О компании

Политика в области Информационной Безопасности (ИБ)

Цели направления обеспечения информационной безопасности

Главная цель направления ИБ Компании – обеспечить защиту программных продуктов, включенных в информационный контур финансовой организации в части их функциональности. Под информационной безопасностью в данном случае понимается обеспечение целостности, доступности и конфиденциальности компонентов и данных. В своей деятельности по обеспечению информационной безопасности Компания руководствуется следующими базовыми документами:

• Федеральный закон 152-ФЗ "О персональных данных";
• ГОСТ Р 57580.1-2017 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер";
• Приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК России) от 11 февраля 2013 г. N 17 г. Москва "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах";
• Приказ ФСТЭК от 18 февраля 2013 г. N 21 "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных";
• Стандарт Банка России: "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения" (СТО БР ИББС-1.0-2014);
• Стандарт Банка России: "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0 — 2014" (СТО БР ИББС-1.2-2014);
• Стандарт Банка России: "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Аудит информационной безопасности СТО БР ИББС-1.1-2007" (СТО БР ИББС-1.1-2007);
• Рекомендации в области стандартизации Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Ресурсное обеспечение информационной безопасности" (РС БР ИББС-2.7-2015);
• Рекомендации в области стандартизации Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Обеспечение информационной безопасности на стадиях жизненного цикла автоматизированных банковских систем" (РС БР ИББС-2.6-2014);
• Рекомендации в области стандартизации Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методические рекомендации по документации в области обеспечения информационной безопасности в соответствии с требованиями СТО БР ИББС-1.0" (РС БР ИББС-2.0-2007);
• Приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК России) от 11 февраля 2013 г. N 17 г. Москва "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах";
• Приказ ФСТЭК от 18 февраля 2013 г. N 21 "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных";
• Методический документ "Меры защиты информации в государственных информационных системах" (утв. Федеральной службой по техническому и экспортному контролю 11 февраля 2014 г.).

Ответственными сотрудниками Компании был проведен внутренний аудит программных продуктов на соответствие требованиям по информационной безопасности в части функциональности ЦАБС и разработан ряд документов, определяющих:

• соответствие требованиям ГОСТ Р 57580.1-2017 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер";
• соответствие требованиям Положения Банка России №382-П от 09.06.2012г.;
• соответствие требованиям СТО БР ИББС-1.0-2014;
• соответствие рекомендациям СТО БР ИББС-2.6-2014 "Обеспечение информационной безопасности на стадиях жизненного цикла автоматизированных банковских систем";
• определение уровня защищенности персональных данных в соответствии с критериями приказа ФСТЭК №21 от 18 февраля 2013 г. – уровень защищенности определен как 1-2 уровни;
• определение класса защищенности информационной системы ЦАБС "БАНК 21 ВЕК" в соответствии с критериями приказа ФСТЭК №17 от 11 февраля 2013 г – класс защищенности определен как 1-2 классы защищенности информационной системы.

В настоящее время ЦАБС "БАНК 21 ВЕК" включает в себя встроенные защитные механизмы, позволяющие настроить АБС с учетом требований ГОСТ Р 57580.1-2017, стандарта СТО БР ИББС-1.0-2014 и РС БР ИББС-2.6-2014:

• Механизм аутентификации пользователей, в том числе путем текстового ввода;
•  Механизм разграничения доступа к автоматизированным рабочим местам;
• (АРМ) и функциональным возможностям на уровне меню, прав доступа к объектам БД и формам и ролей;
• Механизм контроля и подтверждений действий в системе ("второй подписи");
• Механизм развёрнутого аудита действий в системе;
• Механизм ЭЦП.

Ответственность за защиту информации

Ответственность за защиту информации возлагается на Администратора информационной безопасности. При этом, согласно ГОСТ Р 57580.1-2017, стандарта СТО БР ИББС-1.0-2014 и РС БР ИББС-2.6-2014 совмещение в одном лице функций администратора АБС и администратора информационной безопасности АБС не допускается. В ЦАБС данное разграничение определяется на уровне пользователей с присвоением соответствующих прав.

Правильно определенной в системе Администратор информационной безопасности АБС ЦАБС имеет служебные полномочия и технические возможности по контролю действий соответствующих администраторов АБС (без вмешательства в их действия) и пользователей, а также полномочия по настройке для каждого пользователя только тех параметров системы, которые определяют права доступа к информации.

Администратор информационной безопасности не должен иметь права добавить нового пользователя в АБС, а также удалить из нее существующего пользователя. При этом Администратор информационной безопасности должен иметь права подтвердить добавление / удаление нового пользователя в АБС, а также, при необходимости изменение параметров пользователя (разрешенной время работы, права доступа к объектам и т.д.).

Механизмы обеспечения информационной безопасности в ЦАБС

В настоящее время ЦАБС "БАНК 21 ВЕК" включает в себя встроенные защитные механизмы, позволяющие настроить АБС с учетом требований ГОСТ Р 57580.1-2017, стандарта СТО БР ИББС-1.0-2014 и РС БР ИББС-2.6-2014:

• Механизм аутентификации пользователей, в том числе путем текстового ввода;
• Механизм разграничения доступа к автоматизированным рабочим местам (АРМ) и функциональным возможностям на уровне меню, прав доступа к объектам БД и формам и ролей;
• Механизм контроля и подтверждений действий в системе ("второй подписи");
• Механизм развёрнутого аудита действий в системе;
• Механизм ЭЦП.

Информационная безопасность организована в ядре ЦАБС, а именно на уровне определения пользователей и их прав доступа, и обеспечивает замкнутое сохранение данных, связанных с ЦАБС (собственно модулей системы и прикладных данных) таким образом, что:

• пользователям невозможно получить логический доступ к данным вне рамок работы штатного интерфейса ПО ЦАБС;
• пользователи может получить доступ только к тем объектам и действиям с ними, которые ему разрешены;
• пользователи не имеет прямого доступа к Базе данных;
• любые перемещения данных из/в систему отражается в соответствующих журналах;
• организованы настраиваемые схемы дополнительных контролей операций, подтверждающие/блокирующие её проведение.

Методы организации доступа

• Ролевой – определение особых функциональных ролей и построение ролевых АРМов;
• Дискреционный – организации непосредственного доступа к объектам БД с возможностью изменения правил (разрешенные действия - чтение, удаление, запись);
• Мандатный – классификация пользователей по иерархии разрешенных действий с использованием меток конфиденциальности. Данный метод в ЦАБС не реализован, но возможен при использовании механизмов СУБД.

Основным методом доступа является ролевой, дискреционный не используется.

Авторизация и доступ

При заведении пользователя определятся некоторые его параметры, такие как ФИО, филиал/подразделение, должность и ряд других. Также устанавливаются ограничительно / разрешительные параметры его работы, такие как разрешенное время, необходимость смены пароля, списка разрешенных IP адресов и прочие.

Предусмотрено объединение пользователей в группы по функциональным признакам.

Для обеспечения возможности работы пользователя ему должны присвоить определенные права доступа. Схема определения доступа предоставляет возможность группового или индивидуального доступа, то есть создание конкретного профиля прав пользователя. При включении нового пользователя в конкретную группу он автоматически наследует все права, присущие пользователям данной группы. При этом суммарные права пользователя проверяются на непротиворечивость, применяется принцип поглощения более широкими разрешительными правами более узких (суммирование прав) и принцип преимущества запретительных прав над разрешительными. Также существует возможность копирования (наследования) прав пользователя с возможностью последующей корректировки.

Для определения единообразного уровня доступа субъектов к информационным объектам, являющимся первичной информационной единицей, система предусматривает следующие распределения доступа:

• к группе или нескольким группам объектов;
• к объекту;
• к набору частей объекта.

Доступ к информационным объектам включает следующие виды ограничений:

• нет доступа к объекту;
• доступ (к объекту/части объекта) только на чтение;
• доступ (к объекту/части объекта) только на изменение - отдельно с чтением и без чтения;
• удаление информационного объекта;
• добавление информационного объекта;
• нет доступа на чтение;
• нет доступа на изменение;
• нет доступа на добавление;
• нет доступа на удаление.

Кроме доступа к конкретным информационным объектам, предусмотрено разделение доступа к функциям, выполняющим действия над объектами, например – проведение операций по счету или договору.

Также существует возможность копирования (наследования) прав пользователя с возможностью последующей корректировки.

Система обеспечивает дополнительные возможности по установке разграничений доступа к информационным объектам или их частям. Примером такого разграничения является понятие доступа пользователя к счетам. Разграничение доступа пользователя к счетам осуществляется следующим образом:

• разрешено дебетование счета;
• разрешено кредитование счета;
• разрешен только просмотр информации по счету полный доступ к счету или группе счетов;
• разрешено редактирование информации о счете;
• разрешено заведение счетов на балансе.

Идентификация и аутентификация

Работа любого субъекта (пользователя или процесса) в ЦАБС идентифицирована системой и основным средством аутентификации пользователей в ЦАБС является схема "имя пользователя/пароль" (далее - профиль пользователя). Предусмотрена двухфакторная аутентификация с помощью устройства eToken plus.

В целях обеспечения разграничения доступа к ресурсам ЦАБС и регистрации событий такого доступа каждый субъект (пользователь) и объект однозначно идентифицированы по набору признаков.

• Цель идентификации субъекта – определить, кто именно входит в систему.
• Цель аутентификации субъекта — убедиться в том, что субъект является именно тем, кем представился (идентифицировался) и имеет право входа.
• Идентификация и аутентификация пользователей должна производиться при каждом их входе в систему и при возобновлении работы после кратковременного перерыва (после периода неактивности без выхода из системы или выключения компьютера).
• Схема идентификации субъекта определяется набором "имя пользователя/пароль" (профиль пользователя).
• Аутентификация пользователей осуществляться путем:
  • проверки знания того, чего не знают другие (паролей, ключевых фраз);
  • проверки параметров, определенных персональными устройствами (eToken, карточками, дискетами и т.п.);
• Пароли пользователей хранятся в зашифрованном виде в отдельном пространстве БД.

Конфиденциальность данных информационной безопасности и прочих данных

Информация о критических атрибутах профиля пользователя (пароли, ключи) хранится в виде, исключающем возможность прямого доступа к ним пользователей, минуя средства системы. Это означает, что указанные данные при постоянном хранении доступны только либо самому пользователю, либо процессам подсистемы безопасности, либо администратору, уполномоченному подсистемой безопасности.

При работе пользователей дополнительных офисов, когда основная база данных находится в центре, а конечный пользователь - в удаленном филиале, наличие защищенных каналов связи обеспечивается владельцем вычислительной сети. ЦАБС обеспечивает соединение удаленного пользователя с базой данных на прикладном уровне.

Контроль и подтверждение действий в системе ("второй подписи")

В Ядре ЦАБС реализованы механизмы дополнительного контроля подтверждения платежных операций (правило второй руки).

При заведении пользователя реализовано подтверждение Администратором информационной безопасности.

Аудит и мониторинг

Система аудита ЦАБС фиксирует для бизнес-значимых событий параметры, которые не отражаются напрямую в интерфейсе системы, например такие, как время запуска процедуры, имя пользователя и сетевой адрес его рабочей станции.

Все бизнес-значимые действия пользователей в ЦАБС, как успешные, так и неудачные, начиная от попытки установления связи и до завершения сессии, фиксируются в журналах аудита. При этом информация, фиксируемая в регистрационных журналах, обеспечивает однозначную идентификацию субъекта, причины, времени, местоположения и результата произведенного действия.

Журналы аудита используются для исследования корректности работы ЦАБС, мониторинга действий пользователей, расследования сложных или подозрительных событий и т.д.

Все события разбиты на типы (открытие счета, регистрация клиента, корректировка карточки счета и пр.) и категории (клиенты, счета, пользователи, системные события, безопасность и т.д.).

Каждый тип событий характеризуется уровнем доступа или тем, интересы каких пользователей могут затронуть события данного типа и для кого они будут доступны при просмотре журнала.

В ЦАБС по умолчанию включен аудит следующих категорий:

• Аудит клиентов и счетов;
• Аудит таблицы проводок;
• Аудит кассовых документов;
• Аудит исходящих переводов;
• Аудит входящих/исходящих сообщений;
• Аудит действий в формах;
• Аудит вызовов альтернативной печати.

Дополнительно имеется возможность настроить аудит на любые таблицы базы данных ЦАБС.

В журналах аудита сохраняется следующая основная информация:

• Тип изменения;
• Дата и время;
• Пользователь;
• Компьютер;
• Изменение;
• И ряд других.

Помимо этого, Аудит и протоколирование могут осуществляться штатными средствами операционных систем, СУБД или специализированными программами.

Целостность данных

ЦАБС архитектурно поддерживает логическую целостность бизнес-данных с помощью используемых при разработке возможностями СУБД.

Конкретные изменения носят транзакционно-ориентированный характер, то есть выполняются в целом от начала до конца либо, в случае сбоя, не выполняются совсем.

При потоковой обработке данных отвергается транзакция, во время которой произошел сбой.

Никакие системные или прикладные данные не могут быть удалены в рамках ЦАБС без следов. Присутствует настройка на запрет удаления отдельных категорий данных.

Сохранность данных

Ответственность за сохранность данных возлагается на сотрудников банка. Сохранность данных должна обеспечиваться специально выделенными сотрудниками с помощью резервного копирования. Резервное копирование предусматривает сохранение прикладных и системных данных, и осуществляется по заранее установленному графику от одного до нескольких раз в день, либо вручную по команде оператора.

В банке должно быть организовано резервирование с помощью другого сервера с возможностью моментального переключения.

Контроль лицензий

В системе контролируются два вида лицензий – пользовательских, определяющих возможность одновременной работы сотрудников банк и модульных, определяющих возможность работы конкретного модуля.

Система контролирует общее количество лицензий пользователей, приобретенных банком, блокируя, при необходимости, работу. Результаты учета отражаются в файле alert.log. Для банков, имеющих неограниченное число лицензий, пользовательские блокировки при входе в систему не устанавливаются.

В случае отсутствия лицензии на модуль, модуль не может быть вызван из меню и запущен.

Минимизация операционного риска в ЦАБС

Подходы к снижению операционного риска в ЦАБС можно разделить на три составляющие:

1. Технологический подход, при котором минимизация операционного риска производится за счет рационализации общей технологии обработки информации в автоматизированной системе независимо от прикладного назначения ПО.

2. Функциональный подход, при котором операционный риск минимизируется за счет полноты соответствия реализованных прикладных алгоритмов требованиям предметной области (нормативы, правила, описания банковских продуктов и т.п.).

3. Методологический аспект, направленный на повышение степени формализации нормативов, правил, законодательных актов и других регламентирующих документов, определяющих порядок и правила реализации банковских услуг и продуктов.

Технологический подход:

• управление правами доступа пользователей — позволяет разграничить доступ к информации в зависимости от компетенции и сферы ответственности конкретного исполнителя;
• автоматизированное заполнение документов условно постоянной информацией - минимизирует ручной ввод данных пользователем ЦАБС;
• применение различных настроечных параметров (реквизиты банка, оргструктура, ФИО руководства и т.п.), информация из которых автоматически включается в различные платежные документы, отчеты и другие документы;
• справочники-классификаторы с нормативно-справочной информацией (НСИ), которая используется как при заполнении исходящих, так и при контроле входящих документов. Состав таких справочников в ЦАБС достаточно широк, он включает в себя общероссийские классификаторы (ОКВЭД, ОКПО, СОАТО и др.), отраслевые классификаторы (ЦБ РФ, МНС, ФСФМ, ФСФР и др.), а также ряд международных стандартов (ISO, SWIFT, стандарты международных платежных систем);
• шаблоны операций и документов с предварительно заполненными параметрами, например маски счетов, коды документов, коды операций и т.п. Такие шаблоны позволяют избежать полного ручного заполнения документов - достаточно указать сумму и детали платежа. Если учесть, что количество платежных (и других) документов, формируемых в ЦАБС, достаточно велико, а число реквизитов в таких документах тоже немалое, такие шаблоны являются эффективнейшим средством снижения операционного риска;
• формализованное описание условий типовых договоров, банковских продуктов (типы операций, процентные ставки, пеня, срочность и т.п.) - также позволяет избежать появления ошибок, как при первоначальном вводе договора, так и при последующей его обработке (начисление процентов, пролонгация, закрытие);
• реализация протоколов обмена с внешними системами РКЦ, карточными процессингами и др. - исключает ручной набор платежных документов на терминалах соответствующих внешних систем;

• однократность ввода информации и многократное ее использование в различных модулях ЦАБС и других приложениях.

Функциональный подход:

• модульность ЦАБС – достижение соответствия результатов функционирования программного обеспечения ЦАБС разнородным и жестким требованиям со стороны внешних систем за счет добавления новых модулей-подсистем и обеспечением взаимодействия между ними;
• обеспечение оперативности внесения изменений в ПО ЦАБС для удовлетворения потока нормативных изменений, правил выполнения банковских операций и формирования отчетности.

Методологический подход:

• формализация правил и алгоритмов ПО ЦАБС – эффективность функционирования, доработки и разработки новых модулей программного обеспечения ЦАБС напрямую зависит от проработанности и описания технологических процессов в подразделении;
• организация взаимодействия с автономными программными комплексами – обеспечение расширения функциональности и независимости от разработчика программного обеспечения ЦАБС.

Рекомендации по организации работы сотрудников банка при использовании ЦАБС

Для обеспечения технологического подхода при минимизации операционного риска в ЦАБС руководителям и сотрудникам подразделений Банка должны быть обеспечены следующие программные возможности:

• контроль за корректностью и актуальностью настроечных параметров, справочников-классификаторов с НСИ, а также шаблонов операций и документов;
• обязательное проведение операций, документов, договоров и банковских продуктов через функциональные модули ЦАБС (исключение "ручных проводок и операций");
• контроль загружаемых / выгружаемых документов для получения/передачи во внешние системы;
• контроль и акцепт выполняемых пользователем ЦАБС операций уполномоченным лицом (правило двух рук);
• настройка маршрутов прохождения документов с организацией дополнительных уровней контроля и акцепта (как пример – валютный контроль);
• применение дополнительных процедур контроля результатов расчета, которые особенно широко используются при формировании банковской отчетности (поверочные тесты, расшифровки сводных и агрегированных данных и т.п.).

Для обеспечения функционального подхода при минимизации операционного риска в ЦАБС руководителям и сотрудникам подразделений Банка необходимо обеспечить следующие организационные условия:

• своевременную подачу заявок на доработку существующих и добавление новых модулей ЦАБС;
• непосредственное участие в доработках и составлении технических требований/заданий при внедрении и доработке новых модулей ЦАБС;
• своевременное уведомление об изменениях в нормативных документах и требованиях Банка России, связанных с регламентацией правил выполнения банковских операций в ЦАБС;
• своевременное информирование о сбоях, ошибках и нарушения функциональности в ЦАБС.

Для обеспечения методологического подхода при минимизации операционного риска в ЦАБС руководителям и сотрудникам подразделений Банка необходимо обеспечить следующие организационные условия:

• организацию, разработку и внедрение технологической и методологической документации, регламентов и инструкций работы пользователей;
• проведение обучения новых сотрудников в соответствии с разработанными регламентами и инструкциями;
• проведение оценки совместимости с существующим ПО ЦАБС при покупке программного обеспечения стороннего разработчика.