Байков А.И.: Обеспечение безопасности информации в финансовых учреждениях Японии

Обеспечение безопасности информации в
финансовых учреждениях Японии

А.И. Байков

Введение

Еще несколько лет назад лишь очень немногие могли вообразить, что информационные технологии (ИТ) будут иметь такое огромное влияние на мировое сообщество и мировую экономику. Под ИТ понимается полный диапазон информации и технологий связи, связанный с инфраструктурой Сети и компьютерами. В частности, ИТ и Интернет с его открытостью и досягаемостью оказывают определяющее влияние на современные методы бизнеса и связи. Прежде всего, ИТ ускоряют распространение информации и уменьшают затраты. Это вызывает существенные изменения методов и способов ведения бизнеса между корпорациями и отношений между корпорациями и потребителями. Более того, ИТ принесли большее разделение информации в пределах корпораций, сократили затраты на обслуживание ее иерархической структуры и существенно увеличили эффективность деловых действий. При использовании глобального сетевого рынка «бизнес-бизнесу» (B2B) компании могут купить сырье или комплектующие у поставщика, который предложит самую низкую цену, или организовать производство на новом месте – в любых удобных регионах и городах, что повысит производительность и снизит затраты. Например, малые и средние предприятия Японии, которые участвуют на B2B рынке в Интернете, теперь находят партнеров непосредственно в Азии.

Сокращение и упрощение участия посредников – другое существенное изменение. В прошлом множество посредников продавали информацию о спросе и предложении товаров в определенных регионах. Однако с прогрессом ИТ потребность в таких услугах существенно уменьшилась. ИТ меняют структуру управления фирм, повышают их производительность, стимулируют организационные изменения и индустриальное реструктурирование, технологические новшества экономики страны, стимулируют конкуренцию и ведут к росту производительности.

Япония – яркий пример информационно-технологической революции, которая происходит в мире. По прогнозам Агентства планирования экономики Японии, внедрение ИТ повысит реальный ВВП страны на 6% в ближайшие пять лет, т. е. в среднем более чем на 1% в год. Для Японии из-за низкой рождаемости характерно старение населения. За счет ИТ, вероятно, удастся компенсировать отрицательное влияние на экономику уменьшения численности трудоспособного населения.

ИТ-революция решительно изменяет характер японской экономики, что подтверждается появлением новых видов услуг. Это, например, электронный бизнес, успешно удовлетворяющий все возрастающие потребности потребителя, виртуальные магазины и т. п. В Японии благодаря ИТ появились новые формы банковских и финансовых услуг, в частности, расчетов по карточкам в магазинах, на бензоколонках. Финансовые услуги через Интернет выполняются быстро, что делает жизнь более динамичной.

Развитие электронного бизнеса стирает границы между государствами, ускоряет развитие единого мирового рынка. Внедрение ИТ, сокращая потребности в рабочей силе в некоторых областях, одновременно увеличивает спрос на инженеров и рабочих в производстве компьютеров. В целом ИТ оказывают положительное воздействие на занятость, создают новые рабочие места благодаря экономическому росту и появлению новых видов бизнеса.

Считая своей важнейшей задачей – максимизировать выгоды от ИТ, Правительство Японии в ближайшее время планирует создание конкурентоспособной бизнес-среды за счет отмены госконтроля; развития открытой международной торговой системы; обеспечения безопасности торгово-финансовых сделок; защиты потребителей информационной продукции и услуг, развития финансовых рынков для удовлетворения потребностей новых видов бизнеса. Речь идет о максимальном стимулировании инициатив предпринимателей к внедрению новшеств ИТ. Столь же важным является урегулирование соответствующих международных правил.

Структурная перестройка финансового сектора в результате ИТ-революции

ИТ-революция – в процессе развития, и пока трудно не только оценить, но даже предвидеть ее конечные результаты. Тем не менее, уже сейчас информационные технологии имеют огромное значение для финансов и кредитно-денежного обращения. За счет быстрого прогресса ИТ финансовые учреждения начали внедрять открытые системы связи с выходом в Интернет. Поскольку ранее большинство из них использовало закрытые системы, доступ в которые посторонним был ограничен, в новых условиях резко возросла важность мероприятий для обеспечения информационной безопасности. Если в прошлом акцент делался на предотвращение поломок, недобросовестных и ошибочных действий персонала, имеющего доступ к внутренним системам, то теперь активное применение открытых систем разнообразило риски и усложнило их природу. В частности, в открытых системах возрастают риски типа обезличивания клиентов, кражи информации или ее изменения. Кроме того, появляются новые риски, которые являются специфическими для открытых систем, в виде несанкционированного доступа извне для кражи информации или создания помех в работе. Поэтому финансовые учреждения должны предпринимать более эффективные, соответствующие требованиям времени, меры безопасности.

Рост рисков безопасности информации

В быстро меняющейся деловой среде важно обеспечить клиентов удобными финансовыми услугами оперативно и недорого. Технические достижения Интернета позволяют строить электронные финансовые системы дешевле и быстрее, чем обычные, и обеспечивать с их помощью обслуживание значительно большего числа клиентов. Финансовый бизнес предполагает, что быстрый ответ на запросы клиента – основа обслуживания, поэтому все больше финансовых учреждений используют Интернет. Но расширение использования открытых систем в финансовом секторе услуг увеличивает риски безопасности информации (БИ). Это требует новых мер для управления рисками финансовых учреждений.

Сейчас все финансовые учреждения Японии и их филиалы входят в единую межбанковскую компьютеризированную сеть, что позволяет оперативно проводить кредитно-денежные операции практически в любой точке страны.

Система платежей (таблица 1) состоит из частных систем типа системы Зенкин, систем клиринговых центров, систем заключения сделок по обмену валюты, системы финансовой сети Банка Японии (BOJ-NET). Система Зенкин – внутренняя национальная электронная сеть расчетов, связывающая все депозитные учреждения Японии и управляемая Ассоциацией банкиров Токио. Чеки и счета оплачивают клиринговые центры, управляемые местными ассоциациями банкиров. Клиринговые центры Токио и Осаки также имеют свои автоматизированные расчетные системы. Система заключения сделок по обмену иена-инвалюта управляется Ассоциацией банкиров Токио и использует сеть Банка Японии.

Таблица 1. Система межбанковских платежей

Условные обозначения:
[1] Сделки через Банк Японии
[2] Обслуживание обеспечивает диалоговую обработку поставки правительственных облигаций для сделок на вторичных рынках, а также торги по новым выпускам
[3] Число участников каждой отдельной АТМсети на конец марта 1998 г.

Сеть выдачи наличных денег (текущие депозиты – CD, банкоматы) и автоматизированные электронные расчетные сети (ATMS) – другой важный электронный механизм платежей в Японии. Банки и другие депозитные учреждения строят свои собственные CD/ATM сети, а каждая сеть связана с другими через центральную систему MICS (принципиальная схема сетей представлена на рис. 1). Депоненты всех частных финансовых учреждений могут получить свои вклады в любом пункте CDS/ATMS Японии.

Рис. 1. Банкоматы и автоматизированные электронные расчетные сети
Примечания:
1. Числа в круглых скобках показываеют число банкоматов и ATMS на конец марта 1998 г.
2. CD/ATM сеть городских банков связана с сетью BANCS.
3. Расшифровка обозначений приведена в таблице 1.

Возникновение новых рисков и увеличение существующих

Японские финансовые учреждения освоили меры безопасности, которые базируются на использовании закрытых систем с обычными универсальными компьютерами следующего типа:

физическое разделение через управление входом и выходом в вычислительный центр при строительстве сетей с выделенными линиями;
использование специального программного обеспечения и протоколов связи;
использование контролирующих камер безопасности и человеческого наблюдения в отрасли.

При применении таких мер нарушения безопасности с внешней стороны были относительно редки в закрытых системах. Однако при продвижении к открытым системам участились случаи несанкционированного доступа извне и извлечения данных. Внутренние системы обработки документов финансовых учреждений соединяются с другими внешними сетями и используются общие протоколы связи. Кроме того, имеется много устройств, обслуживающих сделки клиентов, которые могут управляться финансовыми учреждениями менее эффективно, чем банкоматы или автоматические кассовые аппараты. В результате возникли риски несанкционированного доступа к внутренним системам (вторжение хакеров) и прерывания обслуживания. Более того, существенно выросли риски типа:

незаконного приобретения персональных кодов идентификации (PIN кодов);
воровства данных в сети;
несанкционированных денежных переводов путем изменения данных;
приобретения фондов при обезличенных сделках.

В Японии увеличивается число финансовых учреждений, которые пострадали от нарушения БИ. Кроме того, растет число случаев прерывания обслуживания, возникающего при перегрузках сети поставщика сетевых услуг, что может вызвать катастрофические последствия при заключении сделок или передаче фондов и отражается на деятельности не только отдельного финансового учреждения, но и всей отрасли.
В последнее время финансовые учреждения использовали разнообразные средства для передачи информации своим филиалам или специализированным фирмам в других местах. В результате появляется риск информационных утечек. Возникает необходимость разработки предупредительных мер, гарантирующих, что учреждения примут собственные меры безопасности, включая разъяснение строгих условий в контрактах о передаче информации и прав ревизии системы и другие гарантии.

Влияние информационных рисков на финансовые услуги

Если риски БИ типа прерываний обслуживания и несанкционированного доступа произошли в отдельном финансовом учреждении, финансовому учреждению, вероятно, придется приостановить услуги временно. В этом случае, в дополнение к прерываниям обслуживания, финансовое учреждение могло бы также пострадать существенно от падения доверия со стороны клиентов и т. п.

В последние годы различные межбанковские расчеты были в значительной степени систематизированы. Если произошел сбой и система прекратила работать в конкретном финансовом учреждении, то проблемы могут быстро возникнуть во всей сети. Финансовые учреждения должны серьезно относиться к возможности подобных ситуаций, предусмотреть меры, чтобы предотвратить их и подготовить планы действий для быстрого восстановления функций системы в непредвиденных обстоятельствах.

Формулировка политики БИ

Современные условия ведения бизнеса требуют единой политики обеспечения мер БИ для всего учреждения, детализации ее механизмов и способов внедрения по всей системе.

Хотя японские финансовые учреждения имеют опыт разработки мер БИ, но во многих случаях они разработаны индивидуально, для конкретных фирм. Поэтому актуальна задача выработки единой политики во всей отрасли, единых стандартов, необходимых для принятия соответствующих контрмер.

Что такое политика БИ?

Политика БИ – это систематизация подходов и мероприятий, связанных с формированием комплекса мер безопасности информации, которые нужно применить в пределах конкретной организации. Это политика, гарантирующая безопасность информации в системах, принадлежащих организации. В большинстве случаев она состоит из «основного подхода к мерам БИ», или базовой политики, и «мер и стандартов, применяемых во всей организации». Ниже перечислены пункты, которые обычно включаются в базовую политику БИ.

Примерное содержание политики БИ

1. Цели и возможности мер БИ.

Основной подход к мерам БИ.
Информационные системы, которые должны быть защищены, причины их защиты.
Приоритеты информационных систем, которые нужно защитить.

2. Механизмы, чтобы продвинуть меры БИ.

Роль руководства, назначение исполнителя, ответственного за БИ, координация функций БИ.
Проверки юридическим отделом на согласованность с законами и инструкциями.
Использование внешних консультантов или подобных деловых советников.

3. Выполнение мер БИ.

Возможные риски БИ и управление ими.
Процесс принятия решений по осуществлению мер БИ.
Процедуры для пересмотра мер БИ.
Краткий обзор содержания мер БИ.

4. Управление пользователями и обучение БИ.

Обязанности каждого сотрудника, санкции, применяемые в случае нарушений (штрафы и т. д.).
Проверка статуса согласия с мерами БИ путем самопроверки и внутреннего осмотра.
Занятия по политике БИ.

5. Кризисное управление.

Реакция на поломки в компьютерных системах.

6. Прочее.

Процедуры для периодической переоценки политики БИ.

Эффективность политики БИ

Формулировка политики БИ, как ожидается, существенно увеличит эффективность безопасности системы финансовых учреждений и сделает возможным выполнение всесторонних и эффективных мер БИ во всех организациях.

Результаты, которые можно получить вследствие выработки политики БИ

1. Осознание важности БИ сотрудниками организации, особенно ее руководящим звеном и привлечение необходимых ресурсов для реализации мер БИ.
2. При формулировке мер безопасности в соответствии с последовательными стандартами обеспечение единого уровня БИ в пределах всей организации.
3. Выявление слабых мест в предварительно осуществленных мерах БИ станет проще, а понимание рисков будет облегчено. Например, форэлектронные расчетные сети (ATMS) – другой важный электронный механизм платежей в Японии. Банки и другие депозитные учреждения строят свои собственные CD/ATM сети, а каждая сеть связана с другими через центральную систему MICS (принципиальная схема сетей представлена на рис. 1). Депоненты всех частных финансовых учреждений могут получить свои вклады в любом пункте CDS/ATMS Японии.

Разработка политики БИ как проблемы управления

Финансовые учреждения понимают важность внедрения ИТ, хотя возрастают риски БИ. В этих условиях управление рисками БИ на организационном уровне является одной из критических проблем для администрации. Чтобы гарантировать требуемый уровень безопасности, необходимо задействовать соответствующие ресурсы управления, добиться адекватного понимания важности задачи и сотрудничества от каждого сотрудника финансовых учреждений. Однако простому исполнителю трудно ощутить прямые преимущества мер БИ, а, следовательно, принять эти меры в качестве основы стиля поведения. Таким образом, при внедрении информационных технологий от руководства требуется особая активность в процессе управления рисками.

Уведомление и выполнение политики БИ

Все структурные подразделения должны твердо придерживаться политики БИ, формируя ее под руководством администрации. Все сотрудники должны четко знать свои обязанности и выполнять правила БИ, чтобы не возникали проблемы из-за нарушения принятой политики.

Если обнаружены случаи нарушения политики БИ, то необходимы оперативные меры по их устранению. Следует разработать процедуры, позволяющие предотвратить повторение нарушений политики БИ. Для повышения эффективности политики БИ следует регулярно проводить внутренние ревизии или осмотры.

Необходим периодический пересмотр политики БИ. Если произошел только один случай утечки информации, то существует риск, что подобное может повториться. Таким образом, важно периодически подтверждать самую последнюю информацию относительно безопасности и устанавливать механизмы ежедневной проверки безопасности на местах.

Совместимость с международными стандартами

В связи с глобализацией экономики финансовые учреждения Японии столкнулись с необходимостью гарантировать, что их политика в области БИ совместима с международными стандартами. Для достижения этой цели в стране используют международные стандарты и руководящие принципы, принятые международными организациями по стандартизации. Укажем наиболее значимые:

1. BS 7799. Британские Стандарты. Свод правил для управления БИ.
2. ISO/TR13569. Банковское дело и связанные финансовые услуги. Руководящие принципы БИ.
3. ISO15408. Информационная технология – методы безопасности – критерии оценки ИТ безопасности

Принятие мер БИ

Важность последовательного объединения мер БИ

Как только политика БИ сформулирована для каждой отдельной системы, нужно определить уровни безопасности и детализировать содержание конкретных мер. При использовании закрытой системы первичное оборудование расположено в компьютерном центре и, следовательно, риски могут быть изолированы в подразделениях системы, особенно в системе операционных участков. С переходом к операциям в открытых сетях, например в Интернете, необходимы другие технологии безопасности. Современные технологии безопасности не всегда доступны из-за высокой стоимости и ограниченного обращения. Поэтому каждое финансовое учреждение разрабатывает собственные меры БИ, исходя из конкретного уровня риска БИ и собственных возможностей.

Внедрение новых технологий

Электронная идентификация, использующая публичный ключ криптографии, уже внедрена и получила признание как метод, обеспечивающий более высокий уровень безопасности, чем пароли. Однако она не внедрена как метод установления подлинности клиента при использовании Интернета в банковском деле. В то же время следует ожидать, что финансовые учреждения облегчат использование публичного ключа криптографии, поскольку дешевые IC карты, содержащие частные ключи и цифровые удостоверения, получают все большое распространение на рынке расчетов. Кроме того, внедряются новые опознавательные технологии, такие как цифровой штемпель времени, то есть технология «цифрового нотариуса», которая позволяет установить подлинность третьей стороны; биометрическое установление подлинности, в основе которого лежат индивидуальные физические признаки человека: отпечатки пальцев, отображения сетчатки глаза, почерк, запись голоса.

Быстрый технологический прогресс аппаратных средств и программного обеспечения ЭВМ увеличивает риск нарушения безопасности. Эти фактором нельзя пренебрегать, чтобы не оставлять информационные системы открытыми для хакеров и других форм злоупотреблений. В связи с этим желательно:

правильно оценить степень допустимых рисков в конкретной системе;
рассчитать необходимые ресурсы входа без задержки;
быстро осуществить предупредительные меры.

Важность надлежащего выполнения мер БИ

Разовое внедрение мер БИ не приведет к эффективным результатам. Например, при защите от несанкционированного доступа простое включение барьера недостаточно. Здесь термин «барьер» относится к программному обеспечению и оборудованию пункта связи с внешними сетями, где предотвращаются неправомочный доступ и отток данных . Поэтому финансовые учреждения должны постоянно собирать и анализировать данные обо всех попытках несанкционированного доступа в информационные системы. Это позволит осуществить соответствующие контрмеры и снизить риск. Важно заранее предусмотреть меры по минимизации ущерба от нарушения системы информационной безопасности и иметь механизмы, готовые к быстрому реагированию на попытки взлома. Полезно проверить эффективность каждой меры безопасности с помощью специализированного агентства.

Уровни БИ могут поддерживаться и улучшаться путем непрерывного цикла следующих проверок:

анализа рисков БИ,
разработки и внедрения технологических и системных контрмер для признанных рисков;
обучения и тренировки служащих, включая временный персонал и субподрядчиков;
регулярного подтверждения статуса путем ревизии БИ;
отражения результатов проверок в последующем анализе рисков.

Специфическим следствием большого количества распределенной обработки, производимой системами, является то, что слабые пункты мер БИ могут остаться незамеченными. В Интернете также постоянно возникают новые факторы, которые могут нарушить БИ, поэтому со временем традиционные меры безопасности становятся неадекватными. Отсюда возникает необходимость постоянно обновлять и совершенствовать систему БИ и разрабатывать новые контрмеры, чтобы оказаться готовым к борьбе с новыми опасностями, не подвергать финансовым рискам собственную организацию.

Заключение

Финансовые учреждения, использующие ИТ для развития бизнеса, должны осознать важность БИ. Учитывая бурный прогресс технических новшеств, нельзя дать однозначных рекомендаций по информационной безопасности для каждого финансового учреждения. В нашем случае Банк Японии поддерживает действия финансовых учреждений по обеспечению БИ и следит за уровнем технического прогресса в этой сфере, требуя того же от руководителей каждой организации. Банк намерен непрерывно держать под контролем состояние информационной безопасности в финансовых учреждениях и способствовать ее совершенствованию, включая проведение экспертиз с акцентом на БИ.

Литература

1. The importance of information security for financial institutions and proposed countermeasures // Bank of Japan, Apr. 2000.
2. Public key identification and electronic authentication in the financial industry // IMES, Bank of Japan, 1999, Paper Series 99-J-30 (Japanese).
3. Status and issues of digital time-stamping technology // IMES, Bank of Japan, 1999, Paper Series 99-J-36 (Japanese).
4. Status and issues of personal authentication technologies through biometrics // IMES, Bank of Japan, 1999, Paper Series 99-J-43 (Japanese).

¹ В статье использованы материалы исследований Банка Японии и его рекомендации, разработанные на основе эксплуатации систем, в которых Банк Японии применил «Контрольный список мер информационной безопасности», разработанный им для систем, использующих Интернет.

Байков Андрей Игоревич - аспирант Института экономики РАН