Кибербезопасность в условиях электронного банкинга. Практическое пособие - Коллектив авторов
В обычную практику организации и поддержания разделения обязанностей в комплексах ЭБ входят:
– разработка транзакционных процессов и систем таким образом, чтобы обеспечивалась невозможность ввода, авторизации и завершения транзакций ни для какого работника или провайдера заказных услуг;
– соблюдение разделения функций между теми, кто работает со статичными данными (включая содержание веб-страниц), и теми, кто отвечает за верификацию и целостность данных;
– тестирование с СЭБ на предмет проверки невозможности обхода установленного разделения обязанностей;
– соблюдение разделения функций между теми, кто разрабатывает СЭБ, и теми, кто их администрирует[114].
Принцип 7: банкам следует обеспечивать наличие должных средств авторизации и полномочий доступа для систем, баз данных и приложений ЭБ.
Для поддержания разделения обязанностей банкам необходимо строго контролировать авторизацию и полномочия доступа. Недостатки в обеспечении адекватного контроля авторизации могут дать возможность отдельным лицам расширить свои права авторизации, обойти разделение функций и получить доступ к системам, базам данных и прикладным программам ЭБ, к которым они не допущены.
В банках права авторизации и доступа в СЭБ могут устанавливаться как централизованно, так и распределенным образом, и соответствующие параметры обычно заносятся в базы данных. Защита таких баз данных от внешнего воздействия или повреждения принципиально необходима для эффективного контроля авторизации.
Ниже приведены дополнительные примеры надежной организации, которые могут помочь установить должный контроль над авторизацией и правами доступа к системам, базам данных и прикладным программам ЭБ.
1. Всем лицам, агентам или системам, участвующим в деятельности, осуществляемой в рамках ЭБ, следует назначить специальную авторизацию и полномочия доступа.
2. Все СЭБ следует проектировать таким образом, чтобы они гарантированно взаимодействовали с правильной базой данных авторизации.
3. Никакому отдельному агенту или системе не должна быть предоставлена возможность изменять его или ее собственные права либо полномочия доступа, зафиксированные в базе данных авторизации, входящей в СЭБ[115].
4. Любые добавления лица, агента или системы либо изменения в полномочиях доступа, зафиксированных в базе данных авторизации, применяемой в рамках ЭБ, должны быть авторизованы в установленном порядке от аутентифицированного источника, наделенного соответствующими правами адекватным руководящим органом, и должны подлежать полноценному и своевременному наблюдению, а также отражению в аудиторских записях.
5. Следует принимать должные меры для обеспечения обоснованной устойчивости баз данных авторизации в части ЭБ к внешним воздействиям. Любое такое воздействие подлежит обнаружению с помощью процессов постоянного мониторинга. Следует обеспечить документирование в аудиторских записях всех попыток воздействия подобного рода.
6. Любую базу данных, используемую в СЭБ, которая подверглась внешнему воздействию, следует исключить из пользования до замены ее удостоверенной базой данных.
7. Следует обеспечить наличие средств контроля для предотвращения изменений в уровнях авторизации во время сеансов проведения транзакций в рамках ЭБ, кроме того, любые попытки внесения изменений в авторизацию должны фиксироваться (в т. ч. соответствующая информация должна предоставляться руководству банка).
Принцип 8: банкам следует обеспечивать наличие должных мер защиты целостности данных в транзакциях, записях и информации ЭБ.
Под целостностью данных понимается гарантия того, что передаваемая или хранимая информация не подвергалась неавторизованному воздействию. Недостатки в обеспечении целостности данных в транзакциях, записях и информации могут привести к финансовым потерям банков, а также к возрастанию правового и репутационного рисков.
Сам характер сквозной обработки для операций ЭБ может затруднить обнаружение ошибок программирования или мошеннической деятельности на ранней стадии. Поэтому банкам следует реализовать сквозную обработку таким образом, чтобы гарантировать безопасность и идентичность, а также целостность данных.
Поскольку данные по операциям ЭБ передаются по открытым сетям связи, транзакции подвержены дополнительной опасности искажения данных, мошенничества и воздействия на записи. Соответственно, банкам следует обеспечивать наличие должных мер, которые позволяют удостовериться в точности, полноте и надежности транзакций, записей и информации ЭБ, как передаваемых через интернет с размещением во внутренних базах банков, так и передаваемых/хранимых сторонними провайдерами услуг по поручению конкретного банка[116]. Обычные меры, применяемые для поддержания целостности данных в комплексах ЭБ, включают:
– проведение транзакций ЭБ таким образом, что обеспечивается их высокая устойчивость к внешним воздействиям на протяжении всего процесса;
– хранение, предоставление и модификацию записей об операциях ЭБ таким образом, что обеспечивается их высокая устойчивость к внешним воздействиям;
– разработку процессов обработки транзакций и хранения записей ЭБ таким образом, чтобы было фактически невозможно избежать обнаружения неавторизованных изменений;
– наличие адекватной политики контроля над изменениями, включая процедуры мониторинга и тестирования, для защиты против любых изменений в СЭБ, которые могут из-за ошибочных или намеренных действий повредить средствам управления или снизить надежность данных;
– обнаружение любого воздействия на транзакции или записи ЭБ с помощью функций обработки транзакций, мониторинга и обеспечения сохранности данных.
Принцип 9: банкам следует убедиться в формировании точных аудиторских записей по всем транзакциям в рамках ЭБ.
Предоставление финансовых услуг через интернет может затруднить для банков внедрение и применение средств внутреннего контроля и поддержание точных аудиторских записей, если эти меры не адаптированы к комплексу ЭБ. Банки сталкиваются с проблемами обеспечения не только внутреннего контроля в условиях значительной автоматизации, но и независимого аудита средств контроля, особенно в части всех критичных для операций ЭБ событий и прикладных программ.
Условия работы внутреннего контроля банка могут быть ухудшены, если отсутствует возможность формирования точных аудиторских записей по деятельности в рамках ЭБ.
Это обусловлено тем, что многие, если не все, записи о таких операциях и фиксация событий осуществляются в электронной форме. При определении ситуаций, в которых следует обеспечивать наличие точных аудиторских записей, требуется рассматривать следующие типы транзакций в рамках ЭБ:
– открытие, изменение или закрытие счетов клиента;
– любые транзакции, влекущие за собой финансовые последствия;
– любую авторизацию, модификацию или аннулирование прав доступа к системе или полномочий.
Ниже приведены дополнительные примеры надежной организации в целях обеспечения наличия точных аудиторских записей для транзакций, осуществляемых в рамках ЭБ.
1. В банках должны постоянно вестись электронные журналы, в которых осуществляется фиксация всех событий в системе и их описаний по всем транзакциям в рамках ЭБ, чтобы способствовать формированию четких аудиторских записей и аргументации в разрешении спорных вопросов.
2. СЭБ следует разрабатывать и внедрять таким образом, чтобы обеспечивались фиксация и сохранение учитываемых в судебном разбирательстве свидетельств, а также предотвращение воздействия извне и получения фальшивых улик.
3. В случаях, когда за системы обработки и связанные с ними аудиторские записи отвечает сторонний провайдер услуг:
– банку следует обеспечить себе доступ к требуемым ему аудиторским записям, которые делает провайдер услуг;
– аудиторские записи, обеспечиваемые провайдером услуг, должны соответствовать стандартам, установленным в данном банке.
Принцип 10: банкам следует принимать должные меры для сохранения конфиденциальности важнейшей информации в области ЭБ. Меры, принимаемые