«свойственно ошибаться», особенно при недостаточной квалификации, чем часто пользуются хакеры;
4) пароли могут оказаться незащищенными. Пароли используются для идентификации личностей чаще всего, но это одно из наиболее слабых мест в защищаемых компьютерных системах, вследствие чего защита должна быть комплексной и контролируемой;
5) хакеры могут незаметно наблюдать за деятельностью. Прослушивание сетевого трафика или перехват передаваемой по вычислительной сети информации может раскрыть более чем достаточно сведений для хакера, стремящегося к получению прав и полномочий наиболее высокого уровня. Такие атаки являются пассивными, вследствие чего их трудно обнаружить, поэтому целесообразно применять средства обнаружения «прослушки» в вычислительных сетях;
6) устаревшее программное обеспечение уязвимо. Давно используемое программное обеспечение хорошо изучено хакерами, и его недостатки, обычно известные хакерскому сообществу, легко могут быть использованы в хорошо известных атаках. Необходимо постоянно следить за обновлением версий программного обеспечения технических средств, защищающих сетевые ресурсы, и разработать соответствующий порядок обновления;
7) установки по умолчанию могут быть опасны. Многие программно-технические средства часто поставляются с системными предустановками, которые хорошо известны хакерам (логины, пароли и т. д.). Следует отключить функции и сменить внутрисистемные установки;
8) лучше всего жуликов ловят другие жулики. Защита должна быть не «реактивной», а «проактивной». Необходимо представлять себе возможные действия хакеров и создавать модели нарушителей и возможных атак, а также сценарии их развития и последствий. На основе этого строится система обеспечения информационной безопасности, определяются методы и средства защиты данных и операций;
9) средства защиты от вирусов обычно неадекватны. Средствами антивирусной защиты или регулярностью их обновления часто пренебрегают. В то же время достаточно одной «удачной» атаки, чтобы нарушить или разрушить бизнес. Необходимо определить порядок и регламент работ с антивирусными средствами, назначить ответственных и контролирующих, обучить и контролировать пользователей;
10) «активное содержимое» может быть активнее, чем кажется. Такие средства формирования «активного контента», т. е. динамического и интерактивного содержания web-страниц, как Java, JavaScript, ActiveX могут использоваться и для скрытого вредоносного воздействия на компьютерные системы, краж данных и т. д. Часто полезно отключать их;
11) надежная вчера криптозащита ненадежна сегодня. Само по себе шифрование сообщений не гарантирует от их несанкционированного прочтения. По мере роста вычислительной мощности компьютеров и с применением распределенного подхода вероятность взлома повышается. Необходимо следить за устареванием средств криптозащиты;
12) «дверь черного хода» может оказаться открытой. Брандмауэры по периметру вычислительной сети защищают от сетевых проникновений, но не от атак через модемы, особенно несанкционированные. Необходимо следить за действиями пользователей и попытками такого проникновения через «дыры» в защите, проводя аудит линий связи;
13) не может быть «безвредных» атак. Даже если хакеру не удается нанести ущерб, скопировать какие-то данные или украсть деньги, сам факт проникновения может стать известен и негативно сказаться на «бренде» организации, вызвав в конце концов и одинаковые потери;
14) у хакеров прекрасное светлое будущее. Хакеров становится все больше, средства взлома всегда доступны на их web-сайтах и совершенствуются. Необходимо периодически пересматривать политику безопасности.
Мало того, «выиграть у хакеров невозможно, потому что у нормальных людей есть нормальные человеческие потребности: они работают, едят, пьют, спят, гуляют с девушками и т. д., а хакера все это не интересует — он живет только ради несанкционированного доступа и занимается только и исключительно этим круглосуточно».
В целом ЖЦ ОИБ должен поддерживать набор типовых внутрибанковских процедур, в состав которых целесообразно включать (как минимум):
разработку мер по ОИБ при принятии решения о внедрении новой банковской информационной технологии (в первую очередь ТЭБ), т. е. документально оформленное требование участия в проектировании, разработке, ПСИ, эксплуатации, модернизации и замене банковских автоматизированных систем;
контроль над реализацией этих мер при практическом внедрении программно-технических решений, в которые закладываются новые средства ОИБ и (или) модернизируются уже существующие, т. е. участие в ПСИ любого уровня, начиная со стадии подготовки программ и методик этих испытаний для банковских автоматизированных систем;
регулярную проверку функциональности и надежности средств ОИБ, т. е. участие в проверках функционирования этих средств и тестировании банковских автоматизированных систем, систем электронного банкинга, а также компьютерных систем и телекоммуникационных сетей;
то же — в отношении изучения состояния дел с ОИБ у провайдеров кредитной организации, с позиций оценки значимости инцидентов информационной безопасности (совместно с другими службами этой организации);
обеспечение адаптации мер по ОИБ при модификации действующих банковских автоматизированных систем и систем электронного банкинга и (или) выводе их из эксплуатации и замене, т. е. участие в их модернизации с проведением имитационного тестирования;
проведение проверок выполнения требований по ОИБ, изложенных в «Политике обеспечения информационной безопасности» кредитной организации и связанных с ней внутрибанковских документах.
Эти процедуры целесообразно специально разрабатывать и адаптировать для каждой из технологий электронного банкинга, используемой или предполагаемой для внедрения кредитной организацией, не забывая, что каждая из них после внедрения создает своего рода «виртуальные ворота» для доступа к ее информационно-процессинговым ресурсам. Очевидно, что доступ к этим ресурсам должен иметь только и исключительно легитимный пользователь, располагающий точно определенными правами и строго ограниченными полномочиями доступа. Необходимо подчеркнуть, что работа по обеспечению соблюдения таких ограничений и регулярному подтверждению их реального наличия
5.5. Адаптация внутреннего контроля
Такой вид деятельности, как внутренний контроль, исторически складывался в качестве механизма выявления и предотвращения случаев мошенничества или хищений, а также ошибок. Однако к настоящему времени сфера его применения существенно расширилась, охватывая разнообразные риски, связанные с банковской деятельностью кредитных организаций, а все перечисленное выше постепенно становится прерогативой формирующегося процесса ФМ (пока еще считающегося специализированной процедурой — компонентом процесса ВК). Изменение характера банковской деятельности, выражающееся в интенсивном использовании ДБО, разных вариантов ИКБД и обширных зональных сетей банкоматов и платежных терминалов,
