КАТЕГОРИИ:
Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748)
Загрози інформаційній безпеці банку 1 страница
|
|
|
|
У всіх аспектах забезпечення захисту інформації основний елемент – аналіз можливих дій щодо порушення роботи банківських автоматизованих систем. Під цими діями розумітимемо такі, що підвищують уразливість інформації, яка обробляється в автоматизованій системі, приводять до її просочення, випадкової або навмисної зміни чи знищення.
Випадкові загрози включають у себе помилки, пропуски тощо, а також події, що не залежать від людини, наприклад природні або спричинені діяльністю людини катаклізми. Заходи захисту від них в основному організаційні.
До помилок апаратних і програмних засобів відносяться пошкодження комп’ютерів і периферійних пристроїв (магнітних носіїв тощо), помилки в прикладних програмах. До помилок через неуважність, які досить часто виникають під час технологічного циклу обробки, передачі або зберігання даних, відносяться помилки користувача, оператора або програміста, втручання під час виконання програм, пошкодження носіїв інформації та ін. Навмисні загрози можуть реалізовуватися учасниками процесу обробки інформації (внутрішні) і «хакерами» (зовнішні).
Дослідження показують, що безпосередній несанкціонований доступ до ЕОМ, систем та комп’ютерних мереж мають співробітники банків: програмісти, інженери, оператори, які є користувачами або обслуговуючим персоналом ЕОМ (41,9 %). Майже вдвічі менший такий доступ мають інші співробітники банку (20,2%), а у 8,6 % випадків злочин було вчинено співробітниками, що були звільнені, 25,5 % – несанкціонований доступ учинений сторонньою особою.
Найпоширенішими видами навмисних загроз сьогодення виступають такі за частотою прояву:
– копіювання і крадіжка програмного забезпечення;
|
|
|
– несанкціоноване введення даних;
– зміна або знищення даних на магнітних носіях;
– саботаж;
– крадіжка інформації;
– несанкціоноване використання ресурсів комп’ютерів;
– несанкціоноване використання банківських автоматизованих систем;
– несанкціонований доступ до інформації високого рівня секретності.
За визначенням А.І. Куранова, під втручанням у роботу АС треба розуміти будь-які зловмисні дії, що впливають на обробку інформації в АС, тобто на всю сукупність операцій (зберігання, введення, записування, перетворення, зчитування, зберігання, знищення, реєстрація), що здійснюються за допомогою технічних і програмних засобів, включаючи обмін через канали передачі даних. При втручанні в роботу автоматизованої системи здійснюється її порушення, яке спричиняє спотворення процесу обробки інформації, внаслідок чого перекручується або знищується сама інформація чи її носії.
Під знищенням інформації мається на увазі її втрата, коли інформація в АС перестає існувати для фізичних і юридичних осіб, які мають право власності на неї в повному чи обмеженому обсязі. Як знищення, втрату інформації треба розглядати і її блокування, тобто припи-нення доступу до інформації користувачам АС. Втручання в роботу АС може бути і в формі впливу на канали передачі інформації як між технічними засобами її обробки і зберігання всередині АС, так і між окремими АС, внаслідок чого інформація, що передається, знищується чи перекручується.
Під перекрученням інформації слід розуміти зміну її змісту, порушення її цілісності, в тому числі і часткове знищення.
Навмисні дії щодо порушення роботи автоматизованих систем призводять до безпосереднього розкриття або зміни даних. Шкідливі програми інколи неправильно ототожнюють з комп'ютерними вірусами, тоді як віруси - лише одні з численних видів шкідливих програм. Особа, яка здійснює несанкціоновану дію з метою підвищення уразливості інформації, ми будемо називати зловмисником. Дії зловмисника можна розділити на чотири основні категорії:
|
|
|
1. Переривання - припинення нормальної обробки інформації, наприклад, внаслідок руйнування обчислювальних засобів. Зазначимо, що переривання може мати серйозні наслідки навіть у тому випадку, коли сама інформація ніяких впливів не зазнає.
2. Крадіжка, розкриття - читання або копіювання інформації з метою отримання даних, які можуть бути використані або зловмисником, або третьою стороною.
3. Модифікація (зміна) інформації.
4. Руйнування - безповоротна зміна інформації, наприклад стирання даних з диска.
Комп'ютерні атаки здійснюються не тільки на клієнтів, але і на самих банкірів. Такі штурми бувають зовнішні і внутрішні.
Перші - це цілеспрямовані напади на внутрішню мережу банку. Вони проводяться для отримання доступу до бази даних клієнтів, її копіювання і викрадання грошей. У світовій практиці вони трапляються рідко, а успішних було зовсім мало.
Це високотехнологічні і дуже складні злочини. В Україні такі атаки поки екзотика - на рік трапляється один або два успішні напади, які закінчуються викраденням грошей. Банки, зрозуміло, про них мовчать, адже це питання їх репутації.
Внутрішні, інсайдерські, атаки - ахіллесова п'ята банківського сектора. Вони полягають у копіюванні інформації та її продажу з метою наживи. Унеможливити такі дії важко, а відповідні заходи коштують достатньо дорого. Знизити ризики дозволяють системи моніторингу мережі та вдосконалення роботи з інформацією.
Більш того, зовнішні атаки теж не обходяться без витоку даних з банку.
"Програма для зовнішнього проникнення у систему має бути розроблена для конкретного банку. Приступаючи до написання шкідливого коду, зловмисник повинен мати інформацію про діючі в установі програми", - говорить начальник управління технічного захисту інформації банку "Форум" Петро Жуков.
"Зламати" систему без таких даних важко і дорого. Підкупити менеджера - дешевше. Банку ж "продажний" співробітник може обійтися дуже дорого.
У 2006 році в Україні було дві хвилі інтелектуальних нападів на банкомати. Використовуючи бездротовий зв'язок, знаючі люди переводили техніку в режим тестового зняття грошей і забирали всю готівку.
|
|
|
Тоді постраждало близько десяти банків. Сума збитку невідома, але оскільки в один банкомат завантажується в середньому 40 тисяч доларів, можна припустити, що вона обчислюється мільйонами доларів.
Протистояти внутрішнім банківським ризикам покликані потужні програмні комплекси, здатні напрацьовувати статистику. Вони можуть відстежувати частоту запитів до баз даних, активність користувачів, мережевий та поштовий трафіки, платежі клієнтів.
Такі системи сигналізують у разі настання нестандартних подій, наприклад, якщо сума трансакції і одержувач явно не відповідають операціям, що проводилися раніше. Далі банк може затримати трансакцію і уточнити у клієнта її легітимність.
Системи здатні аналізувати електронні документи і затримувати на виході з мережі банку файли, що містять конфіденційну інформацію. Коштують такі рішення дорого, і поки не всі банки вважають за потрібне їх купувати.
"Деякі фінансисти не уявляють, які проблеми можуть створити діри в IT -безпеці. Недавно наші інженери працювали в одному банку. Мережа у його центральному офісі взагалі не була захищена! У великих банках краща ситуація, але до світового рівня вони не дотягують", - каже директор компанії "Бакотек" Євген Бадах.
Цікаво, що НБУ ніколи не регламентував внутрішню інформаційну безпеку комбанків. Тим не менше, регулятор забезпечує безпеку самих грошових перетоків. За словами фахівців, захищеність системи платежів Нацбанку не викликає зауважень. Доволі часто нелегітимні трансакції блокувалися саме на рівні НБУ.
Крім того, будь-який електронний платіжний документ, що проводиться у вітчизняній банківській системі, підписується двома електронно-цифровими підписами: людиною, яка його створює, і тим, хто його проводить. Це система "чотирьох очей".
Ще один важливий момент інформаційної безпеки - система розподілу доступу до даних. Щоб вона працювала ефективно, потрібно грамотно організувати її роботу.
|
|
|
"Найважче - вибрати рівень достатності доступу співробітників до інформації. Якщо його надто сильно обмежити, люди не зможуть працювати. Послаблювати контроль теж не можна. Потрібно вміти балансувати",
Загрози потенційно можуть завдати шкоди ресурсам СУІБ,
зокрема інформації, персоналу, клієнтам, обладнанню, процесам і
програмно-технічним комплексам, бізнес-процесам / банківським
продуктам і, відповідно, банку. Загрози можуть мати природні та
людські джерела і можуть бути випадковими або навмисними. Повинні
бути ідентифіковані як випадкові, так і навмисні джерела загроз.
Загрози можуть бути ідентифіковані в загальному вигляді або за
типами (наприклад, неавторизовані дії, фізичне пошкодження,
технічні пошкодження тощо). Приклади типових загроз
Загрози можуть бути навмисними (Н), випадковими (В),
природними (П) і можуть бути результатом втрати будь-яких
сервісів. У таблиці наведений перелік типових загроз із наданням
джерела загроз. Цей перелік не може вважатися вичерпним і може
бути доповненим або скороченим.
------------------------------------------------------------------| Загроза | Джерело | Тип ||-----------------------------+--------------------------+-------|| |Пожежа |В, Н, П|| |--------------------------+-------|| |Пошкодження водою / повінь|В, Н, П|| |--------------------------+-------|| |Техногенна аварія | В, Н || |--------------------------+-------|| |Крадіжка |В, Н, П|| |--------------------------+-------||Фізичне пошкодження/втрата |Тероризм | В, Н ||будівлі/обладнання/інформації|--------------------------+-------|| |Масові заворушення, | В, Н || |політична нестабільність | || |--------------------------+-------|| |Кліматичні та | П || |метеорологічні явища | || |--------------------------+-------|| |Сейсмічні загрози | П || |--------------------------+-------|| |Електромагнітна радіація | В, Н || |--------------------------+-------|| |Неконтрольований ремонт | В, Н ||-----------------------------+--------------------------+-------||Часткове/повне пошкодження/ |Неефективність системи | В, Н ||втрата обладнання/даних |клімат-контролю або | || |водопостачання | || |--------------------------+-------|| |Збої електроживлення |В, Н, П|| |--------------------------+-------|| |Недбалість персоналу | В, Н || |--------------------------+-------|| |Відмова | В, Н || |телекомунікаційного | || |обладнання | || |--------------------------+-------|| |Порушення експлуатації | В, Н || |обладнання/програмного | || |забезпечення | || |--------------------------+-------|| |Неавторизоване | В, Н || |використання обладнання/ | || |програмного забезпечення | || |--------------------------+-------|| |Збої обладнання/ | В, Н || |програмного забезпечення | || |--------------------------+-------|| |Неправильне використання | В, Н || |обладнання/програмного | || |забезпечення | ||-----------------------------+--------------------------+-------|| |Віддалений шпіонаж | Н || |--------------------------+-------|| |Перехоплення побічних | Н || |електромагнітних сигналів | || |--------------------------+-------|| |Підслуховування | Н || |--------------------------+-------|| |Відновлення середовища, що| Н || |повторно використовується | || |або викинуто | || |--------------------------+-------|| |Розкриття/продаж | В, Н || |інформації працівниками | || |банку | || |--------------------------+-------|| |Підробка | Н || |обладнання/програмного | || |забезпечення | || |--------------------------+-------|| |Шахрайське копіювання | Н || |даних | || |--------------------------+-------|| |Нелегальне оброблення | Н || |даних | || |--------------------------+-------||Компрометація інформації |Помилка/недбалість | В, Н || |персоналу під час | || |оброблення даних | || |--------------------------+-------|| |Зловживання працівником | Н || |правами доступу до | || |інформації | || |--------------------------+-------|| |Підробка прав доступу до | Н || |інформації | || |--------------------------+-------|| |Отримання | Н || |несанкціонованого доступу | || |до інформації зовнішніми | || |зловмисниками | || |--------------------------+-------|| |Неправильна робота системи| В, Н || |захисту інформації | || |--------------------------+-------|| |Навмисне невикористання | Н || |системи захисту інформації| || |--------------------------+-------|| |Компрометація паролів | В, Н || |доступу | || |--------------------------+-------|| |Компрометація ключів | В, Н || |криптографічного захисту | || |інформації | ||-----------------------------+--------------------------+-------|| |Помилки програмного | В, Н || |забезпечення | || |--------------------------+-------||Викривлення/підробка |Неправильна робота системи| В, Н ||інформації/даних |захисту інформації | || |--------------------------+-------|| |Компрометація/передача | В, Н || |особистих ключів | || |електронного цифрового | || |підпису | |------------------------------------------------------------------
Особливу увагу слід звернути на людські джерела загроз, які
можуть мати різну мотивацію від політичних причин до простого
самоствердження. Найбільш вірогідними та найбільш серйозними можна
вважати загрози від власних працівників банку, в тому числі ті
загрози, які можуть виникати від недостатньої обізнаності
персоналу в питаннях інформаційної безпеки. Приклади таких загроз
наведені нижче у таблиці.
------------------------------------------------------------------| Джерело загрози | Загроза ||--------------------+-------------------------------------------||Хакери, кракери |Хакерські дії || |Соціальна інженерія || |Втручання до системи, злом || |Неавторизований доступ до системи ||--------------------+-------------------------------------------||Комп'ютерні злочинці|Комп'ютерні злочини || |Шахрайські дії || |Продаж інформації || |Спуфінг || |Втручання до системи || |Руйнування інформаційної системи ||--------------------+-------------------------------------------||Тероризм |Бомба/тероризм || |Інформаційна війна || |Атаки на систему (наприклад, розподілена || |відмова в обслуговуванні) || |Підробка системи || |Фінансування терористичних організацій ||--------------------+-------------------------------------------||Дії конкурентів |Політична перевага || |Економічні дії || |Крадіжка інформації || |Вручання в особисте життя || |Соціальна інженерія || |Проникнення до системи || |Неавторизований доступ до системи ||--------------------+-------------------------------------------||Персонал |Напад на персонал || |"Чорна пошта" || |Перегляд інформації з обмеженим доступом || |Комп'ютерні зловживання || |Шахрайство і крадіжка || |Продаж інформації || |Фальсифікація та підробка даних || |Перехоплення || |Зловмисні коди (віруси, || |логічні бомби, троянські коні, тощо) || |Продаж персональної інформації || |Дефекти системи || |Втручання до системи || |Системний саботаж || |Неавторизований доступ до системи |------------------------------------------------------------------ Деякі загрози можуть впливати на декілька ресурсів СУІБ. У
такому випадку вони можуть викликати різний вплив на різні
ресурси. До ідентифікації загроз необхідно залучати власників
бізнес-процесів/банківських продуктів та користувачів, підрозділи
управління персоналом та фізичної безпекою, спеціалістів з
інформаційної безпеки, юридичні підрозділи тощо.Вразливості, які можуть бути використані загрозами для впливу
на ресурси СУІБ / бізнес-процеси / банківські продукти, також
повинні бути ретельно розглянути та ідентифіковані. Вразливості можуть бути ідентифіковані в таких областях: - банк у цілому; - процеси та процедури; - системи управління; - персонал; - фізичне середовище; - конфігурація програмно-технічних комплексів, обладнання,
програмне забезпечення або телекомунікаційне обладнання; - залежність від зовнішніх організацій. Наявність вразливостей не може впливати на ресурси та
бізнес-процеси / банківські продукти самостійно, оскільки має бути
наявна загроза, яка буде використовувати ці вразливості. Для
вразливості, якій не відповідає відповідна загроза, не потрібно
впровадження заходів безпеки, але вона повинна бути ідентифікована
та відслідковуватися під час внесення будь-яких змін, які
пов'язані з цим ресурсом СУІБ і бізнес-процесом / банківським
продуктом. Некоректно запроваджені чи недієві заходи безпеки є одним з
видів вразливостей. Вразливості можуть бути пов'язаними із властивостями ресурсу
СУІБ. Приклади вразливостей наведені у додатку 2. Цей перелік не є
вичерпаним і повинен доповнюватися в залежності від ситуації в
банку, технологій, що використовуються, організаційної структури,
процедур тощо. Приклади вразливостей,
які можуть бути використані
для реалізації відповідних загроз
У таблиці наведений перелік типових загроз з наданням
вразливостей, які можуть бути використані для реалізації
відповідних загроз. Цей перелік не може вважатися вичерпним і може
бути доповненим або скороченим.
------------------------------------------------------------------| Приклади загроз | Приклади вразливостей ||--------------------------------+-------------------------------||Фізичне пошкодження/втрата |Відсутність пожежної ||будівлі/обладнання/інформації |сигналізації ||від пожежі |Відсутність системи || |пожежогасіння || |Дозвіл на паління в приміщенні || |Наявність легкозаймистих || |матеріалів || |Неякісна електропроводка || |Відсутність || |захисту від блискавки || |Неконтрольований ремонт || |Наявність зловмисного || |підпалювача || |Халатність персоналу || |Необізнаність персоналу || |Злочинні дії ||--------------------------------+-------------------------------||Фізичне пошкодження/втрата |Невдале розташування будівлі ||будівлі/обладнання/інформації |Невдале розміщення обладнання ||від пошкодження водою/повінню |у підвальному приміщенні / на || |перших поверхах будівлі || |Приміщення банку в аварійному || |стані || |Неякісна каналізаційна система ||--------------------------------+-------------------------------||Фізичне пошкодження/втрата |Наявність будівництва поряд ||будівлі/обладнання/інформації |Старе приміщення банку (в ||від техногенної аварії |аварійному стані) || |Неякісна каналізаційна система || |Відсутність контролю системи || |електроживлення || |Відсутність резервних джерел || |електроживлення || |Відсутність || |резервних каналів зв'язку || |Відсутність резервного || |обладнання || |Відсутність || |віддаленого резервного пункту ||--------------------------------+-------------------------------||Фізичне пошкодження/втрата |Неефективна система охорони ||обладнання/інформації від |Недостатній контроль за ||крадіжки |переміщенням майна за межі || |банку || |Недбалість персоналу || |Неправильний підбор персоналу || |Необізнаність персоналу || |Відсутність резервного || |обладнання/ програмного || |забезпечення ||--------------------------------+-------------------------------||Фізичне пошкодження/втрата |Відсутність інструкції ||будівлі/обладнання/інформації |стосовно дій у надзвичайних ||від тероризму |ситуаціях || |Неефективна система охорони || |Неправильний підбор персоналу || |Відсутність резервного || |обладнання/програмного || |забезпечення ||--------------------------------+-------------------------------||Фізичне пошкодження/втрата |Відсутність інструкції ||будівлі/обладнання/інформації |стосовно дій у надзвичайних ||від масових заворушень, |ситуаціях ||політичної нестабільності |Неефективна система охорони || |Неправильний підбор персоналу || |Відсутність резервного || |обладнання/програмного || |забезпечення || |Відсутність віддаленого || |резервного пункту ||--------------------------------+-------------------------------||Фізичне пошкодження/втрата |Старе приміщення банку (в ||будівлі/обладнання/інформації |аварійному стані) ||від кліматичних та |Неякісна каналізаційна система ||метеорологічних явищ |Відсутність контролю системи || |електроживлення || |Відсутність резервних джерел || |електроживлення || |Відсутність резервних каналів || |зв'язку || |Відсутність резервного || |обладнання || |Відсутність віддаленого || |резервного пункту ||--------------------------------+-------------------------------||Фізичне пошкодження/втрата |Старе приміщення банку (в ||будівлі/обладнання/інформації |аварійному стані) ||від сейсмічних загроз |Неякісна каналізаційна система || |Відсутність контролю системи || |електроживлення || |Відсутність резервних джерел || |електроживлення || |Відсутність резервних каналів || |зв'язку || |Відсутність резервного || |обладнання || |Відсутність віддаленого || |резервного пункту ||--------------------------------+-------------------------------||Фізичне пошкодження/втрата |Відсутність екранування ||обладнання/інформації від |серверного приміщення ||електромагнітної радіації |Чутливість обладнання до || |електромагнітної радіації || |Неефективна охорона ||--------------------------------+-------------------------------||Фізичне пошкодження/втрата |Відсутність належного ||обладнання/інформації від |контролю за працівниками третіх||неконтрольованого ремонту |сторін || |Відсутність вимог з || |інформаційної безпеки в угодах || |з третіми сторонами || |Відсутність резервних джерел || |електроживлення || |Відсутність резервних каналів || |зв'язку || |Відсутність резервного || |обладнання ||--------------------------------+-------------------------------||Часткове/повне пошкодження |Неправильний розрахунок ||/втрата обладнання/даних від |потужності обладнання для ||неефективності системи |відведення тепла ||кліматконтролю або |Відсутність або недостатність ||водопостачання |вимог з інформаційної безпеки || |в угодах з третіми сторонами || |Неефективне обслуговування || |обладнання працівниками третіх || |сторін або персоналом банку || |Відсутність належного контролю || |та моніторингу обладнання ||--------------------------------+-------------------------------||Часткове/повне пошкодження |Неправильний розрахунок ||/втрата обладнання/даних від |необхідної потужності ||збоїв електроживлення |електроживлення || |Відсутність контролю || |та моніторингу системи || |електроживлення || |Відсутність резервних джерел || |електроживлення || |Відсутність резервного || |обладнання || |Відсутність або недостатність || |вимог з інформаційної безпеки в|| |угодах з третіми сторонами || |Неефективне обслуговування || |обладнання працівниками третіх || |сторін або персоналом банку ||--------------------------------+-------------------------------||Часткове/повне пошкодження |Недосвідченість персоналу ||/втрата обладнання/даних від |Відсутність системи моніторингу||недбалості персоналу |роботи ІТ інфраструктури || |Недосконала ІТ система || |Неефективна охорона || |Відсутність контролю за || |переміщенням майна банку || |Відсутність або недостатність || |тестування || |обладнання/програмного || |забезпечення || |Можливість використання || |обладнання/програмного || |забезпечення не за || |призначенням || |Неефективне розмежування прав || |доступу до програмного || |забезпечення/даних || |Недостатня захищеність || |вузла доступу до загальних || |мереж (наприклад, інтернет) від|| |зовнішніх зловмисників || |Недостатньо ефективна система || |розподілу прав доступу до || |інформації || |Відсутність "logout" під || |залишення працівником робочої || |станції || |Передача/втрата контролю за || |носіями криптографічних ключів || |Передача/компрометація || |паролів доступу || |Передача або повторне || |використання середовища || |збереження даних без || |відповідного знищення || |інформації || |Невиконання процедур резервного|| |копіювання інформації || |Незахищене зберігання || |даних/документів || |Неконтрольоване копіювання || |інформації ||--------------------------------+-------------------------------||Часткове/повне пошкодження |Відсутність резервних каналів ||/втрата даних від відмови |зв'язку ||телекомунікаційного обладнання |Відсутність резервного || |телекомунікаційного || |обладнання || |Недбалість персоналу || |Необізнаність персоналу || |Відсутність або недостатність || |вимог безпеки в угодах || |з провайдерами зв'язку || |Зловмисні дії персоналу || |провайдерів зв'язку || |Погане з'єднання та розміщення || |кабелів || |Наявність єдиної точки відмови ||--------------------------------+-------------------------------||Часткове/повне пошкодження |Необізнаність персоналу ||/втрата даних від порушення |Відсутність системи моніторингу||експлуатації обладнання/ |роботи ІТ інфраструктури ||програмного забезпечення |Недосконала ІТ система || |Ускладнений інтерфейс || |користувача || |Відсутність документації || |Недосконале або нове програмне || |забезпечення || |Відсутність або недостатність || |тестування || |обладнання/програмного || |забезпечення || |Відсутність перевірки || |цілісності програмного || |забезпечення під час || |його запуску || |Можливість використання || |обладнання/програмного || |забезпечення не за призначенням|| |Неефективне розмежування прав || |доступу до програмного || |забезпечення/даних || |Наявність єдиної точки відмови ||--------------------------------+-------------------------------||Часткове/повне пошкодження |Відсутність контролю за ||/втрата даних від |використанням ||неавторизованого використання |обладнання/програмного ||обладнання/програмного |забезпечення ||забезпечення |Відсутність контролю || |за внесенням змін до || |складу обладнання/програмного || |забезпечення || |Наявність незахищеного || |з'єднання з || |публічними мережами || |Відсутність політик || |використання обладнання/ || |програмного забезпечення || |Неефективне розмежування прав || |доступу до програмного || |забезпечення/обладнання || |Неефективна політика управління|| |мережею ||--------------------------------+-------------------------------||Часткове/повне пошкодження |Відсутність плану ||/втрата даних від збою |забезпечення безперервної ||обладнання/програмного |роботи ||забезпечення |Необізнаність персоналу || |Відсутність системи || |моніторингу роботи ІТ || |інфраструктури || |Недосконале або нове програмне || |забезпечення || |Відсутність контролю || |цілісності програмного || |забезпечення під час його || |запуску || |Відсутність або || |недостатність тестування || |обладнання / програмного || |забезпечення || |Можливість використання || |обладнання/програмного || |забезпечення не за || |призначенням || |Неефективне розмежування прав || |доступу до програмного || |забезпечення/даних || |Наявність єдиної точки || |відмови || |Відсутність або || |недосконалість системи || |резервного копіювання || |інформації || |Відсутність резервного || |обладнання || |Неадекватне реагування для || |підтримки сервісів || |Відсутність або недосконалість || |угоди про рівень обслуговування|| |третіми сторонами ||--------------------------------+-------------------------------||Часткове/повне пошкодження/ |Необізнаність персоналу ||втрата даних від неправильного |Відсутність системи моніторингу||використання обладнання/ |роботи ІТ інфраструктури ||програмного забезпечення |Недосконала ІТ система || |Ускладнений інтерфейс || |користувача || |Відсутність документації || |Недосконале або нове програмне || |забезпечення || |Відсутність або недостатність || |тестування обладнання/ || |програмного забезпечення || |Можливість використання || |обладнання/програмного || |забезпечення не за призначенням|| |Неефективне розмежування прав || |доступу до програмного || |забезпечення/даних || |Відсутність або недосконалість || |системи резервного копіювання || |інформації || |Відсутність резервного || |обладнання || |Неадекватне реагування для || |підтримки сервісів ||--------------------------------+-------------------------------||Компрометація інформації за |Небезпечна архітектура мережі ||допомогою віддаленого шпіонажу |Відсутність або || |неефективність ідентифікації та|| |аутентифікації користувача || |Передавання паролів у || |відкритому вигляді || |Незахищене з'єднання || |з публічними мережами || |Недостатній контроль за || |функціонуванням та управлінням || |мережею || |Недостатня обізнаність || |персоналу у питаннях || |інформаційної безпеки ||--------------------------------+-------------------------------||Компрометація інформації за |Відсутність екранування ||допомогою перехоплення побічних |серверної кімнати ||електромагнітних сигналів |Неефективна || |охорона та пропускний режим для|| |відвідувачів ||--------------------------------+-------------------------------||Компрометація інформації за |Наявність незахищених ||допомогою підслуховування |комунікаційних ліній || |Відсутність процедури || |безпечного проведення нарад || |Наявність незахищеного || |конфіденційного трафіку || |Необізнаність персоналу ||--------------------------------+-------------------------------||Компрометація інформації за |Відсутність процедури ||допомогою відновлення |знищення інформації ||середовища, що повторно |Необізнаність персоналу ||використовується або викинуто |Відсутність визначеного || |дисциплінарного процесу у || |випадку інциденту інформаційної|| |безпеки ||--------------------------------+-------------------------------||Компрометація інформації за |Неправильний підбір персоналу ||допомогою розкриття/продажу |Необізнаність персоналу у ||інформації працівниками банку |питаннях інформаційної безпеки || |Відсутність класифікації || |інформації || |Відсутність затвердженої || |процедури поводження || |з інформацією з || |обмеженим доступом || |Відсутність визначеного || |дисциплінарного процесу у || |випадку інциденту інформаційної|| |безпеки || |Незахищене з'єднання || |з публічними мережами || |Відсутність контролю за роботою|| |електронної пошти || |Відсутність або неефективність || |ідентифікації та аутентифікації|| |користувача || |Недостатній контроль || |за функціонуванням та || |управлінням мережею || |Неефективне розмежування прав || |доступу до програмного || |забезпечення/даних ||--------------------------------+-------------------------------||Компрометація інформації за |Відсутність або ||допомогою підробки обладнання / |неефективність процедури ||програмного забезпечення |контролю вводу нового || |програмного забезпечення / || |обладнання || |Неправильний підбір персоналу || |Відсутність або неефективність || |ідентифікації та аутентифікації|| |користувача || |Недостатній контроль || |за функціонуванням та || |управлінням мережею || |Неефективне розмежування прав || |доступу до програмного || |забезпечення / даних || |Відсутність визначеного || |дисциплінарного процесу у || |випадку інциденту інформаційної|| |безпеки ||--------------------------------+-------------------------------||Компрометація інформації за |Неправильний підбір персоналу ||допомогою шахрайського |Відсутність або ||копіювання даних |неефективність ідентифікації та|| |аутентифікації користувача || |Недостатній контроль за || |функціонуванням та управлінням || |мережею || |Неефективне розмежування прав || |доступу до програмного || |забезпечення/даних || |Відсутність визначеного || |дисциплінарного процесу у || |випадку інциденту інформаційної|| |безпеки || |Відсутність ефективної || |процедури || |моніторингу дій користувачів || |Відсутність записів про роботу || |користувачів в журналах аудиту ||--------------------------------+-------------------------------||Компрометація інформації за |Неправильний підбір персоналу ||допомогою нелегального |Відсутність або ||оброблення даних |неефективність ідентифікації та|| |аутентифікації користувача || |Доступність сервісів, в яких || |немає необхідності || |Недостатній контроль за || |функціонуванням та управлінням || |мережею || |Неефективне розмежування прав || |доступу до програмного || |забезпечення/даних || |Відсутність визначеного || |дисциплінарного процесу у || |випадку інциденту інформаційної|| |безпеки || |Відсутність ефективної || |процедури моніторингу || |дій користувачів || |Відсутність записів про роботу || |користувачів в журналах аудиту ||--------------------------------+-------------------------------||Компрометація інформації за |Необізнаність персоналу ||рахунок помилки/недбалості |Відсутність або неефективність ||персоналу під час оброблення |навчання персоналу ||даних |Ускладнений інтерфейс || |користувача || |Доступність сервісів, в яких || |немає необхідності || |Відсутність документації || |Неефективне розмежування прав || |доступу до програмного || |забезпечення/даних || |Відсутність ефективної || |процедури моніторингу дій || |користувачів || |Відсутність записів про роботу || |користувачів в журналах аудиту || |Підробка програмного || |забезпечення ||--------------------------------+-------------------------------||Компрометація інформації за |Неправильний підбір персоналу ||рахунок зловживання працівником |Відсутність або ||правами доступу до інформації |неефективність ідентифікації та|| |аутентифікації користувача || |Доступність сервісів, в яких || |немає необхідності || |Відсутність формальної || |процедури реєстрації та відміни|| |реєстрації прав доступу || |користувача || |Відсутність формальної || |процедури перегляду || |прав доступу користувачів || |Неефективне розмежування прав || |доступу до програмного || |забезпечення/даних || |Відсутність або неефективність || |процедур контролю прав доступу || |Відсутність регулярних аудитів || |Відсутність визначеного || |дисциплінарного процесу || |у випадку інциденту || |інформаційної безпеки || |Відсутність ефективної || |процедури моніторингу дій || |користувачів || |Відсутність записів про роботу || |користувачів в журналах аудиту ||--------------------------------+-------------------------------||Компрометація інформації за |Неправильний підбір персоналу ||рахунок підробки прав доступу до|Відсутність або ||інформації |неефективність ідентифікації та|| |аутентифікації користувача || |Доступність сервісів, в яких || |немає необхідності || |Наявність незахищених || |таблиць паролів || |Недосконале управління паролями|| |доступу || |Неправильні параметри || |інсталяції програмного || |забезпечення || |Недосконале програмне || |забезпечення || |Відсутність формальної || |процедури реєстрації та відміни|| |реєстрації прав доступу || |користувача || |Відсутність формальної || |процедури перегляду прав || |доступу користувачів || |Неефективне розмежування прав || |доступу до програмного || |забезпечення/даних || |Відсутність або неефективність || |процедур контролю прав доступу || |Відсутність регулярних аудитів || |Відсутність || |визначеного дисциплінарного || |процесу у випадку інциденту || |інформаційної безпеки || |Відсутність ефективної | |процедури моніторингу дій || |користувачів || |Відсутність || |записів про роботу користувачів|| |в журналах аудиту ||--------------------------------+-------------------------------||Компрометація інформації за |Небезпечна архітектура мережі ||рахунок отримання |Відсутність або ||несанкціонованого доступу до |неефективність ідентифікації та||інформації зовнішніми |аутентифікації користувача ||зловмисниками |Передавання паролів у || |відкритому вигляді || |Незахищене з'єднання || |з публічними мережами || |Відсутність або недостатність || |вимог з інформаційної безпеки з|| |клієнтами та/або третіми || |сторонами || |Недостатній контроль || |за функціонуванням та || |управлінням мережею/ || |програмним забезпеченням || |Відсутність ефективної || |процедури моніторингу дій || |користувачів || |Відсутність записів про роботу || |користувачів в журналах аудиту || |Недостатня обізнаність || |персоналу у питаннях || |інформаційної безпеки ||--------------------------------+-------------------------------||Компрометація інформації за |Помилки під час проектування ||рахунок неправильної роботи |та розроблення системи захисту ||системи захисту інформації |інформації || |Відсутність документації || |Необізнаність персоналу || |Відсутність або || |неефективність навчання || |персоналу || |Ускладнений інтерфейс || |користувача || |Відсутність контролю цілісності|| |системи захисту інформації під || |час її запуску/ініціалізації || |Відсутність записів про роботу || |системи захисту в журналах || |аудиту ||--------------------------------+-------------------------------||Компрометація інформації за | Помилки під час проектування ||рахунок навмисного |та розроблення системи захисту ||невикористання системи захисту |інформації ||інформації |Відсутність || |записів про роботу системи || |захисту в журналах аудиту || |Неправильний підбір персоналу || |Відсутність регулярних аудитів || |Відсутність визначеного || |дисциплінарного процесу у || |випадку інциденту інформаційної|| |безпеки ||--------------------------------+-------------------------------||Компрометація інформації за |Необізнаність персоналу ||рахунок компрометації паролів |Порушення персоналом правил ||доступу |зберігання паролів || |Доступність сервісів, в яких || |немає необхідності || |Наявність незахищених таблиць || |паролів || |Недосконале управління паролями|| |доступу || |Відсутність формальної || |процедури перегляду || |прав доступу користувачів || |Неефективне розмежування прав || |доступу до програмного || |забезпечення / даних || |Відсутність або неефективність || |процедур контролю прав доступу || |Відсутність регулярних аудитів || |Відсутність || |визначеного дисциплінарного || |процесу у випадку інциденту || |інформаційної безпеки || |Відсутність ефективної || |процедури моніторингу дій || |користувачів || |Відсутність записів про роботу || |користувачів в журналах аудиту ||--------------------------------+-------------------------------||Компрометація інформації за |Помилки під час проектування ||рахунок компрометації ключів |та розроблення системи захисту ||криптографічного захисту |інформації ||інформації |Помилки під час генерації || |ключів, в тому числі || |генерація ключів без паролю || |Неефективна процедура || |розповсюдження ключів || |Відсутність документів стосовно|| |поводження з криптографічними || |ключами для користувачів || |Відсутність записів про роботу || |системи захисту в журналах || |аудиту || |Відсутність регулярних аудитів || |Відсутність || |визначеного дисциплінарного || |процесу у випадку інциденту || |інформаційної безпеки ||--------------------------------+-------------------------------||Викривлення/підробка |Помилки під час проектування ||інформації/даних за рахунок |та розроблення програмного ||помилок програмного забезпечення|забезпечення в питаннях || |використання системи || |криптографічного захисту || |інформації || |Невикористання електронного || |цифрового підпису || |для захисту цілісності || |електронних банківських || |документів || |Відсутність перевірки || |електронного цифрового підпису || |під час роботи з електронними || |документами, які зберігаються в|| |базах даних/сховищах даних/ || |електронних архівах || |Відсутність записів про роботу || |системи захисту в журналах || |аудиту || |Відсутність документації || |Ускладнений інтерфейс || |користувача ||--------------------------------+-------------------------------||Неправильна робота системи |Помилки під час проектування ||захисту інформації |та розроблення системи захисту || |інформації || |Невикористання електронного || |цифрового підпису || |для захисту цілісності || |електронних банківських || |документів || |Відсутність документації || |Необізнаність персоналу || |Відсутність або || |неефективність навчання || |персоналу || |Ускладнений інтерфейс || |користувача || |Відсутність записів про роботу || |системи захисту в журналах || |аудиту ||--------------------------------+-------------------------------||Компрометація/передача особистих|Помилки під час проектування ||ключів електронного цифрового |та розроблення системи захисту ||підпису |інформації || |Помилки під час генерації || |ключів, в тому числі || |генерація ключів без паролю || |Неефективна процедура || |розповсюдження ключів || |Відсутність документів стосовно|| |поводження з ключами || |електронного цифрового підпису || |для користувачів || |Відсутність записів про роботу || |системи захисту в журналах || |аудиту || |Відсутність регулярних аудитів || |Відсутність належного || |визначення відповідальності за || |інформаційну безпеку || |Відсутність визначеного || |дисциплінарного процесу у || |випадку інциденту інформаційної|| |безпеки |------------------------------------------------------------------Для виявлення вразливостей в залежності від критичності
інформації та бізнес-процесу / банківського продукту, а також від
інформаційно-телекомунікаційних технологій можуть
використовуватися різні проактивні методи тестування. Такі методи
тестування включають: - спеціальний автоматичний інструментарій для сканування
вразливостей; - тестування та оцінку безпеки; - тести на проникнення; - перегляд коду програмно-технічних комплексів; - аналіз відомих порушень безпеки; - аналіз відомих вразливостей (наприклад, операційних систем,
баз даних, телекомунікаційних технологій та протоколів тощо). Такі методи допоможуть ідентифікувати вразливості. Слід зазначити, що іноді ці методи можуть надавати інформацію
про вразливості, які не представляють реальної загрози. Тому
необхідно чітко задавати параметри програмно-технічних комплексів
та їх конфігурацію для тестування.
|
|
|
|
|
Дата добавления: 2014-12-10; Просмотров: 727; Нарушение авторских прав?; Мы поможем в написании вашей работы!