Файл: Система защиты информации в банковских системах(направления обеспечения безопасности 6 банка россии).pdf
Добавлен: 27.06.2023
Просмотров: 225
Скачиваний: 3
СОДЕРЖАНИЕ
1. направления обеспечения безопасности банка россии
1.2. Утечка информации из компьютерных сетей
1.3. Защита платежных документов
1.4. Внутренняя безопасность. Личная безопасность сотрудников
2. Службы банка россии, обеспечивающие безопасность банковской деятельности
3. Виды электронных банковских технологий
3.1. Отечественные автоматизированные системы банковских технологий
3.2. Зарубежные системы автоматизации банковской деятельности
3.3. Системы защиты информации от утечки по техническим каналам
3.4. Классификация, кодирование и контроль технико-экономической информации
4. Организация службы внутренней безопасности
4.1. Порядок организации охраны, пропускного режима
4.2. Порядок организации противопожарной охраны
5. ЛИЧНАЯ БЕЗОПАСНОСТЬ СОТРУДНИКОВ ЦЕНТРАЛЬНОГО БАНКА РОССИИ
Фирма "Olivetti Systems Networks (OS N)", включающая в себя около 220 компаний из 30 стран мира и находящаяся в составе "Olivetti Group", имеет большой опыт автоматизации различных сфер бизнеса и, в частности, предлагает свою "банковскую платформу" (Platform for banking-PB) для автоматизированного банка ("Automatic banking"). Это комплексное решение, отвечающее тенденции построения открытых систем, обеспечивает создание гибкой и способной к расширению системы банковских учреждений, реализацию полного набора банковских функций в среде распределенных услуг и приложений в условиях локальной сети и возможность выхода в глобальную сеть. Банковская платформа "Olivetti" включает ряд составляющих, которые реализуют конкретные функции в узлах автоматизированной банковской сети. В частности, служба управления сетью осуществляет поддержку различных протоколов обмена данными; организует доступ к удаленным базам, коммуникацию с доступными линиями связи; обеспечивает устойчивую работу внутренней локальной сети и т.п.
Среда управления данными осуществляет взаимодействие систем хранения, поиска, доступа и управления базой данных Oragle. Базовое окружение включает поддержку среды распределенных услуг и приложений локальной вычислительной сети ("Olinet LAN", "LAN Manager"), использование различных операционных систем (DOS, OS/2, Windows, UNIX), обеспечение общего интерфейса пользовательских приложений.
Коммуникационное окружение организует функционирование локальной вычислительной сети в учреждении банка на основе локальной системы контроля "Lokal Monitoring System" и взаимодействие с глобальной (географически) сетью на базе (системы светового управления) фирмы "Olivetti" или на базе IBM "Net View Gateway". Делая упор на создание среды распределенных банковских услуг и приложений в условиях локальной сети, создатели платформы фирмы "Olivetti" предусмотрели развитый интерфейс пользователя, среду ручной обработки документов, надежную службу защиты информации, предусмотрев проверку доступа к комплексу и действий пользователя, защиту программного обеспечения, устройств хранения данных и коммуникационных частей комплекса путем широкого использования магнитных карт с соответствующими устройствами считывания, записи и программных приложений.
Фирма "Olivetti" накопила большой опыт в создании специальных банковских устройств и автоматов, в том числе для систем самообслуживания клиентов банка — принтеров, устройств идентификации, автоматов по выдаче наличных денег, устройств работы со сберкнижками, магнитными картами, сертификатами и т.д Выпускаемые фирмой устройства выполняют разнообразные функции: выдачу наличных денег, печать состояния счетов, оформление вкладов и сберкнижек, электронный перевод денег и ряд других.
Объединение "Bull" (Франция) входит в десятку крупнейших мировых поставщиков информационных систем и претворяет в своей деятельности концепцию "Distributed Computing Model" ("Распределенная вычислительная модель"), представляющую новую модель распределенной и открытой архитектуры. Этот подход положен в основу проекта клиринговой системы Франции SIT ("Systeme Interbancaire de Telecompencation"), разработка которой началась в начале 80-х годов по инициативе банков Франции.
Главными целями создания межбанковской системы телерасчетов SIT являются ускорение обработки межбанковских операций, обеспечение непрерывности обмена межбанковскими сообщениями, сокращение стоимости межбанковских сообщений. При создании системы телекоммуникаций SIT была поставлена задача децентрализации системы расчетов; банки, финансовые учреждения и Французский банк были соединены между собой системой SIT/MP ("Moyens de Paiement" — "Средства оплаты"). Коммуникационная вычислительная система SIT/MP обеспечивает быстрые и надежные обмены между банками (взаиморасчеты освобождают от необходимости передачи сопутствующих материальных носителей — денежные суммы, платежные поручения и т.д.), а система SIT/B — быструю и гарантированную передачу биржевых распоряжений. На протяжении более десяти лет система постоянно развивается и позволяет автоматизировать:
передачу банковских и биржевых операций (перевод со счета на счет, подтверждения по изъятию денежных сумм и т.п.) и распоряжений;
обработку предъявляемых чеков;
маршрутизацию корреспонденции;
обработку извещений по банковским и брокерским операциям;
широкое распространение рыночной информации.
В состав сети SIT входят станции приема-передачи операций, центры банковской обработки, центры биржевой обработки. Центрами, общими для всех членов сети, стали центр управления и расчетный центр (SIT/MP), а также общий центр защиты (SIT/B).
Для поддержки задач отделений и международных отделов любых по размерам банков фирма "Bull" рекомендует систему ICBS. Она состоит из модулей, функционирует под управлением ОС ONIX и реализует клиринговые операции и оформление необходимых отчетов по ним; выполняют функции контроля и управления доходами, курсами валют, ставками, ценами. Эта система решает и задачи взаимодействия с центральным банком; обеспечивает проведение международных операций, используя в реальном масштабе времени широкий набор финансовой, экономической, клиентской информации, справочные показатели и таблицы; а также осуществляет подготовку и прием сообщений сетей SWIFT и "Telex", ведет разнообразные информационные операции и взаимодействие с доступными другим модулям базами данных.
Исследование современного состояния и перспектив развития банковского дела в западных странах свидетельствует о наличии общих тенденций в создании электронных систем расчетов, которые предусматривают создание систем электронного клиринга, автоматизированных систем по управлению наличностью, систем электронных платежей в организации торговли, автоматизированных международных межбанковских систем и т.п.
3.3. Системы защиты информации от утечки по техническим каналам
Набор мероприятий для предотвращения нарушений многообразен и вытекает из природы побудительных мотивов. Он может содержать соответствующую подготовку пользователей, поддержание здорового рабочего климата в коллективе, подбор персонала, своевременное обнаружение потенциальных злоумышленников и т. д.
При организации защиты автоматизированных банковских систем (АБС) желательно попытаться определить вероятность каждого конкретного вида угрозы и потенциальный ущерб, который понесут пользователи и владельцы АБС, если угроза осуществится. Предпринимаемые меры защиты должны быть адекватны вероятности осуществления и степени угрозы и обеспечивать оптимальную защиту от нее (с учетом затрат на организацию защиты).
Под системой защиты АБС обычно понимают единую совокупность правовых и морально-этических норм, организационных (административных), технологических мер и программно-технических средств, направленных на противодействие угрозам АБС с целью сведения до минимума возможного ущерба пользователям и владельцам системы.
При построении системы защиты сложилось два подхода к решению проблемы безопасности АБС, которые можно условно назвать фрагментарным и комплексным.
Фрагментарный подход ориентируется на противодействие строго определенным угрозам при определенных условиях. Например, специализированные средства, автономные средства шифрования и т. д. Главное достоинство фрагментарного подхода — его высокая избирательность относительно конкретной угрозы. Но с этим связан и недостаток — локальность действия, т.е. фрагментарные методы защиты обеспечивают эффективную защиту конкретных объектов АБС от конкретной угрозы, но не более того. Даже небольшое видоизменение угрозы ведет к потере эффективности защиты.
При комплексном подходе объединяются разнородные меры противодействия угрозам (правовые, организационные, программно-технические и т. д.). В целом все меры формируют политику безопасности. При комплексном использовании мер создается защищенная среда обработки информации.
Комплексный подход применяют для защиты крупных АБС, нарушение безопасности в которых может нанести огромный материальный ущерб, как банкам, так и их клиентам. Но комплексный подход может быть использован и для небольших АБС, обрабатывающих дорогостоящую информацию или выполняющих ответственные задачи.
Комплексного подхода придерживаются большинство государственных и крупных коммерческих предприятий и учреждений. Он находит отражение в различных стандартах. Например, он целенаправленно проводится в жизнь Министерством обороны США в лице Национального центра компьютерной безопасности. Недостатками комплексного подхода являются сложность управления и ограничения на свободу действий пользователей АБС.
Построение систем защиты включает ряд этапов. Этапы построения системы защиты сходны с этапами создания самих АБС, можно выделить следующие этапы:
анализ возможных угроз АБС;
разработка системы защиты;
реализация системы защиты;
сопровождение системы защиты.
На этапе анализа возможных угроз АБС, исходя из ее состояния на данный момент времени, определяются возможные возмущающие действия на каждый элемент системы защиты. Построение абсолютно надежной системы защиты, видимо, невозможно. Поэтому из всего множества воздействий выбираются лишь те, которые могут реально произойти и нанести наиболее серьезный ущерб.
На этапе разработки возможно комплексное использование следующих видов защиты: правовые (законодательные), морально-этические, административные, физические, технические (программно-аппаратные).
К правовым мерам относятся действующие в стране законы, указы, нормативные акты, регламентирующие правила обращения с информацией ограниченного использования и ответственность за их нарушения. Эти меры являются сдерживающим фактором для потенциальных нарушителей.
К морально-этическим мерам противодействия относятся всевозможные нормы поведения, которые традиционно сложились ранее, складываются по мере распространения ЭВМ и АБС в стране и в мире или специально разрабатываются Морально-этические нормы могут быть неписаные (например, честность), либо оформленные в некий свод (устав) правил или предписаний. Эти нормы, как правило, не являются законодательно утвержденными, но поскольку их несоблюдение приводит к падению престижа организации (банка), они считаются обязательными для исполнения Характерным примером таких предписаний является "Кодекс профессионального поведения членов Ассоциации пользователей ЭВМ США" Например, считаются неэтичными умышленные либо неумышленные действия, которые вызывают дополнительные неоправданные затраты ресурсов (машинного времени, памяти), нарушают интересы других законных пользователей и т.д.
Административные меры защиты — это меры организационного характера, регламентирующие процессы функционирования АБС, использования ее ресурсов, деятельность персонала и т.д. Цель этих мер — в наибольшей степени затруднить или исключить возможность реализации угроз безопасности Административно-организационных мер много. Приведем лишь некоторые:
разработка правил обработки информации в АБС;
организация защиты от установки прослушивающей аппаратуры в помещениях вычислительного центра или расположения АРМ;
мероприятия при подборке персонала (проверка новых сотрудников, ознакомление их с порядком работы с конфиденциальной информацией, с мерами ответственности за нарушение правил ее обработки);
организация надежного пропускного режима;
организация учета, хранения, использования и уничтожения документов и носителей с конфиденциальной информацией;
распределение реквизитов разграничения доступа (паролей, профилей полномочий и т. д.);
организация скрытого контроля за работой пользователей и персонала АБС;
другие мероприятия.
Административные меры играют значительную роль в обеспечении безопасности АБС. Эти меры необходимо использовать тогда, когда другие методы и средства защиты (например, аппаратно-программные) недоступны (отсутствуют или слишком дороги). Очевидно, что в структурах с низким уровнем правопорядка, дисциплины и этики ставить вопрос о защите информации другими средствами просто бессмысленно. Надо, прежде всего, решить правовые и организационные вопросы.
Физические меры защиты — это разного рода механические, электронные или электронно-механические устройства и сооружения, специально предназначенные для создания физических препятствий на возможных путях проникновения и доступа потенциальных нарушителей к компонентам защиты и защищаемой информации.
Техническими (аппаратно-программными) средствами защиты называются различные электронные и специальные программы, которые выполняют (самостоятельно или в комплексе с другими средствами) функции защиты. Некоторые примеры таких функций идентификация и аутентификация (отвечающие требованиям на верность, правильность) пользователей или процессов, разграничение и контроль доступа к ресурсам, регистрация и анализ событий, криптографическая защита информации (шифровка данных), резервирование ресурсов и компонентов АБС.
Наилучшие результаты достигаются при системном подходе к вопросам обеспечения безопасности АБС и комплексном использовании обеспечения мер защиты на всех этапах жизненного цикла системы, начиная с самых ранних стадий ее проектирования. Однако, где это возможно, другие меры надо заменять более надежными современными физическими и техническими средствами.