Кібербезпека банківських та комерційних структур
1. Інформаційна безпека банківської установи. Суть, мета, завдання
Розглянемо спочатку коротко поняття безпеки банку взагалі. А далі в цьому контексті будемо розглядати управління інформаційною безпекою банківської установи.
Безпека банку визначається як стан стійкої життєдіяльності, при якому забезпечується реалізація основних інтересів і пріоритетних цілей банку, захист від зовнішніх і внутрішніх дестабілізуючих факторів незалежно від умов функціонування.
Тому у процесі розроблення концепції управління банківською діяльністю варто виділити основні процеси функціонування банку і виключити можливість витоку інформації, її несанкціонованого використання, нанесення збитків, упущення вигоди з боку всіх зацікавлених сторін і в напрямі досягнення основних цілей банківської діяльності. Реалізація цих положень гармонійно вписується в концепцію корпоративного управління банківською діяльністю, до якої сьогодні залучаються дедалі більше банків.
Управління інформаційною безпекою банку і повинно стати частиною цієї концепції.
Головним критерієм ефективності та якості інформаційної безпеки банку є стійкість його фінансового та економічного розвитку згідно з планами і завданнями незалежно від зміни ситуації.
Метою діяльності банку щодо забезпечення інформаційної безпеки є зниження загроз інформаційній безпеці до прийнятного для банку рівня.
Основними завданнями банку щодо забезпечення інформаційної безпеки є:
- виявлення потенційних загроз інформаційній безпеці банку і вразливостей (слабкість одного або декількох активів, яка може бути використана однією або декількома загрозами);
- запобігання інцидентам інформаційної безпеки;
- нейтралізація або мінімізація загроз інформаційній безпеці банку.
Стрімка інформатизація та розвиток глобальних інформаційно-комунікаційних мереж окрім автоматизації звичних банківських процесів ще й постійно надають можливості створення нових банківських продуктів (послуг) (таких як “SMS -банкінг”, “Інтернет-банкінг”, “WebMoney Banking” тощо).
В умовах значної залежності банківської діяльності від надійності інформаційних технологій, які вона використовує, забезпечення інформаційної безпеки стає однією з фундаментальних засад існування банківської системи взагалі. Одним з основних напрямків забезпечення інформаційної безпеки будь- якої банківської установи є охорона банківської таємниці.
У структурі інформаційної безпеки банківської установи виділяють такі основні складові:
- безпека інформаційних ресурсів;
- безпека інформаційної інфраструктури;
- безпека інформаційного поля.
Інформаційні ресурси банківської установи - це взаємозв’язана, упорядкована, систематизована інформація, яка циркулює в інформаційній системі банківської установи, зберігається на матеріальних носіях, і яка належить банківській установі. Відповідно безпека інформаційних ресурсів полягає у збереженні такої інформації від несанкціонованого розповсюдження, використання і порушення її конфіденційності.
Безпека інформаційної інфраструктури полягає у такому стані захищеності електронно-обчислювальних ма ш ин (комп’ютерів), систем та комп’ютерних мереж і мереж електрозв’язку банківської установи, яка забезпечує цілісність і доступність інформації, що в них обробляється (зберігається чи циркулює).
Безпека “інформаційного поля” банківської установи ґрунтується на контрольованості здебільшого несистематизованих потоків інформації, що оприлюднюється різноманітними учасниками інформаційних відносин: теле- радіо-організаціями, друкованими ЗМІ, Інтернет-виданнями, конкурентами, органами державної влади, місцевого самоврядування тощо.
Незважаючи на стрімкий розвиток інформаційно-комунікаційних технологій завдання дієвого вирішення питань інформаційної безпеки для кожної організації (підприємства, установи) є індивідуальним.
Зазначимо, що для банківських установ процеси забезпечення інформаційної безпеки регламентовано краще, ніж для багатьох інших галузей : існують закони і стандарти забезпечення належного рівня інформаційної безпеки, якими банки повинні керуватися у своїй діяльності, зокрема: Закони України “Про інформацію”, “Про захист інформації в інформаційно- телекомунікаційних системах”, стандарти Національного банку України СОУ Н НБУ 65.1 СУІБ 1.0:2010 та СОУ Н НБУ 65.1 СУІБ 2.0:2010, основою яких є на Міжнародні стандарти ISO /ІЕС 27001 та ISO /ІЕС 27002, які забезпечують відповідність вимогам Базельського комітету Basel II з управління та змен ш ення операційних ризиків банків та інші.
Застосування стандартів з управління інформаційною безпекою в практиці банківської діяльності дає можливість:
• оптимізувати вартість побудови та підтримання системи управління інформаційною безпекою;
• постійно відстежувати та оцінювати ризики з урахуванням цілей діяльності банків;
• ефективно виявляти найкритичніші ризики та зменшувати ймовірність їх реалізації;
• створювати ефективні стратегії інформаційної безпеки та дотримуватись її виконання;
• ефективно розробляти, впроваджувати та тестувати банківські інформаційні системи та сучасні інформаційно-комунікаційні технології підтримки банківської діяльності;
• забезпечити управління процесами підтримки інформаційної безпеки в банках і в загальній банківській системі тощо.
Міжнародні стандарти управління інформаційною безпекою серії ISO 27000, дотримання яких є обов’язковим у банківській системі України, щодо інформаційної безпеки організації використовують такі основні терміни і поняття:
- інформаційна безпека (information security) - збереження конфіденційності, цілісності та доступності інформації; крім того, можуть враховуватися інші властивості, такі, як автентичність, спостережність, неспростовність та надійність (при цьому для банків України автентичність, спостережність, неспростовність, надійність та автентифікація користувачів та інформаційних ресурсів є обов´язковими вимогами інформаційної безпеки);
- засоби оброблення інформації (information processing facilities) - будь- яка система оброблення інформації, послуга чи інфраструктура, чи місце, де вони фізично розміщені (для банків України засобами оброблення інформації можуть бути власні програмно-технічні комплекси або автоматизовані робочі місця державних/міжнародних платіжних/ інформаційних систем);
- система управління інформаційною безпекою (СУІБ) (information security management system ISMS) - частина загальної системи управління, яка ґрунтується на підході, що враховує бізнес-ризики, призначена для розроблення, впровадження, функціонування, моніторингу, перегляду, підтримування та вдосконалення інформаційної безпеки;
- подія інформаційної безпеки (information security event) - ідентифікована подія системи, служби або мережі, яка вказує на можливе порушення полі тики інформаційної безпеки або відмову засобів захисту чи раніше невідому ситуацію, яка може мати відношення до безпеки;
- інцидент інформаційної безпеки (information security incident) - одна або серія небажаних чи непередбачуваних подій інформаційної безпеки, що мають значну ймовірність компрометації бізнес-операцій і загрози інформаційній безпеці;
- загроза (threat) - потенційна причина небажаного інциденту, який може призвести до шкоди для системи або організації;
- вразливість (vulnerability) - слабкість ресурсу СУІБ або групи ресурсів СУІБ, якою можуть скористатися одна або більше загроз;
- ризик (risk) - комбінація ймовірності події та її наслідку (ризиком інформаційної безпеки банку вважається ймовірність того, що визначена загроза, впливаючи на вразливості ресурсу або групи ресурсів, може спричинити шкоду банку);
- оцінювання ризику (risk évaluation) - процес порівняння кількісно оціненого ризику із заданими критеріями ризику для встановлення його значимості;
- управління ризиком (risk management) - скоординовані дії в організації щодо регулювання та контролю ризику (управління ризиком зазвичай містить оцінку ризику, оброблення ризику, прийняття ризику і доведення ризику до відома);
- заходи безпеки (control) - засоби управління ризиком, які включають політику, процедури, настанови, практику або організаційні заходи, які можуть бути адміністративного, технічного, управлінського або правового характеру;
- політика (policy) - загальні наміри та вказівки, затверджені керівництвом.
Згідно зі стандартом ISO /ІЕС 27001 практична реалізація заходів інформаційної безпеки банків повинна відбуватись за допомогою:
- розроблення політики системи управління інформаційної безпекою;
- забезпечення відповідності цілей системи управління заходам інформаційної безпеки;
- розподіл ролей і обов’язків, пов’язаних із інформаційною безпекою;
- доведення до персоналу організації важливості забезпечення та дотримання політики інформаційної безпеки;
- надання достатніх ресурсів для забезпечення підтримки інформаційної безпеки;
- побудова системи управління ризиками для забезпечення належного рівня інформаційної безпеки;
- забезпечення проведення внутрішнього аудиту системи управління інформаційною безпекою;
- проведення перевірок управлінських рішень, що запроваджуються керівництвом, щодо забезпечення належного рівня інформаційної безпеки.
Інформаційна безпека досягається впровадженням відповідних заходів безпеки , які охоплюють політику, процеси, процедури, організаційні структури і програмні та апаратні функції. Ці заходи безпеки необхідно розробити, впровадити, здійснювати моніторинг, переглядати та, за необхідності, вдосконалювати для гарантування досягнення певного рівня безпеки та бізнес-цілій банку. Це треба виконувати узгоджено з іншими процесами управління банком.
Інформація та допоміжні процеси, системи і мережі є важливими бізнес- ресурсами системи управління інформаційною безпекою (СУІБ). Визначення, досягнення, підтримка та вдосконалення інформаційної безпеки може бути суттєвим для підтримки конкурентоспроможності, готівкового обігу, рентабельності, комерційної репутації та відповідності законодавству.
Інформаційна безпека банківської установи, ґрунтується на системі заходів безпеки, що здійснюються відповідно до вимог безпеки. Основними джерелами вимог інформаційної безпеки організації є:
1) результат оцінювання ризиків для організації, який враховує загальну бізнес-стратегію та цілі (під час оцінювання ризику ідентифікують загрози ресурсам СУІБ і оцінюють вразливість та ймовірність подій і визначають величину потенційного впливу);
2) правові вимоги, визначені законодавством, договорами і угодами організації з партнерами;
3) власний набір принципів, цілей та бізнес-вимог щодо оброблення інформації, який розроблено організацією для підтримки свого функціонування.
Методичними рекомендаціями щодо впровадження системи управління інформаційною безпекою та методики оцінювання ризиків відповідно до стандартів Національного банку України серед джерел вимог з інформаційної безпеки визначено:
• закони України;
• нормативно-правові акти Національного банку України;
• стандарти Національного банку України;
• вимоги платіжних систем та систем переказу коштів;
• внутрішні нормативні документи банку;
• умови угод та договорів з третіми сторонами тощо.
Важливим є те, що вимоги з інформаційної безпеки для платіжних систем та систем переказів коштів висуваються платіжною організацією платіжної системи та системи переказу коштів, тому вони можуть відрізнятися від вимог Національного банку України (крім Системи електронних платежів (СЕП) та Національної платіжної системи “Український платіжний простір” або “Простір” (НПС “Простір”), які є платіжними організаціями Національного банку України).
Особливу увагу слід звернути на умови угод та договорів з третіми сторонами. Відповідно до п. 6.2 стандарту СОУ Н НБУ 65.1 СУІБ 2.0:2010 безпека інформації та засобів оброблення інформації банку не повинна знижуватися через уведення в експлуатацію продуктів або послуг зовнішньої сторони. Якщо є бізнес-потреба в роботі із зовнішніми сторонами, яка може вимагати доступу до інформації або засобів оброблення інформації банку, або в отриманні від зовнішньої сторони чи наданні їй продукту та послуги, тоді банк повинен виконувати оцінку ризику для визначення вимог щодо заходів безпеки та наслідків порушення безпеки. Заходи безпеки мають бути погоджені та визначені в угоді із зовнішньою стороною. Ці питання розглядаються не тільки для договорів про надання послуг клієнтам банку (системи типу “клієнт-банк”, Інтернет-банкінг, мобільний банкінг тощо), а також при отриманні послуг зовнішніх сторін (розроблення та супроводження програмного забезпечення, придбання та технічне обслуговування обладнання, надання послуг зв’язку тощо).
Оцінювання інформаційної безпеки банківської установи здійснюється з позицій основних сервісів інформаційної безпеки , до яких належать:
• конфіденційність (confidentiality);
• цілісність (integrity);
• доступність (availability);
• спостережність (accountability) - властивість системи, що дозволяє фіксу вати діяльність користувачів і процесів, використання пасивних об’єктів, а також однозначно установлювати ідентифікатори причетних до певних подій користувачів і процесів з метою запобігання порушення політики безпеки і/або забезпечення відповідальності за певні дії.
Вплив основних сервісів інформаційної безпеки оцінюється щодо кожного бізнес-процесу/банківського продукту, програмно-технічного комплексу банку. Слід зазначити, що для різних бізнес-процесів/банківських продуктів можуть бути виявлені однакові ризики втрати основних сервісів безпеки. Це свідчить про певні прогалини в забезпеченні інформаційної безпеки банку в цілому. У такому разі відповідні заходи щодо зниження виявлених ризиків інформаційної безпеки необхідно проводити для всіх бізнес-процесів / банківських продуктів банку.