Подходы к обеспечению безопасности банковских электронных систем

Под безопасностью банковской электронной системы будем понимать ее свойство, выражающееся в способности противодействовать попыткам нанесения ущерба владельцам и пользователям системы при различных возмущающих (умышленных и неумышленных) воздействиях на нее. Природа воздействия может быть различной: попытки проникновения злоумышленника, ошибки персонала, стихийные бедствия (ураган, пожар), выход из строя отдельных ресурсов.

Обычно различают внутреннюю и внешнюю безопасность.

Внешняя безопасность включает защиту от стихийных бедствий, от проникновения злоумышленника извне с целями хищения, получения доступа к носителям информации или вывода системы из строя. Предметом внутренней безопасности является обеспечение надежной и корректной работы системы, целостности ее программ и данных.

В настоящее время сложилось два приема построения защиты для банковских систем: фрагментарный – противодействие строго определенным угрозам при определенных условиях (например, специализированные антивирусные средства, автономные средства шифрования и т.д.) и комплексный – создание защищенной среды обработки информации, объединяющий разнородные меры противодействия угрозам (правовые, организационные, программно- технические). Комплексный прием применяют для защиты крупных систем (например, SWIFT) или небольших систем, обрабатывающих дорогостоящую информацию или выполняющих ответственные задачи.

При создании защищенных компьютерных систем используют три основных подхода.

  • 1. Административный – подразумевает меры, принимаемые администрацией системы по обеспечению безопасности информации в организационном порядке согласно должностной инструкции и действующему законодательству в рамках наделенных полномочий.
  • 2. Криптографический – специальное преобразование информации с целью ее сокрытия от посторонних лиц.
  • 3. Программно-технический – использование для защиты специальных аппаратных и программных средств.

За годы применения в деятельности банков компьютерных систем накоплен достаточно большой опыт защиты этих систем. Поэтому типичная западная банковская система, платформа, на которой она базируется (СУБД, операционная система), содержат встроенные средства предотвращения несанкционированного доступа. Но для обеспечения безопасности банковской системы этого недостаточно. Необходимо обеспечить выполнение следующих мер:

  • • организационных мероприятий по контролю над персоналом, имеющим высокий уровень полномочий на действия в банковской системе (программистами, администраторами баз данных и т.п.);
  • • организационных и технических мероприятий по резервированию критически важной информации;
  • • организационных мероприятий по восстановлению работоспособности системы в случае возникновения нештатных ситуаций;
  • • организационных и технических мероприятий по управлению доступом в помещения, в которых находятся вычислительная техника и носители данных;
  • • по физической защите помещений, в которых находятся вычислительная техника и носители данных, от пожара, стихийных бедствий, массовых беспорядков, терроризма и т.п.

В 1985 г. Национальным центром компьютерной безопасности Министерства обороны США была опубликована так называемая Оранжевая книга ("Критерии оценки достоверности вычислительных систем Министерства обороны"). В ней приведены основные положения, по которым американское военное ведомство определяло степень защищенности информационно-вычислительных систем. В систематизированном виде изложены основные понятия, классификация и рекомендации по видам угроз безопасности информационной системы и методам защиты от них. Впоследствии она превратилась в свод научно обоснованных норм и правил, описывающих применение системного подхода к обеспечению безопасности информационных систем и их элементов, и стала настольной книгой для специалистов в области защиты информации. Предложенная в Оранжевой книге методология стала, по существу, общепринятой и вошла в той или иной форме в национальные стандарты различных государств.

Системный подход по Оранжевой книге требует:

  • • принятия принципиальных решений в области безопасности на основании текущего состояния информационной системы;
  • • прогнозирования возможных угроз и анализ связанного с ними риска для информационной системы;
  • • планирования мероприятий но предотвращению возникновения критических ситуаций;
  • • планирования мероприятий по выходу из критических ситуаций на случай, если они возникнут.

Одно из основных понятий, введенных в Оранжевой книге, – политика безопасности, т.е. совокупность норм, правил и методик, на основе которых в дальнейшем строится деятельность информационной системы в области обращения, хранения и распределения критичной информации. При этом под информационной системой понимается не только аппаратно-программный комплекс, но и обслуживающий его персонал.

Политика безопасности формируется на основании анализа текущего состояния и перспективы развития информационной системы, возможных угроз и определяет:

  • • цели, задачи и приоритеты системы безопасности;
  • • области действия отдельных подсистем;
  • • гарантированный минимальный уровень защиты;
  • • обязанности персонала по обеспечению защиты;
  • • спектр санкций за нарушения защиты.

Для банковских электронных систем центральной в ряду проблем защиты является защита информации. Все остальные виды защиты сводятся к ней.

Информация это специфический продукт, поэтому необходимы четкие границы, определяющие информацию как объект права, которые позволят применять к ней законодательные нормы. Федеральный закон от 27 июля 2006 г. № 149-ФЗ "Об информации, информационных технологиях и защите информации", направленный на регулирование взаимоотношений в информационной сфере совместно с ГК РФ, относит информацию к объектам права и дает ей следующее определение: "Информация – сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления".

В информатике информация – это совокупность знаний о фактических данных и зависимостях между ними. С этим определением чаще всего приходится работать специалистам в области компьютерных информационных систем (ИС), и именно такое определение (такой подход с точки зрения ИС) приводит к однобокому решению проблемы обеспечения безопасности в виртуальном мире. Однако существует более традиционное определение, связанное с бытовым пониманием проблемы. Большой энциклопедический словарь трактует понятие информации как "нечто, передаваемое устно или письменно"; латинское понятие Infonnation означает передавать, владеть, сообщать. В целом можно сказать, что информация – это знания, которые могут существовать в различных видах или на различных носителях, т.е. это мысли человека, записи на бумаге, аудио- и видеозаписи, электронные сигналы.

Ценность информации является критерием при принятии любого решения о ее защите. Хотя было предпринято много различных попыток формализовать этот процесс с использованием методов теории информации и анализа решений, процесс оценки до сих пор остается весьма субъективным. Для оценки требуется распределить информацию на категории не только в соответствии с ее ценностью, но и важностью. Известно следующее разделение информации по уровню важности:

  • • жизненно важная, незаменимая информация, наличие которой необходимо для функционирования организации;
  • • важная информация – информация, которая может быть заменена или восстановлена, но процесс восстановления очень труден и связан с большими затратами;
  • • полезная информация – информация, которую трудно восстановить, однако организация может эффективно функционировать и без нее;
  • • несущественная информация – информация, которая больше не нужна организации.

На практике отнесение информации к одной из этих категорий может представлять собой весьма трудную задачу. Одна и та же информация может быть использована многими подразделениями организации, каждое из которых отнесет эту информацию к различным категориям важности.

Объектом защиты должна являться информация в любом виде на любых носителях.

Информационная безопасность является одним из важнейших аспектов совокупной безопасности, на каком бы уровне ни рассматривалась последняя – национальном, отраслевом, корпоративном или персональном.

Под информационной безопасностью понимается защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, чреватых нанесением ущерба владельцам или пользователям информации и поддерживающей инфраструктуре.

Информационная безопасность – многогранная, многомерная область деятельности, в которой успех может принести только системный, комплексный подход.

Информационные системы должны отвечать следующим требованиям:

  • – доступность (возможность за приемлемое время получить требуемую информационную услугу);
  • – целостность (актуальность и непротиворечивость информации, ее защищенность от разрушения и несанкционированного изменения);
  • – конфиденциальность (защита от несанкционированного ознакомления).

Информационные системы создаются для получения и предоставления определенных информационных услуг. Если по тем или иным причинам получение этих услуг пользователями становится невозможным, это, очевидно, наносит ущерб всем субъектам информационных отношений. Поэтому, не противопоставляя доступность остальным моментам, ее можно выделить как важнейший элемент информационной безопасности.

Целостность информационной безопасности можно подразделить на статическую (понимаемую как неизменность информационных объектов) и динамическую (относящуюся к корректному выполнению сложных действий – транзакций). Практически все нормативные документы и отечественные разработки относятся к статической целостности, хотя динамический аспект не менее важен. Пример динамической целостности – контроль потока финансовых сообщений на предмет выявления кражи, переупорядочения или дублирования отдельных сообщений.

Конфиденциальность – самый проработанный у нас в стране аспект информационной безопасности. На страже конфиденциальности стоят законы, нормативные акты, многолетний опыт соответствующих служб. Отечественные аппаратно-программные продукты позволяют закрыть практически все потенциальные каналы утечки информации.

Информационная безопасность должна обеспечиваться на законодательном, административном, процедурном, программно-техническом уровнях. Законодательный уровень является важнейшим. К этому уровню относится весь комплекс мер, направленных на создание и поддержание в обществе негативного (в том числе карательного) отношения к нарушениям и нарушителям информационной безопасности. Большинство людей нс совершают противоправных действий не потому, что это технически невозможно, а потому, что это осуждается и наказывается обществом. К законодательному уровню можно отнести и приведение российских стандартов в соответствие с международным уровнем информационных технологий вообще, и информационной безопасности в частности. Есть много причин, по которым это должно быть сделано. Одна из них – необходимость взаимодействия с зарубежными компаниями и зарубежными филиалами российских компаний. Сейчас эта проблема решается путем получения разовых разрешений.

Основой мер административного уровня, т.е. мер, предпринимаемых руководством организации, является политика безопасности. Под этим термином понимается совокупность документированных управленческих решений, направленных па защиту информации и ассоциированных с ней ресурсов. Политика безопасности определяет стратегию организации в области информационной безопасности, а также меру внимания к ней и количество ресурсов, которые руководство считает целесообразным выделить для ее обеспечения.

К процедурному уровню относятся меры безопасности, реализуемые людьми. В отечественных организациях накоплен богатый опыт составления и реализации процедурных (организационных) мер, однако проблема состоит в том, что они были разработаны достаточно давно и нуждаются в существенном пересмотре.

Можно выделить следующие группы процедурных мер:

  • – управление персоналом;
  • – физическая защита;
  • – поддержание работоспособности;
  • – реагирование на нарушения режима безопасности;
  • – планирование восстановительных работ.

Для каждой группы в каждой организации должен существовать свой набор правил, определяющих действия персонала. В свою очередь исполнение этих правил следует отработать на практике.

Согласно современным представлениям, в рамках информационных систем должны быть доступны, по крайней мере, следующие механизмы безопасности:

  • – идентификация и проверка подлинности пользователей;
  • – управление доступом;
  • – протоколирование и аудит;
  • – криптография;
  • – экранирование;
  • – обеспечение высокой доступности.

Главная задача для коммерческих структур – усвоить современный подход к информационной безопасности, заполнить пробелы на административном и процедурном уровнях, осознать важность проблемы обеспечения высокой доступности информационных ресурсов.

Если выполнение политики безопасности проводится непоследовательно, то вероятность нарушения защиты информации резко возрастает. Под защитой информации понимается комплекс мероприятий, обеспечивающих:

  • • сохранение конфиденциальности информации – предотвращение ознакомления с информацией лиц, не уполномоченных на эти действия;
  • • сохранность информации – информация может пострадать от сознательных действий злоумышленника, от ошибок персонала, от пожара, аварий и др.;
  • • доступность – наличие системы безопасности не должно создавать помех нормальной работе системы.

Определение политики безопасности невозможно без анализа риска. Анализ риска улучшает осведомленность руководства и ответственных сотрудников банка о сильных и слабых сторонах системы защиты, создает базу для подготовки и принятия решений и оптимизирует размер затрат на защиту, поскольку большая часть ресурсов направляется на блокирование угроз, приносящих наибольший ущерб.

Основные этапы анализа риска.

  • 1. Описание состава системы: аппаратные средства;
  • – программное обеспечение;
  • – данные;
  • – документация;
  • – персонал.
  • 2. Определение уязвимых мест: выясняется уязвимость по каждому элементу системы с оценкой возможных источников угроз.
  • 3. Оценка вероятностей реализации угроз.
  • 4. Оценка ожидаемых размеров потерь. Этот этап сложен, поскольку не всегда возможна количественная оценка данного показателя (например, ущерба репутации банка при нарушении конфиденциальности информации о счетах и операциях клиентов).
  • 5. Анализ возможных методов и средств защиты.
  • 6. Оценка выигрыша от предлагаемых мер. Если ожидаемые потери больше допустимого уровня, необходимо усилить меры защиты.

Анализ риска завершается принятием политики безопасности и составлением плана защиты со следующими разделами.

  • 1. Текущее состояние. Описание статуса системы защиты в момент подготовки плана.
  • 2. Рекомендации. Выбор основных средств защиты, реализующих политику безопасности.
  • 3. Ответственность. Список ответственных лиц и зон ответственности.
  • 4. Расписание. Определение порядка работы механизмов защиты, в том числе и средств контроля.
  • 5. Пересмотр положений плана, которые требуют периодического пересмотра.

Ключевым вопросом начального этапа создания системы безопасности является назначение ответственных за безопасность системы и разграничение сфер их деятельности. Как правило, при начальной постановке таких вопросов выясняется, что за этот аспект безопасности организации никто отвечать не хочет. Системные программисты и администраторы систем склонны относить эту задачу к компетенции общей службы безопасности, тогда как последняя, в свою очередь, считает, что подобная проблема должна находиться в сфере деятельности специалистов по компьютерам.

При решении вопросов распределения ответственности за безопасность компьютерной системы необходимо учитывать следующие положения:

  • – никто, кроме руководства, не может принять основополагающих решений в области политики компьютерной безопасности;
  • – никто, кроме специалистов, не сможет обеспечить правильное функционирование системы безопасности;
  • – никакая внешняя организация или группа специалистов жизненно не заинтересована в экономической эффективности мер безопасности.

К области стратегических решений при создании системы компьютерной безопасности должна быть отнесена разработка общих требований к классификации данных, хранимых и обрабатываемых компьютерной системой. Категорирование информации по важности существует объективно и не зависит от желаний руководства, поскольку определяется механизмом деятельности банка и характеризует опасность уничтожения либо модификации информации. Во многих случаях существует путаница между понятиями конфиденциальности (секретности) и важности информации. Можно указать много вариантов такого категорирования. Здесь приводится наиболее простой.

  • 1. Важная информация – незаменимая и необходимая для деятельности банка информация, процесс восстановления которой после уничтожения невозможен либо очень трудоемок и связан с большими затратами, а ее ошибочное изменение или подделка приносит большой ущерб.
  • 2. Полезная информация – необходимая информация, которая может быть восстановлена без больших затрат, причем ее модификация или уничтожение приносит относительно небольшие материальные потери.

Категорирование информации по конфиденциальности выполняется субъективно руководством или персоналом в соответствии с выделенными ему полномочиями в зависимости от риска ее разглашения. Для деятельности коммерческого банка достаточно двух градаций.

  • 1. Конфиденциальная информация – информация, доступ к которой для части персонала или посторонних лиц нежелателен, так как может вызвать материальные и моральные потери.
  • 2. Открытая информация – информация, доступ к которой посторонних не связан ни с какими потерями.

Руководство должно принять решение о том, кто и каким образом будет определять степень важности и конфиденциальности информации. Без такого решения невозможна никакая целесообразная работа по созданию банковской электронной системы.

 
< Пред   СОДЕРЖАНИЕ     След >