Кібербезпека банківських та комерційних структур
1. Політика інформаційної безпеки банківських установ
Політика інформаційної безпеки банку - сукупність правових і морально- етичних норм, правил, адміністративних, організаційних заходів і технічних, програмних і криптографічних засобів, направлених на захист інформаційної інфраструктури банку від випадкового і навмисного втручання в процес її функціонування. Політика формується на основі характеристики об’єкта застосування; аналізу поточного стану захищеності інформаційної інфраструктури банку; обліку можливих негативних факторів впливу та ймовірності їх реалізації; створення методології ухвалення управлінських рішень щодо забезпечення інформаційної безпеки з врахуванням вимог, що містяться в законах і нормативних актах держави, міжнародних, національних та промислових стандартах у галузі інформаційної безпеки, нормативних документах державного і відомчого характеру.
Розрізняють дві системи оцінки поточної ситуації у сфері інформаційної безпеки у банківських установах [2, с. 567-568]:
• «дослідження знизу догори» (прямий);
• «дослідження зверху вниз» (зворотній).
Метод «знизу догори» досить простий, потребує набагато менших капітальних вкладень, але й має менші можливості. Він базується на відомій схемі: «Ви - зловмисник. Ваші дії?» Тобто служба інформаційної безпеки банку, ґрунтуючись на даних про всі відомі види атак, намагається застосувати їх на практиці з метою перевірки, чи можлива така атака з боку реального зловмисника.
Метод «зверху вниз» є, навпаки, детальним аналізом усієї наявної схеми зберігання та обробки інформації. Першим етапом цього методу є, як і завжди, визначення, які інформаційні об’єкти і потоки необхідно захищати. Далі вивчають поточний стан системи інформаційної безпеки з метою визначення того, що з класичних методик захисту інформації вже реалізоване, в якому обсязі та на якому рівні. На третьому етапі розробляється класифікація всіх інформаційних об’єктів на класи відповідно до їх конфіденційності, вимог до доступності та цілісності (незмінності). На четвертому етапі з’ясовують, наскільки серйозний збиток може завдати банку розкриття або інша атака на кожний конкретний інформаційний об’єкт. Цей етап носить назву «розрахунок ризиків». У першому наближенні ризиком є добуток «можливого збитку від атаки» на «ймовірність такої атаки». Є безліч схем обчислення ризиків.
Залежно від стану інформаційної безпеки в банку виділимо чотири основні типи політики інформаційної безпеки банку:
1. Програмна політика безпеки використовуються при оцінці стану інформаційної небезпеки в банку і розробляється з метою визначення напрямів реструктуризації основних компонентів забезпечення інформаційної безпеки і їх реалізації. Програмна політика безпеки банку визначає множину стратегічних напрямків забезпечення інформаційної безпеки, види і обсяг ресурсів, які виділяються для реалізації політики;
2. Формування проблемно-орієнтованої політики інформаційної безпеки банку здійснюють у випадку інформаційної загрози в банку. Об’єктом застосування проблемно-орієнтованої політики безпеки є окрема проблема або задача в області забезпечення безпеки інформації в фінансово-кредитній організації. Необхідність розробки проблемно-орієнтованої політики безпеки часто вимагає у відповідь як появу і використання в організації нових технологій, так і виникнення нових загроз та слабкостей. Частіше за все проблемно-орієнтована політика безпеки уточнює, конкретизує положення програмної політики безпеки чи об’єктової політики безпеки;
3. Системно-орієнтована політика інформаційної безпеки банку використовується при стані інформаційного ризику, визначає напрямок, методи та процедури забезпечення інформаційної безпеки. Даний тип політики обмежений областю взаємодії самої системи і середовища її експлуатації. Для розробки пов’язаного та повного набору правил безпеки розробник повинен використовувати спеціальні прийоми, за допомогою яких на основі аналізу задач захисту формулюються правила безпеки;
4. Системна політика містить загальні вимоги до безпеки інформації та рішення щодо забезпечення режиму інформаційної безпеки. Повинна містити правила безпеки відносно фізичної безпеки, аутентифікація, ідентифікації та управління доступом, правила застосування криптографічних засобів, правила забезпечення антивірусного захисту та інші питання моніторингу актуальності сформульованих та уточнених задач захисту в процесі експлуатації системи (стан інформаційної безпеки банку).
Положення про організацію заходів із забезпечення інформаційної безпеки в банківській системі України, затверджене постановою правління Національного банку України від 28 вересня 2017 року № 95 зобов’язує банки: •розробити та впровадити політику інформаційної безпеки, яка має містити:
1) цілі інформаційної безпеки;
2) сферу застосування політики інформаційної безпеки;
3) принципи, правила та вимоги інформаційної безпеки в банку;
4) визначення функцій (ролей) і відповідальності за забезпечення інформаційної безпеки;
•забезпечити підтримку політики інформаційної безпеки в актуальному стані та її перегляд не рідше ніж один раз на рік;
•затвердити політику інформаційної безпеки і довести її зміст до відома всього персоналу банку та, за необхідності, представникам третіх сторін;
•розробити та затвердити стратегію розвитку інформаційної безпеки. Банк має право затвердити стратегію розвитку інформаційної безпеки банку в документі, яким затверджено загальну стратегію розвитку банку, у вигляді окремого розділу. Зміст стратегії має узгоджуватися з політикою інформаційної безпеки банку, основними стратегічними цілями банку, що пов’язані із впровадженням нових бізнес-процесів/банківських продуктів з використанням технологій, які потребують захисту інформації, а також враховувати планування розвитку інфраструктури банку та заходів інформаційної безпеки для мінімізації ризиків інформаційної безпеки.
Актуальність питання впровадження політики інформаційної безпеки банківських установ пов’язано з швидким розвитком засобів і форм автоматизації процесів оброблення інформації та високою залежністю банківської установи від інформаційних ресурсів та мереж. Відсутність у банківській установі правил і контролю щодо інформаційної безпеки викликає проблеми з ефективністю її функціонування. Важливим є побудова ефективної політики інформаційної безпеки, адже через недостатню увагу до інформаційної безпеки відбувається витік інформації, що в свою чергу призводить до значних фінансових збитків та втрати довіри клієнтів. Банк повинен забезпечити власну безпеку, а також безпеку своїх клієнтів. Політика інформаційної безпеки визначає стратегію і тактику побудови системи захисту інформації.
Політика інформаційної безпеки банківської установи визначає стратегію і тактику побудови системи захисту інформації.
Питанню впровадження політики безпеки в банківських установах приділяють увагу дослідники у сфері ІБ, усі вони дають своє визначення політики інформаційної безпеки взагалі і банків зокрема. Розглянемо деякі з них.
Домарєв В. В. у статті “Обґрунтування основних функцій системи управління інформаційною безпекою” зазначає, що під політикою інформаційної безпеки слід розуміти набір законів, правил, обмежень, рекомендацій тощо, які регламентують порядок обробки інформації і спрямовані на захист інформації від певних загроз.
Бондаренко М. Ф. у статті “ Визначення та обґрунтування суті політики інформаційної безпеки” дає таке визначення: “політика інформаційної безпеки банку є сукупністю правових і морально-етичних норм, правил, адміністративних, організаційних заходів і технічних, програмних і криптографічних засобів, направлених на захист інформаційної інфраструктури банку від випадкового і навмисного втручання в процес її функціонування”.
Бодюл Є. М. під поняттям “ політика інформаційної безпеки банківської установи ” розуміє науково обґрунтовану систему поглядів на визначення основних напрямів, умов і порядку практичного вирішення задач інформаційного захисту банківської установи від протиправних дій.
Узагальнюючі ці визначення, під поняттям “ політика інформаційної безпеки банківської установи ” будемо розуміти сукупність правил, обмежень і рекомендацій, прийнятих керівництвом банку, які спрямовані на захист інформації від внутрішніх та зовнішніх загроз.
Ціллю розроблення політики безпеки є забезпечення регулювання та підтримку інформаційної безпеки з боку керівництва банку згідно з вимогами бізнесу та відповідними законами і нормативами.
Відповідно до цілей бізнесу керівництво банку повинно встановити чітке регулювання політики і забезпечити підтримку та зобов’язання щодо інформаційної безпеки виданням політики інформаційної безпеки та її підтримкою в банківській установі.
Метою політики інформаційної безпеки банку має бути забезпечення надійного захисту інформаційних ресурсів банку від зовнішніх та внутрішніх загроз завдяки впровадженню та ефективному функціонуванню системи управління інформаційної безпеки банку.
Основним завданням політики інформаційної безпеки є захист інформаційних активів від загроз, а саме:
• виявлення та мінімізація потенційних загроз інформаційній безпеці;
• захист інформаційних активів організації;
• забезпечення безпеки та конфіденційності інформації про клієнтів;
• забезпечення стабільної та ефективної діяльності банківської установи.
Головною метою діяльності у сфері інформаційної безпеки є забезпечення властивостей кожного активу:
• доступності (можливість користування деякими ресурсами інформаційної системи й інформацією в будь-який момент);
• конфіденційності (недоступність інформації чи сервісів для користувачів, яким апріорно не надано можливість використання зазначених сервісів або інформації);
• цілісності (незалежність властивостей інформації і ресурсів у будь-який момент часу від моменту їх появи чи введення в систему);
Серед основних об’єктів політики інформаційної безпеки банківських установ доцільно виокремити такі:
• фінансові ресурси - національна та іноземна валюта, банківські операції та угоди банку, коштовності, фінансові документи;
• персонал банку - керівництво і вищий менеджмент банку, особи, які мають доступ до конфіденційної інформації, банківської та комерційної таємниці, інші працівники банку;
• матеріальні засоби - апаратні засоби інформаційних технологій, носії даних, будівлі, приміщення, меблі, транспорт тощо;
• сервісні ресурси та підтримуюча інфраструктура - обслуговуючі засоби обчислювальної техніки, енергопостачання, забезпечення необхідних умов експлуатації і тощо;
• програмне забезпечення - прикладне, системне чи сервісне програмне забезпечення тощо, яке використовується співробітниками банківської установи для роботи з системами і клієнтами;
• інформаційні ресурси - будь-яка інформація банку, що обробляється та зберігається в інформаційній системі банківської установи (бази даних, файли, електронні документи).
Оцінювання ймовірності появи ймовірних загроз і очікування розмірів втрат - складний і тривалий процес, але коректно визначити вимоги до системи захисту банківської установи є ще складнішим, тому політика інформаційної безпеки банку має визначатися такими заходами:
• ідентифікація користувачів;
• перевірка дійсності та контроль доступу користувачів до об’єкту, що захищається, у приміщення, до ресурсів інформаційної системи;
• розподіл повноважень користувачів, що мають доступ до обчислювальних ресурсів;
• реєстрація та облік роботи користувачів;
• реєстрація спроб порушення повноважень;
• шифрування або кодування конфіденційної інформації на основі криптографічних алгоритмів високої стійкості;
• застосування цифрового підпису для передавання інформації каналами зв’язку;
• забезпечення антивірусного захисту та відновлення інформації, зруйнованої вірусними впливами;
• контроль цілісності програмних засобів та інформації, що обробляється;
• відновлення зруйнованої архівної інформації, навіть при значних втратах;
• наявність адміністратора захисту інформації в системі;
• розроблення та виконання необхідних організаційних заходів;
• застосування технічних засобів, що забезпечують безперебійну роботу обладнання.
• дотримання законодавчих, регуляторних, нормативних вимог;
• затвердження переліку відомостей, що містять інформацію з обмеженим доступом;
• встановлення правил доступу до інформаційних ресурсів та програмно- технічних комплексів;
• визначення критичних бізнес-процесів/банківських продуктів/ програмно- технічних комплексів;
• забезпечення надання доступу (у тому числі віддаленого) до інформації, її контролю та захисту;
• проведення політики ідентифікації та автентифікації ресурсів;
• політика криптографічного захисту інформації;
• проведення внутрішнього аудиту та вдосконалення системи управління
інформаційної безпеки.
Виділимо такі основні етапи розроблення політики інформаційної безпеки:
• визначення та оцінювання інформаційних активів;
• визначення загроз безпеці;
• оцінка інформаційних ризиків;
• визначення відповідальності;
• створення комплексного документа;
• реалізація;
• управління програмою безпеки.
Основою для формування політики інформаційної безпеки банківської установи можна визначити:
• характеристику об’єкта застосування;
• аналіз поточного стану захисту інформаційної інфраструктури банку;
• облік можливих негативних факторів впливу та ймовірність їх реалізації;
• створення методології ухвалення управлінських рішень щодо забезпечен
ня інформаційної безпеки.
Політика інформаційної безпеки банку повинна бути затверджена керівництвом банку та доведена до відома всього персоналу та за необхідності до зовнішніх сторін.
Політика інформаційної безпеки повинна встановити зобов’язання керівництва банку і викласти підхід банківської установи до управління інформаційною безпекою.
Політика інформаційної безпеки повинна містити положення стосовно:
• визначення інформаційної безпеки, її загальних цілей і сфери застосування, а також важливості безпеки як механізму можливості розповсюдження інформації;
• положення щодо намірів і підтримки керівництвом мети та принципів інформаційної безпеки згідно з бізнес-стратегією та цілями;
• основ встановлення цілей заходів безпеки і заходів безпеки, включаючи структуру оцінки ризику та управління ризиком;
• короткого пояснення особливо важливих для організації політики безпеки, принципів, стандартів безпеки і вимог щодо відповідності, включаючи:
1) відповідність законодавчим, нормативним та контрактним вимогами;
2) вимоги до освіти, навчання та поінформованості персоналу щодо безпеки;
3) управління безперервністю бізнесу;
4) наслідки порушення політики інформаційної безпеки;
• визначення загальних та спеціальних обов’язків з управління інформаційною безпекою, включаючи звітування щодо інцидентів інформаційної безпеки;
• посилань на документацію, яка може підтримувати політику, наприклад, більш детальні політики та процедури для певних інформаційних систем або правила безпеки, які користувачі повинні виконувати.
Розглянемо ієрархічний підхід до впровадження інформаційної політики банківської установи.
Політика інформаційної безпеки банківських установ повинна розроблятися відповідно до вимог чинних законодавства, нормативно-правових актів, міжнародних стандартів у сфері інформаційної безпеки та внутрішніх нормативних документів банку.
Керівництво банку повинно розуміти, що інформаційна безпека є основою для нормального функціонування банку, та всебічно сприяти виконанню політики інформаційної безпеки.
Для забезпечення інформаційної безпеки банківської установи необхідно застосовувати комплекс заходів, яких повинен дотримуватися кожен працівник банку, виходячи з покладених на нього обов’язків та визначеними правилами згідно політики інформаційної безпеки банку.
Політика інформаційної безпеки банку повинна мати процедури для взаємодії з зовнішніми організаціями, до яких входять правоохоронні органи, інші організації, команди швидкого реагування, засоби масової інформації. У процедурах повинно бути визначено, хто має право на такі контакти, і як саме вони відбуваються.
Крім положень політики безпеки, описаних вище, необхідно продумати і описати процедури, що виконуються у випадку виявлення порушень правил безпеки. Для всіх видів порушень мають бути заготовлені відповідні процедури.
Інформаційну систему банку можна вважати захищеною, якщо всі операції виконуються згідно із суворо визначеними правилами безпеки (рис. 2), що забезпечують безпосередній захист об’єктів, ресурсів і операцій.
Основу для формування вимог до захисту складає список загроз. Коли такі вимоги відомі, можуть бути визначені відповідні правила забезпечення захисту, що визначають необхідні функції і засоби захисту. Чим суворішими є вимоги до захисту і більше відповідних правил, тим ефективніші її механізми і тим більше захищеною виявляється інформаційна система.
Очевидно, що будь-яка офіційна політика безпеки час від часу порушується. Порушення може бути наслідком недбалості користувачів, випадкової помилки, відсутності надійної та належної інформації про поточну політику чи її нерозуміння. Можливо, також, що деяка особа - група осіб свідомо роблять дії, що прямо суперечать затвердженій політиці безпеки.
Необхідно заздалегідь визначити характер дій, що починаються у випадку виявлення порушень політики інформаційної безпеки, щоб ці дії були швидкими й правильними. Варто організувати розслідування, щоб зрозуміти, як і чому порушення стало можливим. Після цього потрібно внести коригування в систему захисту. Тип і серйозність цих коригувань залежить від типу порушення, яке сталося.
Дотримання політики інформаційної безпеки повинно бути обов’язковим для усіх співробітників. Документи щодо системи управління інформаційною безпекою повинні бути доступними працівникам банку лише у межах їх обов’язків і повноважень. Кожний працівник банківської установи несе відповідальність за порушення правил згідно з чинним законодавством та внутрішніми нормативними документами.