Информационная безопасность банковской деятельности. Организационные средства

Банковская деятельность всегда была связана с обработкой и хранением большого количества конфиденциальных данных. В первую очередь это персональные данные о клиентах, об их вкладах и обо всех осуществляемых операциях.

Вся коммерческая информация, хранящаяся и обрабатываемая в кредитных организациях, подвергается самым разнообразным рискам, связанным с вирусами, выходом из строя аппаратного обеспечения, сбоями операционных систем и т.п. Но эти проблемы не способны нанести сколько-нибудь серьезный ущерб. Ежедневное резервное копирование данных, без которого немыслима работа информационной системы любого предприятия, сводит риск безвозвратной утери информации к минимуму. Кроме того, хорошо разработаны и широко известны способы защиты от перечисленных угроз. Поэтому на первый план выходят риски, связанные с несанкционированным доступом к конфиденциальной информации (НСД).

Несанкционированный доступ - это реальность

На сегодняшний день наиболее распространены три способа воровства конфиденциальной информации. Во-первых, физический доступ к местам ее хранения и обработки. Здесь существует множество вариантов. Например, злоумышленники могут забраться в офис банка ночью и украсть жесткие диски со всеми базами данных. Возможен даже вооруженный налет, целью которого являются не деньги, а информация. Не исключена ситуация, когда сам сотрудник банка может вынести носитель информации за пределы территории.

Во-вторых, использование резервных копий. В большинстве банков системы резервирования важных данных основаны на стримерах. Они записывают создаваемые копии на магнитные ленты, которые потом хранятся в отдельном месте. Доступ к ним регламентируется гораздо более мягко. При их транспортировке и хранении относительно большое количество человек может снять с них копии. Риски, связанные с резервным копированием конфиденциальных данных, нельзя недооценивать. Например, большинство экспертов уверено, что появившиеся в продаже в 2005 году базы данных проводок Центрального Банка РФ были украдены именно благодаря снятым с магнитных лент копиям. В мировой практике известно немало подобных инцидентов. В частности, в сентябре прошлого года сотрудники компании Chase Card Services (подразделение JPMorgan Chase & Co.), поставщика кредитных карт, по ошибке выкинули пять магнитных лент с резервными копиями, содержащими информацию о 2,6 млн. владельцев кредитных счетов Circuit City.

В-третьих, наиболее вероятный способ утечки конфиденциальной информации - несанкционированный доступ сотрудниками банка. При использовании для разделения прав только стандартных средств операционных систем у пользователей нередко существует возможность опосредованно (с помощью определенного ПО) целиком скопировать базы данных, с которыми они работают, и вынести их за пределы компании. Иногда сотрудники делают это без всякого злого умысла, просто чтобы поработать с информацией дома. Однако такие действия являются серьезнейшим нарушением политики безопасности и они могут стать (и становятся!) причиной огласки конфиденциальных данных.

Кроме того, в любом банке есть группа людей, обладающих в локальной сети повышенными привилегиями. Речь идет о системных администраторах. С одной стороны, это необходимо им для выполнения служебных обязанностей. Но, с другой стороны, у них появляется возможность получить доступ к любой информации и «замести следы».

Таким образом, система защиты банковской информации от несанкционированного доступа должна состоять как минимум из трех подсистем, каждая из которых обеспечивает защиту от своего вида угроз. Это подсистема защиты от физического доступа к данным, подсистема обеспечения безопасности резервных копий и подсистема защиты от инсайдеров. И желательно не пренебрегать ни одной из них, поскольку каждая угроза может стать причиной разглашения конфиденциальных данных.

Банкам закон не писан?

В настоящее время деятельность банков регламентируется федеральным законом «О банках и банковской деятельности». В нем, помимо всего прочего, вводится понятие «банковская тайна». Согласно ему любая кредитная организация обязана обеспечивать конфиденциальность всех данных о вкладах клиентов. За их разглашение она несет ответственность, включая возмещение причиненного утечкой информации ущерба. При этом никаких требований к безопасности банковских информационных систем не предъявляется. Это значит, что все решения по защите коммерческих данных банки принимают самостоятельно, основываясь на опыте своих специалистов или сторонних компаний (например, осуществляющих аудит информационной безопасности). Единственной рекомендацией является стандарт ЦБ РФ «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения». Впервые он появился в 2004 году, а в 2006 был принят новый его вариант. При создании и доработке этого ведомственного документа использовались действующие российские и международные стандарты в области информационной безопасности.

ЦБ РФ может только рекомендовать его другим банкам, но не может настаивать на обязательном внедрении. Кроме того, в стандарте мало четких требований, определяющих выбор конкретных продуктов. Он, безусловно, важен, но в данный момент не имеет серьезного практического значения. Например, про сертифицированные продукты в нем сказано так: «...могут использоваться сертифицированные или разрешенные к применению средства защиты информации от НСД». Соответствующий список отсутствует.

Перечислены в стандарте и требования к криптографическим средствам защиты информации в банках. И вот здесь уже есть более-менее четкое определение: «СКЗИ... должны быть реализованы на основе алгоритмов, соответствующих национальным стандартам РФ, условиям договора с контрагентом и(или) стандартам организации». Подтвердить соответствие криптографического модуля ГОСТ 28147-89 можно путем сертификации. Поэтому при использовании в банке систем шифрования желательно применять сертифицированные ФСБ РФ программные или аппаратные криптопровайдеры, то есть внешние модули, подключающиеся к программному обеспечению и реализующие сам процесс шифрования.

В июле прошлого года был принят федеральный закон Российской Федерации «О персональных данных», который вступил в действие 1 января 2007 года. Некоторые эксперты связывали с ним появление более определенных требований к банковским системами защиты, поскольку банки относятся к организациям, обрабатывающим персональные данные. Однако сам закон, безусловно очень важный в целом, на сегодняшний день не применим на практике. Проблема заключается в отсутствии стандартов защиты приватных данных и органов, которые могли бы контролировать их исполнение. То есть получается, что в настоящее время банки свободны в выборе систем защиты коммерческой информации.

Защита от физического доступа

Банки традиционно уделяют очень большое внимание физической безопасности операционных отделений, отделений хранения ценностей и т.п. Все это снижает риск несанкционированного доступа к коммерческой информации путем физического доступа. Однако офисы банков и технические помещения, в которых размещаются серверы, по степени защиты обычно не отличаются от офисов других компаний. Поэтому для минимизации описанных рисков необходимо использовать систему криптографической защиты.

Сегодня на рынке имеется большое количество утилит, осуществляющих шифрование данных. Однако особенности их обработки в банках предъявляют к соответствующему ПО дополнительные требования. Во-первых, в системе криптографической защиты должен быть реализован принцип прозрачного шифрования. При его использовании данные в основном хранилище всегда находятся только в закодированном виде. Кроме того, эта технология позволяет минимизировать затраты на регулярную работу с данными. Их не нужно каждый день расшифровывать и зашифровывать. Доступ к информации осуществляется с помощью специального ПО, установленного на сервере. Оно автоматически расшифровывает информацию при обращении к ней и зашифровывает перед записью на жесткий диск. Эти операции осуществляются прямо в оперативной памяти сервера.

Во-вторых, банковские базы данных очень объемны. Таким образом, криптографическая система защиты информации должна работать не с виртуальными, а с реальными разделами винчестеров, RAID-массивами и прочими серверными носителями информации, например, с хранилищами SAN. Дело в том, что файлы-контейнеры, которые могут подключаться к системе в качестве виртуальных дисков, не предназначены для работы с большими объемами данных. В том случае, когда виртуальный диск, созданный из такого файла, имеет большой размер, при обращении к нему одновременно даже нескольких человек можно наблюдать значительное уменьшение скорости чтения и записи информации. Работа же нескольких десятков человек с файлом-контейнером большого объема может превратиться в сущее мучение. Кроме того, нужно учитывать, что эти объекты подвержены риску повреждения из-за вирусов, сбоев файловой системы и т.д. Ведь, по сути, они представляют собой обычные файлы, но довольно большого размера. И даже небольшое их изменение может привести к невозможности декодирования всей содержащейся в нем информации. Оба этих обязательных требования существенно сужают круг подходящих для реализации защиты продуктов. Фактически сегодня на российском рынке имеется лишь несколько таких систем.

Подробно рассматривать технические особенности серверных систем криптографической защиты информации нет необходимости, поскольку в одном из прошлых номеров мы уже сравнивали эти продукты. (Столяров Н., Давлетханов М. UTM-защита. ) Но стоит отметить некоторые особенности таких систем, наличие которых желательно для банков. Первая связана с уже упомянутой сертификацией используемого криптографического модуля. Соответствующее программное или аппаратное обеспечение уже есть в большинстве банков. Поэтому система серверной защиты информации должна предусматривать возможность их подключения и использования. Вторым особым требованием к системе защиты информации является возможность интеграции в систему физической безопасности офиса и/или серверной комнаты. Это позволяет защитить информацию от несанкционированного доступа, связанного с кражей, взломом и т.п.

Особое внимание в банках должно уделяться сохранности информации, поскольку она фактически является деньгами клиентов. Поэтому в системе защиты должны быть предусмотрены специальные возможности, минимизирующие риск ее утери. Одной из самых заметных является функция определения испорченных секторов на жестком диске. Кроме того, большую важность имеет возможность приостановки и отмены процессов первоначального зашифровывания диска, его расшифровывания и перешифровывания. Это довольно длительные процедуры, любой сбой во время которых грозит полной потерей всех данных.

Очень большое влияние на риски, связанные с несанкционированным доступом к конфиденциальной информации, имеет человеческий фактор. Поэтому желательно, чтобы система защиты предусматривала возможность уменьшения такой взаимосвязи. Достигается это путем использования надежных средств хранения ключей шифрования - смарт-карт или USB-ключей. Оптимальным является вхождение этих токенов в состав продукта, оно позволяет не только оптимизировать затраты, но и обеспечивает полную совместимость программного и аппаратного обеспечения.

Другой важной функцией, позволяющей минимизировать влияние человеческого фактора на надежность системы защиты, является кворум ключей. Суть его заключается в разделении ключа шифрования на несколько частей, каждая из которых отдается в пользование одному ответственному сотруднику. Для подключения закрытого диска требуется наличие заданного количества частей. Причем оно может быть меньше общего числа частей ключа. Такой подход позволяет обезопасить данные от нецелевого использования ответственными сотрудниками, а также обеспечивает необходимую для работы банка гибкость.

Защита резервных копий

Регулярное резервирование всей хранящейся в банке информации - абсолютно необходимая мера. Она позволяет существенно снизить убытки в случае возникновения таких проблем, как порча данных вирусами, выход из строя аппаратного обеспечения и т.п. Но в то же время она усиливает риски, связанные с несанкционированным доступом. Практика показывает, что носители, на которые записываются резервные копии, должны храниться не в серверной комнате, а в другом помещении или даже здании. В противном случае при возникновении пожара или другого серьезного инцидента безвозвратно утерянными могут оказаться как сами данные, так и их архивы. Надежно защитить резервные копии от несанкционированного использования можно только с помощью криптографии. В этом случае, храня ключ шифрования у себя, офицер безопасности может спокойно передавать носители с архивами техническому персоналу.

Основная сложность в организации криптографической защиты резервных копий заключается в необходимости разделения обязанностей по управлению архивированием данных. Настраивать и осуществлять сам процесс резервного копирования должен системный администратор или другой технический сотрудник. Управлять же шифрованием информации должен ответственный сотрудник - офицер безопасности. При этом необходимо понимать, что резервирование в подавляющем большинстве случаев осуществляется в автоматическом режиме. Решить эту проблему можно только путем «встраивания» системы криптографической защиты между системой управления резервным копированием и устройствами, которые осуществляют запись данных (стримеры, DVD-приводы и т.п.).

Таким образом, криптографические продукты для возможности их применения в банках должны также иметь возможность работы с различными устройствами, использующимися для записи резервных копий на носители информации: стримерами, CD- и DVD-приводами, съемными жесткими дисками и т.п.

На сегодня существуют три типа продуктов, призванных минимизировать риски, связанные с несанкционированным доступом к резервным копиям. К первому относятся специальные устройства. Такие аппаратные решения имеют множество преимуществ, в том числе и надежное шифрование информации, и высокая скорость работы. Однако они обладают тремя существенными недостатками, которые не позволяют использовать их в банках. Первый: очень высокая стоимость (десятки тысяч долларов). Второй: возможные проблемы c ввозом в Россию (нельзя забывать, что мы говорим о криптографических средствах). Третий минус заключается в невозможности подключить к ним внешние сертифицированные криптопровайдеры. Эти платы работают только с реализованными в них на аппаратном уровне алгоритмами шифрования.

Вторую группу систем защиты криптографической защиты резервных копий составляют модули, которые предлагают своим клиентам разработчики программного и аппаратного обеспечения для резервного копирования. Существуют они для всех наиболее известных в данной области продуктов: ArcServe, Veritas Backup Exec и др. Правда, и у них есть свои особенности. Самая главная - это работа только со «своим» ПО или накопителем. Между тем информационная система банка постоянно развивается. И возможна ситуация, когда замена или расширение системы резервного копирования может потребовать дополнительных затрат на модификацию системы защиты. Кроме того, в большинстве продуктов этой группы реализованы старые медленные алгоритмы шифрования (например, 3DES), нет средств управления ключами, отсутствует возможность подключения внешних криптопровайдеров.

Все это заставляет обратить самое пристальное внимание на системы криптографической защиты резервных копий из третьей группы. К ней относятся специально разработанные программные, программно-аппаратные и аппаратные продукты, не привязанные к конкретным системам архивирования данных. Они поддерживают широкий спектр устройств записи информации, что позволяет применять их во всем банке, включая и все его филиалы. Это обеспечивает единообразие используемых средств защиты и минимизацию эксплуатационных затрат.

Правда, стоит отметить, что, несмотря на все их преимущества, на рынке представлено совсем немного продуктов из третьей группы. Это объясняется, скорее всего, отсутствием большого спроса на системы криптографической защиты резервных копий. Как только руководство банков и прочих крупных организаций осознает реальность рисков, связанных с архивированием коммерческой информации, число игроков на этом рынке вырастет.

Защита от инсайдеров

Последние исследования в области информационной безопасности, например ежегодное CSI/FBI Computer Crime And Security Survey, показало, что финансовые потери компаний от большинства угроз год от года снижаются. Однако есть несколько рисков, убытки от которых растут. Одно из них - намеренное воровство конфиденциальной информации или же нарушение правил обращения с ней теми сотрудниками, доступ которых к коммерческим данным необходим для выполнения служебных обязанностей. Их называют инсайдерами.

В подавляющем большинстве случаев воровство конфиденциальной информации осуществляется с помощью мобильных носителей: CD и DVD-дисков, ZIP-устройств и, самое главное, всевозможных USB-накопителей. Именно их массовое распространение и привело к расцвету инсайдерства по всему миру. Руководители большинства банков прекрасно понимают, чем может грозить, например, попадание базы данных с персональными данными их клиентов или, тем более, проводками по их счетам в руки криминальных структур. И они пытаются бороться с вероятным воровством информации доступными им организационными методами.

Однако организационные методы в данном случае неэффективны. Сегодня можно организовать перенос информации между компьютерами с помощью миниатюрной флэшки, сотового телефона, mp3-плеера, цифрового фотоаппарата... Конечно, можно попробовать запретить проносить на территорию офиса все эти устройства, однако это, во-первых, негативно скажется на отношениях с сотрудниками, а во-вторых, наладить реально действенный контроль над людьми все равно очень сложно - банк не «почтовый ящик». И даже отключение на компьютерах всех устройств, которые могут использоваться для записи информации на внешние носители (FDD и ZIP-диски, CD и DVD-приводы и т.п.), и USB-портов не поможет. Ведь первые нужны для работы, а ко вторым подключается различная периферия: принтеры, сканеры и т.п. И никто не может помешать человеку отключить на минуту принтер, вставить в освободившийся порт флэш-диск и скопировать на него важную информацию. Можно, конечно, найти оригинальные способы защиты. Например, в одном банке попробовали такой метод решения проблемы: залили место соединения USB-порта и кабеля эпоксидной смолой, намертво «привязав» последний к компьютеру. Но, к счастью, сегодня существуют более современные, надежные и гибкие способы контроля.

Самым эффективным средством минимизации рисков, связанных с инсайдерами, является специальное программное обеспечение, осуществляющее динамическое управление всеми устройствами и портами компьютера, которые могут использоваться для копирования информации. Принцип их работы таков. Для каждой группы пользователей или для каждого пользователя в отдельности задаются разрешения на использование различных портов и устройств. Самое большое преимущество такого ПО - гибкость. Вводить ограничения можно для конкретных типов устройств, их моделей и отдельных экземпляров. Это позволяет реализовывать очень сложные политики распределения прав доступа.

Например, некоторым сотрудникам можно разрешить использовать любые принтеры и сканеры, подключенные к USB-портам. Все же остальные устройства, вставленные в этот порт, останутся недоступными. Если же в банке применяется система аутентификации пользователей, основанная на токенах, то в настройках можно указать используемую модель ключей. Тогда пользователям будет разрешено использовать только приобретенные компанией устройства, а все остальные окажутся бесполезными.

Исходя из описанного выше принципа работы систем защиты, можно понять, какие моменты важны при выборе программ, реализующих динамическое блокирование устройств записи и портов компьютера. Во-первых, это универсальность. Система защиты должна охватывать весь спектр возможных портов и устройств ввода-вывода информации. Иначе риск кражи коммерческой информации остается недопустимо высоким. Во-вторых, рассматриваемое ПО должно быть гибким и позволять создавать правила с использованием большого количество разнообразной информации об устройствах: их типов, производителей моделей, уникальных номеров, которые есть у каждого экземпляра и т.п. Ну и, в-третьих, система защиты от инсайдеров должна иметь возможность интеграции с информационной системой банка, в частности с Active Directory. В противном случае администратору или офицеру безопасности придется вести по две базы пользователей и компьютеров, что не только неудобно, но и увеличивает риски возникновения ошибок.

Подводим итоги

Итак, сегодня на рынке есть продукты, с помощью которых любой банк может организовать надежную систему защиты информации от несанкционированного доступа и нецелевого использования. Правда, при их выборе нужно быть очень осмотрительным. В идеале этим должны заниматься собственные специалисты соответствующего уровня. Допускается использование услуг посторонних компаний. Однако в этом случае возможна ситуация, когда банку будет искусно навязано не адекватное программное обеспечение, а то, которое выгодно фирме-поставщику. Кроме того, отечественный рынок консалтинга в области информационной безопасности находится в зачаточном состоянии.

Между тем сделать правильный выбор совсем несложно. Достаточно вооружиться перечисленными нами критериями и внимательно изучить рынок систем безопасности. Но здесь есть «подводный камень», о котором необходимо помнить. В идеальном случае система информационной безопасности банка должна быть единой. То есть все подсистемы должны интегрироваться в существующую информационную систему и, желательно, иметь общее управление. В противном случае неминуемы повышенные трудозатраты на администрирование защиты и увеличение рисков из-за ошибок в управлении. Поэтому для построения всех трех описанных сегодня подсистем защиты лучше выбирать продукты, выпущенные одним разработчиком. Сегодня в России есть компании, которые создают все необходимое для защиты банковской информации от несанкционированного доступа.

Информационная безопасность банка - это состояние защищенности всех его информационных активов от внешних и внутренних информационных угроз.

От информационной безопасности банка зависят его репутация и конкурентоспособность. Высокий уровень обеспечения информационной безопасности банка позволяет минимизировать риски (табл. 8.4.1).

Риски информационной безопасности

Таблица 8.4.1

1 См.: Банкиры разоблачили новую схему мошенничества по выводу средств со счетов // RT News (на русском). 2016.25 янв. URL: https://russian.rt.com/article/144011 (дата обращения: 07.06.2016).

Особенности банковских информационных систем: хранят и обрабатывают большое количество данных о финансовом состоянии и деятельности физических и юридических лиц; имеют инструменты совершения трансакций, ведущих к финансовым последствиям. Информационные системы не могут быть полностью закрытыми, поскольку должны отвечать современным требованиям к уровню обслуживания (иметь систему онлайн-банкинга, сеть банкоматов, подключенных к публичным каналам связи, и т. д.). Указанные особенности приводят к тому, что информационные активы кредитных организаций являются желанной целью злоумышленников и нуждаются в серьезной защите.

Главная задача злоумышленников (внешних нарушителей и инсайдеров), атакующих информационные системы банков, - получение контроля над информационными активами кредитной организации для последующего совершения неправомерных транзакций или компрометации банка по заказу недобросовестных конкурентов.

Основные требования к системе обеспечения информационной безопасности банков изложены а табл. 8.4.2.

Таблица 8.4.2

Требования к системе обеспечения информационной безопасности банков

Наименование требований

Характеристика требований

Адекватность

Быть адекватной внутренним и внешним угрозам

Комплексный подход

Реализовывать комплексный подход к защите - включать все необходимые организационные меры и технические решения и защищать все компоненты ИС (системы электронных платежей, электронного документооборота и обслуживания платежных карт, банковские программные и программно- технические комплексы, системы удаленного обслуживания, сети связи и т. д.)

производительность

Обеспечивать высокую производительность - обрабатывать значительные объемы информации без снижения быстродействия

Надежность и отказоустойчивость

Быть надежной и отказоустойчивой благодаря применению технологий кластеризации,виртуализации, балансировки нагрузки и проч.

Иметь инструменты

Иметь инструменты сбора, анализа данных об инцидентах и реагирования на события безопасности

В настоящее время существуют стандарты информационной безопасности, актуальные для российских кредитных организаций: Стандарт Банка России ; Федеральный закон «О персональных данных» ; Стандарт защиты информации в индустрии платежных карт .

Выполнение требований сразу нескольких стандартов ИБ в рамках одного проекта позволяет заказчику: создать целостную и легко управляемую систему информационной безопасности, не дублировать технические средства и организационные меры, направленные на выполнение требований стандартов, сократить затраты на проектные работы.

Существует концепция безопасности коммерческого банка, одобренная Советом Ассоциации российских банков (АРБ).

Объектами информационной безопасности являются: информационные ресурсы (информация с ограниченным доступом, составляющая коммерческую тайну, иная конфиденциальная информация, предоставленная в виде документов и массивов независимо от формы и вида их предоставления). Субъектами правоотношений при решении проблемы информационной безопасности являются: государство (Российская Федерация) как собственник информационных ресурсов, отнесенных к категории государственной тайны; Центральный банк Российской Федерации, осуществляющий денежно-кредитную политику страны; коммерческий банк как юридическое лицо, являющееся собственником информационных ресурсов, составляющих служебную, коммерческую и банковскую тайну.

Главной целью системы информационной безопасности является обеспечение устойчивого функционирования банка и предотвращение угроз его безопасности, защита от разглашения, утраты, утечки, искажения и уничтожения служебной информации, нарушения работы технических средств, обеспечения производственной деятельности, включая и средства информатизации. Задачами информационной безопасности являются:

  • - отнесение информации к категории ограниченного доступа (государственной, служебной, банковской и коммерческой тайнам, иной конфиденциальной информации, подлежащей защите от неправомерного использования;
  • - создание механизма и условий оперативного реагирования на угрозы безопасности и проявление негативных тенденций в функционировании банка.

Принципы организации и функционирования системы информационной безопасности.

  • - обеспечение безопасности информационных ресурсов в течение всего их жизненного цикла, на всех технологических этапах их обработки и использования во всех режимах функционирования;
  • - способность системы к развитию и совершенствованию в соответствии с изменениями условий функционирования банка.

Принцип законности предполагает разработку системы безопасности на основе федерального законодательства в области банковской деятельности, информатизации и защиты информации, частной охранной деятельности и других нормативных актов по безопасности. Объекты защиты информационной безопасности".

  • - информационные ресурсы с ограниченным доступом, составляющие служебную и коммерческую тайну, а также иная конфиденциальная информация на бумажной, магнитной, оптической основе, информационные массивы и базы данных, программное обеспечение;
  • - средства и системы информатизации (автоматизированные системы и вычислительные сети различного уровня и назначения, линии телеграфной, телефонной, факсимильной, радио- и космической связи, технические средства передачи информации, средства размножения и отображения информации);
  • - технические средства и системы охраны и защиты материальных и информационных ресурсов.

Угрозы информационным ресурсам проявляются в виде:

  • - разглашения конфиденциальной информации;
  • - утечки конфиденциальной информации через технические средства обеспечения производственной деятельности различного характера;
  • - несанкционированного доступа к охраняемым сведениям со стороны конкурентных организаций и преступных формирований (табл. 8.4.3).

Таблица 8.4.3

Пути осуществления угроз информационным ресурсам банков

Наименование путей угроз

Характеристика путей осуществления угроз

Неофициальный доступ

путем неофициального доступа и съема конфиденциальной информации

Подкуп лиц

путем подкупа лиц, работающих в банке или структурах, непосредственно связанных с его деятельностью

Перехват информации

путем перехвата информации, циркулирующей в средствах и системах связи и вычислительной техники с помощью технических средств разведки и съема информации, несанкционированного доступа к информации и преднамеренных программно-математических воздействий на нее в процессе обработки и хранения

Подслушивание разговоров

путем подслушивания конфиденциальных переговоров, ведущихся в служебных помещениях, служебном и личном автотранспорте, на квартирах и дачах

Окончание табл. 8.4.3

Основными составляющими обеспечения информационной безопасности ресурсов коммерческих банков являются: система безопасности информационных ресурсов; система мер (режима) сохранности и контроль вероятных каналов утечки информации.

Система обеспечения безопасности информационных ресурсов должна предусматривать комплекс организационных, технических, программных и криптографических средств и мер по защите информации в процессе традиционного документооборота при работе исполнителей с конфиденциальными документами и сведениями, при обработке информации в автоматизированных системах различного уровня и назначения, при передаче по каналам связи, при ведении конфиденциальных переговоров.

При этом основными направлениями реализации технической политики обеспечения информационной безопасности в этих сферах деятельности являются:

  • - защита информационных ресурсов от хищения, утраты, уничтожения, разглашения, утечки, искажения и подделки за счет несанкционированного доступа (НСД) и специальных воздействий;
  • - защита информации от утечки вследствие наличия физических полей за счет акустических и побочных электромагнитных излучений и наводок (ПЭМИН) на электрические цели, трубопроводы и конструкции зданий (табл. 8.4.4).

Таблица 8.4.4

Мероприятия проведения технической политики информационной безопасности коммерческого банка

Окончание табл. 8.4.4

Наименование

мероприятий

Характеристика мероприятий

Разграничение доступа исполнителей

разграничение доступа пользователей к данным автоматизированных систем различного уровня и назначения

Учет документов

учет документов, информационных массивов, регистрация действий пользователей информационных систем, контроль несанкционированного доступа и действиями пользователей

Криптографическое

преобразование

информации

криптографическое преобразование информации, обрабатываемой и передаваемой средствами вычислительной техники и связи

Снижение уровня информативности

снижение уровня и информативности ПЭМИН (побочных электромагнитных излучений и наводок), создаваемых различными элементами технических средств обеспечения производственной деятельности и автоматизированных информационных систем

Снижение уровня акустики

снижение уровня акустических излучений

Электрическая развязка цепей питания

электрическая развязка цепей питания, заземления и других цепей технических средств, выходящих за пределы контролируемой территории

Зашумление

активное зашумление в различных диапазонах

Противодействие оптическим средствам

противодействие оптическим и лазерным средствам наблюдения

Проверка закладок

проверка технических средств и объектов информатизации на предмет выявления включенных в них закладных устройств

Противодействие вирусам

предотвращение внедрения в автоматизированные информационные системы программ вирусного характера

Защита информационных ресурсов от несанкционированного доступа должна предусматривать следующие меры (табл. 8.4.5).

Таблица 8.4.5

Пути защиты от угроз информационным ресурсам банков

Окончание табл. 8.4.5

Наименование мер защиты

Характеристика мер защиты

надежность хранения

когда документы (носители информации, информационные массивы) хранятся в условиях, исключающих несанкционированное ознакомление с ними, их уничтожение, подделку или искажение

разграничение

информации

по уровню конфиденциальности, заключающееся в предупреждении показания сведений более высокого уровня конфиденциальности в документах (носителях информации, информационных массивах) с более низким уровнем конфиденциальности, а также предупреждение передачи конфиденциальной информации по незащищенным линиям связи

Контроль исполнителей

контроль действий исполнителей (пользователей) с документацией и сведениями, а также в автоматизированных системах и системах связи

Очистка информации

очистка (обнуление, исключение информативности) оперативной памяти, буферов при освобождении пользователем до перераспределения этих ресурсов между другими пользователями

Целостность среды

целостность технической и программной среды, информации и средств защиты, заключающаяся в физической сохранности средств информатизации, программной среды, определяемой предусмотренной технологией обработки информации, выполнении средствами защиты предусмотренных функций, изолированности средств защиты от пользователей

Положение о персональной ответственности реализуется с помощью: росписи исполнителей в журналах, карточках учета, других разрешительных документах, а также на самих документах; индивидуальной идентификации пользователей и инициированных ими процессов в автоматизированных системах; проверки подлинности (аутентификации) исполнителей (пользователей) на основе использования паролей, ключей, магнитных карт, цифровой подписи, а также биометрических характеристик личности как при доступе в автоматизированные системы, так и в выделенные помещения (зоны).

Система контроля действий исполнителей реализуется с помощью: организационных мер контроля при работе исполнителей с конфиденциальными документами и сведениями; регистрации действий пользователей с информационными и программными ресурсами автоматизированных систем с указанием даты и времени; идентификаторов запрашивающего и запрашиваемых ресурсов;

вида взаимодействия и его результата, включая запрещенные попытки доступа; сигнализации о несанкционированных действиях пользователей.

Защита информации от утечки за счет побочных электромагнитных излучений и наводок (ПЭМИН). Основным направлением защиты информации от утечки за счет ПЭМИН является уменьшение отношения информативного сигнала к помехе до предела, определяемого «Нормами эффективности защиты АСУ и ЭВМ от утечки информации за счет ПЭМИН», при котором восстановление сообщений становится принципиально невозможным. Решение этой задачи достигается как снижением уровня излучений информационных сигналов, так и увеличением уровня помех в соответствующих частотных диапазонах.

Обеспечение качества в системе безопасности. Необходимой составляющей системы безопасности должно быть обеспечение качества работ и используемых средств и мер защиты, нормативной базой которого является система стандартов и других руководящих нормативно-технических и методических документов (НТД) по безопасности.

В совокупности с системой стандартизации единую систему обеспечения качества продукции и услуг по требованиям безопасности информации составляют:

  • - сертификация средств и систем вычислительной техники и связи по требованиям безопасности информации;
  • - лицензирование деятельности по оказанию услуг в области защиты информации;
  • - аттестация объектов информатики по требованиям безопасности информации.

В соответствии с требованиями этих систем право оказывать услуги сторонним организациям в области защиты информации предоставлено только организациям, имеющим на этот вид деятельности разрешение (лицензию).

Для обеспечения информационной безопасности используются методы борьбы с такими видами интернет-мошенничества как фишинг и способ хищения денег с помощью бесконтактных технологий.

Борьба с фишингом предусматривает разные методы, включая законодательные и специальные, созданные для защиты от фишинга:

  • - обучение пользователей - научить людей различать фишинг и бороться с ним, например, связаться с компанией, от имени которой отправлено сообщение, для проверки его подлинности. Эксперты рекомендуют самостоятельно вводить веб-адрес организации в адресную строку браузера вместо использования любых гиперссылок в подозрительном сообщении;
  • - технические методы; браузеры, предупреждающие об угрозе фишинга; усложнение процедуры авторизации, когда сайт предлагает пользователям выбрать личное изображение и показывает его с каждой формой ввода пароля. И пользователям банковских услуг следует вводить пароль лишь тогда, когда они видят выбранное изображение;
  • - борьба с фишингом в почтовых сообщениях предусматривает уменьшение числа фишинговых электронных сообщений, получаемых пользователями;
  • - услуги мониторинга: некоторые компании предлагают банкам, потенциально подверженным фишинговым атакам, услуги круглосуточного контроля, анализа и помощи в закрытии фишинговых сайтов. Физические лица могут помогать подобным группам, сообщая о случаях фишинга;
  • - юридические меры, однако, эксперты считают, что в России самое лояльное законодательство по отношению к киберпреступности.

В России появился новый вид мошенничества - кража денег с карт,

оснащенных специальными технологиями бесконтактной оплаты товаров (карта прикладывается к PoS-терминалу, сумма покупки списывается с «пластика»). По данным компании Zecurion, в 2015 году мошенники украли с карт россиян с помощью своих самодельных терминалов (RFID-ридеров) 2 млн рублей. Компании, специализирующиеся на IT-безопасности, отметили, что мошенники научились воровать с карт с помощью смартфонов, оснащенных чипами NFC (NFC - разновидность RFID).

Технологии бесконтактной оплаты товаров разработаны американскими платежными системами Visa (PayWave) и Mastercard (PayPass) для ускорения и упрощения безналичной оплаты покупок. Карты с технологией PayPass выпускают 43 крупных российских банка, карты с Pay Wave - 16. Технологии PayPass и Pay Wave применяются на картах с чипом и магнитной полосой. При расчетах такой картой не нужно вводить PIN-код, а также ставить подпись на чеке, если сумма покупки небольшая (до 1 тыс. рублей). В России больше 30 тыс. точек приема PayPass: предприятия транспорта, торговли, сферы услуг.

Суть схемы похожа на перехват сигналов электрозамков угонщиками автомобилей. Как сообщили в Zecurion, средства с карт PayPass и PayWave списываются мошенниками с помощью самодельных считывателей, способных сканировать банковские карты с чипами RFID. По большому счету это аналоги легальных бесконтактных PoS- терминалов: RFID-ридеров, посылающие электромагнитные сигналы С пластиковых карт начали угонять деньги «по воздуху». pravda-tv.ru>2016/01/25/203507/s-plastikovyh-kart

19 июня, 2013

Нужно ли их знать «безопаснику»?

Для банка, применительно к информационным активам, защиту информации можно разделить по способам осуществления защиты: правовая, организационная и техническая.

Созданием законодательной (правовой) основы в области информационной безопасности занимается каждое государство, стремясь защитить свои информационные ресурсы и технологии. И Россия здесь не исключение. Нормативная правовая база по вопросам информационной безопасности включает в себя:

  • Конституцию Российской Федерации (далее - РФ);
  • Кодексы РФ;
  • Международные договоры и соглашения;
  • Федеральные законы РФ;
  • Указы Президента РФ;
  • Постановления Правительства РФ;
  • Стандарты и технические регламенты;
  • Руководящие документы и другие нормативно-методические документы уполномоченных государственных структур.

Подробный список актуальных на сегодняшний день законодательных актов по информационной безопасности (без учета защиты государственной тайны) для банков будет выглядеть так:

1. Конституция РФ

  1. № 63-ФЗ Уголовный кодекс РФ от 13.06.1996 г. (в части ответственности за незаконный доступ к информации, ее порчу, нарушение авторских и смежных прав, нарушение тайны переписки и телефонных переговоров, незаконное получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну, нарушение неприкосновенности частной жизни).
  2. № 174-ФЗ Уголовно-процессуальный кодекс РФ от 18.12.2001 г. (в части безопасности информации и защиты данных конфиденциального характера).
  3. № 197-ФЗ Трудовой кодекс РФ от 30.12.2001 г. (в части защиты персональных данных работников).
  4. № 195-ФЗ Кодекс об административных правонарушениях РФ от 30.12.2001 г. (в части защиты информации и интеллектуальной собственности).

3. Международные договоры и соглашения:

  • Базель II и Базель III (в части информационной безопасности).

4. Федеральные законы РФ:

  1. № 98-ФЗ «О коммерческой тайне» от 29.07.2004 г.
  2. № 149-ФЗ «Об информации, информационных технологиях и защите информации» от 27.07.2006 г.
  3. № 152-ФЗ «О персональных данных» от 27.07.2006 г.
  4. № 395-1 «О банках и банковской деятельности» от 02.12.1990 г.
  5. № 63-ФЗ «Об электронной подписи» от 06.04.2011 г.
  6. № 99-ФЗ «О лицензировании отдельных видов деятельности» от 04.05.2011 г.
  7. № 184-ФЗ «О техническом регулировании» от 27.12.2002 г.
  8. № 161-ФЗ «О национальной платежной системе» от 27.06.2011 г.

5. Стратегия и Доктрина:

  1. № Пр-212 «Стратегия развития информационного общества в Российской Федерации» от 07.02.2008 г.
  2. № Пр-1895 «Доктрина информационной безопасности» от 09.09.2000 г.

6. Указы Президента РФ:

  1. № 334 «О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации» от 03.04.1995 г.
  2. № 21 «О мерах по упорядочению разработки, производства, реализации, приобретения в целях продажи, ввоза в Российскую Федерацию и вывоза за ее пределы, а также использования специальных технических средств, предназначенных для негласного получения информации» от 09.01.1996 г.
  3. № 188 «Об утверждении перечня сведений конфиденциального характера» от 06.03.1997 г.

7. Постановления Правительства РФ:

  1. № 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» от 15.09.2008 г.
  2. № 584 «Об утверждении Положения о защите информации в платежной системе» от 13.06.2012 г.
  3. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» от 01.11.2012 г.
  4. № 171 «О лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации» от 03.03.2012 г.
  5. № 79 «О лицензировании деятельности по технической защите конфиденциальной информации» от 03.02.2012 г.
  6. № 313 «Об утверждении положения о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, по оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных(криптографических) средств, информационных систем и телекоммуникационных систем, защищенных использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)» от 16.04.2012 г.
  7. № 214 «Об утверждении Положения о ввозе в Российскую Федерацию и вывозе из Российской Федерации специальных технических средств, предназначенных для негласного получения информации, ввоз и вывоз которых подлежат лицензированию» от 10.03.2000 г.
  8. № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных» от 06.07.2008 г.

8. Международные, британские стандарты и стандарты платежных систем:

  1. PCI DSS 2.0. Стандарт безопасности данных индустрии платежных карт. Требования и процедуры аудита безопасности. Версия 2.0.
  2. PA DSS 2.0. Requirements and security assessment procedures.
  3. ISO/IEC 27001:2005 - «Информационные технологии — Методы обеспечения безопасности - Системы управления информационной безопасностью - Требования».
  4. ISO/IEC 27005:2011 - «Информационные технологии — Методы обеспечения безопасности - Система управления рисками информационной безопасности».
  5. ISO/IEC 17799:2005 - «Информационные технологии - Технологии безопасности - Практические правила менеджмента информационной безопасности».
  6. BS 7799-1:2005 - Британский стандарт BS 7799 первая часть. Практические правила управления информационной безопасностью.
  7. BS 7799-2:2005 - Британский стандарт BS 7799 вторая часть стандарта. Спецификация системы управления информационной безопасностью.
  8. BS 7799-3:2006 - Британский стандарт BS 7799 третья часть стандарта. Руководство по менеджменту рисков ИБ.
  9. BS 25999-1:2006 «Управление непрерывностью бизнеса».
  10. CobiT 5.0 (Control Objectives for Information and Related Technology).

9. Стандарты и технические регламенты

  1. ГОСТ Р 28147-89 «Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования».
  2. ГОСТ Р 34.11-2012 «Информационная технология. Криптографическая защита информации. Функция хэширования».
  3. ГОСТ Р 34.10-2012 «Информационная технология. Криптографическая защита информации. Процесс формирования и проверки электронной подписи».
  4. ГОСТ 19.781-90. Обеспечение систем обработки информации программное. Термины и определения.
  5. ГОСТ 34.003-90. Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Термины и определения.
  6. ГОСТ 34.201-89. Информационная технология. Комплекс стандартов на автоматизированные системы. Виды, комплектность и обозначение документов при создании автоматизированных систем.
  7. ГОСТ 34.601-90. Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания.
  8. ГОСТ 34.602-89. Информационная технология. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы.
  9. ГОСТ 34.603-92. Информационная технология. Виды испытаний автоматизированных систем.
  10. ГОСТ 21552-84. Средства вычислительной техники. Общие технические требования, приемка, методы испытаний, маркировка, упаковка, транспортировка и хранение.
  11. ГОСТ 22505-97. Совместимость технических средств электромагнитная. Радиопомехи индустриальные от радиовещательных приемников, телевизоров и другой бытовой радиоэлектронной аппаратуры. Нормы и методы испытаний.
  12. ГОСТ 27201-87. Машины вычислительные электронные персональные. Типы, основные параметры, общие технические требования.
  13. ГОСТ 28195-89. Оценка качества программных средств. Общие положения.
  14. ГОСТ 28388-89. Системы обработки информации. Документы на магнитных носителях данных. Порядок выполнения и обращения.
  15. ГОСТ 28806-90. Качество программных средств. Термины и определения.
  16. ГОСТ 29216-91. Совместимость технических средств электромагнитная. Радиопомехи индустриальные от оборудования информационной техники. Нормы и методы испытаний.
  17. ГОСТ 30373-95/ГОСТ Р 50414-92 Совместимость технических средств электромагнитная. Оборудование для испытаний. Камеры экранированные. Классы, основные параметры, технические требования и методы испытаний.
  18. ГОСТ ИСО/МЭК 15408-1-2008. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель.
  19. ГОСТ ИСО/МЭК 15408-2-2008. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности.
  20. ГОСТ ИСО/МЭК 15408-3-2008. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности.
  21. ГОСТ Р 50739-95. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования.
  22. ГОСТ Р 50922-2006. Защита информации. Основные термины и определения.
  23. ГОСТ Р 50923-96. Дисплеи. Рабочее место оператора. Общие эргономические требования и требования к производственной среде. Методы измерения.
  24. ГОСТ Р 50948-2001. Средства отображения информации индивидуального пользования. Общие эргономические требования и требования безопасности.
  25. ГОСТ Р 51188-98. Защита информации. Испытания программных средств на наличие компьютерных вирусов. Типовое руководство.
  26. ГОСТ Р 51275-2006. Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения.
  27. ГОСТ Р 51319-99. Совместимость технических средств электромагнитная. Приборы для измерения индустриальных радиопомех. Технические требования и методы испытаний.
  28. ГОСТ Р 51320-99. Совместимость технических средств электромагнитная. Радиопомехи индустриальные. Методы испытаний технических средств - источников индустриальных радиопомех.
  29. ГОСТ Р 51583-2000. Защита информации. Порядок создания автоматизированных систем в защищённом исполнении. Общие положения.
  30. ГОСТ Р 51624-2000. Защита информации. Автоматизированные системы в защищённом исполнении. Общие требования.
  31. ГОСТ Р ИСО/МЭК 12207-2010. Информационная технология. Системная и программная инженерия. Процессы жизненного цикла программных средств.
  32. ГОСТ Р ИСО/МЭК 9126-93. Информационная технология. Оценка программной продукции. Характеристики качества и руководства по их применению.
  33. ГОСТ Р ИСО/МЭК ТО 9294-93. Информационная технология. Руководство по управлению документированием программного обеспечения.
  34. МИ 1317-2004. Рекомендация. Государственная система обеспечения единства измерений. Результаты и характеристики погрешности измерений. Формы представления. Способы использования при испытаниях образцов продукции и контроле их параметров.
  35. МИ 2377-98. Рекомендация. Государственная система обеспечения единства измерений. Разработка и аттестация методик выполнения измерений.
  36. Р 50-34.119-90. Рекомендации. Информационная технология. Комплекс стандартов и руководящих документов на автоматизированные системы. Архитектура локальных вычислительных сетей в системах промышленной автоматизации. Общие положения.
  37. РД 50-682-89. Методические указания. Информационная технология. Комплекс стандартов и руководящих документов на автоматизированные системы. Основные положения.
  38. РД 50-34.698-90. Методические указания. Информационная технология. Комплекс стандартов и руководящих документов на автоматизированные системы. Требования к содержанию документов.
  39. РД 50-680-88. Методические указания. Автоматизированные системы. Основные положения.
  40. СанПиН 2.2.2.542-96. Гигиенические требования к видеодисплейным терминалам, персональным электронно-вычислительным машинам и организация работы.
  41. СНиП 23-03-2003. Защита от шума.
  42. ГОСТ 29099-91. Сети вычислительные локальные. Термины и определения.
  43. ГОСТ Р 50.1.053-2005. Информационные технологии. Основные термины и определения в области технической зашиты информации.
  44. ГОСТ Р 51241-2008. Средства и системы контроля и управления доступом. Классификация. Общие технические требования. Методы испытаний.
  45. ГОСТ Р 52069-2003. Защита информации. Система стандартов. Основные положения.
  46. ГОСТ Р 52447-2005. Защита информации. Техника защиты информации. Номенклатура показа-телей качества.
  47. ГОСТ Р 52448-2005. Защита информации. Обеспечение безопасности сетей электросвязи. Общие положения.
  48. ГОСТ Р 52633-2006. Защита информации. Техника защиты информации. Требования к средствам высоконадежной биометрической аутентификации.
  49. ГОСТ Р ИСО 7498-1-99. Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 1. Базовая модель.
  50. ГОСТ Р ИСО 7498-2-99. Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 2. Архитектура защиты информации.
  51. ГОСТ Р ИСО/МЭК 13335-1-2006. Информационная технология. Методы и средства обеспече-ния безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий.
  52. ГОСТ Р ИСО/МЭК ТО 13335.3-2007. Информационная технология. Методы и средства обеспечения безопасности. Часть 3. Методы менеджмента безопасности информационных технологий.
  53. ГОСТ Р ИСО/МЭК 27004-2011. Информационная технология. Методы и средства обеспечения безопасности. Менеджмент информационной безопасности. Измерения.
  54. ГОСТ Р ИСО/МЭК 18028-2008. Информационная технология. Методы и средства обеспечения безопасности. Сетевая безопасность информационных технологий. Менеджмент сетевой безопасности.
  55. ГОСТ Р ИСО/МЭК ТО 18044-2007. Информационная технология. Методы и средства обеспечения безопасности. Менеджмент инцидентов информационной безопасности.
  56. ГОСТ Р ИСО/МЭК 19791-2008. Информационная технология. Методы и средства обеспечения безопасности. Оценка безопасности автоматизированных систем.
  57. ГОСТ Р ИСО/МЭК 27033-1-2011. Информационная технология. Методы и средства обеспечения безопасности. Сетевая безопасность. Часть 1. Обзор и концепции.
  58. Рекомендации по аккредитации. «Инспекционный контроль за деятельностью в системе сертификации ГОСТ Р аккредитованных органов по сертификации» Р 50.4.002-2000.
  59. Рекомендации по аккредитации. «За деятельностью в системе сертификации ГОСТ Р аккредитованных испытательных лабораторий» Р 50.4.003-2000.
  60. Гигиенические требования к персональным электронно-вычислительным машинам и организации работы. Санитарно-эпидемиологические правила и нормативы. СанПиН 2.2.2./2.4.1340-03.
  61. Строительные нормы и правила Российской федерации. Защита от шума. СНиП 23-03-2003.
  62. Государственная система обеспечения единства измерений. Результаты и характеристики качества измерений. ПМГ 96-2009.

10. Документы Банка России:

  1. № 382-П Положение «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении денежных переводов» от 09.06.2012 г.
  2. № 383-П Положение «О правилах перевода денежных средств» от 19.06.2012 г.
  3. № 379-П Положение «О бесперебойности функционирования платежных систем и анализе рисков в платежных системах» от 31.05.2012 г.
  4. Письмо о вводе комплекса документов (Письмо шестерых) от 28.06.2010 г.
  5. СТО БР ИББС-1.0-2010 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения».
  6. СТО БР ИББС-1.1-2007 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Аудит информационной безопасности».
  7. СТО БР ИББС-1.2-2010 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0-20хх».
  8. РС БР ИББС-2.0-2007 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методические рекомендации по документации в области обеспечения информационной безопасности в соответствии с требованиями СТО БР ИББС--1.0».
  9. РС БР ИББС-2.1-2007 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Руководство по самооценке соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0».
  10. РС БР ИББС-2.2-2009 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки рисков нарушения информационной безопасности».
  11. РС БР ИББС-2.3-2010 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Требования по обеспечению безопасности персональных данных в информационных системах персональных данных организаций банковской системы российской федерации».
  12. РС БР ИББС-2.4-2010 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Отраслевая частная модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных организаций банковской системы Российской Федерации».

11. Документы АРБ:

  1. Методические рекомендации по выполнению законодательных требований при обработке персональных данных в организациях банковской системы РФ от 2010 г.
  2. Стандарт «Система управления непрерывностью деятельности кредитных организаций банковской системы Российской Федерации». Версия 7.4 от 02.04.2012 г.

12. Документы Минкомсвязи РФ:

  1. № 320 Приказ Минкомсвязи России «Об аккредитации удостоверяющих центров» от 23.11.2011 г.

13. Документы ФСТЭК России:

  1. № 21 Приказ «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» от 18.02.2013 г.
  2. Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных. Утверждена ФСТЭК России 15.02.2008 г.
  3. Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных. Утверждена ФСТЭК России 14.02.2008 г.
  4. № 55/86/20 Приказ Федеральной службы по техническому и экспортному контролю, Федеральной службы безопасности Российской Федерации, Министерства информационных технологий и связи Российской Федерации «Об утверждении порядка проведения классификации информационных систем персональных данных» от 13.02.2008 г.
  5. № 28 дсп Приказ «Требования к средствам антивирусной защиты» от 20.03.12 г.
  6. № 27 дсп Приказ «Сборник методических документов по технической защите информации ограниченного доступа, не содержащей сведений, составляющих государственную тайну, в волоконно-оптических системах передачи» от 12.03.12 г.
  7. № 638 дсп Приказ «Требования к системам обнаружения вторжений» от 06.12.11.
  8. «Методические рекомендации по технической защите информации, составляющей коммерческую тайну», утверждено Заместителем директора ФСТЭК России от 25.12.06 г. дсп.
  9. № 282 дсп Нормативно-методический документ «Специальные требования и рекомендации по технической защите конфиденциальной информации» (СТР-К), утвержден приказом Гостехкомиссии России от 30.08.02.
  10. «Сборник временных методик оценки защищенности конфиденциальной информации от утечки по техническим каналам», Гостехкомиссия России, 2002 г. дсп.
  11. № 355 дсп Руководящий документ «Защита информации. Комплектующие помехоподавляющие изделия электронной техники, радиоэкранирующие и помехоподавляющие материалы. Общие технические требования», утвержден приказом Гостехкомиссии России от 31.08.2001 г.
  12. Руководящий документ «Автоматизированные системы Защита от нессанкионированного доступа к информации. Классификация автоматизированных систем и требования по защите информации», утвержден решением Гостехкомиссии России от 20.03.1992 г.

Со времени своего появления банки неизменно вызывали интерес со стороны преступного мира. И этот интерес был связан не только с хранением в кредитных организациях денежных средств, но и с тем, что в банках сосредоточивалась важная и зачастую секретная информация о финансовой и хозяйственной деятельности многих людей, компаний, организаций и даже целых государств. В настоящее время банковская тайна охраняется законом наряду с государственной тайной.

В связи со всеобщей информатизацией и компьютеризацией банковской деятельности значение информационной безопасности банков многократно возросло. Еще 30 лет назад объектом информационных атак были данные о клиентах банков или о деятельности самого банка. Такие атаки были редкими, круг их заказчиков был очень узок, а ущерб мог быть значительным лишь в особых случаях. В настоящее время в результате повсеместного распространения электронных платежей, пластиковых карт, компьютерных сетей объектом информационных атак стали непосредственно денежные средства как банков, так и их клиентов. Совершить попытку хищения может любой — необходимо лишь наличие компьютера, подключенного к сети Интернет. Причем для этого не требуется физически проникать в банк, можно «работать» и за тысячи километров от него.

Услуги, предоставляемые банками сегодня, в немалой степени основаны на использовании средств электронного взаимодействия банков между собой, банков и их клиентов и торговых партнеров. В настоящее время доступ к услугам банков стал возможен из различных удаленных точек, включая домашние терминалы и служебные компьютеры. Этот факт заставляет отойти от концепции «запертых дверей», которая была характерна для банков 1960-х гг., когда компьютеры использовались в большинстве случаев в пакетном режиме как вспомогательное средство и не имели связи с внешним миром.

Компьютерные системы, без которых не может обойтись ни один современный банк, — источник совершенно новых, ранее неизвестных угроз. Большинство из них обусловлено использованием в банковском деле новых информационных технологий и характерны не только для банков.

Уровень оснащенности средствами автоматизации играет немаловажную роль в деятельности банка и, следовательно, напрямую отражается на его положении и доходах. Усиление конкуренции между банками приводит к необходимости сокращения времени на производство расчетов, увеличения номенклатуры и повышения качества предоставляемых услуг.

Чем меньше времени будут занимать расчеты между банком и клиентами, тем выше станет оборот банка и, следовательно, прибыль. Кроме того, банк более оперативно сможет реагировать на изменение финансовой ситуации. Разнообразие услуг банка (в первую очередь это относится к возможности безналичных расчетов между банком и его клиентами с использованием пластиковых карт) может существенно увеличить число его клиентов и, как следствие, повысить прибыль. В то же время АБС банка становится одним из наиболее уязвимых мест во всей организации, притягивающей злоумышленников как извне, так и из числа сотрудников самого банка. Чтобы обезопасить себя и своих клиентов, большинство банков предпринимают необходимые меры защиты, в числе которых защита АБС занимает одно из наиболее важных мест. Защита АБС банка — дорогостоящее и сложное мероприятие, она требует не только значительных единовременных вложений, но предусматривает затраты на поддержку системы защиты на должном уровне. В среднем банки в настоящий момент для поддержки достаточного уровня защиты тратят более $ 20 млн ежегодно.

Стратегия информационной безопасности банков весьма сильно отличается от аналогичных стратегий других компаний и организаций. Это обусловлено прежде всего специфическим характером угроз, а также публичной деятельностью банков, которые вынуждены делать доступ к счетам достаточно легким с целью удобства для клиентов.

Обычная компания строит свою информационную безопасность, исходя лишь из узкого круга потенциальных угроз — главным образом защита информации от конкурентов (в российских реалиях основной задачей является защита информации от налоговых органов и преступного сообщества с целью уменьшения вероятности неконтролируемого роста налоговых выплат и рэкета). Такая информация интересна лишь узкому кругу заинтересованных лиц и организаций и редко бывает ликвидна, т. е. обращаема в денежную форму.

7.2. Требования к информационной безопасности банка

Информационная безопасность банка должна учитывать следующие специфические факторы:

  1. Хранимая и обрабатываемая в банковских системах информация представляет собой реальные деньги. На основании информации компьютера могут производится выплаты, открываться кредиты, переводиться значительные суммы. Вполне понятно, что незаконное манипулирование с такой информацией может привести к серьезным убыткам. Эта особенность резко расширяет круг преступников, покушающихся именно на банки (в отличие например от промышленных компаний, внутренняя информация которых мало кому интересна).
  2. Информация в банковских системах затрагивает интересы большого количества людей и организаций — клиентов банка. Как правило, она конфиденциальна, и банк несет ответственность за обеспечение требуемой степени секретности перед своими клиентами. Естественно, клиенты вправе ожидать, что банк должен заботиться об их интересах, в противном случае он рискует своей репутацией со всеми вытекающими отсюда последствиями.
  3. Конкурентоспособность банка зависит от того, насколько клиенту удобно работать с банком, а также насколько широк спектр предоставляемых услуг, включая услуги, связанные с удаленным доступом. Поэтому клиент должен иметь возможность быстро и без утомительных процедур распоряжаться своими деньгами. Но такая легкость доступа к деньгам повышает вероятность преступного проникновения в банковские системы.
  4. Информационная безопасность банка (в отличие от большинства компаний) должна обеспечивать высокую надежность работы компьютерных систем даже в случае нештатных ситуаций, поскольку банк несет ответственность не только за свои средства, но и за деньги клиентов.
  5. Банк хранит важную информацию о своих клиентах, что расширяет круг потенциальных злоумышленников, заинтересованных в краже или порче такой информации.

Преступления в банковской сфере также имеют свои особенности:

  • Многие преступления, совершенные в финансовой сфере, остаются неизвестными для широкой публики в связи с тем, что руководители банков не хотят тревожить своих акционеров, боятся подвергнуть свою организацию новым атакам, опасаются подпортить свою репутацию надежного хранилища средств и, как следствие, потерять клиентов.
  • Как правило, злоумышленники используют свои собственные счета, на которые переводятся похищенные суммы. Большинство преступников не знают, как «отмыть» украденные деньги. Умение совершить преступление и умение получить деньги — это не одно и то же.
  • Большинство компьютерных преступлений мелкие. Ущерб от них лежит в интервале от $ 10.000 до 50.000.
  • Успешные компьютерные преступления, как правило, требуют большого количества банковских операций (до нескольких сотен). Однако крупные суммы могут пересылаться и всего за несколько транзакций.
  • Большинство злоумышленников — сотрудники банков низшего звена, клерки. Хотя высший персонал банка также может совершать преступления и нанести банку гораздо больший ущерб — такого рода случаи единичны.
  • Компьютерные преступления не всегда высокотехнологичны. Достаточно подделки данных, изменения параметров среды АБС и т. д., а эти действия доступны и обслуживающему персоналу.
  • Многие злоумышленники объясняют свои действия тем, что они всего лишь берут в долг у банка с последующим возвратом. Впрочем «возврата», как правило, не происходит.

Специфика защиты автоматизированных систем обработки информации банков (АБС) обусловлена особенностями решаемых ими задач:

  • АБС обрабатывают большой поток постоянно поступающих запросов в реальном масштабе времени, каждый из которых не требует для обработки многочисленных ресурсов, но все вместе они могут быть обработаны только высокопроизводительной системой.
  • В АБС хранится и обрабатывается конфиденциальная информация, не предназначенная для широкой публики. Ее подделка или утечка могут привести к серьезным (для банка или его клиентов) последствиям. Поэтому АБС обречены оставаться относительно закрытыми, работать под управлением специфического программного обеспечения и уделять большое внимание обеспечению своей безопасности.
  • Другой особенностью АБС являются повышенные требования к надежности аппаратного и программного обеспечения. Поэтому большинство современных АБС построены с применением отказоустойчивой архитектуры компьютерной сети, позволяющей осуществлять непрерывную обработку информации даже в условиях различных сбоев и отказов.

Можно выделить два типа задач, решаемых АБС:

  1. Аналитические. К этому типу относятся задачи планирования, анализа счетов и т. д. Они не являются оперативными и могут требовать для решения длительного времени, а их результаты могут оказать влияние на политику банка в отношении конкретного клиента или проекта. Поэтому подсистема, с помощью которой решаются аналитические задачи, должна быть надежно изолирована от основной системы обработки информации и, кроме того, ввиду возможной ценности результатов их защита должна быть постоянной.
  2. Оперативные. К этому типу относятся задачи, решаемые в повседневной деятельности, в первую очередь выполнение платежей и корректировка счетов. Именно они и определяют размер и мощность основной системы банка; для их решения обычно требуется гораздо больше ресурсов, чем для аналитических задач. В то же время ценность информации, обрабатываемой при решении таких задач, имеет временный характер. Постепенно ценность информации, например о выполнении какого-либо платежа, становиться неактуальной. Естественно, это зависит от многих факторов, как-то: суммы и времени платежа, номера счета, дополнительных характеристик и т. д. Поэтому обычно бывает достаточно обеспечить защиту платежа именно в момент его осуществления. При этом защита самого процесса обработки и конечных результатов должна быть постоянной.

7.3. Методы защиты информации в автоматизированных системах обработки данных

Под защитой информации в информационных системах (ИС) понимается регулярное использование в них средств и методов, принятие мер и осуществление мероприятий с целью системного обеспечения требуемой надежности хранимой и обрабатываемой информации. Надежность информации — интегральный показатель, характеризующий качество информации с точки зрения физической целостности (отсутствия искажений или уничтожения элементов информации), доверия к информации (уверенности в отсутствии подмены) и безопасности — отсутствия ее несанкционированного получения и копирования.

Компоненты интегральной информационной безопасности:

  • организационные меры обеспечения безопасности;
  • меры обеспечения физической безопасности: охрана и защита зданий, помещений, компьютеров, перевозимых документов и т. п.
  • обеспечение безопасности аппаратных средств: обеспечение надежной работы компьютеров и сетевого оборудования;
  • обеспечение безопасности каналов связи: защита каналов связи от внешних воздействий;
  • обеспечение безопасности программно-математического обеспечения: защита от вирусов, хакеров, вредоносных программ, ворующих конфиденциальную информацию.

Известно, что 80 % преступлений, связанных с кражей, повреждением или искажением информации, совершается при участии сотрудников фирмы. Поэтому важнейшая задача руководства, отдела кадров и службы безопасности — тщательный подбор сотрудников, распределение полномочий и построение системы допуска к элементам информации, а также контроль дисциплины и поведения сотрудников, создание хорошего морального климата в коллективе.

Организационные средства защиты информации — это специальные организационно-технические и организационно-правовые мероприятия, осуществляемые в процессе создания и эксплуатации системы, имеющие целью обеспечение защиты информации.

Законодательные средства защиты информации определяются как законодательные акты, которые регламентируют порядок использования и обработки информации, ограничения доступа и которые устанавливают ответственность и санкции за нарушение этих правил.

Технические средства делятся на физические (замки, решетки, системы сигнализации и др.) и аппаратные (замки, блокировки, сигнализации и другие устройства, применяемые непосредственно на средствах вычислительной техники и средствах передачи данных). Программные средства защиты информации — это специальные средства защиты информации, встроенные в состав программного обеспечения системы и осуществляющие самостоятельно или в комплексе с другими средствами защиту информации в системе.

Программные средства защиты информации:

  1. Программные средства идентификации пользователей и определения их полномочий.
  2. Программные средства идентификации терминалов .
  3. Программные средства защиты файлов .
  4. Программные средства защиты ОС, ЭВМ и программ пользователей.
  5. Вспомогательные программы различного назначения.

Криптографические средства защиты информации — методы специального кодирования, шифрования или иного преобразования информации в результате которого содержимое становится недоступным без предъявления некоторой специальной информации и обратного преобразования. Использование криптографических методов стало особенно актуальным в настоящее время в связи с передачей по открытой сети Интернет больших объемов информации государственного, военного, коммерческого и частного характера. В связи с высокой стоимостью ущерба от потерь, разглашения и искажения информации, хранящейся в базах данных и передаваемой по локальным сетям, в современных ИС рекомендуется хранить и передавать информацию в зашифрованном виде.

Криптографическая система - семейство алгоритмов преобразования открытого текста в шифртекст.

Алфавит - конечное множество используемых для кодирования информации знаков. В качестве примеров алфавитов, используемых в современных информационных системах можно привести следующие:

  • алфавит Z33 — 32 буквы русского алфавита и пробел;
  • алфавит Z256 — символы, входящие в стандартные коды ASCII;
  • бинарный алфавит — Z2 = {0,1}.

Шифрование предполагает преобразование исходного текста Т с использованием ключа К в зашифрованный текст t. Ключ - сменный элемент шифра, который применен для шифрования конкретного сообщения. При шифровании используется понятие «гамма шифра» — это псевдослучайная числовая последовательность, вырабатываемая по заданному алгоритму, для зашифровывания открытых данных и дешифрования шифрограмм.

По характеру использования ключа известные криптосистемы можно разделить на два типа: симметричные (одноключевые, с секретным ключом) и асимметричные (с открытым ключом).

В первом случае в шифраторе отправителя и дешифраторе получателя используется один и тот же ключ. Шифратор образует шифрограмму, которая является функцией открытого текста, конкретный вид функции шифрования определяется секретным ключом. Дешифратор получателя сообщения выполняет обратное преобразование аналогичным образом. Секретный ключ хранится в тайне и передается отправителем сообщения получателю по защищенному каналу, исключающему перехват ключа криптоаналитиком противника.

Шифрование осуществляется методами замены и перестановки. Простейшее, но не поддающееся расшифровке шифрование — с заменой символов текста на случайные символы или числа. При этом длина ключа должна совпадать с длиной текста, что неудобно при больших объемах информации. Ключ используется один раз, потом его уничтожают, поэтому этот метод называют «Шифрование с отрывным блокнотом».

В реальности шифрование производится в двоичном коде с использованием коротких ключей — в международном стандарте DES (Data Encryption Standard), который работает с блоками данных по 64 байта (1998 г.), в ГОСТ 28147 — 89 — 256 байт, что обеспечивает существенно большую криптостойкость. На основании короткого ключа компьютер создает длинный ключ-гамму, используя один из нескольких алгоритмов, изложенных в стандартах шифрования DES или ГОСТ. Алгоритмы создания гаммы — гаммирования — основаны на серии замен и сдвигов, возможно, с использованием шифртекста. Алгоритмы шифрования не секретны, секретны только ключи. Для распространения ключей по сетям общего пользования применяется следующая технология: через курьеров передаются ключи первого ранга, на их основе шифруются и передаются по сетям ключи второго ранга, используемые для шифрования документов.

Наиболее современные системы шифрования используют асимметричные алгоритмы с открытым и секретным ключами, где нет проблемы безопасной транспортировки ключа. К числу таких систем относится алгоритм rsa, названный по именам разработчиков (rivest-shamir-adleman — разработчики этой системы Рональд Ривест, Ади Шамир и Леонард Адлеман, 1977 г.), базирующийся на разложении больших чисел на множители.

В асимметричных криптосистемах (криптосистемах с открытым ключом) в алгоритмах шифрования и дешифрования используются различные ключи, каждый из которых не может быть получен из другого с приемлемыми затратами временных и других ресурсов. Один ключ — открытый — используется для шифрования информации, другой — секретный — для дешифрования, т. е. прочесть сообщение может только тот, кому оно предназначено, например глава фирмы, получающий сообщения от своих многочисленных агентов.

Системы электронной подписи основаны на асимметричном шифровании, но секретный ключ хранится у отправителя сообщений, а открытым ключом, созданным на основе секретного путем математического преобразования, располагают многие. Открытый ключ может быть передан вместе с сообщением. Но в этом случае шифруется не само сообщение, а его хэш-функция, получаемая из сообщения путем его преобразования по определенному алгоритму и занимающая всего несколько байт. Изменение хотя бы одного бита в тексте сообщения приводит к существенному изменению хэш-функции. Получатель сообщения может расшифровать зашифрованную хэш-функцию, переданную вместе с сообщением, создать хэш-функцию полученного сообщения, используя известный алгоритм, и сравнить расшифрованную и воссозданную хэш-функции. Их совпадение гарантирует целостность полученного документа, т. е. отсутствие в нем искажений. Получатель не может внести изменений в полученный документ, т. к. не может зашифровать новую хэш-функцию. Поэтому электронная подпись имеет такую же юридическую силу, как и обычная подпись и печать на бумаге. Секретные и открытые ключи, программы и аппаратура для систем электронной подписи поставляют лицензированные ФСБ фирмы, которые в случае необходимости могут представить в суд копии ключей.

Существует два основных способа защиты: программный и аппаратный. Программный способ защиты данных хорош тем, что при относительно небольшой затрате средств можно получить программу, обеспечивающую требуемую надежность хранения информации. Но программные средства обладают несколькими существенными недостатками, о которых следует знать при выборе данного пути:

  • обычно работают медленнее аппаратных;
  • любую программу можно вскрыть, это лишь вопрос времени и квалификации специалиста;
  • при хищении носителя информации похищается и программа.

Аппаратные средства тоже обладают рядом недостатков: их разработка обходится дороже, прибавляются расходы на производство и обслуживание, аппаратная система более сложна и также требует помимо аппаратной части программное обеспечение.

Но преимущества использования аппаратных средств очевидны:

  • быстрая работа без привлечения ресурсов системы;
  • проникнуть в программу аппаратного средства без его хищения невозможно;
  • не имея аппаратного средства, невозможно расшифровать защищенные данные.

7.4. Законодательные акты в области защиты информации

В России принимаются меры для противодействия информационному оружию и компьютерной преступности. В Госдуме РФ действует депутатская группа «Электронная Россия», проводятся круглые столы по информационной безопасности для разработки соответствующих законов. Приняты Закон РФ «О безопасности», Закон «Об электронной подписи» и «Об информации, информатизации и защите информации», в котором определено, что информация подлежит защите так же, как материальное имущество собственника. Обеспечением безопасной передачи правительственной информации раньше занималось ФАПСИ, сейчас — ФСБ и ФСО, защитой передачи коммерческой информации — фирмы, имеющие лицензию ФСБ. Разработан руководящий документ Гостехкомиссии РФ «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требований по защите информации» и соответствующие Государственные стандарты:

ГОСТ 28147-89. Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования;

ГОСТ Р 34. 10-94. Информационная технология. Криптографическая защита информации. Процедуры выработки и проверки электронной цифровой подписи на базе асимметричного криптографического алгоритма;

ГОСТ Р 34. 11-94. Информационная технология. Криптографическая защита информации. Функция хэширования;

ГОСТ Р 50739-95. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования.

С 2004 г. действует новый национальный стандарт безопасности ГОСТ/ИСО МЭК 15408 — 2002. Общие критерии оценки безопасности информационных технологий.

Годом рождения стандарта можно считать 1990-й — именно тогда были начаты работы по созданию стандарта в области оценки безопасности информационных технологий (ИТ) под эгидой Международной организации по стандартизации (ИСО). Этот документ был переведен и взят за основу при разработке ГОСТ/ИСО МЭК 15408 — 2002. Название стандарта сложилось исторически. Работы над ним велись при содействии государственных организаций по стандартизации США, Канады, Великобритании, Франции, Германии и Голландии и преследовали следующие концептуальные цели:

  • унификация различных национальных стандартов в области оценки безопасности ИТ;
  • повышение уровня доверия к оценке безопасности ИТ;
  • сокращение затрат на оценку безопасности ИТ на основе взаимного признания сертификатов.

Российский стандарт представляет собой точный перевод международного стандарта. Он принят постановлением Госстандарта России от 4.04.2002 г. № 133-ст с датой введения в действие 1 января 2004 г. Появление этого ГОСТа отражает не только процесс совершенствования российских стандартов с использованием международного опыта, но и часть правительственной программы по вступлению России в ВТО (как известно, при вступлении в эту организацию в стране-претенденте должны быть унифицированы пошлины, налоги, стандарты на производство, стандарты качества и некоторые стандарты в области информационной безопасности).

В рамках нового стандарта вводятся понятия «угроза» и «профиль».

Профиль защиты — «независимая от реализации совокупность требований безопасности для некоторой категории продуктов или ИТ-систем, отвечающая специфическим запросам потребителя».

Все механизмы защиты, описанные в профиле, называются функциями безопасности объекта (ФБО). В профиль защиты включаются только те функции безопасности, которые должны защищать от угроз и соответствовать политике безопасности.

Предположения безопасности — это описание конкретных условий, в которых будет эксплуатироваться система. Политика безопасности — «одно или несколько правил, процедур, практических приемов или руководящих принципов в области безопасности, которыми руководствуется организация в своей деятельности». В общем случае такой набор правил представляет собой некий функционал программного продукта, который необходим для его использования в конкретной организации.

Один из наиболее сбалансированных и жизнеспособных документов — внутриотраслевой стандарт Банка России по ИБ. Его последняя редакция (2006 г.) свидетельствует о явном намерении Центробанка сменить рекомендательный характер документа на обязательный статус.

7.5. Стандарт защиты информации в области банковских карт

Payment Card Industry Data Security Standard (PCI DSS) — стандарт защиты информации в индустрии платежных карт, разработанный международными платежными системами Visa и MasterCard.

Решение о создании данного единого стандарта было принято международными платежными системами в связи с ростом числа компаний, сообщивших о том, что находившаяся у них конфиденциальная информация о счетах их клиентов была потеряна или украдена.

Цели стандарта:

  • повышение защищенности электронных торговых и платежных систем;
  • обеспечение безопасной среды для хранения данных держателей карт;
  • сокращение несогласованности в требованиях к обеспечению безопасности в индустрии платежных карт;
  • модернизация и рационализация бизнес-процессов и снижение издержек.

Требования стандарта PCI DSS распространяются на все компании, работающие с международными платежными системами Visa и MasterCard. В зависимости от количества обрабатываемых транзакций каждой компании присваивается определенный уровень с соответствующим набором требований, которые они должны выполнять. В рамках требований стандарта предусматриваются ежегодные аудиторские проверки компаний, а также ежеквартальные сканирования сетей.

Стандарт PCI Data Security Standard с сентября 2006 г. введен международной платежной системой VISA на территории региона CEMEA как обязательный, соответственно его действие распространяется и на Россию. Поэтому поставщики услуг (процессинговые центры, платежные шлюзы, Интернет-провайдеры), работающие напрямую с VisaNet, должны пройти процедуру аудита на соответствие требованиям Стандарта. В противном случае VISA будет применять к компаниям определенные штрафные санкции.

Вопросы для самопроверки

  1. В чем состоит основное отличие защиты банковских компьютерных систем от защиты промышленных компьютерных систем?
  2. Какие мероприятия могут быть отнесены к организационным мерам защиты?
  3. В чем состоит принцип «закрытых дверей» в банках и почему он не может быть эффективно применен в настоящий момент?
  4. Какие средства защиты могут быть отнесены к физическим средствам?
  5. Какие системы, аналитические или оперативные, требуют более тщательных методов защиты и почему?
  6. Что такое криптографические методы преобразования текста?
  7. Что такое ключ?
  8. Дайте определение «гаммирования». Зачем оно требуется?
  9. Что такое кодирование с «отрывным блокнотом» и почему оно сейчас не применяется?
  10. Какова длина ключа при кодировании с использованием стандарта DES?
  11. Отличается ли длина ключа по российским стандартам от международных? Какова она?
  12. Название практикума Аннотация

    Презентации

    Название презентации Аннотация

Статья посвящена обеспечению информационной безопасности в банковских учреждениях на основе отечественных нормативных требований отраслевых стандартов Банка России СТО БР ИББС-1.0-2014. Рассмотрены некоторые аспекты защиты в автоматизированных банковских системах (АБС), вопросы защиты персональных данных в банковской сфере, внутреннего аудита и самооценки на соответствие требованиям ИБ, а также некоторые особенности и проблемные места, касающиеся специфики информационной безопасности в банках.

Введение

Не секрет, что банки являются краеугольным камнем кредитно-финансовой системы государства и важнейшим финансовым институтом современного общества. В связи с этим на них возлагаются особые требования к обеспечению информационной безопасности. До момента появления отечественных отраслевых стандартов информационной безопасности СТО БР ИББС банки управляли безопасностью, основываясь на положениях внутренних нормативных документов. Но и после принятия этих документов осталось много вопросов, требующих своего решения. Некоторые рассматриваемые в статье вопросы связаны с разрешением «узких мест» системы ИБ банков и адаптации политики безопасности под новые требования с учетом уже имеющегося «багажа» в области защиты информации.

Становление стандартов ИБ Банка России

В России до середины 2000-х годов слово «безопасность» преимущественно ассоциировали с управлением «банковскими рисками» , т.е. контролю ситуаций, которые могли бы привести к понесению кредитной организацией потерь и\или ухудшения ее ликвидности вследствие наступления неблагоприятных событий. Таких категорий как «информационная безопасность» или «защита информации» не существовало в принципе. Только лишь федеральный закон «О банковской деятельности» от 02.12.1990 N 395-1 ФЗ в ст.26 Банковская тайна давал ограниченное право и возможность на защиту конфиденциальных сведений в банковской сфере. Спустя больше чем десятилетие отечественные правотрорцы выпустили в свет Федеральный закон «О коммерческой тайне» 29.07.2004 N 98-ФЗ , позволяющий, наконец то, полноценно заявить о новом виде деятельности и отдельной категории вопросов таких как «информационная безопасность банков».

В те же годы в отечественном банковском сообществе наметились тенденции для принятия международных банковских стандартов, в частности стандарта Базель II . В своей трактовке этот стандарт рассматривал информационную безопасность как операционный риск и, в целом, требовал мер по аудиту и контролю за информационной сферой, что являлось абсолютным новшеством для российских банков в то время. Однако и этого было недостаточно -- развитие современных информационных технологий и постоянное стремление предложения новых банковских продуктов на рынок требовали более значительно внимания к данным вопросам.

Следующей эволюционной вехой развития стал 2004 год с выпуском Центральным Банком России первой редакции пакета отечественных отраслевых стандартов по информационной безопасности СТО БР ИБСС . Стандарт ЦБ по ИТ-безопасности считался лучшим отраслевым стандартом на то время, ведь он вобрал в себя лучший мировой опыт и практику, объединяет в себе основные положения стандартов по управлению ИТ-безопасностью (ISO 17799, 13335), регламентирует описание жизненного цикла программных средств и критерии оценки ИТ-безопасности (ГОСТ Р ИСО/МЭК 15408-1-2-3). Также в документе нашли отражение технологии оценки угроз и уязвимостей, некоторые положения британской методологии оценки информационных рисков CRAMM (см. рисунок 1).

Рисунок 1. Взаимосвязь различных требований и стандартов в области ИТ, безопасности и управления

Среди основных положений стандарта ЦБ можно было отметить ориентацию на решение проблемы инсайдеров. Для этого Банк России закрепляет контроль над обращением конфиденциальной информации внутри корпоративной среды. Значительное внимание уделено внешним угрозам: положения стандарта требуют от банков иметь антивирусную защиту с регулярно обновляемыми базам, средства фильтрации спама, управления доступом, регламентировать процедуры внутреннего аудита, использовать шифрование для защиты от несанкционированного доступа и т.п.

Несмотря на все эти очевидные преимущества стандарт носил рекомендательный характер - его положения могли применяться отечественными банками только на добровольной основе. Тем не менее, по результатам исследования респондентов, представленных на III межбанковской конференции , прослеживалась явная тенденция к принятию данных документов как обязательной базовой основы для российских банков.

Параллельно с развитием банковских стандартов в середине 2000-х годов в России шел и процесс становления отечественного законодательства в сфере информационной безопасности. Ключевым моментом стало обновление Федерального закона «Об информации, информационных технологиях и о защите информации» от 27.07.2006 N 149-ФЗ , дающего новые актуальные определения информации, информационных технологий и процессов, отдельно заголовком выделена «защита информации». Вслед за ним отдельную категорию в практике защиты информации ознаменовал выход закона «О Персональных данных» от 27.07.2006 N 152-ФЗ .

Учитывая все эти нововведения и меняющиеся реалии общества, в свет выходили и новые редакции СТО БР ИББС. Так, в третьей редакции стандарта от 2008 года , пакет документов был значительно переработан, повелись новые термины и понятия, были уточнены и детализированы некоторые требования по обеспечению безопасности; обновлены требования к системе менеджмента информационной безопасности. Также стандарт обзавелся собственной моделью угроз и нарушителей информационной безопасности организаций БС РФ. Введены новые блоки по требования ИБ в автоматизированных банковских системах, регламентирован процесс банковских платежных и информационных технологических процессов, отдельно сказано про применение средств криптографической защиты информации.

На фоне последних мировых событий 2014 года и экономических санкций, введенных западными странами в отношении России, наметилась чёткая тенденция к разработке и переходу на национальную систему платежных карт . Это, соответственно, предъявляет дополнительные требования к надежности и безопасности таких систем, что влечет за собой и повышение значения отечественных стандартов ИБ.

Результатом всех этих событий стало очередное переиздание стандарта. И в июне 2014 года вступила в силу обновленная пятая, и пока последняя на сегодняшний день, редакция СТО БР ИББС - 2014 . В новой редакции исправили огрехи прошлых выпусков и, что очень важно, требования и рекомендации СТО привели в соответствие с вышеописанным 382-П. Так, например, уточнен список требующих регистрации операций в ДБО, расширен список защищаемой информации, исходя из П-382, приведена таблица соответствия частных показателей оценки из СТО и показателей из текущей редакции 382-П.

Не менее значимым достижением стала актуализированная база нормативных требований с учетом последних изменений законодательства в сфере защиты Персональных данных, а именно добавлены ссылки на Постановление Правительства №1119 и Приказ ФСТЭК России №21 .

Все это сформировало единую методическую и нормативную платформу для обеспечения комплексной информационной безопасности с учетом банковской специфики. Пакет документов СТО БР ИББС обособил российские банки выстроив в них систему безопасности с отраслевой точки зрения, но в то же время впитал лучшую мировую практику и опыт зарубежных коллег по обеспечению информационной безопасности.

Информационная безопасность в Банках с учетом СТО БР ИББС-2014

В настоящий момент распоряжением Банка России пакет документов СТО БР ИББС состоит из следующих частей:

  1. СТО БР ИББС-1.2-2014. «Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0-2014 (4 редакция)»;

Кроме того, Банком России разработаны и введены следующие рекомендации в области стандартизации ИБ:

  1. РС БР ИББС-2.0-2007. «Методические рекомендации по документации в области обеспечения информационной безопасности в соответствие с требованиями СТО БР ИББС-1.0»;
  2. РС БР ИББС-2.1-2007. «Руководство по самооценке соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1. 0»;
  3. РС БР ИББС-2.2-2009. «Методика оценки рисков нарушения информационной безопасности»;
  4. РС БР ИББС-2.5-2014. «Менеджмент инцидентов информационной безопасности»

Первые три документа являются обязательными для всех банков, которые приняли указанный стандарт в качестве своей базовой политики. Документ «Общие положения» являются основой для формирования всех мероприятий по защите информации. Вся структура разбита на отдельные блоки. В них подробно описываются требования к обеспечению безопасности, даются конкретные перечни мер защиты по тому или иному блоку. (см. таблица 1)

Таблица 1. Требования к обеспечению информационной безопасности

- при назначении и распределении ролей и обеспечении доверия к персоналу;
- в автоматизированных банковских систем (АБС) на стадиях жизненного цикла;
- при управлении доступом и регистрацией пользователей;
- к средствам антивирусной защиты;
- при использовании ресурсов сети Интернет;
- при использовании средств криптографической защиты информации;
- в банковских платежных технологических процессах;
- по обработке персональных данных;
- отельным заголовком вынесены требования к системе менеджмента информационной безопасности.

Документ «Аудит информационной безопасности» самый малостраничный из всех, указывает на необходимость проведение аудита системы ИБ, а также дает отсылку к проведению ежегодной самооценки по требованиям стандарта. Данные итоговой самооценки служат базой как для формы отчетности в случае проверки Центральным Банком, так и заключением соответствия уровня защищенности системы информационной безопасности банка выявленным рискам и угрозам ИБ.

И последний из рассматриваемых документ «Методика оценки соответствия требованиям ИБ» -- это свод методик оценки и таблиц с соответствующими полями для заполнения. Каждое мероприятие и мера защиты дают определенное весовое значение в оценке называемый групповой показатель. По результатам групповых показателей выстраивается круговая диаграмма соответствия требованием СТО БР ИББС (см. рисунок 2). Все значений групповых показателей лежат в диапазоне от 0 до 1 , в котором для определения итога выделены еще 6 уровней соответствия стандарту, начиная с нулевого. Банком России рекомендованы уровни 4 и 5 (см. рисунок 2). Соответственно чем выше значение, тем более считается защищенной система. На круговой диаграмме эти сектора имеют зеленый цвет, красный же -- показатель критического уровня.

Рисунок 2. Круговая диаграмма соответствия требованиям СТО БР ИББС

Что еще можно добавить -- достаточно большое внимание уделяется процессам менеджмента системы информационной безопасности, в частности можно выделить Цикл Деминга , используемый топ-менеджерами в управлении качеством (рисунок 3).

Рисунок 3. Цикл Деминга для СОИБ СТО БР ИББС

В новой редакции Банк России актуализировал методику оценки соответствия информационной безопасности. Основные изменения коснулись подхода к оценке:

  • все требования теперь отнесены к одному из трех классов (документирование , выполнение , документирование и выполнение );
  • оценка групповых показателей определяется как среднее арифметическое (отсутствуют весовые коэффициенты частных показателей);
  • вводится понятие корректирующих коэффициентов, влияющих на оценки по направлениям и зависящих от количества полностью не реализованных требований Стандарта;
  • значение показателя М9 (Общие требования по обработке персональных данных) рассчитывается по общей схеме (а не как минимальное из значений входящих частных показателей в предыдущей версии стандарта).

Стоит отметить тот факт, что стало значительно больше уделяться внимания документированию процедур безопасности во внутренних нормативных документах банков. Таким образом, даже если процедура фактически не выполняется, но предусмотрена и документирована, -- это повышает результат внутреннего аудита.

По сравнению с прошлой редакцией возросло количество частных показателей, а так же изменились весовые значения оценок (см. рисунок 4).

Рисунок 4. Изменения в прошлой и текущей редакции СТО БР ИББС (по данным ИнфоКонстал Менеджмент, www. km-ltd.com, 2014)

Следует сказать еще об одном важном дополнении, касающемся встроенных механизмов защиты в АБС, -- Банк России выпустил рекомендации «Обеспечение информационной безопасности на стадиях жизненного цикла автоматизированных банковских систем» (РС БР ИББС-2.6-2014)» . Суть их заключается в том, что теперь банки могут, ссылаясь на этот документ, выставлять требования разработчикам к функционалу программного обеспечения в части механизмов защиты. Нельзя забывать, что это именно рекомендации, а не требования, и сам Банк России навязывать ничего не может, однако он позволяет транслировать эти рекомендации от имени банковского сообщества, а это уже изменение в лучшую сторону.

Защита персональных данных в банках

До выхода 5 редакции СТО БР ИББС–2014, защита персональных данных в банках базировалась на двух документах : БР ИББС-2.3-2010. «Требования по обеспечению безопасности персональных данных в информационных системах персональных данных организаций банковской системы Российской Федерации» и РС БР ИББС-2.4-2010. «Отраслевая частная модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных организаций банковской системы Российской Федерации».

На практике это выглядело так: брали в неизменном виде предложенную Центральным Банком частную отраслевую модель угроз, по методическим рекомендациям определяли требований к защите каждой ИСПДн, исходя из и количества и списка обрабатываемых данных, и в дальнейшем выстраивали по ним перечень необходимых мероприятий.

Главной головной болью специалистов до сегодняшнего дня было то, что настоящие требований действовали вплоть до очередной редакции СТО БР ИББС – 2014, хотя на тот момент защита ПДн уже выстраивалась в соответствии с ПП-1119 и приказом ФСТЭК №21. В виду того, что банки должны соответствовать принятому пакету СТО БР ИББС, многие из них пользовались не актуальными методиками и, как следствие, не соотвестствовали новым реалиям обеспечения безопасности.

С выходом этих двух упомянутых нормативных документов ситуация изменилась к лучшему - были отменены некоторые строгие требования по лицензированию, упрощены процедуры классификации ИСПДн, оператору ПДн дано больше прав на выбор защитных мер. Требования к защите ИСПДн определяясь таблицей соответствия «уровня защищенности» и применяемых к ним процедур безопасности, детализациях которых была представлена приказом ФСТЭК № 21. Это позволило нивелировать различия в методике защиты ПДн в отраслевом стандарте ЦБ и общего российского законодательства.

В обновленном стандарте появился новый термин «Ресурс ПДн», для которого сформированы требования к документированности отдельных процедур, связанных с обработкой персональных данных (раздел 7.10). Отдельно рассмотрены вопросы, связанные с уничтожением персональных данных: организациям предоставлена возможность уничтожать ПДн не сразу, а на периодической основе, но не реже одного раза в полгода.

Роскомнадзором отдельно были внесены пояснения в отношении биометрических ПДн , например фотографии сотрудников, если таковые используются в целях осуществления контрольно-пропускного режима или выставлены на сайте компании в качестве общедоступной информации о руководстве, не попадают под режим специальных требованиям к защите.

Банкам же, которые ранее уже выполнили требования по защите ПДн по старому стандарту, для соответствия новым требованиям нужно скорректировать свои внутренние нормативные документы, провести заново классификацию и переадресацию ИСПДн и, в соответствии с уровнем защищенности, определить для себя новый перечень защитных мероприятий. Хочется отметить, что сейчас у банков появилось больше свободы в выборе средств и методов защиты, однако применение именно сортированных ФСТЭК средств защиты информации по-прежнему является обязательным.

Информационная безопасность национальной платежной системы

Национальная платежная система (НПС), в виду последних событий, становится все более приоритетным направлением во внутренней политике государства. Президент России Владимир Путин подписал закон о создании в России национальной системы платежных карт (НСПК) и обеспечении бесперебойности работы международных платежных систем. Оператор НСПК создается в форме ОАО, 100% активов которого принадлежит Банку России. Целью проекта обозначено инфраструктурно и информационно замкнуть процесс осуществления денежных переводов внутри России, закрепить территориально внутри страны операционные центры и платежные клиринговые центры.

Фактически, до выхода закона деньги могли появляться из «ниоткуда» и исчезать в «никуда». С выходом закона ситуация меняется, НПС дает возможность отслеживает все денежные операции, в том числе финансирование сомнительных сделок и мошеннические операции, которые могут угрожать безопасности граждан или страны в целом. Кроме того, уход от наличного оборота, по мнению правительства, является еще одним шагом в борьбе со взяточничеством.

Для обеспечения безопасности НПС был выпущен целый рад подзаконных актов, серди которых основополагающее Положение о защите информации в платежной системе» от 13.06.2012 №584 . Но в большей мере отвечает выпущенное ответственным департаментом Банком России Положение о требованиях к обеспечению защиты информации при осуществлении переводов денежных средств…» от 09.06.2012 N 382-П)

С обновлением П-382 тенденции обеспечения защиты теперь смещены в сторону:

  • применением банкоматов и платежных терминалов;
  • применения пластиковых платежных карт;
  • использования сети Интернет (систем дистанционного банковского обслуживания (ДБО) и мобильного банкинга);
  • требований к порядку разработки и распространения специализированного ПО, предназначенного для использования клиентом при переводе денежных средств;
  • что очень порадовало, расширение требований по повышению осведомленности клиентов о возможных рисках получения несанкционированного доступа к защищаемой информации и рекомендуемых мерах по их снижению;
  • требований о необходимости проведения классификации банкоматов и платежных терминалов, результаты которой должны учитываться при выборе мер защиты;
  • процедур приостановления проведения платежа оператором по переводу денежных средств в случае обнаружения признаков мошеннических действий;
  • предусмотрены процедуры защиты от современных угроз безопасности, таких как: скимминг (путем использования специализированных средств, препятствующих несанкционированному считыванию треков платежных карт; защита сервисов расположенных в сети Интернет от внешних атак (DoS-атак); защита от фишинга (от фальсифицированных лождных ресурсов сети Интернет).
  • требование по применению платежных карт, оснащенных микропроцессором, с 2015 года и запрет выпуска карт, не оснащенных микропроцессором, после 1-го января 2015 года;
  • 29 новых показателей оценки.

Информационная безопасность платежных систем

Аналогичная ситуация складывается с использованием пластиковых карт. В мировом сообществе признанным стандартом безопасности считается Payment Card Industry Data Security Standard (PCI DSS) , который был разработан советом PCI SSC. В него вошли такие карточные брэнды, как Visa, MasterCard, American Express, JCB и Discovery.

Стандарт PCI DSS описывает требования к защите данных о держателях карт, сгруппированные в двенадцать тематических разделов. Основной акцент в стандарте PCI DSS делается на обеспечении безопасности сетевой инфраструктуры и защите хранимых данных о держателях платежных карт, как наиболее уязвимых с точки зрения угроз конфиденциальности местах. Также следует отметить, что стандарт регламентирует правила безопасной разработки, поддержки и эксплуатации платежных систем, в том числе процедуры их мониторинга. Не менее важную роль стандарт отводит разработке и поддержке базы нормативных документов системы менеджмента информационной безопасности.

Международные платежные системы обязывают организации, на которые распространяются требования стандарта, проходить регулярную проверку соответствия этим требованиям, что рано или поздно может затронуть и НСПК. Однако сертификация российских банков по зарубежному PCI DSS стандарту шла довольно медленно, а отечественного аналога на сегодняшний день нет.

Однако, выполняя требования П-382 и последней редакции СТО БР ИББС-2014, можно во многом подготовиться к прохождению сертификации по PCI DSS, ведь многие его положения пересекаются с требованиями из отечественного документа: антивирусная безопасность, шифрование, фильтрация с помощью межсетевых экранов, разграничение доступа, отслеживании сеансов связи, а также мониторинг, аудит и менеджмент системы ИБ (см. рисунок 5).

Рисунок 5. Сравнение категорий защищаемой информации различными стандартами (по данным Уральский центр Систем безопасности, www.usssc.ru , 2014)

В отличие от всех зарубежных стандартов, российский 382-П призван стимулировать отечественных разработчиков и производителей средств защиты информации (СЗИ), так, например, обязывая субъекты НПС обеспечить применение некриптографических СЗИ от несанкционированного доступа, в том числе прошедших в установленном порядке процедуру оценки соответствия. При этом, применение решений иностранного производства явно разрешено.

Более того, Банк России усиливает свой контроль за соблюдением установленных правил. В своем документе Указание № 2831-У от 09.06.2012 «Об отчетности по обеспечению защиты информации в платежных системах…» явно указывает, в какой форме, и с какой периодичностью субъекты платежных систем должны отчитываться о состоянии информационной безопасности в платежных системах.

Несмотря на популярность и широкое распространение PCI DSS существуют и другие международных стандарты безопасности падежных систем, о которых тоже хотелось бы немного сказать. Один из них стандарт PCI PA-DSS (Payment Card Industry Payment Application Data Security Standard) определяющий требования к приложениям, обрабатывающим данные о держателях карт и процессу их разработки. И, второй - стандарт Payment Card Industry PIN Transaction Security (PCI PTS), ранее PCI PED, касаются производителей, которые задают и реализуют технические параметры и систему управления для устройств, поддерживающих набор ПИН-кода и использующихся для проведения платежных операций по картам.

Выводы

СТО БР ИББС является очень важной вехой эволюционного пути развития отечественной системы обеспечения информационной безопасности. Это один из первых отраслевых и адаптированных под российскую действительность стандартов. Конечно, это не панацея от всех бед, остается еще много проблем, над которыми бьются специалисты, но это первый и весьма успешный опыт, приближающий нас к эталонам лучшей зарубежной практики.

Выполняя требования стандарта, многие банки готовят себя к международной сертификации обеспечения безопасности платежных систем PCI DSS. Обеспечивают защиту персональных данных в соответствии с последними требованиями регуляторов. Проводимый ежегодный внутренний аудит позволяет объективно проверить защищенность банков от существенных рисков и угроз ИБ, а руководителям эффективнее спланировать построение и управление комплексной системой защиты.

Существующие недочеты и явные ошибки, надеемся, будут исправлены в следующих редакциях, выпуск которых не за горами. Уже весной 2015 года нас ждет обновленный П-382 , а следом может последовать и изменения в комплексе БР ИББС. Пока же довольствуемся октябрьским релизом «Стандартом финансовых операций» ТК 122 и не забываем, что как бы не были хороши все усилия вышестоящих органов, по прежнему наша безопасность - только в наших руках!

 
Статьи по теме:
Методические рекомендации по определению инвестиционной стоимости земельных участков
Методики Методические рекомендации по определению инвестиционной стоимости земельных участков 1. Общие положения Настоящие методические рекомендации по определению инвестиционной стоимости земельных участков разработаны ЗАО «Квинто-Консалтинг» в рамках
Измерение валового регионального продукта
Как отмечалось выше, основным макроэкономическим показателем результатов функционирования экономики в статистике многих стран, а также международных организаций (ООН, ОЭСР, МВФ и др.), является ВВП. На микроуровне (предприятий и секторов) показателю ВВП с
Экономика грузии после распада ссср и ее развитие (кратко)
Особенности промышленности ГрузииПромышленность Грузии включает ряд отраслей обрабатывающей и добывающей промышленности.Замечание 1 На сегодняшний день большая часть грузинских промышленных предприятий или простаивают, или загружены лишь частично. В соо
Корректирующие коэффициенты енвд
К2 - корректирующий коэффициент. С его помощью корректируют различные факторы, которые влияют на базовую доходность от различных видов предпринимательской деятельности . Например, ассортимент товаров, сезонность, режим работы, величину доходов и т. п. Об