Если судить по статистике криминальных проявлений, совершенных в последнее время с использованием незаконно полученной охраняемой информации, сфера информационной безопасности многих коммерческих банков требует неотложного совершенствования.

К аналогичному выводу приводят и результаты сопоставления фактического состояния систем информационной безопасности ряда коммерческих банков с критериями Стандарта Банка России `Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения` СТО БР ИББС-1.0-2006 (введен в действие Распоряжением Банка России от 26 января 2006 г. N Р-27)[1]

Мы намеренно оставляем за рамками обсуждения такую важную составляющую системы информационной безопасности, как правовые и организационные меры воздействия на `человеческий фактор`, и останавливаемся на вопросах обеспечения безопасности банковской деятельности (включая защиту информационных активов) с использованием программно-аналитических комплексов.

Обобщение практики использования банками аналитических технологий в сфере обеспечения информационной безопасности позволяет обозначить ряд типичных проблем.

В их числе:

-просчеты в идентификации активов, подлежащих защите, программно-аппаратными средствами, и в определении областей поиска информации, имеющей значение для целей обеспечения безопасности;

-трудности обнаружения значимой для обеспечения безопасности информации в большом объеме событий, регистрируемых в электронных журналах (лог-файлах); недостатки представления и использования результатов электронных регистрирующих и контрольных систем банка;

-отсутствие системного подхода к анализу информации, имеющейся в распоряжении банка;

-неспособность охватить автоматизированными средствами контроля деятельность сотрудников, обладающих максимальными возможностями доступа к информационным ресурсам и средствам их обработки (программисты, администраторы);

-отсутствие точных и детальных моделей угроз и нарушителей, позволяющих эффективно выявлять, предупреждать и расследовать инциденты ИБ с наименьшими затратами ресурсов;

-отстраненность Службы безопасности от участия в контроле за безопасностью аппаратно-программного сегмента информационной системы банка к информации;

-недостатки в организации и неудовлетворительные результаты расследования ИБ, слабое использование опыта расследования в целях выявления, предупреждения и пресечения инцидентов ИБ.

Некоторые из перечисленных выше просчетов и недостатков в обеспечении безопасности банка не позволили, в частности, своевременно выявить и пресечь систематические преступные действия П., бывшего ИТ-менеджера одного из московских банков, осужденного в 2008 году. Имея официальный доступ к специальным аппаратно-программным комплексам процессингового центра банка, П. похитил более EUR600 тыс. (более 23,6 млн руб.). Механизм хищений выглядел следующим образом. Несколько знакомых ИТ-менеджера получили в банке пластиковые карты, которые передали П. В дальнейшем П. снимал с карточных счетов через банкомат денежные суммы в иностранной валюте (евро) и, пользуясь специально созданной компьютерной `отмычкой`, корректировал в программе SmartVista учетные записи операций о выдаче наличных, заменяя номинальные суммы выданной иностранной валюты на аналогичные суммы в рублях. Первый эпизод мошенничества (в совокупности с нарушением правил эксплуатации ЭВМ) был совершен 17 мая 2007 года. Всего же указанная схема использовалась П. 184 раза. В отдельных случаях сумма снятых им наличных достигала EUR16 тыс. Недостача денежных средств была обнаружена бухгалтерией банка лишь через 9 месяцев, в начале 2008 года.

По нашей оценке, совершению преступлений П. способствовал серьезный просчет в системе информационной безопасности банка, а именно: в организации деятельности подсистем сбора и обработки информации из банкоматов и процессингового центра в соответствии с п. 2.9. Положения ЦБР от 24 декабря 2004 г. N 266 - П ` Об эмиссии банковских карт и об операциях, совершаемых с использованием платежных карт`, в том числе в сопоставлении записей и идентификации транзакций.

Без сомнения, при условии системного комплексного анализа информации, преступная дельность П. была бы выявлена и пресечена в самом начале.

В частности, использование программно-аппаратных средств для комплексной обработки учетных записей банкоматов и записей процессингового центра позволяет выявить несоответствие между ними (а следовательно и недостачу наличности) в течение одного-двух операционных дней.

Автоматизированная аналитическая обработка других массивов информации банка дает возможность с большой степенью вероятности установить лицо, осуществившее модификацию учетных записей, позволяет выявить и зафиксировать наличие связей (телефонной и по электронной почте) между владельцами пластиковых карт, с использованием которых была получена валюта, и организатором преступной деятельности П. Подробнее об указанных функциональных возможностях автоматизированных аналитических комплексов речь пойдет ниже.

Согласно сообщениям специалистов[2], значительное число банков испытывает трудности в выборе средств своевременного обнаружения и предупреждения угроз безопасности, позволяющих автоматизировать поиск признаков противоправных посягательств в электронных массивах информации. Существенным сдерживающим моментом внедрения таких средств является высокая цена ряда программных продуктов, преимущественно иностранного производства. Однако ситуация постепенно меняется в лучшую сторону. В настоящее время в России появились отечественные комплексы интеллектуального анализа данных, которые существенно превосходят по своим функциональным возможностям и предпочтительности ценовых показателей иностранные разработки аналогичного назначения.

Разработанные отечественные комплексы охватывают все компоненты Аналитического процесса, а именно: сбор данных ? предварительная оценка и выявление признаков ИИБ ? формирование значимых для расследования материалов ? анализ информации в ходе расследования ? представление информации для принятия решений по делу.

В целях анализа информации пользователю предоставляются такие эффективные инструменты, как: анализ связей, анализ потоков, анализ телефонных соединений, анализ почтового трафика, управление расследованием и др.

На базе специализированных комплексов создаются полномасштабные системы оперативной обработки и визуального представления результатов анализа данных, собираемых из широкого круга источников, определенных специалистами предметной области.

Информационными ресурсами для целей анализа могут служить данные внутренних операционных систем банка, собственные массивы информации службы внутреннего контроля, служ-бы безопасности, службы защиты информации, подразделения по работе с персоналом и других структурных подразделений кредитной организации. Кроме того, система может использовать в автоматиче-ском режиме в заданных ей целях данные сети Интернет, а также содержание информационных баз государственных контролирующих, регистрирующих и иных организаций.

Реализованные методы позволяют концентрировать усилия на сборе конкретной информации, относящейся к текущей задаче, а не на накоплении массивов случайных данных.

Набор функциональных возможностей комплексов дает возможность использовать их для решения полного цикла задач обеспечения безопасности банковской деятельности, начиная с выявления угроз (признаков преступных посягательств на информационные и иные активы банка) и завершая внутренним расследованием указанных событий с принятием мер правового реагирования.

Известно, что процесс выявления, предупреждения и пресечения противоправных посягательств на информацию и другие активы банка в рамках уголовного или административного производства, финансового или служебного расследования осуществляется путем поиска относящихся к делу объектов и установления связей, характеризующих роль, место и функции этих объектов в структуре механизма расследуемого события.

В основе контрольной или поисковой (сыскной) деятельности в лежит использование соответствующих шаблонов (моделей, заданных параметров).

Поиск информации

Система содержит в себе, а затем распознает в реальном режиме времени модели различного типа противоправных посягательств. Фактические данные для создания моделей собираются специалистами банка и постоянно об-новляются с учетом последней информации об инцидентах ИБ и иных противоправных проявлениях. Кроме того, пользователь в любой момент может самостоятельно скорректировать модель (параметры поиска) с учетом специфики расследуемого события.

На практике `запуск` такой модели представляет собой команду пользователя на выборку объектов и их связей с предварительно заданными значениями. Задача может быть поставлена в текстовом виде или в виде схемы, созданной в рабочем поле монитора. Поисковые запросы могут автоматически запускаться в указанное пользователем время. Так же, в автоматическом режиме пользователь получает извещение о выявленых комплексом событиях, поставленных на контроль.

Использованные в Комплексе программные и технические решения позволяют вести `сквозной` поиск значимой информации во всех используемых источниках, включая федеральные и региональные базы данных. Обработка запросов осуществляется автоматически, пакетным методом. Возможна параллельная обработка нескольких `сквозных` запросов. Процедура автоматизированного поиска информации дает возможность пользователю получать информацию не только о результатах проверки, но и о ходе выполнения запроса.

Аналитическая обработка информации в интерактивном режиме позволяет в короткое время обработать все необходимые массивы данных и представить их в удобной для восприятия визуальной форме: в виде схем, диаграмм или таблиц (по выбору пользователя).

Представление об объеме подлежащих обработке данных дает следующий пример. Для полноценного обеспечения информационной безопасности крупного банка следует ежедневно обрабатывать не менее 13 внутренних источников информации, среди которых: сислог-файлы; лог межсетевого экрана; журнал безопасности; сведения об использовании ICQ; логи почтового сервера; записи о предоставлении услуг телефонной связи и др. При этом данные названных источников фиксируются в виде строчных записей.

Как правило, поиск следов противоправной деятельности в указанных записях `вручную`, без использования возможностей автоматизации, практически бесперспективен, поскольку необходимые для расследования данные, скрыты в большом объеме не относящихся к делу сведений.

Например, в одной из обследованных авторами российских организаций объем информации только в сислог-файле достигает в течение рабочего дня 5 млн. записей.

Поисковые модели комплекса формируются с использованием соответствующих функций, в число которых входят:

- поиск информационных объектов и связей по их типу и по значениям характеристик;

- поиск связей между двумя объектами (с возможностью наложения условий на значения характеристик);

- поиск путей взаимосвязи объектов через любое количество уровней (цепочки косвенных связей) (с возможностью наложения условий на значения характеристик);

- поиск схем связанных объектов;

- поиск похожих объектов;

- поиск объектов, соответствующих группам значений характеристик.

Указанные поисковые функции могут использоваться по отдельности либо в виде комбинации, соответствующей выдвинутой пользователем версии.

Обнаруженные объекты и их связи фильтруются на основе значений характеристик. При этом фрагментарные сведения о сходных объектах, полученные из разных источников, могут объединяться по мере поступления данных, достаточных для вывода о тождестве объектов. Возможность разделения объединенных объектов по команде пользователя также сохраняется.

Представление результатов поиска

Проблемы автоматизации процесса обеспечения информационной безопасности банка не исчерпываются необходимостью повышения эффективности выявления и фиксации данных об искомых объектах и их связях. Не менее важной задачей является форма описания и представления добытых знаний.

Автоматизированный комплекс позволяет не только выявить необходимую информацию, но и представить результаты поиска в удобной для пользователя визуальной форме: в виде легко воспринимаемых схем, выполненных в терминах и понятиях анализируемой области.

Работа со схемой обеспечивает интерактивную связь с анализируемыми массивами информации путем непосредственного обращения к отображаемым на ней объектам.

Все аналитические задачи выполняются в терминах объектов предметной области и поэтому работа пользователя не требует специальной компьютерной подготовки.

Выявленная комплексом информация может быть представлена в виде аналитических диаграмм (связей, потоков, событий, бизнес процессов), а также в форме таблиц и графиков.

Поисковые модели комплекса эффективно используются для выявления и анализа имеющих значение для ИБ банка сведений в архивах телефонного корпоративного трафика, а также в архивах и логах корпоративной почтовой системы.

Использование комплексов службами безопасности позволяет обеспечить эффективный контроль и своевременное выявление неправомерных действий, в том числе со стороны сотрудников ИТ-подразделений.

Функциональные возможности комплекса в сфере выявления и анализа данных в массивах телефонного трафика

Обработка данных о количестве соединений, инициаторах соединений, длительности соединения и т.д. позволяет комплексу:

- выявить устойчивые связи объекта, отграничив их от эпизодических (случайных);

Схема N 4. Степень устойчивости связей объекта определяется толщиной линий, каждая из которых по команде пользователя разделяется на обозначение отдельных соединений с идентифицирующими их атрибутами (дата, время, направление, продолжительность и др.)

- выдвинуть версии об иерархии объектов внутри групп абонентов и установить `узлы` связи таких групп ;

-обнаружить опосредованные связи (цепочки связей) между отдельными объектами или группами объектов;

Схема N 5 Отображение связи через посредника (либо организатора) между двумя группами объектов.

-выявить дополнительные телефонные трубки или другие абонентские номера объекта на основе типовых характеристик его поведенческой модели, созданной на основе обработки данных за определенный период времени (пространственно-временное распределение звонков, набор связей, длительность соединения и т.д.).

Функциональные возможности комплекса в сфере выявления и анализа данных в системах корпоративной документальной связи (электронная почта, ICQ).

Обработка указанных данных позволяет комплексу:

- вести в текстовой информации (в архиве и текущих сообщениях) автоматизированный поиск упоминаний об определенных лицах на основе моделей, включающих характеристики этих лиц (фамилия, имя, отчество, прозвище и т.д.);

-выявлять в массиве текстовой информации упоминания об определенных событиях;

-обнаруживать неявные связи корреспондентов с объектом или событием, являвшимся предметом поиска (схема 006-009);

-выполнять структурно-статистический анализ трафика - анализ количества, направления, пространственных и временных характеристик связей корреспондентов, их связей с событиями, имеющими отношение к анализируемым объектам (создание событийной модели);

-прогнозировать наступление события при последующем автоматизированном обнаружении обычно сопутствующих ему признаков, сформированных в типовой событийной модели (модель строится, например, с учетом совпадения выявленных инцидентов ИБ и сопутствующих им сообщениям электронной почты или телефонных звонков).

Использование возможностей комплекса в расследовании событий, связанных с нарушениями информационной безопасности

Расследование событий, связанных с нарушениями ИБ является крайне важным и сложным элементом системы менеджмента информационной безопасности банка. Результаты успешно проведенного расследования позволяют получить дополнительную информацию о механизме и способе совершения посягательства, о лице (лицах), совершивших посягательство, о причинах и условиях, способствовавших совершению правонарушения, о следах и иных доказательствах противоправной деятельности виновных. Эти сведения необходимы как для совершенствования технических и организационных мер противодействия угрозам информационной безопасности, так и для разработки моделей угроз и нарушителей ИБ, которые стандарт Банка России СТО ИББС-1.0-2006 рассматривает как `Главный инструмент собственника` (п.5.7.), в решении задач предупреждения и выявления угроз информационной безопасности.

Функциональные возможности комплекса способны предоставить работникам служб информационной безопасности информационно-аналитическую поддержку не только в организации расследования, но и в разработке указанных выше моделей.

На начальном этапе расследования такая поддержка помогает разобраться:

-в исходной ситуации (когда суть события не вполне очевидна).

- в установлении неизвестных обстоятельств события;

-в определении направлений и сфер поиска носителей значимой информации, их характера, круга, локализации;

-в определении направлений предстоящей работы и составлении плана действий по проверке выдвинутых версий;

-в выборе средств и методов обнаружения и использования доказательств;

-в оценке полученной доказательственной информации и принятии решений по расследуемому инциденту информационной безопасности;

-в подготовке документов, необходимых для принятия правового решения.

В основе функционирования комплекса лежит использование двух взаимосвязанных и взаимодополняющих друг друга моделей: а) модели типовой программы расследования; б) модели фактической информации, получаемой по конкретному расследованию в результате поисковых и иных действий.

Модель типовой программы расследования представляет собой пошаговое описание известных практике вариантов раскрытия и расследования, начиная от исходных ситуаций до окончания расследования.

Модель обладает способностью включать необходимый объем информации различного формата, в частности текстовой (нормативных предписаний, ведомственных и корпоративных нормативных актов, методических рекомендаций, типовых бланков и т.д.), фотографических изображений, видео и аудио файлов, схем и т.п.

Визуально программа представляет собой схему, исходной точкой которой является символическое изображение нормы Закона (напр. Ст.272, 273, 274 УК) или иного нормативного акта. Следующие уровни модели включают в себя элементы понятий УПК: 1. Обнаружение признаков преступления (в рассмотренном выше случае признаком инцидента информационной безопасности; служит несоответствие записей электронного журнала банкомата и записей реестра платежей процессингового центра). 2.Решения, принимаемые по результатам рассмотрения сообщения об инциденте (преступлении). 3.Расследование инцидента. 4. Окончание расследования, составление завершающего документа и предложения о принятии решения, предусмотренного законом).

Типичным примером действий лиц, ведущих расследование инцидента ИБ будет пошаговое перемещение по таким элементам схемы, как: 1) обнаружение признака ИИБ; 2) решение о проведении расследования; 3) обстоятельства, подлежащие доказыванию; 4) решение по результатам расследования.

Например, в рассмотренном выше инциденте подлежали доказыванию следующие обстоятельства:

1)способ совершения посягательства на информационную безопасность:

- создание, использование и распространение вредоносных программ для ЭВМ;

- внесение изменений в существующие программы с целью, модификации;

2) предмет посягательства:

- программы, которые подвергаются модификации;

- денежные средства;

3) доказательства модификации программ.

`Перемещаясь` по схеме с учетом исходной и последующих ситуаций, пользователь выбирает направление расследования, получает законодательные предписания и методические рекомендации по выполнению задач различного уровня, а также типовые бланки документов. Рекомендации даются в `сжатом` виде либо в форме исходного нормативного или методического документа, загруженного в систему.

Модель фактической информации формируется в режиме диалога по мере внесения пользователем фактических данных в описанную выше типовую модель. Такие данные могут быть включены в схему в виде полномасштабного документа в электронном виде (в т.ч. сканированного с бумажного носителя), в виде файла видео-аудио записи либо в виде отсылочной информации с адресом хранения документа.

Вносимая в модель фактическая информация классифицируется и структурируется в соответствии с данными типовой модели, разработанной на основе системы нормативных предписаний. При этом типовая модель не является закрытой системой. Ее структура позволяет следователю расширять и углублять классификацию фактической информации до пределов, имеющих практическую (научную) целесообразность.

Добытая и внесенная в модель фактическая информация позволяет пользователю визуально контролировать ведение расследования, полноту сбора информации об обстоятельствах, подлежащих доказыванию и т.д.

Возможности системы в сфере управления расследованием ИБ предназначены также для оказания эффективной интеллектуальной поддержки в процессе выдвижения версий, планирования расследования и контроля за его ходом.

Важным назначением комплексов является обобщение знаний ведущих экспертов предметной области для их практического использования рядовыми сотрудниками при решении сложных аналитических задач.

__________________

[1] Правда, документ этот не безупречен с точки зрения права (содержит ссылки на отмененную ст. 139 ГК, использует отсутствующее в современном законодательстве понятие `служебная тайна` и не имеющую какого-либо правового смысла понятие `пометка ДСП`. Определенные вопросы возникают по поводу т.н. `осознания информационной безопасности`.

[2] См. Журлаков Д. Г. Практика проведения инспекционных проверок коммерческих банков в части использования ими информационных технологий и обеспечения безопасности. Деньги и кредит, 3/2007.

Гамза Владимир Андреевич, кандидат юридических и экономических наук вице-президент Ассоциации "Россия"

Ткачук Игорь Борисович, кандидат юридических наук главный эксперт ООО "Институт проблем безопасности и анализа информации "

Чокпаров Марат Кавкешевич, генеральный директор ООО "Институт проблем безопасности и анализа информации"

Управление в кредитной организации. 03.2009 (49), с.114-123.
 

Док. 592235
Перв. публик.: 21.03.09
Последн. ред.: 07.02.12
Число обращений: 0