Специфика на защитата на банковата тайна

Специфика на защитата на банковата тайна

Защитата на банковата информация започва с отговорите на следните въпроси:

  • Какво точно трябва да се защити?
  • Каква е стойността на тази информация?
  • Къде се съхранява?
  • Кой има достъп до него?
  • Как се движи?

защитата

Друг, по-скъп и следователно по-малко популярен начин за кражба на поверителна информация в момента са дълбоко обмислени многопосочни атаки срещу системи отвън. Хакването се извършва, като правило, чрез използване на уязвимости в системата или чрез изпращане на имейли, съдържащи зловреден софтуер или връзка към него. Освен това се събира и краде информация, като векторите на развитие на атаката и използваните методи във всеки случай са изключително индивидуални. И така, според експерти, разследващи подобни престъпления, две идентични атаки с копие вече са реликва от миналото, така че съвременните измами са станали „напреднали“ и технологично напреднали. Най-често по този начин се крадат данни от банкови карти.

- Българската икономика и в частност българската банкова система се стреми да се доближи до световните стандарти за качество. И следователно, когато се регулират дейностите, световните стандарти често се вземат като основа. Как това се отразява на регулирането на дейността на банката и стандартите за качество на сигурността? – Глобалните стандарти за качество в областта на ИТ и ИС се появиха отдавна, те съчетават най-добрите практики и опит на световни експерти. С право възниква въпросът: „Какво лошо има в това да вземем за основа най-добрите световни практики?“. Помислете например за стандарта за информационна сигурност на Банката на България (STO BR IBBS), който, както показва статистиката, е задължителен запредставяне в повече от половината кредитни институции в България. Не е тайна, че той е създаден на базата на световните стандарти за информационна сигурност и най-добрите индустриални практики, като стандартът е съобразен и с вътрешните специфики на индустрията и българското законодателство. В резултат на това продукцията се оказа доста висококачествен продукт, който обаче има потенциал за подобрение. Освен това в момента голям брой банки са сертифицирани или планират да бъдат сертифицирани по стандарта PCI DSS. За онези организации, които правилно отговарят на изискванията на текущите версии на STO BR IBBS, такова събитие най-вероятно ще бъде по-евтино, тъй като повечето от тях ще бъдат внедрени. Според мен същото ще бъде и със сертифицирането по ISO 27001, както и с много други международни стандарти. Като цяло, докато международните стандарти, които българските финансови институции са длъжни да спазват, не започнат да противоречат на българските стандарти, стандартизацията, базирана на световния опит, е по-скоро положителна тенденция.

– На какво трябва да обърнат внимание финансовите институции, когато избират мерки за сигурност? – Ако целта на една организация е да придобие висококачествен продукт, който най-добре отговаря на заявените цели, лесно интегриран в съществуващата инфраструктура, на адекватна цена и с добра поддръжка от доставчика и интегратора, тогава трябва да обърнете внимание на всичко. Винаги е необходимо да се започне от така наречения предпроектен или изследователски етап, в резултат на който се определят вътрешните нужди и в резултат на това изискванията към продукта и трябва да се обърне значително внимание на подготовката на изискванията, т.к. допълнителни подобрениясистеми, за да добавите забравена функционалност към него, може значително да увеличи цената на притежание. На следващия етап е необходимо да се справим с декларираната функционалност на въпросните инструменти за защита, като това трябва да стане не според любезно предоставените презентации от мениджърите по продажбите, а според спецификацията на продукта, като не забравяме едновременно да наблюдаваме търговското предложение за наличието на конкретна функция в него. Това ще ви позволи да си изградите ясна представа за продукта и неговата функционалност, за възможностите за поддръжка, други допълнителни опции и да изберете какво точно ще е необходимо за постигане на предварително зададени цели. След това трябва да вземете решение за варианта за внедряване, тъй като преди да закупите инструмент за сигурност, трябва да имате ясно разбиране какво точно и как ще бъде интегрирано в инфраструктурата, с какви услуги и системи трябва да взаимодейства и по какви начини. Когато разглеждате няколко инструмента за защита, сходни по функционалност от различни производители, е важно да се вземат предвид индивидуалните нюанси на изпълнение, така че схемите за интеграция трябва да се разработват индивидуално за всяко от решенията.

защитата

След това се реализира пилотен проект. Този етап често се пропуска от много компании поради кратките срокове, когато се дават не повече от 2-3 месеца за избор на решение заедно с търг. Но въпреки това, само в резултат на пилота, можете напълно да разберете как това или онова решение ви подхожда и да разберете дали всички декларирани функции наистина могат да бъдат внедрени във вашата инфраструктура и дали декларираните характеристики на бъдещата услуга ще бъдат запазени. Връщайки се към специфичните изисквания и критерии, които ще бъдат полезни при избора на почти всяко средство за защита, можем да изразим приблизително следния набор: системаизисквания, производителност, възможност за самонастройка/настройка, възможност за по-нататъшно мащабиране, наличие на дълбоко регистриране, наличие на няколко ролеви модела на достъп до системата, съвместимост със съществуващи системи/услуги, възможност за обогатяване с данни от външни центрове за данни, наличие на пълна поддръжка в България, цена на притежание за 3-5 години. Освен това важни аспекти на решението включват положителния опит на доставчика при внедряването на този инструмент за защита в други компании в България и възможността за организиране на референтно посещение при тях.

– Какви конкретни фактори трябва да вземе предвид информационната сигурност на една банка? – Най-„горещият” фактор във връзка с нарасналия обем на измами в цялата банкова индустрия в областта на технологиите за отдалечени плащания от началото на 2015 г. е наличието на канали за дистанционно банково обслужване. Това е зона с висок риск: в момента има голям брой заплахи, които могат да засегнат RBS каналите, в резултат на което те изискват голямо внимание от страна на информационната сигурност.

Освен това значително количество клиентски данни и друга чувствителна информация, представляваща търговска и банкова тайна, могат да бъдат идентифицирани като характеристика на банковата индустрия: важно е да се гарантира тяхната поверителност, цялост и наличност. Информацията от своя страна се обработва в голям брой системи, като тук на преден план излиза надеждността и необходимостта от поддържане на непрекъснатостта на тяхната дейност. Тези изисквания са приложими и за голямо разнообразие от бизнес процеси, които поддържат банковата дейност, тъй като те трябва да работят като единен механизъм, без никакви повреди и грешки.

Ако говорим директно за FG Life, тогава за конкретниХарактеристиките на групата включват непрекъсната проектна дейност и голям брой дигитални и иновативни услуги. Повечето от проектите са насочени към подобряване на качеството на настоящите услуги и създаване на нови; това от своя страна води до промени в съществуващите или създаване на нови процеси и технологични платформи. Тази ситуация оставя отпечатък върху работата на отдела за информационна сигурност: разработват се всякакви промени, за да се осигури необходимото ниво на информационна сигурност на услугите и обслужващата ги инфраструктура.

– Как могат да бъдат оценени рисковете от масови нарушения? Класическата оценка на риска за информационната сигурност се състои от разработване на действителен модел на заплаха, оценка на всяка заплаха от гледна точка на вероятността от нейното прилагане за дадена организация и изчисляване на щетите от прилагането на заплахата. Освен това щетите могат да бъдат оценени хипотетично, например по скала „висока“, „средна“, „ниска“, като в този случай оценката на риска е качествена. За да се премине към количествена оценка на рисковете за информационната сигурност, са необходими количествени данни за щетите, които най-често се изчисляват въз основа на натрупаната собствена статистическа информация за щетите от прилагането на този вид риск. Понякога за основа се вземат средни за индустрията данни, но в този случай количествената оценка на риска може да е по-малко точна. При масовите нарушения ситуацията е абсолютно подобна: има заплаха - масово нарушаване на информационната сигурност, например масово изтичане на информация. Необходимо е да се изчисли вероятността от възникването му, която ще зависи както от вътрешни фактори (наличие на достъп до ценна информация, степен на лоялност и мотивация на служителите, наличие на системи за контрол на информацията, вече възникнали инциденти и т.н.), така и от външни фактори (ситуацията на пазара, вдържава). Ако по-голямата част от служителите имат достъп до информация, няма системи за контрол на течовете, в страната има криза и има слухове сред персонала, че компанията ще започне съкращения в близко бъдеще, тогава рискът от масови течове може да се оцени като висок, следователно е необходимо да се предприемат бързи мерки за намаляването му.

– Кои заплахи (външни или вътрешни) представляват най-голяма опасност за банката и защо? – Определено е невъзможно да се отговори на този въпрос, тъй като и двете представляват голяма опасност за банките. За всяка банка това е индивидуално и се определя от оценката на рисковете за информационната сигурност в определен момент. Заплахите, които се материализираха във финансовия сектор през последните няколко години, доказват това твърдение. Имаше изтичане на информация и хакване на уеб приложения и бази данни чрез използване на всякакви уязвимости в операционната система, приложенията и протоколите. Регистрирани са кражби на средства чрез множество канали за дистанционно банкиране, от кореспондентски сметки на банки, от банкомати, физически кражби на самите банкомати, масово заразяване на инфраструктурата със зловреден софтуер с цел създаване на ботнет мрежи, DDoS атаки, спам атаки и вътрешни измами. Мисля, че всяка банка ще намери критични заплахи в този списък.

банковата

Напоследък областта на дистанционното банкиране се развива много активно в банковия сектор - това е възможността да плащате за почти всичко, P2P парични преводи и към множество портфейли, мобилно банкиране, SMS банкиране. С развитието на RBS технологиите нарастват и заплахите от кражба на средства в тази област. Това е заплаха и предизвикателство, както за банките, така и за клиентите, тъй като максимална сигурност може да се постигне само ако банката разполага с необходимите и достатъчно средства на своя страна.защита и при задължително спазване от клиентите на правилата за безопасно използване на RB технологиите. И като се има предвид най-новата тенденция за кражба на средства чрез дистанционни канали, която се състои в незаконно преиздаване от нападатели на SIM картата на клиента, на която се изпращат SMS съобщения с еднократни пароли, които са допълнителен канал за удостоверяване на действията на клиента в интернет или мобилно банкиране, последваща промяна на паролата в системата RBS и теглене на средства от клиентски сметки, телеком операторите също се включиха в работата за намаляване на рисковете от измамни дейности в тази област.

- Формално няма задължително изискване за сертифициране на средствата за сигурност за защита на поверителна информация, но на практика се използват предимно сертифицирани инструменти. Възможно ли е да се постигне баланс между формално съответствие с изискванията на нормативните документи, от една страна, и, от друга страна, функционалност, производителност, използваемост и защита срещу реални заплахи? - ПМС № 1119 „За утвърждаване на изискванията за защита на личните данни при обработването им в информационни системи за лични данни“ изисква използването на средства за сигурност на информацията, преминали през процедурата за оценка на съответствието с изискванията на българското законодателство в областта на информационната сигурност в случай, че използването на такива инструменти е необходимо за неутрализиране на реални заплахи. Оказва се, че за защита на личните данни от актуални заплахи е необходимо да се използват сертифицирани инструменти за информационна сигурност, въпреки че експертната общност в областта на информационната сигурност все още изразява различни мнения по въпроса какво се счита за оценка на съответствието на средствата за информационна сигурност. НаНа практика цената на сертифицираните инструменти за информационна сигурност е по-висока, а възможността за избор е ограничена. В допълнение, сертифицираните инструменти за сигурност налагат ограничения върху актуализациите, свързани с възможна загуба на статус на сертифициране, тъй като. най-често надградената система е нова система.

Какви рискове могат да възникнат при използване на защитно оборудване, което не е преминало задължително сертифициране? Това е наличието на недекларирани възможности в системата, несъответствието между декларираната функционалност и действителната и следователно липсата на адекватно ниво на сигурност. От друга страна, свойствата на действителната функционалност, производителност, използваемост и сигурност се тестват най-добре на място в конкретна инфраструктура и тези свойства могат да бъдат предоставени както от сертифицирани, така и от несертифицирани инструменти за сигурност. Дали да използва сертифицирани инструменти за сигурност или не, всяка организация решава сама, такова решение трябва да бъде взето въз основа на изискванията на закона, съществуващия модел на заплаха, възможността за закупуване на сертифицирани инструменти и наличието на определен тип средство за сигурност на пазара за конкретна цел за сигурност.