кредитных организациях, которые свидетельствуют о «как бы» непонимании радикального изменения состава требований к ОИБ в связи с внедрением ТЭБ. Буквально остаются справедливыми слова, произнесенные более двух тысяч лет назад: «Нет памяти о прежнем, да и о том, что будет, не останется памяти у тех, которые будут после»[142].
Задача ОИБ при использовании систем электронного банкинга является, возможно, наиболее сложной для решения. Как подчеркивает БКБН, «чтобы парировать проблемы с сохранением конфиденциальности важнейшей банковской информации в части электронного банкинга, необходимо гарантировать, что доступ ко всем конфиденциальным банковским данным и информации возможен только для должным образом авторизованных и аутентифицированных лиц, агентов или систем». Большинство задач в рамках решения указанной проблемы, которые возникают при образовании ИКБД, являются новыми и непосредственно связанными с ним, что отмечалось в главе 1. В общем случае требуется контроль
Рассматриваемая проблематика, как видно из изложенного выше, многоаспектна. Поэтому, в частности, службе безопасности (СБ) кредитной организации, которая состоит, как правило, из подразделений информационной, экономической и физической безопасности, целесообразно было бы регулярно проводить скрупулезный анализ не только информационных ресурсов самой организации, ядром которых являются ее БАС и базы банковских и клиентских данных, но также и всей информации, угрозы безопасности которой могут негативно повлиять на финансовое состояние, статус, имидж и другие характеристики организации и на интересы ее клиентов. Состав ресурсов такого рода определяется их
Что касается организации информационных сечений, то менеджерам различных уровней целесообразно обращать внимание на наличие и содержание ролевых функций персонала кредитной организации при передаче (и, возможно, преобразовании) потоков данных из одной АС в другую. От этого зависит в первую очередь эффективность реализации в кредитной организации процессов управления, обеспечения информационной безопасности и внутреннего контроля, включая финансовый мониторинг. Как правило, без какого-либо хотя бы косвенного участия персонала в процедурах обработки (преобразования) данных при ДБО не обходится даже в случае упоминавшейся ранее автоматизированной сквозной обработки. В таких случаях целесообразно рассматривать, как минимум, следующие вопросы:
— предусмотрено ли наличие функций, выполняемых операторами БАС (или в ряде случаев систем ДБО) либо системными администраторами, обладающими полномочиями доступа к данным из поступающих ордеров клиентов, и если предусмотрено, то с какими правами, и существуют ли возможности несанкционированного считывания (хищения, утечки) информации, ее подмены или уничтожения, имитации проводимых операций как бы от лица легитимных клиентов и т. п.?
— могут ли функции, выполняемые уполномоченными сотрудниками кредитной организации, давать возможности осуществления каких-либо мошенничеств разного рода: хищения финансовых средств (например, за счет подмены реквизитов ордеров), сокрытия сомнительных операций, подлежащих обязательному контролю, несанкционированного использования конфиденциальной информации (ключи или пароли доступа, кодовые фразы, персональные данные клиентов или сведения о проводимых ими операциях и т. д.)?
— внедрены ли в кредитной организации процедуры контроля над функциями, выполняемыми сотрудниками, имеющими доступ к информационным сечениям, и чем гарантируется эффективность этих процедур (используемые методы, внутрибанковские документы, примененные средства, способы и программы проверок, ответственность за проведение проверок и отчетность о проверках, гарантии невозможности реализации сговора или нелегитимных действий, приводящих к нарушению целостности данных и т. п.)?
Эти вопросы тесно связаны, хотя и не пересекаются полностью с проблематикой ОИБ в кредитной организации, включая защиту информационных и процессинговых ресурсов этой организации от неправомерного доступа с применением технологий ДБО.
Упомянутое выше «специальное внимание» может реализовываться в разных формах. Прежде всего логично разработать и внедрить процедуры контроля доступа к файлам данных, проходящим через значимые информационные сечения, например, между системами ДБО и БАС кредитной организации. В таких сечениях могут располагаться операторы какой-либо АС, системные или сетевые администраторы или операторы, специально выделенные для выполнения каких-либо функций. Ни один из таких сотрудников кредитной организации не должен обладать делегированными ему
Важное значение имеет определение и описание защищаемых ресурсов с указанием их значимости для кредитной организации и ее клиентов. Таким документам лучше придавать статус «для служебного пользования» и разделять права доступа к ним между специалистами разных подразделений (естественно, на разумных основаниях — без ущерба функционированию кредитной организации, ее БАС и СЭБ, а также осуществлению ОИБ, ВК, ФМ и УБР). Анализ уязвимостей в распределенных компьютерных системах кредитной организации необходимо проводить сначала превентивно, а затем как на регулярной, так и на оперативной основе. При внедрении новой ТЭБ его в любом случае следует проводить превентивно в рамках предварительного анализа состава новых компонентов банковских рисков, впоследствии сопоставляя развитие реальной ситуации с прогнозировавшейся. Эта процедура завершается выбором, приобретением и установкой конкретных средств сетевой защиты от угроз, ассоциируемых с ИКБД. Поскольку количество таких угроз постоянно растет, в первую очередь ввиду «успехов» хакерского сообщества, для СБ логично отслеживать «достижения», связанные с «пробоем» средств защиты, к числу которых относятся в первую очередь брандмауэры и прокси-сервера (что было показано на рис. 5.2). Поэтому хорошей практикой считается изучение материалов, представляемых хакерским сообществом на многочисленных web-сайтах, используя их в том числе и для оперативной замены скомпрометированных средств защиты.
Вместе с тем известно, что «идеальных» способов и средств ОИБ в сетевых структурах до настоящего времени не существует. По существу, в современных условиях это обеспечение стало постоянным итеративным процессом: возникновение новых угроз надежности банковской деятельности — в это понятие входит и обеспечение гарантий конфиденциальности информации, обрабатываемой и хранящейся в
