Размещено на http://www.allbest.ru/

Управление инцидентами информационной безопасности в крупной кредитно-финансовой организации

Введение

информационный безопасность кредитный финансовый

Мы живем в эру хайтек и информационные технологии уже успели стать самой быстро развивающейся сферой жизни. Это естественный ход развития человеческой деятельности. Очень сложно представить современную компанию, которая не использует в той или иной мере IT-технологии. Однако, такое стремительное развитие информационных технологий рождает все новые и новые угрозы целостности и безопасности информации, которая циркулирует в организации. Цели и задачи данного эссе: сформировать умение вырабатывать и корректно аргументировать свою точку зрения на решение новых задач, углубленно изучить пройденные темы, творчески осмыслить современную литературу по вопросам информационной безопасности, материалы периодической печати и иные источники информации и овладеть навыками логического изложения самостоятельных выводов и рекомендаций, направленных на решение отдельных задач и проблем фирмы.

Основная часть

Основные понятия

Ресурс - все, что имеет определенную ценность для компании.

Доступность - свойство, состоит в доступности и возможности применения для авторизованных пользователей сети.

Конфиденциальность - свойство системы, заключающееся в недоступности информации ли не раскрытии ее содержания для неавторизованных лиц, субъектов или процессов

Информационная безопасность - состояние системы, при котором обеспечивается доступность информации, целостность и конфиденциальность; более того, дополнительно так же могут иметься в виду другие свойства, такие как надежность, аутентичность, неотказуемость, подотчетность.

Событие информационной безопасности - идентифицированное зафиксированное состояние системы, сервиса или сети, говорящее о вероятном нарушении политики безопасности или отсутствии установленных механизмов защиты, либо прежде неизвестная ситуация, которая может иметь отношение к обеспечению безопасности в организации.

Инцидент информационной безопасности - одно или серия неожиданных происшествий (событий) информационной безопасности, имеющие высокую вероятность нарушения бизнес операций или представляющих угрозу для информационной безопасности.

Система управления информационной безопасности (далее СУИБ) - часть общей системы управления, основанная на оценке бизнес рисков, которая предназначена для создания, внедрения, эксплуатации, мониторинга и анализа сопровождения и совершенствования информационной безопасности. Система включает в себя политику, организационную структуру, действия по планированию, распределение ответственности, практику, процедуры, процессы и ресурсы.

Целостность - свойство заключающееся в обеспечении точности и полноты информации.

Остаточный риск - риск, остающийся после принятия мер по обработке риска.

Анализ рисков - систематическое использование информации для идентификации источников и оценки величины рисков.

Оценка риска - общий процесс анализа и оценивания риска.

Оценивание риска - процесс сравнения оценочной величины риска с установленным критерием оценки и его нормативным показателем с целью определения его уровня значимости.

Управление рисками - это координирование действий по управлению и контролю организации в отношении выявленных рисков.

Декларация о применимости - документированное заявление, описывающее цели и механизмы контроля, которые применимы и имеют отношение к СУИБ организации [1].

Кредитная организация - юридическое лицо, которое для извлечения прибыли как основной цели своей деятельности на основании специального разрешения (лицензии) Центрального банка Российской Федерации (Банка России) имеет право осуществлять банковские операции, предусмотренные настоящим Федеральным законом. Кредитная организация образуется на основе любой формы собственности как хозяйственное общество.

Банк - кредитная организация, которая имеет исключительное право осуществлять в совокупности следующие банковские операции: привлечение во вклады денежных средств физических и юридических лиц, размещение указанных средств от своего имени и за свой счет на условиях возвратности, платности, срочности, открытие и ведение банковских счетов физических и юридических лиц.

Небанковская кредитная организация:

1) кредитная организация, имеющая право осуществлять исключительно банковские операции, указанные в пунктах 3 и 4 (только в части банковских счетов юридических лиц в связи с осуществлением переводов денежных средств без открытия банковских счетов), а также в пункте 5 (только в связи с осуществлением переводов денежных средств без открытия банковских счетов) и пункте 9 части первой статьи 5 настоящего Федерального закона (далее - небанковская кредитная организация, имеющая право на осуществление переводов денежных средств без открытия банковских счетов и связанных с ними иных банковских операций);

2) кредитная организация, имеющая право осуществлять отдельные банковские операции, предусмотренные настоящим Федеральным законом. Допустимые сочетания банковских операций для такой небанковской кредитной организации устанавливаются Банком России;

3) кредитная организация - центральный контрагент, осуществляющая функции в соответствии с Федеральным законом от 7 февраля 2011 года N 7-ФЗ "О клиринге, клиринговой деятельности и центральном контрагенте" (далее - Федеральный закон "О клиринге, клиринговой деятельности и центральном контрагенте"). Допустимые сочетания банковских операций для небанковской кредитной организации - центрального контрагента (далее - центральный контрагент) устанавливаются Банком России. Банк России вправе определять дополнительные условия осуществления центральным контрагентом банковских операций [2].

Нормативно-правовая основа регулирования информационной безопасности

Вопросы регулирования информационной безопасностью в РФ находится в ведении следующих законов, нормативно-правовых актов и международных стандартов:

· Конституция РФ от 12.12.1993

· Федеральный закон от 02.12.1990 N 395-1 (ред. от 02.12.2019) "О банках и банковской деятельности"

· Указ Президента РФ от 31.12.2015 N 683 "О Стратегии национальной безопасности Российской Федерации"

· Федеральный закон от 27.07.2006 N 149-ФЗ (ред. от 02.12.2019) "Об информации, информационных технологиях и о защите информации"

· Указ Президента РФ от 17.03.2008 N 351 (ред. от 22.05.2015) "О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена"

· Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 31.12.2017) "О персональных данных"

· "ГОСТ Р 58412-2019. Национальный стандарт Российской Федерации. Защита информации. Разработка безопасного программного обеспечения. Угрозы безопасности информации при разработке программного обеспечения" (утв. и введен в действие Приказом Росстандарта от 21.05.2019 N 204-ст)

· ГОСТ 34.12-2018. Межгосударственный стандарт. Информационная технология. Криптографическая защита информации. Блочные шифры" (введен в действие Приказом Росстандарта от 04.12.2018 N 1061-ст) [3] и т.д.

Возможные инциденты информационной безопасности кредитно-финансовой организации

Сложности управления инцидентами информационной безопасности. Во многих компаниях не всегда возможно проследить за изменением количества и характера инцидентов информационной безопасности -- отсутствует процедура управления инцидентами. Часто отсутствие инцидентов не указывает на то, что система управления безопасностью работает правильно, а означает только, что инциденты не фиксируются или не определяются. Как правило, основные сложности при управлении инцидентами вызывают следующие моменты. Определение инцидента. В компании отсутствует методика определения инцидентов, а сотрудники не знают, какие события являются инцидентами. Это особенно важно в случае инцидентов информационной безопасности -- они не всегда мешают нормальной работе. Например, инцидентом безопасности будет оставление без присмотра на столе конфиденциальных документов, на что никто может и не обратить внимания, а злоумышленник (который может быть сотрудником компании) такие документы заметит. Оповещение о возникновении инцидента. Сотрудники компании зачастую не осведомлены о том, кого и в какой форме следует ставить в известность при возникновении инцидента, -- например, не определены ни формы отчетов, ни перечень лиц, которым необходимо отправлять отчеты об инцидентах. Даже если сотрудник заметит, что его коллега уносит для работы домой конфиденциальные документы компании, он не всегда знает, какие действия следует предпринимать в данной ситуации.

Наиболее опасными в финансовых организациях являются атаки на платежную инфраструктуру. в этих случаях банк несет прямые финансовые потери, которые исчисляются десятками и сотнями миллионов рублей. Специалисты по ИБ прекрасно помнят серию атак 2016 г. на платежную систему Банка России (атаки на арМ кБр), общий ущерб от которых превысил 1,5 млрд рублей. Свежи в памяти произошедшие в 2016-2017 гг. несанкционированные списания с корреспондентских счетов банков через систему SWIFT. Так же есть атаки на процессинговые центры банков с выводом средств через банкоматы. Эти атаки условно можно разделить на две категории. Первая - это заражение подсистемы управления банкоматами или через нее - самих банкоматов, с последующей подачей команды на выдачу наличных. Злоумышленникам остается только в нужный момент подойти к банкомату с рюкзаком достаточного объема и принять купюры. Второй способ - это взлом процессинга с последующим зачислением на заранее полученные карты очень значительных сумм. Далее происходит обналичивание этих средств через банкоматы различных банков.

Управление инцидентами информационной безопасности кредитно-финансовой организации

Особенности систем ИБ в банках связаны прежде всего с тем, что в них обрабатывается информация о реальных денежных средствах, расчетных счетах, реальных денежных переводах, а также с тем, что из этих автоматизированных систем осуществляется управление устройствами, выдающими реальные деньги, - банкоматами. Для того чтобы увидеть у себя на счете цифру с 6-7 нулями, не обязательно всю жизнь упорно трудиться, можно просто дописать несколько нулей к уже имеющейся там сумме. Поэтому значительные усилия специалистов по ИБ в финансовых организациях направлены на защиту платежной инфраструктуры и платежных процессов. В отличие от других организаций, в банках существует понятие банковской тайны - это информация об операциях, счетах и вкладах клиентов и корреспондентов банка. Так как большинство банковских операций и большая часть обрабатываемой в банке информации относятся к банковской тайне, задача обеспечения ее защиты может быть решена только путем построения сложной комплексной системы защиты. Схожая ситуация складывается и с защитой персональных данных. В банках они обрабатываются в значительных объемах, и их необходимо защищать в соответствии с законом 152-фЗ . Некоторое время назад систему информационной безопасности обычно делили на две части: защиту периметра вычислительной сети организации и защиту внутренних хостов. В качестве периметровых средств защиты использовались:

· системы межсетевого экранирования (МсЭ);

· системы обнаружения/предотвращения атак (IDS/IPS);

· модули DLP-систем для контроля почтового и Web-трафика;

· системы контентной фильтрации при доступе работников организации в сеть Интернет;

· антивирусные средства на почтовом сервере и на прокси-сервере доступа в сеть Интернет и ряд других средств.

В качестве защиты хостов, как правило, применялись:

· антивирусные средства;

· персональные МсЭ;

· хостовые модули систем IDS/IPS;

· хостовые модули DLP-систем;

· средства контроля использования работником периферийных устройств, прежде всего USB-накопителей.

Многие решения для защиты конечных устройств (Endpoint) стали объединять в себе значительную часть перечисленного функционала.

В последнее время и в периметровую, и в хостовую части стали добавлять средства защиты от таргетированных атак (средства класса APT, EDR). Кроме того, в последнее время разработчики уделяют внимание взаимодействию периметровых и хостовых средств защиты для повышения эффективности выявления и противодействия современным кибератакам. Поэтому зачастую использование периметровых и хостовых средств защиты одного производителя имеет дополнительные бонусы в части более тесного взаимодействия этих средств между собой.

Процедура управления

Как любая корпоративная процедура, организация управления инцидентами информационной безопасности должна пройти несколько этапов: от принятия решения о его необходимости до внедрения и аудита. На практике менеджмент большинства предприятий не осознает необходимости применения этой практики защиты информационного периметра, поэтому для возникновения инициативы о ее внедрении часто требуется аудит систем ИБ внешними консультантами, выработка ими рекомендаций, которые затем будут реализованы руководством предприятия. Таким образом, начальной точкой для реализации процедур управления инцидентами ИБ становится решение исполнительных органов или иногда более высоких звеньев системы управления компании, например, Совета директоров.

Общее решение обычно принимается в русле модернизации существующей системы ИБ. Система управления инцидентами является ее основной частью. На уровне принятия решения необходима его локализация в общей парадигме целей компании. Оптимально, если функционирование системы ИБ становится одной из бизнес-целей организации, а качество ее работы подкрепляется установлением ключевых показателей эффективности для ответственных сотрудников компании. После определения статуса функционирования системы необходимо перейти к разработке внутренней документации, опосредующей связанные с ней отношения в компании.

Для придания значимости методикам управления информационной безопасностью они должны быть утверждены на уровне исполнительного органа (генерального директора, правления или совета директоров). С данными документа необходимо ознакомить всех сотрудников, имеющих отношение к работе с информацией, существующей в электронных формах или на материальных носителях.

В структуре документа, оформляемого в виде положения или регламента, должны выделяться следующие подразделы:

· определение событий, признаваемых инцидентами применительно к системе безопасности конкретной компании. Так, пользование внешней электронной почтой может быть нарушением ИБ для государственной компании и рядовым событием для частной;

· порядок оповещения о событии. Должны быть определены формат уведомления (устный, докладная записка, электронное сообщение), перечень лиц, которые должны быть оповещены, и дублирующие их должности в случае их отсутствия, перечень лиц, до которых также доносится информация о событии (руководство компании), срок уведомления после получения информации об инциденте;

· перечень мероприятий по устранению последствий инцидента и порядок их реализации;

· порядок расследования, в котором определяются ответственные за него должностные лица, механизм сбора и фиксации доказательств, возможные действия по выявлению виновника;

· порядок привлечения виновных лиц к дисциплинарной ответственности;

· меры усиления безопасности, которые должны быть применены по итогам расследования инцидента;

· порядок минимизации вреда и устранения последствий инцидентов.

При разработке регламентов, опосредующих систему управления событиями ИБ, желательно опираться на уже созданные и показавшие свою эффективность методики и документы, включая формы отчетов, журналы регистрации, уведомления о событии.

Устранение причин и последствий события, его расследование

Непосредственно после уведомления соответствующих должностных лиц о произошедшем инциденте и его фиксации необходимо совершить действия реагирования, а именно устранения причин и последствий события. Все этапы этих процессов должны найти свое отражение в регламентах. Там описываются перечни общих действий для отдельных наиболее значимых событий, конкретные шаги и сроки применения мер. Необходимо также предусмотреть ответственность за неприменение установленных мер или недостаточно эффективное их применение.

На этапе расследования от должностных лиц организации требуется:

· определить причины возникновения инцидента и недостатки регламентирующих документов и методик, сделавших возможным его возникновение;

· установить ответственных и виновных лиц;

· собрать и зафиксировать доказательства;

· установить мотивы совершения инцидента и круг лиц, причастных к нему помимо персонала компании, выявить заказчика.

Если предполагается в дальнейшем возбуждение судебного преследования по факту инцидента на основании совершения преступления в сфере информационной безопасности или нарушения режима коммерческой тайны, к расследованию уже на начальном этапе необходимо привлечь оперативно-следственные органы. Собранные самостоятельно факты без соблюдения процессуальных мер не будут признаны надлежащими доказательствами и приобщены к делу. [4]

Вывод

Банковская сфера сталкивается с необходимостью обработки очень больших массивов данных, в том числе персональных и конфиденциальных. Соответственно необходимость соблюдения стандартов защиты информации, выполнения всех законодательных требований и управления инцидентами информационной безопасности в крупной кредитно-финансовой организации подтверждает свою актуальность. Международный стандарт ISO 27001:2005 обращает особое внимание на необходимость создания процедуры управления инцидентами информационной безопасности -- очевидно, что без своевременной реакции на инциденты безопасности и устранения их последствий невозможно эффективное функционирование системы управления информационной безопасностью. К сожалению, в процессе аудита различных информационных систем приходится сталкиваться с множеством проблем регистрации и расследования инцидентов, свидетельствующих о том, что стандартам на предприятиях уделяется очень мало внимания.

Список использованной литературы и интернет ресурсов

информационный безопасность кредитный финансовый

1. «Информационные технологии - Методы защиты - Системы менеджмента информационной безопасности - Требования» МЕЖДУНАРОДНЫЙ ISO/IEC СТАНДАРТ 27001 Вторая редакция 2013-10-01

2. Федеральный закон от 02.12.1990 N 395-1 (ред. от 02.12.2019) "О банках и банковской деятельности"

3. Консультант Плюс // http://www.consultant.ru/cons/cgi/online.cgi?rnd=64B49E78DD2346E061B8C4999C05104E&req=home

4. Управление инцидентами информационной безопасности // https://searchinform.ru/informatsionnaya-bezopasnost/dlp-sistemy/upravlenie-intsidentami-informatsionnoj-bezopasnosti/

Размещено на Allbest.ru