С чего начинается информационная безопасность банка. Информационная безопасность банков

Банковская деятельность связана с обработкой больших объемов информации, основную часть которых составляют конфиденциальные данные клиентов.

К ним относится личные данные пользователей, копии их документов, номера счетов, данные о проведенных операциях, транзакциях и пр.

В процессе работы с этой информацией важно, чтобы она не попала в руки злоумышленников, не была изменена или утеряна.

Учитывая важность архивов, хранимых в информационной среде банка, существенно возросла их ценность и требования к защите банковской информации.

Сложность поддержки безопасности данных заключается в том, что банки должны обеспечить доступность к этим данным их пользователям и блокировать любые попытки получить информацию чужими людьми и злоумышленниками.

Чтобы успешно реализовать эту задачу потребуется комплекс мер, предназначенный для поддержки конфиденциальности данных, сохранности и безопасности обрабатываемой информации, а также безотказный доступ к данным во время проведения финансовых операций.

Чем важна информационная безопасность в банковских учреждениях

Чтобы понять какую роль играет информационная безопасность в банковской деятельности, следует разобраться в том, какая данные банка требуют защиты и почему.

Важность банковской информационной безопасности

К банковским данным относится совокупность информации, которая обеспечивает возможность представления финансового учреждения в информационной среде, а также данные, обеспечивающие возможность проведения финансовых операций между клиентом и банком, а также между несколькими клиентами, использующих банковское учреждение в качестве финансового посредника.

Существует два вида банковской информации – это те данные, которые используются в информационной среде с целью представления деятельности финансового учреждения для его клиентов, а также совокупность данных клиентов финучреждения как юридических, так и физических.

Несмотря на то, что одна информация является открытой, а вторая закрытой, обе они требуют надежной защиты.

1. Безопасность открытых данных заключается в том, что эта информация всегда должна быть достоверной и подаваться клиентам в том ракурсе, который выбрал для себя банк. Если по каким-то причинам эти данные будут видоизменены или подменены, то банк может потерпеть не только существенные финансовые потери, а также и удар по своему имиджу и репутации.
2. Опасность завладения закрытыми данными заключается в том, что если она попадет в руки злоумышленников, то они могут использовать ее с целью получения для себя неправомерной финансовой прибыли. Это может осуществляться путем проведения неправомерных финансовых операций или посредством вымогательства с угрозой распространить какую-либо скрытую информацию о клиентах банка.

Как видим, защита информации в банковских системах – это очень важный аспект деятельности финансового учреждения, который всегда должен быть ключевым среди большого перечня задач, с которыми сталкиваются банки.

Попытки доступа к тайной банковской информации

Среди способов несанкционированного доступа к данным банков на сегодня наиболее часто встречаются следующие.

• Физический доступ и последующая кража нужной информации. Вариантов реализовать этот способ очень много, начиная с кражи конфиденциальной информации одним из сотрудников банка, который имеет доступ к ней и заканчивая вероятностью вооруженного налета с целью получения важных архивов, баз данных и пр.
• Второй метод воровства заключается в том, что архивы можно неправомерно получить во время создания резервных копий. Всем известно, что любое учреждение делает резервирование и архивирование важных данных, чтобы не потерять их во время сбоя информационной системы или какой-нибудь более глобальной катастрофы. Большинство банковских учреждений архивируют свою информацию с помощью стримеров, записывая данные на ленту, которая хранится в отдельных помещениях. Во время процесса транспортирования лент и их хранения возможно копирование данных и распространение их вне информационной среды банка.
• К одним из наиболее распространенных и вероятных способов утечки информации относится несанкционированный доступ к данным через права администратора информационной системы или посредством специальных программ, которые позволяют обойти защиту и получить доступ к нужной информации. Иногда сотрудники могут делать это даже непреднамеренно, например, беря работу домой. Как бы и ничего опасного, но вероятность того, что данные попадут в руки недоброжелателю, в таком случае, существенно возрастает.
• Еще одним способом получить засекреченную информацию является распространение разного рода программ-шпионов, вирусов, плагинов, специализированного софта.

Методы защиты банковской информации

Учитывая перечисленные выше угрозы потери важных данных, должны выбираться методы и средства защиты банковской информации.

Защита от физического доступа

Большинство банков уделяют достаточно большое внимание уровню физической безопасности своей информации.

Начинается этот процесс с того, что места, где хранятся информационные архивы и устанавливаются банковские сервера, имеют более высокий уровень защищенности от проникновения и возможности пребывания там сторонних физических лиц.

Кроме этого, активная работа ведется и по подбору персонала, который будет иметь доступ к конфиденциальным данным банка и его клиентов. Реализация перечисленных факторов существенно снижает вероятность кражи архивов, но не исключает ее полностью.

Создание резервных копий

Резервирование информации и запись ее в архивы – это важный шаг чтобы сохранить нужные для себя данные.

Но чтобы исключить вероятность их попадания в руки злоумышленников, этот процесс должен происходить с применением систем шифрования.

Использование современной криптографической защиты сведет к нулю вероятность того, что даже украденная информация будет кем-то использована.

На сегодня есть много различных программных продуктов, которые обеспечивают шифрование данных в момент переноса их в архив.

Весь процесс полностью автоматизирован и не несет для банка существенных затрат в финансовом плане и в плане потребности дополнительных сотрудников.

Также важно, чтобы в процессе создания зашифрованного архива использовались хранилища, построенные на физических накопителях, а не на виртуальных.

Это гарантирует еще один уровень защищенности информации, ведь виртуальное хранилище легче взломать, нежели реальное.

Предотвращение инсайдерской информации

Предотвратить утечку инсайдерской информации порой бывает труднее всего. Защитить ее с помощью различных и программных средств – это только половина решения поставленной задачи. В этом случае ключевую роль играет человеческий фактор.

Именно через сотрудников очень часто происходит потеря важных данных, что впоследствии влияет на будущее и текущую деятельность банка.

Поэтому подбор кадров, эффективная работа внутренней службы безопасности, а также использование системы ограничения доступа позволит минимизировать риски потери инсайдерской информации.

Заключение

Выше были рассмотрены основные способы защиты банковской информации.

Чтобы гарантировать 100-процентую ее защиту важно использовать все существующие на сегодня способы в комплексе.

Учитывая, что киберпреступность в последнее время развивается очень сильно и защитить информацию становится все труднее, важно, чтобы этим процессом занимались профессионалы своего дела.

Они помогут подобрать правильные аппаратные и программные средства, а также создадут верную стратегию защиты данных в конкретной информационной среде банка.

Видео: Правила защиты банковской карты от мошенничества

ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ БАНКА

С.С. МЫТЕНКОВ

Как известно, со времени своего появления банки неизменно вызывали преступный интерес. И этот интерес был связан не только с хранением в кредитных организациях денежных средств, но и с тем, что в банках сосредоточивалась важная и зачастую секретная информация о финансовой и хозяйственной деятельности многих людей, компаний, организаций и даже государств.

В наши дни в связи со всеобщей информатизацией и компьютеризацией банковской деятельности значение информационной безопасности банков многократно возросло. Еще 30 лет назад объектом информационных атак были данные о клиентах банков или о деятельности самого банка. Тогда такие атаки были редкими, круг их заказчиков был очень узок, а ущерб мог быть значительным лишь в особых случаях. В настоящее время в результате повсеместного распространения электронных платежей, пластиковых карт, компьютерных сетей, стремительно растущей популярности услуг, предоставляемых клиентам посредством Интернет-технологий, объектом информационных атак стали непосредственно денежные средства как банков, так и их клиентов. Совершить попытку хищения может любой - необходимо лишь наличие компьютера, подключенного к сети Интернет. Причем для этого не требуется физически проникать в банк, можно «работать» и за тысячи километров от него.

Например, в августе 1995 г. в Великобритании был арестован 24-летний российский математик Владимир Левин, который при помощи своего домашнего компьютера в Петербурге сумел подобрать ключи к системе банковской защиты одного из крупнейших американских банков Citibank и попытался снять с его счетов крупные суммы. По сведениям московского представительства Citibank, до тех пор подобное никому не удавалось. Служба безопасности Citibank выяснила, что у банка пытались похитить 2,8 млн дол., но контролирующие системы вовремя это обнаружили и заблокировали счета. Украсть же Владимиру Левину удалось лишь

400 тыс. дол. для получения которых он выехал в Англию, где и был арестован.

Компьютеризация банковской деятельности позволила значительно повысить производительность труда сотрудников банка, внедрить новые финансовые продукты и технологии. Однако прогресс в технике преступлений шел не менее быстрыми темпами, чем развитие банковских технологий.

В настоящее время свыше 90% всех преступлений в этой сфере связана с использованием автоматизированных систем обработки информации банка (АСОИБ). Следовательно, при создании и модернизации АСОИБ банкам необходимо уделять пристальное внимание обеспечению ее безопасности.

Именно эта проблема является сейчас наиболее актуальной и, увы, наименее исследованной. Если в обеспечении физической и классической информационной1 безопасности давно уже выработаны устоявшиеся подходы (хотя развитие происходит и здесь), то в связи с частыми радикальными изменениями в компьютерных технологиях методы безопасности АСОИБ требуют постоянного совершенствования и обновления. Как показывает практика, не существует сложных компьютерных систем, не содержащих ошибок. А поскольку идеология построения крупных АСОИБ регулярно меняется, то исправления найденных ошибок и «дыр» в системах безопасности хватает ненадолго, так как новая компьютерная система приносит новые проблемы и новые ошибки, требуется адекватная перестройка и системы безопасности.

Особенно актуальна данная проблема в России. В западных банках программное обеспечение (ПО) разрабатываются конкретно под каждый банк, и устройство АСОИБ во многом является коммерческой тайной. В России получили рас-

1 Под классической информационной безопасностью понимается система разделения прав доступа к инф ормации, мероприятия по защите от прослушивания, предотвращение утечек со стороны персонала и другие меры, непосредственно не связанные с АСОИБ.

пространение «стандартные» банковские пакеты, информация о которых широко известна, что облегчает несанкционированный доступ в банковские компьютерные системы. Причем, во-первых, надежность «стандартного» ПО ниже из-за того, что разработчик не всегда хорошо представляет конкретные условия, в которых этому ПО придется работать, а во-вторых, некоторые российские банковские пакеты не удовлетворяли условиям безопасности. Например, ранние версии (которые и по сей день эксплуатируются в небольших банках) самого популярного российского банковского пакета требовали наличия дисковода у персонального компьютера и использовали ключевую дискету как инструмент обеспечения безопасности. Такое решение, во-первых, технически ненадежно, а во-вторых, одно из требований безопасности АСОИБ - закрытие дисководов и портов ввода-вывода в компьютерах сотрудников, не работающих с внешними данными.

Для банков (в отличие от других предприятий) информационная безопасность имеет решающее значение. Не следует забывать и о развитии банковских информационных технологий (ИТ), поскольку именно эти технологии во многом определяют систему информационной безопасности банка.

Рассмотрим несколько схем (рис. 1-6), которые иллюстрируют основные тенденции в развитии управления информационными технологиями в коммерческом банке на основе специализированного международного источника Forrester Research. Inc. Эти схемы выбраны в случайном порядке, а ценны тем, что реально существуют. Поэтому рекомендуется учитывать их при выборе и формировании собственной ИТ-стратегии.

Первой тенденцией, которую хотелось бы отметить, является повышение значения экономических параметров при принятии решений по выбору проектов (рис. 1). Представленная схема показывает, что в 80% случаев формальным обоснованием начала технологического проекта являются параметры возврата инвестиций или срок окупаемости проекта.

Другие тенденции касаются изменения роли ИТ-подразделения банка (рис. 2). Представленные данные иллюстрируют, что большинство респондентов отмечают возрастание сотрудничества с бизнес-подразделениями. Также отмечаются такие изменения, как усиление централизации и контроля, направленности на результаты бизнеса и внедрение новых технологий и решений. Только около 10% респондентов отмечают отсутствие ка-ких-либо изменений.

Какой формальный процесс обоснования использует Ваш банк, для того чтобы решить стоит ли начинать технологический проект?

Срок окупаемости

Рис. 1. Тенденции в подходах к обоснованию проектов

НАЦИОНАЛЬНЫЕ ИНТЕРЕСЫ: приоритеты и безопасность

Рост сотрудничества с бизнесом

Усиление централизованного контроля

Увеличение направленности на результаты бизнеса

Увеличение направленности на новые технологии

Отсутствие изменений

Рис. 2. Изменение роли ИТ-подразделения

Следующий график (рис. 3) иллюстрирует все более активное вовлечение высшего руководства банков в процесс принятия ИТ-решений. Как считают 40% респондентов, требуют обязательного обоснования и согласования с высшим руководством любые проекты в области ИТ. А необходимость такого согласования для проектов стоимостью свыше 100 тыс. дол. признают около 87% опрошенных.

В последнее время наблюдается существенное повышение доли сторонних услуг, организации все чаще используют аутсорсинг. При этом они стремятся передавать сторонним организациям практически все неключевые для бизнеса функции (рис. 4). Сегодня в среднем 28% средств ИТ-бюджета достаются сторонним поставщикам решений и услуг, что не может не сказаться на безопасности в целом. Около 40% опрошенных отмечают, что они передали (полностью или частично) другим поставщикам такие свои технологические функции, как разработка, поддержка и эксплуатация приложений.

Следующая схема (рис. 5) показывает тенденции в изменении структуры ИТ-службы и базовых показателей оценки ее деятельности. Среди основных тенденций отмечаются: увеличение централизации, стремление больше соответствовать интересам бизнеса, увеличение количества используемых

□ Какого рода инфроструктурные технологические проекты требуют обоснования для высшего руководства?

Любые 10 тыс.$ и 25 тыс.$ и 50 тыс.$ и 100 тыс.$ 250 тыс.$ 500 тыс.$ 1 млн.$ и 3 млн.$ и 5 млн.$ и 10 млн.$ и проекты больше больше больше и больше и больше и больше больше больше больше больше

Рис. 3. Вовлечение высшего руководства в процесс принятия ИТ-решений

Какой процент Вашего 1Т-бюджета предназначен на оплату внешних поставщиков технологий?

П В ближайшее 2 года - средн. 34% П Сегодня - средн. 28%

Техническое снабжение

Разрабодка, поддержка и эксплуатация Л¥еЬ-приложе ний

Разрабодка, поддержка и эксплуатация приложений

пользователей / рабочих станций

Инфраструктура / back office

Какие технологические функции Вы предоставляете внешним поставщикам (по крайней меречастично)?

Рис. 4. Использование сторонних услуг (аутсорсинт)

Как изменится организационная структура Вашего 1Т- подразделения в ближайшие два года?

Какие показатели Вы используете, чтобы измеритьуспех 1Т- деятельности и продемонстрировать ее ценность?

Разрабодка общих центров обслуживания

Больше контролирующих стандартов

Никак: мы не можем больше меняться

Большее соответствие бизнесу

Никак: существующая структура полностью удовлетворяет нуждам

Увеличится централизация

Показатели, ориентированные на клиентов банка

Снижение издержек

Эффективность бизнеса

Только тактические показатели

Рис. 5. Тенденции в изменении структуры и оценки ИТ-подразделений

стандартов для целей контроля ИТ. В большинстве банков обработка данных осуществляется централизованно с целью снижения затрат и повышения эффективности процессов. Кроме того, существуют и другие доводы в пользу принятия такого решения: повышение эффективности управления и контроля, включая подготовку управленческой отчетности и исключение дублирования инфор-

мации, а также организация информационной безопасности, уменьшение затрат на обслуживание оборудования; сокращение персонала; стандартизация системных и бухгалтерских процедур.

С точки зрения оценки деятельности управления информационных технологий использование тактических показателей отмечается большинством как наиболее часто встречающийся подход,

около коммерческих банков отмечают показатели эффективности бизнеса и снижения издержек.

Еще одной показательной тенденцией в управлении информационными технологиями является увеличение скорости принятия решений при покупке ИТ-решений: подавляющее большинство всех решений в этой области принимаются менее чем за три месяца (рис. 6).

Как видно из сказанного выше, ИТ-стратегия не может быть составлена без понимания бизнес-стратегии и должна на ней базироваться. Стратегический план целесообразно составлять в виде двух документов - долгосрочной стратегии и краткосрочной. Долгосрочная стратегия составляется на 3-5 лет и включает соответствующие задачи и цели, краткосрочная - на срок от 1 до 3 лет.

Оба документа должны регулярно обновляться. Для долгосрочного документа это может происходить на полугодовой основе, для краткосрочного - на ежеквартальной. Все обновления производятся в тесном взаимодействии с бизнес-менеджерами и согласовываются с высшим руководством организации.

Стратегия в области ИТ утверждается высшим руководством банка по результатам совместной предварительной проработки руководителей ИТ-и бизнес-подразделений. Такая работа возможна в

рамках заседаний информационно-технологического (или технического) комитета банка.

Также важнейшим элементом стратегического планирования является контроль за исполнением. Стратегия не должна быть декларативным документом, и основным способом достижения этого является контроль за ее исполнением, в том числе со стороны высшего руководства банка, информационно-технологического комитета.

По данным статистики, наибольшая часть преступлений против банков совершается с использованием инсайдерской информации. В этой связи необходимо уделять постоянное внимание обеспечению информационной безопасности в сфере работы с персоналом.

По мере развития и расширения сферы применения средств вычислительной техники острота проблемы обеспечения безопасности вычислительных систем и защиты хранящейся и обрабатываемой в них информации от различных угроз все более возрастает. Для этого есть целый ряд объективных причин.

Основная из них - возросший уровень доверия к автоматизированным системам обработки информации. Им доверяют самую ответственную работу, от качества которой зависит жизнь и благосостояние многих людей. ЭВМ управляют

Сетевое оборудование

Накопители информации

■ меньше 1 года П меньше 6 месяцев 30% □ меньше 3 месяцев ] 31% □ меньше месяца Р меньше недели

Рис. 6. Скорость принятия ИТ-решений НАЦИОНАЛЬНЫЕ ИНТЕРЕСЫ: приоритеты и безопасность

технологическими процессами на предприятиях и атомных электростанциях, движениями самолетов и поездов, выполняют финансовые операции, обрабатывают секретную информацию.

Сегодня проблема защиты вычислительных систем становится еще более значительной в связи с развитием и распространением сетей ЭВМ. Распределенные системы и системы с удаленным доступом выдвинули на первый план вопрос защиты обрабатываемой и передаваемой информации.

Доступность средств вычислительной техники, и прежде всего персональных ЭВМ, привела к распространению компьютерной грамотности в широких слоях населения. Это, в свою очередь, вызвало многочисленные попытки вмешательства в работу государственных и коммерческих, в частности банковских, систем, как со злым умыслом, так и из чисто «спортивного интереса». Многие из этих попыток имели успех и нанесли значительный урон владельцам информации и вычислительных систем.

В немалой степени это касается разных коммерческих структур и организаций, особенно тех, кто по роду своей деятельности хранит и обрабатывает ценную (в денежном выражении) информацию, затрагивающую к тому же интересы большого количества людей. В банках, когда дело касается электронных платежей и автоматизированного ведения счетов, такая информация в некотором роде и представляет собой деньги.

Целостную картину всех возможностей защиты создать довольно сложно, поскольку пока еще нет единой теории защиты компьютерных систем. Существует много подходов и точек зрения на методологию ее построения. Тем не менее в этом направлении прилагаются серьезные усилия, как в практическом, так и в теоретическом плане, используются самые последние достижения науки, привлекаются передовые технологии. Причем занимаются этой проблемой ведущие фирмы по производству компьютеров и программного обеспечения, университеты и институты, а также крупные банки и международные корпорации.

Известны различные варианты защиты информации - от охранника на входе до математически выверенных способов сокрытия данных от ознакомления. Кроме того, можно говорить о глобальной защите и ее отдельных аспектах: защите персональных компьютеров, сетей, баз данных и др.

Необходимо отметить, что абсолютно защищенных систем нет. Можно говорить о надежности системы, во-первых, лишь с определенной вероятностью, а во-вторых, о защите от определенной ка-

тегории нарушителей. Тем не менее проникновение в компьютерную систему можно предусмотреть. Защита - это своего рода соревнование обороны и нападения: кто больше знает и предусматривает действенные меры, тот и выиграл.

Организация защиты АСОИБ - это единый комплекс мер, которые должны учитывать все особенности процесса обработки информации. Несмотря на неудобства, причиняемые пользователю во время работы, во многих случаях средства защиты могут оказаться совершенно необходимыми для нормального функционирования системы. К основным из упомянутых неудобств следует отнести:

1) дополнительные трудности работы с большинством защищенных систем;.

2) увеличение стоимости защищенной системы;

3) дополнительная нагрузка на системные ресурсы, что потребует увеличения рабочего времени для выполнения одного и того же задания в связи с замедлением доступа к данным и выполнения операций в целом;

4) необходимость привлечения дополнительного персонала, отвечающего за поддержание работоспособности системы защиты.

Современный банк трудно представить себе без автоматизированной информационной системы. Компьютер на столе банковского служащего уже давно превратился в привычный и необходимый инструмент. Связь компьютеров между собой и с более мощными компьютерами, а также с ЭВМ других банков - также необходимое условие успешной деятельности банка: слишком велико количество операций, которые необходимо выполнить в течение короткого периода времени.

В настоящее время в информационной сфере Российской Федерации отмечается сложная криминогенная обстановка. Уязвимость действующих информационных систем и сетей от разнообразных форм неправомерного воздействия определила широкий спектр направлений преступной активности. В период с 2000 по 2004 г. количество зарегистрированных в России преступлений, совершенных с использованием информационных технологий, увеличилось более чем в 9 раз и в прошедшем году превысило 13 тыс. Причем необходимо учитывать не только суммы прямого ущерба, но и весьма дорогостоящие мероприятия, которые проводятся после успешных попыток взлома компьютерных систем.

Услуги, предоставляемые банками сегодня, в немалой степени основаны на использовании

средств электронного взаимодействия банков между собой, банков и их клиентов и торговых партнеров. В настоящее время доступ к услугам банков стал возможен из различных удаленных точек, включая домашние терминалы и служебные компьютеры. Этот факт заставляет отойти от концепции «запертых дверей», которая была характерна для банков 1960-х гг., когда компьютеры использовались в большинстве случаев в пакетном режиме как вспомогательное средство и не имели связи с внешним миром.

Компьютерные системы, без которых не может обойтись ни один современный банк, - источник совершенно новых, ранее неизвестных угроз. Большинство из них обусловлено использованием в банковском деле новых информационных технологий и характерны не только для банков. При этом следует помнить, что во многих странах, несмотря на все увеличивающуюся роль электронных систем обработки, объем операций с бумажными документами в 3-4 раза выше, чем с их электронными аналогами.

Уровень оснащенности средствами автоматизации играет немаловажную роль в деятельности банка и, следовательно, напрямую отражается на его положении и доходах. Усиление конкуренции между банками приводит к необходимости сокращения времени на производство расчетов, увеличения номенклатуры и повышения качества предоставляемых услуг.

Чем меньше времени будут занимать расчеты между банком и клиентами, тем выше станет оборот банка и, следовательно, прибыль. Кроме того, банк более оперативно сможет реагировать на изменение финансовой ситуации. Разнообразие услуг банка (в первую очередь это относится к возможности безналичных расчетов между банком и его клиентами с использованием пластиковых карт) может существенно увеличить число его клиентов и, как следствие, повысить прибыль.

Для подтверждения этого тезиса можно привести несколько фактов:

Потери банков и других финансовых организаций от воздействий на их системы обработки информации составляют около 3 млрд дол. в год;.

Объем потерь, связанных с использованием пластиковых карточек, оценивается в 2 млрд дол. в год, что составляет 0,03-2% от общего объема платежей в зависимости от используемой системы;

27 млн дол. фунтов стерлингов были украдены из Лондонского отделения Union Bank of Switzerland;

5 млн марок украдены из Chase Bank (Франкфурт) ; служащий перевел деньги в банк Гонконга; они были взяты с большого количества счетов (атака «салями»), кража оказалась успешной;

3 млн дол. - банк Стокгольма, кража была совершена с использованием привилегированного положения нескольких служащих в информационной системе банка и также оказалась успешной.

Чтобы обезопасить себя и своих клиентов, большинство банков предпринимают необходимые меры защиты, в числе которых защита АСОИБ занимает не последнее место. При этом необходимо учитывать, что защита АСОИБ банка - дорогостоящее и сложное мероприятие. Так, например, Barclays Bank тратит на защиту своей автоматизированной системы около 20 млн дол. ежегодно.

В первой половине 1994 г. Datapro Information Services Group провела почтовый опрос среди случайно выбранных менеджеров информационных систем. Целью опроса явилось выяснение состояния дел в области защиты. Было получено 1,153 анкеты, на основе которых получены приводимые ниже результаты:

1) около 25% всех нарушений составляют стихийные бедствия;

2) около половины систем испытывали внезапные перерывы электропитания или связи, причины которых носили искусственный характер;

3) около 3% систем испытывали внешние нарушения (проникновение в систему организации);

4) 70-75% - внутренние нарушения, из них:

10% совершены обиженными и недовольными служащими-пользователями АСОИБ банка; - 10%

Совершены из корыстных побуждений персоналом системы; - 50-55% - результат неумышленных ошибок персонала и/или пользователей системы в результате небрежности, халатности или некомпетентности.

Эти данные свидетельствуют о том, что чаще всего происходят не такие нарушения, как нападения хакеров или кража компьютеров с ценной информацией, а самые обыкновенные, проистекающие из повседневной деятельности. В то же время именно умышленные атаки на компьютерные системы приносят наибольший единовременный ущерб, а меры защиты от них наиболее сложны и дорогостоящи. В этой связи проблема оптимизации защиты АСОИБ является наиболее актуальной в сфере информационной безопасности банков.

Существуют два аспекта, выделяющие банки из круга остальных коммерческих систем:

1. Информация в банковских системах представляет собой «живые деньги», которые можно получить, передать, истратить, вложить и т.д.

2. Она затрагивает интересы большого количества организаций и отдельных лиц.

Поэтому информационная безопасность банка - критически важное условие его существования. В силу этого к банковским системам предъявляются повышенные требования относительно безопасности хранения и обработки информации. Отечественные банки также не смогут избежать участи тотальной автоматизации по следующим причинам:

Усиление конкуренции между банками;

Необходимость сокращения времени на производство расчетов;

Необходимость улучшать сервис.

В США, странах Западной Европы и многих других, столкнувшихся с этой проблемой довольно давно, в настоящее время создана целая индустрия защиты экономической информации, включающая разработку и производство безопасного аппаратного и программного обеспечения, периферийных устройств, научные изыскания и др.

Сфера информационной безопасности - наиболее динамичная область развития индустрии безопасности в целом. Если обеспечение физической безопасности имеет давнюю традицию и устоявшиеся подходы, то информационная безопасность постоянно требует новых решений, т.к. компьютерные и телекоммуникационные технологии постоянно обновляются, на компьютерные системы возлагается все большая ответственность.

Статистика показывает, что подавляющее большинство крупных организаций имеют план с правилами доступа к информации, а также план

восстановления после аварий. Безопасность электронных банковских систем зависит от большого количества факторов, которые необходимо учитывать еще на этапе проектирования этой системы. При этом для каждого отдельного вида банковских операций и электронных платежей или других способов обмена конфиденциальной информацией существуют свои специфические особенности защиты. Таким образом, организация защиты банковских систем есть целый комплекс мер, которые должны учитывать как общие концепции, но и специфические особенности.

Очевидно, что автоматизация и компьютеризация банковской деятельности (и денежного обращения в целом) продолжают возрастать. Основные изменения в банковской индустрии за последние десятилетия связаны именно с развитием информационных технологий. Можно прогнозировать дальнейшее снижение оборота наличных денег и постепенный переход на безналичные расчеты с использованием пластиковых карт, сети Интернет и удаленных терминалов управления счетом юридических лиц.

Исходя из того, что факторы, определяющие тенденции развития преступности в сфере информационных технологий, в ближайшей перспективе могут не претерпеть существенных изменений, очевидно, не следует ожидать и кординальных изменений криминогенной обстановки в информационной сфере. При сохранении ежегодных темпов роста количества регистрируемых преступлений на уровне, не превышающем 30%, к 2015 г. их число может превысить отметку в 200 тыс. преступлений в год. Впрочем, прогноз может и не оправдаться, если будут приняты адекватные меры с использованием зарубежного опыта?

Статья посвящена обеспечению информационной безопасности в банковских учреждениях на основе отечественных нормативных требований отраслевых стандартов Банка России СТО БР ИББС-1.0-2014. Рассмотрены некоторые аспекты защиты в автоматизированных банковских системах (АБС), вопросы защиты персональных данных в банковской сфере, внутреннего аудита и самооценки на соответствие требованиям ИБ, а также некоторые особенности и проблемные места, касающиеся специфики информационной безопасности в банках.

Введение

Не секрет, что банки являются краеугольным камнем кредитно-финансовой системы государства и важнейшим финансовым институтом современного общества. В связи с этим на них возлагаются особые требования к обеспечению информационной безопасности. До момента появления отечественных отраслевых стандартов информационной безопасности СТО БР ИББС банки управляли безопасностью, основываясь на положениях внутренних нормативных документов. Но и после принятия этих документов осталось много вопросов, требующих своего решения. Некоторые рассматриваемые в статье вопросы связаны с разрешением «узких мест» системы ИБ банков и адаптации политики безопасности под новые требования с учетом уже имеющегося «багажа» в области защиты информации.

Становление стандартов ИБ Банка России

В России до середины 2000-х годов слово «безопасность» преимущественно ассоциировали с управлением «банковскими рисками» , т.е. контролю ситуаций, которые могли бы привести к понесению кредитной организацией потерь и\или ухудшения ее ликвидности вследствие наступления неблагоприятных событий. Таких категорий как «информационная безопасность» или «защита информации» не существовало в принципе. Только лишь федеральный закон «О банковской деятельности» от 02.12.1990 N 395-1 ФЗ в ст.26 Банковская тайна давал ограниченное право и возможность на защиту конфиденциальных сведений в банковской сфере. Спустя больше чем десятилетие отечественные правотрорцы выпустили в свет Федеральный закон «О коммерческой тайне» 29.07.2004 N 98-ФЗ , позволяющий, наконец то, полноценно заявить о новом виде деятельности и отдельной категории вопросов таких как «информационная безопасность банков».

В те же годы в отечественном банковском сообществе наметились тенденции для принятия международных банковских стандартов, в частности стандарта Базель II . В своей трактовке этот стандарт рассматривал информационную безопасность как операционный риск и, в целом, требовал мер по аудиту и контролю за информационной сферой, что являлось абсолютным новшеством для российских банков в то время. Однако и этого было недостаточно -- развитие современных информационных технологий и постоянное стремление предложения новых банковских продуктов на рынок требовали более значительно внимания к данным вопросам.

Следующей эволюционной вехой развития стал 2004 год с выпуском Центральным Банком России первой редакции пакета отечественных отраслевых стандартов по информационной безопасности СТО БР ИБСС . Стандарт ЦБ по ИТ-безопасности считался лучшим отраслевым стандартом на то время, ведь он вобрал в себя лучший мировой опыт и практику, объединяет в себе основные положения стандартов по управлению ИТ-безопасностью (ISO 17799, 13335), регламентирует описание жизненного цикла программных средств и критерии оценки ИТ-безопасности (ГОСТ Р ИСО/МЭК 15408-1-2-3). Также в документе нашли отражение технологии оценки угроз и уязвимостей, некоторые положения британской методологии оценки информационных рисков CRAMM (см. рисунок 1).

Рисунок 1. Взаимосвязь различных требований и стандартов в области ИТ, безопасности и управления

Среди основных положений стандарта ЦБ можно было отметить ориентацию на решение проблемы инсайдеров. Для этого Банк России закрепляет контроль над обращением конфиденциальной информации внутри корпоративной среды. Значительное внимание уделено внешним угрозам: положения стандарта требуют от банков иметь антивирусную защиту с регулярно обновляемыми базам, средства фильтрации спама, управления доступом, регламентировать процедуры внутреннего аудита, использовать шифрование для защиты от несанкционированного доступа и т.п.

Несмотря на все эти очевидные преимущества стандарт носил рекомендательный характер - его положения могли применяться отечественными банками только на добровольной основе. Тем не менее, по результатам исследования респондентов, представленных на III межбанковской конференции , прослеживалась явная тенденция к принятию данных документов как обязательной базовой основы для российских банков.

Параллельно с развитием банковских стандартов в середине 2000-х годов в России шел и процесс становления отечественного законодательства в сфере информационной безопасности. Ключевым моментом стало обновление Федерального закона «Об информации, информационных технологиях и о защите информации» от 27.07.2006 N 149-ФЗ , дающего новые актуальные определения информации, информационных технологий и процессов, отдельно заголовком выделена «защита информации». Вслед за ним отдельную категорию в практике защиты информации ознаменовал выход закона «О Персональных данных» от 27.07.2006 N 152-ФЗ .

Учитывая все эти нововведения и меняющиеся реалии общества, в свет выходили и новые редакции СТО БР ИББС. Так, в третьей редакции стандарта от 2008 года , пакет документов был значительно переработан, повелись новые термины и понятия, были уточнены и детализированы некоторые требования по обеспечению безопасности; обновлены требования к системе менеджмента информационной безопасности. Также стандарт обзавелся собственной моделью угроз и нарушителей информационной безопасности организаций БС РФ. Введены новые блоки по требования ИБ в автоматизированных банковских системах, регламентирован процесс банковских платежных и информационных технологических процессов, отдельно сказано про применение средств криптографической защиты информации.

На фоне последних мировых событий 2014 года и экономических санкций, введенных западными странами в отношении России, наметилась чёткая тенденция к разработке и переходу на национальную систему платежных карт . Это, соответственно, предъявляет дополнительные требования к надежности и безопасности таких систем, что влечет за собой и повышение значения отечественных стандартов ИБ.

Результатом всех этих событий стало очередное переиздание стандарта. И в июне 2014 года вступила в силу обновленная пятая, и пока последняя на сегодняшний день, редакция СТО БР ИББС - 2014 . В новой редакции исправили огрехи прошлых выпусков и, что очень важно, требования и рекомендации СТО привели в соответствие с вышеописанным 382-П. Так, например, уточнен список требующих регистрации операций в ДБО, расширен список защищаемой информации, исходя из П-382, приведена таблица соответствия частных показателей оценки из СТО и показателей из текущей редакции 382-П.

Не менее значимым достижением стала актуализированная база нормативных требований с учетом последних изменений законодательства в сфере защиты Персональных данных, а именно добавлены ссылки на Постановление Правительства №1119 и Приказ ФСТЭК России №21 .

Все это сформировало единую методическую и нормативную платформу для обеспечения комплексной информационной безопасности с учетом банковской специфики. Пакет документов СТО БР ИББС обособил российские банки выстроив в них систему безопасности с отраслевой точки зрения, но в то же время впитал лучшую мировую практику и опыт зарубежных коллег по обеспечению информационной безопасности.

Информационная безопасность в Банках с учетом СТО БР ИББС-2014

В настоящий момент распоряжением Банка России пакет документов СТО БР ИББС состоит из следующих частей:

1. СТО БР ИББС-1.2-2014. «Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0-2014 (4 редакция)»;

Кроме того, Банком России разработаны и введены следующие рекомендации в области стандартизации ИБ:

1. РС БР ИББС-2.0-2007. «Методические рекомендации по документации в области обеспечения информационной безопасности в соответствие с требованиями СТО БР ИББС-1.0»;
2. РС БР ИББС-2.1-2007. «Руководство по самооценке соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1. 0»;
3. РС БР ИББС-2.2-2009. «Методика оценки рисков нарушения информационной безопасности»;
4. РС БР ИББС-2.5-2014. «Менеджмент инцидентов информационной безопасности»

Первые три документа являются обязательными для всех банков, которые приняли указанный стандарт в качестве своей базовой политики. Документ «Общие положения» являются основой для формирования всех мероприятий по защите информации. Вся структура разбита на отдельные блоки. В них подробно описываются требования к обеспечению безопасности, даются конкретные перечни мер защиты по тому или иному блоку. (см. таблица 1)

Таблица 1. Требования к обеспечению информационной безопасности

- при назначении и распределении ролей и обеспечении доверия к персоналу;

- в автоматизированных банковских систем (АБС) на стадиях жизненного цикла;

- при управлении доступом и регистрацией пользователей;

- к средствам антивирусной защиты;

- при использовании ресурсов сети Интернет;

- при использовании средств криптографической защиты информации;

- в банковских платежных технологических процессах;

- по обработке персональных данных;

- отельным заголовком вынесены требования к системе менеджмента информационной безопасности.

Документ «Аудит информационной безопасности» самый малостраничный из всех, указывает на необходимость проведение аудита системы ИБ, а также дает отсылку к проведению ежегодной самооценки по требованиям стандарта. Данные итоговой самооценки служат базой как для формы отчетности в случае проверки Центральным Банком, так и заключением соответствия уровня защищенности системы информационной безопасности банка выявленным рискам и угрозам ИБ.

И последний из рассматриваемых документ «Методика оценки соответствия требованиям ИБ» -- это свод методик оценки и таблиц с соответствующими полями для заполнения. Каждое мероприятие и мера защиты дают определенное весовое значение в оценке называемый групповой показатель. По результатам групповых показателей выстраивается круговая диаграмма соответствия требованием СТО БР ИББС (см. рисунок 2). Все значений групповых показателей лежат в диапазоне от 0 до 1 , в котором для определения итога выделены еще 6 уровней соответствия стандарту, начиная с нулевого. Банком России рекомендованы уровни 4 и 5 (см. рисунок 2). Соответственно чем выше значение, тем более считается защищенной система. На круговой диаграмме эти сектора имеют зеленый цвет, красный же -- показатель критического уровня.

Рисунок 2. Круговая диаграмма соответствия требованиям СТО БР ИББС

Что еще можно добавить -- достаточно большое внимание уделяется процессам менеджмента системы информационной безопасности, в частности можно выделить Цикл Деминга , используемый топ-менеджерами в управлении качеством (рисунок 3).

Рисунок 3. Цикл Деминга для СОИБ СТО БР ИББС

В новой редакции Банк России актуализировал методику оценки соответствия информационной безопасности. Основные изменения коснулись подхода к оценке:

• все требования теперь отнесены к одному из трех классов (документирование , выполнение , документирование и выполнение );
• оценка групповых показателей определяется как среднее арифметическое (отсутствуют весовые коэффициенты частных показателей);
• вводится понятие корректирующих коэффициентов, влияющих на оценки по направлениям и зависящих от количества полностью не реализованных требований Стандарта;
• значение показателя М9 (Общие требования по обработке персональных данных) рассчитывается по общей схеме (а не как минимальное из значений входящих частных показателей в предыдущей версии стандарта).

Стоит отметить тот факт, что стало значительно больше уделяться внимания документированию процедур безопасности во внутренних нормативных документах банков. Таким образом, даже если процедура фактически не выполняется, но предусмотрена и документирована, -- это повышает результат внутреннего аудита.

По сравнению с прошлой редакцией возросло количество частных показателей, а так же изменились весовые значения оценок (см. рисунок 4).

Рисунок 4. Изменения в прошлой и текущей редакции СТО БР ИББС (по данным ИнфоКонстал Менеджмент, www. km-ltd.com, 2014)

Следует сказать еще об одном важном дополнении, касающемся встроенных механизмов защиты в АБС, -- Банк России выпустил рекомендации «Обеспечение информационной безопасности на стадиях жизненного цикла автоматизированных банковских систем» (РС БР ИББС-2.6-2014)» . Суть их заключается в том, что теперь банки могут, ссылаясь на этот документ, выставлять требования разработчикам к функционалу программного обеспечения в части механизмов защиты. Нельзя забывать, что это именно рекомендации, а не требования, и сам Банк России навязывать ничего не может, однако он позволяет транслировать эти рекомендации от имени банковского сообщества, а это уже изменение в лучшую сторону.

Защита персональных данных в банках

До выхода 5 редакции СТО БР ИББС–2014, защита персональных данных в банках базировалась на двух документах : БР ИББС-2.3-2010. «Требования по обеспечению безопасности персональных данных в информационных системах персональных данных организаций банковской системы Российской Федерации» и РС БР ИББС-2.4-2010. «Отраслевая частная модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных организаций банковской системы Российской Федерации».

На практике это выглядело так: брали в неизменном виде предложенную Центральным Банком частную отраслевую модель угроз, по методическим рекомендациям определяли требований к защите каждой ИСПДн, исходя из и количества и списка обрабатываемых данных, и в дальнейшем выстраивали по ним перечень необходимых мероприятий.

Главной головной болью специалистов до сегодняшнего дня было то, что настоящие требований действовали вплоть до очередной редакции СТО БР ИББС – 2014, хотя на тот момент защита ПДн уже выстраивалась в соответствии с ПП-1119 и приказом ФСТЭК №21. В виду того, что банки должны соответствовать принятому пакету СТО БР ИББС, многие из них пользовались не актуальными методиками и, как следствие, не соотвестствовали новым реалиям обеспечения безопасности.

С выходом этих двух упомянутых нормативных документов ситуация изменилась к лучшему - были отменены некоторые строгие требования по лицензированию, упрощены процедуры классификации ИСПДн, оператору ПДн дано больше прав на выбор защитных мер. Требования к защите ИСПДн определяясь таблицей соответствия «уровня защищенности» и применяемых к ним процедур безопасности, детализациях которых была представлена приказом ФСТЭК № 21. Это позволило нивелировать различия в методике защиты ПДн в отраслевом стандарте ЦБ и общего российского законодательства.

В обновленном стандарте появился новый термин «Ресурс ПДн», для которого сформированы требования к документированности отдельных процедур, связанных с обработкой персональных данных (раздел 7.10). Отдельно рассмотрены вопросы, связанные с уничтожением персональных данных: организациям предоставлена возможность уничтожать ПДн не сразу, а на периодической основе, но не реже одного раза в полгода.

Роскомнадзором отдельно были внесены пояснения в отношении биометрических ПДн , например фотографии сотрудников, если таковые используются в целях осуществления контрольно-пропускного режима или выставлены на сайте компании в качестве общедоступной информации о руководстве, не попадают под режим специальных требованиям к защите.

Банкам же, которые ранее уже выполнили требования по защите ПДн по старому стандарту, для соответствия новым требованиям нужно скорректировать свои внутренние нормативные документы, провести заново классификацию и переадресацию ИСПДн и, в соответствии с уровнем защищенности, определить для себя новый перечень защитных мероприятий. Хочется отметить, что сейчас у банков появилось больше свободы в выборе средств и методов защиты, однако применение именно сортированных ФСТЭК средств защиты информации по-прежнему является обязательным.

Информационная безопасность национальной платежной системы

Национальная платежная система (НПС), в виду последних событий, становится все более приоритетным направлением во внутренней политике государства. Президент России Владимир Путин подписал закон о создании в России национальной системы платежных карт (НСПК) и обеспечении бесперебойности работы международных платежных систем. Оператор НСПК создается в форме ОАО, 100% активов которого принадлежит Банку России. Целью проекта обозначено инфраструктурно и информационно замкнуть процесс осуществления денежных переводов внутри России, закрепить территориально внутри страны операционные центры и платежные клиринговые центры.

Фактически, до выхода закона деньги могли появляться из «ниоткуда» и исчезать в «никуда». С выходом закона ситуация меняется, НПС дает возможность отслеживает все денежные операции, в том числе финансирование сомнительных сделок и мошеннические операции, которые могут угрожать безопасности граждан или страны в целом. Кроме того, уход от наличного оборота, по мнению правительства, является еще одним шагом в борьбе со взяточничеством.

Для обеспечения безопасности НПС был выпущен целый рад подзаконных актов, серди которых основополагающее Положение о защите информации в платежной системе» от 13.06.2012 №584 . Но в большей мере отвечает выпущенное ответственным департаментом Банком России Положение о требованиях к обеспечению защиты информации при осуществлении переводов денежных средств…» от 09.06.2012 N 382-П)

С обновлением П-382 тенденции обеспечения защиты теперь смещены в сторону:

• применением банкоматов и платежных терминалов;
• применения пластиковых платежных карт;
• использования сети Интернет (систем дистанционного банковского обслуживания (ДБО) и мобильного банкинга);
• требований к порядку разработки и распространения специализированного ПО, предназначенного для использования клиентом при переводе денежных средств;
• что очень порадовало, расширение требований по повышению осведомленности клиентов о возможных рисках получения несанкционированного доступа к защищаемой информации и рекомендуемых мерах по их снижению;
• требований о необходимости проведения классификации банкоматов и платежных терминалов, результаты которой должны учитываться при выборе мер защиты;
• процедур приостановления проведения платежа оператором по переводу денежных средств в случае обнаружения признаков мошеннических действий;
• предусмотрены процедуры защиты от современных угроз безопасности, таких как: скимминг (путем использования специализированных средств, препятствующих несанкционированному считыванию треков платежных карт; защита сервисов расположенных в сети Интернет от внешних атак (DoS-атак); защита от фишинга (от фальсифицированных лождных ресурсов сети Интернет).
• требование по применению платежных карт, оснащенных микропроцессором, с 2015 года и запрет выпуска карт, не оснащенных микропроцессором, после 1-го января 2015 года;
• 29 новых показателей оценки.

Информационная безопасность платежных систем

Аналогичная ситуация складывается с использованием пластиковых карт. В мировом сообществе признанным стандартом безопасности считается Payment Card Industry Data Security Standard (PCI DSS) , который был разработан советом PCI SSC. В него вошли такие карточные брэнды, как Visa, MasterCard, American Express, JCB и Discovery.

Стандарт PCI DSS описывает требования к защите данных о держателях карт, сгруппированные в двенадцать тематических разделов. Основной акцент в стандарте PCI DSS делается на обеспечении безопасности сетевой инфраструктуры и защите хранимых данных о держателях платежных карт, как наиболее уязвимых с точки зрения угроз конфиденциальности местах. Также следует отметить, что стандарт регламентирует правила безопасной разработки, поддержки и эксплуатации платежных систем, в том числе процедуры их мониторинга. Не менее важную роль стандарт отводит разработке и поддержке базы нормативных документов системы менеджмента информационной безопасности.

Международные платежные системы обязывают организации, на которые распространяются требования стандарта, проходить регулярную проверку соответствия этим требованиям, что рано или поздно может затронуть и НСПК. Однако сертификация российских банков по зарубежному PCI DSS стандарту шла довольно медленно, а отечественного аналога на сегодняшний день нет.

Однако, выполняя требования П-382 и последней редакции СТО БР ИББС-2014, можно во многом подготовиться к прохождению сертификации по PCI DSS, ведь многие его положения пересекаются с требованиями из отечественного документа: антивирусная безопасность, шифрование, фильтрация с помощью межсетевых экранов, разграничение доступа, отслеживании сеансов связи, а также мониторинг, аудит и менеджмент системы ИБ (см. рисунок 5).

Рисунок 5. Сравнение категорий защищаемой информации различными стандартами (по данным Уральский центр Систем безопасности, www.usssc.ru , 2014)

В отличие от всех зарубежных стандартов, российский 382-П призван стимулировать отечественных разработчиков и производителей средств защиты информации (СЗИ), так, например, обязывая субъекты НПС обеспечить применение некриптографических СЗИ от несанкционированного доступа, в том числе прошедших в установленном порядке процедуру оценки соответствия. При этом, применение решений иностранного производства явно разрешено.

Более того, Банк России усиливает свой контроль за соблюдением установленных правил. В своем документе Указание № 2831-У от 09.06.2012 «Об отчетности по обеспечению защиты информации в платежных системах…» явно указывает, в какой форме, и с какой периодичностью субъекты платежных систем должны отчитываться о состоянии информационной безопасности в платежных системах.

Несмотря на популярность и широкое распространение PCI DSS существуют и другие международных стандарты безопасности падежных систем, о которых тоже хотелось бы немного сказать. Один из них стандарт PCI PA-DSS (Payment Card Industry Payment Application Data Security Standard) определяющий требования к приложениям, обрабатывающим данные о держателях карт и процессу их разработки. И, второй - стандарт Payment Card Industry PIN Transaction Security (PCI PTS), ранее PCI PED, касаются производителей, которые задают и реализуют технические параметры и систему управления для устройств, поддерживающих набор ПИН-кода и использующихся для проведения платежных операций по картам.

Выводы

СТО БР ИББС является очень важной вехой эволюционного пути развития отечественной системы обеспечения информационной безопасности. Это один из первых отраслевых и адаптированных под российскую действительность стандартов. Конечно, это не панацея от всех бед, остается еще много проблем, над которыми бьются специалисты, но это первый и весьма успешный опыт, приближающий нас к эталонам лучшей зарубежной практики.

Выполняя требования стандарта, многие банки готовят себя к международной сертификации обеспечения безопасности платежных систем PCI DSS. Обеспечивают защиту персональных данных в соответствии с последними требованиями регуляторов. Проводимый ежегодный внутренний аудит позволяет объективно проверить защищенность банков от существенных рисков и угроз ИБ, а руководителям эффективнее спланировать построение и управление комплексной системой защиты.

Существующие недочеты и явные ошибки, надеемся, будут исправлены в следующих редакциях, выпуск которых не за горами. Уже весной 2015 года нас ждет обновленный П-382 , а следом может последовать и изменения в комплексе БР ИББС. Пока же довольствуемся октябрьским релизом «Стандартом финансовых операций» ТК 122 и не забываем, что как бы не были хороши все усилия вышестоящих органов, по прежнему наша безопасность - только в наших руках!

19 июня, 2013

Нужно ли их знать «безопаснику»?

Для банка, применительно к информационным активам, защиту информации можно разделить по способам осуществления защиты: правовая, организационная и техническая.

Созданием законодательной (правовой) основы в области информационной безопасности занимается каждое государство, стремясь защитить свои информационные ресурсы и технологии. И Россия здесь не исключение. Нормативная правовая база по вопросам информационной безопасности включает в себя:

• Конституцию Российской Федерации (далее - РФ);
• Кодексы РФ;
• Международные договоры и соглашения;
• Федеральные законы РФ;
• Указы Президента РФ;
• Постановления Правительства РФ;
• Стандарты и технические регламенты;
• Руководящие документы и другие нормативно-методические документы уполномоченных государственных структур.

Подробный список актуальных на сегодняшний день законодательных актов по информационной безопасности (без учета защиты государственной тайны) для банков будет выглядеть так:

1. Конституция РФ

1. № 63-ФЗ Уголовный кодекс РФ от 13.06.1996 г. (в части ответственности за незаконный доступ к информации, ее порчу, нарушение авторских и смежных прав, нарушение тайны переписки и телефонных переговоров, незаконное получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну, нарушение неприкосновенности частной жизни).
2. № 174-ФЗ Уголовно-процессуальный кодекс РФ от 18.12.2001 г. (в части безопасности информации и защиты данных конфиденциального характера).
3. № 197-ФЗ Трудовой кодекс РФ от 30.12.2001 г. (в части защиты персональных данных работников).
4. № 195-ФЗ Кодекс об административных правонарушениях РФ от 30.12.2001 г. (в части защиты информации и интеллектуальной собственности).

3. Международные договоры и соглашения:

• Базель II и Базель III (в части информационной безопасности).

4. Федеральные законы РФ:

1. № 98-ФЗ «О коммерческой тайне» от 29.07.2004 г.
2. № 149-ФЗ «Об информации, информационных технологиях и защите информации» от 27.07.2006 г.
3. № 152-ФЗ «О персональных данных» от 27.07.2006 г.
4. № 395-1 «О банках и банковской деятельности» от 02.12.1990 г.
5. № 63-ФЗ «Об электронной подписи» от 06.04.2011 г.
6. № 99-ФЗ «О лицензировании отдельных видов деятельности» от 04.05.2011 г.
7. № 184-ФЗ «О техническом регулировании» от 27.12.2002 г.
8. № 161-ФЗ «О национальной платежной системе» от 27.06.2011 г.

5. Стратегия и Доктрина:

1. № Пр-212 «Стратегия развития информационного общества в Российской Федерации» от 07.02.2008 г.
2. № Пр-1895 «Доктрина информационной безопасности» от 09.09.2000 г.

6. Указы Президента РФ:

1. № 334 «О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации» от 03.04.1995 г.
2. № 21 «О мерах по упорядочению разработки, производства, реализации, приобретения в целях продажи, ввоза в Российскую Федерацию и вывоза за ее пределы, а также использования специальных технических средств, предназначенных для негласного получения информации» от 09.01.1996 г.
3. № 188 «Об утверждении перечня сведений конфиденциального характера» от 06.03.1997 г.

7. Постановления Правительства РФ:

1. № 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» от 15.09.2008 г.
2. № 584 «Об утверждении Положения о защите информации в платежной системе» от 13.06.2012 г.
3. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» от 01.11.2012 г.
4. № 171 «О лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации» от 03.03.2012 г.
5. № 79 «О лицензировании деятельности по технической защите конфиденциальной информации» от 03.02.2012 г.
6. № 313 «Об утверждении положения о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, по оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных(криптографических) средств, информационных систем и телекоммуникационных систем, защищенных использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)» от 16.04.2012 г.
7. № 214 «Об утверждении Положения о ввозе в Российскую Федерацию и вывозе из Российской Федерации специальных технических средств, предназначенных для негласного получения информации, ввоз и вывоз которых подлежат лицензированию» от 10.03.2000 г.
8. № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных» от 06.07.2008 г.

8. Международные, британские стандарты и стандарты платежных систем:

1. PCI DSS 2.0. Стандарт безопасности данных индустрии платежных карт. Требования и процедуры аудита безопасности. Версия 2.0.
2. PA DSS 2.0. Requirements and security assessment procedures.
3. ISO/IEC 27001:2005 - «Информационные технологии — Методы обеспечения безопасности - Системы управления информационной безопасностью - Требования».
4. ISO/IEC 27005:2011 - «Информационные технологии — Методы обеспечения безопасности - Система управления рисками информационной безопасности».
5. ISO/IEC 17799:2005 - «Информационные технологии - Технологии безопасности - Практические правила менеджмента информационной безопасности».
6. BS 7799-1:2005 - Британский стандарт BS 7799 первая часть. Практические правила управления информационной безопасностью.
7. BS 7799-2:2005 - Британский стандарт BS 7799 вторая часть стандарта. Спецификация системы управления информационной безопасностью.
8. BS 7799-3:2006 - Британский стандарт BS 7799 третья часть стандарта. Руководство по менеджменту рисков ИБ.
9. BS 25999-1:2006 «Управление непрерывностью бизнеса».
10. CobiT 5.0 (Control Objectives for Information and Related Technology).

9. Стандарты и технические регламенты

1. ГОСТ Р 28147-89 «Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования».
2. ГОСТ Р 34.11-2012 «Информационная технология. Криптографическая защита информации. Функция хэширования».
3. ГОСТ Р 34.10-2012 «Информационная технология. Криптографическая защита информации. Процесс формирования и проверки электронной подписи».
4. ГОСТ 19.781-90. Обеспечение систем обработки информации программное. Термины и определения.
5. ГОСТ 34.003-90. Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Термины и определения.
6. ГОСТ 34.201-89. Информационная технология. Комплекс стандартов на автоматизированные системы. Виды, комплектность и обозначение документов при создании автоматизированных систем.
7. ГОСТ 34.601-90. Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания.
8. ГОСТ 34.602-89. Информационная технология. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы.
9. ГОСТ 34.603-92. Информационная технология. Виды испытаний автоматизированных систем.
10. ГОСТ 21552-84. Средства вычислительной техники. Общие технические требования, приемка, методы испытаний, маркировка, упаковка, транспортировка и хранение.
11. ГОСТ 22505-97. Совместимость технических средств электромагнитная. Радиопомехи индустриальные от радиовещательных приемников, телевизоров и другой бытовой радиоэлектронной аппаратуры. Нормы и методы испытаний.
12. ГОСТ 27201-87. Машины вычислительные электронные персональные. Типы, основные параметры, общие технические требования.
13. ГОСТ 28195-89. Оценка качества программных средств. Общие положения.
14. ГОСТ 28388-89. Системы обработки информации. Документы на магнитных носителях данных. Порядок выполнения и обращения.
15. ГОСТ 28806-90. Качество программных средств. Термины и определения.
16. ГОСТ 29216-91. Совместимость технических средств электромагнитная. Радиопомехи индустриальные от оборудования информационной техники. Нормы и методы испытаний.
17. ГОСТ 30373-95/ГОСТ Р 50414-92 Совместимость технических средств электромагнитная. Оборудование для испытаний. Камеры экранированные. Классы, основные параметры, технические требования и методы испытаний.
18. ГОСТ ИСО/МЭК 15408-1-2008. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель.
19. ГОСТ ИСО/МЭК 15408-2-2008. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности.
20. ГОСТ ИСО/МЭК 15408-3-2008. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности.
21. ГОСТ Р 50739-95. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования.
22. ГОСТ Р 50922-2006. Защита информации. Основные термины и определения.
23. ГОСТ Р 50923-96. Дисплеи. Рабочее место оператора. Общие эргономические требования и требования к производственной среде. Методы измерения.
24. ГОСТ Р 50948-2001. Средства отображения информации индивидуального пользования. Общие эргономические требования и требования безопасности.
25. ГОСТ Р 51188-98. Защита информации. Испытания программных средств на наличие компьютерных вирусов. Типовое руководство.
26. ГОСТ Р 51275-2006. Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения.
27. ГОСТ Р 51319-99. Совместимость технических средств электромагнитная. Приборы для измерения индустриальных радиопомех. Технические требования и методы испытаний.
28. ГОСТ Р 51320-99. Совместимость технических средств электромагнитная. Радиопомехи индустриальные. Методы испытаний технических средств - источников индустриальных радиопомех.
29. ГОСТ Р 51583-2000. Защита информации. Порядок создания автоматизированных систем в защищённом исполнении. Общие положения.
30. ГОСТ Р 51624-2000. Защита информации. Автоматизированные системы в защищённом исполнении. Общие требования.
31. ГОСТ Р ИСО/МЭК 12207-2010. Информационная технология. Системная и программная инженерия. Процессы жизненного цикла программных средств.
32. ГОСТ Р ИСО/МЭК 9126-93. Информационная технология. Оценка программной продукции. Характеристики качества и руководства по их применению.
33. ГОСТ Р ИСО/МЭК ТО 9294-93. Информационная технология. Руководство по управлению документированием программного обеспечения.
34. МИ 1317-2004. Рекомендация. Государственная система обеспечения единства измерений. Результаты и характеристики погрешности измерений. Формы представления. Способы использования при испытаниях образцов продукции и контроле их параметров.
35. МИ 2377-98. Рекомендация. Государственная система обеспечения единства измерений. Разработка и аттестация методик выполнения измерений.
36. Р 50-34.119-90. Рекомендации. Информационная технология. Комплекс стандартов и руководящих документов на автоматизированные системы. Архитектура локальных вычислительных сетей в системах промышленной автоматизации. Общие положения.
37. РД 50-682-89. Методические указания. Информационная технология. Комплекс стандартов и руководящих документов на автоматизированные системы. Основные положения.
38. РД 50-34.698-90. Методические указания. Информационная технология. Комплекс стандартов и руководящих документов на автоматизированные системы. Требования к содержанию документов.
39. РД 50-680-88. Методические указания. Автоматизированные системы. Основные положения.
40. СанПиН 2.2.2.542-96. Гигиенические требования к видеодисплейным терминалам, персональным электронно-вычислительным машинам и организация работы.
41. СНиП 23-03-2003. Защита от шума.
42. ГОСТ 29099-91. Сети вычислительные локальные. Термины и определения.
43. ГОСТ Р 50.1.053-2005. Информационные технологии. Основные термины и определения в области технической зашиты информации.
44. ГОСТ Р 51241-2008. Средства и системы контроля и управления доступом. Классификация. Общие технические требования. Методы испытаний.
45. ГОСТ Р 52069-2003. Защита информации. Система стандартов. Основные положения.
46. ГОСТ Р 52447-2005. Защита информации. Техника защиты информации. Номенклатура показа-телей качества.
47. ГОСТ Р 52448-2005. Защита информации. Обеспечение безопасности сетей электросвязи. Общие положения.
48. ГОСТ Р 52633-2006. Защита информации. Техника защиты информации. Требования к средствам высоконадежной биометрической аутентификации.
49. ГОСТ Р ИСО 7498-1-99. Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 1. Базовая модель.
50. ГОСТ Р ИСО 7498-2-99. Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 2. Архитектура защиты информации.
51. ГОСТ Р ИСО/МЭК 13335-1-2006. Информационная технология. Методы и средства обеспече-ния безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий.
52. ГОСТ Р ИСО/МЭК ТО 13335.3-2007. Информационная технология. Методы и средства обеспечения безопасности. Часть 3. Методы менеджмента безопасности информационных технологий.
53. ГОСТ Р ИСО/МЭК 27004-2011. Информационная технология. Методы и средства обеспечения безопасности. Менеджмент информационной безопасности. Измерения.
54. ГОСТ Р ИСО/МЭК 18028-2008. Информационная технология. Методы и средства обеспечения безопасности. Сетевая безопасность информационных технологий. Менеджмент сетевой безопасности.
55. ГОСТ Р ИСО/МЭК ТО 18044-2007. Информационная технология. Методы и средства обеспечения безопасности. Менеджмент инцидентов информационной безопасности.
56. ГОСТ Р ИСО/МЭК 19791-2008. Информационная технология. Методы и средства обеспечения безопасности. Оценка безопасности автоматизированных систем.
57. ГОСТ Р ИСО/МЭК 27033-1-2011. Информационная технология. Методы и средства обеспечения безопасности. Сетевая безопасность. Часть 1. Обзор и концепции.
58. Рекомендации по аккредитации. «Инспекционный контроль за деятельностью в системе сертификации ГОСТ Р аккредитованных органов по сертификации» Р 50.4.002-2000.
59. Рекомендации по аккредитации. «За деятельностью в системе сертификации ГОСТ Р аккредитованных испытательных лабораторий» Р 50.4.003-2000.
60. Гигиенические требования к персональным электронно-вычислительным машинам и организации работы. Санитарно-эпидемиологические правила и нормативы. СанПиН 2.2.2./2.4.1340-03.
61. Строительные нормы и правила Российской федерации. Защита от шума. СНиП 23-03-2003.
62. Государственная система обеспечения единства измерений. Результаты и характеристики качества измерений. ПМГ 96-2009.

10. Документы Банка России:

1. № 382-П Положение «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении денежных переводов» от 09.06.2012 г.
2. № 383-П Положение «О правилах перевода денежных средств» от 19.06.2012 г.
3. № 379-П Положение «О бесперебойности функционирования платежных систем и анализе рисков в платежных системах» от 31.05.2012 г.
4. Письмо о вводе комплекса документов (Письмо шестерых) от 28.06.2010 г.
5. СТО БР ИББС-1.0-2010 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения».
6. СТО БР ИББС-1.1-2007 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Аудит информационной безопасности».
7. СТО БР ИББС-1.2-2010 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0-20хх».
8. РС БР ИББС-2.0-2007 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методические рекомендации по документации в области обеспечения информационной безопасности в соответствии с требованиями СТО БР ИББС--1.0».
9. РС БР ИББС-2.1-2007 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Руководство по самооценке соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0».
10. РС БР ИББС-2.2-2009 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки рисков нарушения информационной безопасности».
11. РС БР ИББС-2.3-2010 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Требования по обеспечению безопасности персональных данных в информационных системах персональных данных организаций банковской системы российской федерации».
12. РС БР ИББС-2.4-2010 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Отраслевая частная модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных организаций банковской системы Российской Федерации».

11. Документы АРБ:

1. Методические рекомендации по выполнению законодательных требований при обработке персональных данных в организациях банковской системы РФ от 2010 г.
2. Стандарт «Система управления непрерывностью деятельности кредитных организаций банковской системы Российской Федерации». Версия 7.4 от 02.04.2012 г.

12. Документы Минкомсвязи РФ:

1. № 320 Приказ Минкомсвязи России «Об аккредитации удостоверяющих центров» от 23.11.2011 г.

13. Документы ФСТЭК России:

1. № 21 Приказ «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» от 18.02.2013 г.
2. Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных. Утверждена ФСТЭК России 15.02.2008 г.
3. Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных. Утверждена ФСТЭК России 14.02.2008 г.
4. № 55/86/20 Приказ Федеральной службы по техническому и экспортному контролю, Федеральной службы безопасности Российской Федерации, Министерства информационных технологий и связи Российской Федерации «Об утверждении порядка проведения классификации информационных систем персональных данных» от 13.02.2008 г.
5. № 28 дсп Приказ «Требования к средствам антивирусной защиты» от 20.03.12 г.
6. № 27 дсп Приказ «Сборник методических документов по технической защите информации ограниченного доступа, не содержащей сведений, составляющих государственную тайну, в волоконно-оптических системах передачи» от 12.03.12 г.
7. № 638 дсп Приказ «Требования к системам обнаружения вторжений» от 06.12.11.
8. «Методические рекомендации по технической защите информации, составляющей коммерческую тайну», утверждено Заместителем директора ФСТЭК России от 25.12.06 г. дсп.
9. № 282 дсп Нормативно-методический документ «Специальные требования и рекомендации по технической защите конфиденциальной информации» (СТР-К), утвержден приказом Гостехкомиссии России от 30.08.02.
10. «Сборник временных методик оценки защищенности конфиденциальной информации от утечки по техническим каналам», Гостехкомиссия России, 2002 г. дсп.
11. № 355 дсп Руководящий документ «Защита информации. Комплектующие помехоподавляющие изделия электронной техники, радиоэкранирующие и помехоподавляющие материалы. Общие технические требования», утвержден приказом Гостехкомиссии России от 31.08.2001 г.
12. Руководящий документ «Автоматизированные системы Защита от нессанкионированного доступа к информации. Классификация автоматизированных систем и требования по защите информации», утвержден решением Гостехкомиссии России от 20.03.1992 г.

Поволжский государственный университет сервиса

Альшанская Татьяна Владимировна, кандидат педагогических наук, доцент кафедры прикладная информатика в экономике, Поволжский государственный университет сервиса

Аннотация:

Данная статья отражает современное состояние методов зашиты информации банковского сектора и перспективы его развития. В статье раскрыты основные угрозы информационной безопасности банков. Приведены мероприятия по защите информации в банке, которые необходимо провести для создания эффективной системы защиты.

This article reflects the current state of methods of protection of information of the banking sector and its development prospects. The article covers the main threats to information security of banks. Presents measures to protect the information in the bank, to be carried out to create an effective system of protection.

Ключевые слова:

банк; информационная безопасность; защита информации.

information safety; information security.

УДК 338.14

Деятельность любого банка непосредственно находится в зависимости от того, с какой скоростью осуществляется обмен информации внутри него и в какой мере построена система защищенности информации. Результаты неразвитой банковской инфраструктуры катастрофичны: банк способен лишиться не только базы клиентов, но и их доверие. Столкновение с данной задачей привело к формированию новейших концепций защиты информации, которые разрабатывались согласно условиям кредитных институтов. Таким образом, исследование систем защиты информации в банковской сфере представляет собой актуальную задачу.

Согласно ст. 19 Федерального Закона «Об информации, информационных технологиях и о защите информации» от 27.07.2006 №149-ФЗ, защита информации представляет собой принятие правовых, организационных и технических мер, направленных на обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации, соблюдение конфиденциальности информации ограниченного доступа, а также реализацию права на доступ к информации .

Защита данных банковской деятельности содержит в себе осуществление единого комплекса мероприятий — от аудита информационной защищенности и вплоть до формирования концепций защиты различных банковских служб. Эксперты данной сферы готовы сформировать ровно как самостоятельный модуль защищенности, так и полную концентрированную концепцию систему защиты данных.

В процессе реализации основных функций службы защиты информации возникают задачи, решение которых слабо поддается формализации. В данном случае возможно применение методов теории систем и системного анализа, направленных на активизацию интуиции и опыта специалистов .

Одним из методов защиты информации банка является контролирование прохождения и регистрации секретной информации. Наиболее значимым в данной проблеме является установление предельно безопасных альтернатив обмена файлами внутри банка.

Для защиты информации банка применяют концепции идентификации, характеризующие наличие прав доступа к данным. С этой целью применяют систему паролей для входа в локальную сеть банка. Они могут быть выбраны пользователем, сгенерированы системой либо присваиваться ему менеджером по безопасности. Кроме того, существуют пластиковые карты доступа с чипом. С помощью особого алгоритма система кодирует и вносит индивидуальные данные определенного пользователя. Электронные ключи действуют при контакте с механизмом на дверях, установленных в секретных помещениях, в серверных и пользовательских ПК.

Защита информации банка будет надежно работать только при своевременном определении системой внешних угроз. Во внешней среде системы разделяют следующие виды угроз информации, табл. 1.

Таблица 1. Виды угроз информации во внешней среде

	Наименование угрозы	Характеристика
	нарушение физической целостности	уничтожение, разрушение элементов
	нарушение логической целостности	разрушение логических связей
	модификация содержания	изменение блоков информации, внешнее навязывание ложной информации
	нарушение конфиденциальности	разрушение защиты, уменьшение степени защищенности информации
	нарушение прав собственности на информацию	несанкционированное копирование

Планирование систем защиты данных для компании должно содействовать уменьшению вероятных неблагоприятных результатов, связанных с применением информационных технологий, и гарантировать возможность осуществления ключевых целей и задач кредитной организации. Построение моделей при проектировании либо модернизации системы защиты данных в банках является естественным средством решения задач анализа и проектирования с наименьшими расходами и значительной отдачей. В банках используется модель нарушителя информационной безопасности, которая включает в себя:

1. Описание нарушителей информационной безопасности;
2. Классификация нарушителей информационной безопасности;
3. Описание опыта и знаний нарушителей;
4. Описание доступных ресурсов, необходимых для реализации угрозы;
5. Описание возможной мотивации действий нарушителя;
6. Способы реализации угроз информационной безопасности со стороны указанных нарушителей.

Для построения модели нарушителя используется информация от службы безопасности, риск-подразделений и службы внутреннего контроля банка о существующих средствах доступа к информации и ее обработки, о возможных способах перехвата данных на стадии передачи, обработки и хранения, об обстановке в коллективе и на объекте защиты, сведения о конкурентах и ситуации на рынке, об имевших место случаях хищения информации и т.п. .

Помимо этого, оцениваются реальные оперативные технические возможности правонарушителя с целью влияния на концепцию защиты либо на защищаемый объект. Под техническими возможностями понимается перечень разнообразных технических средств, которыми может располагать правонарушитель в ходе совершения операций, нацеленнеых против системы защиты информации.

В завершение необходимо отметить, что эффективное использование моделей допустимо только при качественных исходных данных, необходимых для описания моделей при решении задач защиты. Значимым при этом является то обстоятельство, что подавляющее количество исходных данных обладает высокой степенью неопределенности. По этой причине необходимо не просто формировать необходимые данные, а регулярно производить их оценку и конкретизацию.

Библиографический список:

1. Альшанская, Т. В. Применение методов системного анализа специалистами по информационной безопасности [Текст] / Т. В. Альшанская. Информационные системы и технологии: управление и безопасность: сб. ст. III международной заочной научно-практической конференции / Поволжский гос. ун-т сервиса. – Тольятти: Изд-во ПВГУС, 2014. – 348 с.
2. Трофимова, В. В. Информационные системы и технологии в экономике и управлении [Текст] / В.В. Трофимова. М.: Юрайт, 2012. – 521 с.
3. Федеральный Закон «Об информации, информационных технологиях и о защите информации» от 27.07.2006 №149-ФЗ