В связи с многочисленными случаями хакерских атак на российские банки Банк России подготовил
регламентирующих документов для коммерческих банков под общим названием «Рекомендации в области стандартизации Банка России» в сфере информационной безопасности. Предусмотрено 8 кейсов — от контроля утечек конфиденциальной информации до оценки банком используемых информационных программных систем.
В рекомендациях, связанных с предотвращением утечек установлено, что внутренние пользователи банка должны быть разделены на 4 категории (А,Б,В,Г). В особой зоне риска присутствуют пользователи категории А3 - работники на испытательном сроке, подавшие заявление на увольнение или ранее участвовавшие в инцидентах, связанных с информационной безопасностью.
Потенциальным уязвимым каналом утечки информации из банка названа электронная почта, посредством которой и был распространен вирус, укравший миллионы рублей с корсчета у одного из банков из списка топ-100.
Также банки должны внимательнее относиться к случаям визуального (включая фотографирование и видеосъемку) и слухового (без использования специализированных технических средств) ознакомления с информацией банковских информационных систем.
Регулятор предлагает банкам широкий спектр мероприятий по мониторингу и контролю утечек, чтобы снизить риски утечки информации конфиденциального характера. Среди этих мероприятий важное место занимает мониторинг и блокирование работы с внешними адресами электронной почты, блокирование выхода в сеть Интернет, вплоть до запрета использования личных средств связи (телефоны, смартфоны, планшеты и т. п.) лицами, имеющими доступ к системам банка.
Особое место в системе контроля, по мнению специалистов Банка России, разрабатывавших стандарт, должно занять блокирование на рабочих станциях пользователей, из числа сотрудников банка, возможности использования сервисов мгновенных сообщений (ICQ, WhatsUp, Viber, Skype).
В рекомендациях, связанных с предотвращением утечек установлено, что внутренние пользователи банка должны быть разделены на 4 категории (А,Б,В,Г). В особой зоне риска присутствуют пользователи категории А3 - работники на испытательном сроке, подавшие заявление на увольнение или ранее участвовавшие в инцидентах, связанных с информационной безопасностью.
Потенциальным уязвимым каналом утечки информации из банка названа электронная почта, посредством которой и был распространен вирус, укравший миллионы рублей с корсчета у одного из банков из списка топ-100.
Также банки должны внимательнее относиться к случаям визуального (включая фотографирование и видеосъемку) и слухового (без использования специализированных технических средств) ознакомления с информацией банковских информационных систем.
Регулятор предлагает банкам широкий спектр мероприятий по мониторингу и контролю утечек, чтобы снизить риски утечки информации конфиденциального характера. Среди этих мероприятий важное место занимает мониторинг и блокирование работы с внешними адресами электронной почты, блокирование выхода в сеть Интернет, вплоть до запрета использования личных средств связи (телефоны, смартфоны, планшеты и т. п.) лицами, имеющими доступ к системам банка.
Особое место в системе контроля, по мнению специалистов Банка России, разрабатывавших стандарт, должно занять блокирование на рабочих станциях пользователей, из числа сотрудников банка, возможности использования сервисов мгновенных сообщений (ICQ, WhatsUp, Viber, Skype).
