Чтение онлайн

Наиболее общий вариант предусматривает формирование DMZ (рис. 5.6) в вычислительных сетях с двумя брандмауэрами, разделяющими сетевые сегменты с возможностями внешнего доступа и доступа исключительно «изнутри». Граничный маршрутизатор фильтрует пакеты данных и обеспечивает защиту серверов во внешней зоне, тогда как первый брандмауэр предназначается для контроля доступа и защиты на случай, если эти сервера будут атакованы. Те сервера, которые требуется защищать от НСД и из внешней среды и из внутренней вычислительной сети, логично располагать между двумя брандмауэрами. Обычно DMZ реализуется с помощью сетевых коммутаторов, помещаемых между брандмауэрами или между брандмауэром и граничным маршрутизатором, при этом считается, что сервера удаленного доступа и точки входа в VPN лучше размещать в сетях с DMZ. Это позволяет уменьшить вероятность того, что внешние атаки смогут достичь внутренних сегментов, а с помощью брандмауэров будет усилен контроль доступа пользователей сети. В то же время управление конфигурациями такого рода и настройкой сетевых компонентов желательно документировать и контролировать «четырьмя глазами» в силу их значимости для кредитной

организации как упоминавшихся ранее «виртуальных ворот» к ее СЭБ, БАС и информационным активам.

В базовой конфигурации брандмауэры работают с малым числом сетевых уровней, усовершенствованные брандмауэры охватывают большее их число. В терминах функциональности последние более эффективны и предпочтительны. «Охват дополнительного уровня повышает „гранулярность“ конфигурации брандмауэра, т. е. он может осуществлять более детальный контроль и работать с большим числом прикладных программ и сетевых протоколов, а также стать клиент-ориентированным, выполняя проверку аутентичности». Брандмауэры, работающие только на уровнях 2 и 3, обычно для этого не пригодны, но более совершенные брандмауэры — прокси-шлюзы — могут обеспечивать опознавание и реагировать на шаблоны событий, ассоциируемых с клиентом. В кредитной организации целесообразно документально обосновать и установить уровни контроля сетевого трафика, распределив ответственность за настройку сетевых средств контроля и защиты и зафиксировав внутрибанковские документы, регламентирующие такие настройки и порядок их использования. К слову сказать, настройка брандмауэров является достаточно «тонкой» задачей, схожей с программированием, и для этого используются специалисты, обладающие необходимыми знаниями; их работу следует контролировать, поскольку неточности в такой настройке (допущенные случайно или намеренно) образуют «дыры» в сетевой защите кредитной организации, из-за чего ей и ее клиентам может быть нанесен значительный ущерб.

В современных условиях использования сетевых технологий в обеспечение банковской деятельности необходимой процедурой стало тестирование возможностей проникновения [151] в БАС и СЭБ кредитной организации (о чем упоминалось в главе 3 в связи с анализом жизненных циклов внутрибанковских процессов и автоматизированных систем). Такие процедуры целесообразно организовывать на основе официально принятых и документированных решений в кредитной организации, после чего для них специалистами службы ИТ и СБ при участии представителей ВК разрабатываются собственно тесты, контрольные примеры, программы и методики проведения тестирования, а также составляются итоговые документы (протоколы и акты). Для проведения таких тестов целесообразно использовать стендовые средства, аналогичные операционным в кредитной организации, с тем чтобы можно было отлаживать прикладные программы и проводить дополнительные испытания без вмешательства в текущую банковскую деятельность и ее приостановки для проведения очередных функциональных проверок.

Также следует отметить, что определение содержания, этапов, методик, средств тестирования и содержания итоговой отчетности по ним не должно оставаться неизменным на протяжении ЖЦ банковских автоматизированных систем и внутрибанковских процессов. Изменения в них обусловлены рядом причин: устареванием и компрометацией АЛО, внедрением новых технологий и систем электронного банкинга, возникновением нетипичных угроз надежности компьютеризованной банковской деятельности и т. д. Ввиду того что такие угрозы могут при неудачном стечении обстоятельств реализоваться в крупномасштабные инциденты информационной безопасности, сопоставимые по ущербу с форс-мажорными обстоятельствами, всей информации, которая имеет отношение к тестированию (особенно к его результатам), целесообразно официально придать статус сведений ограниченного распространения.

В плане контроля условий возникновения источников угроз кредитной организации и ее клиентам при использовании СЭБ необходимо обеспечить внедрение, функционирование и совершенствование внутрибанковского механизма обнаружения и фиксации свидетельств атакующих воздействий, а также сохранения «следов» и «образов» или, иначе, «шаблонов» атак [152] для их последующего анализа (в том числе комплексного). Этот механизм должен работать согласованно с процедурами доведения информации до руководства кредитной организации (например, в форме унифицированного отчета [153] ) и принятия защитных мер. Он должен учитывать и реакции на вторжения, это один из механизмов снижения уровней компонентов банковских рисков, связанных с недостатками в ОИБ кредитной организации. Поэтому актуальными становятся управление, ведение и анализ системных логов.

Изложенный подход

целесообразно расширить в направлении имитации инцидентов информационной безопасности в части моделирования угроз кредитной организации со стороны клиента и криминальных сообществ — в интересах поддержания, совершенствования и адаптации периметра информационной безопасности кредитной организации. Этому способствует статистический анализ ситуаций такого рода, при этом статистика набирается с помощью ее сервис-центра и в порядке ведения претензионной работы. Далее результаты этой работы следует использовать для улучшения ОИБ, совершенствования отношений с клиентами ДБО (включая уточнение текстов соответствующих договоров), модернизации моделей угроз надежности банковской деятельности и сценариев их развития (фиксируемых во внутренних документах кредитной организации по ОИБ) и т. п.

Следует заметить, что отмечавшаяся в комментарии к 4-му принципу управления рисками, приведенному в параграфе 5.2, возможность использования злоумышленниками специальных средств контроля сетевого трафика предполагает организацию противодействия со стороны кредитной организации. Такой контроль может вестись как пассивными («прослушка»), так и активными способами. Соответственно С Б такой организации целесообразно применять средства обнаружения «вторжения» в ее вычислительную сеть и контролировать сетевое пространство на предмет попыток перехвата конфиденциальной информации, НСД к банковским базам данных и программному обеспечению и других противоправных действий.

Наряду с рассмотренными мероприятиями в обеспечение надежности банковской деятельности необходимо строить многоуровневую, так сказать, «эшелонированную» систему защиты, в которой различные барьеры в виде политик, методов, процедур, средств разного уровня «работают» совместно. Надежность разнородных уровней защиты в первую очередь обусловлена тем, что, даже если каждому средству присущ какой-либо недостаток, эти недостатки не совпадают в эшелонированном периметре безопасности кредитной организации в целом; кроме того, появляется возможность «приобретения» совокупной квалификации, которая свойственна разным компаниям — разработчикам оборудования. Такой подход целесообразно четко отражать в «Политике обеспечения информационной безопасности» кредитной организации, распространяя его и на связанные с ней внутрибанковские документы и порядки, а при использовании нескольких систем ДБО, возможно, и в частных «политиках» такого рода.

Важно, чтобы руководство кредитной организации обеспечило условия совершенствования ОИБ по мере развития ДБО, при которых обеспечиваемая безопасность ее информационно-процессинговых ресурсов (в оптимальном варианте) соответствовала ее бизнес-моделям, критично важные файлы данных и программы были точно известны и особенно тщательно и контролируемо защищены от НСД и неавторизованного воздействия так, чтобы обеспечивалась действительно эффективная защита, учитывающая все возможные атаки. Необходимо наличие осознания и у исполнительных органов кредитной организации, и у ее специалистов по ОИБ того, что состояние «самоуспокоенности» — это серьезный дополнительный фактор риска, потому что, как отмечено в работе Crume /. Inside Internet Security: «Невозможность взломать компьютерную систему или проникнуть в вычислительную сеть не означает, что она безопасна, — это означает только то, что она неуязвима в данный момент для конкретного набора атак, а может быть и только то, что ее недостаточно испытывали на неуязвимость». Во всяком случае, должны быть разделены функции управления и контроля, разработки/модернизации и эксплуатации банковских автоматизированных систем, как и их администрирование, равно как и вычислительных сетей, баз данных и информационной безопасности. Все это должно быть описано в «Политике информационной безопасности» и контролироваться независимой службой — ВК.

Здесь уместно привести две цитаты из так называемых официально установленных в США «Стандартов Безопасности и Надежности» банковской деятельности [154] , а именно: «Каждый банк обязан осуществлять мониторинг, оценку и, при необходимости, корректировку Программы информационной безопасности в зависимости от затрагивающих соответствующие вопросы изменений в технологиях, значимости клиентской информации, внутренних или внешних угроз для информации, а также внесения банком изменений в свои деловые соглашения, таких как слияния и приобретения, совместная и партнерская деятельность, использование аутсорсинга и внесение изменений в клиентские информационные системы» и «каждый банк обязан как минимум ежегодно составлять для своего совета директоров или соответствующего комитета такого совета отчет с описанием общего состояния программы информационной безопасности и соответствия деятельности банка настоящим рекомендациям; в этом отчете следует рассмотреть значимые для этой программы вопросы, касающиеся: оценки риска, управления риском и соответствующих решений, отношений с провайдерами, результатов тестирования, нарушений безопасности и реакции на них, а также рекомендаций по внесению изменений в программу».

Эти законодательно закрепленные в США положения, возможно, было бы полезно использовать и отечественным кредитным организациям.

Наконец, целесообразно привести еще ряд соображений, высказанных в работе /. Сгите’а относительно учета в процедурах ОИБ, устанавливаемых в высокотехнологичной кредитной организации, некоторых специфических факторов возникновения дополнительных источников компонентов банковских рисков, о которых часто забывают, считая их незначительными: