Підходи до забезпечення безпеки банківських електронних систем

Під безпекою банківської електронної системи будемо розуміти її властивість, що виражається в здатності протидіяти спробам нанесення шкоди власникам і користувачам системи при різних збурюючих (навмисних і ненавмисних) впливах на неї. Природа впливу може бути різною: спроби проникнення зловмисника, помилки персоналу, стихійні лиха (ураган, пожежа), вихід з ладу окремих ресурсів.

Зазвичай розрізняють внутрішню і зовнішню безпеку.

Зовнішня безпека включає захист від стихійних лих, від проникнення зловмисника ззовні з цілями розкрадання, отримання доступу до носіїв інформації або виведення системи з ладу. Предметом внутрішньої безпеки є забезпечення надійної і коректної роботи системи, цілісності її програм і даних.

В даний час склалося два прийоми побудови захисту для банківських систем: фрагментарний - протидія строго визначеним загрозам при певних умовах (наприклад, спеціалізовані антивірусні засоби, автономні засоби шифрування і т.д.) і комплексний - створення захищеного середовища обробки інформації, який би різнорідні заходи протидії загрозам (правові, організаційні, програмно-технічні). Комплексний прийом застосовують для захисту великих систем (наприклад, SWIFT) або невеликих систем, що обробляють дорогу інформацію або виконують відповідальні завдання.

При створенні захищених комп'ютерних систем використовують три основні підходи.

  • 1. Адміністративний - передбачає заходи, що вживаються адміністрацією системи по забезпеченню безпеки інформації в організаційному порядку згідно з посадовою інструкцією і чинному законодавству в рамках наділених повноважень.
  • 2. Криптографічний - спеціальне перетворення інформації з метою її приховування від сторонніх осіб.
  • 3. Програмно-технічний - використання для захисту спеціальних апаратних і програмних засобів.

За роки застосування в діяльності банків комп'ютерних систем накопичено чималий досвід захисту цих систем. Тому типова західна банківська система, платформа, на якій вона базується (СУБД, операційна система), містять вбудовані засоби запобігання несанкціонованому доступу. Але для забезпечення безпеки банківської системи цього недостатньо. Необхідно забезпечити виконання наступних заходів:

  • • організаційних заходів з контролю над персоналом, які мають високий рівень повноважень на дії в банківській системі (програмістами, адміністраторами баз даних і т.п.);
  • • організаційних і технічних заходів щодо резервування критично важливої ​​інформації;
  • • організаційних заходів з відновлення працездатності системи в разі виникнення нештатних ситуацій;
  • • організаційних і технічних заходів з управління доступом в приміщення, в яких знаходяться обчислювальна техніка і носії даних;
  • • з фізичного захисту приміщень, в яких перебувають обчислювальна техніка і носії даних, від пожежі, стихійних лих, масових заворушень, тероризму і т.п.

У 1985 р Національним центром комп'ютерної безпеки Міністерства оборони США була опублікована так звана Помаранчева книга ( "Критерії оцінки достовірності обчислювальних систем Міністерства оборони"). У ній наведено основні положення, за якими американське військове відомство визначало ступінь захищеності інформаційно-обчислювальних систем. У систематизованому вигляді викладені основні поняття, класифікація та рекомендації по видам загроз безпеки інформаційної системи і методам захисту від них. Згодом вона перетворилася в звід науково обґрунтованих норм і правил, що описують застосування системного підходу до забезпечення безпеки інформаційних систем і їх елементів, і стала настільною книгою для спеціалістів в області захисту інформації. Запропонована у Помаранчевій книзі методологія стала, по суті, загальноприйнятою і увійшла в тій чи іншій формі в національні стандарти різних держав.

Системний підхід у Помаранчевій книзі вимагає:

  • • прийняття принципових рішень в області безпеки на підставі поточного стану інформаційної системи;
  • • прогнозування можливих загроз і аналіз пов'язаного з ними ризику для інформаційної системи;
  • • планування заходів але запобігання виникненню критичних ситуацій;
  • • планування заходів по виходу з критичних ситуацій на випадок, якщо вони виникнуть.

Одне з основних понять, введених в Помаранчевій книзі, - політика безпеки, тобто сукупність норм, правил і методик, на основі яких в подальшому будується діяльність інформаційної системи в галузі поводження, зберігання і розподілу критичної інформації. При цьому під інформаційною системою розуміється не тільки апаратно-програмний комплекс, але і обслуговуючий його персонал.

Політика безпеки формується на підставі аналізу поточного стану і перспективи розвитку інформаційної системи, можливих загроз і визначає:

  • • цілі, завдання та пріоритети системи безпеки;
  • • області дії окремих підсистем;
  • • гарантований мінімальний рівень захисту;
  • • обов'язки персоналу по забезпеченню захисту;
  • • спектр санкцій за порушення захисту.

Для банківських електронних систем центральної в ряду проблем захисту є захист інформації. Всі інші види захисту зводяться до неї.

Інформація - це специфічний продукт, тому необхідні чіткі межі, що визначають інформацію як об'єкт права, які дозволять застосовувати до неї законодавчі норми. Федеральний закон від 27 липня 2006 р № 149-ФЗ "Про інформацію, інформаційні технології та захист інформації", спрямований на регулювання взаємовідносин в інформаційній сфері спільно з ГК РФ, відносить інформацію до об'єктів права і дає їй таке визначення: "Інформація - відомості про осіб, предмети, факти, події, явища і процеси незалежно від форми їх подання ".

В інформатиці інформація - це сукупність знань про фактичних даних і залежностях між ними. З цим визначенням найчастіше доводиться працювати фахівцям в області комп'ютерних інформаційних систем (ІС), і саме таке визначення (такий підхід з точки зору ІС) призводить до однобокого вирішення проблеми забезпечення безпеки у віртуальному світі. Однак існує більш традиційне визначення, пов'язане з побутовим розумінням проблеми. Великий енциклопедичний словник трактує поняття інформації як "щось, що передається усно або письмово"; латинське поняття Infonnation означає передавати, володіти, повідомляти. В цілому можна сказати, що інформація - це знання, які можуть існувати в різних видах або на різних носіях, тобто це думки людини, записи на папері, аудіо- та відеозаписи, електронні сигнали.

Цінність інформації є критерієм при прийнятті будь-якого рішення про її захист. Хоча було зроблено багато різних спроб формалізувати цей процес з використанням методів теорії інформації і аналізу рішень, процес оцінки досі залишається вельми суб'єктивним. Для оцінки потрібно розподілити інформацію на категорії не тільки відповідно до її цінності, а й важливістю. Відомо наступне поділ інформації за рівнем важливості:

  • • життєво важлива, незамінна інформація, наявність якої необхідно для функціонування організації;
  • • важлива інформація - інформація, яка може бути замінена або відновлена, але процес відновлення дуже важкий і пов'язаний з великими витратами;
  • • корисна інформація - інформація, яку важко відновити, однак організація може ефективно функціонувати і без неї;
  • • суттєва інформація - інформація, яка більше не потрібна організації.

На практиці віднесення інформації до однієї з цих категорій може являти собою досить важке завдання. Одна і та ж інформація може бути використана багатьма підрозділами організації, кожна з яких віднесе цю інформацію до різних категорій важливості.

Об'єктом захисту повинна бути інформація в будь-якому вигляді на будь-яких носіях.

Інформаційна безпека є одним з найважливіших аспектів сукупної безпеки, на який рівень розглядалася остання - національному, галузевому, корпоративному або персональному.

Під інформаційною безпекою розуміється захищеність інформації і підтримуючої інфраструктури від випадкових або навмисних впливів природного або штучного характеру, що можуть призвести нанесенням шкоди власникам або користувачам інформації і підтримуючої інфраструктури.

Інформаційна безпека - багатогранна, багатовимірна область діяльності, в якій успіх може принести тільки системний, комплексний підхід.

Інформаційні системи повинні відповідати наступним вимогам:

  • - Доступність (можливість за прийнятний час отримати необхідну інформаційну послугу);
  • - Цілісність (актуальність і несуперечність інформації, її захищеність від руйнування і несанкціонованого зміни);
  • - Конфіденційність (захист від несанкціонованого ознайомлення).

Інформаційні системи створюються для отримання і надання певних інформаційних послуг. Якщо з тих чи інших причин отримання цих послуг користувачами стає неможливим, це, очевидно, завдає шкоди всім суб'єктам інформаційних відносин. Тому, не протиставляючи доступність решті моментів, її можна виділити як найважливіший елемент інформаційної безпеки.

Цілісність інформаційної безпеки можна поділити на статичну (що розуміється як незмінність інформаційних об'єктів) і динамічну (що відноситься до коректного виконання складних дій - транзакцій). Практично всі нормативні документи і вітчизняні розробки відносяться до статичної цілісності, хоча динамічний аспект не менш важливий. Приклад динамічної цілісності - контроль потоку фінансових повідомлень на предмет виявлення крадіжки, переупорядковування або дублювання окремих повідомлень.

Конфіденційність - самий пророблений у нас в країні аспект інформаційної безпеки. На сторожі конфіденційності стоять закони, нормативні акти, багаторічний досвід відповідних служб. Вітчизняні апаратно-програмні продукти дозволяють закрити практично всі потенційні канали витоку інформації.

Інформаційна безпека повинна забезпечуватися на законодавчому, адміністративному, процедурному, програмно-технічному рівнях. Законодавчий рівень є найважливішим. До цього рівня відноситься весь комплекс заходів, спрямованих на створення і підтримання в суспільстві негативного (в тому числі карального) відношення до порушень і порушників інформаційної безпеки. Більшість людей нс здійснюють протиправних дій не тому, що це технічно неможливо, а тому, що це засуджується і карається суспільством. До законодавчого рівня можна віднести і приведення російських стандартів у відповідність з міжнародним рівнем інформаційних технологій взагалі, і інформаційної безпеки зокрема. Є багато причин, за якими це має бути зроблено. Одна з них - необхідність взаємодії із зарубіжними компаніями і закордонними філіями російських компаній. Зараз ця проблема вирішується шляхом отримання разових дозволів.

Основою заходів адміністративного рівня, тобто заходів, що вживаються керівництвом організації, є політика безпеки. Під цим терміном розуміється сукупність документованих управлінських рішень, спрямованих па захист інформації та асоційованих з нею ресурсів. Політика безпеки визначає стратегію організації в області інформаційної безпеки, а також міру уваги до неї і кількість ресурсів, які керівництво вважає за доцільне виділити для її забезпечення.

До процедурного рівня відносяться заходи безпеки, що реалізуються людьми. У вітчизняних організаціях накопичено багатий досвід складання та реалізації процедурних (організаційних) заходів, однак проблема полягає в тому, що вони були розроблені досить давно і потребують суттєвого перегляду.

Можна виділити наступні групи процедурних заходів:

  • - управління персоналом;
  • - Фізичний захист;
  • - Підтримка працездатності;
  • - Реагування на порушення режиму безпеки;
  • - Планування відновлювальних робіт.

Для кожної групи в кожній організації має існувати свій набір правил, що визначають дії персоналу. У свою чергу виконання цих правил слід відпрацювати на практиці.

Відповідно до сучасних уявлень, в рамках інформаційних систем повинні бути доступні, принаймні, такі механізми безпеки:

  • - Ідентифікація і перевірка справжності користувачів;
  • - Управління доступом;
  • - Протоколювання і аудит;
  • - Криптографія;
  • - Екранування;
  • - Забезпечення високої доступності.

Головне завдання для комерційних структур - засвоїти сучасний підхід до інформаційної безпеки, заповнити прогалини на адміністративному і процедурному рівнях, усвідомити важливість проблеми забезпечення високої доступності інформаційних ресурсів.

Якщо виконання політики безпеки проводиться непослідовно, то ймовірність порушення захисту інформації різко зростає. Під захистом інформації розуміється комплекс заходів, що забезпечують:

  • • збереження конфіденційності інформації - запобігання ознайомлення з інформацією осіб, які не уповноважених на ці дії;
  • • збереження інформації - інформація може постраждати від свідомих дій зловмисника, від помилок персоналу, від пожежі, аварій та ін .;
  • • доступність - наявність системи безпеки не повинно створювати перешкод нормальній роботі системи.

Визначення політики безпеки неможливо без аналізу ризику. Аналіз ризику покращує обізнаність керівництва і відповідальних співробітників банку про сильні і слабкі сторони системи захисту, створює базу для підготовки і прийняття рішень і оптимізує розмір витрат на захист, оскільки велика частина ресурсів спрямовується на блокування загроз, що приносять найбільший збиток.

Основні етапи аналізу ризику.

  • 1. Опис складу системи: апаратні засоби;
  • - програмне забезпечення;
  • - Дані;
  • - Документація;
  • - Персонал.
  • 2. Визначення вразливих місць: з'ясовується уразливість по кожному елементу системи з оцінкою можливих джерел загроз.
  • 3. Оцінка ймовірностей реалізації загроз.
  • 4. Оцінка очікуваних розмірів втрат. Цей етап складний, оскільки не завжди можлива кількісна оцінка даного показника (наприклад, шкоди репутації банку при порушенні конфіденційності інформації щодо рахунків і операцій клієнтів).
  • 5. Аналіз можливих методів і засобів захисту.
  • 6. Оцінка виграшу від запропонованих заходів. Якщо очікувані втрати більше допустимого рівня, необхідно посилити заходи захисту.

Аналіз ризику завершується прийняттям політики безпеки і складанням плану захисту з наступними розділами.

  • 1. Поточний стан. Опис статусу системи захисту в момент підготовки плану.
  • 2. Рекомендації. Вибір основних засобів захисту, що реалізують політику безпеки.
  • 3. Відповідальність. Список відповідальних осіб і зон відповідальності.
  • 4. Розклад. Визначення порядку роботи механізмів захисту, в тому числі і засобів контролю.
  • 5. Перегляд положень плану, які вимагають періодичного перегляду.

Ключовим питанням початкового етапу створення системи безпеки є призначення відповідальних за безпеку системи і розмежування сфер їх діяльності. Як правило, при початковій постановці таких питань з'ясовується, що за цей аспект безпеки організації ніхто відповідати не хоче. Системні програмісти і адміністратори систем схильні відносити цю задачу до компетенції загальної служби безпеки, тоді як остання, в свою чергу, вважає, що подібна проблема повинна знаходитися в сфері діяльності комп'ютерних фахівців.

При вирішенні питань розподілу відповідальності за безпеку комп'ютерної системи необхідно враховувати наступні положення:

  • - Ніхто, крім керівництва, не може прийняти основоположних рішень в області політики комп'ютерної безпеки;
  • - Ніхто, крім фахівців, не зможе забезпечити належну роботу системи безпеки;
  • - Ніяка зовнішня організація або група фахівців життєво не зацікавлена ​​в економічній ефективності заходів безпеки.

До галузі стратегічних рішень при створенні системи комп'ютерної безпеки повинна бути віднесена розробка загальних вимог до класифікації даних, що зберігаються і обробляються комп'ютерною системою. Категорирование інформації за важливістю існує об'єктивно і не залежить від бажань керівництва, оскільки визначається механізмом діяльності банку і характеризує небезпека знищення або модифікації інформації. У багатьох випадках існує плутанина між поняттями конфіденційності (секретності) і важливості інформації. Можна вказати багато варіантів такого категорирования. Тут наводиться найбільш простий.

  • 1. Важлива інформація - незамінна і необхідна для діяльності банку інформація, процес відновлення якої після знищення неможливий або дуже трудомісткий і пов'язаний з великими витратами, а її помилкове зміна або підробка приносить великої шкоди.
  • 2. Корисна інформація - необхідна інформація, яка може бути відновлена без великих витрат, причому її модифікація або знищення приносить відносно невеликі матеріальні втрати.

Категорирование інформації по конфіденційності виконується суб'єктивно керівництвом або персоналом відповідно до виділених йому повноваженнями в залежності від ризику її розголошення. Для діяльності комерційного банку досить двох градацій.

  • 1. Конфіденційна інформація - інформація, доступ до якої для частини персоналу або сторонніх осіб небажаний, так як може викликати матеріальні та моральні втрати.
  • 2. Відкрита інформація - інформація, доступ до якої сторонніх не пов'язаний ні з якими втратами.

Керівництво повинно прийняти рішення про те, хто і яким чином буде визначати ступінь важливості і конфіденційності інформації. Без такого рішення неможлива ніяка доцільна робота зі створення банківської електронної системи.

 
< Попер   ЗМІСТ   Наст >