Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

Размещено на http://www.allbest.ru/

Министерство общего и профессионального образования Ростовской области

ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ СРЕДНЕГО ПРОФЕССИОНАЛЬНОГО ОБРАЗОВАНИЯ РОСТОВСКОЙ ОБЛАСТИ

«Ростовский-на-Дону колледж связи и информатики»

По дисциплине: «Информационная безопасность»

Тема: Информационная защита банков

Выполнил: студент

Кладовиков В.С.

Группа ПО-44

Специальность 23010551 Программное обеспечение

вычислительной техники и автоматизированных систем

Руководитель: Семергей С.В.

201 3

Введение

1. Особенности информационной безопасности банков

2. Безопасность автоматизированных систем обработки информации в банках (АСОИБ)

3. Безопасность электронных платежей

4. Безопасность персональных платежей физических лиц

Заключение

Приложения

Введение

Со времени своего появления банки неизменно вызывали преступный интерес. И этот интерес был связан не только с хранением в кредитных организациях денежных средств, но и с тем, что в банках сосредотачивалась важная и зачастую секретная информация о финансовой и хозяйственной деятельности многих людей, компаний, организаций и даже целых государств. В настоящее время в результате повсеместного распространения электронных платежей, пластиковых карт, компьютерных сетей объектом информационных атак стали непосредственно денежные средства как банков, так и их клиентов. Совершить попытку хищения может любой - необходимо лишь наличие компьютера, подключенного к сети Интернет. Причем для этого не требуется физически проникать в банк, можно «работать» и за тысячи километров от него.

Именно эта проблема является сейчас наиболее актуальной и наименее исследованной. Если в обеспечении физической и классической информационной безопасности давно уже выработаны устоявшиеся подходы (хотя развитие происходит и здесь), то в связи с частыми радикальными изменениями в компьютерных технологиях методы безопасности автоматизированных систем обработки информации банка (АСОИБ) требуют постоянного обновления. Как показывает практика, не существует сложных компьютерных систем, не содержащих ошибок. А поскольку идеология построения крупных АСОИБ регулярно меняется, то исправления найденных ошибок и «дыр» в системах безопасности хватает ненадолго, так как новая компьютерная система приносит новые проблемы и новые ошибки, заставляет по-новому перестраивать систему безопасности.

На мой взгляд, каждый заинтересован в конфиденциальности своих персональных данных, предоставляемых банкам. Исходя из этого, написание данного реферата и изучение данной проблемы, на мой взгляд, представляется не только интересным, но и крайне полезным.

1. Особенности информационной безопасности банков

Банковская информация всегда была объектом пристального интереса всякого рода злоумышленников. Любое банковское преступление начинается с утечки информации. Автоматизированные банковские системы являются каналами для таких утечек. С самого начала внедрения автоматизированных банковских систем (АБС) они стали объектом преступных посягательств.

Так, известно, что в августе 1995 г. в Великобритании был арестован 24-летний российский математик Владимир Левин, который при помощи своего домашнего компьютера в Петербурге сумел проникнуть в банковскую систему одного из крупнейших американских банков Citibank и попытался снять с его счетов крупные суммы. По сведениям московского представительства Citibank, до тех пор подобное никому не удавалось. Служба безопасности Citibank выяснила, что у банка пытались похитить $2,8 млн., но контролирующие системы вовремя это обнаружили и заблокировали счета. Украсть же удалось лишь $400 тысяч.

В США сумма ежегодных убытков банковских учреждений от незаконного использования компьютерной информации составляет, по оценкам экспертов, от 0,3 до 5 млрд. долларов. Информация - это аспект общей проблемы обеспечения безопасности банковской деятельности.

В связи с этим, стратегия информационной безопасности банков весьма сильно отличается от аналогичных стратегий других компаний и организаций. Это обусловлено, прежде всего, специфическим характером угроз, а также публичной деятельностью банков, которые вынуждены делать доступ к счетам достаточно легким с целью удобства для клиентов.

Обычная компания строит свою информационную безопасность, исходя лишь из узкого круга потенциальных угроз - главным образом защита информации от конкурентов (в российских реалиях основной задачей является защита информации от налоговых органов и преступного сообщества с целью уменьшения вероятности неконтролируемого роста налоговых выплат и рэкета). Такая информация интересна лишь узкому кругу заинтересованных лиц и организаций и редко бывает ликвидна, т.е. обращаема в денежную форму.

Информационная безопасность банка должна учитывать следующие специфические факторы:

1. Хранимая и обрабатываемая в банковских системах информация представляет собой реальные деньги. На основании информации компьютера могут производиться выплаты, открываться кредиты, переводиться значительные суммы. Вполне понятно, что незаконное манипулирование с такой информацией может привести к серьезным убыткам. Эта особенность резко расширяет круг преступников, покушающихся именно на банки (в отличие от, например, промышленных компаний, внутренняя информация которых мало кому интересна).

2. Информация в банковских системах затрагивает интересы большого количества людей и организаций - клиентов банка. Как правило, она конфиденциальна, и банк несет ответственность за обеспечение требуемой степени секретности перед своими клиентами. Естественно, клиенты вправе ожидать, что банк должен заботиться об их интересах, в противном случае он рискует своей репутацией со всеми вытекающими отсюда последствиями.

3. Конкурентоспособность банка зависит от того, насколько клиенту удобно работать с банком, а также насколько широк спектр предоставляемых услуг, включая услуги, связанные с удаленным доступом. Поэтому клиент должен иметь возможность быстро и без утомительных процедур распоряжаться своими деньгами. Но такая легкость доступа к деньгам повышает вероятность преступного проникновения в банковские системы.

4. Информационная безопасность банка (в отличие от большинства компаний) должна обеспечивать высокую надежность работы компьютерных систем даже в случае нештатных ситуаций, поскольку банк несет ответственность не только за свои средства, но и за деньги клиентов.

5. Банк хранит важную информацию о своих клиентах, что расширяет круг потенциальных злоумышленников, заинтересованных в краже или порче такой информации.

К сожалению, в наши дни, в связи с высоким развитием технологий, даже предельно жесткие организационные меры по упорядочению работы с конфиденциальной информацией не защитят от ее утечки по физическим каналам. Поэтому системный подход к защите информации требует, чтобы средства и действия, используемые банком для обеспечения информационной безопасности (организационные, физические и программно-технические), рассматривались как единый комплекс взаимосвязанных, взаимодополняющих и взаимодействующих мер. Такой комплекс должен быть нацелен не только на защиту информации от несанкционированного доступа, но и на предотвращение случайного уничтожения, изменения или разглашения информации.

2. Безопасность автоматизированных систем обработки информации в банках (АСОИБ)

Не будет преувеличением сказать, что проблема умышленных нарушений функционирования АСОИБ различного назначения в настоящее время является одной из самых актуальных. Наиболее справедливо это утверждение для стран с сильно развитой информационной инфраструктурой, о чем убедительно свидетельствуют приводимые ниже цифры.

Известно, что в 1992 году ущерб от компьютерных преступлений составил $555 млн., 930 лет рабочего времени и 15.3 года машинного времени. По другим данным ущерб финансовых организаций составляет от $173 млн. до $41 млрд. в год.

Из данного примера, можно сделать вывод, что системы обработки и защиты информации отражают традиционный подход к вычислительной сети как к потенциально ненадежной среде передачи данных. Существует несколько основных способов обеспечения безопасности программно-технической среды, реализуемых различными методами:

1.1. Создание профилей пользователей. На каждом из узлов создается база данных пользователей, их паролей и профилей доступа к локальным ресурсам вычислительной системы.

1.2. Создание профилей процессов. Задачу аутентификации выполняет независимый (third-party) сервер, который содержит пароли, как для пользователей, так и для конечных серверов (в случае группы серверов, базу данных паролей также содержит только один (master) сервер аутентификации; остальные - лишь периодически обновляемые копии). Таким образом, использование сетевых услуг требует двух паролей (хотя пользователь должен знать только один - второй предоставляется ему сервером «прозрачным» образом). Очевидно, что сервер становится узким местом всей системы, а его взлом может нарушить безопасность всей вычислительной сети.

2. Инкапсуляция передаваемой информации в специальных протоколах обмена. Использование подобных методов в коммуникациях основано на алгоритмах шифрования с открытым ключом. На этапе инициализации происходит создание пары ключей - открытого и закрытого, имеющегося только у того, кто публикует открытый ключ. Суть алгоритмов шифрования с открытым ключом заключается в том, что операции шифрования и дешифрования производятся разными ключами (открытым и закрытым соответственно).

3. Ограничение информационных потоков. Это известные технические приемы, позволяющие разделить локальную сеть на связанные подсети и осуществлять контроль и ограничение передачи информации между этими подсетями.

3.1. Firewalls (брандмауэры). Метод подразумевает создание между локальной сетью банка и другими сетями специальных промежуточных серверов, которые инспектируют, анализируют и фильтруют весь проходящий через них поток данных (трафик сетевого/транспортного уровней). Это позволяет резко снизить угрозу несанкционированного доступа извне в корпоративные сети, но не устраняет эту опасность совсем. Более защищенная разновидность метода - это способ маскарада (masquerading), когда весь исходящий из локальной сети трафик посылается от имени firewall-сервера, делая закрытую локальную сеть практически невидимой.

3.2. Proxy-servers. При данном методе вводятся жесткие ограничения на правила передачи информации в сети: весь трафик сетевого/транспортного уровней между локальной и глобальной сетями запрещается полностью - попросту отсутствует маршрутизация как таковая, а обращения из локальной сети в глобальную происходят через специальные серверы-посредники. Очевидно, что при этом методе обращения из глобальной сети в локальную становятся невозможными в принципе. Очевидно также, что этот метод не дает достаточной защиты против атак на более высоких уровнях, например на уровне программного приложения.

4. Создание виртуальных частных сетей (VPN) позволяет эффективно обеспечивать конфиденциальность информации, ее защиту от прослушивания или помех при передаче данных. Они позволяют установить конфиденциальную защищенную связь в открытой сети, которой обычно является интернет, и расширять границы корпоративных сетей до удаленных офисов, мобильных пользователей, домашних пользователей и партнеров по бизнесу. Технология шифрования устраняет возможность перехвата сообщений, передаваемых по виртуальной частной сети, или их прочтения лицами, отличными от авторизованных получателей, за счет применения передовых математических алгоритмов шифрования сообщений и приложений к ним. Концентраторы серии Cisco VPN 3000 многими признаются лучшим в своей категории решением удаленного доступа по виртуальным частным сетям. Концентраторы Cisco VPN 3000, обладающие самыми передовыми возможностями с высокой надежностью и уникальной, целенаправленной архитектурой. Позволяют корпорациям создавать инфраструктуры высокопроизводительных, наращиваемых и мощных виртуальных частных сетей для поддержки ответственных приложений удаленного доступа. Идеальным орудием создания виртуальных частных сетей от одного сетевого объекта к другому служат маршрутизаторы Cisco, оптимизированные для построения виртуальных частных сетей, к которым относятся маршрутизаторы Cisco 800, 1700, 2600, 3600, 7100 и 7200.

5.Системы обнаружения вторжений и сканеры уязвимости создают дополнительный уровень сетевой безопасности. Хотя межсетевые экраны пропускают или задерживают трафик в зависимости от источника, точки назначения, порта или прочих критериев, они фактически не анализируют трафик на атаки и не ведут поиск уязвимых мест в системе. Кроме того, межсетевые экраны обычно не борются с внутренними угрозами, исходящими от "своих". Система обнаружения вторжений Cisco Intrusion Detection System (IDS) может защитить сеть по периметру, сети взаимодействия с бизнес-партнерами и все более уязвимые внутренние сети в режиме реального времени. Система использует агенты, представляющие собой высокопроизводительные сетевые устройства, для анализа отдельных пакетов с целью обнаружения подозрительной активности. Если в потоке данных в сети проявляется несанкционированная активность или сетевая атака, агенты могут обнаружить нарушение в реальном времени, послать сигналы тревоги администратору и заблокировать доступ нарушителя в сеть. Помимо сетевых средств обнаружения вторжений компания Cisco также предлагает серверные системы обнаружения вторжений, обеспечивающие эффективную защиту конкретных серверов в сети пользователя, в первую очередь серверов WEB и электронной коммерции. Cisco Secure Scanner представляет собой программный сканер промышленного уровня, позволяющий администратору выявлять и устранять уязвимости в сетевой безопасности прежде, чем их найдут хакеры.

По мере роста и усложнения сетей первостепенное значение приобретает требование наличия централизованных средств управления политикой безопасности, которые могли бы управлять элементами безопасности. Интеллектуальные средства, которые могут обозначать состояние политики безопасности, управлять ею и выполнять аудит, повышают практичность и эффективность решений в области сетевой безопасности. Решения Cisco в этой области предполагают стратегический подход к управлению безопасностью. Cisco Secure Policy Manager (CSPM) поддерживает элементы безопасности Cisco в корпоративных сетях, обеспечивая комплексную и последовательную реализацию политики безопасности. С помощью CSPM клиенты могут определять соответствующую политику безопасности, внедрять ее в действие и проверять принципы безопасности в работе сотен межсетевых экранов Cisco Secure PIX и Cisco IOS Firewall Feature Set и агентов IDS. CSPM также поддерживает стандарт IPsec для построения виртуальных частных сетей VPN. Кроме того, CSPM является составной частью широко распространенной корпоративной системы управления CiscoWorks2000/VMS.

Суммируя приведенные способы, можно сказать, что разработка информационных систем требует параллельной разработки технологий передачи и защиты информации. Эти технологии должны обеспечивать защиту передаваемой информации, делая сеть «надежной», хотя надежность на современном этапе понимается как надежность не на физическом уровне, а скорее на логическом (информационном уровне).

Существует также ряд дополнительных мероприятий, реализующих следующие принципы:

1. Мониторинг процессов. Метод мониторинга процессов заключается в создании специального расширения системы, которое бы постоянно осуществляло некоторые типы проверок. Очевидно, что некоторая система становится внешне уязвимой только в том случае, когда она предоставляет возможность доступа извне к своим информационным ресурсам. При создании средств такого доступа (серверных процессов), как правило, имеется достаточное количество априорной информации, относящейся к поведению клиентских процессов. К сожалению, в большинстве случаев эта информация попросту игнорируется. После аутентификации внешнего процесса в системе он в течение всего своего жизненного цикла считается авторизованным для доступа к некоторому количеству информационных ресурсов без каких-либо дополнительных проверок.

Хотя указать все правила поведения внешнего процесса в большинстве случаев не представляется возможным, вполне реально определить их через отрицание или, иначе говоря, указать, что внешний процесс не может делать ни при каких условиях. На основании этих проверок можно осуществлять мониторинг опасных или подозрительных событий. Например, на приведенном рисунке показаны элементы мониторинга и выявленные события: DOS-атака; ошибка набора пароля пользователем; перегрузки в канале связи.

2. Дублирование технологий передачи. Существует риск взлома и компрометации любой технологии передачи информации, как в силу ее внутренних недостатков, так и вследствие воздействия извне. Защита от подобной ситуации заключается в параллельном применении нескольких отличных друг от друга технологий передачи. Очевидно, что дублирование приведет к резкому увеличению сетевого трафика. Тем не менее, такой способ может быть эффективным, когда стоимость рисков от возможных потерь оказывается выше накладных расходов по дублированию.

3.Децентрализация. Во многих случаях использование стандартизованных технологий обмена информацией вызвано не стремлением к стандартизации, а недостаточной вычислительной мощностью систем, обеспечивающих процедуры связи. Реализацией децентрализованного подхода может считаться и широко распространенная в сети Internet практика «зеркал». Создание нескольких идентичных копий ресурсов может быть полезным в системах реального времени, даже кратковременный сбой которых может иметь достаточно серьезные последствия.

3 . Безопасность электронных платежей

информация банк криптографический защита

Необходимость всегда иметь под рукой нужную информацию заставляет многих руководителей задумываться над проблемой оптимизации бизнеса с помощью компьютерных систем. Но если перевод бухгалтерского учета из бумажной формы в электронную давно осуществлен, то взаиморасчеты с банком все еще остаются недостаточно автоматизированными: массовый переход на электронный документооборот только предстоит.

Сегодня многие банки имеют те или иные каналы для удаленного осуществления платежных операций. Отправить "платежку" можно прямо из офиса, воспользовавшись модемным соединением или выделенной линией связи. Стало реальностью выполнение банковских операций через Интернет - для этого достаточно иметь компьютер с доступом в глобальную сеть и ключ электронной цифровой подписи (ЭЦП), которая зарегистрирована в банке.

Удаленное обслуживание в банке позволяет повысить эффективность частного бизнеса при минимальных усилиях со стороны его владельцев. При этом обеспечиваются: экономия времени (не нужно приходить в банк лично, платеж можно выполнить в любое время); удобство работы (все операции производятся с персонального компьютера в привычной деловой обстановке); высокая скорость обработки платежей (банковский оператор не перепечатывает данные с бумажного оригинала, что дает возможность исключить ошибки ввода и сократить время обработки платежного документа); мониторинг состояния документа в процессе его обработки; получение сведений о движении средств по счетам.

Однако, несмотря на очевидные преимущества, электронные платежи в России пока не очень популярны, поскольку клиенты банков не уверены в их защищенности. Это, прежде всего, связано с распространенным мнением, что компьютерные сети легко может "взломать" какой-нибудь хакер. Этот миф прочно укоренился в сознании человека, а регулярно публикуемые в СМИ новости об атаках на очередной веб-сайт еще сильнее укрепляют это мнение. Но времена меняются, и электронные средства связи рано или поздно заменят личное присутствие плательщика, желающего сделать безналичный банковский перевод с одного счета на другой.

На мой взгляд, безопасность электронных банковских операций сегодня можно обеспечить. Гарантией этому служат современные методы криптографии, которые используются для защиты электронных платежных документов. В первую очередь это ЭЦП, соответствующая ГОСТ 34.10-94. С 1995 г. она успешно применяется в Банке России. Вначале он ввел систему межрегиональных электронных расчетов всего в нескольких регионах. Сейчас она охватывает все регионы Российской Федерации и представить без нее функционирование Банка России практически невозможно. Так стоит ли сомневаться в надежности ЭЦП, если ее использование проверено временем и уже, так или иначе, касается каждого гражданина нашей страны?

Электронно-цифровая подпись - гарантия безопасности. Согласно типовому договору между банком и клиентом наличие под электронным документом достаточного количества зарегистрированных ЭЦП уполномоченных лиц служит основанием для совершения банковских операций по счетам клиента. В Федеральном законе от 10.01.02 г. N 1-ФЗ "Об электронной цифровой подписи" определено, что ЭЦП должна формироваться и проверяться сертифицированным ФАПСИ программным обеспечением. Сертификация ЭЦП является гарантией того, что данная программа выполняет криптографические функции согласно нормативам ГОСТ и не совершает деструктивных действий на компьютере пользователя.

Чтобы проставить на электронный документ ЭЦП, необходимо иметь ее ключ, который может храниться на каком-нибудь ключевом носителе информации. Современные ключевые носители ("e-Token", "USB-drive", "Touch-Memory") по форме напоминают брелоки, и их можно носить в связке обычных ключей. В качестве носителя ключевой информации можно также использовать дискеты.

Каждый ключ ЭЦП служит аналогом собственноручной подписи уполномоченного лица. Если в организации бумажные "платежки" обычно подписывают директор и главный бухгалтер, то в электронной системе лучше всего сохранить тот же порядок и предусмотреть для уполномоченных лиц разные ключи ЭЦП. Впрочем, можно использовать и одну ЭЦП - данный факт необходимо отразить в договоре между банком и клиентом.

Ключ ЭЦП состоит из двух частей - закрытой и открытой. Открытая часть (открытый ключ) после генерации владельцем представляется в Удостоверяющий центр, роль которого обычно играет банк. Открытый ключ, сведения о его владельце, назначение ключа и другая информация подписываются ЭЦП Удостоверяющего центра. Таким образом, формируется сертификат ЭЦП, который нужно зарегистрировать в системе электронных расчетов банка.

Закрытая часть ключа ЭЦП (секретный ключ) ни при каких условиях не должна передаваться владельцем ключа другому лицу. Если секретный ключ был передан даже на короткое время другому лицу или оставлен где-нибудь без присмотра, считается, что ключ "скомпрометирован" (т.е. подразумевается вероятность копирования или нелегального использования ключа). Иначе говоря, в этом случае лицо, не являющееся владельцем ключа, получает возможность подписать несанкционированный руководством организации электронный документ, который банк примет к исполнению и будет прав, так как проверка ЭЦП покажет ее подлинность. Вся ответственность в данном случае ложится исключительно на владельца ключа. Действия владельца ЭЦП в этой ситуации должны быть аналогичны тем, которые предпринимаются при утере обычной пластиковой карты: этот человек должен сообщить в банк о "компрометации" (утере) ключа ЭЦП. Тогда банк заблокирует сертификат данной ЭЦП в своей платежной системе и злоумышленник не сможет воспользоваться своим незаконным приобретением.

Предотвратить нелегальное применение секретного ключа можно и с помощью пароля, который накладывается как на ключ, так и на некоторые виды ключевых носителей. Это способствует минимизации ущерба при утере, поскольку без пароля ключ становится недействительным и у владельца будет достаточно времени, чтобы сообщить банку о "компрометации" своей ЭЦП.

Рассмотрим, как клиент может воспользоваться услугами электронных платежей при условии, что в банке установлена система комплексной реализации электронных банковских услуг InterBank. Если клиент является частным предпринимателем либо руководит небольшой коммерческой фирмой и имеет доступ в Интернет, ему достаточно будет выбрать систему криптографической защиты (ЭЦП и шифрование), которую он хочет использовать. Клиент может установить сертифицированное программное обеспечение "КриптоПро CSP" либо ограничиться встроенной в Microsoft Windows системой Microsoft Base CSP.

Если клиент - крупная фирма с большим финансовым оборотом, то ему можно рекомендовать другую подсистему из состава InterBank - "Клиент Windows". С ее помощью клиент самостоятельно ведет базу данных по электронным документам и может подготавливать платежные поручения на своем компьютере, не используя сеанс связи с банком. Когда все нужные документы будут сформированы, клиент соединяется с банком по телефону или выделенной линии для обмена данными.

Еще один вид услуг, предоставляемый комплексом InterBank, - информирование клиента о состоянии его банковских счетов, курсах валют и передача других справочных данных через голосовую связь, факс или экран сотового телефона.

Удобный способ использования электронных расчетов - визирование платежных документов уполномоченными сотрудниками предприятия, которые находятся на значительном расстоянии друг от друга. Например, главный бухгалтер подготовил и подписал электронный платежный документ. Директор, будучи в данный момент в командировке в другом городе или в другой стране, может просмотреть этот документ, подписать его и отправить в банк. Все эти действия позволяет выполнить подсистема "Интернет-Клиент", к которой бухгалтер и директор предприятия подключатся через Интернет. Шифрование данных и аутентификация пользователя будут осуществляться одним из стандартных протоколов - SSL или TLS.

Итак, применение электронных платежей в бизнесе предоставляет значительные преимущества по сравнению с традиционным сервисом. Что же касается безопасности, то ее обеспечивают стандарт ЭЦП (ГОСТ 34.10-94), с одной стороны, и ответственность клиента за хранение ключа подписи - с другой. Рекомендации по использованию и хранению ключей ЭЦП клиент всегда может получить в банке, и если он будет им следовать, то надежность платежей гарантирована.

4. Безопасность персо нальных платежей физических лиц

Большинство систем безопасности в целях избегания потери персональных данных физических лиц требуют от пользователя подтверждения, что он именно тот, за кого себя выдает. Идентификация пользователя может быть проведена на основе того, что:

* он знает некую информацию (секретный код, пароль);

* он имеет некий предмет (карточку, электронный ключ, жетон);

* он обладает набором индивидуальных черт (отпечатки пальцев, форма кисти руки, тембр голоса, рисунок сетчатки глаза и т.п.);

* он знает, где находится или как подключается специализированный ключ.

Первый способ требует набора на клавиатуре определенной кодовой последовательности - персонального идентификационного номера (Personal identification number - PIN). Обычно это последовательность из 4-8 цифр, которую пользователь должен ввести при осуществлении транзакции.

Второй способ предполагает предъявление пользователем неких специфических элементов идентификации - кодов, считываемых из некопируемого электронного устройства, карточки или жетона.

В третьем способе пропуском служат индивидуальные особенности и физические характеристики личности человека. Всякому биометрическому продукту сопутствует довольно объемная база данных, хранящая соответствующие изображения или другие данные, применяемые при распознавании.

Четвертый способ предполагает особый принцип включения или коммутирования оборудования, который обеспечит его работу (этот подход используется достаточно редко).

В банковском деле наибольшее распространение получили средства идентификации личности, которые мы отнесли ко второй группе: некий предмет (карточку, электронный ключ, жетон). Естественно использование такого ключа происходит в сочетании со средствами и приемами идентификации, которые мы отнесли к первой группе: использование информации (секретный код, пароль).

Давайте более подробно разберемся со средствами идентификации личности в банковском деле.

Пластиковые карты.

В настоящее время выпущено более миллиарда карточек в различных странах мира . Наиболее известные из них:

Кредитные карточки Visa (более 350 млн. карточек) и MasterCard (200 млн. карточек);

Международные чековые гарантии Eurocheque и Posteheque;

Карточки для оплаты путешествий и развлечений American Express (60 млн. карточек) и Diners Club.

Магнитные карточки

Наиболее известны и давно используются в банковском деле в качестве средств идентификации пластиковые карточки с магнитной полосой (многие системы позволяют использовать обычные кредитные карточки). Для считывания необходимо провести карточкой (магнитной полосой) через прорезь ридера (считывателя). Обычно ридеры выполнены в виде внешнего устройства и подключаются через последовательный или универсальный порт компьютера. Выпускаются также ридеры, совмещенные с клавиатурой. Однако у таких карт можно выделить преимущества и недостатки их использования.

* магнитная карточка может быть легко скопирована на доступном оборудовании;

* загрязнение, небольшое механическое воздействие на магнитный слой, нахождение карты вблизи сильных источников электромагнитных полей приводят к повреждению карты.

Преимущества:

* расходы на выпуск и обслуживание таких карт невелики;

* индустрия магнитных пластиковых карт развивалась в течение нескольких десятилетий и на настоящий момент более 90% карт - это пластиковые карты;

* применение магнитных карточек оправдано при очень большом числе пользователей и частой сменяемости карт (например, для доступа в гостиничный номер).

Proximity-карты

Фактически - это развитие идеи электронных жетонов. Это бесконтактная карточка (но может быть и брелок или браслет), содержащая чип с уникальным кодом или радиопередатчик. Считыватель оснащен специальной антенной, постоянно излучающей электромагнитную энергию. При попадании карточки в это поле происходит запитывание чипа карточки, и карта посылает считывателю свой уникальный код. Для большинства считывателей расстояние устойчивого срабатывания составляет от нескольких миллиметров до 5-15 см.

Смарт-карты

В отличие от магнитной карты смарт-карта содержит микропроцессор и контактные площадки для подачи питания и обмена информацией со считывателем. Смарт-карта имеет очень высокую степень защищенности. Именно с ней до сих пор связаны основные перспективы развития такого рода ключей и надежды многих разработчиков систем защиты.

Технология смарт-карт существует и развивается уже около двадцати лет, но достаточно широкое распространение получает только последние несколько лет. Очевидно, что смарт-карта, благодаря большому объему памяти и функциональным возможностям, может выступать и в роли ключа, и в роли пропуска и одновременно являться банковской карточкой. В реальной жизни такое совмещение функций реализуют достаточно редко.

Для работы со смарт-картой компьютер должен быть оснащен специальным устройством: встроенным или внешним картридером. Внешние картридеры могут подключаться к различным портам компьютера (последовательному, параллельному или клавиатурному порту PS/2, PCMCIA-слоту, SCSI или USB).

Многие карты предусматривают различные виды (алгоритмы) аутентификации. В процессе электронного узнавания принимают участие три стороны: пользователь карты, карта, терминальное устройство (устройство считывания карты). Аутентификация необходима для того, чтобы пользователь, терминальное устройство, в которое вставлена карта или программное приложение, которому сообщаются параметры карты, могли выполнять определенные действия с данными, находящимися на карге. Правила доступа назначаются разработчиком приложения при создании структур данных на карте.

Электронные жетоны

Сейчас в различных системах, требующих идентификации пользователя или владельца, в качестве пропусков широко используются электронные жетоны (или так называемые token-устройства). Известный пример такого жетона - электронная "таблетка" (рис. 8.4). "Таблетка" выполнена в круглом корпусе из нержавеющей стали и содержит чип с записанным в него уникальным номером. Аутентификация пользователя осуществляется после прикосновения такой "таблетки" к специальному контактному устройству, обычно подключаемому к последовательному порту компьютера. Таким образом, можно разрешать доступ в помещение, но можно и разрешать работу на компьютере или блокировать работу на компьютере несанкционированных пользователей.

Для удобства "таблетка" может закрепляться на брелоке или запрессовываться в пластиковую оболочку.

В настоящее время эти устройства широко используются для управления электромеханическими замками (двери помещений, ворота, двери подъездов и т.п.). Однако их "компьютерное" использование также достаточно эффективно.

Все три перечисленных группы ключей являются пассивными по своей сути. Они не выполняют никаких активных действий и не участвуют в процессе аутентификации, а только отдают хранящийся код. В этом заключается их основная область.

Жетоны обладают несколько лучшей износоустойчивостью, чем магнитные карты.

Заключение

Таким образом, проблема защиты банковской информации слишком серьезна, чтобы банк мог пренебречь ею. В последнее время в отечественных банках наблюдается большое число случаев нарушения уровня секретности. Примером является появление в свободном доступе различных баз данных на компакт-дисках о коммерческих компаниях и частных лицах. Теоретически, законодательная база для обеспечения защиты банковской информации существует в нашей стране, однако ее применение далеко от совершенства. Пока не было случаев, когда банк был наказан за разглашение информации, когда какая-либо компания была наказана за осуществление попытки получения конфиденциальной информации.

Защита информации в банке - это задача комплексная, которая не может решаться только в рамках банковских программ. Эффективная реализация защиты начинается с выбора и конфигурирования операционных систем и сетевых системных средств, поддерживающих функционирование банковских программ. Среди дисциплинарных средств обеспечения защиты следует выделить два направления: с одной стороны - это минимально достаточная осведомленность пользователей системы об особенностях построения системы; с другой - наличие многоуровневых средств идентификации пользователей и контроля их прав.

В разные моменты своего развития АБС имели различные составляющие защиты. В российских условиях большинство банковских систем по уровню защиты следует отнести к системам первого и второго уровня сложности защиты:

1-й уровень - использование программных средств, предоставляемых стандартными средствами операционных систем и сетевых программ;

2-й уровень - использование программных средств обеспечения безопасности, кодирования информации, кодирования доступа.

Обобщая все вышесказанное, я пришла к выводу, что работая в банковской сфере, необходимо быть уверенным в том, что корпоративная и коммерческая информация останутся закрытыми. Однако следует заботиться о защите не только документации и иной производственной информации, но и сетевых настроек и параметров функционирования сети на машине.

Задача защиты информации в банке ставится значительно жестче, нежели в других организациях. Решение такой задачи предполагает планирование организационных, системных мероприятий, обеспечивающих защиту. При этом, планируя защиту, следует соблюдать меру между необходимым уровнем защиты и тем ее уровнем, когда защита начинает мешать нормальной работе персонала.

Приложение 1

Список персонала типичной АСОИБ и соответствующая степень риска от каждого из них:

1. Наибольший риск: системный контролер и администратор безопасности.

2. Повышенный риск: оператор системы, оператор ввода и подготовки данных, менеджер обработки, системный программист.

3. Средний риск: инженер системы, менеджер программного обеспечения.

4. Ограниченный риск: прикладной программист, инженер или оператор по связи, администратор баз данных, инженер по оборудованию, оператор периферийного оборудования, библиотекарь системных магнитных носителей, пользователь-программист, пользователь-операционист.

5. Низкий риск: инженер по периферийному оборудованию, библиотекарь магнитных носителей пользователей, пользователь сети.

Рис. 1 Магнитная карточка

Рис. 2 Proximity-карта

Рис. 4 Электронные жетоны

Приложение 2

Статистика потерь для Visa и MasterCard
	Доля в общих потерях, %
Мошенничество продавца
Украденные карты
Подделка карт
Изменение рельефа карты
Потерянные карты
Неправильное применение
Мошенничество по телефону
Мошенничество при пересылке почтой
Почтовое мошенничество
Кражи при производстве пересылке
Сговор с владельцем карточки

Размещено на Allbest.ru

Подобные документы

Виды умышленных угроз безопасности информации. Методы и средства защиты информации. Методы и средства обеспечения безопасности информации. Криптографические методы защиты информации. Комплексные средства защиты.

реферат , добавлен 17.01.2004


Проблема защиты информации. Особенности защиты информации в компьютерных сетях. Угрозы, атаки и каналы утечки информации. Классификация методов и средств обеспечения безопасности. Архитектура сети и ее защита. Методы обеспечения безопасности сетей.

дипломная работа , добавлен 16.06.2012


Методы и средства защиты информационных данных. Защита от несанкционированного доступа к информации. Особенности защиты компьютерных систем методами криптографии. Критерии оценки безопасности информационных компьютерных технологий в европейских странах.

контрольная работа , добавлен 06.08.2010


Принципы безопасности электронных и персональных платежей физических лиц в банках. Реализация технологий передачи и защиты информации; системный подход к разработке программно-технической среды: кодирование информации и доступа; шифрование, криптография.

реферат , добавлен 18.05.2013


Информационная безопасность телекоммуникационных систем. Проблемы, связанных с информационной безопасностью. Технология анализа защищённости, обнаружения воздействия нарушителя, защиты информации от НСД, антивирусной защиты. Формирование банка данных.

реферат , добавлен 27.02.2009


Важнейшие стороны обеспечения информационной безопасности. Технические средства обработки информации, ее документационные носители. Типовые пути несанкционированного получения информации. Понятие об электронной подписи. Защита информации от разрушения.

реферат , добавлен 14.07.2015


Способы и средства защиты информации от несанкционированного доступа. Особенности защиты информации в компьютерных сетях. Криптографическая защита и электронная цифровая подпись. Методы защиты информации от компьютерных вирусов и от хакерских атак.

реферат , добавлен 23.10.2011


Безопасность информации, компоненты системы защиты. Дестабилизирующие факторы. Классификация угрозы безопасности информации по источнику появления, по характеру целей. Способы их реализации. Уровни защиты информации. Этапы создания систем защиты.

презентация , добавлен 22.12.2015


Развитие новых информационных технологий и всеобщая компьютеризация. Информационная безопасность. Классификация умышленных угроз безопасности информации. Методы и средства защиты информации. Криптографические методы защиты информации.

курсовая работа , добавлен 17.03.2004


Основные понятия защиты информации и информационной безопасности. Классификация и содержание, источники и предпосылки появления возможных угроз информации. Основные направления защиты от информационного оружия (воздействия), сервисы сетевой безопасности.

Банковская деятельность всегда была связана с обработкой и хранением большого количества конфиденциальных данных. В первую очередь это персональные данные о клиентах, об их вкладах и обо всех осуществляемых операциях.

Вся коммерческая информация, хранящаяся и обрабатываемая в кредитных организациях, подвергается самым разнообразным рискам, связанным с вирусами, выходом из строя аппаратного обеспечения, сбоями операционных систем и т.п. Но эти проблемы не способны нанести сколько-нибудь серьезный ущерб. Ежедневное резервное копирование данных, без которого немыслима работа информационной системы любого предприятия, сводит риск безвозвратной утери информации к минимуму. Кроме того, хорошо разработаны и широко известны способы защиты от перечисленных угроз. Поэтому на первый план выходят риски, связанные с несанкционированным доступом к конфиденциальной информации (НСД).

Несанкционированный доступ - это реальность

На сегодняшний день наиболее распространены три способа воровства конфиденциальной информации. Во-первых, физический доступ к местам ее хранения и обработки. Здесь существует множество вариантов. Например, злоумышленники могут забраться в офис банка ночью и украсть жесткие диски со всеми базами данных. Возможен даже вооруженный налет, целью которого являются не деньги, а информация. Не исключена ситуация, когда сам сотрудник банка может вынести носитель информации за пределы территории.

Во-вторых, использование резервных копий. В большинстве банков системы резервирования важных данных основаны на стримерах. Они записывают создаваемые копии на магнитные ленты, которые потом хранятся в отдельном месте. Доступ к ним регламентируется гораздо более мягко. При их транспортировке и хранении относительно большое количество человек может снять с них копии. Риски, связанные с резервным копированием конфиденциальных данных, нельзя недооценивать. Например, большинство экспертов уверено, что появившиеся в продаже в 2005 году базы данных проводок Центрального Банка РФ были украдены именно благодаря снятым с магнитных лент копиям. В мировой практике известно немало подобных инцидентов. В частности, в сентябре прошлого года сотрудники компании Chase Card Services (подразделение JPMorgan Chase & Co.), поставщика кредитных карт, по ошибке выкинули пять магнитных лент с резервными копиями, содержащими информацию о 2,6 млн. владельцев кредитных счетов Circuit City.

В-третьих, наиболее вероятный способ утечки конфиденциальной информации - несанкционированный доступ сотрудниками банка. При использовании для разделения прав только стандартных средств операционных систем у пользователей нередко существует возможность опосредованно (с помощью определенного ПО) целиком скопировать базы данных, с которыми они работают, и вынести их за пределы компании. Иногда сотрудники делают это без всякого злого умысла, просто чтобы поработать с информацией дома. Однако такие действия являются серьезнейшим нарушением политики безопасности и они могут стать (и становятся!) причиной огласки конфиденциальных данных.

Кроме того, в любом банке есть группа людей, обладающих в локальной сети повышенными привилегиями. Речь идет о системных администраторах. С одной стороны, это необходимо им для выполнения служебных обязанностей. Но, с другой стороны, у них появляется возможность получить доступ к любой информации и «замести следы».

Таким образом, система защиты банковской информации от несанкционированного доступа должна состоять как минимум из трех подсистем, каждая из которых обеспечивает защиту от своего вида угроз. Это подсистема защиты от физического доступа к данным, подсистема обеспечения безопасности резервных копий и подсистема защиты от инсайдеров. И желательно не пренебрегать ни одной из них, поскольку каждая угроза может стать причиной разглашения конфиденциальных данных.

Банкам закон не писан?

В настоящее время деятельность банков регламентируется федеральным законом «О банках и банковской деятельности». В нем, помимо всего прочего, вводится понятие «банковская тайна». Согласно ему любая кредитная организация обязана обеспечивать конфиденциальность всех данных о вкладах клиентов. За их разглашение она несет ответственность, включая возмещение причиненного утечкой информации ущерба. При этом никаких требований к безопасности банковских информационных систем не предъявляется. Это значит, что все решения по защите коммерческих данных банки принимают самостоятельно, основываясь на опыте своих специалистов или сторонних компаний (например, осуществляющих аудит информационной безопасности). Единственной рекомендацией является стандарт ЦБ РФ «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения». Впервые он появился в 2004 году, а в 2006 был принят новый его вариант. При создании и доработке этого ведомственного документа использовались действующие российские и международные стандарты в области информационной безопасности.

ЦБ РФ может только рекомендовать его другим банкам, но не может настаивать на обязательном внедрении. Кроме того, в стандарте мало четких требований, определяющих выбор конкретных продуктов. Он, безусловно, важен, но в данный момент не имеет серьезного практического значения. Например, про сертифицированные продукты в нем сказано так: «...могут использоваться сертифицированные или разрешенные к применению средства защиты информации от НСД». Соответствующий список отсутствует.

Перечислены в стандарте и требования к криптографическим средствам защиты информации в банках. И вот здесь уже есть более-менее четкое определение: «СКЗИ... должны быть реализованы на основе алгоритмов, соответствующих национальным стандартам РФ, условиям договора с контрагентом и(или) стандартам организации». Подтвердить соответствие криптографического модуля ГОСТ 28147-89 можно путем сертификации. Поэтому при использовании в банке систем шифрования желательно применять сертифицированные ФСБ РФ программные или аппаратные криптопровайдеры, то есть внешние модули, подключающиеся к программному обеспечению и реализующие сам процесс шифрования.

В июле прошлого года был принят федеральный закон Российской Федерации «О персональных данных», который вступил в действие 1 января 2007 года. Некоторые эксперты связывали с ним появление более определенных требований к банковским системами защиты, поскольку банки относятся к организациям, обрабатывающим персональные данные. Однако сам закон, безусловно очень важный в целом, на сегодняшний день не применим на практике. Проблема заключается в отсутствии стандартов защиты приватных данных и органов, которые могли бы контролировать их исполнение. То есть получается, что в настоящее время банки свободны в выборе систем защиты коммерческой информации.

Защита от физического доступа

Банки традиционно уделяют очень большое внимание физической безопасности операционных отделений, отделений хранения ценностей и т.п. Все это снижает риск несанкционированного доступа к коммерческой информации путем физического доступа. Однако офисы банков и технические помещения, в которых размещаются серверы, по степени защиты обычно не отличаются от офисов других компаний. Поэтому для минимизации описанных рисков необходимо использовать систему криптографической защиты.

Сегодня на рынке имеется большое количество утилит, осуществляющих шифрование данных. Однако особенности их обработки в банках предъявляют к соответствующему ПО дополнительные требования. Во-первых, в системе криптографической защиты должен быть реализован принцип прозрачного шифрования. При его использовании данные в основном хранилище всегда находятся только в закодированном виде. Кроме того, эта технология позволяет минимизировать затраты на регулярную работу с данными. Их не нужно каждый день расшифровывать и зашифровывать. Доступ к информации осуществляется с помощью специального ПО, установленного на сервере. Оно автоматически расшифровывает информацию при обращении к ней и зашифровывает перед записью на жесткий диск. Эти операции осуществляются прямо в оперативной памяти сервера.

Во-вторых, банковские базы данных очень объемны. Таким образом, криптографическая система защиты информации должна работать не с виртуальными, а с реальными разделами винчестеров, RAID-массивами и прочими серверными носителями информации, например, с хранилищами SAN. Дело в том, что файлы-контейнеры, которые могут подключаться к системе в качестве виртуальных дисков, не предназначены для работы с большими объемами данных. В том случае, когда виртуальный диск, созданный из такого файла, имеет большой размер, при обращении к нему одновременно даже нескольких человек можно наблюдать значительное уменьшение скорости чтения и записи информации. Работа же нескольких десятков человек с файлом-контейнером большого объема может превратиться в сущее мучение. Кроме того, нужно учитывать, что эти объекты подвержены риску повреждения из-за вирусов, сбоев файловой системы и т.д. Ведь, по сути, они представляют собой обычные файлы, но довольно большого размера. И даже небольшое их изменение может привести к невозможности декодирования всей содержащейся в нем информации. Оба этих обязательных требования существенно сужают круг подходящих для реализации защиты продуктов. Фактически сегодня на российском рынке имеется лишь несколько таких систем.

Подробно рассматривать технические особенности серверных систем криптографической защиты информации нет необходимости, поскольку в одном из прошлых номеров мы уже сравнивали эти продукты. (Столяров Н., Давлетханов М. UTM-защита. ) Но стоит отметить некоторые особенности таких систем, наличие которых желательно для банков. Первая связана с уже упомянутой сертификацией используемого криптографического модуля. Соответствующее программное или аппаратное обеспечение уже есть в большинстве банков. Поэтому система серверной защиты информации должна предусматривать возможность их подключения и использования. Вторым особым требованием к системе защиты информации является возможность интеграции в систему физической безопасности офиса и/или серверной комнаты. Это позволяет защитить информацию от несанкционированного доступа, связанного с кражей, взломом и т.п.

Особое внимание в банках должно уделяться сохранности информации, поскольку она фактически является деньгами клиентов. Поэтому в системе защиты должны быть предусмотрены специальные возможности, минимизирующие риск ее утери. Одной из самых заметных является функция определения испорченных секторов на жестком диске. Кроме того, большую важность имеет возможность приостановки и отмены процессов первоначального зашифровывания диска, его расшифровывания и перешифровывания. Это довольно длительные процедуры, любой сбой во время которых грозит полной потерей всех данных.

Очень большое влияние на риски, связанные с несанкционированным доступом к конфиденциальной информации, имеет человеческий фактор. Поэтому желательно, чтобы система защиты предусматривала возможность уменьшения такой взаимосвязи. Достигается это путем использования надежных средств хранения ключей шифрования - смарт-карт или USB-ключей. Оптимальным является вхождение этих токенов в состав продукта, оно позволяет не только оптимизировать затраты, но и обеспечивает полную совместимость программного и аппаратного обеспечения.

Другой важной функцией, позволяющей минимизировать влияние человеческого фактора на надежность системы защиты, является кворум ключей. Суть его заключается в разделении ключа шифрования на несколько частей, каждая из которых отдается в пользование одному ответственному сотруднику. Для подключения закрытого диска требуется наличие заданного количества частей. Причем оно может быть меньше общего числа частей ключа. Такой подход позволяет обезопасить данные от нецелевого использования ответственными сотрудниками, а также обеспечивает необходимую для работы банка гибкость.

Защита резервных копий

Регулярное резервирование всей хранящейся в банке информации - абсолютно необходимая мера. Она позволяет существенно снизить убытки в случае возникновения таких проблем, как порча данных вирусами, выход из строя аппаратного обеспечения и т.п. Но в то же время она усиливает риски, связанные с несанкционированным доступом. Практика показывает, что носители, на которые записываются резервные копии, должны храниться не в серверной комнате, а в другом помещении или даже здании. В противном случае при возникновении пожара или другого серьезного инцидента безвозвратно утерянными могут оказаться как сами данные, так и их архивы. Надежно защитить резервные копии от несанкционированного использования можно только с помощью криптографии. В этом случае, храня ключ шифрования у себя, офицер безопасности может спокойно передавать носители с архивами техническому персоналу.

Основная сложность в организации криптографической защиты резервных копий заключается в необходимости разделения обязанностей по управлению архивированием данных. Настраивать и осуществлять сам процесс резервного копирования должен системный администратор или другой технический сотрудник. Управлять же шифрованием информации должен ответственный сотрудник - офицер безопасности. При этом необходимо понимать, что резервирование в подавляющем большинстве случаев осуществляется в автоматическом режиме. Решить эту проблему можно только путем «встраивания» системы криптографической защиты между системой управления резервным копированием и устройствами, которые осуществляют запись данных (стримеры, DVD-приводы и т.п.).

Таким образом, криптографические продукты для возможности их применения в банках должны также иметь возможность работы с различными устройствами, использующимися для записи резервных копий на носители информации: стримерами, CD- и DVD-приводами, съемными жесткими дисками и т.п.

На сегодня существуют три типа продуктов, призванных минимизировать риски, связанные с несанкционированным доступом к резервным копиям. К первому относятся специальные устройства. Такие аппаратные решения имеют множество преимуществ, в том числе и надежное шифрование информации, и высокая скорость работы. Однако они обладают тремя существенными недостатками, которые не позволяют использовать их в банках. Первый: очень высокая стоимость (десятки тысяч долларов). Второй: возможные проблемы c ввозом в Россию (нельзя забывать, что мы говорим о криптографических средствах). Третий минус заключается в невозможности подключить к ним внешние сертифицированные криптопровайдеры. Эти платы работают только с реализованными в них на аппаратном уровне алгоритмами шифрования.

Вторую группу систем защиты криптографической защиты резервных копий составляют модули, которые предлагают своим клиентам разработчики программного и аппаратного обеспечения для резервного копирования. Существуют они для всех наиболее известных в данной области продуктов: ArcServe, Veritas Backup Exec и др. Правда, и у них есть свои особенности. Самая главная - это работа только со «своим» ПО или накопителем. Между тем информационная система банка постоянно развивается. И возможна ситуация, когда замена или расширение системы резервного копирования может потребовать дополнительных затрат на модификацию системы защиты. Кроме того, в большинстве продуктов этой группы реализованы старые медленные алгоритмы шифрования (например, 3DES), нет средств управления ключами, отсутствует возможность подключения внешних криптопровайдеров.

Все это заставляет обратить самое пристальное внимание на системы криптографической защиты резервных копий из третьей группы. К ней относятся специально разработанные программные, программно-аппаратные и аппаратные продукты, не привязанные к конкретным системам архивирования данных. Они поддерживают широкий спектр устройств записи информации, что позволяет применять их во всем банке, включая и все его филиалы. Это обеспечивает единообразие используемых средств защиты и минимизацию эксплуатационных затрат.

Правда, стоит отметить, что, несмотря на все их преимущества, на рынке представлено совсем немного продуктов из третьей группы. Это объясняется, скорее всего, отсутствием большого спроса на системы криптографической защиты резервных копий. Как только руководство банков и прочих крупных организаций осознает реальность рисков, связанных с архивированием коммерческой информации, число игроков на этом рынке вырастет.

Защита от инсайдеров

Последние исследования в области информационной безопасности, например ежегодное CSI/FBI Computer Crime And Security Survey, показало, что финансовые потери компаний от большинства угроз год от года снижаются. Однако есть несколько рисков, убытки от которых растут. Одно из них - намеренное воровство конфиденциальной информации или же нарушение правил обращения с ней теми сотрудниками, доступ которых к коммерческим данным необходим для выполнения служебных обязанностей. Их называют инсайдерами.

В подавляющем большинстве случаев воровство конфиденциальной информации осуществляется с помощью мобильных носителей: CD и DVD-дисков, ZIP-устройств и, самое главное, всевозможных USB-накопителей. Именно их массовое распространение и привело к расцвету инсайдерства по всему миру. Руководители большинства банков прекрасно понимают, чем может грозить, например, попадание базы данных с персональными данными их клиентов или, тем более, проводками по их счетам в руки криминальных структур. И они пытаются бороться с вероятным воровством информации доступными им организационными методами.

Однако организационные методы в данном случае неэффективны. Сегодня можно организовать перенос информации между компьютерами с помощью миниатюрной флэшки, сотового телефона, mp3-плеера, цифрового фотоаппарата... Конечно, можно попробовать запретить проносить на территорию офиса все эти устройства, однако это, во-первых, негативно скажется на отношениях с сотрудниками, а во-вторых, наладить реально действенный контроль над людьми все равно очень сложно - банк не «почтовый ящик». И даже отключение на компьютерах всех устройств, которые могут использоваться для записи информации на внешние носители (FDD и ZIP-диски, CD и DVD-приводы и т.п.), и USB-портов не поможет. Ведь первые нужны для работы, а ко вторым подключается различная периферия: принтеры, сканеры и т.п. И никто не может помешать человеку отключить на минуту принтер, вставить в освободившийся порт флэш-диск и скопировать на него важную информацию. Можно, конечно, найти оригинальные способы защиты. Например, в одном банке попробовали такой метод решения проблемы: залили место соединения USB-порта и кабеля эпоксидной смолой, намертво «привязав» последний к компьютеру. Но, к счастью, сегодня существуют более современные, надежные и гибкие способы контроля.

Самым эффективным средством минимизации рисков, связанных с инсайдерами, является специальное программное обеспечение, осуществляющее динамическое управление всеми устройствами и портами компьютера, которые могут использоваться для копирования информации. Принцип их работы таков. Для каждой группы пользователей или для каждого пользователя в отдельности задаются разрешения на использование различных портов и устройств. Самое большое преимущество такого ПО - гибкость. Вводить ограничения можно для конкретных типов устройств, их моделей и отдельных экземпляров. Это позволяет реализовывать очень сложные политики распределения прав доступа.

Например, некоторым сотрудникам можно разрешить использовать любые принтеры и сканеры, подключенные к USB-портам. Все же остальные устройства, вставленные в этот порт, останутся недоступными. Если же в банке применяется система аутентификации пользователей, основанная на токенах, то в настройках можно указать используемую модель ключей. Тогда пользователям будет разрешено использовать только приобретенные компанией устройства, а все остальные окажутся бесполезными.

Исходя из описанного выше принципа работы систем защиты, можно понять, какие моменты важны при выборе программ, реализующих динамическое блокирование устройств записи и портов компьютера. Во-первых, это универсальность. Система защиты должна охватывать весь спектр возможных портов и устройств ввода-вывода информации. Иначе риск кражи коммерческой информации остается недопустимо высоким. Во-вторых, рассматриваемое ПО должно быть гибким и позволять создавать правила с использованием большого количество разнообразной информации об устройствах: их типов, производителей моделей, уникальных номеров, которые есть у каждого экземпляра и т.п. Ну и, в-третьих, система защиты от инсайдеров должна иметь возможность интеграции с информационной системой банка, в частности с Active Directory. В противном случае администратору или офицеру безопасности придется вести по две базы пользователей и компьютеров, что не только неудобно, но и увеличивает риски возникновения ошибок.

Подводим итоги

Итак, сегодня на рынке есть продукты, с помощью которых любой банк может организовать надежную систему защиты информации от несанкционированного доступа и нецелевого использования. Правда, при их выборе нужно быть очень осмотрительным. В идеале этим должны заниматься собственные специалисты соответствующего уровня. Допускается использование услуг посторонних компаний. Однако в этом случае возможна ситуация, когда банку будет искусно навязано не адекватное программное обеспечение, а то, которое выгодно фирме-поставщику. Кроме того, отечественный рынок консалтинга в области информационной безопасности находится в зачаточном состоянии.

Между тем сделать правильный выбор совсем несложно. Достаточно вооружиться перечисленными нами критериями и внимательно изучить рынок систем безопасности. Но здесь есть «подводный камень», о котором необходимо помнить. В идеальном случае система информационной безопасности банка должна быть единой. То есть все подсистемы должны интегрироваться в существующую информационную систему и, желательно, иметь общее управление. В противном случае неминуемы повышенные трудозатраты на администрирование защиты и увеличение рисков из-за ошибок в управлении. Поэтому для построения всех трех описанных сегодня подсистем защиты лучше выбирать продукты, выпущенные одним разработчиком. Сегодня в России есть компании, которые создают все необходимое для защиты банковской информации от несанкционированного доступа.

Со времени своего появления банки неизменно вызывали интерес со стороны преступного мира. И этот интерес был связан не только с хранением в кредитных организациях денежных средств, но и с тем, что в банках сосредоточивалась важная и зачастую секретная информация о финансовой и хозяйственной деятельности многих людей, компаний, организаций и даже целых государств. В настоящее время банковская тайна охраняется законом наряду с государственной тайной.

В связи со всеобщей информатизацией и компьютеризацией банковской деятельности значение информационной безопасности банков многократно возросло. Еще 30 лет назад объектом информационных атак были данные о клиентах банков или о деятельности самого банка. Такие атаки были редкими, круг их заказчиков был очень узок, а ущерб мог быть значительным лишь в особых случаях. В настоящее время в результате повсеместного распространения электронных платежей, пластиковых карт, компьютерных сетей объектом информационных атак стали непосредственно денежные средства как банков, так и их клиентов. Совершить попытку хищения может любой — необходимо лишь наличие компьютера, подключенного к сети Интернет. Причем для этого не требуется физически проникать в банк, можно «работать» и за тысячи километров от него.

Услуги, предоставляемые банками сегодня, в немалой степени основаны на использовании средств электронного взаимодействия банков между собой, банков и их клиентов и торговых партнеров. В настоящее время доступ к услугам банков стал возможен из различных удаленных точек, включая домашние терминалы и служебные компьютеры. Этот факт заставляет отойти от концепции «запертых дверей», которая была характерна для банков 1960-х гг., когда компьютеры использовались в большинстве случаев в пакетном режиме как вспомогательное средство и не имели связи с внешним миром.

Компьютерные системы, без которых не может обойтись ни один современный банк, — источник совершенно новых, ранее неизвестных угроз. Большинство из них обусловлено использованием в банковском деле новых информационных технологий и характерны не только для банков.

Уровень оснащенности средствами автоматизации играет немаловажную роль в деятельности банка и, следовательно, напрямую отражается на его положении и доходах. Усиление конкуренции между банками приводит к необходимости сокращения времени на производство расчетов, увеличения номенклатуры и повышения качества предоставляемых услуг.

Чем меньше времени будут занимать расчеты между банком и клиентами, тем выше станет оборот банка и, следовательно, прибыль. Кроме того, банк более оперативно сможет реагировать на изменение финансовой ситуации. Разнообразие услуг банка (в первую очередь это относится к возможности безналичных расчетов между банком и его клиентами с использованием пластиковых карт) может существенно увеличить число его клиентов и, как следствие, повысить прибыль. В то же время АБС банка становится одним из наиболее уязвимых мест во всей организации, притягивающей злоумышленников как извне, так и из числа сотрудников самого банка. Чтобы обезопасить себя и своих клиентов, большинство банков предпринимают необходимые меры защиты, в числе которых защита АБС занимает одно из наиболее важных мест. Защита АБС банка — дорогостоящее и сложное мероприятие, она требует не только значительных единовременных вложений, но предусматривает затраты на поддержку системы защиты на должном уровне. В среднем банки в настоящий момент для поддержки достаточного уровня защиты тратят более $ 20 млн ежегодно.

Стратегия информационной безопасности банков весьма сильно отличается от аналогичных стратегий других компаний и организаций. Это обусловлено прежде всего специфическим характером угроз, а также публичной деятельностью банков, которые вынуждены делать доступ к счетам достаточно легким с целью удобства для клиентов.

Обычная компания строит свою информационную безопасность, исходя лишь из узкого круга потенциальных угроз — главным образом защита информации от конкурентов (в российских реалиях основной задачей является защита информации от налоговых органов и преступного сообщества с целью уменьшения вероятности неконтролируемого роста налоговых выплат и рэкета). Такая информация интересна лишь узкому кругу заинтересованных лиц и организаций и редко бывает ликвидна, т. е. обращаема в денежную форму.

7.2. Требования к информационной безопасности банка

Информационная безопасность банка должна учитывать следующие специфические факторы:

1. Хранимая и обрабатываемая в банковских системах информация представляет собой реальные деньги. На основании информации компьютера могут производится выплаты, открываться кредиты, переводиться значительные суммы. Вполне понятно, что незаконное манипулирование с такой информацией может привести к серьезным убыткам. Эта особенность резко расширяет круг преступников, покушающихся именно на банки (в отличие например от промышленных компаний, внутренняя информация которых мало кому интересна).
2. Информация в банковских системах затрагивает интересы большого количества людей и организаций — клиентов банка. Как правило, она конфиденциальна, и банк несет ответственность за обеспечение требуемой степени секретности перед своими клиентами. Естественно, клиенты вправе ожидать, что банк должен заботиться об их интересах, в противном случае он рискует своей репутацией со всеми вытекающими отсюда последствиями.
3. Конкурентоспособность банка зависит от того, насколько клиенту удобно работать с банком, а также насколько широк спектр предоставляемых услуг, включая услуги, связанные с удаленным доступом. Поэтому клиент должен иметь возможность быстро и без утомительных процедур распоряжаться своими деньгами. Но такая легкость доступа к деньгам повышает вероятность преступного проникновения в банковские системы.
4. Информационная безопасность банка (в отличие от большинства компаний) должна обеспечивать высокую надежность работы компьютерных систем даже в случае нештатных ситуаций, поскольку банк несет ответственность не только за свои средства, но и за деньги клиентов.
5. Банк хранит важную информацию о своих клиентах, что расширяет круг потенциальных злоумышленников, заинтересованных в краже или порче такой информации.

Преступления в банковской сфере также имеют свои особенности:

• Многие преступления, совершенные в финансовой сфере, остаются неизвестными для широкой публики в связи с тем, что руководители банков не хотят тревожить своих акционеров, боятся подвергнуть свою организацию новым атакам, опасаются подпортить свою репутацию надежного хранилища средств и, как следствие, потерять клиентов.
• Как правило, злоумышленники используют свои собственные счета, на которые переводятся похищенные суммы. Большинство преступников не знают, как «отмыть» украденные деньги. Умение совершить преступление и умение получить деньги — это не одно и то же.
• Большинство компьютерных преступлений мелкие. Ущерб от них лежит в интервале от $ 10.000 до 50.000.
• Успешные компьютерные преступления, как правило, требуют большого количества банковских операций (до нескольких сотен). Однако крупные суммы могут пересылаться и всего за несколько транзакций.
• Большинство злоумышленников — сотрудники банков низшего звена, клерки. Хотя высший персонал банка также может совершать преступления и нанести банку гораздо больший ущерб — такого рода случаи единичны.
• Компьютерные преступления не всегда высокотехнологичны. Достаточно подделки данных, изменения параметров среды АБС и т. д., а эти действия доступны и обслуживающему персоналу.
• Многие злоумышленники объясняют свои действия тем, что они всего лишь берут в долг у банка с последующим возвратом. Впрочем «возврата», как правило, не происходит.

Специфика защиты автоматизированных систем обработки информации банков (АБС) обусловлена особенностями решаемых ими задач:

• АБС обрабатывают большой поток постоянно поступающих запросов в реальном масштабе времени, каждый из которых не требует для обработки многочисленных ресурсов, но все вместе они могут быть обработаны только высокопроизводительной системой.
• В АБС хранится и обрабатывается конфиденциальная информация, не предназначенная для широкой публики. Ее подделка или утечка могут привести к серьезным (для банка или его клиентов) последствиям. Поэтому АБС обречены оставаться относительно закрытыми, работать под управлением специфического программного обеспечения и уделять большое внимание обеспечению своей безопасности.
• Другой особенностью АБС являются повышенные требования к надежности аппаратного и программного обеспечения. Поэтому большинство современных АБС построены с применением отказоустойчивой архитектуры компьютерной сети, позволяющей осуществлять непрерывную обработку информации даже в условиях различных сбоев и отказов.

Можно выделить два типа задач, решаемых АБС:

1. Аналитические. К этому типу относятся задачи планирования, анализа счетов и т. д. Они не являются оперативными и могут требовать для решения длительного времени, а их результаты могут оказать влияние на политику банка в отношении конкретного клиента или проекта. Поэтому подсистема, с помощью которой решаются аналитические задачи, должна быть надежно изолирована от основной системы обработки информации и, кроме того, ввиду возможной ценности результатов их защита должна быть постоянной.
2. Оперативные. К этому типу относятся задачи, решаемые в повседневной деятельности, в первую очередь выполнение платежей и корректировка счетов. Именно они и определяют размер и мощность основной системы банка; для их решения обычно требуется гораздо больше ресурсов, чем для аналитических задач. В то же время ценность информации, обрабатываемой при решении таких задач, имеет временный характер. Постепенно ценность информации, например о выполнении какого-либо платежа, становиться неактуальной. Естественно, это зависит от многих факторов, как-то: суммы и времени платежа, номера счета, дополнительных характеристик и т. д. Поэтому обычно бывает достаточно обеспечить защиту платежа именно в момент его осуществления. При этом защита самого процесса обработки и конечных результатов должна быть постоянной.

7.3. Методы защиты информации в автоматизированных системах обработки данных

Под защитой информации в информационных системах (ИС) понимается регулярное использование в них средств и методов, принятие мер и осуществление мероприятий с целью системного обеспечения требуемой надежности хранимой и обрабатываемой информации. Надежность информации — интегральный показатель, характеризующий качество информации с точки зрения физической целостности (отсутствия искажений или уничтожения элементов информации), доверия к информации (уверенности в отсутствии подмены) и безопасности — отсутствия ее несанкционированного получения и копирования.

Компоненты интегральной информационной безопасности:

• организационные меры обеспечения безопасности;
• меры обеспечения физической безопасности: охрана и защита зданий, помещений, компьютеров, перевозимых документов и т. п.
• обеспечение безопасности аппаратных средств: обеспечение надежной работы компьютеров и сетевого оборудования;
• обеспечение безопасности каналов связи: защита каналов связи от внешних воздействий;
• обеспечение безопасности программно-математического обеспечения: защита от вирусов, хакеров, вредоносных программ, ворующих конфиденциальную информацию.

Известно, что 80 % преступлений, связанных с кражей, повреждением или искажением информации, совершается при участии сотрудников фирмы. Поэтому важнейшая задача руководства, отдела кадров и службы безопасности — тщательный подбор сотрудников, распределение полномочий и построение системы допуска к элементам информации, а также контроль дисциплины и поведения сотрудников, создание хорошего морального климата в коллективе.

Организационные средства защиты информации — это специальные организационно-технические и организационно-правовые мероприятия, осуществляемые в процессе создания и эксплуатации системы, имеющие целью обеспечение защиты информации.

Законодательные средства защиты информации определяются как законодательные акты, которые регламентируют порядок использования и обработки информации, ограничения доступа и которые устанавливают ответственность и санкции за нарушение этих правил.

Технические средства делятся на физические (замки, решетки, системы сигнализации и др.) и аппаратные (замки, блокировки, сигнализации и другие устройства, применяемые непосредственно на средствах вычислительной техники и средствах передачи данных). Программные средства защиты информации — это специальные средства защиты информации, встроенные в состав программного обеспечения системы и осуществляющие самостоятельно или в комплексе с другими средствами защиту информации в системе.

Программные средства защиты информации:

1. Программные средства идентификации пользователей и определения их полномочий.
2. Программные средства идентификации терминалов .
3. Программные средства защиты файлов .
4. Программные средства защиты ОС, ЭВМ и программ пользователей.
5. Вспомогательные программы различного назначения.

Криптографические средства защиты информации — методы специального кодирования, шифрования или иного преобразования информации в результате которого содержимое становится недоступным без предъявления некоторой специальной информации и обратного преобразования. Использование криптографических методов стало особенно актуальным в настоящее время в связи с передачей по открытой сети Интернет больших объемов информации государственного, военного, коммерческого и частного характера. В связи с высокой стоимостью ущерба от потерь, разглашения и искажения информации, хранящейся в базах данных и передаваемой по локальным сетям, в современных ИС рекомендуется хранить и передавать информацию в зашифрованном виде.

Криптографическая система - семейство алгоритмов преобразования открытого текста в шифртекст.

Алфавит - конечное множество используемых для кодирования информации знаков. В качестве примеров алфавитов, используемых в современных информационных системах можно привести следующие:

• алфавит Z33 — 32 буквы русского алфавита и пробел;
• алфавит Z256 — символы, входящие в стандартные коды ASCII;
• бинарный алфавит — Z2 = {0,1}.

Шифрование предполагает преобразование исходного текста Т с использованием ключа К в зашифрованный текст t. Ключ - сменный элемент шифра, который применен для шифрования конкретного сообщения. При шифровании используется понятие «гамма шифра» — это псевдослучайная числовая последовательность, вырабатываемая по заданному алгоритму, для зашифровывания открытых данных и дешифрования шифрограмм.

По характеру использования ключа известные криптосистемы можно разделить на два типа: симметричные (одноключевые, с секретным ключом) и асимметричные (с открытым ключом).

В первом случае в шифраторе отправителя и дешифраторе получателя используется один и тот же ключ. Шифратор образует шифрограмму, которая является функцией открытого текста, конкретный вид функции шифрования определяется секретным ключом. Дешифратор получателя сообщения выполняет обратное преобразование аналогичным образом. Секретный ключ хранится в тайне и передается отправителем сообщения получателю по защищенному каналу, исключающему перехват ключа криптоаналитиком противника.

Шифрование осуществляется методами замены и перестановки. Простейшее, но не поддающееся расшифровке шифрование — с заменой символов текста на случайные символы или числа. При этом длина ключа должна совпадать с длиной текста, что неудобно при больших объемах информации. Ключ используется один раз, потом его уничтожают, поэтому этот метод называют «Шифрование с отрывным блокнотом».

В реальности шифрование производится в двоичном коде с использованием коротких ключей — в международном стандарте DES (Data Encryption Standard), который работает с блоками данных по 64 байта (1998 г.), в ГОСТ 28147 — 89 — 256 байт, что обеспечивает существенно большую криптостойкость. На основании короткого ключа компьютер создает длинный ключ-гамму, используя один из нескольких алгоритмов, изложенных в стандартах шифрования DES или ГОСТ. Алгоритмы создания гаммы — гаммирования — основаны на серии замен и сдвигов, возможно, с использованием шифртекста. Алгоритмы шифрования не секретны, секретны только ключи. Для распространения ключей по сетям общего пользования применяется следующая технология: через курьеров передаются ключи первого ранга, на их основе шифруются и передаются по сетям ключи второго ранга, используемые для шифрования документов.

Наиболее современные системы шифрования используют асимметричные алгоритмы с открытым и секретным ключами, где нет проблемы безопасной транспортировки ключа. К числу таких систем относится алгоритм rsa, названный по именам разработчиков (rivest-shamir-adleman — разработчики этой системы Рональд Ривест, Ади Шамир и Леонард Адлеман, 1977 г.), базирующийся на разложении больших чисел на множители.

В асимметричных криптосистемах (криптосистемах с открытым ключом) в алгоритмах шифрования и дешифрования используются различные ключи, каждый из которых не может быть получен из другого с приемлемыми затратами временных и других ресурсов. Один ключ — открытый — используется для шифрования информации, другой — секретный — для дешифрования, т. е. прочесть сообщение может только тот, кому оно предназначено, например глава фирмы, получающий сообщения от своих многочисленных агентов.

Системы электронной подписи основаны на асимметричном шифровании, но секретный ключ хранится у отправителя сообщений, а открытым ключом, созданным на основе секретного путем математического преобразования, располагают многие. Открытый ключ может быть передан вместе с сообщением. Но в этом случае шифруется не само сообщение, а его хэш-функция, получаемая из сообщения путем его преобразования по определенному алгоритму и занимающая всего несколько байт. Изменение хотя бы одного бита в тексте сообщения приводит к существенному изменению хэш-функции. Получатель сообщения может расшифровать зашифрованную хэш-функцию, переданную вместе с сообщением, создать хэш-функцию полученного сообщения, используя известный алгоритм, и сравнить расшифрованную и воссозданную хэш-функции. Их совпадение гарантирует целостность полученного документа, т. е. отсутствие в нем искажений. Получатель не может внести изменений в полученный документ, т. к. не может зашифровать новую хэш-функцию. Поэтому электронная подпись имеет такую же юридическую силу, как и обычная подпись и печать на бумаге. Секретные и открытые ключи, программы и аппаратура для систем электронной подписи поставляют лицензированные ФСБ фирмы, которые в случае необходимости могут представить в суд копии ключей.

Существует два основных способа защиты: программный и аппаратный. Программный способ защиты данных хорош тем, что при относительно небольшой затрате средств можно получить программу, обеспечивающую требуемую надежность хранения информации. Но программные средства обладают несколькими существенными недостатками, о которых следует знать при выборе данного пути:

• обычно работают медленнее аппаратных;
• любую программу можно вскрыть, это лишь вопрос времени и квалификации специалиста;
• при хищении носителя информации похищается и программа.

Аппаратные средства тоже обладают рядом недостатков: их разработка обходится дороже, прибавляются расходы на производство и обслуживание, аппаратная система более сложна и также требует помимо аппаратной части программное обеспечение.

Но преимущества использования аппаратных средств очевидны:

• быстрая работа без привлечения ресурсов системы;
• проникнуть в программу аппаратного средства без его хищения невозможно;
• не имея аппаратного средства, невозможно расшифровать защищенные данные.

7.4. Законодательные акты в области защиты информации

В России принимаются меры для противодействия информационному оружию и компьютерной преступности. В Госдуме РФ действует депутатская группа «Электронная Россия», проводятся круглые столы по информационной безопасности для разработки соответствующих законов. Приняты Закон РФ «О безопасности», Закон «Об электронной подписи» и «Об информации, информатизации и защите информации», в котором определено, что информация подлежит защите так же, как материальное имущество собственника. Обеспечением безопасной передачи правительственной информации раньше занималось ФАПСИ, сейчас — ФСБ и ФСО, защитой передачи коммерческой информации — фирмы, имеющие лицензию ФСБ. Разработан руководящий документ Гостехкомиссии РФ «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требований по защите информации» и соответствующие Государственные стандарты:

ГОСТ 28147-89. Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования;

ГОСТ Р 34. 10-94. Информационная технология. Криптографическая защита информации. Процедуры выработки и проверки электронной цифровой подписи на базе асимметричного криптографического алгоритма;

ГОСТ Р 34. 11-94. Информационная технология. Криптографическая защита информации. Функция хэширования;

ГОСТ Р 50739-95. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования.

С 2004 г. действует новый национальный стандарт безопасности ГОСТ/ИСО МЭК 15408 — 2002. Общие критерии оценки безопасности информационных технологий.

Годом рождения стандарта можно считать 1990-й — именно тогда были начаты работы по созданию стандарта в области оценки безопасности информационных технологий (ИТ) под эгидой Международной организации по стандартизации (ИСО). Этот документ был переведен и взят за основу при разработке ГОСТ/ИСО МЭК 15408 — 2002. Название стандарта сложилось исторически. Работы над ним велись при содействии государственных организаций по стандартизации США, Канады, Великобритании, Франции, Германии и Голландии и преследовали следующие концептуальные цели:

• унификация различных национальных стандартов в области оценки безопасности ИТ;
• повышение уровня доверия к оценке безопасности ИТ;
• сокращение затрат на оценку безопасности ИТ на основе взаимного признания сертификатов.

Российский стандарт представляет собой точный перевод международного стандарта. Он принят постановлением Госстандарта России от 4.04.2002 г. № 133-ст с датой введения в действие 1 января 2004 г. Появление этого ГОСТа отражает не только процесс совершенствования российских стандартов с использованием международного опыта, но и часть правительственной программы по вступлению России в ВТО (как известно, при вступлении в эту организацию в стране-претенденте должны быть унифицированы пошлины, налоги, стандарты на производство, стандарты качества и некоторые стандарты в области информационной безопасности).

В рамках нового стандарта вводятся понятия «угроза» и «профиль».

Профиль защиты — «независимая от реализации совокупность требований безопасности для некоторой категории продуктов или ИТ-систем, отвечающая специфическим запросам потребителя».

Все механизмы защиты, описанные в профиле, называются функциями безопасности объекта (ФБО). В профиль защиты включаются только те функции безопасности, которые должны защищать от угроз и соответствовать политике безопасности.

Предположения безопасности — это описание конкретных условий, в которых будет эксплуатироваться система. Политика безопасности — «одно или несколько правил, процедур, практических приемов или руководящих принципов в области безопасности, которыми руководствуется организация в своей деятельности». В общем случае такой набор правил представляет собой некий функционал программного продукта, который необходим для его использования в конкретной организации.

Один из наиболее сбалансированных и жизнеспособных документов — внутриотраслевой стандарт Банка России по ИБ. Его последняя редакция (2006 г.) свидетельствует о явном намерении Центробанка сменить рекомендательный характер документа на обязательный статус.

7.5. Стандарт защиты информации в области банковских карт

Payment Card Industry Data Security Standard (PCI DSS) — стандарт защиты информации в индустрии платежных карт, разработанный международными платежными системами Visa и MasterCard.

Решение о создании данного единого стандарта было принято международными платежными системами в связи с ростом числа компаний, сообщивших о том, что находившаяся у них конфиденциальная информация о счетах их клиентов была потеряна или украдена.

Цели стандарта:

• повышение защищенности электронных торговых и платежных систем;
• обеспечение безопасной среды для хранения данных держателей карт;
• сокращение несогласованности в требованиях к обеспечению безопасности в индустрии платежных карт;
• модернизация и рационализация бизнес-процессов и снижение издержек.

Требования стандарта PCI DSS распространяются на все компании, работающие с международными платежными системами Visa и MasterCard. В зависимости от количества обрабатываемых транзакций каждой компании присваивается определенный уровень с соответствующим набором требований, которые они должны выполнять. В рамках требований стандарта предусматриваются ежегодные аудиторские проверки компаний, а также ежеквартальные сканирования сетей.

Стандарт PCI Data Security Standard с сентября 2006 г. введен международной платежной системой VISA на территории региона CEMEA как обязательный, соответственно его действие распространяется и на Россию. Поэтому поставщики услуг (процессинговые центры, платежные шлюзы, Интернет-провайдеры), работающие напрямую с VisaNet, должны пройти процедуру аудита на соответствие требованиям Стандарта. В противном случае VISA будет применять к компаниям определенные штрафные санкции.

Вопросы для самопроверки

1. В чем состоит основное отличие защиты банковских компьютерных систем от защиты промышленных компьютерных систем?
2. Какие мероприятия могут быть отнесены к организационным мерам защиты?
3. В чем состоит принцип «закрытых дверей» в банках и почему он не может быть эффективно применен в настоящий момент?
4. Какие средства защиты могут быть отнесены к физическим средствам?
5. Какие системы, аналитические или оперативные, требуют более тщательных методов защиты и почему?
6. Что такое криптографические методы преобразования текста?
7. Что такое ключ?
8. Дайте определение «гаммирования». Зачем оно требуется?
9. Что такое кодирование с «отрывным блокнотом» и почему оно сейчас не применяется?
10. Какова длина ключа при кодировании с использованием стандарта DES?
11. Отличается ли длина ключа по российским стандартам от международных? Какова она?
Название практикума Аннотация

Презентации

Название презентации	Аннотация

В банковской сфере изначально существовала проблема, связанная с конфиденциальностью информации, ее хранением и защитой. Безопасность данных банковских учреждений играет важную роль в бизнесе, поскольку конкуренты и преступные лица всегда интересуются такой информацией и прилагают все усилия для ее достижения. Во избежание возникновения такого рода проблем, необходимо научиться защищать банковские данные. Для того чтобы защита банковской информации была эффективной нужно, прежде всего учесть все возможные способы утечки информации. А именно: тщательно проверять данные людей при подборе кадров, проверять их биографические данные и предыдущие места работы.

Информационная безопасность банковских учреждений

Все информационные данные, находящиеся в обработке банковских и кредитных организаций, подвергаются риску. Это как данные клиентов, так и данные о непосредственной работе банков, их базы данных и так далее. Дело в том, что такая информация может быть полезна как конкурентам, так и физическим лицам, занимающимся преступной деятельностью. Их действия, по сравнению с проблемами, возникающими из-за вирусного поражения аппаратуры или сбоев операционных систем, приносят действительно колоссальный ущерб для организаций подобного рода.

Защита банковских серверов и локальных сетей от злоумышленников и несанкционированного доступа к материалам компании просто необходима в условиях жесткой конкуренции современного общества.

Информационная безопасность систем банковских учреждений имеет важное значение поскольку это гарантирует соблюдение конфиденциальности данных о клиентах банков. Проведение ежедневного резервного копирования, которое осуществляется организациями, снижает риск полной утери важной информации. Помимо этого, разработаны способы защиты данных от угроз, касающихся несанкционированного доступа. Утечка такого рода информации может возникать вследствие работы как шпионских служб, специально засланных в организацию, так и сотрудников, давно работающих и решившихся заработать на хищении информационного имущества банка. Безопасность обеспечивается благодаря работе профессионалов и специалистов, знающих свое дело.

Защита клиентов – это один из важнейших показателей, влияющих на репутацию банка в целом, в том числе и на доход организации. Поскольку только хорошие отзывы помогут банку выйти на высокий уровень обслуживания и обойти конкурентов.

Несанкционированный доступ к информации банковских систем

Одним из самых частых способов кражи банковской информации является использование резервного копирования, вынос данных на носителе или имитация взлома, но не с целью кражи материальных средств, а чтобы получить доступ к информации на сервере. Поскольку резервные копии обычно хранятся на стримерах в отдельных местах, то во время их транспортировки в место назначения можно сделать копии. Вот почему сотрудники, которых берут на подобную работу, тщательно проверяются через различные государственные органы на наличие судимости, проблем с законом в прошлом, в том числе и достоверность предоставленной о себе информации. Поэтому не стоит недооценивать такую возможность хищения банковской информации, ведь мировая практика пестрит такими случаями.

К примеру, так в 2005 году были выставлены на продажу базы данных проводок Центрального Банка Российской Федерации. Не исключено, что эта информация просочилась за пределы банковской организации именно из-за недостаточной безопасности банковских систем. Похожая ситуация не раз происходила во всемирно известных компаниях Соединенных штатов Америки, информационная безопасность которых очень сильно страдала от этого.

Интервью с начальником службы безопасности банка:

Более того, еще один способ, вследствие которого может возникнуть утечка информации из систем, это банковские сотрудники, жаждущие заработать на этом. Несмотря на то, что в большинстве случаев несанкционированный доступ к информации банковских систем делается только лишь с целью получить возможность поработать дома, именно они становятся причиной распространения информации, которая носит конфиденциальный характер. К тому же это прямое нарушение политики безопасности систем банковских организаций.

Следует также учесть, что в любом банке работают люди, имеющие значительные привилегии по доступу к таким данным. Это, как правило, системные администраторы. С одной стороны, это производственная необходимость, которая дает возможность выполнять служебные обязанности, а с другой – они могут использовать ее в собственных целях и при этом умеют профессионально “заметать за собой следы”.

Способы снижения рисков утечки информации

Защита банковской информации от несанкционированного доступа обычно включает в себя не менее 3 составляющих. Каждая из этих составляющих помогает обеспечить безопасность банков именно в той сфере, где она используется. Сюда можно отнести защиту от физического доступа, резервных копий и защиту от инсайдеров.

Поскольку банки с особым вниманием относятся к физическому доступу и стараются еще в корне исключить возможность несанкционированного доступа, то им приходится использовать специальные средства и способы шифрования и кодирования важной информации. Поскольку банки имеют похожие системы и средства для защиты данных, то лучше использовать криптографические защитные средства. Они помогают сохранить коммерческую информацию, а также сократить риски возникновения таких ситуаций. Лучше всего хранить информацию в закодированном виде, используя принцип прозрачного шифрования, который помогает снизить затраты на защиту информации, а также освобождает от необходимости постоянно расшифровывать и зашифровывать данные.

Учитывая тот факт, что все данные банковских систем фактически являются деньгами клиентов, следует уделять должное внимание их сохранности. Одним из способов является определение наличия вышедших из строя секторов на жестком диске. Функция отмены или приостановки процесса играет далеко не последнюю роль при первоначальном шифровании, зашифровывании, расшифровывании и перешифровании диска. Такая процедура имеет высокую продолжительность, и поэтому любой сбой может привести к полной утере информации. Наиболее надежный способ хранения ключей шифрования и систем – это смарт карты или USB-ключи.

Защита систем информации осуществляется более эффективно благодаря применению не только стримеров, но и съемных жестких дисков, DVD-носителей и прочего. Комплексное использование средств защиты от физического проникновения к источникам информации увеличивает шансы ее сохранности и неприкосновенности со стороны конкурентов и злоумышленников.

Из этого видео вы узнаете о мерах, которые стоит предпринять:

Методы защиты информационных систем от инсайдеров

В основном хищение информации происходит с помощью мобильных носителей, различного рода USB-устройств, дисковых накопителей, карт памяти и прочих мобильных устройств. Поэтому одним из правильных решений, является запрет использования подобных устройств на рабочих местах. Все, что необходимо содержится на серверах и тщательно отслеживается, куда и откуда передается информация в среде банков. Кроме того, в крайних случаях разрешается использовать только те носители, которые приобретаются компанией. Можно установить специальные ограничения, благодаря которым компьютер не будет распознавать посторонние носители и карты памяти.

Защита информации – одна из важнейших задач банковских организаций, необходимая для эффективного функционирования. Современный рынок располагает большими возможностями для осуществления этих планов. Блокировка компьютеров и портов – важнейшее условие, которое следует соблюдать, чтобы защита систем была более надежной.

Не следует забывать и о том, что лица занимающиеся кражей данных тоже знакомы с набором систем, благодаря которым осуществляется защита коммерческой информации,и могут их обойти с помощью специалистов. Чтобы предотвратить возникновение таких рисков нужно постоянно работать над улучшением безопасности и стараться использовать усовершенствованные системы защиты.

Поволжский государственный университет сервиса

Альшанская Татьяна Владимировна, кандидат педагогических наук, доцент кафедры прикладная информатика в экономике, Поволжский государственный университет сервиса

Аннотация:

Данная статья отражает современное состояние методов зашиты информации банковского сектора и перспективы его развития. В статье раскрыты основные угрозы информационной безопасности банков. Приведены мероприятия по защите информации в банке, которые необходимо провести для создания эффективной системы защиты.

This article reflects the current state of methods of protection of information of the banking sector and its development prospects. The article covers the main threats to information security of banks. Presents measures to protect the information in the bank, to be carried out to create an effective system of protection.

Ключевые слова:

банк; информационная безопасность; защита информации.

information safety; information security.

УДК 338.14

Деятельность любого банка непосредственно находится в зависимости от того, с какой скоростью осуществляется обмен информации внутри него и в какой мере построена система защищенности информации. Результаты неразвитой банковской инфраструктуры катастрофичны: банк способен лишиться не только базы клиентов, но и их доверие. Столкновение с данной задачей привело к формированию новейших концепций защиты информации, которые разрабатывались согласно условиям кредитных институтов. Таким образом, исследование систем защиты информации в банковской сфере представляет собой актуальную задачу.

Согласно ст. 19 Федерального Закона «Об информации, информационных технологиях и о защите информации» от 27.07.2006 №149-ФЗ, защита информации представляет собой принятие правовых, организационных и технических мер, направленных на обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации, соблюдение конфиденциальности информации ограниченного доступа, а также реализацию права на доступ к информации .

Защита данных банковской деятельности содержит в себе осуществление единого комплекса мероприятий — от аудита информационной защищенности и вплоть до формирования концепций защиты различных банковских служб. Эксперты данной сферы готовы сформировать ровно как самостоятельный модуль защищенности, так и полную концентрированную концепцию систему защиты данных.

В процессе реализации основных функций службы защиты информации возникают задачи, решение которых слабо поддается формализации. В данном случае возможно применение методов теории систем и системного анализа, направленных на активизацию интуиции и опыта специалистов .

Одним из методов защиты информации банка является контролирование прохождения и регистрации секретной информации. Наиболее значимым в данной проблеме является установление предельно безопасных альтернатив обмена файлами внутри банка.

Для защиты информации банка применяют концепции идентификации, характеризующие наличие прав доступа к данным. С этой целью применяют систему паролей для входа в локальную сеть банка. Они могут быть выбраны пользователем, сгенерированы системой либо присваиваться ему менеджером по безопасности. Кроме того, существуют пластиковые карты доступа с чипом. С помощью особого алгоритма система кодирует и вносит индивидуальные данные определенного пользователя. Электронные ключи действуют при контакте с механизмом на дверях, установленных в секретных помещениях, в серверных и пользовательских ПК.

Защита информации банка будет надежно работать только при своевременном определении системой внешних угроз. Во внешней среде системы разделяют следующие виды угроз информации, табл. 1.

Таблица 1. Виды угроз информации во внешней среде

	Наименование угрозы	Характеристика
	нарушение физической целостности	уничтожение, разрушение элементов
	нарушение логической целостности	разрушение логических связей
	модификация содержания	изменение блоков информации, внешнее навязывание ложной информации
	нарушение конфиденциальности	разрушение защиты, уменьшение степени защищенности информации
	нарушение прав собственности на информацию	несанкционированное копирование

Планирование систем защиты данных для компании должно содействовать уменьшению вероятных неблагоприятных результатов, связанных с применением информационных технологий, и гарантировать возможность осуществления ключевых целей и задач кредитной организации. Построение моделей при проектировании либо модернизации системы защиты данных в банках является естественным средством решения задач анализа и проектирования с наименьшими расходами и значительной отдачей. В банках используется модель нарушителя информационной безопасности, которая включает в себя:

1. Описание нарушителей информационной безопасности;
2. Классификация нарушителей информационной безопасности;
3. Описание опыта и знаний нарушителей;
4. Описание доступных ресурсов, необходимых для реализации угрозы;
5. Описание возможной мотивации действий нарушителя;
6. Способы реализации угроз информационной безопасности со стороны указанных нарушителей.

Для построения модели нарушителя используется информация от службы безопасности, риск-подразделений и службы внутреннего контроля банка о существующих средствах доступа к информации и ее обработки, о возможных способах перехвата данных на стадии передачи, обработки и хранения, об обстановке в коллективе и на объекте защиты, сведения о конкурентах и ситуации на рынке, об имевших место случаях хищения информации и т.п. .

Помимо этого, оцениваются реальные оперативные технические возможности правонарушителя с целью влияния на концепцию защиты либо на защищаемый объект. Под техническими возможностями понимается перечень разнообразных технических средств, которыми может располагать правонарушитель в ходе совершения операций, нацеленнеых против системы защиты информации.

В завершение необходимо отметить, что эффективное использование моделей допустимо только при качественных исходных данных, необходимых для описания моделей при решении задач защиты. Значимым при этом является то обстоятельство, что подавляющее количество исходных данных обладает высокой степенью неопределенности. По этой причине необходимо не просто формировать необходимые данные, а регулярно производить их оценку и конкретизацию.

Библиографический список:

1. Альшанская, Т. В. Применение методов системного анализа специалистами по информационной безопасности [Текст] / Т. В. Альшанская. Информационные системы и технологии: управление и безопасность: сб. ст. III международной заочной научно-практической конференции / Поволжский гос. ун-т сервиса. – Тольятти: Изд-во ПВГУС, 2014. – 348 с.
2. Трофимова, В. В. Информационные системы и технологии в экономике и управлении [Текст] / В.В. Трофимова. М.: Юрайт, 2012. – 521 с.
3. Федеральный Закон «Об информации, информационных технологиях и о защите информации» от 27.07.2006 №149-ФЗ