КОНФЕРЕНЦИИ
По сведениям МВД РФ, в России каждый год удваивается число зарегистрированных преступлений, совершаемых в сфере высоких технологий. В 2003 г. их зафиксировано 11 тыс., 90% расследований были доведены до судебного разбирательства; 70% этих случаев связаны с несанкционированным доступом к данным. Растет число компьютерных атак на информационные ресурсы банков с целью хищения финансовых средств, а также преступных действий против участников электронных платежных систем. В 2003 г. в три раза увеличилось число случаев незаконного получения и разглашения сведений, составляющих коммерческую и банковскую тайну. Наряду с этим имеют место и мошенничество, подделка кредитных и расчетных пластиковых карт, шантаж и вымогательство. Несмотря на постоянно растущий уровень защиты, сложной остается обстановка в сфере телекоммуникаций, где преступность за предыдущий год возросла на 39%. Все эти нарушения отличаются использованием сложных технологий, разнообразием и изменчивостью.
27-28 января в Москве прошла шестая всероссийская конференция "Информационная безопасность (ИБ) России в условиях глобального информационного общества" (см. PC Week/RE, N 4/2004, с. 2). Среди прочих на ней обсуждалась и тема информационной безопасности банков.
Организационно-правовые аспекты обеспечения ИБ коммерческих банков
Вопросы выбора средств защиты информации можно отнести к прерогативе самих банков как собственников информации. При этом банку важно иметь инструментарий, позволяющий выбрать решение и оценить его стоимость, которая, как показывает опыт, зачастую является определяющим фактором. Ужесточение регулирования методов защиты информации со стороны государственных и надзорных органов привело к тому, что сегодня в коммерческих банках при использовании автоматизированных банковских систем возник ряд проблем. Они связаны с принятием законов, выполнение которых проблематично при осуществлении банковской деятельности в силу их противоречия основным положениям, отсутствия у банков методических рекомендаций по построению эффективных систем защиты информации, а также прав и возможностей выбора решений, соответствующих их, как собственников информации, представлениям о необходимости и достаточности мер защиты. Ситуация осложнена и неопределенностью постановления правительства РФ о деятельности удостоверяющих центров, незавершенностью разработки законов о персональных данных, о коммерческой тайне и пр.
Перечисленные проблемы исследованы в информационно-аналитическом центре холдинга МФД (www.mfd.ru) в ходе семинаров и опроса, проведенного в форме анкетирования, среди 200 предприятий кредитно-финансовой сферы, страховых компаний и фирм-интеграторов. Анализ полученных данных позволяет говорить о том, что 69% банков задачи, стоящие в сфере ИБ, связывают с решением нормативно-правовых вопросов, 82% заинтересованы в учебно-методических разработках по выбору средств защиты информации, для 89% - необходима оценка экономической эффективности решений по защите информации. Результаты анкетирования привели организаторов к выводу, что проблемы технического характера значительно меньше волнуют банки по сравнению с нормативно-правовыми вопросами и затратами на решения по защите информации. Со стороны же регулирующих органов акцент в области совершенствования защиты информации делается именно на технической составляющей. Это свидетельствует об отсутствии у них представления о потребностях банковского сообщества и слабом взаимодействии сторон. На ослабление проблем в сфере обеспечения ИБ можно рассчитывать только тогда, когда они будут решаться исходя из представлений о банке как о собственнике, ведущем свой бизнес в рыночных условиях, предложенных ему государством.
В рамках проведенного МФД исследования разработан подход к построению системы обеспечения ИБ кредитно-финансовой сферы. Он базируется на комплексной реализации организационно-технических мер, мер по регламентации деятельности персонала, мер правового характера о предупреждении несанкционированных действий с информацией, обеспечение которых в совокупности создаст условия для страхования информационных рисков.
Организационно-технические мероприятия позволят адаптировать структуру служб ИБ к потребностям конкретного банка, осуществить технические решения на базе реестра рекомендованных аппаратно-программных средств, а также методических рекомендаций по выбору и построению систем защиты информации. Меры, направленные на регламентацию деятельности персонала, основываются на разработке алгоритмов действий сотрудников по безопасному обращению с информацией. Меры правового характера, призванные предупреждать несанкционированные действия, позволят осуществлять непрерывный внутренний мониторинг системы ИБ банка.
Практическая реализация приведенного здесь подхода затруднена в связи с отсутствием четкой, однозначно сформулированной и общепринятой позиции банковского сообщества по проблемам ИБ. Это обстоятельство не даст возможности обсуждать интересы банков с государственными структурами обеспечения ИБ, поэтому основной задачей сегодня является формирование консолидированного взгляда заинтересованных финансовых учреждений на решение вопросов ИБ.
У Банка России - свои задачи
Одной из задач Банка России является обеспечение бесперебойного функционирования платежной системы страны. Развитие экономики в последнее время привело к ежегодному увеличению платежей на 25%. Структура действующей платежной системы складывалась в начале 90-х годов, когда банк перешел от бумажной к электронно-бумажной технологии. Сегодня она оказалась децентрализованной и опирается на 78 обрабатывающих центров, распределенных по субъектам федерации и построенных на различных аппаратно-программных платформах. Ввиду увеличения нагрузки в центрах обработки вычислительные системы требуют постоянного наращивания аппаратных средств, увеличения производительности. Кроме того, территориальная распределенность электронной платежной системы создает большие операционные риски. До последнего времени эти риски, связанные с использованием технических средств и потребностью в высококвалифицированном персонале, необходимостью развития банковской инфраструктуры, считались побочными и не учитывались. В основном говорили о платежных и кредитных рисках. Однако теперь им стали уделять большое внимание. Оценивая платежную систему с точки зрения операционных рисков и роста количества платежных документов, в банке пришли к выводу, что дальнейшая эксплуатация системы в текущей конфигурации будет повышать расходы на ее поддержку. Поиск более надежного и управляемого решения привел к модели централизованной обработки данных в нескольких вычислительных центрах (ВЦ). Переход к новой инфраструктуре планируется осуществлять эволюционным путем. При выборе платформы для нее исходили из требований безопасности к платежным системам по четырем категориям: стратегическая устойчивость, доступность, катастрофоустойчивость и управляемость. Стратегическая устойчивость связана со сроком службы аппаратных средств ВЦ и, по мнению специалистов банка, этот срок должен быть не менее 15 лет, чтобы окупились вложенные в них средства. Доступность подразумевает отсутствие простоев в предоставлении сервиса клиентам. Катастрофоустойчивость призвана обеспечивать доступность системы в случае возникновения непредвиденных обстоятельств (пожара, наводнения и пр.). Управляемость означает переход всех ВЦ на стандартные решения и единую платформу в централизованной архитектуре. В качестве платформы Банк России по рекомендации Российской академии наук выбрал Z/OS (IBM).
На секции форума "Информационная безопасность в кредитно-финансовой сфере" обсуждались такие вопросы, как выработка системы стандартов в качестве основы обеспечения ИБ в кредитных организациях и системного подхода к обеспечению антивирусной защиты предприятия, разбирались проблемы банковского сектора, связанные с законом об ЭЦП, шел рассказ о работе по его реформированию.