Безопасность банковских систем
При создании своих электронных систем банкам необходимо уделить как можно больше внимания защите и обеспечению их безопасности. Обычно различают внутреннюю и внешнюю безопасность. Внутренняя безопасность обязана обеспечивать целостность программ и данных и нормальную работу всей системы. Внешняя безопасность должна защищать от любых, угрожающих сбоем в системе, проникновений. В настоящее время существуют два подхода к построению защиты банковских систем:
– комплексный подход – объединяет разнообразные методы противодействия угрозам;
– фрагментарный подход, т.е. противодействие определенным угрозам (антивирусные средства и т.н.).
Комплексный подход применяется для защиты крупных систем (например, международных межбанковских сетей). В 1985 г. Национальным центром компьютерной безопасности Министерства обороны США была опубликована "Оранжевая книга", в которой приводился свод правил и норм, а также основные понятия защищенности информационно-вычислительных систем. В дальнейшем эта книга превратилась в настоящее руководство к действию для специалистов по защите информации. В ней определяются такие понятия.
1. Политика безопасности – совокупность норм, правил и методик, на основе которых в дальнейшем строится деятельность информационной системы в области обращения, хранения, распределения критичной информации.
Политика безопасности определяет:
1.1. Цели, задачи, приоритеты системы безопасности.
1.2. Гарантированный минимальный уровень защиты.
1.3. Обязанности персонала по обеспечению защиты.
1.4. Санкции за нарушение защиты.
1.5. Области действия отдельных подсистем.
2. Анализ риска, который состоит из нескольких этапов:
2.1. Описание состава системы (документация, аппаратные средства, данные, персонал и т.д.).
2.2. Определение уязвимых мест по каждому элементу системы.
2.3. Оценка вероятности реализации угроз.
2.4. Оценка ожидаемых размеров потерь.
2.5. Анализ методов и средств защиты.
2.6. Оценка оптимальности предлагаемых мер.
Окончательно анализ риска выливается в стратегический план обеспечения безопасности, важным при этом является разбивка информации на категории. Наиболее простой метод категорирования информации таков: конфиденциальная информация, доступ к которой строго ограничен; открытая информация, доступ к которой посторонних не связан с материальными и другими потерями. Для деятельности коммерческого банка такой градации вполне достаточно.
Наиболее распространенными угрозами безопасности являются:
– несанкционированный доступ, который заключается в получении пользователем доступа к объекту, на который нет разрешения;
– "взлом системы" – умышленное проникновение, основную нагрузку защиты в этих случаях несет программа входа;
– "маскарад" – выполнение каких-либо действий одним пользователем банковской системы от имени другого;
– вирусные программы – воздействие на систему специально созданными программами, которые сбивают процесс обработки информации, и т.д.
В зависимости от существующих угроз различают следующие направления защиты банковских электронных систем.
1. Защита аппаратуры и носителей информации от повреждения, похищения, уничтожения.
2. Защита информационных ресурсов от несанкционированного использования.
3. Защита информационных ресурсов от несанкционированного доступа.
4. Защита информации в каналах связи и узлах коммутации (блокирует угрозу прослушивания).
5. Защита юридической значимости электронных документов.
6. Защита систем от вирусов.
Существуют различные программно-технические средства защиты.
К классу технических средств относятся: средства физической защиты территорий, сети электропитания; аппаратные и аппаратно-программные средства управления доступом к персональным компьютерам, комбинированные устройства и системы.
К классу программных средств защиты относятся: проверка паролей, программы шифрования (криптографического преобразования), программы цифровой подписи, средства антивирусной защиты, программы восстановления и резервного хранения информации. Руководящие документы в области защиты информации разработаны в России Государственной технической комиссией (ГТК) при Президенте РФ. Для коммерческих структур эти документы носят рекомендательный характер, а в государственном секторе и при содержании информации, относящейся к государственной тайне, они обязательны к исполнению. Сегодня хороших технологий защиты данных вполне хватает, но постоянно появляются новые. Компания Intel, процессорами которой оснащены 85% всех персональных компьютеров в мире, объявила, что скоро начнет выпускать чипы, в которых данные будут защищаться на аппаратном уровне, автоматически. США установили ограничения на экспорт мощных шифровальных технологий. Безопасность – один из наиболее важных вопросов интернет-банкинга, который волнует как самих банкиров, так и их потенциальных клиентов. Несмотря на то, что периодически появляются новые вирусы и развиваются хакерские методики, существуют технологии, которые практически сводят на нет вероятность краж в Интернете. Кражи как таковые происходят достаточно редко. Большинство действий хакеров в Интернете относится к категории вандализма. Банки должны не только брать на вооружение самые современные методы обеспечения безопасности интернет-транзакций, но и в упреждающем режиме доводить свою политику в сфере безопасности до сведения общественности. Клиент должен быть уверен, что в его банке применяются процедуры, позволяющие создать максимально безопасную среду интернет-банкинга. Пользователя, как правило, интересуют два вопроса из области безопасности – идентификация личности и защищенность самих транзакций. Все более популярным становится использование смарт-карт и генераторов случайных паролей. При осуществлении транзакций есть необходимость обеспечения безопасности любых телекоммуникаций, передачи информации, а также предотвращения их перехвата или искажения "в пути". Существующие на сегодня стандарты шифрования – вполне надежное средство обеспечения безопасности в этой области. При использовании открытых и частных ключей шифрования декодирование данных в процессе передачи является практически невозможным.