Меры предупреждения преступных посягательств на компьютерную информацию банка
Выполнение задач по организация защиты компьютерной информации возлагается на специально создаваемую систему защиты информации (СЗИ). Последняя (согласно определению ГОСТ Р 50922-2006[1]) включает в себя совокупность органов и (или) исполнителей, технических средств защиты информации, а также объекты защиты. Создание и организация работы СЗИ следует начинать с разработки и принятия документов, служащих правовой, организационно-распорядительной и нормативной основой деятельности по защите информации.
Основные направления защиты информации реализуются путем осуществления мер правового, организационного, программно-технического характера, в том числе применения криптографических средств защиты.
Наиболее распространенными обстоятельствами, способствующими противоправным посягательствам в сфере компьютерной информации, являются: просчеты в организации программной и технической защиты компьютеров; легкомыслие или небрежность системного администратора службы безопасности информации (лица, ответственного за защиту информации на объекте); беспечность или умышленные действия сотрудников банка, разглашающих сведения ограниченного доступа о компьютерной системе банка.
Пример. Случаем ненадлежащего отношения к защите компьютерной информации могут служить обстоятельства преступления, известного по публикациям отечественных и зарубежных СМИ как "дело Левина". Группа лиц, в том числе В. Левин, работавших в одной из фирм Санкт-Петербурга, используя телекоммуникационные сети, несанкционированно входила в систему управления наличными фондами Ситибанка (США, Нью-Йорк). В процессе неправомерного доступа к компьютерной информации преступники осуществили не менее 40 переводов на общую сумму свыше 10 млн долл. США, из которых около 400 тыс. долл, им удалось похитить.
Как выяснилось позднее, "входы" в некоторые компьютеры Ситибанка даже не были прикрыты паролями. Всего на этих компьютерах побывало более 100 несанкционированных пользователей из России, которые использовали жесткие диски банковских вычислительных машин для хранения своих программ, просматривали внутреннюю банковскую документацию, установили на эти компьютеры программу, при помощи которой общались друг с другом. Указанные действия оставались вне поля зрения администраторов сети в течение года.
Меры правовой и организационной защиты компьютерной информации банка заключаются в разработке и принятии банком специальных правовых и нормативных актов, предписывающих выполнение соответствующих правил и процедур, обеспечивающих защиту информации на правовой основе. Указанные документы представляют собой систему положений, инструкций, руководств, призванную четко регламентировать права и обязанности пользователей информации, правовой статус органов, технических средств и способов ее защиты. На этой основе устанавливаются полномочия руководителей банка по отнесению информации к сведениям ограниченного доступа и вводится порядок назначения и снятия грифа конфиденциальности. Организуется специальное делопроизводство, обеспечивающее сохранность носителей информации ограниченного доступа, а также техническую и физическую защиту информации.
Устанавливается персональная ответственность пользователя за сохранность доверенных ему документов (носителей), содержащих информацию ограниченного доступа, за неправомерные действия в информационной системе, которые повлекли или могли повлечь несанкционированное ознакомление с защищаемой информацией, ее искажение или уничтожение, сделали информацию недоступной для законных пользователей. В этих целях организуется разрешительная система допуска исполнителей к работе с компьютерной информацией, документами и сведениями различного уровня доступа.
Одновременно разрабатывается и вводится в силу должностная инструкция, определяющая задачи, права, функции, ответственность и обязанности администратора службы защиты информации – лица, ответственного за защиту информации в банке. Эта инструкция должна предусматривать порядок ведения служебной документации средств защиты информации (смену паролей, ключей, изменения списка субъектов, имеющих право на доступ), организацию их надежного хранения. На администратора службы защиты информации возлагается задача оперативного контроля целостности программного и технического обеспечения, контроля за ходом технологического процесса обработки информации.
В соответствии с инструкцией администратор службы защиты информации должен вести учет, хранение и выдачу пользователям носителей информации ограниченного доступа, учтенной бумаги для распечаток (в случае отсутствия программной реализации печати учетных реквизитов и контроля за выдачей распечаток), паролей и ключей для средств защиты информации, осуществлять ежедневный контроль за СЗИ в целях выявления любых изменений в сетевых компонентах, произошедших в нерабочее время. Периодически тестировать СЗИ с целью выявления уязвимых мест. Кроме того, администратор службы защиты информации обязан вести оперативный контроль за действиями пользователей информационной системы банка, за организацией физической защиты помещений, в которых производится автоматизированная обработка информации ограниченного доступа.
В число организационных задач по защите следует включить мероприятия, направленные на обучение пользователей правилам безопасной работы с защищаемой информацией и ознакомление с признаками противоправных посягательств на информацию.
Повышению надежности информационной системы банка способствует такая мера, как изготовление резервных копий данных с ключевых систем и других важных данных. Названные копии следует хранить в условиях, исключающих доступ к ним посторонних.
Защита информации путем применения программных и технических средств осуществляется включением в информационную систему банка программ и механизмов, закрывающих к ней доступ посторонних, в том числе с использованием пароля, шифрования или других методов. Применение указанных мер позволяет получить доступ к чтению, записи, созданию или уничтожению информации только надлежащим образом уполномоченным лицам. Кроме того, эти меры позволяют защитить правовую силу электронных документов в процессе обработки, хранения и передачи информационных сообщений, содержащих в себе приказы, платежные поручения, контракты и другие распорядительные и финансовые документы. Для защиты электронного документа от подделки применяется электронная цифровая подпись (реквизит электронного документа, полученный в результате криптографического преобразования информации с использованием закрытого ключа)[2].
Информационная система банка снабжается механизмами идентификации и аутентификации (проверки подлинности пользователей) на основе использования паролей, ключей, электронной подписи, а также биометрических характеристик личности пользователя.
Устанавливается мандатный порядок доступа, при котором пользователь наделяется правом получать доступ лишь к специально поименованным объектам (файлам, папкам, программам, томам) и только в тех пределах, которые являются санкционированными конкретно для него или группы работников (читать объект (файл), вносить в него запись, копировать). С этой целью каждому пользователю и каждому документу присваиваются классификационные метки, отражающие их место в соответствующей иерархии, служащие основой мандатного принципа разграничения доступа к информации.
Важным элементом программно-технических средств защиты информации является автоматическая регистрация (протоколирование) информационной системой событий, имеющих отношение к защищенности информации. В их число входит учет фактов разрешенного (и попыток несанкционированного) доступа к защищаемой информации (например, открытие файла, запуск программы), а также создания и уничтожения документа. Для каждого из этих событий регистрируются: дата и время; конкретный пользователь; тип события (если регистрируется запрос на доступ, то отмечается объект и тип доступа); обслужен запрос на доступ или нет. Кроме того, в целях фиксации права собственности на информацию и предупреждения о ее особом правовом режиме средства вычислительной техники должны обеспечивать вывод документа на бумажный носитель вместе с его классификационной меткой (реквизитами).
К программным методам СЗИ следует также отнести применение устойчивого к вирусам программного обеспечения, защищенного от возможности несанкционированной модификации за счет специальных зашифрованных вставок, снабженных механизмами самоконтроля и самовосстановления; установку специальных программ-анализаторов, осуществляющих периодическую проверку наличия возможных следов вирусной активности (например, обнаружение нарушений целостности программного обеспечения), а также жесткий входной контроль новых программ перед их введением в вычислительную систему по характерным признакам наличия в их теле вирусных образований.
Подводя итог сказанному, следует отметить, что надежная защита компьютерной информации предполагает комплексное использование всех перечисленных выше средств и методов. По мнению специалистов в области защиты информации, самая совершенная технология, правильная стратегия развития не смогут гарантировать от упущений в управлении. Однако продуманная практика управления всегда может справиться с пробелами в технологии.
Наряду с администратором службы защиты информации субъектами защиты информации банка являются служба внутреннего контроля и служба безопасности.
Обязанности и полномочия службы внутреннего контроля в сфере защиты компьютерной информации сформулированы в Положении ЦБ РФ от 16.12.2003 № 242-П "Об организации внутреннего контроля в кредитных организациях и банковских группах". Согласно этому нормативному документу участие службы внутреннего контроля банка в защите компьютерной (и другой защищаемой) информации должно начинаться с контроля за соблюдением установленных в банке критериев подбора и расстановки кадров (такие критерии определяются с целью исключить заключение трудовых договоров (контрактов) с лицами, обладающими сомнительной деловой и общественной репутацией, а также недостаточно компетентными).
Кроме того, проверяется наличие в заключенных с работниками трудовых соглашениях (контрактах) соответствующих обязательств обеспечивать сохранность защищаемой информации. Устанавливается, ознакомлен ли вновь принятый или назначенный на соответствующую должность работник с инструкцией, регламентирующей его обязанности.
В процессе текущего контроля проверяется эффективность и работоспособность систем, контролирующих соблюдение работником установленных правил совершения соответствующих банковских и иных операций.
Под эффективностью и работоспособностью систем контроля в данном случае понимается наличие процедур и механизмов, исключающих выход работника за пределы установленных полномочий.
В число подлежащих контролю входят, в частности, процедуры защиты банковской информации ограниченного доступа, организации доступа работников к имеющейся в банке информации в зависимости от их компетенции, установленной внутренними регламентирующими документами.
Контрольные мероприятия должны охватывать проверку наличия пакета документов, регулирующих деятельность банка, включая положение о распределении доступа пользователей к осуществлению операций в программном обеспечении, а также к базам данных в компьютерных системах и наличие должностных инструкций для всех штатных должностей в банке.
Кроме того, должно быть зафиксировано наличие (или отсутствие) контроля за состоянием информационной системы банка и ее безопасностью, а также периодичность оценки уровня безопасности информационной системы банка.
Служба безопасности банка принимает меры к предупреждению, выявлению и пресечению попыток противоправных действий в сфере компьютерной информации банка в пределах полномочий, установленных законодательством и внутренними нормативными правовыми актами банка. В отличие от службы внутреннего контроля, решающей указанные выше задачи административными методами, служба безопасности банка использует методы частного сыска и криминалистики.