Чтение онлайн

Что касается организации информационных сечений, то менеджерам различных уровней целесообразно обращать внимание на наличие и содержание ролевых функций персонала кредитной организации при передаче (и, возможно, преобразовании) потоков данных из одной АС в другую. От этого зависит в первую очередь эффективность реализации в кредитной организации процессов управления, обеспечения информационной безопасности и внутреннего контроля, включая финансовый мониторинг. Как правило, без какого-либо хотя бы косвенного участия персонала в процедурах обработки (преобразования) данных при ДБО не обходится даже в случае упоминавшейся ранее автоматизированной сквозной обработки. В таких случаях целесообразно рассматривать, как минимум, следующие вопросы:

— предусмотрено ли наличие функций, выполняемых операторами БАС (или в ряде случаев систем ДБО) либо системными администраторами, обладающими полномочиями доступа к данным из поступающих ордеров клиентов, и если предусмотрено, то с какими правами, и существуют ли возможности несанкционированного считывания (хищения, утечки) информации, ее подмены или уничтожения, имитации проводимых операций как бы от лица легитимных клиентов и т. п.?

— могут ли функции, выполняемые уполномоченными

сотрудниками кредитной организации, давать возможности осуществления каких-либо мошенничеств разного рода: хищения финансовых средств (например, за счет подмены реквизитов ордеров), сокрытия сомнительных операций, подлежащих обязательному контролю, несанкционированного использования конфиденциальной информации (ключи или пароли доступа, кодовые фразы, персональные данные клиентов или сведения о проводимых ими операциях и т. д.)?

— внедрены ли в кредитной организации процедуры контроля над функциями, выполняемыми сотрудниками, имеющими доступ к информационным сечениям, и чем гарантируется эффективность этих процедур (используемые методы, внутрибанковские документы, примененные средства, способы и программы проверок, ответственность за проведение проверок и отчетность о проверках, гарантии невозможности реализации сговора или нелегитимных действий, приводящих к нарушению целостности данных и т. п.)?

Эти вопросы тесно связаны, хотя и не пересекаются полностью с проблематикой ОИБ в кредитной организации, включая защиту информационных и процессинговых ресурсов этой организации от неправомерного доступа с применением технологий ДБО.

Упомянутое выше «специальное внимание» может реализовываться в разных формах. Прежде всего логично разработать и внедрить процедуры контроля доступа к файлам данных, проходящим через значимые информационные сечения, например, между системами ДБО и БАС кредитной организации. В таких сечениях могут располагаться операторы какой-либо АС, системные или сетевые администраторы или операторы, специально выделенные для выполнения каких-либо функций. Ни один из таких сотрудников кредитной организации не должен обладать делегированными ему неконтролируемыми полномочиями (особенно при совмещении обязанностей, к примеру, системного администратора и администратора информационной безопасности, что нередко получается «само собой»). Особенно целесообразно ограничивать и контролировать возможные действия, следствием которых может стать нарушение целостности банковских данных или их утечка. В то же время для осознания образования такой «неконтролируемости» в виртуальном пространстве требуется знание о наличии возможностей для этого. Поэтому в материалах зарубежных органов банковского регулирования и надзора часто подчеркивается важность обеспечения следования так называемому принципу «четырех глаз» (двойного независимого параллельного контроля — особенно при принятии ответственных решений), что может быть отнесено ко многим направлениям банковской деятельности (необязательно связанным с информационными технологиями).

Важное значение имеет определение и описание защищаемых ресурсов с указанием их значимости для кредитной организации и ее клиентов. Таким документам лучше придавать статус «для служебного пользования» и разделять права доступа к ним между специалистами разных подразделений (естественно, на разумных основаниях — без ущерба функционированию кредитной организации, ее БАС и СЭБ, а также осуществлению ОИБ, ВК, ФМ и УБР). Анализ уязвимостей в распределенных компьютерных системах кредитной организации необходимо проводить сначала превентивно, а затем как на регулярной, так и на оперативной основе. При внедрении новой ТЭБ его в любом случае следует проводить превентивно в рамках предварительного анализа состава новых компонентов банковских рисков, впоследствии сопоставляя развитие реальной ситуации с прогнозировавшейся. Эта процедура завершается выбором, приобретением и установкой конкретных средств сетевой защиты от угроз, ассоциируемых с ИКБД. Поскольку количество таких угроз постоянно растет, в первую очередь ввиду «успехов» хакерского сообщества, для СБ логично отслеживать «достижения», связанные с «пробоем» средств защиты, к числу которых относятся в первую очередь брандмауэры и прокси-сервера (что было показано на рис. 5.2). Поэтому хорошей практикой считается изучение материалов, представляемых хакерским сообществом на многочисленных web-сайтах, используя их в том числе и для оперативной замены скомпрометированных средств защиты.

Вместе с тем известно, что «идеальных» способов и средств ОИБ в сетевых структурах до настоящего времени не существует. По существу, в современных условиях это обеспечение стало постоянным итеративным процессом: возникновение новых угроз надежности банковской деятельности — в это понятие входит и обеспечение гарантий конфиденциальности информации, обрабатываемой и хранящейся в кредитной организации — приводит к необходимости внедрения и совершенствования средств защиты информационно-процессинговых ресурсов кредитной организации. Каждое из возможных средств защиты характеризуется индивидуальными специфическими недостатками, причем, поскольку «то, что один человек сделал, другой всегда может сломать», со средствами сетевой защиты это происходит почти постоянно, из-за чего становится необходимой разработка специальной «политики управления обновлениями» [144] (или в буквальном смысле — «заплатками»).

Реализующая эту «политику» процедура (Patch Management) определяется как ОИБ компьютерных систем с целью противодействия атакам на компьютерные системы организации и обеспечения целостности ее АПО. По сути это компонент управления его модернизацией, включающий функции оценки текущей ситуации в отношении устойчивости АПО АС к атакам, приобретения средств, необходимых для коррекции выявленных недостатков, тестирования и включения «заплаток» в состав АПО. В обеспечение надежности описанной процедуры обычно разрабатывается специальное документарное обеспечение, хотя и не столь значительное по объему, как документы, регламентирующие

реализацию внутрибанковских процессов (объем зависит от «насыщенности» кредитной организации автоматизированными системами), но предназначенное для охвата всех компонентов вычислительной сети, которые могут потребовать модернизации.

В первую очередь это относится к компьютерным операционным системам и программному обеспечению сетевых экранов (брандмауэров), прокси-серверов, маршрутизаторов и т. п. В зарубежной литературе [145] решению этой задачи уделяется серьезное внимание, поскольку продолжение использования скомпрометированного программного обеспечения, его устаревших версий или несвоевременная инициация указанной процедуры могут образовать «дыры» в периметре безопасности кредитной организации и привести к реализации многих компонентов банковских рисков. Таким образом, эту процедуру логично утвердить официально, документально оформить, сделать, так сказать, «сторожевой» и довести до должностных инструкций ответственных исполнителей и их менеджеров.

Для удобства анализа построения и потенциальной уязвимости вычислительных сетей используется разработанная Международной организацией по стандартам’ так называемая модель «Взаимосвязи открытых систем» [146] . Эту модель, назначение которой заключается преимущественно в облегчении понимания содержания и организации сетевого взаимодействия, можно представить в виде семиуровневого описания следующим образом (табл. 5.3).

Таблица 5.3

Приведенная классификация удобна помимо прочего и для выбора средств сетевой защиты, достаточно сравнить ее с выдержкой из рекомендательного материала Национального института стандартов и технологий США [147] : «Сетевые брандмауэры представляют собой устройства или системы, которые контролируют прохождение сетевого трафика между вычислительными сетями с разными состояниями информационной безопасности. В большинстве современных приложений брандмауэры и условия их функционирования рассматриваются в контексте „интернет-связности“ и применения протоколов TCP/IP [148] .

В то же время брандмауэры применяются и в сетевых архитектурах, которые не связаны с интернет-приложениями. К примеру, в вычислительных сетях многих компаний брандмауэры используются для ограничения связности с внутренними сетями (в обоих направлениях), в которых циркулирует „чувствительная“ к НСД информация: данные бухгалтерского учета или персональные данные. Эти устройства образуют дополнительные уровни информационной безопасности, которые иначе отсутствовали бы».

В настоящее время доступны несколько типов платформ брандмауэров, предлагаемых разными компаниями. Одним из способов сравнения возможностей этих платформ является их анализ с позиций модели OSI и функционирования брандмауэра, использующего возможности разных ее уровней (абстрагирующие описание взаимодействия между компьютерными системами и сетевым оборудованием) [149] . Следует отметить, что данные адресации, по которым определяется конкретный компьютер, относятся к Уровню 2, они присваиваются сетевым интерфейсам и обозначаются аббревиатурой MAC [150] : примером может служить адрес сети Ethernet, присвоенный конкретной сетевой плате. Уровень 3, на котором осуществляется доведение сетевого трафика в ЗВС, — в Ethernet соответствует адресации по IP; такой адрес уникален, если отсутствует так называемая «трансляция сетевых адресов», с помощью которой под одним адресом данного уровня могут работать многие устройства (о значимости этих параметров еще будет сказано в параграфе 5.6 в связи с тем, что сведения о сетевом трафике — ценнейшая информационная основа для проведения расследований противоправной деятельности). Уровень 4 определяет сетевые приложения и сеансы связи. В отличие от адресации любая компьютерная система может иметь произвольное количество сеансов этого уровня с другими устройствами в той же вычислительной сети, в приложении к протоколу TCP/IP здесь используется также понятие «порт», которое интерпретируется как указатель на сеансы взаимодействующих приложений (прикладных программ). Остальные уровни в этом рассмотрении не имеют принципиального значения, поскольку относятся к описанию таких программ и компьютерных систем пользователя.