Информационная безопасность банков …1101011110010100110101010111101… СКОРОДУМОВ БОРИС ИВАНОВИЧ, к.т.н., доцент кафедры «Информационная безопасность банковских систем» МИФИ, исполнительный директор института банковского дела АРБ www.infoforum.ru www.ibdarb.ru/3/ www.mephi.edu/ БАНКОВСКИЙ СЕКТОР РФ БУДЕТ ОТКРЫТ ПРИ ПРИСОЕДИНЕНИИ РФ к ВТО заявил глава Минэкономразвития РФ Герман Греф (29.09.2005, BizTime.ru). Open Source Forum @ Interop (Форум по Открытому коду) http://www.interop.ru/ программа • 30 мая 2007 года (День 1) • 10.00-10.20 Открытие • 10.20-11.00 Ключевой доклад! «Информационная безопасность на предприятии – взгляд в будущее» Роберт Уоррэлл (Robert Worrall), директор по ИТ, Sun Microsystems, Inc. http://www.interop.ru/?page=conferences&language=rus Программа Форума iFin-2007 "Электронные финансовые услуги в России: Война за мобильность начинается?" 20 февраля • • • • Торжественное открытие Форума Время Место – Конференц-зал 9:20 - 11:20Выступление Организаторов, Генерального спонсора, Спонсоров • 11:20 - 11:50перерыв на кофе • Поток секционных заседаний • "ТЕХНОЛОГИИ ЭЛЕКТРОННЫХ ФИНАНСОВЫХ УСЛУГ“ …………………………………………………………………. Международные банковские Форумы iFin, посвященные дистанционному финансовому сервису проводятся ежегодно http://forum.ifin.ru/2007/about/actions/ … « менеджмент должен осуществляться, прежде всего, на основании постоянного, систематического и целенаправленного снижения издержек производства»… В АРБ летом2003 года выступал, после семинара в ЦБ РФ, Дэвид Хаген, Президент Люксембургской ассоциации по обеспечению безопасности информационных систем (CLUSSIL), начальник отдела аудита информационных технологий Комиссии по надзору за финансовым сектором. Дэвид Хаген сказал, в частности, что, в Европе давно перешли от качественной оценки угроз информационной безопасности к определению количественных величин информационных рисков, которые входят в состав операционных рисков и актуализируются с дальнейшим развитием ИТ. Рекомендации Базельского комитета http:/www.bis.org/publ/ Эффективность банковской системы по Базель-1: Эффективное корпоративное управление Кредитный риск Эффективная система внутреннего Страновой (региональный) риск контроля Рыночный риск Культура контроля Процентный риск Контроль рисков Риск ликвидности Операционный риск источник: Сазыкин Б.В., д.т.н., профессор DoS Отказ в обслуживании Denial of Service - DoS Убытки от хакерской атаки DDOS Downtime Company 1 hour Amazon.com 1.5 hours E*trade 1.5 hours eBay 3 hours ZDNet 3 hours Yahoo 3 hours Buy.com Availability 99.989% 99.983% 99.983% 99.966% 99.966% 99.966% Losses $308,400 $168,000 $50,000 $50,000 $27,500 $20,500 6 компаний - суммарный убыток $ 624 млн. за раз (источник АМТ) 2005 CSI/FBI Лоуренс А. Гордона, Мартин П. Лоеба, Уильям Ласайшайн, Роберт Ричардсон Обзор компьютерных преступлений и безопасности Результаты исследования Базируются на ответах 700-сот респондентов из американских корпораций, правительственных агентств, финансовых и медицинских институтов и университетов. Количество инцидентов, связанных с вебсайтами резко возросло. Потери в долларах по типу атаки CSI представляет отчет о результатах исследования в свободный доступ на сайте GoCSI.com www.deloitte.com "Международный Обзор по Информационной Безопасности за 2005 год" Компания Делойт в СНГ опубликовала новое глобальное исследование. Человеческий фактор – главная угроза информационной безопасности в крупнейших мировых финансовых организациях. Bankir.Ru • Среди новых угроз информационной безопасности, с которыми финансовые организации столкнулись в прошлом году, можно назвать «фишинг», spyware и «фарминг»: • Фишинг — вид онлайнового мошенничества, цель которого — получить идентификационные данные пользователей. Организаторы фишинг-атак рассылают электронные письма от имени популярных брендов и вставляют в них ссылки на фальшивые сайты. Оказавшись на таком сайте, пользователь рискует сообщить преступникам ценную информацию, например, номер своей кредитной карты. • spyware — хищение идентификационных данных пользователей с помощью так называемого шпионского программного обеспечения Фарминг — угроза со стороны интернет-мошенников • Суть фарминга сводится к автоматическому перенаправлению пользователей на фальшивые сайты. • Пользователи могут стать жертвой фарминга в силу уязвимостей браузеров, которые позволяют размещать в адресной строке фальшивые адреса сайтов, уязвимостей операционных систем и уязвимостей DNSсерверов (Domain Name System). Бум фишинга Количество подставных сайтов 2004 - 2005 г. Источник: mi2g, • Больше 100 тыс. новых фишинговых сайтов было создано только за последнюю неделю, согласно отчету исследовательской компании X-Force. Она идентифицировала, изучила и классифицировала 114 тыс. новых фишинговых сайтов с 11го по 18ое июня текущего 2007 года, сообщает mocoNews. Согласно этой информации, 99,8% этих сайтов было создано с помощью средств автоматического фишинга. Гюнтер Ольманн (Gunter Ollmann), глава отдела безопасности IBM ISS, считает, что за последнее время наблюдается колоссальный скачок количества фишинговых сайтов, за созданием которых стоит организованная преступность. Патриция Мартин (Patricia Martin), вице-президент сети банков Regions в США, сказала, что огромное количество банков стали жертвами фишинговых атак за последние несколько месяцев. CNews.ru http://www.cert.uz/ «Report on Widening Gap» "Отчет о расширяющейся пропасти" Риски, вызванные постоянным развитием бизнеса во всем мире, эволюционируют так быстро, что специалисты по информационной безопасности не успевает адекватно отреагировать на них. Компания Ernst&Young выпустила очередную, восьмую, версию своего ежегодного отчета "Global Information Security Survey 2005". Кибератака на Пентагон: 1,5 тыс. компьютеров отключены от сети В результате кибератаки на компьютерную сеть Пентагона около 1,5 тыс. компьютеров оказались отключены от сети, сообщает Associated Press со ссылкой на заявление министра обороны США Роберта Гейтса. О деталях атаки, которая произошла 20 июня 2007г., известно мало. Система должна быть в ближайшее время восстановлена, а пока сотрудники, чьи компьютеры оказались в нерабочем состоянии, будут использовать резервную систему, однако, как отметил Р.Гейтс, с этим связаны "некоторые административные и личные неудобства". 22 июня 2007г CNews.ru Самые серьезные угрозы для данных и корпоративной сети Источник: IDC, 2006 Insider Threat Study: Illicit Cyber Activityin the Banking and Finance Sector Marisa Reddy Randazzo, Ph.D. Dawn Cappelli Michelle Keeney, Ph.D. Andrew Moore,Eileen Kowalski CERT® Coordination Center National Threat Assessment Center Software Engineering Institute United States Secret Service Carnegie Mellon University Washington, DC Pittsburgh, PA (Служба реагирования на компьютерные инциденты) August 2004 http://www.cert.org/archive/pdf/bankfin040820.pdf МОДЕЛЬ НАРУШИТЕЛЯ Статистика преступлений против банков 1990-2000гг (без учета российских банков) 76% 24% преступления третьих лиц преступления, совершенные сотрудниками банка или с их участием Процент потерь, которые связываются с действиями инсайдеров Весеннее заседание ISO/IEC JTC1/SC27. Подкомитет №27 «Безопасность информационных технологий» Совместного технического комитета №1 «Информационные технологии» Международной организации стандартов (ISO) и Международной электротехнической комиссии (IEC) Международная конференция «Проблемы стандартизации безопасности ИТ» Москва, теплоход «Ленин», Северный речной порт ppt Секция «Кибернетический терроризм» российскоамериканского семинара (Президиум РАН, 2003 год) «Истина состоит в том, что мы не знаем, как создавать надежные информационные системы». …Главный вывод – необходима «разработка совершенно новых методов обеспечения безопасности информационных систем». Из выступления руководителей американской делегации Уильяма А. Вульфа (Президент Национальной инженерной академии США) и Аниты К. Джонс (Виргинский университет США). Из выступления руководителей американской делегации Уильяма А. Вульфа (Президент Национальной инженерной академии США) и Аниты К. Джонс (Виргинский ун-т США). Что необходимо сделать? Чтобы повысить уровень кибернетической безопасности необходимо решить следующие 4 первоочередные задачи: • 1. Создать новую модель компьютерной защиты вместо прежней модели «круговой обороны». • 2. Ввести новое определение «компьютерной безопасности». • 3. Перейти к активной обороне. • 4. Скоординировать действия «кибернетических сообществ», законодательной системы и систем надзора… Практическое определение понятия безопасности должно быть более сложным, чем конфиденциальность, целостность и отказ в предоставлении услуги. Свое понятие безопасности должно быть выработано для каждой существующей реалии…. Международная практическая конференция по вопросам борьбы с киберпреступностью и кибертерроризмом 19 апреля 2006 года в Москве В мероприятии приняли участие: Министр внутренних дел РФ Рашид Нургалиев, представители Государственной Думы РФ, Совета Безопасности, международные эксперты. «в 1998 году в системе Министерства внутренних дел были созданы специализированные подразделения по борьбе с киберпреступлениями». Глава МВД РФ генерал армии Рашид Нургалиев «с 2001 года количество компьютерных преступлений на территории России удваивается ежегодно». Начальник управления специальных технических мероприятий МВД генерал-лейтенант милиции Борис Мирошников http://sartraccc.sgap.ru/Press/cyber_crim.htm Новости банка 08.12.2006 В ВТБ 24 пресечена попытка мошенничества с пластиковыми картами http://www.vtb24.ru/news/pressrelease/3020.htm Усилиями специалистов ВТБ 24 в начале декабря были выявлены и пресечены действия группы мошенников, работающей в международных масштабах. В субботу, 2 декабря, сотрудниками банка было зафиксировано несколько подозрительных транзакций в ряде европейских стран по платежным картам Банка. С целью обеспечения безопасности клиентов банком оперативно были заблокированы карты, входящие в зону риска. В соответствии с действующими правилами, незамедлительно были проинформированы платежные системы. Держателям заблокированных карт в кратчайшие сроки бесплатно выпущены новые карты соответствующих категорий. По словам Члена Правления, директора Операционного департамента ВТБ 24 Ольги Канович, «c ростом числа пластиковых карт по всему миру и увеличением оборота по ним растет и число попыток проведения мошеннических операций. Это, к сожалению, общемировая тенденция, от которой не застрахован ни один банк. Накопленные статистические данные и применяемые банком новейшие методы мониторинга транзакций по платежным картам позволяют оперативно отслеживать попытки мошеннических операций и быстро реагировать на них, обеспечивая охрану интересов наших клиентов». Слаженная и оперативная работа служб банка позволила минимизировать ущерб — мошенникам удалось осуществить снятие средств с ограниченного количества карт. Клиентам будут возмещены все средства в полном объеме. Определение операционного риска Базельский комитет (2003 г). Операционный риск – риск возникновения убытков в результате недостатков или ошибок в ходе осуществления внутренних процессов, связанных с людьми и системами, а также вследствие внешних воздействий. Указание ЦБР №70Т от 23.06.04 г. «О типичных банковских рисках». Операционный риск - риск возникновения убытков в результате несоответствия характеру и масштабам деятельности кредитной организации и (или) требованиям действующего законодательства внутренних порядков и процедур проведения банковских операций и других сделок, их нарушения служащими кредитной организации и (или) иными лицами (вследствие некомпетентности, непреднамеренных или умышленных действий или бездействия), несоразмерности (недостаточности) функциональных возможностей (характеристик) применяемых кредитной организацией информационных, технологических и других систем и (или) их отказов (нарушений функционирования), а также в результате воздействия внешних событий. Положение ЦБР от 16 декабря 2003 г. N 242-П "Об организации внутреннего контроля в кредитных организациях и банковских группах" 1.2. Внутренний контроль осуществляется в целях обеспечения: 1.2.1. …Постоянное наблюдение за банковскими рисками; 1.2.2. Достоверности, полноты, объективности и своевременности составления и представления финансовой, бухгалтерской, статистической и иной отчетности (для внешних и внутренних пользователей), а также информационной безопасности (защищенности интересов (целей) кредитной организации в информационной сфере, представляющей собой совокупность информации, информационной инфраструктуры, субъектов, осуществляющих сбор, формирование, распространение и использование информации, а также системы регулирования возникающих при этом отношений). Заинтересованность коммерческих банков (практиков) в решении проблем информационной безопасности 55% Кооперация усилий 89% 82% 30% Оценка стоимости решений по защите информации Учебно-методические рекомендации Трудности технического характера Нормативно-правовые проблемы 69% Результаты опроса АРБ 0% 50% 100% 200 респондентов Технический комитет №362 «Защита информации» Подкомитет №3 «Защита информации в кредитнофинансовой сфере» (Сберегательный банк РФ, “Альфа-банк”, Россельхозбанк, банки «Петрокоммерц» и «Российский кредит», ММВБ, Институт банковского дела АРБ, международная аудиторская фирма KPMG и другие) http://www.techcom3623.ru ЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ ФЕДЕРАЦИИ (БАНК РОССИИ) СТО БР ИББС-1.0-2006 Вестник № 6, 2006 год СТАНДАРТ БАНКА РОССИИ ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ. ОБЩИЕ ПОЛОЖЕНИЯ Москва 2006 http://www.cbr.ru/ СТАНДАРТЫ 2007 РЕКОМЕНДАЦИИ В ОБЛАСТИ СТАНДАРТИЗАЦИИ 2007 Федеральный закон от 10 июля 2002 г. N 86-ФЗ "О Центральном банке Российской Федерации (Банке России)" Статья 3. Целями деятельности Банка России являются: …………………………………………………………… ………………………………. обеспечение эффективного и бесперебойного функционирования платежной системы. Получение прибыли не является целью деятельности Банка России. Федеральный закон «О банках и банковской деятельности» (с изменениями от 31 июля 1998 г., 5, 8 июля 1999 г., 19 июня, 7 августа 2001 г.,21 марта 2002 г.) Глава I. Общие положения Статья 1. Основные понятия настоящего Федерального закона Кредитная организация - юридическое лицо, которое для извлечения прибыли как основной цели своей деятельности . . . . . . . . . Две цели – две архитектуры Федеральный закон от 29.07.2004 г. N 98-ФЗ "О коммерческой тайне" • Статья 3. Основные понятия, используемые в настоящем Федеральном законе. Для целей настоящего Федерального закона используются следующие основные понятия: • 1) коммерческая тайна - конфиденциальность информации, позволяющая ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду. Обобщенный критерий информационной безопасности АБС (выдержка из методики французской банковской комиссии) n R ( Ai Bi Ci ) Rmax i 1 R-суммарные издержки n-количество рисков А-вероятный риск В-стоимостная оценка риска С-стоимость реализации мер защиты Rmax-оценка допустимого риска Закон «О техническом регулировании» Статья 2. Основные понятия • «риск - вероятность причинения вреда…..» • «безопасность - состояние, при котором отсутствует недопустимый риск, связанный с причинением вреда…….» Предложение по определению термина «информационная безопасность» (на «законных» основаниях ФЗ «О техническом регулировании») «информационная безопасность – состояние информации при допустимом риске ее уничтожения, изменения или раскрытия, связанном с причинением вреда владельцу или пользователю информации» Достоинства нового определения: • Гармонизация положений новых стандартов (ГОСТ Р ИСО/МЭК 15408-1-2002, 27001, 17799) и прежнего научнотехнического задела. • Получение метрик информационной безопасности. Спасибо за Ваше внимание! СКОРОДУМОВ БОРИС ИВАНОВИЧ bisko2003@list.ru