Un sistema de seguridad de la información es un conjunto de medidas organizativas y técnicas destinadas a garantizar seguridad de información empresas El principal objeto de protección son los datos que se procesan en un sistema de control automatizado (SCA) y que intervienen en la realización de procesos de trabajo.
Un sistema de seguridad de la información (ISS) puede, en el mejor de los casos, ser adecuado para amenazas potenciales. Por lo tanto, al planificar la protección, es necesario imaginar quién y qué tipo de información puede ser de interés, cuál es su valor y qué sacrificios económicos puede hacer un atacante por ella.
El sistema de seguridad de la información debe ser integral, es decir, utilizar no solo medios técnicos de protección, sino también administrativos y legales. Los SIG deben ser flexibles y adaptables a las condiciones cambiantes. El papel principal en esto lo juegan las medidas administrativas (u organizativas), como el cambio regular de contraseñas y claves, el orden estricto de su almacenamiento, el análisis de los registros de eventos en el sistema, la distribución adecuada de los derechos de usuario y mucho más. El responsable de todas estas acciones debe ser no solo un empleado dedicado, sino también un especialista altamente calificado tanto en el campo de los medios técnicos de protección, como en el campo de las herramientas informáticas en general.
Se distinguen las siguientes áreas principales de protección y sus correspondientes medios técnicos:
Protección contra el acceso no autorizado (UAS) de los recursos de las PC independientes y en red. Esta función se implementa mediante software, firmware y hardware, que se analizarán a continuación con ejemplos específicos.
Proteger servidores y usuarios individuales de Internet de piratas informáticos malintencionados que penetran desde el exterior. Para esto, se utilizan cortafuegos especiales (cortafuegos), que recientemente se han generalizado (ver "PC World", No. 11/2000, p. 82).
La protección de la información secreta, confidencial y personal contra la lectura por parte de personas no autorizadas y su distorsión deliberada se lleva a cabo con mayor frecuencia con la ayuda de herramientas criptográficas, tradicionalmente asignadas a una clase separada. Esto también incluye la confirmación de la autenticidad de los mensajes utilizando medios electrónicos firma digital(EDS). El uso de criptosistemas con claves públicas y EDS tiene grandes perspectivas en la banca y en el ámbito del comercio electrónico. En este artículo no se considera este tipo de protección.
En los últimos años, la protección del software contra la copia ilegal con la ayuda de claves electrónicas se ha generalizado bastante en los últimos años. V esta reseña también se considera en ejemplos concretos.
Protección contra la fuga de información a través de canales laterales (a través de circuitos de alimentación, el canal de radiación electromagnética de una computadora o monitor). Aquí, se utilizan medios probados como la protección de la habitación y el uso de un generador de ruido, así como una selección especial de monitores y componentes de computadora que tienen la zona de radiación más pequeña en el rango de frecuencia que es más conveniente para que los intrusos capturen y detecten de forma remota. decodificar la señal.
La protección contra el software espía instalado directamente en los componentes de la computadora, así como las mediciones de la zona de radiación, la llevan a cabo organizaciones especiales que tienen licencias necesarias las autoridades competentes.
Uno de los objetivos importantes del lado atacante en las condiciones de un conflicto de información es reducir la puntualidad, confiabilidad y seguridad del intercambio de información en el sistema contrario a un nivel que conduzca a una pérdida de control.
En el trabajo “Principios básicos para garantizar la seguridad de la información durante el funcionamiento de elementos de redes informáticas” A.A. Gladkikh y V. E. Dementiev, se da una descripción estructural-esquemática de la confrontación de información.
Los autores escriben que el contenido de la confrontación de información incluye dos componentes, que cubren todo el conjunto de acciones que permiten lograr la superioridad de información sobre el enemigo. Primero parte integral es la contrarrestación al apoyo de información del control del enemigo (contrarrestación de información).
Incluye medidas para violar la confidencialidad de la información operativa, introducir desinformación, bloquear la adquisición de información, el procesamiento y el intercambio de información (incluida la destrucción física de los portadores de información) y bloquear los hechos de la introducción de desinformación en todas las etapas del soporte de información para mando enemigo. La contrarrestación de la información se lleva a cabo mediante la realización de un conjunto de medidas, incluido el reconocimiento técnico de los sistemas de comunicación y control, la interceptación de la información operativa transmitida a través de los canales de comunicación. Se proporciona un diagrama (Fig. 1.1.):
Arroz. 1.1. La estructura de la confrontación de la información.
La segunda parte consiste en medidas para proteger la información, los medios para su almacenamiento, procesamiento, transmisión y automatización de estos procesos de las influencias enemigas (protección de la información), incluidas las acciones para liberar la información (incluida la protección de los portadores de información de la destrucción física) necesarias para resolver el control. y bloquear la desinformación difundida e introducida en el sistema de gestión.
La protección de la información no excluye las medidas de reconocimiento, protección contra la captura de elementos de los sistemas de información, así como para la protección electrónica. Como sabes, los ataques se pueden realizar tanto desde fuera de la red (ataques de red) como a través de canales internos (ataques físicos). Por lo tanto, la protección de la información también se divide en dos tipos: externa e interna. El bando atacante intentará utilizar ambos tipos de ataques para lograr sus objetivos.
El escenario de sus acciones es utilizar ataques físicos para apoderarse de alguna información sobre la red, y luego utilizar ataques de red para realizar accesos no autorizados (UAS) a los componentes de toda la red del sistema. Según las estadísticas, la proporción de ataques físicos es del 70% de numero total ataques cometidos. La figura 1.2 ofrece una evaluación de la AU cometida durante los ataques físicos a las redes informáticas, mientras que, para mayor claridad, se brindan datos comparativos para varias categorías de violaciones en una escala de diez puntos. Se nota que prevalece la 5ª posición en todas las categorías.
Las violaciones más comunes en la red son: recopilar nombres y contraseñas, adivinar contraseñas, realizar acciones que conducen al desbordamiento de los dispositivos de búfer, etc.
Arroz. 1.2. Evaluación de AU en el curso de ataques físicos a redes informáticas en un sistema de diez puntos
De hecho, en el caso de obtener acceso a equipos de oficina, escritorios de empleados, sistemas informáticos y dispositivos de red, el lado atacante aumenta drásticamente las posibilidades de éxito para estudiar las vulnerabilidades en el sistema de protección y realizar un ataque efectivo.
En el libro de A.A. Gladkikh y V. E. Dementiev proporciona un método matemático para calcular el factor de protección:
La búsqueda de vulnerabilidades en el complejo de información y liquidación (CIS) toma un cierto intervalo de tiempo, mientras que el ataque se lleva a cabo en el intervalo. Aquí >> , aunque es bastante pequeño, y > 0. Definámoslo como un factor de protección. Si el CFM se considera invulnerable, entonces el atacante utiliza información a priori para superar la defensa y realizar un ataque al sistema. Supondremos que el sistema de protección es pasivo en, en, el recurso del sistema aumenta en un factor de.
Los valores de los parámetros se proporcionan debido a cambios oportunos en la configuración o preparación de la protección en lugar de los parámetros reales del CFM, falsos, engañosos. Es recomendable destacar la preparación de dichos parámetros como un área de protección independiente, sin vincularla con una serie de tareas de fondo para garantizar la seguridad del CFM.
Amenazas a la seguridad de la información en los sistemas informáticos y su clasificación.
Una amenaza a la seguridad de la información es un evento, proceso o fenómeno potencial que puede conducir a la destrucción, pérdida de integridad, confidencialidad o disponibilidad de la información.
Todo listo amenazas potenciales La seguridad de la información en los sistemas de información automatizados (AIS) o en los sistemas informáticos (CS) se puede dividir en dos clases: amenazas aleatorias y amenazas deliberadas. Las amenazas que no están relacionadas con las acciones deliberadas de los intrusos y se realizan en momentos aleatorios se denominan aleatorias o no intencionales.
Las amenazas aleatorias incluyen: desastres naturales y accidentes, averías y fallos de medios técnicos, errores en el desarrollo de AIS o CS, errores algorítmicos y de software, errores de usuario y personal de servicio.
La implementación de amenazas de esta clase conduce a la mayor pérdida de información (según las estadísticas, hasta el 80% del daño causado a los recursos de información del CS por cualquier amenaza). En este caso, puede ocurrir destrucción, violación de la integridad y disponibilidad de la información. La confidencialidad de la información se viola con menos frecuencia, pero esto crea las condiciones previas para la influencia maliciosa en la información. Según las mismas estadísticas, hasta el 65 % de las brechas de seguridad de la información se producen únicamente como resultado de errores del usuario y del personal de servicio.
Cabe señalar que el mecanismo para la implementación de amenazas aleatorias se ha estudiado bastante bien y se ha acumulado una experiencia considerable para contrarrestar estas amenazas. La tecnología moderna para el desarrollo de hardware y software, un sistema eficiente para la operación de sistemas de información automatizados, incluida la redundancia obligatoria de información, puede reducir significativamente las pérdidas por la implementación de amenazas de esta clase.
Las amenazas que están asociadas con las acciones maliciosas de las personas, y estas acciones no solo son de naturaleza aleatoria, sino que, por regla general, son impredecibles, se denominan deliberadas.
Las amenazas deliberadas incluyen:
Espionaje y sabotaje tradicional o universal,
Acceso no autorizado a la información,
Radiaciones e interferencias electromagnéticas,
Modificación no autorizada de estructuras,
Programas maliciosos.
Los métodos y medios de espionaje y sabotaje siguen siendo relevantes como fuentes de impacto indeseable en los recursos de información. Los métodos de espionaje y sabotaje incluyen: espionaje, vigilancia visual, robo de documentos y medios de comunicacion información, robo de programas y atributos de los sistemas de protección, soborno y chantaje de empleados, recolección y análisis de medios de almacenamiento de máquinas de desecho, incendios provocados, explosiones, ataques armados por sabotaje o grupos terroristas.
El acceso no autorizado a la información es una violación de las reglas de control de acceso utilizando equipos informáticos estándar o sistemas automatizados.
El acceso no autorizado es posible:
En ausencia de un sistema de control de acceso;
En caso de falla o fallo en los sistemas informáticos;
En caso de actuaciones erróneas de los usuarios o del personal de mantenimiento de los sistemas informáticos;
En caso de errores en el sistema de distribución de acceso;
Al falsificar credenciales.
El proceso de procesamiento y transmisión de información por los medios técnicos de los sistemas informáticos va acompañado de radiación electromagnética hacia el espacio circundante y la inducción de señales eléctricas en líneas de comunicación, señalización, puesta a tierra y otros conductores. A todo esto se le denominó: “Radiaciones e interferencias electromagnéticas espurias” (PEMIN). Los intrusos pueden utilizar la radiación electromagnética y las captaciones tanto para obtener información como para destruirla.
Una gran amenaza para la seguridad de la información en los sistemas informáticos es una modificación no autorizada de la estructura algorítmica, del software y técnica del sistema. Una de las principales fuentes de amenazas a la seguridad de la información en el SC es el uso de programas especiales, apodado "programas de demolición".
Según el mecanismo de acción, los saboteadores se dividen en cuatro clases:
- "bombas lógicas";
- "gusanos";
- "Caballos de Troya";
- "virus informáticos".
Bombas Lógicas- estos son programas o sus partes que están permanentemente ubicados en una computadora o sistemas informáticos (CS) y se ejecutan solo si ciertas condiciones. Ejemplos de tales condiciones pueden ser: el inicio de una fecha dada, la transición del COP a un cierto modo de operación, la ocurrencia de ciertos eventos un número dado de veces, y similares.
gusanos- estos son programas que se ejecutan cada vez que se inicia el sistema, tienen la capacidad de moverse en sistemas informáticos (CS) o en la red y autorreproducir copias. La reproducción de programas similar a una avalancha conduce a la sobrecarga de los canales de comunicación, la memoria y el bloqueo del sistema.
caballos de Troya son programas obtenidos modificando o agregando comandos explícitamente a los programas de usuario. Cuando se ejecutan posteriormente programas de usuario, se ejecutan funciones no autorizadas, modificadas o nuevas junto con las funciones especificadas.
Virus informáticos- estos son pequeños programas que, después de ser introducidos en una computadora, se distribuyen de forma independiente creando sus copias y, bajo ciertas condiciones, tienen un impacto negativo en el CS.
Todos los virus informáticos se clasifican según los siguientes criterios:
- por hábitat;
- según el método de infección;
- según el grado de peligrosidad de los efectos nocivos;
- según el algoritmo de operación.
Por hábitat, los virus informáticos se dividen en:
- red;
- Archivo;
- bota;
- conjunto.
Habitat red Los virus son elementos de las redes informáticas. Archivo Los virus se encuentran en archivos ejecutables. Bota Los virus residen en los sectores de arranque de los dispositivos de almacenamiento externo. Conjunto Los virus se alojan en varios hábitats. Por ejemplo, virus de archivos de arranque.
Los virus informáticos se dividen en:
- residente;
- no residente.
Los virus residentes, después de su activación, se trasladan total o parcialmente de su hábitat a la memoria RAM de la computadora. Estos virus, que utilizan, por regla general, modos de operación privilegiados que solo están permitidos por el sistema operativo, infectan el entorno y, bajo ciertas condiciones, implementan una función de destrucción.
Los virus no residentes ingresan a la RAM de la computadora solo mientras dura su actividad, durante la cual realizan las funciones de sabotaje e infección. Luego abandonan por completo la memoria de trabajo, permaneciendo en el hábitat.
Según el grado de peligrosidad para los recursos de información del usuario, los virus se dividen en:
- inofensivo;
- peligroso;
- muy peligroso.
Sin embargo, tales virus todavía causan algún daño:
- consumir recursos del sistema informático;
- puede contener errores que causen consecuencias peligrosas para los recursos de información;
- los virus creados anteriormente pueden provocar violaciones del algoritmo regular del sistema durante la actualización sistema operativo o ferretería.
Los virus peligrosos causan una disminución significativa en la eficiencia de un sistema informático, pero no conducen a una violación de la integridad y confidencialidad de la información almacenada en los dispositivos de almacenamiento.
Los virus muy peligrosos tienen los siguientes efectos nocivos:
- causar una violación de la confidencialidad de la información;
- destruir información;
- provocar modificaciones irreversibles (incluido el cifrado) de la información;
- bloquear el acceso a la información;
- provocar fallas en el hardware;
- dañar la salud de los usuarios.
Según el algoritmo de funcionamiento, los virus se dividen en:
- no cambie el hábitat durante su distribución;
- cambiando el hábitat a medida que se propagan.
La organización de seguridad de la información debe usar personaje complejo y basarse en un análisis profundo de las posibles consecuencias negativas. Es importante no perder ningún aspecto significativo. El análisis de las consecuencias negativas implica la identificación obligatoria de posibles fuentes de amenazas, factores que contribuyen a su manifestación y, en consecuencia, la identificación de amenazas reales a la seguridad de la información. En el curso de dicho análisis, es necesario asegurarse de que todas las posibles fuentes de amenazas sean identificadas, identificadas y comparadas con las fuentes de amenazas, todos los posibles factores (vulnerabilidades) inherentes al objeto de protección, todas las fuentes y factores identificados se comparan con las amenazas a la seguridad de la información.
Pagos bancarios no en efectivo. En esta parte, nos centraremos en la formación de requisitos para el sistema de seguridad de la información (IS) creado.
- el papel de la seguridad en la vida de una organización comercial;
- el lugar del servicio de seguridad de la información en la estructura de gestión de la organización;
- aspectos prácticos de la seguridad;
- aplicación de la teoría de la gestión de riesgos en la seguridad de la información;
- principales amenazas y daños potenciales de su implementación;
- compuesto requisitos obligatorios presentado al sistema IS de pagos bancarios no monetarios.
El papel de la seguridad en la vida de una organización comercial
En el entorno económico ruso moderno, hay muchos varios tipos organizaciones Puede ser empresas estatales(FGUP, MUP), fondos públicos y, finalmente, las organizaciones mercantiles ordinarias. La principal diferencia entre estos últimos y todos los demás es que su objetivo principal es maximizar las ganancias, y todo lo que hacen va encaminado precisamente a esto.
Ganar organización comercial puede ser de diferentes maneras, pero la ganancia siempre se define de la misma manera: son los ingresos menos los gastos. Al mismo tiempo, si la seguridad no es la actividad principal de la empresa, entonces no genera ingresos, y si es así, entonces para que esta actividad tenga sentido, debe reducir los costos.
El efecto económico de garantizar la seguridad empresarial es minimizar o eliminar por completo las pérdidas derivadas de las amenazas. Pero también debe tenerse en cuenta que la implementación de medidas de protección también cuesta dinero y, por lo tanto, la verdadera ganancia de la seguridad será igual a la cantidad ahorrada de la implementación de amenazas a la seguridad, menos el costo de las medidas de protección.
Una vez, tuvo lugar una conversación entre el propietario de un banco comercial y el jefe del servicio de seguridad de su organización sobre el tema del efecto económico de garantizar la seguridad. La esencia de esta conversación refleja con mayor precisión el papel y el lugar de la seguridad en la vida de una organización:
La seguridad no debe interponerse en el camino de los negocios.
- Pero hay que pagar por la seguridad, y hay que pagar por su ausencia.
Un sistema de seguridad ideal es el punto medio entre las amenazas neutralizadas, los recursos gastados en él y la rentabilidad del negocio.
El lugar del servicio de seguridad de la información en la estructura de gestión de la organización.
La unidad estructural responsable de garantizar la seguridad de la información puede denominarse de otra manera. Puede ser un departamento, departamento o incluso un departamento de seguridad de la información. Además, para la unificación, esta unidad estructural simplemente se denominará servicio de seguridad de la información (ISS).
Las razones para la creación de la SIB pueden ser diferentes. Destacamos dos principales:
- Miedo.
La dirección de la empresa es consciente de que los ataques informáticos o las fugas de información pueden tener consecuencias catastróficas y se esfuerza por neutralizarlas. - Garantizar el cumplimiento legal.
Operando requerimientos legales imponen obligaciones a la empresa para formar el SNI, y la alta dirección se esfuerza por cumplirlas.
Desde el punto de vista de la subordinación del SIS, solo existe una restricción prescrita en las disposiciones anteriores del Banco Central de la Federación de Rusia: "El servicio de seguridad de la información y el servicio de informatización (automatización) no deben tener un curador común". , de lo contrario, la libertad de elección permanece en la organización. Considere las opciones típicas.
Tabla 1.
| Subordinación | Peculiaridades |
|---|---|
| NIB como parte de TI | 1. La organización de la protección solo es posible contra un intruso externo. El principal atacante interno probable es un empleado de TI. Es imposible luchar contra él como parte de TI. 2. Violación de los requisitos del Banco de Rusia. 3. Diálogo directo con TI, implementación simple de sistemas de seguridad de la información |
| SIB como parte del servicio de seguridad | 1. Protección contra acciones de intrusos tanto internos como externos. 2. SB: un único punto de interacción para la alta dirección sobre cualquier problema de seguridad. 3. La complejidad de la interacción con TI, ya que la comunicación se da a nivel de los jefes de TI y del Consejo de Seguridad, y este último, por regla general, tiene conocimientos mínimos en TI. |
| NIB reporta al Presidente de la Junta | 1. NIB tiene potencias máximas y su propio presupuesto. 2. Se crea un punto adicional de control e interacción para el Presidente del Directorio, que requiere cierta atención. 3. Posibles conflictos entre la SS y el NIS en cuanto a áreas de responsabilidad en la investigación de incidentes. 4. Un SIS separado puede equilibrar “políticamente” los poderes del Consejo de Seguridad. |
Al interactuar con otras divisiones estructurales y la alta dirección del banco, el NIS de cualquier organización tiene una un problema común- evidencia de la necesidad de su existencia (financiamiento).
El problema es que la cantidad de ahorro de las amenazas de seguridad de la información neutralizadas no se puede determinar con precisión. Si la amenaza no se realiza, entonces no hay daño por ello, y dado que no hay problemas, entonces no hay necesidad de resolverlos.
Para solucionar este problema, el NIB puede actuar de dos formas:
- Mostrar importancia económica
Para ello, necesita llevar un registro de incidentes y evaluar el daño potencial de su implementación. La cantidad total de daño potencial puede considerarse como dinero ahorrado. Para eliminar desacuerdos sobre el monto de los daños evaluados, se recomienda desarrollar y aprobar una metodología para su evaluación con anticipación. - Manejar relaciones públicas internas
Los empleados ordinarios de la organización generalmente no saben lo que hace el SIS y consideran a sus empleados holgazanes y charlatanes que interfieren con el trabajo, lo que genera conflictos innecesarios. Por lo tanto, el ISS debe comunicar periódicamente los resultados de sus actividades a sus colegas, hablar sobre las amenazas actuales del ISS, realizar capacitaciones y sensibilizarlos. Cualquier empleado de la empresa debe sentir que si tiene un problema relacionado con SI, puede comunicarse con el ISS y allí lo ayudarán.
Aspectos prácticos de la seguridad.
Destaquemos los aspectos prácticos de garantizar la seguridad, que deben comunicarse a la alta dirección y otros. divisiones estructurales, y también se tiene en cuenta al construir un sistema de seguridad de la información:
- Garantizar la seguridad es un proceso continuo e interminable. El grado de protección logrado con su ayuda fluctuará con el tiempo dependiendo de los factores dañinos que influyan y los esfuerzos destinados a neutralizarlos.
- La seguridad no puede prestarse a posteriori, es decir, en el momento en que la amenaza ya se ha realizado. Para neutralizar una amenaza, el proceso de seguridad debe comenzar antes de que se intente.
- La mayoría de las amenazas son de naturaleza antropogénica, es decir, las organizaciones son amenazadas de una forma u otra por personas. Como dicen los forenses informáticos: "No son los programas los que roban, la gente roba".
- Las amenazas deben ser neutralizadas por personas cuyas se proporciona seguridad,
ya sean dueños de negocios o clientes. - La seguridad es un derivado de la cultura corporativa. La disciplina requerida para implementar salvaguardas no puede ser mayor que la disciplina general de la organización.
Gestión de riesgos
La seguridad de la información es solo una de las áreas de seguridad ( seguridad economica, seguridad física, Seguridad contra incendios, …). Además de las amenazas a la seguridad de la información, cualquier organización está expuesta a otras amenazas igualmente importantes, por ejemplo, amenazas de robo, incendios, fraude por parte de clientes sin escrúpulos, amenazas de violación de requisitos obligatorios (compliance), etc.
En última instancia, a la organización no le importa de qué amenaza específica sufrirá pérdidas, ya sea robo, incendio o piratería informática. El tamaño de las pérdidas (daños) es importante.
Además de la cantidad de daño, un factor importante en la evaluación de las amenazas es la probabilidad de implementación, que depende de las características de los procesos comerciales de la organización, su infraestructura, los factores maliciosos externos y las contramedidas tomadas.
Una característica que tiene en cuenta el daño y la probabilidad de que se materialice una amenaza se denomina riesgo.
Nota. definición científica el riesgo se puede obtener en GOST R 51897-2011
El riesgo se puede medir tanto cuantitativamente, por ejemplo, multiplicando el daño por probabilidad, como cualitativamente. Se realiza una evaluación cualitativa cuando no se cuantifica ni el daño ni la probabilidad. El riesgo en este caso se puede expresar como un conjunto de valores, por ejemplo, el daño es "medio", la probabilidad es "alta".
La evaluación de todas las amenazas como riesgos permite a la organización utilizar de manera efectiva sus recursos para neutralizar exactamente aquellas amenazas que son más significativas y peligrosas para ella.
La gestión de riesgos es el enfoque principal para construir un sistema de seguridad integral y rentable para una organización. Además, casi todos los bancos regulaciones construido sobre la base de las recomendaciones de gestión de riesgos del Comité de Supervisión Bancaria de Basilea.
Principales amenazas y evaluación de los daños potenciales de su implementación
Resaltemos las principales amenazas inherentes a las actividades de realizar pagos bancarios que no sean en efectivo y determinemos el daño máximo posible de su implementación.
Tabla 2.
Aquí, la actividad analizada incluye un conjunto de procesos de negocio:
- implementación de relaciones de corresponsalía con bancos asociados y el Banco Central de la Federación Rusa;
- hacer arreglos con los clientes.
Requisitos obligatorios para el sistema IS de pagos no monetarios
Al considerar las principales amenazas, evaluamos su daño, pero no evaluamos la probabilidad de su implementación. El hecho es que si el daño máximo posible es el mismo para cualquier banco, entonces la probabilidad de implementación de amenazas diferirá de un banco a otro y dependerá de las medidas de protección aplicadas.
Una de las principales medidas para reducir la probabilidad de amenazas a la seguridad de la información será:
- implementación de mejores prácticas para la gestión de TI e infraestructura;
- creación de un sistema integrado de seguridad de la información.
El principal matiz que se debe tener en cuenta en materia de seguridad de la información es que esta especie las actividades están estrictamente reguladas por el estado y el Banco Central. No importa cómo se evalúen los riesgos, no importa cuán pequeños sean los recursos disponibles para el banco, su protección debe cumplir con los requisitos establecidos. De lo contrario, no podrá funcionar.
Consideremos los requisitos para organizar la seguridad de la información que se imponen en el proceso comercial de las relaciones de corresponsalía con el Banco de Rusia.
Tabla 3
Documentos que establecen requisitos |
Castigo por incumplimiento |
|---|---|
| Protección de datos personales. Motivo: los documentos de pago contienen datos personales (nombre completo del pagador / destinatario, su dirección, detalles del documento de identidad) |
|
| Ley Federal "Sobre Datos Personales" del 27 de julio de 2006 No. 152-FZ |
, - hasta 75 mil rublos. multa., - hasta 2 años de prisión |
| Decreto del Gobierno de la Federación Rusa del 1 de noviembre de 2012 No. 1119 "Sobre la aprobación de los requisitos para la protección de datos personales durante su procesamiento en sistemas de información de datos personales" | |
| Orden del FSTEC de Rusia del 18 de febrero de 2013 No. 21 "Sobre la aprobación de la Composición y el contenido de las medidas organizativas y técnicas para garantizar la seguridad de los datos personales cuando se procesan en los sistemas de información de datos personales" (Registrado en el Ministerio de Justicia de Rusia el 14 de mayo de 2013 N 28375) | |
| Orden del Servicio Federal de Seguridad de Rusia de fecha 10 de julio de 2014 No. 378 “Sobre la aprobación de la Composición y el contenido de las medidas organizativas y técnicas para garantizar la seguridad de los datos personales cuando se procesan en sistemas de información de datos personales utilizando herramientas de protección de información criptográfica necesario para realizar establecido por el Gobierno Federación Rusa requisitos para la protección de datos personales para cada uno de los niveles de seguridad "(Registrado en el Ministerio de Justicia de Rusia el 18 de agosto de 2014 N 33620) | |
| Ordenanza del Banco de Rusia No. 3889-U del 10 de diciembre de 2015 "Sobre la determinación de amenazas a la seguridad de los datos personales relevantes en el procesamiento de datos personales en los sistemas de información de datos personales" | |
| Garantizar la protección de la información en el sistema de pagos nacional. Base - una institución de crédito que realiza transferencias Dinero, es parte del sistema de pago nacional. |
|
| Ley Federal "Sobre el Sistema Nacional de Pagos" del 27 de junio de 2011 No. 161-FZ | La cláusula 6 del art. 20 de la Ley Federal del 2 de diciembre de 1990 No. 395-1 "Sobre bancos y actividades bancarias" - revocación de licencia |
| Decreto del Gobierno de la Federación Rusa del 13 de junio de 2012 No. 584 "Sobre la aprobación del Reglamento sobre la protección de la información en el sistema de pago" | |
| Reglamento del Banco de Rusia No. 382-P del 9 de junio de 2012 “Sobre los requisitos para garantizar la protección de la información al realizar transferencias de dinero y sobre el procedimiento para que el Banco de Rusia ejerza control sobre el cumplimiento de los requisitos para garantizar la protección de la información al realizar transferencias de dinero” | |
| Reglamento del Banco de Rusia de fecha 24 de agosto de 2016 No. 552-P "Sobre los requisitos para la protección de la información en el sistema de pago del Banco de Rusia" | |
| Documentación operativa para CIPF SKAD Signature | |
| Garantizar la seguridad de la infraestructura de información crítica de la Federación Rusa. La base es el banco en virtud del inciso 8 del art. 2 FZ del 26 de julio de 2017 No. 187-FZ es un tema de infraestructura de información crítica |
|
| Ley Federal No. 187-FZ del 26 de julio de 2017 "Sobre la Seguridad de la Infraestructura de Información Crítica de la Federación Rusa" | – hasta 8 años de prisión |
| Decreto del Gobierno de la Federación Rusa del 8 de febrero de 2018 N 127 "Sobre la aprobación de las Reglas para categorizar objetos de infraestructura de información crítica de la Federación Rusa, así como una lista de indicadores de criterios para la importancia de objetos de infraestructura de información crítica de la Federación Rusa y sus valores" |
|
| Orden del FSTEC de Rusia con fecha 21 de diciembre de 2017 N 235 "Sobre la aprobación de los Requisitos para la creación de sistemas de seguridad para objetos significativos de la infraestructura de información crítica de la Federación Rusa y garantizar su funcionamiento" (Registrado en el Ministerio de Justicia de Rusia el 22 de febrero de 2018 N 50118) | |
| Orden del FSTEC de Rusia del 6 de diciembre de 2017 N 227 "Sobre la aprobación del Procedimiento para mantener un registro de objetos significativos de infraestructura de información crítica de la Federación Rusa" (Registrado en el Ministerio de Justicia de Rusia el 8 de febrero de 2018 N 49966) | |
| Decreto del Presidente de la Federación Rusa del 22 de diciembre de 2017 N 620 "Sobre la mejora del sistema estatal para detectar, prevenir y eliminar las consecuencias de los ataques informáticos a los recursos de información de la Federación Rusa" | |
| Requisitos de protección de la información establecidos por el acuerdo sobre el intercambio de mensajes electrónicos al transferir fondos dentro del sistema de pago del Banco de Rusia. Fundación - este acuerdo concluir todo organizaciones de crédito para el intercambio electrónico de documentos de pago con el Banco de Rusia. |
|
| Acuerdo de intercambio ES estándar con anexos. Documentación para AWS KBR, UTA (los requisitos para su uso se reflejan en la cláusula 1. Anexo 3 del Acuerdo) |
cláusula 9.5.4 del Acuerdo - rescisión unilateral acuerdos iniciados por el Banco de Rusia. |
También denotamos Requerimientos adicionales a la organización de la seguridad de la información. Estos requisitos se aplicarán solo a algunos bancos y solo en algunos casos:
Tabla 4 
Como podemos ver, los requisitos AVZ.1 y AVZ.2 decir que la protección antivirus debe ser. Estos requisitos no regulan cómo configurarlo específicamente, en qué nodos de red instalarlo (Carta del Banco de Rusia del 24 de marzo de 2014 N 49-T recomienda que los bancos tengan antivirus de varios fabricantes en sus estaciones de trabajo, en servidores y en pasarelas).
La situación es similar con la segmentación de una red informática: el requisito ZIS.17. El documento solo prescribe la necesidad de utilizar esta práctica para la protección, pero no dice cómo debe hacerlo la organización.
Cómo se configuran específicamente las herramientas de seguridad de la información y cómo se implementan los mecanismos de seguridad se aprende de un privado términos de referencia en el sistema de seguridad de la información formado en base a los resultados del modelado de amenazas a la seguridad de la información.
Por lo tanto, un sistema integrado de seguridad de la información debe ser un conjunto de procesos comerciales de protección (en la literatura inglesa, controles), construidos teniendo en cuenta la implementación de los requisitos obligatorios, las amenazas actuales y las prácticas de seguridad de la información.
Todos los peligros son entonces reales cuando afectan a objetos específicos (objetos de protección). Los objetos de protección, así como las fuentes de peligro, son diversos. Todos los componentes de nuestro entorno pueden protegerse de los peligros. El principal estado deseado de los objetos protegidos es seguro.
Seguridad - el estado del objeto de protección, en el que el impacto sobre él de todos los flujos de materia, energía e información no exceda los valores máximos permitidos. Hablando de la implementación del estado de seguridad, es necesario considerar simultáneamente el objeto de protección y la totalidad de los peligros que actúan sobre él. Actualmente existen los siguientes sistemas de seguridad:
un sistema de seguridad personal y colectiva de una persona en el proceso de su vida;
sistema de seguridad ambiente(biosfera);
sistema de seguridad del estado;
sistema de seguridad mundial.
Los sistemas de seguridad humana tienen una prioridad histórica, que en todas las etapas de su desarrollo se ha esforzado constantemente por garantizar el confort, la seguridad personal y la preservación de su salud.
1.4. Principios y métodos de seguridad
Principio - esto es una idea, un pensamiento, una posición básica. Método - esta es una forma, una forma de lograr el objetivo, basada en el conocimiento de los patrones más generales. Los principios y métodos para garantizar la seguridad se refieren a métodos privados y especiales, en contraste con métodos comunes inherente a la dialéctica y la lógica.
Los principios de seguridad se pueden dividir en rectores, técnicos, organizativos y de gestión.
Los orientadores incluyen: el principio de la actividad del operador, la humanización de la actividad, la destrucción, la sustitución del operador, la clasificación, la eliminación del peligro, la coherencia, la reducción del riesgo.
Los técnicos incluyen: el principio de bloqueo, evacuación, sellado, protección a distancia, compresión, fuerza, eslabón débil, flegmatización, blindaje.
Los organizacionales incluyen: el principio de protección del tiempo, información, incompatibilidad, racionamiento, selección de personal, consistencia, ergonomía.
La gestión incluye: el principio de adecuación del control, la retroalimentación, la responsabilidad, la planificación, el estímulo, la gestión, la eficiencia.
Expliquemos algunos principios con ejemplos de su implementación.
El principio de regulación es establecer dichos parámetros, cuya observancia asegura la protección de una persona del peligro correspondiente. Por ejemplo, MPC (concentraciones máximas permisibles), MPE (emisiones máximas permisibles), MPC (niveles máximos permisibles), etc.
El principio del eslabón débil es que para garantizar la seguridad, se introduce un elemento en el sistema (objeto) en consideración, que está diseñado de tal manera que percibe o reacciona a un cambio en el parámetro correspondiente, evitando un peligroso fenómeno. Un ejemplo de la implementación de este principio son los discos de ruptura, fusibles y otros elementos.
El principio de la información es la transferencia y asimilación de información por parte del personal, cuya implementación garantiza un nivel adecuado de seguridad. Ejemplos de implementación: capacitación, instrucción, etiquetas de advertencia, etc.
El principio de clasificación (categorización) consiste en dividir los objetos en clases y categorías según los signos asociados con los peligros. Por ejemplo: zonas de protección sanitaria, categorías de producción por riesgo de explosión e incendio, etc.
Para considerar los métodos de seguridad, presentamos las siguientes definiciones.
homosfera - espacio ( zona de trabajo), donde la persona se encuentra en el proceso de la actividad en cuestión.
Noxosfera - un espacio en el que los peligros existen constantemente o surgen periódicamente.
La combinación de homosfera y noxosfera es inaceptable desde el punto de vista de la seguridad.
La seguridad se proporciona mediante tres métodos principales: A B C.
Método A consiste en la separación espacial y (o) temporal de la homosfera y la noxosfera. Esto se consigue mediante el control remoto, la automatización, la robotización, etc.
Método B consiste en normalizar la noxosfera eliminando peligros. Este es un conjunto de medidas que protegen a una persona del ruido, gas, polvo y otros medios de protección colectiva.
Método B contiene una gama de técnicas y medios destinados a adaptar a una persona al entorno apropiado y aumentar su seguridad. Este método implementa las posibilidades de selección profesional, formación, impacto psicológico, equipos de protección personal.
En condiciones reales, por regla general, estos métodos se usan juntos o en varias combinaciones.
Las empresas modernas se caracterizan por el rápido desarrollo de su entorno de información. La acumulación constante de información requiere su adecuado procesamiento y almacenamiento.
Como resultado del trabajo con datos, una tarea importante es la organización de la protección de la información en la empresa.
Si el trabajo en esta dirección no está debidamente organizado, es posible que fracase en el entorno económico moderno, que no siempre se caracteriza por una competencia benévola.
A menudo, la situación es diferente, las empresas competidoras están tratando de obtener información sobre su competidor de la manera correcta e incorrecta para adelantarse a él en el desarrollo y avance en el mercado.
Hoy en día, la protección de la información en una empresa es un conjunto de medidas que tienen como objetivo mantener la integridad, proteger contra el robo y la sustitución de los siguientes datos:
- base de datos de clientes y socios;
- gestión de documentos electrónicos de la empresa;
- matices técnicos de la empresa;
- secretos comerciales.
Para gestionar con éxito los enormes flujos de datos enumerados, una empresa debe tener un sistema de gestión de seguridad de la información.
Formas de proteger la información.
Debe trabajar continuamente para resolver el problema de proteger la información importante y distinguirse por una buena protección contra amenazas y ataques externos.
Evaluación de riesgos
El sistema de seguridad de la información en la empresa debe desarrollarse teniendo en cuenta los riesgos que son más comunes en el entorno de la información de las empresas modernas.
Los principales incluyen:
- intenta obtener acceso a datos que no están disponibles para usuarios no autorizados sistema de informacion empresas;
- cambio y sustitución de información no autorizados, que pueden conducir a la pérdida de reputación e imagen por parte de las empresas;
- intentos de acceso y robo de información confidencial, secreta y técnica.
Según los riesgos enumerados, se deben seleccionar métodos y algoritmos para proteger la información importante para la empresa.
Para resolver positivamente este problema, se debe desarrollar e implementar una política de información en la empresa, según la cual se clasifican los datos, que pueden tener acceso abierto o solo cerrado.
Posibles fuentes de problemas
Para elegir los métodos correctos para proteger la información en una empresa y usarlos de manera efectiva, se deben determinar las fuentes de posibles amenazas de pérdida de datos.
Los principales incluyen:
- fallas en el sistema de hardware empresarial que proporciona procesamiento y almacenamiento de datos;
- fraude para obtener acceso a la información;
- tergiversación de datos con el fin de obtener un beneficio o perjuicio indebido para la empresa;
- falsificación de datos o su robo utilizando diversos hardware y software;
- robo de información con la ayuda de dispositivos que utilizan radiación electromagnética, señales acústicas, observación visual para este fin.
Las amenazas enumeradas pueden provenir de terceros que necesitan ciertos datos de la empresa para sus propios intereses, empresas competidoras o empleados de organizaciones que descuidadamente llevan a cabo sus responsabilidades funcionales, o decidir subcontratar datos confidenciales a la competencia.
Si la amenaza proviene de los empleados, es probable que intenten copiar discretamente la información usando sus poderes y transferirla a terceros.
Cuando los datos están tratando de obtener terceros, principalmente utilizando diversas herramientas de software.
Se dividen en:
- spam con enlaces maliciosos;
- programas antivirus;
- Complementos de troyanos y spyware;
- marcadores de juegos con código modificado para software de virus;
- software falso con funciones modificadas.
Teniendo en cuenta las amenazas enumeradas, la protección de la información confidencial en una empresa debe construirse tanto a nivel de hardware como de software. Solo en un complejo puede proteger con éxito sus datos de los ciberintrusos.
Ejemplos de mala conducta
Como ejemplo de acciones ilícitas encaminadas a obtener beneficios de falsificación, reposición, sustracción de información, se pueden citar las siguientes.
- Un atacante obtiene acceso a los datos de los clientes del banco. Tener información de un individuo, números de sus cuentas, tarjetas de pago, puede falsificar documentos o tarjetas bancarias y retirar dinero ilegalmente de la cuenta de otra persona.
- Si un ciberdelincuente obtiene acceso a copias electrónicas de documentos, puede falsificar los documentos originales y otorgar un préstamo a otra persona.
- Durante el pago en una tienda en línea, un atacante, utilizando complementos especiales, puede cambiar los detalles de la tienda transfiriendo el dinero del comprador a su cuenta, y no a la tienda.
- Al transmitir información técnica importante a través de canales de comunicación, los espías cibernéticos, utilizando diversos medios de seguimiento y lectura, pueden escanear el canal a través del cual se transmite el tráfico de información y obtener acceso a los secretos técnicos de la empresa.
El proceso de organización de la seguridad de la información en la empresa.
Las principales etapas de la protección de información compleja en la empresa incluyen:
- formación politica de informacion empresas, empresas;
- creación de un campo legal interno para el uso de la información;
- formación de unidades protección de la información y seguridad.
La actividad protectora de la empresa debe desarrollarse en los siguientes ámbitos:
- protección de datos que se procesan y almacenan en archivos;
- exclusión de la posibilidad de penetración no autorizada en el entorno de información de la empresa;
- trabajo adecuado con el personal para evitar el robo de datos importantes por parte de los empleados de la empresa.
Medidas de protección
Para mejorar la seguridad de la información, las empresas utilizan activamente las siguientes medidas de seguridad.
Formación de un sistema de acceso a datos dentro de la red corporativa
Las empresas utilizan varios sistemas automatizados de control de acceso a datos de acuerdo con las prioridades y los estados de los empleados de la empresa.
Esto simplifica el proceso de seguimiento del movimiento de flujos de datos e identificación de fugas de información.
Protección antivirus
Usando un antivirus efectivo software excluir la posibilidad de robo de datos con la ayuda de un software especial.
Puede acceder al entorno de información de la empresa a través de Internet.
A menudo, se practica el uso paralelo de dos productos de software, que difieren en diferentes algoritmos para detectar spyware y virus.
Sistemas de detección y protección frente a ciberataques
Los sistemas de este tipo se están introduciendo activamente en los sistemas de información de las empresas, ya que permiten no solo proteger contra la propagación de programas con código malicioso, sino también bloquear los intentos de detener el sistema de información de una empresa.
Capacitación del personal de seguridad de la red
Muchas empresas realizan seminarios y conferencias para sus empleados, donde se capacitan comportamiento seguro en el entorno de red local y global, así como manejo cuidadoso con información durante el desempeño de sus funciones funcionales diarias.
Esto reduce significativamente el riesgo de que la información se pierda o se transfiera a terceros debido a la negligencia de los empleados.
Conclusión
Un sistema integrado de seguridad de la información en una empresa es una tarea compleja que es bastante difícil de resolver por sí sola.
Para esto hay organizaciones especializadas, que ayudará a formar sistemas de seguridad de la información para cualquier empresa.
Los especialistas calificados crearán hábilmente una estructura de protección, el concepto de su implementación en una empresa en particular y también elegirán el hardware y el software adecuados para resolver la tarea.
También capacitan a los empleados de la empresa que luego trabajarán con el sistema de seguridad implementado y mantendrán su funcionalidad al nivel adecuado.
Vídeo: El enfoque de la seguridad de la información en la empresa moderna