Стр. 61

составляются итоговые документы (протоколы и акты). Для проведения таких тестов целесообразно использовать стендовые средства, аналогичные операционным в кредитной организации, с тем чтобы можно было отлаживать прикладные программы и проводить дополнительные испытания без вмешательства в текущую банковскую деятельность и ее приостановки для проведения очередных функциональных проверок.

Также следует отметить, что определение содержания, этапов, методик, средств тестирования и содержания итоговой отчетности по ним не должно оставаться неизменным на протяжении ЖЦ банковских автоматизированных систем и внутрибанковских процессов. Изменения в них обусловлены рядом причин: устареванием и компрометацией АЛО, внедрением новых технологий и систем электронного банкинга, возникновением нетипичных угроз надежности компьютеризованной банковской деятельности и т. д. Ввиду того что такие угрозы могут при неудачном стечении обстоятельств реализоваться в крупномасштабные инциденты информационной безопасности, сопоставимые по ущербу с форс-мажорными обстоятельствами, всей информации, которая имеет отношение к тестированию (особенно к его результатам), целесообразно официально придать статус сведений ограниченного распространения.

В плане контроля условий возникновения источников угроз кредитной организации и ее клиентам при использовании СЭБ необходимо обеспечить внедрение, функционирование и совершенствование внутрибанковского механизма обнаружения и фиксации свидетельств атакующих воздействий, а также сохранения «следов» и «образов» или, иначе, «шаблонов» атак[152] для их последующего анализа (в том числе комплексного). Этот механизм должен работать согласованно с процедурами доведения информации до руководства кредитной организации (например, в форме унифицированного отчета[153]) и принятия защитных мер. Он должен учитывать и реакции на вторжения, это один из механизмов снижения уровней компонентов банковских рисков, связанных с недостатками в ОИБ кредитной организации. Поэтому актуальными становятся управление, ведение и анализ системных логов.

Изложенный подход целесообразно расширить в направлении имитации инцидентов информационной безопасности в части моделирования угроз кредитной организации со стороны клиента и криминальных сообществ — в интересах поддержания, совершенствования и адаптации периметра информационной безопасности кредитной организации. Этому способствует статистический анализ ситуаций такого рода, при этом статистика набирается с помощью ее сервис-центра и в порядке ведения претензионной работы. Далее результаты этой работы следует использовать для улучшения ОИБ, совершенствования отношений с клиентами ДБО (включая уточнение текстов соответствующих договоров), модернизации моделей угроз надежности банковской деятельности и сценариев их развития (фиксируемых во внутренних документах кредитной организации по ОИБ) и т. п.

Следует заметить, что отмечавшаяся в комментарии к 4-му принципу управления рисками, приведенному в параграфе 5.2, возможность использования злоумышленниками специальных средств контроля сетевого трафика предполагает организацию противодействия со стороны кредитной организации. Такой контроль может вестись как пассивными («прослушка»), так и активными способами. Соответственно С Б такой организации целесообразно применять средства обнаружения «вторжения» в ее вычислительную сеть и контролировать сетевое пространство на предмет попыток перехвата конфиденциальной информации, НСД к банковским базам данных и программному обеспечению и других противоправных действий.

Наряду с рассмотренными мероприятиями в обеспечение надежности банковской деятельности необходимо строить многоуровневую, так сказать, «эшелонированную» систему защиты, в которой различные барьеры в виде политик, методов, процедур, средств разного уровня «работают» совместно. Надежность разнородных уровней защиты в первую очередь обусловлена тем, что, даже если каждому средству присущ какой-либо недостаток, эти недостатки не совпадают в эшелонированном периметре безопасности кредитной организации в целом; кроме того, появляется возможность «приобретения» совокупной квалификации, которая свойственна разным компаниям — разработчикам оборудования. Такой подход целесообразно четко отражать в «Политике обеспечения информационной безопасности» кредитной организации, распространяя его и на связанные с ней внутрибанковские документы и порядки, а при использовании нескольких систем ДБО, возможно, и в частных «политиках» такого рода.

Важно, чтобы руководство кредитной организации обеспечило условия совершенствования ОИБ по мере развития ДБО, при которых обеспечиваемая безопасность ее информационно-процессинговых ресурсов (в оптимальном варианте) соответствовала ее бизнес-моделям, критично важные файлы данных и программы были точно известны и особенно тщательно и контролируемо защищены от НСД и неавторизованного воздействия так, чтобы обеспечивалась действительно эффективная защита, учитывающая все возможные атаки. Необходимо наличие осознания и у исполнительных органов кредитной организации, и у ее специалистов по ОИБ того, что состояние «самоуспокоенности» — это серьезный дополнительный фактор риска, потому что, как отмечено в работе Crume /. Inside Internet Security: «Невозможность взломать компьютерную систему или проникнуть в вычислительную сеть не означает, что она безопасна, — это означает только то, что она неуязвима в данный момент для конкретного набора атак, а может быть и только то, что ее недостаточно испытывали на неуязвимость». Во всяком случае, должны быть разделены функции управления и контроля, разработки/модернизации и эксплуатации банковских автоматизированных систем, как и их администрирование, равно как и вычислительных сетей, баз данных и информационной безопасности. Все это должно быть описано в «Политике информационной безопасности» и контролироваться независимой службой — ВК.

Здесь уместно привести две цитаты из так называемых официально установленных в США «Стандартов Безопасности и Надежности» банковской деятельности[154] , а именно: «Каждый банк обязан осуществлять мониторинг, оценку и, при необходимости, корректировку Программы информационной безопасности в зависимости от затрагивающих соответствующие вопросы изменений в технологиях, значимости клиентской информации, внутренних или внешних угроз для информации, а также внесения банком изменений в свои деловые соглашения, таких как слияния и приобретения, совместная и партнерская деятельность, использование аутсорсинга и внесение изменений в клиентские информационные системы» и «каждый банк обязан как минимум ежегодно составлять для своего совета директоров или соответствующего комитета такого совета отчет с описанием общего состояния программы информационной безопасности и соответствия деятельности банка настоящим рекомендациям; в этом отчете следует рассмотреть значимые для этой программы вопросы, касающиеся: оценки риска, управления риском и соответствующих решений, отношений с провайдерами, результатов тестирования, нарушений безопасности и реакции на них, а также рекомендаций по внесению изменений в программу».

Эти законодательно закрепленные в США положения, возможно, было бы полезно использовать и отечественным кредитным организациям.

Наконец, целесообразно привести еще ряд соображений, высказанных в работе /. Сгите’а относительно учета в процедурах ОИБ, устанавливаемых в высокотехнологичной кредитной организации, некоторых специфических факторов возникновения дополнительных источников компонентов банковских рисков, о которых часто забывают, считая их незначительными:

1) брандмауэры — это только начало защиты. При организации сетевой защиты внимание уделяется преимущественно брандмауэрам. Это действительно критично важные компоненты защиты, но они защищают не от всех атак и не все атаки могут обнаружить;

2) не все «плохие парни» находятся вне организации. Предположение о том, что в организации все работники честные, а все мошенники действуют извне, далеко не всегда справедливо, примерно половина атак замышляются сотрудниками, хорошо знающими объекты атак и способными нанести гораздо больший ущерб, чем хакеры;

3) человек — самое слабое звено в компьютерной системе. Прочность цепи определяется ее слабейшим звеном; в компьютерном мире этим звеном может оказаться человек, которому

Вы читаете Применение технологий электронного банкинга: риск-ориентированный подход
Добавить отзыв
ВСЕ ОТЗЫВЫ О КНИГЕ В ИЗБРАННОЕ

0

Вы можете отметить интересные вам фрагменты текста, которые будут доступны по уникальной ссылке в адресной строке браузера.

Отметить Добавить цитату

Материалы, присутствующие на сайте, получены с публичных (широкодоступных) ресурсов. Если вы обладаете авторским правом на какую либо информацию, размещенную на сайте booksonline.com.ua и не согласны с её общедоступностью в будущем, то мы согласны рассмотреть предложения по удалению определенного материала, а также обсудить предложения о договоренностях, разрешающих использовать данный контент. Мы не отслеживаем действия пользователей, которые самостоятельно выкладывают источники текстов, являющиеся объектом вашего авторского права. Все данные на сайт, загружаются автоматически, не проходя заранее отбора с чьей либо стороны, что является нормой в мировом опыте размещения информации в сети интернет.

Не смотря на это, при возникновении у Вас вопросов касательно ссылок на информацию, размещенную на нашем сайте, правообладателями которой Вы являетесь, просим обращаться к нам с интересующим запросом. Для этого требуется переслать е-mail на адрес: [email protected]. В письме настоятельно рекомендуем подать такие сведения : 1.Документальное подтверждение ваших прав на материал, защищённый авторским правом: отсканированный документ с печатью, либо иная контактная информация, позволяющая однозначно идентифицировать вас, как правообладателя данного материала. 2. Прямые ссылки на страницы сайта, которые содержат ссылки на файлы, которые есть необходимость откорректировать.

Все права защищенны booksonline.com.ua

Рейтинг@Mail.ru Яндекс.Метрика Наш сайт в каталоге manyweb.ru