Файл: Система защиты информации в банковских системах(направления обеспечения безопасности 6 банка россии).pdf

Фирма "Olivetti Systems Networks (OS N)", включающая в себя около 220 компаний из 30 стран мира и находящаяся в составе "Olivetti Group", имеет большой опыт автоматизации различных сфер бизнеса и, в частности, предлагает свою "банковскую плат­форму" (Platform for banking-PB) для автоматизированного банка ("Automatic banking"). Это комплексное решение, отвечающее тен­денции построения открытых систем, обеспечивает создание гиб­кой и способной к расширению системы банковских учреждений, реализацию полного набора банковских функций в среде распре­деленных услуг и приложений в условиях локальной сети и возможность выхода в глобальную сеть. Банковская платформа "Olivetti" включает ряд составляющих, которые реализуют конкрет­ные функции в узлах автоматизированной банковской сети. В час­тности, служба управления сетью осуществляет поддержку раз­личных протоколов обмена данными; организует доступ к удаленным базам, коммуникацию с доступными линиями связи; обеспечивает устойчивую работу внутренней локальной сети и т.п.

Среда управления данными осуществляет взаимодействие сис­тем хранения, поиска, доступа и управления базой данных Oragle. Базовое окружение включает поддержку среды распределенных услуг и приложений локальной вычислительной сети ("Olinet LAN", "LAN Manager"), использование различных операционных систем (DOS, OS/2, Windows, UNIX), обеспечение общего интер­фейса пользовательских приложений.

Коммуникационное окружение организует функционирование локальной вычислительной сети в учреждении банка на основе ло­кальной системы контроля "Lokal Monitoring System" и взаимо­действие с глобальной (географически) сетью на базе (системы светового управления) фирмы "Olivetti" или на базе IBM "Net View Gateway". Делая упор на создание среды распределенных банковских услуг и приложений в условиях локальной сети, со­здатели платформы фирмы "Olivetti" предусмотрели развитый ин­терфейс пользователя, среду ручной обработки документов, на­дежную службу защиты информации, предусмотрев проверку до­ступа к комплексу и действий пользователя, защиту программного обеспечения, устройств хранения данных и коммуникационных частей комплекса путем широкого использования магнитных карт с соответствующими устройствами считывания, записи и програм­мных приложений.

Фирма "Olivetti" накопила большой опыт в создании специ­альных банковских устройств и автоматов, в том числе для систем самообслуживания клиентов банка — принтеров, устройств иден­тификации, автоматов по выдаче наличных денег, устройств рабо­ты со сберкнижками, магнитными картами, сертификатами и т.д Выпускаемые фирмой устройства выполняют разнообразные фун­кции: выдачу наличных денег, печать состояния счетов, оформле­ние вкладов и сберкнижек, электронный перевод денег и ряд дру­гих.

Объединение "Bull" (Франция) входит в десятку крупнейших мировых поставщиков информационных систем и претворяет в своей деятельности концепцию "Distributed Computing Model" ("Распределенная вычислительная модель"), представляющую новую модель распределенной и открытой архитектуры. Этот подход положен в основу проекта клиринговой системы Фран­ции SIT ("Systeme Interbancaire de Telecompencation"), разработ­ка которой началась в начале 80-х годов по инициативе банков Франции.

Главными целями создания межбанковской системы телерасче­тов SIT являются ускорение обработки межбанковских операций, обеспечение непрерывности обмена межбанковскими сообщения­ми, сокращение стоимости межбанковских сообщений. При созда­нии системы телекоммуникаций SIT была поставлена задача децентрализации системы расчетов; банки, финансовые учрежде­ния и Французский банк были соединены между собой системой SIT/MP ("Moyens de Paiement" — "Средства оплаты"). Коммуни­кационная вычислительная система SIT/MP обеспечивает быст­рые и надежные обмены между банками (взаиморасчеты освобож­дают от необходимости передачи сопутствующих материальных носителей — денежные суммы, платежные поручения и т.д.), а сис­тема SIT/B — быструю и гарантированную передачу биржевых распоряжений. На протяжении более десяти лет система постоян­но развивается и позволяет автоматизировать:

передачу банковских и биржевых операций (перевод со счета на счет, подтверждения по изъятию денежных сумм и т.п.) и рас­поряжений;

обработку предъявляемых чеков;

маршрутизацию корреспонденции;

обработку извещений по банковским и брокерским операциям;

широкое распространение рыночной информации.

В состав сети SIT входят станции приема-передачи операций, центры банковской обработки, центры биржевой обработки. Центра­ми, общими для всех членов сети, стали центр управления и расчет­ный центр (SIT/MP), а также общий центр защиты (SIT/B).

Для поддержки задач отделений и международных отделов лю­бых по размерам банков фирма "Bull" рекомендует систему ICBS. Она состоит из модулей, функционирует под управлением ОС ONIX и реализует клиринговые операции и оформление необхо­димых отчетов по ним; выполняют функции контроля и управле­ния доходами, курсами валют, ставками, ценами. Эта система ре­шает и задачи взаимодействия с центральным банком; обеспечивает проведение международных операций, используя в реальном масштабе времени широкий набор финансовой, экономической, клиентской информации, справочные показатели и таблицы; а так­же осуществляет подготовку и прием сообщений сетей SWIFT и "Telex", ведет разнообразные информационные операции и взаи­модействие с доступными другим модулям базами данных.

Исследование современного состояния и перспектив развития банковского дела в западных странах свидетельствует о наличии общих тенденций в создании электронных систем расчетов, кото­рые предусматривают создание систем электронного клиринга, ав­томатизированных систем по управлению наличностью, систем электронных платежей в организации торговли, автоматизирован­ных международных межбанковских систем и т.п.

3.3. Системы защиты информации от утечки по техническим каналам

Набор мероприятий для предотвращения нарушений многооб­разен и вытекает из природы побудительных мотивов. Он может содержать соответствующую подготовку пользователей, поддер­жание здорового рабочего климата в коллективе, подбор персо­нала, своевременное обнаружение потенциальных злоумышлен­ников и т. д.

При организации защиты автоматизированных банковских систем (АБС) желательно попытаться опреде­лить вероятность каждого конкретного вида угрозы и потенци­альный ущерб, который понесут пользователи и владельцы АБС, если угроза осуществится. Предпринимаемые меры защиты долж­ны быть адекватны вероятности осуществления и степени угрозы и обеспечивать оптимальную защиту от нее (с учетом затрат на организацию защиты).

Под системой защиты АБС обычно понимают единую совокуп­ность правовых и морально-этических норм, организационных (административных), технологических мер и программно-техни­ческих средств, направленных на противодействие угрозам АБС с целью сведения до минимума возможного ущерба пользователям и владельцам системы.

При построении системы защиты сложилось два подхода к ре­шению проблемы безопасности АБС, которые можно условно на­звать фрагментарным и комплексным.

Фрагментарный подход ориентируется на противодействие строго определенным угрозам при определенных условиях. Напри­мер, специализированные средства, автономные средства шифро­вания и т. д. Главное достоинство фрагментарного подхода — его высокая избирательность относительно конкретной угрозы. Но с этим связан и недостаток — локальность действия, т.е. фрагмен­тарные методы защиты обеспечивают эффективную защиту кон­кретных объектов АБС от конкретной угрозы, но не более того. Даже небольшое видоизменение угрозы ведет к потере эффектив­ности защиты.

При комплексном подходе объединяются разнородные меры противодействия угрозам (правовые, организационные, програм­мно-технические и т. д.). В целом все меры формируют политику безопасности. При комплексном использовании мер создается за­щищенная среда обработки информации.

Комплексный подход применяют для защиты крупных АБС, нарушение безопасности в которых может нанести огромный ма­териальный ущерб, как банкам, так и их клиентам. Но комплекс­ный подход может быть использован и для небольших АБС, обра­батывающих дорогостоящую информацию или выполняющих от­ветственные задачи.

Комплексного подхода придерживаются большинство государ­ственных и крупных коммерческих предприятий и учреждений. Он находит отражение в различных стандартах. Например, он це­ленаправленно проводится в жизнь Министерством обороны США в лице Национального центра компьютерной безопасности. Недо­статками комплексного подхода являются сложность управления и ограничения на свободу действий пользователей АБС.

Построение систем защиты включает ряд этапов. Этапы пос­троения системы защиты сходны с этапами создания самих АБС, можно выделить следующие этапы:

анализ возможных угроз АБС;

разработка системы защиты;

реализация системы защиты;

сопровождение системы защиты.

На этапе анализа возможных угроз АБС, исходя из ее состоя­ния на данный момент времени, определяются возможные возму­щающие действия на каждый элемент системы защиты. Построе­ние абсолютно надежной системы защиты, видимо, невозможно. Поэтому из всего множества воздействий выбираются лишь те, которые могут реально произойти и нанести наиболее серьезный ущерб.

На этапе разработки возможно комплексное использование сле­дующих видов защиты: правовые (законодательные), морально-этические, административные, физические, технические (програм­мно-аппаратные).

К правовым мерам относятся действующие в стране законы, ука­зы, нормативные акты, регламентирующие правила обращения с информацией ограниченного использования и ответственность за их нарушения. Эти меры являются сдерживающим фактором для потенциальных нарушителей.

К морально-этическим мерам противодействия относятся все­возможные нормы поведения, которые традиционно сложились ранее, складываются по мере распространения ЭВМ и АБС в стране и в мире или специально разрабатываются Морально-эти­ческие нормы могут быть неписаные (например, честность), либо оформленные в некий свод (устав) правил или предписаний. Эти нормы, как правило, не являются законодательно утвержденны­ми, но поскольку их несоблюдение приводит к падению прести­жа организации (банка), они считаются обязательными для ис­полнения Характерным примером таких предписаний является "Кодекс профессионального поведения членов Ассоциации поль­зователей ЭВМ США" Например, считаются неэтичными умыш­ленные либо неумышленные действия, которые вызывают допол­нительные неоправданные затраты ресурсов (машинного време­ни, памяти), нарушают интересы других законных пользователей и т.д.

Административные меры защиты — это меры организационно­го характера, регламентирующие процессы функционирования АБС, использования ее ресурсов, деятельность персонала и т.д. Цель этих мер — в наибольшей степени затруднить или исключить возможность реализации угроз безопасности Административно-организационных мер много. Приведем лишь некоторые:

разработка правил обработки информации в АБС;

организация защиты от установки прослушивающей аппарату­ры в помещениях вычислительного центра или расположения АРМ;

мероприятия при подборке персонала (проверка новых сотруд­ников, ознакомление их с порядком работы с конфиденциальной информацией, с мерами ответственности за нарушение правил ее обработки);

организация надежного пропускного режима;

организация учета, хранения, использования и уничтожения документов и носителей с конфиденциальной информацией;

распределение реквизитов разграничения доступа (паролей, профилей полномочий и т. д.);

организация скрытого контроля за работой пользователей и персонала АБС;

другие мероприятия.

Административные меры играют значительную роль в обеспе­чении безопасности АБС. Эти меры необходимо использовать тог­да, когда другие методы и средства защиты (например, аппаратно-программные) недоступны (отсутствуют или слишком дороги). Очевидно, что в структурах с низким уровнем правопорядка, дис­циплины и этики ставить вопрос о защите информации другими средствами просто бессмысленно. Надо, прежде всего, решить пра­вовые и организационные вопросы.

Физические меры защиты — это разного рода механические, электронные или электронно-механические устройства и сооружения, специально предназначенные для создания физических препятст­вий на возможных путях проникновения и доступа потенциаль­ных нарушителей к компонентам защиты и защищаемой инфор­мации.

Техническими (аппаратно-программными) средствами защи­ты называются различные электронные и специальные програм­мы, которые выполняют (самостоятельно или в комплексе с другими средствами) функции защиты. Некоторые примеры таких функций идентификация и аутентификация (отвечающие требованиям на верность, правильность) пользователей или процессов, разграничение и контроль доступа к ресурсам, ре­гистрация и анализ событий, криптографическая защита инфор­мации (шифровка данных), резервирование ресурсов и компо­нентов АБС.

Наилучшие результаты достигаются при системном подходе к вопросам обеспечения безопасности АБС и комплексном исполь­зовании обеспечения мер защиты на всех этапах жизненного цик­ла системы, начиная с самых ранних стадий ее проектирования. Однако, где это возможно, другие меры надо заменять более надежными современными физическими и техническими сред­ствами.