Содержание к диссертации
Введение
ГЛАВА 1 Анализ состояния и возможностей комплексных систем защиты информации кредитно-финансового учреждения 13
1.1 Особенности банковской системы Российской Федерации
1.2 Анализ информационной структуры кредитно-финансового учреждения 20
1.3 Анализ угроз информационной безопасности кредитно-финансового учреждения 35
1.4 Анализ нормативно-правовой базы обеспечения защиты информации в кредитно-финансовом учреждении 49
1.5 Возможности существующей системы защиты информации в кредитно-финансовом учреждении
1.6 Рейдерский захват как особая форма информационно-экономической угрозы, анализ подходов к определению рейдерства, уточнение понятия рейдерского захвата
1.7 Постановка задачи исследования 78
ГЛАВА 2 Комплекс моделей системы защиты информации кредитно-финансового учреждения
2.1 Структура комплекса моделей защиты информации кредитно финансового учреждения. 87
2.2 Модель динамической среды информационных угроз рейдерского
захвата кредитно-финансового учреждения
2.3 Модель формирования структуры угроз информационной безопасности кредитно-финансового учреждения при рейдерском захвате .. 108
2.4 Модель формирования базового и маневренного комплекта сил и
средств защиты информации кредитно-финансового учреждения 126
2.5 Модель защищенности информационно узла информационной
структуры кредитно-финансового учреждения 129
ГЛАВА 3 Методика организации динамической защиты информации кредитно-финансового учреждения при попытке рейдерского захвата 136
3.1 Методика прогнозирования информационных угроз в процессе развития рейдерского захвата кредитно-финансового учреждения . 136
3.2 Методика динамического распределения сил и средств защиты информации 140
ГЛАВА 4 Организационно-практические рекомендации по реализации защиты информации структурным подразделениям кредитно-финансового учреждения . 143
4.1 Предложения по организационно-функциональной структуре органов защиты информации кредитно-финансового учреждения 143
4.2 Организационно-практические рекомендации по реализации защиты информации кредитно-финансового учреждения 151
4.3 Оценка эффективности предложенной методики динамического распределения сил и средств защиты информации кредитно-финансового учреждения... 156
Заключение 160
Список использованных источников и литературы
- Анализ угроз информационной безопасности кредитно-финансового учреждения
- Модель формирования структуры угроз информационной безопасности кредитно-финансового учреждения при рейдерском захвате
- Методика динамического распределения сил и средств защиты информации
- Организационно-практические рекомендации по реализации защиты информации кредитно-финансового учреждения
Анализ угроз информационной безопасности кредитно-финансового учреждения
Банк представляет собой кредитную организацию, имеющую исключительное и лицензируемое право осуществлять операции по привлечению в качестве вкладов денежных средств физических и юридических лиц, размещению денежных средств от своего имени и за свой счет на условиях возвратности, платности, срочности, открытию и ведению счетов физических и юридических лиц [1].
Небанковская кредитная организация - кредитная организация, имеющая право осуществлять отдельные банковские операции, предусмотренные Федеральным Законом [1]. Допустимые сочетания банковских операций для небанковских кредитных организаций устанавливаются Банком России.
Микрофинансовая организация - юридическое лицо, зарегистрированное в форме фонда, автономной некоммерческой организации, учреждения (за исключением бюджетного учреждения), некоммерческого партнерства, хозяйственного общества или товарищества, осуществляющее микрофинансовую деятельность и внесенное в государственный реестр микрофинансовых организаций в порядке, предусмотренном настоящим Федеральным законом [3]. Суть деятельности микрофинансовой организации состоит в получении прибыли путем размещения привлеченных денежных средств в виде микрозаймов. Под микрозаймом понимают заем, предоставляемый займодавцем (в данном случае, микрофинансовой организацией) заемщику на условиях, предусмотренных договором займа, в сумме, не превышающей один миллион рублей [3]. Денежные средства привлекаются в виде займов и (или) кредитов, добровольных (благотворительных) взносов и пожертвований, а также в иных не запрещенных федеральными законами формах кроме привлечения денежных средств физических лиц во вклады [3]. Особенностью деятельности микрофинансовых организаций является клиентоориентированность на физических лиц, быстрое принятие решения по обращению и высокий процент, под который размешаются денежные средства, величина процента обусловлена заложенными рисками невозврата, появляющимися из-за ограниченного времени принятия решения о возможности кредитования.
Небанковские кредитные организации, в свою очередь, можно разделить на: расчетные небанковские кредитные организации (РНКО), платежные небанковские кредитные организации (ПНКО), небанковские депозитно-кредитные организации (НДКО).
Расчетные небанковские кредитные организации – представляют собой самый распространенный вид небанковских кредитных организаций, осуществляющих расчетные операции. Это организации, осуществляющие расчетные операции, такие как открытие и ведение банковских счетов юридических лиц, осуществление расчетов по поручению юридических лиц по их банковским счетам, инкассацию денежных средств, векселей, платежных и расчетных документов, кассовое обслуживание юридических лиц, куплю-продажу иностранной валюты в безналичной форме и ведение деятельности на рынке ценных бумаг. Платежная небанковская кредитная организация осуществляет денежные переводы без открытия банковских счетов и связанных с ними иных банковских операций. Такой вид НКО явился следствием принятия Федерального Закона «О национальной платежной системе». По сравнению с расчетной платежной небанковской кредитной организацией разрешен более узкий круг операций. Основная функция – обеспечение существования безрисковой системы переводов в рамках организации платежей (мгновенных, электронных, мобильных).
Депозитно-кредитные небанковские организации – вид кредитных организаций, предусмотренный Положением Банка России от 21.09.2001 г. N 153-П «Об особенностях пруденциального регулирования деятельности небанковских кредитных организаций, осуществляющих депозитные и кредитные операции» [5]. Депозитно-кредитные небанковские организации имеют право осуществлять деятельность только по привлечению денежных средств юридических лиц во вклады (на определенный срок), размещению привлеченных во вклады денежных средств юридических лиц от своего имени и за свой счет, купле-продаже иностранной валюты в безналичной форме (данную операцию НДКО вправе осуществлять исключительно от своего имени и за свой счет), выдавать банковские гарантии, а так же осуществлять деятельность на рынке ценных бумаг.
К особенностям банковской системы Российской Федерации следует отнести и то, что иностранные банки (банки-нерезиденты) так же могут являться частью российской банковской системы за счет имеющейся у российских банков возможности участвовать в капитале иностранных банков. Федеральный Закон [1] предусматривает возможность открытия иностранными кредитными организациями своих филиалов в России: согласно Статье 2 Федерального закона «О банках и банковской деятельности» [1], одним из элементов банковской системы страны являются представительства и филиалы банков в данной стране.
К особенностям банковской системы Российской Федерации так же можно отнести то, что в соответствии со Статьей 36 ФЗ «О банках и банковской деятельности» [1], банк может начать привлекать денежные средства физических лиц лишь спустя два года после его регистрации, по сути это означает, что все банки в первые два года своей фактической деятельности являются небанковским кредитными организациями, хоть и зарегистрированы они в качестве банка.
Модель формирования структуры угроз информационной безопасности кредитно-финансового учреждения при рейдерском захвате
После ознакомления с данным стандартом можно сделать вывод, что, как и во всех остальных перечисленных выше нормативно-правовых документах, большое внимание уделяется ситуации, когда нарушение ИБ кредитно-финансового учреждения осуществляется для получения доступа к персональным данным клиентов, информации о транзакциях, т.е. когда цель -физическое/юридическое лицо - клиент кредитно-финансового учреждения и его финансовые потоки. Так же, помимо общей правовой и законодательной базы, для реализации, эксплуатации, контроля и поддержания на должном уровне деятельности по обеспечению защиты информации в кредитно-финансовом учреждении применяется внутренняя регламентирующая документация. Внутренние регламентирующие документы описывают: принятую политику ИБ; частную политику ИБ; процедуры выполнения отдельных видов деятельности, связанных с обеспечением ИБ; права доступа, обязанности, ответственность за нарушение ИБ; правила пользования информационной системой; порядок проведения аудита и оценки информационных активов организации; выбранный подход к оценке рисков нарушения ИБ и методика проведения оценки рисков нарушения ИБ; критерии принятия рисков нарушения ИБ и уровень допустимого риска нарушения ИБ; создание и поддержание в актуальном состоянии единого информационного ресурса (базы данных), содержащего информацию об инцидентах ИБ; определены роли, связанные с деятельностью по определению/коррекции методики оценки рисков нарушения ИБ/подхода к оценке рисков нарушения ИБ/по оценке рисков ИБ и назначены ответственные за выполнение указанных ролей; требования по обеспечению ИБ всех выявленных информационных активов (типов информационных активов), находящихся в области действия СОИБ кредитно-финансового учреждения; регламентируют процедуры выполнения отдельных видов деятельности, связанных с обеспечением ИБ; детализируют положения политики (частных политик) ИБ (не противоречить им); порядок взаимодействия (координирования работы) службы ИБ со структурными подразделениями и собственными сотрудниками;
В политике ИБ кредитно-финансового учреждения должны определяться/корректироваться следующие положения: цели и задачи обеспечения ИБ; основные области обеспечения ИБ; типы основных защищаемых информационных активов; модели угроз и нарушителей; совокупность правил, требований и руководящих принципов в области ИБ; основные требования по обеспечению ИБ; принципы противодействия угрозам ИБ по отношению к типам основных защищаемых информационных активов; основные принципы повышения уровня осознания и осведомленности в области ИБ; принципы реализации и контроля выполнения требований политики ИБ [8]. Так же в стандартах Банка России описывается минимальный перечень полномочий, которыми должна быть наделена служба ИБ кредитно-финансового учреждения [8]: организовывать составление и контролировать выполнение всех планов по обеспечению ИБ организации банковского сектора Российской Федерации (БС РФ); разрабатывать и вносить предложения по изменению политик ИБ организации; организовывать изменение существующих и принятие руководством новых внутренних документов, регламентирующих деятельность по обеспечению ИБ организации БС РФ; определять требования к мерам обеспечения ИБ организации БС РФ; контролировать работников организации БС РФ в части выполнения ими требований внутренних документов, регламентирующих деятельность в области обеспечения ИБ, в первую очередь работников, имеющих максимальные полномочия по доступу к защищаемым информационным активам; осуществлять мониторинг событий, связанных с обеспечением ИБ; участвовать в расследовании событий, связанных с инцидентами ИБ, и в случае необходимости выходить с предложениями по применению санкций в отношении лиц, совершенствовании СОИБ организации БС РФ. Подводя итог проведенному осуществивших несанкционированный доступ (НСД) и нерегламентированные действия в рамках предоставленных полномочий (НРД), например, нарушивших требования инструкций, руководств и т.п. по обеспечению информационной безопасности организации БС РФ; участвовать в действиях по восстановлению работоспособности автоматизированной банковской системы (АБС) после сбоев и аварий; участвовать в создании, поддержании, эксплуатации и анализу, можно сделать вывод, что указанная нормативно-правовая база обеспечивает регламентацию защиты информации в кредитно-финансовом учреждении, но имеет ряд слабых моментов, а именно: в текстах данных документов обычно берется за основу то, что в БС РФ имеет место жесткое противопоставление друг другу интересов собственника информации и злоумышленника [42]; присутствует констатация факта, что собственник информации практически никогда не обладает информацией/данными о готовящемся нарушении ИБ; нарушение ИБ, в контексте перечисленных выше документов, в свою очередь, всегда описано, как конкретное мероприятие, преследующее конкретную цель, не рассмотрены следующие случаи нарушения информационной безопасности: a) в качестве выполнения очередного этапа к достижению полного контроля над информацией, обращающейся в данном, выбранном злоумышленником, кредитно-финансовом учреждении; либо b) в качестве тестирования методом проб и ошибок злоумышленником систем защиты информации с целью подбора способа, наиболее эффективного, наиболее полно отвечающего глобальной цели получения доступа к внутренней, стратегически важной информации. либо c) не рассматриваются «незлоумышленные» действия [8] или источники угроз; не рассматриваются случаи нарушения ИБ, когда цель реализации угрозы - само кредитно-финансовое учреждение (как и любой участник экономической системы, который может быть подвержен, например, рейдерской атаке); соответственно, не рассматриваются случаи эффективного распределения сил и средств при осуществлении динамической атаки на кредитно-финансовое учреждение.
С учетом специфики проводимого исследования, после анализа приведенной выше нормативно-правовой документации, было выявлено, что приоритет в области обеспечения информационной безопасности отдается в части персональных данных клиентов и проводимых транзакций, отсутствует база, детально прорабатывающая: подходы к отражению массированных информационных угроз различной природы; методику информационного описания ряда внешних угроз, учитывающих динамику развития недружественных действий непосредственно, как процесса; организацию комплексную защиты информации от динамических угроз кредитно-финансовому учреждению в целом; эффективное распределение/перераспределение и использование сил и средств кредитно-финансового учреждения при адекватном ответе при реализации динамической информационной угрозы.
Далее рассмотрим возможности существующей системы защиты информации в кредитно-финансовом учреждении.
Методика динамического распределения сил и средств защиты информации
При разработке теоретических моделей различных явлений и процессов в целом и рейдерского захвата в частности, большое значение имеет наличие четкого определения моделируемого объекта. В связи с этим выше нами было предложено уточненного определение рейдерского захвата.
Задачей моделирования является обеспечение безопасности кредитно-финансового учреждения от рейдерского захвата. Следует отметить, что термин «безопасность» имеет несколько признанных определений [21, 35, 36, 41], в каждом из них фигурирует понятие такого явления как угроза.
Наиболее конкретно взаимосвязь понятий безопасности и угрозы нашла выражение в следующем определении: «Безопасность – состояние защищённости жизненно-важных интересов личности, общества, государства от потенциально и реально существующих угроз, или отсутствие таких угроз» [24].
Таким образом, в основе моделирования безопасности объекта/процесса лежит моделирование различных угроз [32]. В нашем случае речь идет о информационно-признаковой модели рейдерского захвата кредитно-финансового учреждения.
Прежде, чем строить модель, уточним понятие «угроза», т.к. единого общепризнанного научно разработанного подхода к этому явлению не существует. Соответственно отсутствует научно обоснованный механизм моделирования процесса формирования угроз. Опираясь на выводы работ [17, 20, 35], представим структуру угрозы любой природы на рисунке 2.3.
Особенности данного представления угрозы применимо к угрозе рейдерского захвата кредитно-финансового учреждения выглядят следующим образом: разделение необходимых и достаточных условий для формирования объективной возможности субъективных намерений рейдерского захвата на: условия, создаваемые субъектом (рейдером), и условия, складывающиеся без его участия.
Условия, создаваемые рейдером, представляют собой результат целенаправленной деятельности по потенциальному нарушению процесса функционирования кредитно-финансового учреждения. К таким условиям могут быть отнесены: несанкционированное обладание/получение рейдером конфиденциальной информацией; формирование дополнительных юридических, экономических, финансовых и т.п. сложностей и препятствий во внешней и внутренней среде; криминализация обстановки и т.п.
Условия, складывающиеся без участия рейдера, в данном случае, рассматриваются как внутренние. К ним можно отнести: некачественный менеджмент; низкую исполнительскую дисциплину; высокую текучесть кадров и т.п. установление взаимосвязи между субъективными намерениями (замыслами, желаниями) рейдерского захвата кредитно-финансового учреждения с наличием у рейдера соответствующих сил и средств и формированием условий для реализации данных намерений. учет объективно сложившихся неблагоприятных условий и факторов, которые могут быть использованы рейдером для осуществления угрозы рейдерского захвата (нанесения ущерба) кредитно-финансового учреждения.
Эти условия являются внешними, как правило, никак не связанные с конкретными объектами (в нашем случае с кредитно-финансовым учреждением). Примерами таких условий являются: возникновение нестабильности в сфере деятельности кредитно-финансового учреждения, кризисные явления в экономике, принятие новых поправок регулирующими органами и т.п.
Рейдерский захват представляет собой дестабилизирующую операцию в виде совокупности согласованных и взаимосвязанных по целям, задачам, месту и времени, разнородных единичных и массированных угроз и дестабилизирующих концентрированных воздействий, которые формируются одновременно и последовательно в соответствии с единым планом и замыслом для нанесения существенного ущерба кредитно-финансовому учреждению в установленный период времени.
Под информационно-признаковой моделью в общем виде будем понимать каким-либо образом упорядоченную совокупность сведений о связях показателей функционирования объектов (явлений) наблюдения, их информационных (идентификационных) признаках и признаках проводимых мероприятий с состояниями объекта (явления, процесса) наблюдения. В свою очередь, под информационными (идентификационными) признаками объектов (процессов) наблюдения понимают физические поля и отдельные свойства объектов (явлений) наблюдения, их частные характеристики, действия (мероприятия), изменения в среде действий и обстоятельства деятельности объектов, частные элементы обстановки, причинно-следственные и сопутствующие явления [27].
В данной работе под объектом моделирования будем понимать саму угрозу осуществления рейдерского захвата кредитно-финансового учреждения. Под состоянием угрозы – вероятность ее наступления. Под показателями функционирования – вероятность наступления событий в зависимости от наличия соответствующих факторов и условий.
Наличие этих факторов и условий будет определяться наличием их информационных (идентификационных) признаков, под которыми, так же в общем виде, понимают описания физических полей и отдельных свойств объектов (явлений) наблюдения, их частных характеристик, действий (мероприятий), изменений в среде действий и обстоятельств деятельности объектов, частных элементов обстановки, причинно-следственных и сопутствующих явлений.
Прежде чем остановиться на построении информационно-признаковой модели, следует отметить, что деятельность кредитно-финансового учреждения, как и любого другого учреждения, создает вокруг себя определенную информационную среду. Для обеспечения благоприятной информационной среды необходимо формирование системы защиты данной среды.
В свою очередь, формирование благоприятной информационной среды может включать в себя следующие основные компоненты: информационную базу предметной области, в объеме необходимом для успешного достижения цели функционирования объекта (процесса), в нашем случае, кредитно-финансового учреждения; информационную базу обеспечения безопасности функционирования объекта (кредитно-финансового учреждения). Из перечисленных элементов информационного обеспечения особое значение имеет компонента, связанная с формированием информационной базы обеспечения безопасности функционирования кредитно-финансового учреждения. Это связано с тем, что: во-первых, безопасность является одним из важнейших (необходимых) условий функционирования, в принципе, любого объекта (процесса), ее обеспечение зависит от знания информационных характеристик угроз; во-вторых, угрозы так же любому объекту (процессу) имеют ярко выраженный след в информационном пространстве в виде информационных (идентификационных) признаков и могут быть выявлены на ранних стадиях; в-третьих, именно информационные портреты большинства угроз могут и должны составлять основу формирования системы защиты информации.
Вместе с тем вопросы формирования информационной базы обеспечения безопасности функционирования кредитно-финансового учреждения в системном плане, как правило, не рассматриваются. В лучшем случае они косвенно обозначаются как сопутствующий элемент системы защиты информации.
В основу информационного обеспечения безопасности функционирования кредитно-финансового учреждения должны быть положены информационно-признаковые (информационные, идентификационные) модели внутренних и внешних угроз.
Организационно-практические рекомендации по реализации защиты информации кредитно-финансового учреждения
В рамках своих служебных обязанностей ответственный сотрудник аналитической группы проводит проверочные мероприятия по фактам выявленных признаков угроз. Путем анализа ответственный сотрудник должен определить характер угроз в соответствии с предложенной обобщенной информационно-признаковой моделью совокупности угроз. Если данная угроза носит динамический характер, ответственный сотрудник Аналитической группы должен определить этап ее реализации, перечень внутренней информации, необходимой для реализации угрозы, и каналов ее утечки. В процессе обработки поступившей информации ответственным сотрудником формируется отчет о текущем состоянии ДСУ ИБ. Отчет направляется в Группу планирования и отчетности.
В рамках своих служебных обязанностей ответственный сотрудник Группы планирования и отчетности после получения отчета по результатам анализа ДСУ ИБ от Аналитической группы формирует исходные данные для текущего распределения сил и средств защиты информации, лежащей в основе формирования искомой угрозы. Затем ответственный сотрудник составляет прогноз перспективных информационных угроз при продолжении реализации угрозы, прогноз состояния безопасности кредитно-финансового учреждения по совокупности вскрытых и прогнозируемых угроз, прогноз наступления следующего этапа реализации угрозы на ближайшую перспективу в рамках предложенных моделей и методик. Затем ответственный сотрудник вырабатывает перечень предложений по необходимому динамическому распределению сил и средств защиты информации в соответствии с прогнозируемым этапом развития динамической среды угрозы. В процессе обработки поступившей информации ответственным сотрудником формируется отчет о текущем состоянии ДСУ ИБ. Отчет направляется Начальнику Информационно-аналитической службы.
В рамках своих служебных обязанностей Начальник Информационно аналитической службы формирует собственное заключение в отношении предоставленного отчета, и направляет заключение Начальнику Управления/Директору Департамента безопасности.
Данная инструкция является рабочей в условиях среднестатистического потока угроз. При ДСУ ИБ происходит повышение интенсивности потока угроз (рис. 4.5). маневренный комплект сил и средств защиты информации базовый комплект сил и средств защиты информации
Интенсивность угроз кредитно-финансового учреждения При повышении интенсивности угроз необходимо расширение этапов обмена информацией между структурными подразделениями кредитно финансового учреждения, в связи с этим схема (рис. 4.5) обмена информацией между структурными подразделениями в составе Управления/Департамента безопасности видоизменяется, как показано на рисунке 4.6. При выявлении информационных признаков, соответствующих указанным в предложенной информационно-признаковой модели (в терминах мероприятий) динамической угрозы, в данном случае рейдерского захвата, кредитно-финансового учреждения, и свидетельствующих о повышении интенсивности угроз, процесс обмена информацией между структурными подразделениями дополняется информационными потоками. В этом случае процесс взаимодействия между структурными подразделениями кредитно-финансового учреждения при повышении интенсивности угроз будет осуществляться на основе приведенной ниже инструкции (кроме перечисленного остальная схема взаимодействия аналогична описанной выше).
В рамках его служебных обязанностей ответственному сотруднику Группы выявления и мониторинга угроз дополнительно начинает поступать в рамках его компетенций информация из всех (отдельных) структурных подразделений кредитно-финансового учреждения.
Начальник Управления/Департамента безопасности формирует рабочую группу из Начальников Служб информационной, экономической, технической безопасности и информационно-аналитической службы, на заседании данной рабочей группы зачитывается отчет Начальника информационно-аналитической службы о результатах мониторинга внешнего информационного пространства и выявленных признаках, существование которых свидетельствует о начале динамической угрозы, например, рейдерского захвата защищаемого кредитно-финансового учреждения, анализируется выявленная текущая ситуация ДСУ ИБ, формируется отчет, содержащий предложения по распределению сил и средств защиты информации.
Начальник Управления/Департамента безопасности утверждает план реализации зашиты информации при ДСУ ИБ, возлагает контроль его исполнения на Начальника информационно-аналитической службы. Начальник Информационно-аналитической службы доводит план реализации защиты информации при ДСУ ИБ до структурных подразделений кредитно-финансового учреждения, осуществляет контроль его исполнения. Предложенные схемы усовершенствуют имеющуюся на текущий момент систему защиты информации.