Скородумов Б.И.: Информационная безопасность современных коммерческих банков

Информационная безопасность современных коммерческих банков

Б.И. Скородумов

Многие в России считают, что информационная эпоха наступит когда-то потом и на наш век хватит привычной, традиционной, бумажной технологии ведения дел. В работе Мануэля Кастельса [1] опровергается такой подход и показано, что скорость изменений в технологиях и в развитии общества неизменно растет. Монография посвящена всестороннему анализу фундаментальных цивилизационных процессов, вызванных к жизни принципиально новой ролью в современном мире информационных технологий.

Появление глобальной информационной инфраструктуры связано с высшей техногенной фазой постиндустриализма, в основе которой лежат невиданные ранее темпы развития, смены инновационных революций. Возникает принципиально новая ситуация, когда цикл жизни всех компонентов воспроизводства максимально сужается. Если в начале ХХ века переход к принципиально новым парадигмам, меняющим не только стиль мышления, но и стиль всей жизни, был сопоставим с жизнью поколения, то в наше время технические и технологические инновации, требующие переобучения, смены профессии, образа мышления и поведения, следуют одна за другой. Многие уникальные изобретения утрачивают жизнеспособность, не успев быть внедренными. Новые инфраструктуры наслаиваются на еще функционирующие старые и вытесняют их. Большинство технологий в области программного и аппаратного обеспечения устаревает в течение трех-четырех лет. Полученная квалификация теряет свою актуальность через десять-пятнадцать лет.

Исследования показывают, что радикальные изменения в обществе, связанные с инновацией, наступают после того, как ею начинают пользоваться более пятидесяти миллионов активной части жителей страны (региона и т.д.). На примере США (источник: компания ПрайсВатерхаусКуперс) наглядно проявляется сокращение сроков массового внедрения инноваций и связанных с ними интеллектуальных революций (см. рис.1).

Рис. 1. Сроки массового внедрения инноваций.

Предпосылки возникновения глобальной информационной инфраструктуры зародились в третьей четверти ХХ века. К ним относятся: создание полупроводниковых элементов, появление спутниковой связи, сетевых информационных технологий, породивших интернет. В информационном обществе основной экономической деятельностью является производство и применение информации для эффективного функционирования других форм производства.

В прогнозе долговременного развития человечества до 2020 года, опубликованном Советом по национальной безопасности США на сайте www.cia.gov/nic/NIC_2020_project.html, говорится о необратимости глобализации, которая во многом определяется информационно-технологической революцией. Интернет охватит большинство городов мира и нашей страны к 2020 году, что окажет серьезное влияние на политику и экономику государств.

Но у этой «медали» есть своя оборотная сторона.

На пятьдесят седьмой сессии Генеральной Ассамблеи ООН (21.01.2003) была принята резолюция «Создание глобальной культуры кибербезопасности». Генеральная Ассамблея, отмечая растущую зависимость государственных органов, предприятий, других организаций и индивидуальных пользователей от информационных технологий в плане предоставления насущно необходимых товаров и услуг, ведения дел и обмена информацией, признает, что по мере все большего вовлечения стран в информационное общество возрастает необходимость обеспечения кибербезопасности (www.un.org/russian/esa/ict/index.html).

Бурная информатизация банков, развитие тенденций распределенной обработки финансовых данных на базе современных средств вычислительной техники определили работы мирового сообщества по систематизации и упорядочиванию основных требований и характеристик таких систем, в том числе и по безопасности информации.

Последнее имеет четкое обоснование. Компания mi2g, специализирующаяся на оценке цифровых рисков, приводит в своем отчете суммы экономического ущерба от компьютерных атак различных типов в 2004-м году (по материалам http://www.webplanet.ru):

1. Экономический ущерб от DDoS-атак на сети в 2004 году составил 34 млрд. долларов во всем мире против 1 млрд. долларов в 2003 году.

2. В 2004 году фишингу или обману при аутентификации в сетях подверглись 117 компаний. В 2003 году их число составило 54, в 2002 году этот феномен был практически неизвестен. Экономический ущерб от фишинга в 2004 г. – 44 млрд. долларов, в 2003 г. – 14 млрд. долл.

3. 3,3 триллиона спамерских сообщений было разослано в течение 2004 года. В 2003 году их количество составило 1,6 трлн. Ущерб от спама в 2004 году – 119 млрд. долл., в 2003 году – 58 млрд. долл.

4. Ущерб от вирусов в 2004 году – 165 млрд. долл. по всему миру, в 2003 – 83 млрд. долл.

5. Экономический ущерб от всех видов виртуальных напастей (включая все вышеперечисленное) составил в 2004 году 411 млрд. долл., в 2003 году – 215 млрд. долл.

По данным экспертов Совета Европы, только аферы с кредитными картами уносят ежегодно около 400 миллионов долларов. Убытки от вирусов составляют около 12 миллиардов, а нарушение прав собственности наносит ущерб в 250 миллиардов долларов.

Bank of America недавно сообщил, что украдены компьютерные данные о счетах более миллиона клиентов, большинство которых – федеральные служащие. Среди пострадавших – несколько членов американского Сената, передало Би-би-си. В нашей стране МВД фиксирует аналогичные тенденции (www.cyberpol.ru).

В доктрине информационной безопасности Российской Федерации, которая была утверждена Президентом В.В. Путиным 9 сентября 2000 г., отмечается, что «серьезную угрозу для нормального функционирования экономики в целом представляют компьютерные преступления, связанные с проникновением криминальных элементов в компьютерные системы и сети банков и иных кредитных организаций».

Сейчас в России все банки автоматизированы (www.cbr.ru). Основной объем электронного информационного потока, проходящего через автоматизированные банковские системы (АБС), не содержит информации, которая составляет государственную тайну. По крайней мере подобная информация может составлять ничтожную часть трафика российских АБС.

Так исторически сложилось, что в нашей стране проблемы безопасности ИТ десятилетиями изучались и своевременно решались преимущественно для защиты государственной тайны в военных или правительственных автоматизированных системах. Ранее весьма специфичные проблемы коммерческого сектора экономики не нашли соответствующих решений ввиду отсутствия такого сектора. В настоящее время это существенно мешает развитию безопасных информационных технологий в российском коммерческом секторе экономики, который, учитывая глобализацию информационного общества, интегрируется с мировым рынком.

Защита информации в коммерческих автоматизированных системах имеет значительные особенности, которые необходимо учитывать, так как они оказывают большое влияние на технологию информационной безопасности. Процесс обеспечения безопасности коммерческой автоматизированной информационной системы базируется на научно-техническом заделе защиты государственной тайны в военных или правительственных автоматизированных системах с учетом новейших теоретических и практических достижений мирового технологического рынка. В этой связи следует проанализировать специфику защиты коммерческой информации на примере АБС.

В задаче обеспечения безопасности коммерческой информации конкретной автоматизированной системы нет и не может быть заранее полностью готового, статичного решения. Это диктуется динамикой рынка и связано с тем, что структура каждой коммерческой организации, функциональные связи между ее подразделениями и отдельными сотрудниками уникальны, динамично развиваются и практически никогда полностью не повторяются. Только непосредственное руководство организации на основе экономических аргументов и анализа рисков решает, насколько критично нарушение безопасности для компонентов своей информационной системы. Затем оно определяет, кто, когда и для решения каких задач может использовать те или иные информационные ресурсы и сервисы. Хорошим подспорьем в этой работе служит международный стандарт управления безопасностью ISO/IEC 17799: 2000.

Ключевым этапом для построения надежной и безопасной информационной системы является выработка политики безопасности и определение модели нарушителя. Под политикой безопасности мы понимаем совокупность документированных управленческих решений, направленных на защиту информации и связанных с ней ресурсов. С практической точки зрения в нашей стране политику безопасности целесообразно создавать, учитывая специфику российского сектора экономики. Более конкретно проиллюстрируем этот тезис на примере АБС коммерческого банка, где сегодня сосредоточены и обрабатываются наиболее ценные информационные ресурсы в виде электронных платежных документов.

Коммерческий банк, как сугубо экономическое рыночное предприятие, ориентируется, прежде всего, на получение прибыли при условии снижения различных издержек и рисков. Одним из самых популярных во всем мире решений этой проблемы служит автоматизация труда работников, которая в наше время осуществляется в основном за счет применения вычислительной техники и средств телекоммуникаций. Эффективно используемые вычислительная техника и средства телекоммуникаций позволяют снижать общие расходы и одновременно создавать качественно новые услуги. Любой банк или предприятие во многих странах мира (более 60 государств имеют законы об электронной цифровой подписи) может связаться с партнером посредством компьютерных сетей и решить свои финансовые, торговые или иные вопросы, оперативно обмениваясь электронными посланиями или документами. Для этого нет необходимости в больших командировочных или иных накладных расходах.

Летом 2003 года в АРБ выступал Дэвид Хаген, Президент Люксембургской ассоциации по обеспечению безопасности информационных систем (CLUSSIL), начальник отдела аудита информационных технологий Комиссии по надзору за финансовым сектором. Дэвид Хаген сказал, что в Европе давно перешли от общей качественной оценки угроз информационной безопасности к определению количественных величин информационных рисков, которые входят в состав операционных рисков и актуализируются с дальнейшим развитием ИТ.

Напомним, что в российском законе «О техническом регулировании» в статье 2 определены важнейшие понятия:

«риск – вероятность причинения вреда...»;
«безопасность – состояние, при котором отсутствует недопустимый риск, связанный с причинением вреда...».

Изложенное позволяет предложить уточнение определения информационной безопасности для коммерческих организаций посредством использования понятия «риск», с учетом положений закона «О техническом регулировании». Информационная безопасность – состояние информации при допустимом риске ее уничтожения, изменения или раскрытия, связанном с причинением вреда владельцу или пользователю информации.

Осенью 2003 года АРБ было проведено анкетирование российских коммерческих банков по вопросам информационной безопасности. Подавляющее большинство банков отметило необходимость учета экономической эффективности принятых решений по защите информации, что можно сделать при оценке рисков, которая включает, в частности, следующие положения:

оценка рисков должна учитывать внутренние и внешние факторы риска, осуществляться на всех уровнях организации;
должны быть определены риски, которые являются контролируемыми (управляемыми) организацией и неподконтрольными ей, и т.д.;
все материально значащие риски, которые могут негативно воздействовать на достижение организацией своей цели, должны оцениваться на непрерывной основе.

Эти положения следуют из материалов GARP (Global Association of Risk Professionals). Ассоциация создана в 1996 г., насчитывает более 15 тысяч членов, российское отделение GARP создано в 1998 г.

При этом целесообразно учитывать особенности условий защиты коммерческой информации в АБС:

частная собственность;
цель – прибыль и экономическая эффективность;
специфичная модель угроз и нарушителя;
работа в открытых системах;
необходимость обеспечения юридической силы электронных документов;
возможность страхования информационных рисков;
неоднородность банковских организаций;
важность определения ценности информации;
динамичность (необходимость мониторинга) защиты;
открытость средств защиты и т.д.

Таким образом, защита информации в коммерческой автоматизированной банковской системе имеет значительные особенности, которые необходимо учитывать, так как они оказывают большое влияние на технологию информационной безопасности. Подытоживая, скажем, что помимо упомянутых ранее специфических факторов, можно дополнительно отметить следующие особенности современных банков, влияющие на их информационную безопасность:

приоритет экономических, рыночных факторов, т. е. для банковской автоматизированной системы весьма важно всяческое снижение или исключение финансовых потерь, получение прибыли владельцем и пользователями данного инструментария в условиях реальных рисков. Это, в частности, включает минимизацию типично банковских рисков, например, потерь за счет ошибочных направлений платежей, фальсификации платежных документов и т. д.;
использование открытых распределенных систем и открытого проектирования, которое заключается в создании подсистемы защиты информации иными юридическими лицами из средств, широко доступных на рынке;
большая динамика информационных, технологических и хозяйственных процессов, требующая постоянного мониторинга угроз и рисков для банковской или иной коммерческой информации, с соответственной оперативной реакцией системы защиты.

Рассмотрим также другие особенности защиты информации автоматизированных банковских систем.

С расширением географии деятельности банка, развитием взаимодействия электронных сетей, осуществлением совместных работ с другими юридическими лицами через интернет возрастает риск или вероятность финансовых потерь. Вспомним, что глобальной сетью Интернет объедены и одновременно работают многие миллионы всевозможных пользователей, преследующих различные и не всегда законные цели использования сети.

Неоднородность сферы деятельности различных коммерческих банков делает объективно необходимым конкретизацию стратегий кризисного управления, побуждает разрабатывать различные концепции информационной безопасности в зависимости от размеров организации (малый, средний, крупный бизнес), сфер деятельности (финансовая, производственная, внешнеторговая и пр.), национальных и региональных особенностей. Анализ рисков включает определение того, что нужно защищать, от чего защищаться и как защищаться [2]. Для этого надо определить все, чем оцениваются риски, и ранжировать их по уровню важности. Этот процесс включает принятие экономически рациональных решений о применении необходимых методов и средств защиты, так как расходы, выделяемые на защиту, очевидно не должны превышать стоимости защищаемого объекта. Проблема полного анализа риска находится за пределами данного материала. Тем не менее, следует рассмотреть два важных и специфичных элемента анализа риска с применением стоимостного критерия:

классификация информационных ресурсов;
выявление и ранжирование угроз информации.

Определение ценности и классификация информационных ресурсов может проводиться только в условиях функционирования конкретной АБС или банка с применением стоимостного критерия, так как рациональный уровень информационной безопасности выбирается из соображений экономической целесообразности. Под ценностью информации понимается максимальный эффект, который может быть получен при ее использовании на рассматриваемом интервале времени. Помимо ценности и важности информации целесообразно рассматривать необходимое время существования ее выбранной категории ограничения доступности (грифа). Необходимо также учитывать специфику процессов использования информации, расход имеющихся ресурсов. В целом данный процесс можно назвать ранжированием информации или соответствующих информационных ресурсов.

При определении ценности информации предлагается исходить из ее относительности и динамической изменчивости во времени, поскольку ценность информации рассчитывается для конкретных условий, характеристик потребляющих ее систем. В зависимости от преследуемых целей она может выражаться через деньги, количество и качество получаемой продукции, затраты ресурсов и другие показатели.

Расчет ценности информации в общем случае осуществляется, исходя из конечных эффектов решения системой прикладных задач на заданном интервале времени с защищаемой информацией и без нее, расходов ресурсов системы на достижение этих эффектов. При этом предполагается, что система функционирует оптимально.

В ряде случаев ценность информации может быть определена как минимум затрат на ее восстановление. В других условиях она может быть рассчитана как разность между достигаемыми конечными эффектами системы при наличии и отсутствии защищаемой информации. На практике часто вводят пороговые значения денежной ценности информации, что позволяет существенно упростить классификацию информации.

Ценность информации может быть как положительной, так и отрицательной величиной. Информация с отрицательной ценностью подлежит уничтожению. Наиболее важным или ценным объектом защиты в АБС является электронный платежный документ, его информация или данные. Напомним, что информация, обрабатываемая в АБС, не составляет государственную тайну и ее владельцами являются коммерческие банки или их клиенты. Документ – учетная единица, исполняющая функцию формализованного доказательного описания проведенной, логически завершенной, операции (транзакции).

В случае возможных коллизий с электронным платежным документом для разбирательства споров между участниками расчетов в автоматизированной платежной системе приходится прибегать к услугам арбитров (третейских судов). Для электронного платежного документа приоритетным является обеспечение целостности и доступности информации по сравнению с ее конфиденциальностью или секретностью, которые наиболее важны в военных или правительственных системах. Весьма важно в АБС обеспечить оперативную и своевременную доступность к электронному платежному документу вне зависимости от негативных случайных или преднамеренных воздействий на систему или обрабатываемую информацию. По многолетней статистике, представленной американской исследовательской фирмой FIND/SVP, отказ АБС (недоступность информации), используемой в среднем американском банке, приносит суммарный ущерб порядка 263 тыс. долларов в час.

Центральный банк РФ в настоящее время успешно завершил многолетнюю работу по созданию нового стандарта Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения». Данный стандарт был утвержден председателем Банка России 17 ноября 2004 г. и опубликован в журнале Вестник Банка России №68. Указанный стандарт получил учетный номер СТО БР ИБ БС-1.0-2004.

В упомянутом новом документе особое внимание уделено управлению рисками. Структура документа включает следующие основные функциональные разделы стандарта:

исходная концептуальная схема (парадигма) информационной безопасности;
основные принципы обеспечения информационной безопасности;
модели угроз и нарушителей;
политика информационной безопасности;
управление информационной безопасностью;
модель зрелости процессов управления информационной безопасностью;
аудит и мониторинг информационной безопасности.

Руководство ЦБ РФ запланировало опытное внедрение стандарта в десяти регионах нашей страны, которое будут осуществлять региональные управления Банка России в нескольких разнотипных кредитных организациях в течение 2005 года.

Следует отметить, что данный стандарт по-своему уникален и является головным в целой серии банковских стандартов информационной безопасности. Он впервые создан в нашей стране и является вторым банковским стандартом в мире. Аналогичный стандарт был ранее создан Банком Франции и в настоящее время подобная работа по созданию национального банковского стандарта информационной безопасности ведется в Германии. В настоящее время только в одной стране мира, а именно, во Франции, требования к информационной безопасности носят обязательный характер для банковского сообщества. Сейчас об этом очень серьезно думают и в Европейском центральном банке, и в Германии, и в США, и в Англии. У нас в принципе эта работа развернется в полном объеме где-то к 2007 году.

Можно рекомендовать отечественным коммерческим банкам пользоваться упомянутым стандартом и другими доступными документами ЦБ РФ по защите информации. Однако не все так просто. Следует вспомнить диаметрально противоположные главные цели деятельности банков разных видов собственности, четко сформулированные в законодательстве. В статье 1 Федерального закона «О банках и банковской деятельности» сказано: «Кредитная организация – юридическое лицо, которое для извлечения прибыли как основной цели своей деятельности на основании специального разрешения (лицензии) Центрального банка Российской Федерации (Банка России) имеет право осуществлять банковские операции, предусмотренные настоящим Федеральным законом». В статье 3 Федерального закона «О Центральном банке Российской Федерации (Банке России)» говорится: «Получение прибыли не является целью деятельности Банка России». Разные цели порождают неодинаковые пути их достижения. При этом отдельные компоненты или средства их достижения могут быть сходны. Поясним данный тезис подробнее. Коммерческий банк, впрочем, как и любая другая рыночная организация, по своей сути является весьма рискованным предприятием. Поэтому так развиты на сложившихся зарубежных рынках различные теории и практические механизмы управления рисками, в том числе и компьютерными. Идет постоянный мониторинг и анализ рисков.

Подводя итог вышеизложенному, следует, в соответствии с положениями нового банковского стандарта информационной безопасности и ГОСТ Р ИСО/МЭК 15408-1-2002, создать специальный стандарт (профиль) защиты, который будет учитывать перечисленные особенности коммерческих банков. Требования профиля информационной безопасности коммерческого банка позволят:

оптимизировать расходы на защиту информации;
обеспечить качественный аудит автоматизированных систем;
решить вопросы внутреннего контроля организации.

Литература

1. Кастельс М. Информационная эпоха: экономика, общество и культура / Пер. с англ. под науч. ред. О.И. Шкаратана. – М.: ГУ ВШЭ, 2000. – 608 с.

2. Скородумов Б.И. Безопасность информации кредитно-финансовых автоматизированных систем. Учебное пособие. – М.: МИФИ, 2002. – 164 с.

Скородумов Борис Иванович - Заместитель директора Института банковского дела Ассоциации российских банков, доцент кафедры «Информационная безопасность банковских систем» Московского инженерно-физического института (МИФИ), член комитета по электронной торговле Национальной Ассоциации Участников Фондового Рынка (НАУФОР), кандидат технических наук.