Обеспечение информационной безопасности современного банка
Во-первых, банк с точки зрения информационной безопасности — компания повышенного риска. Банк оперирует деньгами. При этом автоматизированная банковская система (АБС), неотъемлемая составляющая корпоративной информационной системы банка, поддерживает процессы проведения выплат, предоставления кредитов, перевода средств и др., и очевидно, что незаконное манипулирование такой информацией может привести к серьезным убыткам. Во-вторых, современный банк предоставляет большое число сервисов, связанных с удаленным доступом к информационной системе банка. Это и персональный интернет-банкинг, и система интернет-доступа к финансовым рынкам, и система электронного документооборота, и многое другое. С этих позиций банк — "точка пересечения" публичных сетей (Интернет) и коммерческих финансовых сетей (Western Union, VisaNet, SWIFT и др.). В-третьих, на сегодняшний день банки обладают сложными информационными системами, которые включают большой набор "бек-офисных" и "фронт-офисных" приложений, нередко гетерогенных. А управление этими системами осложняется территориальной распределенностью компаний, наличием многочисленных филиалов и офисов. При этом информационная система современного банка является основой функционирования почти всех важнейших бизнес-процессов. Наконец, банк хранит конфиденциальную информацию своих клиентов. Кзащите корпоративной информационной системы современного банка предъявляются жесткие требования, основными из которых являются комплексность, интегрируемость, адекватность финансовым затратам, легитимность, управляемость, масштабируемость и отказоустойчивость.
Со стороны регулирующих органов, к банку также предъявляется множество требований и предлагается комплекс рекомендаций по обеспечению ИБ. В их числе — постановления и инструкции ЦБ РФ; недавно вышедший во второй версии стандарт СТО БР ИББС-1.0-2006, посвященный системе управления ИБ банка; различные международные стандарты, например, ISO 13569 "Banking and related financial services — Information security guidelines"; требования Basel II; различные требования международных платежных систем, например, Payment Card Industry Data Security Standard (PCI DSS), и другие. К основным элементам системы ИБ банка ("контрольным" точкам), которые должны соответствовать требованиям регулирующих органов и стандартов, относятся:
авторизация и аутентификация;
защита от несанкционированного доступа (НСД) к системам, в том числе и внутренняя защита от НСД сотрудников банка;
защита каналов передачи данных, обеспечение целостности и актуальности данных при обмене информацией с клиентами;
обеспечение юридической значимости электронных документов;
управление инцидентами ИБ;
управление непрерывностью ведения бизнеса;
внутренний и внешний аудит системы ИБ.
Какие существуют типичные атаки на банковские системы?
Атаки на системы "front-end" — это атаки, направленные на манипулирование с транзакциями, в том числе и с финансовыми. Это могут быть, например, атаки на терминалы (POS-терминалы или банкоматы), терминалы SWIFT и др. Данные атаки не получили широкого распространения, так как обеспечение ИБ транзакционных систем основано на использовании стойких криптографических алгоритмов как для шифрования, так и для электронной подписи. Единственное, чему стоит уделить внимание, — это надежной системе распределения ключей и физической безопасности терминалов.
Атаки на системы "back office". Это наиболее популярный вид атак, и совершаются они как внешними злоумышленниками, так и внутренними ("инсайдерами"). Атаки направлены на манипуляции с базами данных, которые осуществляются как через приложения, так и напрямую. Типов атак очень много. Например, одна из самых популярных — это атака типа "салями", когда счет округляется в "нужную" сторону. Для противодействия можно использовать широкий спектр контрмер. Это мониторинг и аудит, управление доступом, физическая безопасность, организационные меры, разделение среды разработчиков и операционной среды и др.
Как построить надежную систему ИБ, которая была бы адекватна вложенным в нее средствам? Здесь сразу стоит отметить различия в подходах к планированию бюджета ИБ у российских компаний и их коллег из ведущих стран мира. У нас финансовые директора и руководители "вспоминают" об ИБ, когда угроза реализуется уже в виде инцидента. Обычно в таких случаях начинается авральная работа по "латанию дыр" в системе ИБ, денег при этом тратится много, а эффект в большинстве случаев несоизмеримо мал. Зачастую в России деньги на ИБ выделяются из бюджета ИТ-подразделений, что не совсем правильно, так как цели ИТ и ИБ различны: цель корпоративной информационной системы — это доступность и эффективность ИТ-поддержки бизнес-процессов, а система информационной безопасности обеспечивает конфиденциальность, целостность данных, соответствие системы защиты действующему законодательству. Как показывает практика, российскими компаниями на ИБ выделяется 5–10% ИТ-бюджета, вне зависимости от уровня "зрелости" информационной системы. Хотя, например, у "молодого" бизнеса риски информационной безопасности выше, и вопросы ИБ должны стоять на первом месте (в том числе задачи классификации информации по степени ее важности для бизнеса, распределения ответственности в сфере обеспечения ИБ, формирования договорных отношений о конфиденциальности и уровне обслуживания, построения процессов обеспечения ИБ и технической архитектуры системы ИБ).
Ведущие мировые компании, в отличие от российских, основной упор делают на превентивные меры защиты, на анализ рисков, управление ИБ, в том числе построение процессов обеспечения непрерывности деятельности (disaster recovery), управления инцидентами (incident management) и др. Значение этих мероприятий трудно переоценить. Ведь если «взлом» системы — само по себе опасное событие, то отсутствие системы управления ИБ может усугубить последствия таких инцидентов. Поэтому зарубежные фирмы заранее прорабатывают вопросы, связанные с тем, как компания будет реагировать на возможные инциденты, какие мероприятия будут проводиться по устранению инцидента, его расследованию, чтобы предотвратить подобные ситуации в дальнейшем. И такой подход дает свои результаты. Пример — случай с CardSystems, когда украли информацию о 40 млн. (!) пластиковых карт. Удивительно, но компания, хотя и очень сильно пострадала, все же выжила. У нас же основной упор делается на комплекс технических средств, прежде всего сетевой безопасности, а точнее, защиту периметра, что совсем не означает построение системы ИБ…
Ответ на вопрос, сколько целесообразно потратить на обеспечение информационной безопасности, может дать только анализ рисков, желательно количественный, когда возможный ущерб компании измеряется в конкретных денежных суммах.
С чего начинать построение системы ИБ? Необходимо понимать, что обеспечение информационной безопасности — процесс непрерывный, а применяемые меры должны носить комплексный и превентивный характер. Еще один важный момент: эффективная защита невозможна без комплекса организационных мер. Должны быть определены цели, задачи, приоритеты и риски в области ИБ и с учетом этих факторов сформулированы требования к системе ИБ, разработана политика и система управления ИБ, регламенты, процедуры и пр. Выбор технических средств защиты также должен опираться на предварительно проведенный анализ рисков. Таким образом, построение системы ИБ банка целесообразно начинать с комплексного диагностического обследования основных бизнес-процессов и информационной системы банка, а также существующих инструментов обеспечения ИБ. Обследование (аудит) существующей системы информационной безопасности позволит установить, соответствует ли уровень безопасности информационно-технологических ресурсов банка выдвигаемым требованиям, т. е. обеспечиваются ли необходимые параметры конфиденциальности, целостности и доступности ресурсов информационной системы. В ходе диагностического обследования проводится анализ рисков. Для проверки способности информационной системы противостоять попыткам несанкционированного доступа и воздействия на информацию иногда целесообразно выполнять тесты на проникновение.
Результатом работ по диагностическому обследованию, помимо рекомендаций и предложений, может являться спроектированная система ИБ. Работы по проектированию системы ИБ банка также включают следующие этапы.
Разработка Концепции обеспечения информационной безопасности. Определение основных целей, задач и требований, а также общей стратегии построения системы ИБ, идентификация важных информационных ресурсов, выработка требований и базовых подходов к их реализации.
Создание политики ИБ.
Построение модели системы управления ИБ.
Подготовка технического задания на создание системы информационной безопасности.
Создание модели системы ИБ.
Разработка технико-рабочего проекта (ТРП) создания системы ИБ и архитектуры системы ИБ. ТРП по созданию системы ИБ включает следующие документы:
описание основных технических решений по созданию системы ИБ и организационных мероприятий по подготовке системы ИБ к эксплуатации;
обоснование выбранных компонентов системы ИБ и определение мест их размещения. Описание разработанных профилей защиты;
спецификацию на комплекс технических средств системы ИБ;
спецификацию на комплекс программных средств системы ИБ;
определение настроек и режима функционирования компонентов системы ИБ.
Тестирование на стенде спроектированной системы ИБ.
Разработка организационно-распорядительных документов системы управления ИБ по обеспечению информационной безопасности (политик, процедур, регламентов и т. п.).
Разработка рабочего проекта (включая документацию на используемые средства защиты и порядок администрирования, план ввода системы ИБ в эксплуатацию и др.), планирование обучения пользователей и обслуживающего персонала информационной системы.
При проектировании архитектуры системы ИБ необходимо учитывать, что ее эффективность может быть достигнута, если все компоненты представлены качественными решениями, функционируют как единый комплекс и, в случае распределенных систем, имеют централизованное управление.
Построение интегрированного решения обеспечивает ряд преимуществ: позволяет снизить совокупную стоимость владения системой ИБ, повысить коэффициент возврата инвестиций и улучшить управляемость системы.
Наша компания использует изделия Check Point в качестве "стержня" комплексной системы ИБ. Выбор решений для других компонентов системы ИБ также не случаен: их производители входят в консорциум OPSEC (Open Platform for SECurity), объединяющий более 300 компаний, продукты которых можно интегрировать. Используемая нами архитектура системы ИБ покрывает основные классы угроз и содержит следующие компоненты:
подсистему межсетевого экранирования;
подсистему защиты внутренних сетевых ресурсов;
подсистему защиты веб-ресурсов;
подсистему обнаружения и предотвращения вторжений;
антивирусную подсистему;
подсистему контроля содержимого интернет-трафика;
подсистему аутентификации и авторизации пользователей;
подсистему криптографической защиты информации;
подсистему протоколирования, отчета и мониторинга средств защиты;
подсистему физической защиты;
подсистему защиты рабочих станций;
подсистему управления ИБ.
После внедрения спроектированной системы необходимо обеспечить ее поддержку и сопровождение.
Какие продуктовые линейки можно рекомендовать современному банку при построении системы ИБ? Самое главное — это выстроить максимально интегрированную систему для обеспечения высокой управляемости системы ИБ и отслеживания событий ИБ.
В первую очередь, необходимо обратить внимание на защиту внутренних ресурсов. Здесь важны системы разграничения доступа и контроля трафика. Для этого могут быть использованы, например, инструменты Interspect и Infowatch фирмы Check Point.
При наличии сервиса интернет-банкинга или телефонного банкинга необходимо обеспечение строгой аутентификации, то есть использование двухфакторной аутентификации, например токенов Vasco или RSA SecureID. А также необходима защита рабочих мест клиентов банка — для этого могут быть использованы Check Point Integrity или Cisco Security Agent. Также стоит уделить внимание защите шлюзов интернет-банкинга — здесь можно порекомендовать средство Check Point Connectra. Необходимо обеспечить жесткий мониторинг и аудит системы ИБ. Здесь стоит отметить продукты Eventia Analyzer фирмы Check Point или MARS фирмы Cisco Systems. Особое внимание целесообразно уделить аспектам непрерывности работы и восстановления после катастроф, а также управления инцидентами ИБ.
Какие сложности могут возникать при организации проекта построения системы ИБ банка? При проведении такого рода работ банк часто обращается за помощью к внешним консультантам. Как выбрать надежного партнера, которому можно было бы доверить одну из самых критичных областей бизнеса? В первую очередь, компания-консультант должна иметь хорошую репутацию на рынке. Во-вторых, необходимо убедиться в обширном опыте работы в сфере ИБ как самой компании-консультанта, так и конкретных сотрудников, задействованных в проекте. В-третьих, необходимо наличие у исполнителя программно-аппаратных средств для построения испытательных стендов, проведения работ по проектированию и моделированию системы ИБ. Кроме того, наличие у исполнителя высоких партнерских статусов с поставщиками программно-аппаратных комплексов является определенной гарантией опыта компании-консультанта, а также дает право на расширенную поддержку и консультации с разработчиками решений. И главное — необходимо наличие у исполнителя центра поддержки, работающего в круглосуточном режиме.
Исходя из нашего опыта, наиболее востребованными сегодня являются услуги по построению системы управления ИБ (СУИБ), соответствующей стандарту ЦБ РФ СТО БР ИББС-1.0-2006, а иногда и "с прицелом" на дальнейшую сертификацию по ISO 27001. Наша компания выработала подход к построению процессно-ролевой модели системы управления ИБ, основываясь на стандарте и методике аудита ЦБ РФ, лучшей практике ITIL, NIST SP800-35 "Guide to Information Technology Security Services", рекомендациях Microsoft service management function (SMF), ISO 27701, а также существующих моделях ISM3, "The Systems Security Engineering Capability Maturity Model". В результате выделяются процессы обеспечения ИБ, описывается их связь с ИТ-процессами, строится ролевая модель. Это обеспечивает "прозрачность" СУИБ, основанной на оценке рисков, позволяет эффективно отслеживать изменения, вносимые в систему ИБ, дает преимущество в страховании информационных рисков, а также позволяет эффективно управлять системой в критических ситуациях, снижать и оптимизировать стоимость поддержки системы ИБ, получать другие преимущества.
