Анализ мероприятий, направленных на повышение уровня защищенности объекта информатизации банка

Размещено на http://www.allbest.ru/

Анализ мероприятий, направленных на повышение уровня защищенности объекта информатизации банка

Павлушин Дмитрий Александрович

Научный руководитель: Тургаева Аксана Альбековна

Доцент Департамента экономической безопасности и

управления рисками Кандидат экономических наук

Аннотация

В рамках представленной статьи автором рассматриваются особенности и сложности обеспечения информационной безопасности банка. По мнению автора, банк становится все более уязвимым для киберугроз из-за быстрого развития технологий и увеличения объема цифровых данных. Он акцентирует внимание на том, что для защиты конфиденциальности и надежности информации, важно проводить анализ мероприятий, направленных на повышение уровня защищенности объекта информатизации банка. Автор утверждает, что одним из ключевых аспектов является контроль доступа к данным. Важно управлять правами доступа сотрудников к информационным ресурсам и ограничить возможность несанкционированного доступа. Также необходимо обеспечить защиту от вирусов, вредоносных программ и хакерских атак путем использования современных антивирусных программ и мониторинга сетевой активности. По мнению автора, интеграция системы мониторинга информационной безопасности позволит оперативно выявлять и реагировать на потенциальные угрозы. Также стоит регулярно проводить аудит информационной безопасности для выявления уязвимостей и разработки мер по их устранению. информационный безопасность банк доступ

Автор формулирует вывод о том, что успешная реализация мероприятий по повышению уровня защищенности объекта информатизации банка требует комплексного подхода и постоянного мониторинга состояния безопасности информационных ресурсов. Помимо этого, было установлено, что несмотря на общее стремление обеспечивать информационную безопасность имеет целый ряд проблем, связанных в первую очередь с отсутствием избыточности мощностей в части поставки или предоставления резервных вычислительных ресурсов, программного обеспечения и энергоснабжения, а также чрезмерной централизацией в организационной структуре предприятия и недостаточным уровнем внимания к собственным сотрудникам и подрядчикам.

Ключевые слова: информационная безопасность; аудит; информационная защищенность; банковская система; кредитно-финансовая организация; аудиторские мероприятия; анализ эффективности

Abstract

Pavlushin Dmitry Alexandrovich Academic adviser: Turgaeva Aksana Afbekovna Analysis of measures aimed at increasing the level of security of the bank's informatization object

Within the framework of the presented article, the author examines the features and difficulties of ensuring bank information security. According to the author, the bank is becoming increasingly vulnerable to cyber threats due to the rapid development of technology and the increase in the volume of digital data. He focuses on the fact that in order to protect the confidentiality and reliability of information, it is important to analyze measures aimed at increasing the level of security of the bank's informatization object. The author argues that one of the key aspects is data access control. It is important to manage employee access rights to information resources and limit the possibility of unauthorized access. It is also necessary to ensure protection against viruses, malware and hacker attacks by using modern anti-virus programs and monitoring network activity. According to the author, the integration of an information security monitoring system will make it possible to quickly identify and respond to potential threats. It is also worth regularly conducting information security audits to identify vulnerabilities and develop measures to eliminate them.

The author formulates the conclusion that the successful implementation of measures to increase the level of security of a bank's informatization object requires an integrated approach and constant monitoring of the security status of information resources. In addition, it was found that despite the general desire to ensure information security, there are a number of problems associated primarily with the lack of redundancy in terms of supply or provision of backup computing resources, software and energy supply, as well as excessive centralization in the organizational structure of the enterprise and insufficient level of attention to own employees and contractors.

Keywords: information security; audit; information security; banking system; financial institution; audit activities; efficiency analysis

Введение

В современном мире информационная безопасность является одним из ключевых аспектов деятельности банковского сектора. В условиях постоянно возрастающих угроз со стороны киберпреступников и внутренних угроз безопасности, обеспечение защиты объекта информатизации банка становится приоритетной задачей.

Целью данного исследования является анализ мероприятий, направленных на повышение уровня защищенности объекта информатизации банка. В рамках данного анализа будут рассмотрены основные угрозы, с которыми сталкивается банк, а также принципы и методы защиты информации.

Объектом является -- кредитно-финансовая организация, предметом -- мероприятия, направленные на повышение уровня защищенности объекта информатизации банка.

Исследование будет охватывать различные аспекты информационной безопасности, включая технические, организационные меры, необходимые для обеспечения надежной защиты данных и информационных ресурсов банка. Будут проанализированы существующие стандарты и рекомендации по обеспечению безопасности информационных систем, а также определены наиболее эффективные практики в этой области.

Результаты исследования позволят выявить наиболее уязвимые места в информационной инфраструктуре банка.

Методы и материалы

При написании научной статьи автором применялись методы конкретизации, сравнения, индукции.

Для достижения данной цели в работе были поставлены следующие задачи:

• рассмотреть возможных нарушителей и злоумышленников;

• оценить роль тренировок и сплочения персонала в обеспечении информационной безопасности;

• проанализировать угрозы информационной безопасности на внутреннем и внешнем уровнях.

Теоретическую основу исследования составили научные публикации отечественных авторов. Наибольшее внимание было уделено работам А.В. Ситская, В.В. Селифанов, П.А. Звягинцева [1], А.Е. Чернов [2], И.Б. Бакин, К.Ш. Ниязова, С.М. Шведова [3].

Результаты и обсуждения

Для начала отметим, что весь набор возможных нарушителей можно разделить на группы в соответствии с несколькими классификациями в зависимости от их намерений, расположения, а также целей, преследуемых лицом, совершающим противоправные действия. При проведении анализа будем для удобства разделять нарушителей в зависимости от их возможностей по доступу к внутренней информационной среде объекта информатизации.

Здесь стоит отметить, что для некоторых типов злоумышленников такое разделение будет довольно условным, ведь иногда и внешний нарушитель может перейти в разряд внутренних. Во-первых, в нашей модели не отмечается каких-либо особых правил проверки кандидатов при поиске новых сотрудников. Предположим, что представители организации в соответствии с нашей моделью опираются только на образование, опыт и работоспособность сотрудников, а защиту от возможных утечек всецело оставляют отделениям компании, занимающимся обеспечением конфиденциальности информации уже во внутренней среде организации. В этом случае никакой специальной проверки благонадежности сотрудников проводиться не будет, а наличие свежего опыта работы у конкурентов будет считаться скорее дополнительным плюсом при принятии решения, чем подозрительным фактом [4].

Во-вторых, в соответствии с нашей моделью, кредитно-финансовая организация активно прибегает к услугам сторонних компаний, а также проводит различные встречи в своем основном здании. Таким образом, злоумышленнику будет несложно проникнуть в закрытую среду банка, даже не устраиваясь в него на работу. Однако, не располагая знаниями о составе набора, расположении и возможностях программных и технических средств защиты данных во внутренней среде, а также располагая ограниченным временем присутствия, злоумышленник не сможет нанести ощутимый вред предприятию. Тем не менее он сможет собрать информацию о некоторых защитных системах путем простого осмотра, а также использовать порты, которые на некоторых автоматизированных рабочих местах сотрудников были оставлены незакрытыми, для подключения носителей информации с вредоносным программным обеспечением. В этом случае успех атаки будет почти в полной мере зависеть от возможностей защитного программного обеспечения предприятия. Злоумышленника при этом устроит даже отрицательный результат атаки -- он сможет получить представление еще и о силе программной защиты организации и тщательнее планировать будущие нападения. В случае же успеха ущерб будет зависеть от задач, преследуемых нарушителем. Обычно вредоносное программное обеспечение стремится парализовать информационную систему, к которой у него появился доступ, или хотя бы ее часть. Также целью может быть избрано скрытное похищение информации, и тогда объем и важность похищенных данных будут зависеть от прав пользователя, которыми будет располагать вирус, и от срока его пребывания в системе от момента загрузки до момента обнаружения и удаления. В обоих случаях кредитно-финансовый объект рискует понести тяжелые финансовые и репутационные потери. Подобный риск усугубляется тем, что компания-конкурент, в интересах которой действовал злоумышленник, может при этом наоборот улучшить свои позиции на рынке, используя полученные программные наработки и фрагменты клиентской базы [4].

Дополнительно злоумышленник, получивший временный доступ ко внутренней среде организации может оставить в помещениях закладочные устройства, позволяющие вести запись или трансляцию звука или изображения. Такой способ нарушения конфиденциальности информации является довольно рискованным, так как найти аппаратуру при проведении проверки специалистам не составит труда, да и определить, кто ее оставил, будет несложно, если злоумышленник попадал на камеры внутреннего наблюдения. Тем не менее данный метод можно считать действенным, если нарушитель каким-то образом оказался знаком с политикой информационной безопасности и располагает сведениями о том, как часто и в каких помещениях проводятся проверки отсутствия постороннего оборудования.

Пожалуй, самым актуальным вариантом нарушителя из внешней среды будет для рассматриваемой организации один из ее же бывших сотрудников. Как отмечалось ранее, проводит увольнения сотрудников мелких отделений в связи с сокращением количества арендуемых помещений. Таким образом, лица, имевшие в течение продолжительного срока доступ во внутреннюю среду финансово-кредитной организации, могут располагать конфиденциальной информацией о защитных системах предприятия, а также об организационных и финансовых проблемах банка, выходящих за рамки применения информационных технологий. Кроме того, учетная запись таких сотрудников предусматривала право обработки персональных данных клиентов банка, а значит, какие-то фрагменты баз данных у увольняемых сотрудников рассматриваемого типа также могли сохраниться. Не менее важным является и тот факт, что бывшие сотрудники имеют представление о том, кто из остающихся во внутренней среде организации наиболее уязвим для психологических манипуляций, да и логично предположить, что какие-то контакты для общения между бывшими коллегами могли сохраниться.

В соответствии с построенной моделью, кредитно-финансовая организация не проводит каких-то специальных тренировок персонала на тему борьбы с угрозами конфиденциальности информации. Предположим, что все ограничивается лишь предварительным устным инструктажем. В таких условиях злоумышленники могут попытаться действовать любыми доступными им методами социальной инженерии. При этом подготовленному злоумышленнику будет гораздо проще убедить атакуемого допустить установку вредоносного программного обеспечения. К примеру, уволенный сотрудник при подготовке фишинговых писем сможет подделать стиль представителей руководящих звеньев организации или учесть интересы, личные предпочтения и особенности характера жертвы, а увольняемый -- еще и производить рассылку через внутреннюю почтовую службу предприятия, ведь письма с ее адресов будут вызывать у атакуемого больше доверия [5].

Гораздо более плохими последствиями может обернуться сценарий, при котором увольняют сотрудника, имеющего набор знаний о специфических направлениях внутреннего функционирования организации, к примеру связанных с разработкой и тестированием программного обеспечения или даже напрямую с информационной безопасностью организации. В этом случае злоумышленнику не придется прибегать к социальной инженерии -- ему не составит труда самостоятельно изыскать наиболее уязвимые места информационной системы, против которых должно быть направлено вредоносное программное обеспечение, или найти место, где закладочное устройство не только не найдут, но и где оно соберет наиболее ценную конфиденциальную информацию.

Наконец, рассмотрим случай, когда злоумышленник располагает довольно большим запасом ресурсов и способен добыть достаточное количество технических средств для преодоления информационной защиты организации. В этом случае попытки перехватывать сообщения, передаваемые между отделениями банка или автоматизированными рабочими местами сотрудников, окажутся бессмысленными -- сообщения передаются по защищенным каналам, и даже если какие-то из них будут перехвачены, у злоумышленника уйдет достаточно много времени на дешифрование, чтобы сделать попытки его применения бессмысленными. Пытаться получить доступ к акустическим каналам утечки информации также будет не слишком полезно, ведь самая важная информация воспроизводится в специально оборудованных переговорных комнатах. Наиболее эффективным решением для злоумышленника окажется аренда ботнета и использование его для проведения распределенной атаки типа «отказ в обслуживании». Анализируемая кредитно-финансовая организация фактически перевела обеспечение непрерывности предоставления клиентам информации на аутсорсинг (не имея возможности самостоятельно осуществлять за ним контроль), а также не имеет возможности быстро обеспечить работоспособность запасных программно-аппаратных комплексов [5].

Теперь рассмотрим случаи наличия нарушителей во внутренней среде банка. Тут ущерб будет напрямую зависеть от должности инсайдера.

Так, если нелояльным оказывается сотрудник небольшого второстепенного отделения, то отрицательные действия будут выражаться в подготовке и реализации атак с применением методов социальной инженерии, а также в похищении фрагментов базы данных клиентов.

Финансовые и репутационные потери от данного типа нарушителей можно считать возможным, но маловероятным событием -- нарушать конфиденциальность данных сотруднику опасно до тех пор, пока он имеет связь со своим предприятием просто потому, что его окажется проще идентифицировать. Скорее всего, реализованы угрозы такого типа будут уже в случае прекращения между сотрудником и банком деловых отношений.

Гораздо более вероятным является случай реализации угроз информации со стороны незлонамеренных инсайдеров. К ним относятся манипулируемые сотрудники организации, которые подверглись воздействию фишинга, и халатные (неосторожные) инсайдеры.

В обоих случаях нарушители не ставят своей целью нанесение вреда финансовокредитной организации. Напротив, порой их действия продиктованы стремлением заботиться об интересах собственной компании. Например, социальная инженерия может убедить некоторых сотрудников в необходимости технического обслуживания или обновлении программного обеспечения на их рабочем устройстве, что приводит к установке вредоносного программного обеспечения. Неосторожные инсайдеры могут забрать часть закрытой документации с собой с предприятия, имея желание поработать с ней за пределами рабочего места и времени, или оставить где-либо внутри или вне своей организации размещенный на бумажном носителе пароль от своей учетной записи, а кроме того, они могут ознакомить со своей деятельностью друзей или коллег, которые уже имеют цели, подразумевающие нарушение режима обеспечения информационной безопасности на объекте информатизации [6].

В условиях, когда тренировка и инструктаж сотрудников проводится не в полной мере или не проводится, ущерб от действий незлонамеренных инсайдеров может проявиться в полном возможном объеме и таким образом совпасть с ущербом для случая, когда посторонние имели весь тот же набор прав доступа, что и сотрудники организации.

Наихудшие последствия может иметь наличие инсайдеров любого типа на важных должностях в основном отделении банка. К примеру, в нашей модели оставлена возможность скрытного сбора документов организации в электронном виде, так как возможность подключения внешних устройств на ряде автоматизированных рабочих мест сотрудников банка не заблокирована, и в бумажном виде, так как в условиях отсутствия базы хранимых документов и отработанного регламента проверки бумажных носителей похищение злоумышленником какого-либо технического задания или финансового отчета не будет обнаружено.

В дополнение к названной возможности и к вероятному наличию у данного типа злоумышленников расширенного набора прав доступа повышена вероятность того, что они знают о наличии и расположении не покрываемых видеонаблюдением зон во внутренних помещениях организации. Это открывает перед нарушителями дополнительные возможности по размещению закладочных устройств, а также по несанкционированному доступу к учетным записям ближайших коллег, покинувших свое рабочее место, не завершив сессию, понадеявшись на автоматический выход из информационной системы. Сам факт длительного присутствия инсайдера в основном отделении банка означает помимо возможности вывода документации еще и наличие угрозы компрометации паролей к учетным записям других сотрудников, если порядок смены паролей не четко определен.

Помимо действий злоумышленников и нарушителей режима информационной безопасности отдельные категории угроз формируются случайными неблагоприятными событиями, а также компаниями, с которыми у банка налажено взаимодействие. К действиям поставщиков программного и аппаратного обеспечения и вычислительных ресурсов смоделированный банк особенно уязвим в первую очередь из-за высокого количества взаимодействующих предприятий, а также из-за низкой степени контроля за ними [6].

К примеру, территориальное расположение поставщиков антивирусов и системы обнаружения вторжения и противодействия кибератакам оставляет возможность нарушения сотрудничества вследствие законодательных актов одной из стран. Кроме того, удаленное расположение осложняет консультации в случае возникновения проблем с программным обеспечением или конфликта интересов взаимодействующих сторон.

Несколько другого рода проблемы касаются и компании, у которой арендуются серверы. Даже при близком расположении и наличии возможности проводить консультации по необходимости существует вероятность внезапного отказа во взаимодействии вследствие внутренних проблем компании-поставщика или налаживания связей с более выгодными арендаторами сразу по окончании очередного этапа контрактных отношений с рассматриваемой кредитно-финансовой организацией. В конце концов, всегда остается вероятность перекупки компании конкурентами при том, что банк располагает лишь «холодной» резервной аппаратно-программной инфраструктурой и не успеет оперативно ввести ее в эксплуатацию.

Еще один вид проблем кроется в самом процессе исполнения поставщиками своих обязанностей. Всегда остается вероятность халатного отношения и незлонамеренных ошибок с их стороны. Так, в соответствии с заданной моделью поставляемое программное обеспечение проверялось лишь при первой установке, его обновления могли внести в него новые уязвимости, о которых представители отдела информационной безопасности рассматриваемой организации уже не осведомлены. Схожая проблема касается и серверов -- банк имеет слабое представление о том, как компания-партнер способна противостоять атакам типа «отказ в обслуживании», обеспечивая непрерывность предоставления информации клиентам кредитнофинансовой организации. Также банк не может иметь актуального представления о том, не могут ли быть скомпрометированы хранимые на серверах базы данных и не нарушена ли их конфиденциальность уже к настоящему моменту.

Таким образом, несмотря на общее стремление обеспечивать информационную безопасность имеет целый ряд проблем, связанных в первую очередь с отсутствием избыточности мощностей в части поставки или предоставления резервных вычислительных ресурсов, программного обеспечения и энергоснабжения, а также чрезмерной централизацией в организационной структуре предприятия и недостаточным уровнем внимания к собственным сотрудникам и подрядчикам. Все названные проблемы в разной степени могут отрицательно сказываться на финансовых ресурсах и репутации организации, а отдельные проблемы имеют некоторое противоречие с нормативными актами Центрального банка Российской Федерации и должны быть устранены как можно скорее, прежде чем они будут выявлены при очередной проверке финансово-кредитной организации. Для понимания степени уязвимости предприятия к рассмотренным выше угрозам, а также создания инструмента для сравнения уровня защищенности до и после проведения аудита информационной безопасности формализуем и проанализируем приведенные сведения.

Для начала оценим, в какой степени стоит ожидать реализации той или иной угрозы информационной безопасности организации.

Первым шагом составим набор профилей возможных нарушителей и выделим на его основе перечень угроз, которые можно выделить в качестве актуальных для рассматриваемого объекта кредитно-финансовой сферы. При этом будем опираться также и на приведенное выше словесное описание. Для обеспечения удобства восприятия модель нарушителей была поделена на два раздела: описывающий нарушителей, в течение всего рассматриваемого периода остающихся во внешнем окружении организации и нарушителей, располагающих некоторым набором возможностей по доступу к ее внутренней среде. Для каждого расположения в соответствии с описанием организации и угроз можно выделить по четыре типа нарушителей, в числе которых лица, не имеющие отношения к организации, уволенные или уволившиеся сотрудники, инсайдеры, а также представители компаний, взаимодействующих с банком.

В обеих таблицах «+» обозначает, что нарушитель (отмеченный в заголовке соответствующего столбца) располагает достаточным количеством финансовых и технических средств, а также знаний, умений и навыков для реализации угрозы, отмеченной в первом столбце той же строки, либо, по крайней мере, имеет возможность в кратчайший срок обрести все недостающее.

Для удобства проведения дальнейшего анализа количество положительных отметок посчитано по всем столбцам и строкам. Получившийся результат указан в последней ячейке каждого столбца или строки. Во второй таблице в скобках в последнем столбце содержатся также суммы отметок «+» для каждой рассматриваемой угрозы по обеим таблицам.

Теперь в качестве справочного материала приведем отдельно перечень угроз, полученный по результатам анализа модели нарушителей и раскрывающий способы реализации, имеющие в модели нарушителей числовое обозначение (табл. 1).

Таблица 1

Перечень угроз информационной безопасности моделируемого объекта кредитно-финансовой сферы

Таким образом, в данной статье были проанализированы модель нарушителей и составленная на ее основе модель угроз, актуальных для рассматриваемого кредитнофинансового учреждения. Для этого применялись методики построения и экспертного анализа математических моделей, а также был выработан механизм оценки ущерба, понесенного в случае успешной реализации какой-либо угрозы.

По итогам анализа были выделены особенности банка, делающие его уязвимым для злоумышленников и чрезвычайных ситуаций. Была дополнительно отмечена полезность аудита информационной безопасности как инструмента исправления уязвимостей информационной среды. Далее собранный материал послужит основой для подбора мероприятий по исправлению уровня защищенности объекта информатизации и выявления наиболее эффективных из них.

Литература

1. Ситская, А.В. Вопросы аудита информационной безопасности / А.В. Ситская, В. Селифанов, П.А. Звягинцева // Безопасность цифровых технологий. 2023. № (110). С. 67-82. DOI 10.17212/2782-2230-2023-3-67-82. EDN QQWOSR.

2. Чернов, А.Е. Основные требования и принципы, учитываемые при разработке и внедрении политики информационной безопасности / А.Е. Чернов // Вестник науки. 2023. Т. 2, № 6(63). С. 693-699. EDN HGBFOC.

3. Бакин, И.Б. Проблемы управления рисками в сфере информационной безопасности / И.Б. Бакин, К.Ш. Ниязова, С.М. Шведова // Вестник РГГУ. Серия: Информатика. Информационная безопасность. Математика. 2023. № 3. 49-60. DOI 10.28995/2686-679X-2023-3-49-60. EDN KBZWYP.

4. Акулова, Э.А. Безопасность информационных технологий и оценка эффективности средств, методов защиты информации на предприятии нефтегазового комплекса / Э.А. Акулова // Вестник науки. 2023. Т. 5, № 10(67). С. 12-16. EDN VPRRZZ.

5. Читалов, М.В. Основы проведения комплексного риск-ориентированного аудита информационной безопасности / М.В. Читалов, Д.Б. Базанов // Международный журнал информационных технологий и энергоэффективности. 2023. Т. 8, № 7(33). С. 9-15. EDN CPUVNA.

6. Кондрашова, Н.Г. Аудит в России: аспект экономической безопасности / Н.Г. Кондрашова // Modern Economy Success. 2023. № 2. С. 327-331. EDN AQOEBC.

7. Макшанский, А.Р. Как проводить аудит безопасности информационных систем: основные этапы и методы / А.Р. Макшанский // Научный аспект. 2023. Т. 28, № 11. С. 3400-3404. EDN BKLKGU.

8. Шаукерова, З.М. Особенности применения IT-технологий в области аудита / З.М. Шаукерова, Д.М. Айкупешева, И. Жанимхан // Экономические и гуманитарные науки. 2021. № 3(350). С. 52-62. DOI 10.33979/20737424-2021-350-3-52-62. EDN JOUIMH.

9. Самохвалова, С.Г. Комплексная система защиты информации в организации / С.Г. Самохвалова, А.А. Ложкова // Тенденции развития науки и образования. 2021. № 73-1. С. 79-82. DOI 10.18411/lj-05-2021-20. EDN HRHCVW.

10. Стукалов, В.Е. Цели и задачи аудита информационной безопасности / Е. Стукалов // Молодой ученый. 2024. № 2(501). С. 16-19. EDN EMQQAF.

11. Денисенко, В.В. Аудит информационной безопасности организаций: методы и преимущества / В.В. Денисенко, А.М. Гончаров, И.П. Маслов // Наукосфера. 2023. № 11-2. С. 135-140. DOI 10.5281/zenodo.10219420. EDN OCUDZW.

12. Пожарова, Д.В. Развитие интернет-банкинга. Преимущества и недостатки банка "в кармане" / Д.В. Пожарова, А.Ю. Федько, Ю.Д. Васильева // Вестник Российского нового университета. Серия: Человек и общество. 2021. № 1. 46-51. DOI 10.25586/RNU.V9276.21.01.P.046. EDN BDJIGC.

Размещено на Allbest.ru