Книга. Безопасность электронного банкинга

Книга. Безопасность электронного банкинга
Недавно я посетил конференцию АЗИ, на которой мне подарили книгу "Безопасность электронного банкинга" (А.М.Сычев, П.В.Ревенков, А.Б.Дудка). Я взял её с собой в Екатеринбург и прочитал за время полёта. 

Книга довольно приятная, написана простым и понятным языком. Рекомендую её прочитать руководителям подразделений в банках, а также всем интересующимся темой ИБ в банках. А студенты могут раздёргать её на цитаты для курсовых и дипломных работ.
"Книга состоит из пяти глав, в которых последовательно рассматриваются вопросы, связанные с возрастанием риска ИБ в условиях ЭБ (электронный банкинг), принципами управления рисками ЭБ, организацией внутреннего контроля в банках и обеспечением ИБ ЭБ с учетом требований стандартов Банка России по обеспечению ИБ.
Данная книга не претендует на полное рассмотрение всевозможных угроз и сопутствующих рисков, связанных с внедрением в кредитных организациях систем ЭБ, однако может оказать помощь менеджерам банков, специалистам риск-подразделений, служб внутреннего контроля, подразделений безопасности и финансового мониторинга в разработке внутренних методических документов, направленных на минимизацию последствий проявления источников рисков, связанных с внедрением в кредитных организациях систем ЭБ."
Обратите внимание на заявленную аудиторию читателей. Книга написана не для специалистов по ИБ, а скорее для бизнеса. Но при этом помогает выстроить мостик взаимопонимания между ними. В книге вы не найдёте откровений по ИБ для банков, но если вы этими вопросами ни когда не занимались, то поймёте общую суть. 

В первой части книги рассматриваются причины актуальности темы и даётся общий перечень рисков/угроз/мошеннических схем с комментариями, примерами и рекомендациями по их выявлению и минимизации. Перечень простой и странный, но он будет понятен даже далеким от ИТ/ИБ читателям: фишинг, схемы "быстрого обогащения", лотереи и розыгрыши, "нигерийские письма", опасные инвестиции, виртуальная медицина, виртуальное трудоустройство, горячие торговые точки, "сетевое попрошайничество", ботнеты, сетевые банды (компьютерные злоумышленники).

Собственно про ИБ написано мало, выделил 2 коротких, важных блока:
Одним из условий повышения доверия к технологиями ДБО является обеспечение должного уровня ИБ.
Кредитным организациям нужен разумный компромисс, который строится на нескольких базовых принципах организации ИБ:
  • Стоимость защиты не должна превышать стоимости защищаемых информационных ресурсов;
  • Банк и клиент должны выйти на такой уровень защиты транзакций, когда защита еще удобна и приемлема по стоимости клиенту, а злоумышленнику уже не выгодно совершать преступление из-за высоких расходов на преодоление защиты.

Во второй части книги представлена и детально рассмотрена модель принципов управления рисками электронного банкинга. Модель очень информативна, рекомендую её внимательно изучить. Вот краткий перечень принципов:
А. Наблюдение со стороны Совета директоров и Высшего руководства банка:
1.Эффективное наблюдение со стороны руководства за деятельностью в рамках ЭБ.
2.Организация полноценного контроля безопасности.
3.Полноценный процесс наблюдения за выполнением обязательств и управлением в отношении поставщиков услуг и других третьих сторон, от которых имеется зависимость.
Б.Средства обеспечения безопасности:4.Аутентификация клиентов в операциях ЭБ.
5.Отсутствие отказов от проведения операций и возможность учета для транзакций, осуществляемых в рамках ЭБ.
6.Должные меры по обеспечению разделения обязанностей.
7.Необходимые средства авторизации в системах ЭБ, базах данных и прикладных программах.
8.Целостность данных в транзакциях ЭБ, записях и информации.
9.Организация формирования точных аудиторских записей для транзакций, осуществляемых в рамках ЭБ.
10.Конфиденциальность важнейшей банковской информации.
В.Управление правовыми и репутационными рисками:11.Правильное раскрытие информации для обслуживания в рамках ЭБ.
12.Конфиденциальность клиентской информации.
13.Планирование производительности, непрерывности операций и на случай непредвиденных обстоятельств для обеспечения доступности систем и обслуживания в рамках ЭБ.
14.Планирование реагирования на случайные события.

Третья часть книги содержит общую информацию про банковские риски (кредитный, процентный, риск ликвидности, ценовой, валютный, операционный, риск несоответствия, стратегический, репутационный) и совсем немного (1 страницу) про управление ими. 

Четвёртая (и самая значительная часть) раскрывает вопросы внутреннего аудита и контроля. Но не ИБ, а "управленческого".

И только в последней, пятой части книги и всего на 25 страницах нам рассказывают про ИБ: говорят про защищаемые свойства информации, про перечень требований и рекомендаций ЦБ РФ (дают перечень Писем Банка России), про планирование ИБ, про документирование СУИБ, про принципы ИБ, про использование СКЗИ и многое другое. Полезно, но мало :))).


Подведу итог. Если вы работаете в банковской ИБ и начинаете задумываться о вопросе Information Security Governance (если вы знаете о чем это я), то книгу точно стоит прочитать! А вот каких-то новых идей и откровений про управление и обеспечение ИБ специалисты в книге не найдут, она не про это... 
Alt text

Баги в софте могут влиять на судьбы заключенных в тюрьмах, недобросовестные полицейские находят слабые места в копирайт-защите соцсетей. Смотрите новый выпуск на нашем Yotube канале

Andrey Prozorov

Информационная безопасность в России и мире