Размещено на http://www.allbest.ru/

содержание

• 1. Базовые аспекты информационной безопасности в финансовых системах
• 1.1 Банковское законодательство в области ИБ
• 1.1.1 Регуляторы в области информационной безопасности
• 1.1.2 Основные нормативные документы
• 1.2 Статистика событий в области ИБ
• 1.2.1 Источники угроз
• 1.2.2 Направления угроз
• 1.2.3 Статистика инцидентов


1. базовые аспекты информационной безопасности в финансовых системах

законодательство информационный банковский угроза

Время конца XX - начала XXI веков является временем научно-технического прогресса. Повсеместное внедрение в жизнь простого человека информационных и в особенности коммуникационных результатов прогресса оказало огромное влияние на все сферы жизни - от личностной до государственной; от экономической до военной.

В современном мире человек и информационные технологии связаны на столько плотно, что многие люди не смыслят свою жизнь без телефона, социальных сетей, интернет-магазинов и мобильных банков.

Новый вид отношений слишком специфичен и не мог регулироваться действующим законодательством, что привело в появлению новых нормативных документов.

Но система защиты, построенная только в соответствии с законодательством, не будет полностью эффективна, так как скорость развития информационных технологий, способов и видов мошенничества не сопоставимы.

Таким образом, для построения системы безопасности необходимо проанализировать законодательство, нормативную базу отраслевого регулятора и изучить статистические данные по новым угрозам, преступлениям и способам защиты от них.

В дальнейшем, выстроенная система защиты требует оценки эффективности и регулярной актуализации.

1.1 Банковское законодательство в области ИБ

1.1.1 Регуляторы в области информационной безопасности

В Российской Федерации число регуляторов в области ИБ одно из самых больших. Государственные регуляторы: Федеральная служба по техническому и экспортному контролю (ФСТЭК), Федеральная служба безопасности (ФСБ), Служба внешней разведки, Федеральная служба охраны, Министерство связи и массовых коммуникаций, Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций Министерство обороны и Банк России. Три основных международных регулятора: PCI DSS Council, Visa, MasterCard, а также саморегулируемые отраслевые организации (Ассоциация Российских Банков, Ассоциация Региональных Банков) и др.

Рисунок 1Регуляторы в области ИБ в банковской сфере

Каждый из регуляторов действуем в сфере своей компетенции, определенной ему законом. Но при таком количестве регуляторов, направления их деятельности не могут не пересекаться, и, в результате, нормативные документы регуляторов, будучи не согласованными между собой, зачастую носят противоречивый характер, являясь обязательными для исполнения.

Для ухода от данной ситуации, Банк России в 2010 году, выпуская новую версию Стандарта Банка России СТО БР ИББС [1], согласовал ее с основными регуляторами (АРБ, Ассоциация "Россия", ЦБ, ФСТЭК, Роскомнадзор и ФСБ) [2]. Согласно этому письму банкам был предоставлен выбор - присоединиться к СТО БР ИББС или остаться один на один с регуляторами. При этом не было никаких изменений в порядок проведения проверок регуляторов и обязательность проведения проверки согласно положениям стандарта.

Не смотря на предпринятые меры, согласно исследованию, проведенному Ассоциацией Российских Банков, основной сложностью при реализации проектов по построению системы информационной безопасности остается большое число нормативных актов.

Диаграмма 1Сложности при ведении проектов информационной безопасности

1.1.2 Основные нормативные документы

Область информационной безопасности остается одной из самых «зарегулированных». Согласно статистике одного из экспертов компании Cisco [3], в среднем появляется 4 нормативных акта.

Рисунок 2Частота выхода нормативных актов в области ИБ

Базовыми документами являются, не касающимися на прямую ИБ, но регулирующие близкие виды деятельности, являются:

1. Конституция РФ

a. Ст.23 1. Каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени. 2. Каждый имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Ограничение этого права допускается только на основании судебного решения.

b. Ст.24 1. Сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются.

c. Ст.29 4. Каждый имеет право свободно искать, получать, передавать, производить и распространять информацию любым законным способом. Перечень сведений, составляющих государственную тайну, определяется федеральным законом.

d. Ст.17 ч.3 Осуществление прав и свобод человека и гражданина не должно нарушать права и свободы других лиц.

2. Доктрина информационной безопасности РФ

3. Конвенция Совета Европы о защите физических лиц при автоматизированной обработке персональных данных

4. Федеральный закон «О лицензировании отдельных видов деятельности»

5. Федеральный закон «О техническом регулировании»

6. Федеральный закон "О противодействии неправомерному использованию инсайдерской информации и манипулированию рынком и о внесении изменений в отдельные законодательные акты РФ"

Законы о деятельности регуляторов:

7. Федеральный закон «О системе государственной службы Российской Федерации»

8. Федеральный закон «О государственной гражданской службе Российской Федерации»

9. Федеральный закон «О судебных приставах» Федеральный закон «Об органах федеральной службы безопасности в Российской Федерации»

10. Федеральный закон «О внешней разведке» Федеральный закон «О государственной охране»

11. Федеральный закон «Об оперативно-розыскной деятельности»

12. Федеральный закон «О порядке освещения деятельности органов государственной власти в государственных средствах массовой информации» Федеральный закон «О защите населения и территорий от чрезвычайных ситуаций природного и техногенного характера»

13. Федеральный закон «Об экспортном контроле»

14. Федеральный закон «О военно-техническом сотрудничестве Российской Федерации с иностранными государствами»

15. Федеральный закон «О порядке выезда из Российской Федерации и въезда в Российскую Федерацию»

Непосредственно банковское законодательство:

16. Федеральный закон "О Центральном банке Российской Федерации (Банке России)"

17. Федеральный закон "О банках и банковской деятельности"

18. Федеральный закон "О страховании вкладов физических лиц в банках Российской Федерации"

19. Федеральный закон «Об архивном деле в Российской Федерации»

20. Федеральный закон «Об адвокатской деятельности и адвокатуре в Российской Федерации»

21. Федеральный закон «Об организации страхового дела в Российской Федерации» Федеральный закон «О бухгалтерском учете» Федеральный закон «Об акционерных обществах»

22. Федеральный закон «О рынке ценных бумаг»

23. Федеральный закон «Об инвестиционных фондах»

24. Федеральный закон «Об аудиторской деятельности» Закон Российской Федерации «О средствах массовой информации»

25. Федеральный закон "О несостоятельности (банкротстве) кредитных организаций"

26. Федеральный закон "О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма"

27. Федеральный закон "О выплатах Банка России по вкладам физических лиц в признанных банкротами банках, не участвующих в системе обязательного страхования вкладов физических лиц в банках Российской Федерации"

28. Федеральный закон "О валютном регулировании и валютном контроле" Федеральный закон "О кредитных историях"

Законы, непосредственно касающиеся ИБ:

29. Федеральный закон 149-ФЗ «Об информации, информационных технологиях и о защите информации»

30. Федеральный закон 63-ФЗ «Об электронной подписи»

31. Федеральный закон 152-ФЗ «О персональных данных»

32. Федеральный закон 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных»

33. Федеральный закон 98-ФЗ «О коммерческой тайне»

34. Федеральный закон 161-ФЗ «О национальной платежной системе»

Кроме того - Постановления Правительства и Указы Президента:

35. Постановление Правительства 584 "Об утверждении Положения о защите информации в платежной системе

36. Указ Президента РФ 188 «Об утверждении Перечня сведений конфиденциального характера»

37. Постановление правительства 781 «Об утверждении Положения об обеспечении безопасности ПДн при их обработке в ИСПДн»

38. Постановление Правительства 687 «Об утверждении Положения об особенностях обработки ПДн, осуществляемой без использования средств автоматизации»

39. Постановление Правительства 512 «Об утверждении требований к материальным носителям биометрических ПДн и технологиям хранения таких данных вне ИСПДн»

40. Постановление Правительства №608 «О сертификации средств защиты информации»

И многие другие, в том числе не менее двадцати документов регуляторов по ИБ. Не считая документы Банка России:

41. Стандарт Банка России (комплект из 10 документов)

42. Положение Банка России от 9 июня 2012 №381-П "О порядке осуществления надзора за соблюдением не являющимися кредитными организациями операторами платежных систем, операторами услуг платежной инфраструктуры требований Федерального закона от 27 июня 2011 года N 161-ФЗ "О национальной платежной системе", принятых в соответствие с ним нормативных актов Банка России"

43. Положении Банка России от 9 июня 2012 года №382-П “О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств

44. Положение Банка России от 31.05.2012 №379-П "О бесперебойности функционирования платежных систем и анализе рисков в платежных системах

45. Положение №380-П "О порядке осуществления наблюдения в национальной плат

46. Положение №2-П «О безналичных расчетах в РФ»

47. Положение №302-П «О правилах ведения бухгалтерского учета в кредитных организациях, расположенных на территории РФ

48. Положения №36-П «О межрегиональных электронных расчетах, осуществляемых через расчетную сеть Банка России»

49. Положение №242-П «Об организации внутреннего контроля в кредитных организациях и банковских группах»

50. Временное положение №17-П «О порядке приема к исполнению поручений владельцев счетов, подписанных аналогами собственноручной подписи, при проведении безналичных расчетов кредитными организациями

51. Положение №20-П «О правилах обмена электронными документами между Банком России, кредитными организациями (филиалами) и другими клиентами Банка России при осуществлении расчетов через расчетную сеть Банка России»

52. Положение №318-П «О порядке ведения кассовых операций в кредитных организациях на территории РФ» п. 2.8 «Организация работы с денежной наличностью при использовании банкоматов, электронных кассиров, автоматических сейфов и других программно-технических комплексов»

53. Положение №397-П "О порядке создания, ведения и хранения баз данных на электронных носителях"

54. Указание №2831-У “Об отчетности по обеспечению защиты информации при осуществлении переводов денежных средств операторов платежных систем, операторов услуг платежной инфраструктуры, операторов по переводу денежных средств”

55. Указание № 1176-У «О бизнес-планах кредитных организаций»

56. Указание № 2194-У «О внесении изменений в Положение Банка России от 16 декабря 2003 года N 242-П "Об организации внутреннего контроля в кредитных организациях и банковских группах»

57. Указание №1390-У «О порядке информирования кредитными организациями Центрального банка Российской Федерации об использовании в своей деятельности интернет-технологий»

58. Инструкция N 28-И Об открытии и закрытии банковских счетов, счетов по вкладам (депозитам)

59. А также более 10 писем ЦБ

Кроме того, 4 Российских стандарта ГОСТ и большое число международный практик, которые находят отражение в российском законодательстве.

Ориентирование, а тем более исполнение требований всех перечисленных документов, является нетривиальной задачей. Тем более, что построенная система информационной безопасности в кредитной организации должна не только соответствовать требованиям, но быть эффективной и адаптивной к изменениям законодательства.

1.2 Статистика событий в области ИБ

1.2.1 Источники угроз

В настоящий момент не существует не только единой базы инцидентов, связанных с информационной безопасностью, но даже единой терминологии. Большое число специфичных мошенников: самураи, фрикеры, хактивисты, кибер-воины и многие другие либо классифицируются как кибер-теорристы или мошенники, либо не классифицируются ни как.

В последнее время вернулась тенденция «социальных» преступлений, и по мимо денег, появляются другие мотивы: идеология, месть, эго и многие другие. Сейчас, когда хакерство перестало быть делом элиты, и для того, чтобы начать противоправную деятельность за частую не нужны никакие ресурсы кроме компьютера и интернета, все чаще банки и их клиенты подвергаются постоянным нападениям «любителей». И если банки относятся к своей защите серьезно, то клиенты теряют деньги.

1.2.2 Направления угроз

В связи с тем, что банки принимают серьезные меры по обеспечению внутренней защиты, злоумышленникам все сложнее стало получать с них прибыль. И вместо атаки «в лоб», кибер-преступники стали применять атаки на внешние сервисы банков и клиентов.

Рисунок 3Направление угроз

Так как клиент остается самым незащищенным звеном в банковской сфере, информационная безопасность банком переориентируется на максимально защищенные «внешние» банковские продукты и повышение уровня информирования и компьютерной грамотности клиента.

1.2.3 Статистика инцидентов

По статистике Банка России [4] (данные 2 полугодия 2012г. и 1 полугодия 2013г.), рост числа инцидентов продолжается сохранятся.

Диаграмма 2Количество инцидентов

При этом не во всех регионах России число инцидентов одинаково, более того, рост числа преступлений в регионах с большим числом инцидентов превалирует над остальными регионами.

Таблица 1Прирост числа инцидентов по ФО

1.3 Оценка информационной безопасности

Оценку информационной безопасности можно разделить на два вида: во-первых, это базовая оценка (оценка рисков) для построение проекта внедрения системы информационной безопасности (данный вид оценки должен проводиться и в дальнейшем, для актуализации реализованного проекта); во-вторых, это оценка экономической эффективности принятых мер.

Список литературы к первой главе

[1] Банк России, «Стандарты Банка России,» 2010. [В Интернете]. Available: http://cbr.ru/credit/Gubzi_docs/main.asp?Prtid=Stnd.

[2] Банк России;, «Документы АРБ,» 2010. [В Интернете]. Available: http://arb.ru/b2b/docs/412050/.

[3] «А. Лукацкий, Cisco,» [В Интернете]. Available: http://gblogs.cisco.com/ru/author/secrus74.

[4] Банк России, «Аналитический обзор инцидентов, связанных с нарушением требований к обеспечению защиты информации при осуществлении переводов денежных средств,» Июль 2013.

Размещено на Allbest.ru