). 
 
Рекомендации в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Обеспечение информационной безопасности на стадиях жизненного цикла автоматизированных банковских систем» (РС БР ИББС-2.6-2014) и ряд других.
 
Рассмотрев документы, регулирующие принципы информационной безопасности, можно выделить два типа задач: 
 
1. Решаемые организационными и/или техническими способами.
 
2. Относящиеся к программному обеспечению:
 
a) требования к обеспечению ИБ внешних приложений, которыми пользуются клиенты, такие как ДБО, интернет-банкинг, мобильный банкинг, выделенные фронтальные решения;
 
b) требования к обеспечению ИБ финансовых и нефинансовых данных, хранящихся непосредственно в АБС, и организации их защиты от умышленных или неумышленных, некорректных или ошибочных действий пользователей – сотрудников банка.
 
Предметом анализа, проводимого в настоящей статье, является документ РС БР ИББС-2.6-2014 «Приложение 1. Типовые недостатки в реализации функций безопасности автоматизированных систем». В этом документе ЦБ РФ сформулировал основные недостатки АБС в части обеспечения информационной безопасности.
 
Так как документ достаточно обширен, полный анализ в статье не проводится, выделены некоторые недостатки и приведены рекомендации по их устранению, в частности реализованные в ЦАБС «БАНК 21 ВЕК». 
 
Управление доступом
 
 
Идентификация и аутентификация
 

Регистрация событий и просмотр журналов регистрации событий

 
Комментарии (0)добавить комментарий
Ваш комментарий
Автор
Введите число на картинке

  • курсы
Знач. Изм.
USD ЦБ РФ 22/01 66.36 66.3634
EUR ЦБ РФ 22/01 75.55 75.5481