Алексей Воронин - Мошенничество в платежной сфере. Бизнес-энциклопедия Страница 20

Наличие достаточных ресурсов, в число которых входят: персонал, финансирование, оборудование, материалы и методологии. Руководство часто недооценивает стоимость ресурсов, требуемых для осуществления контроля, особенно в условиях распределенных компьютерных систем и ДБО. Мало того, встречаются ситуации, когда руководство просто не понимает необходимости расходов на те или иные специфические аппаратно-программные решения и квалифицированный персонал, обусловленные требованием обеспечения надежности банковской деятельности.

Контроль и проверки, поскольку адекватный надзор соответствующего типа является фундаментальным фактором реализации надежного ВК[76]. При этом он должен быть адекватным именно применяемым кредитной организацией технологиям и архитектурам вычислительных сетей и систем, и это целесообразно отражать в соответствующих распорядительных документах.

Начинать применять описанную идеологию целесообразно с адаптации процесса УБР в кредитной организации. В наиболее общем случае переход организации к применению какой-либо ТЭБ и внедрение реализующей ее автоматизированной системы логично было бы сопровождать (точнее, как отмечает БКБН, предварять) принятием руководством этой организации решений относительно:

— анализа состава источников новых компонентов банковских рисков;

— внесения изменений в описания типичных банковских рисков;

— содержания адаптации УБР;

— модернизации внутрибанковских процессов, связанной с адаптацией УБР;

— выпуска новых редакций соответствующих внутрибанковских документов.

Организация процесса УБР в высокотехнологичной кредитной организации может быть оценена как пруденциальная, только если его реализация заложена во всей системе управления рисками в ней, к которой следует относить целый ряд ее структурных подразделений (а не только то подразделение, которое непосредственно должно, как говорится, «управлять рисками»). Такое управление целесообразно осуществлять обоснованно (в документах), согласованно, последовательно и контролируемо (со стороны высшего руководства банка) в отношении:

— общей методологии управления рисками, включая анализ формулировок банковских рисков на предмет адекватности изменяющимся способам и условиям банковской деятельности, определяемым конкретными ТЭБ и СЭБ;

— следующих из нее административных, технологических и организационно-технических решений;

— внутрибанковских распорядительных документов, отражающих решения такого рода;

— выработки и внедрения новых управленческих и контрольных функций, что обусловлено спецификой внедряемой ТЭБ;

— положений о структурных подразделениях организации и должностных инструкций менеджеров и исполнителей.

В определении, внедрении и эффективном контроле над выполнением таких новых функций и состоит процесс адекватной адаптации деятельности кредитной организации к условиям применения ТЭБ. По существу, необходим именно стратегический подход к управлению банковскими рисками, которые содержат компоненты, обусловленные угрозами возможного осуществления ППД, то есть к воздействию на источники этих компонентов. В совокупности требуется адаптация корпоративного управления в части управления рисками банковской деятельности при ДБО, политики ее информатизации, ОИБ, ВК, ФМ, правового обеспечения, отношений с провайдерами, претензионной работы, функций колл-центров[77] и т. д.

Говоря о процессе управления информационными технологиями (УНТ), целесообразно обращать внимание на то, что время от времени в связи с развитием бизнеса, внедрением ДБО и новых сервисов для клиентов банков, да и просто с обновлением АПО возникает необходимость в его замене. Такие процедуры должны осуществляться обоснованно и контролируемо, чтобы не происходило прерывания деловой активности и прежде всего — выполнения обязательств кредитной организации перед своими клиентами. В части предотвращения ППД это означает, что в процессе замены АПО не должно возникать новых возможностей для НСД, несанкционированной или непроверенной замены отдельных его компонентов, злонамеренного вмешательства в этот процесс и т. д. Целью таких мероприятий является обеспечение гарантий контролируемости структуры и уровней банковских рисков. Это означает, что все изменения:

— обоснованны;

— санкционированы;

— сделаны;

— учтены (документированы);

— экономически эффективны,

а также то, что сделаны только санкционированные изменения.

Указанный контроль требует скоординированных усилий руководства, менеджеров среднего звена, ИТ-персонала, специалистов по ИТ, ОИБ, ВК, ФМ и аудиторов информационных систем. Фактически речь должна идти о гарантированной безопасности БАС и СЭБ, а также протекающих в них процессов и проходящих сквозь них информационных потоков.

Вместе с тем следует помнить, что до настоящего времени идеальных способов и средств ОИБ в сетевых структурах не существует. Каждое из возможных средств защиты характеризуется индивидуальными специфическими недостатками, а мастерство тех, кто защищает банк и его клиентов от реализации компонентов рисков, связанных с инцидентами информационной безопасности, как раз и заключается в том, чтобы в совокупности «охватить» максимально возможное количество зон источников компонентов банковских рисков такими средствами защиты, недостатки которых не совпадают. Обычно в литературе пропагандируется принцип так называемой эшелонированной обороны, который реализуется как за счет полноты документарного ОИБ и «Политики обеспечения информационной безопасности», так и, например, за счет применения брандмауэров и других средств сетевой защиты различных видов, возможно, разных производителей или основанных на различных аппаратно-программных платформах. При этом желательно и разделение обязанностей по их настройке, использованию и контролю. В то же время целесообразно помнить о том, что хотя брандмауэры действительно являются критично важными компонентами сетевой защиты, они защищают не от всех атак и не все атаки способны обнаруживать. Поэтому после них целесообразно устанавливать компоненты IPDS (Intrusion Protection and Detection System — система предотвращения и обнаружения проникновений).

Сетевая защита и грамотный выбор протоколов для передачи чувствительной информации являются основой ОИБ, особенно в структурах распределенных вычислительных сетей (муниципальных и зональных). Прослушивание сетевого трафика или перехват передаваемой по вычислительным сетям информации может раскрыть более чем достаточно сведений для хакера (прежде всего, инсайдера), стремящегося к получению прав и полномочий наиболее высокого уровня, обеспечивающих бесконтрольный доступ к информационным активам. Такие атаки являются пассивными, вследствие чего их труднее обнаружить, поэтому необходимо применять средства обнаружения «прослушки» в вычислительных сетях. Вместе с тем целесообразно учитывать желательность разнообразия средств не только пассивной, но и активной защиты. Если, например, злоумышленники способны использовать специальные программы-»вынюхиватели»[78] для перехвата, допустим, идентификационных кодовых последовательностей в сетевом трафике, то и в качестве средств сетевой защиты уместно применять программы, позволяющие обнаружить и идентифицировать таких «вынюхивателей». То есть речь здесь идет об известном принципе, который можно было бы переформулировать так: «чтобы поймать хакера, нужен хакер». Это относится и к выявлению источников сетевых атак через Интернет, в данном случае — на банковские автоматизированные системы, о чем желательно иметь представление сотрудникам кредитной организации, отвечающим за ОИБ, поскольку многие зловредные действия в киберпространстве стали в последнее время уголовно наказуемыми, и все больше становится специалистов, занятых в том числе проведением расследований в Сети. Впрочем, как и тех, кто занимается ППД «профессионально», о чем тоже не следует забывать.

Уместно также помнить о том, что защиту лучше строить не как «реактивную», а как «проактивную». Речь идет о том, что целесообразно представлять себе возможные действия хакеров и создавать модели нарушителей и возможных атак, а также сценарии их развития и последствий. На основе этого в том числе строится эффективная система ОИБ, определяются методы и средства защиты данных и операций. Кроме того, для управления средствами сетевой защиты и IPDS лучше организовывать в банке обособленную хорошо защищенную сетевую структуру, доступную для использования исключительно тем сотрудникам, которые отвечают за ОИБ. Иногда применяются специальные сетевые решения, которые позволяют вообще скрыть наличие IPDS от потенциального атакующего злоумышленника, для того чтобы на них нельзя было осуществить превентивную атаку для нанесения последующего ущерба организации. Для этого требуется создание отдельной сети управления комплексом IPDS, что может оказаться чрезмерно затратным и создавать неудобства для администраторов, управляющих этими системами, однако может стать и неизбежным. Если же такое решение принимается, то дальнейшее повышение безопасности самих IPDS может быть связано с организацией для них специальной виртуальной частной сети (VPN — Virtual Private Network), через которую будут реализоваться соответствующие функции управления и контроля и которая сама должна быть гарантировано защищена[79].