1.6 Инсайдеры
Исследование, проведенное компанией Perimetrix, показало, что по данным опроса, в 2007 году лишь 5% компаний избежали инсайдерских утечек. 19% респондентов лишались информации от 6 до 25 раз, а 7% - более 25. Специалисты и руководители отделов ИТ и ИБ называют утечки самой большой (76%) угрозой электронной безопасности.
Основная причина заключается в том, что лишь немногие организации (24%) используют системы защиты от утечек.
На настоящий момент угроза инсайда является угрозой номер один, для безопасности АБС. В связи с этим, предлагаю ознакомится с документами, которые либо пресекают деятельность инсайдеров на законодательном уровне, либо вводят нормативные акты, значительно ужесточающие требования к операционной деятельности банков. О двух из них уже говорилось в пункте 1.3 данной дипломной работы.
Федеральный закон «О персональных данных». Этот закон предъявляет целый ряд требований к безопасности персональных данных, а также предусматривает ответственность для тех лиц, которые украли информацию или пытаются ею злоупотреблять. Все эти требования вступили в силу в феврале 2007 года.
Стандарт Банка России по ИТ-безопасности. В область его действия попадают все предприятия кредитно-финансовой сферы. Стандарт выдвигает большое количество требований к системе ИТ-безопасности финансовых компаний, объединяя положения международных нормативов и передовой опыт (best practices). Помимо всего прочего, норматив предусматривает внедрение системы защиты от инсайдеров и механизмов контроля над чувствительной информацией.
Не менее важным нормативным актом для кредитно-финансовых организаций является соглашение Basel II, которое выдвигает целый ряд требований к резервированию капитала для покрытия рисков, системе управления рисками и т.д. В частности, оно предписывает всем банкам взять под контроль операционные риски, в состав которых входит угроза утечки и злонамеренных действий инсайдеров. Более того, положения соглашения Basel II являются обязательными для исполнения, хотя и с 2009 года.
Соглашение Basel II «Международная конвергенция измерения капитала и стандартов капитала: новые подходы» является одним из наиболее актуальных нормативных актов, регулирующих банковский сектор. Оно предъявляет требования к минимальному размеру банковского капитала: организации обязаны оценивать операционные, рыночные и кредитные риски, а также резервировать капитал на их покрытие. Его положения уже применяются в Евросоюзе, США, Канаде, Японии и Индии. В 2009 году к соглашению планирует присоединиться и Россия.
Вторая итерация соглашения (в отличие от первой) требует учитывать при резервировании капитала не только рыночные и кредитные, но еще и операционные риски. Исходя из ряда исследований российского кредитно-финансового сектора и опыта стран «большой десятки» именно управление операционными рисками представляет для банков наибольшую сложность. Вдобавок низкая эффективность при управлении операционными рисками часто приводит к существенному возрастанию репутационных рисков, которыми банки также обязаны управлять.
Согласно пункту 644 соглашения Basel II, операционный риск определяется как «риск убытка в результате неадекватных или ошибочных внутренних процессов, действий сотрудников и систем или внешних событий». Это определение включает юридический риск, но исключает стратегический и репутационный риски. Таким образом, под определение операционных рисков попадают прежде всего действия инсайдеров - кража конфиденциальной информации, мошенничество, халатность и безалаберность. Разобраться в структуре операционных рисков позволяют результаты исследования «Соглашение Basel II в России 2006: операционные риски — основная проблема банков», при проведении которого компания InfoWatch и «Национальный Банковский Журнал» опросили более 30 российских банков и установили наиболее опасные компоненты операционного риска. Заметим, что варианты ответов были составлены точно в соответствии со структурой операционного риска в пункте 644 соглашения Basel II (Рисунок - 1).
Рисунок - 1
Данное исследование показало, что наиболее опасными являются риски, вызываемые действиями персонала (91%) и внутренними процессами (62%). С большим отставанием за ними следуют риски убытка в результате действий систем (35%) или внешних событий (12%). Такое распределение ответов вполне объяснимо, поскольку кредитно-финансовые организации традиционно являются уязвимыми именно по отношению к внутренним угрозам. Например, инсайдеры (служащие банка) могут совершить финансовое мошенничество, украсть конфиденциальные отчеты компании или приватные данные ее клиентов. То же самое относится к внутренним процессам, которые выступают в роли связующего звена между техникой (системами — на них пришлось 35%) и персоналом (который представляет основную угрозу — так считает 91% респондентов).
Можно сделать вывод, что именно угрозы ИT-безопасности, в особенности действия инсайдеров, представляют собой наиболее важную составляющую операционных рисков. При этом начиная с 2009 года каждая российская кредитно-финансовая организация должна внедрить систему управления данным видом рисков и резервировать под них капитал. Специфика нынешнего положения дел такова, что внешними угрозами для банков, по сути, являются только DOS-атаки. Злоумышленники в подавляющем большинстве случаев не тратят силы на преодоление системы защиты информации банков, которые обычно находятся все же на достаточно приличном уровне. А вот внутренние, инсайдерские атаки представляют действительно серьезную угрозу. Как правило, к защите от внутреннего нарушителя банки относятся достаточно небрежно. А зря, поскольку инсайдер может нанести весьма существенный урон. Методы борьбы с инсайдом существуют. Использование технических средств: • строгая аутентификация сотрудников (например, с помощью USB-ключа или биометрии); аудит всех действий всех пользователей включая администраторов в сети; • использование средств защиты конфиденциальной информации от инсайдеров; • шифрование конфиденциальных данных. Использование организационных мер: • обучение сотрудников, отвечающих за информационную безопасность; • повышение личной ответственности сотрудников; • постоянная работа с персоналом, имеющим доступ к конфиденциальной информации инструктаж, обучение, проверка знания правил и обязанностей по соблюдению информационной безопасности.
- Содержание
- Обозначения и сокращения
- 1 Аналитическая часть
- 1 Технико-экономическая характеристика предприятия
- 1.1 Характеристика подразделений банка и видов их деятельности
- 1.2 Законодательство рф в абс
- 1.3 Концепция построения и типизации Средств Защиты Информации
- 1.3.1 Виды угроз безопасности в телекоммуникационной системе
- 1.3.2 Атаки на уровне субд
- 1.3.3 Атаки на уровне ос
- 1.3.4 Атаки класса “отказ в обслуживании”
- 1.3.5 Возможные атаки на уровне сети
- 1.3.6 Методы защиты от атак
- 1.4 Банк-Клиент
- 1.4.1 Классификация
- 1.4.4 Эцп
- 1.4.5 Usb-Token
- 1.4.6 Кардинг
- 1.4.7 Уязвимости по
- 1.4.8 Дбо Атаки
- 1.6 Инсайдеры
- 1.7 Сетевые угрозы
- 1.7.1 Типы сетевых атак
- 1.7.2 Угрозы сетевой безопасности исходящие от беспроводных сетей
- 1.7.3 Системы сетевой безопасности Cisco 2011
- 1.7.4 Средства обеспечения сетевой безопасности
- 1.7.5 Межсетевой экран
- 1.8 Антивирус
- 1.8.1 Технологии обнаружения вирусов
- 1.8.2 Режимы работы антивирусов
- 1.8.3 Антивирусный комплекс
- 1.9 Криптография и скзи
- 1.9.1 Методология с использованием ключа
- 1.9.1.1 Симметричная (секретная) методология
- 1.9.1.2 Асимметричная (открытая) методология
- 1.9.2 Распространение ключей
- 1.9.3 Алгоритмы шифрования
- 1.9.3.2 Асимметричные алгоритмы
- 1.9.4 Хэш-функции
- 1.9.5 Механизмы аутентификации
- 1.9.6 Электронные подписи и временные метки
- 1.9.7 Криптопровайдер
- 1.9.8 Рутокен Pinpad
- 2 Проектная часть
- 2.1 Программно-аппаратное обеспечение
- 2.2 Схема взаимодействия эшелонов защиты
- 2.2.1 Подробные схемы взаимодействия эшелонов защиты скуд
- 2.1.2 Подробная схема безопасности сети банка.
- 2.2 Bsat – комплекс проверки соответствия сто бр иббс
- 2.3 Характеристика программно-аппаратного комплекса
- 3 Расчет затрат на создание программного продукта
- 1. Расчет на составление синтезированной схемы взаимодействия
- 3.1.1 Расчет длительности этапов проектировки
- 3.1.2 Расчет материальных затрат
- 3.1.3 Расчет фонда оплаты труда (фот) проектировщиков системы
- 3.1.4 Расчет величины страховых взносов во внебюджетные фонды
- 3.1.5 Расчет затрат на амортизацию оборудования, используемого при проектировке системы
- 3.1.6 Расчет затрат на электроэнергию, используемую оборудованием в процессе проектировки схемы
- 3.1.7 Расчет прочих расходов