Необходимость управления информационной безопасностью банка

Аннотация. Создание глобальной информационной инфраструктуры поставило на повестку дня вопрос об информационной безопасности любого субъекта экономических отношений: коммерческих организаций,     банковских     организаций,     государственных     учреждений.     Защита     информации в автоматизированных системах имеет особое значение, т.к. обладает особенностями, которые сегодня следует учитывать.

Век привычной для нас традиционной, бумажной технологии ведения дел постепенно остается позади. Ускоренными темпами наступает информационная эпоха, что обусловлено скоростью изменений в технологиях и в развитии общества. Новые инфраструктуры наслаиваются на еще функционирующие старые и вытесняют их. Как справедливо замечает М. Кастельс, появление глобальной информационной инфраструктуры связано с высшей техногенной фазой постиндустриализма, в основе которой лежат невиданные ранее темпы развития, смены инновационных революций. Возникает принципиально новая ситуация, когда  цикл  жизни  всех  компонентов  воспроизводства  максимально  сужается. Технические и  технологические  инновации  требуют  переобучения,  частой  смены  профессии,  образа    мышления и поведения (тогда как в начале ХХ в. переход к новым технологиям и программному обеспечению, изменению стиля мышления занимал 3-4 года и был сопоставим с жизнью целого поколения, а полученная квалификация теряла свою актуальность через 10-15 лет).

Предпосылками возникновения глобальной информационной инфраструктуры явились следующие: создание полупроводниковых элементов, появление спутниковой связи, сетевых информационных технологий, породивших Интернет. Они появились в третьей четверти ХХ века. В современном информационном обществе основной экономической деятельностью является производство и применение информации для эффективного функционирования других форм производства.

Бурная информатизация банков, развитие тенденций распределенной обработки финансовых данных на базе современных средств вычислительной техники определили направление работы мирового сообщества по систематизации и упорядочению основных требований и характеристик таких систем, в том числе и по безопасности информации [1].

На пятьдесят седьмой сессии Генеральной Ассамблеи ООН (21.01.2003 г.) была принята резолюция «Создание глобальной культуры кибербезопасности». Генеральная Ассамблея, отмечая растущую зависимость государственных органов, предприятий, других организаций и индивидуальных пользователей от информационных технологий в плане предоставления насущно необходимых товаров и услуг, ведения дел и обмена информацией, признает, что по мере все большего вовлечения стран в информационное общество возрастает необходимость обеспечения кибербезопасности.

В качестве примера можно привести суммы экономического ущерба от компьютерных а так различных типов в 2004 году из материалов отчета Компании «mi2g», специализирующейся на оценке цифровых рисков [2]:

1. Экономический ущерб от DDoS-атак на сети в 2004 г. составил 34 млрд долл. во всем мире против 1 млрд долл. в 2003 г.
2. Фишингу или обману при аутентификации в сетях в 2004 г. подверглись 117 компаний, в 2003 г. – 54, а в 2002 г. этот феномен был практически неизвестен. Экономический ущерб от фишинга в 2004 г. – 44 млрд долл., в 2003 г. – 14 млрд долл.
3. 3,3 трлн спамерских сообщений было разослано в течение 2004 г., в 2003 г. их количество составило 1,6 трлн. Ущерб от спама в 2004 г. – 119 млрд долл., в 2003 г. – 58 млрд долл.
4. Ущерб от вирусов в 2004 г. – 165 млрд долл. по всему миру, в 2003 г. – 83 млрд долл.
5. Экономический ущерб от всех видов виртуальных напастей (включая все вышеперечисленное) составил в 2004 г. 411 млрд долл., в 2003 г. – 215 млрд долл.

В прогнозе долговременного развития человечества до 2020 г., опубликованном Советом по национальной безопасности США, говорится о необратимости глобализации, которая во многом определяется информационно-технологической революцией. Интернет охватит большинство городов мира и нашей страны к 2020 г., что окажет серьезное влияние на политику и экономику государств. Однако уже сейчас, по данным экспертов Совета Европы, только аферы с кредитными картами уносят ежегодно около 400 млн долларов. Убытки от вирусов составляют около 12 млрд, а нарушение прав собственности наносит ущерб в 250 млрд долларов [3].

Bank of America не так давно сообщил, что украдены компьютерные данные о счетах более миллиона клиентов, большинство которых – федеральные служащие. Среди пострадавших – несколько членов американского Сената, передало Би-би-си. В нашей стране МВД фиксирует аналогичные тенденции.

В доктрине информационной безопасности Российской Федерации, которая была утверждена Президентом В.В. Путиным 9 сентября 2000 г., отмечается, что «серьезную угрозу для нормального функционирования экономики в целом представляют компьютерные преступления, связанные с проникновением криминальных элементов в компьютерные системы и сети банков и иных кредитных организаций».

Сейчас в России все банки автоматизированы. Основной объем электронного информационного потока, проходящего через автоматизированные банковские системы (АБС), не содержит информации, которая представляет государственную тайну. Подобная информация может составлять ничтожную часть трафика российских АБС.

Исторически сложилось так, что в нашей стране проблемы безопасности ИТ десятилетиями изучались и своевременно решались преимущественно для защиты государственной тайны в военных или правительственных автоматизированных системах. Ранее весьма специфические проблемы коммерческого сектораэкономикиненашлисоответствующихрешенийввидуотсутствиятакогосектора. Внастоящеевремя это существенно мешает развитию безопасных информационных технологий в российском коммерческом секторе экономики, который, учитывая глобализацию информационного общества, интегрируется с мировым рынком.

Защита информации в коммерческих автоматизированных системах имеет значительные особенности, которые необходимо учитывать, так как они оказывают большое влияние на технологию информационной безопасности. Процесс обеспечения безопасности коммерческой автоматизированной информационной системы  базируется  на  научно-техническом  заделе  защиты  государственной тайны в военных или правительственных автоматизированных системах с учетом новейших теоретических и практических достижений мирового технологического рынка. В этой связи следует проанализировать специфику защиты коммерческой информации на примере АБС.

В задаче обеспечения безопасности коммерческой информации конкретной автоматизированной системы нет и не может быть заранее полностью готового, статичного решения [4]. Это диктуется динамикой рынка и связано с тем, что структура каждой коммерческой организации, функциональные связи между ее подразделениями и отдельными сотрудниками уникальны, динамично развиваются и практически никогда полностью не повторяются. Только непосредственное руководство организации на основе экономических аргументов и анализа рисков решает, насколько критично нарушение безопасности для компонентов своей информационной системы. Затем оно определяет, кто, когда и для решения каких задач может использовать те или иные информационные ресурсы и сервисы. Хорошим подспорьем в этой работе служит международный стандарт управления безопасностью ISO/IEC 17799:2000.

Важнейшим этапом для построения надежной и безопасной информационной системы является выработка политики безопасности и определение модели нарушителя. Под политикой безопасности понимается совокупность документированных управленческих решений, направленных на защиту информации и связанных с ней ресурсов. С практической точки зрения в нашей стране политику безопасности целесообразно создавать, учитывая специфику российского сектора экономики. Более конкретно проиллюстрируем этот тезис на примере АБС коммерческого банка, где сегодня сосредоточены и обрабатываются наиболее ценные информационные ресурсы в виде электронных платежных документов. Коммерческий банк как экономическое рыночное предприятие ориентируется, прежде всего, на получение прибыли при условии снижения различных издержек и рисков. Одним из самых популярных во всем мире решений этой проблемы служит автоматизация труда работников, которая в настоящее время осуществляется в основном за счет применения вычислительной техники и средств телекоммуникаций. Эффективно используемые вычислительная техника и средства телекоммуникаций позволяют снижать общие расходы и одновременно создавать качественно новые услуги. Любой банк или предприятие во многих странах мира (более 60 государств имеют законы об электронной цифровой подписи) может связаться с партнером посредством компьютерных сетей и решить свои финансовые, торговые или иные вопросы, оперативно обмениваясь посланиями или документами. Для этого нет необходимости в больших командировочных или иных накладных расходах.

Президент Люксембургской ассоциации по обеспечению безопасности информационных систем (CLUSSIL), начальник отдела аудита информационных технологий Комиссии по надзору за финансовым сектором отмечает, что в Европе давно перешли от общей качественной оценки угроз информационной безопасности к определению количественных величин информационных рисков, которые входят в состав операционных рисков и актуализируются с дальнейшим развитием ИТ.

В ст. 2 закона «О техническом регулировании» указывается, что «риск – вероятность причинения вреда…»,  а  «безопасность  –  состояние,  при  котором   отсутствует  недопустимый  риск,      связанный с причинением вреда…». То есть информационная безопасность – состояние информации при допустимом риске ее уничтожения, изменения или раскрытия, связанном с причинением вреда владельцу или пользователю информации.

При анкетировании российских банков по вопросам информационной безопасности большинство из них отметило необходимость учета экономической эффективности принятых решений по защите информации, что можно сделать при оценке рисков, которая включает такие положения:

• оценка рисков должна учитывать как внутренние, так и внешние факторы риска;
• должны быть определены риски, которые являются контролируемыми (управляемыми) организацией и неподконтрольными ей;
• все материально значащие риски должны оцениваться на непрерывной основе.

При этом целесообразно учитывать особенности условий защиты коммерческой информации в АБС:

• частная собственность;
• цель – прибыль и экономическая эффективность;
• специфическая модель угроз и нарушителя;
• работа в открытых системах;
• необходимость обеспечения юридической силы электронных документов;
• возможность страхования информационных рисков;
• неоднородность банковских организаций;
• важность определения ценности информации;
• динамичность (необходимость мониторинга) защиты;
• открытость средств защиты и т.д.

То есть защита информации в коммерческой автоматизированной банковской системе имеет значительные особенности, которые нужно учитывать, т.к.они оказывают большое влияние на технологию информационной безопасности.

Кроме этих факторов можно выделить также другие особенности современных банков, которые влияют на их информационную безопасность: 

• приоритет экономических, рыночных факторов, т.е. для банковской АБС очень важно всяческое снижение или исключение финансовых потерь, получение прибыли в условиях реальных рисков. Это включает минимизацию типичных банковских рисков, например, потерь за счет ошибочных направлений платежей, фальсификации платежных документов и т.д.;
• использование открытых распределенных систем и открытого проектирования, которое заключается в создании подсистемы защиты информации иными юридическими лицами из средств, широко доступных на рынке;
• большая динамика информационных, технологических и хозяйственных процессов, требующая постоянного мониторинга угроз и рисков для банковской или иной коммерческой информации, с соответственной оперативной реакцией системы защиты.

С расширением сферы деятельности банка, развитием взаимодействия электронных сетей, осуществлением совместных работ с другими юридическими лицами через Интернет возрастает риск или вероятность финансовых потерь. Известно, глобальной сетью объединены и одновременно работают многие миллионы всевозможных пользователей, преследующих различные и не всегда законные цели использования сети.

Неоднородность сферы деятельности различных банков делает объективно необходимым разработку конкретных стратегий, различных концепций информационной безопасности в зависимости от размеров организации (малый, средний, крупный бизнес), сфер деятельности (финансовая, производственная, внешнеторговая и пр.), национальных и региональных особенностей. Анализ рисков включает определение того, что нужно защищать, от чего защищаться и как защищаться. Для этого надо ранжировать все риски по их оценке и по уровню их важности. Остановимся на двух важных элементах стоимостного критерия анализа риска: классификация информационных ресурсов, выявление и ранжирование угроз  информации.

Определение ценности и классификация информационных ресурсов может проводиться только в условиях функционирования конкретной АБС или банка, т.к. рациональный уровень информационной безопасности выбирается из соображений экономической целесообразности. Ценность информации – это максимальный эффект, который может быть получен при ее использовании в рассматриваемом интервале времени. Целесообразно также рассматривать необходимое время существования информации выбранной категории ограничения доступности (грифа). Необходимо также учитывать специфику процессов использования информации, расход имеющихся ресурсов. Нужно заметить, что ценность информации рассчитывается для конкретных условий, характеристик потребляющих ее систем. Она может выражаться через деньги, затраты ресурсов, количество продукции, минимум затрат на восстановление системы.

Ценность информации может быть как положительной, так и отрицательной величиной. Информация с отрицательной ценностью подлежит уничтожению. Наиболее важным или ценным объектом защиты в АБС является электронный платежный документ, его информация или данные. Естественно, информация, обрабатываемая в АБС, не составляет государственную тайну и ее владельцами являются коммерческие банки или их клиенты. Документ – учетная единица, исполняющая функцию формализованного доказательного описания проведенной, логически завершенной, операции (транзакции). В случае возможных коллизий с электронным платежным документом для разбирательства споров между участниками расчетов в автоматизированной платежной системе приходится прибегать к услугам арбитров (третейских судов). Для электронного платежного документа приоритетным является обеспечение целостности и доступности информации по сравнению с ее конфиденциальностью или секретностью, которые наиболее важны в военных или правительственных системах. Очень важно в АБС обеспечить оперативную и своевременную доступность к электронному платежному документу вне зависимости от негативных случайных или преднамеренных воздействий на систему или обрабатываемую информацию. По данным статистики, представленным американской исследовательской фирмой FIND/SVP, отказ АБС (недоступность информации), используемой в среднем американском банке, приносит суммарный ущерб порядка 263 тыс. долларов в час.

Центральным банком РФ разработан стандарт «Обеспечение информационной безопасности организации банковской системы Российской Федерации. Общие положения», получивший учетный номер СТО БР ИБ БС-1.0-2006, в котором особое внимание уделяется управлению рисками. Структура документа включает следующие основные функциональные разделы стандарта:

• исходная концептуальная схема (парадигма) информационной безопасности;
• основные принципы обеспечения информационной безопасности;
• модели угроз и нарушителей;
• политика информационной безопасности;
• управление информационной безопасностью;
• модель зрелости процессов управления информационной безопасностью;
• аудит и мониторинг информационной безопасности.

Опытное внедрение стандарта проводилось в десяти регионах нашей страны региональными Управлениями Банка России в нескольких разнотипных кредитных организациях в 2005 г. Это стандарт по- своему уникален и является головным в целой серии банковских стандартов информационной безопасности. Он впервые создан в нашей стране и является вторым банковским стандартом в мире. Аналогичный стандарт был ранее создан Банком Франции и в настоящее время подобная работа по созданию национального банковского стандарта информационной безопасности ведется в Германии. Однако нужно заметить, что только в одной стране мира, а именно, во Франции, требования к информационной безопасности носят обязательный характер для банковского сообщества. В настоящее время в этом направлении ведется работа в Европейском центральном банке, в Германии, в США, в Англии.

Разумеется, можно было бы рекомендовать российским коммерческим банкам пользоваться этим стандартом и другими доступными документами Центрального банка Российской Федерации по защите информации. Но следует отметить диаметрально противоположные главные цели деятельности у банков разных видов собственности, сформулированные в законодательстве. Так, в ст.1 ФЗ «О банках и банковской деятельности» сказано: «Кредитная организация – юридическое лицо, которое для извлечения прибыли как основной цели своей деятельности на основании специального разрешения (лицензии) Центрального банка Российской Федерации (Банка России) имеет право осуществлять банковские операции, предусмотренные настоящим Федеральным законом». В ст. 3 Федерального закона «О Центральном банке Российской Федерации (Банке России)» говорится: «Получение прибыли не является целью деятельности Банка России». Разные цели порождают неодинаковые пути их достижения. При этом отдельные компоненты или средства их достижения могут быть сходными. Примером может служить то, что коммерческий банк, как рыночная организация, по сути своей является рискованным предприятием. Поэтому применяются и развиваются на зарубежных рынках различные теории и практические механизмы управления рисками, в том числе и компьютерными. Идет постоянный мониторинг и анализ рисков.

Таким образом, можно заключить, что в соответствии с положениями нового банковского стандарта информационной безопасности и ГОСТ Р ИСО/МЭК 15408-1-2002 нужно создать специальный стандарт (профиль) защиты, который будет учитывать перечисленные особенности коммерческих банков. Требования профиля информационной безопасности коммерческого банка позволят:

• оптимизировать расходы на защиту информации;
• обеспечить качественный аудит автоматизированных систем;
• решить вопросы внутреннего контроля организации.

СПИСОК ЛИТЕРАТУРЫ 

1. Завгородняя Т.В., Метелев С.Е. Рекламная программа банка. – Омск: ВЗФЭИ, РГТЭУ, 2011.– 228 с. 2 Кастелье М. Информационная эпоха: экономика, общество и культура / Пер. с англ. Под науч. ред.О.И. Шкаратана. – М.: ГУ ВШЭ, 2000. – 608 с.
2. Кораблева А.А. О выборе и внедрении корпоративной информационной системы на предприятии машиностроения (приборостроения) // Наука, образование, бизнес: Материалы региональной научно– практическойконференцииученых, преподавателей, аспирантов, студентов, специалистовпромышленности и связи, посвященной Дню радио.– Омск: Изд–во КАН, 2008. – С. 50–57.
3. Скородумов Б.И. Безопасность информации кредитно–финансовых автоматизированных систем: учебное пособие. – М.: МИФИ, 2002. – 164 с.