10) «активное содержимое» может быть активнее, чем кажется. Такие средства формирования «активного контента», т. е. динамического и интерактивного содержания web-страниц, как Java, JavaScript, ActiveX могут использоваться и для скрытого вредоносного воздействия на компьютерные системы, краж данных и т. д. Часто полезно отключать их;

11) надежная вчера криптозащита ненадежна сегодня. Само по себе шифрование сообщений не гарантирует от их несанкционированного прочтения. По мере роста вычислительной мощности компьютеров и с применением распределенного подхода вероятность взлома повышается. Необходимо следить за устареванием средств криптозащиты;

12) «дверь черного хода» может оказаться открытой. Брандмауэры по периметру вычислительной сети защищают от сетевых проникновений, но не от атак через модемы, особенно несанкционированные. Необходимо следить за действиями пользователей и попытками такого проникновения через «дыры» в защите, проводя аудит линий связи;

13) не может быть «безвредных» атак. Даже если хакеру не удается нанести ущерб, скопировать какие-то данные или украсть деньги, сам факт проникновения может стать известен и негативно сказаться на «бренде» организации, вызвав в конце концов и одинаковые потери;

14) у хакеров прекрасное светлое будущее. Хакеров становится все больше, средства взлома всегда доступны на их web-сайтах и совершенствуются. Необходимо периодически пересматривать политику безопасности.

Мало того, «выиграть у хакеров невозможно, потому что у нормальных людей есть нормальные человеческие потребности: они работают, едят, пьют, спят, гуляют с девушками и т. д., а хакера все это не интересует — он живет только ради несанкционированного доступа и занимается только и исключительно этим круглосуточно».

В целом ЖЦ ОИБ должен поддерживать набор типовых внутрибанковских процедур, в состав которых целесообразно включать (как минимум):

разработку мер по ОИБ при принятии решения о внедрении новой банковской информационной технологии (в первую очередь ТЭБ), т. е. документально оформленное требование участия в проектировании, разработке, ПСИ, эксплуатации, модернизации и замене банковских автоматизированных систем;

контроль над реализацией этих мер при практическом внедрении программно-технических решений, в которые закладываются новые средства ОИБ и (или) модернизируются уже существующие, т. е. участие в ПСИ любого уровня, начиная со стадии подготовки программ и методик этих испытаний для банковских автоматизированных систем;

регулярную проверку функциональности и надежности средств ОИБ, т. е. участие в проверках функционирования этих средств и тестировании банковских автоматизированных систем, систем электронного банкинга, а также компьютерных систем и телекоммуникационных сетей;

то же — в отношении изучения состояния дел с ОИБ у провайдеров кредитной организации, с позиций оценки значимости инцидентов информационной безопасности (совместно с другими службами этой организации);

обеспечение адаптации мер по ОИБ при модификации действующих банковских автоматизированных систем и систем электронного банкинга и (или) выводе их из эксплуатации и замене, т. е. участие в их модернизации с проведением имитационного тестирования;

проведение проверок выполнения требований по ОИБ, изложенных в «Политике обеспечения информационной безопасности» кредитной организации и связанных с ней внутрибанковских документах.

Эти процедуры целесообразно специально разрабатывать и адаптировать для каждой из технологий электронного банкинга, используемой или предполагаемой для внедрения кредитной организацией, не забывая, что каждая из них после внедрения создает своего рода «виртуальные ворота» для доступа к ее информационно-процессинговым ресурсам. Очевидно, что доступ к этим ресурсам должен иметь только и исключительно легитимный пользователь, располагающий точно определенными правами и строго ограниченными полномочиями доступа. Необходимо подчеркнуть, что работа по обеспечению соблюдения таких ограничений и регулярному подтверждению их реального наличия независимо от конкретных банковских информационных технологий (в первую очередь — технологий ДБО) является одной из важнейших внутрибанковских процедур в части ОИБ и защиты банковских и клиентских данных.

5.5. Адаптация внутреннего контроля