Добавлен: 26.06.2023
Просмотров: 43
Скачиваний: 3
ВВЕДЕНИЕ
Когда обычный человек слышит слова «безопасность банка», ему представляются тяжелые двери банковских хранилищ, надежные сейфы, многоуровневые посты охраны и контроля. Во многом это верно и сейчас. Но в современном мире значительную — если не основную — часть ценностей представляет собой не что-то материальное, а информация. Она также нуждается в защите. Информационная безопасность в банковских системах, так же, как и физическая, должна строится по многоуровневой схеме с контролем всех "точек входа" и использованием самых надежных технических средств.
Банковские структуры плотно вошли в жизнь человека. Люди хранят в банках свои деньги, берут различного рода займы, пользуются различными банковскими услугами в разных сферах жизни. Учитывая такую интеграцию банка в повседневную жизнь человека, можно смело сказать, что банковские структуры должно иметь наивысшую безопасность не только на физическом уровне, но и на информационном.
Банковская сеть, как сеть любого предприятия или организации, содержит в своем составе вполне стандартный набор объектов: рабочие станции сотрудников, инфраструктурные и специализированные серверы, сетевые шлюзы. С развитием мобильности к этому набору все чаще добавляются ноутбуки, смартфоны и планшеты, с которых осуществляется доступ сотрудников к банковской информационной системе. Специфика банков состоит в том, что к этому набору добавляются банкоматы и платежные терминалы (как правило, построенные на стандартных операционных системах и технически представляющие собой стандартный компьютер). Информационная система должна также быть доступна для клиентов банка. Наконец, не стоит забывать о том, что сеть даже сравнительно небольшого банка представляет собой распределенную систему с многочисленными филиалами и отделениями.
Таким образом, задача защиты информации хотя и близка по схеме и используемым средствам к задачам, решаемым для обычной организации, также должна иметь ярко выраженную банковскую специфику. Необходимо:
— Обеспечить надежную и безопасную работу АБС (автоматизированной банковской системы).
— Обеспечить безопасный доступ сотрудников и клиентов к банковской системе в территориально распределенной сети.
— Обеспечить доступ сотрудников к внешним информационным сетям (Интернету).
— Обеспечить защиту банкоматов и терминалов.
— Иметь возможность контроля всех процессов в системе и своевременного обнаружения любых нарушений.
Все эти задачи необходимо решать комплексно, начиная с архитектуры банковской сети.
Вся коммерческая информация, хранящаяся и обрабатываемая в кредитных организациях, подвергается самым разнообразным рискам, связанным с вирусами, выходом из строя аппаратного обеспечения, сбоями операционных систем и т.п. Но эти проблемы не способны нанести сколько-нибудь серьезный ущерб. Ежедневное резервное копирование данных, без которого немыслима работа информационной системы любого предприятия, сводит риск безвозвратной утери информации к минимуму. Кроме того, хорошо разработаны и широко известны способы защиты от перечисленных угроз. Поэтому на первый план выходят риски, связанные с несанкционированным доступом к конфиденциальной информации.
ГЛАВА 1. ВИДЫ ЗАЩИТЫ ИНФОРМАЦИИ В БАНКОВСКИХ СИСТЕМАХ
1. Анализ угроз безопасности информации в автоматизированном банке.
Отраслевая специфика банка как посредника на финансовых рынках и доверенного лица своей клиентуры определяет более обширный, чем в других отраслях, перечень возможных угроз его информационной безопасности. Их объектом могут выступать любые конфиденциальные сведения. Однако приоритетным объектом всегда являются сведения, составляющие банков скую тайну, что и определяет главное направление защиты конфиденциальной информации кредитно-финансовых организаций.
Субъектами угроз информационной безопасности банка могут выступать:
- конкуренты как самого банка, так и его клиентов, пытающиеся улучшить собственные рыночные позиции путем либо опережения, либо компрометации своих противников;
- криминальные структуры, пытающиеся получить сведения о самом банке или его клиентах для решения разнообразных задач (от подготовки примитивного ограбления, до определения размеров неформальных пошлин с рэкетируемых ими предприятий - клиентов банка);
- индивидуальные злоумышленники (в современных условиях - чаще всего хакеры), выполняющие либо заказ соответствующего нанимателя (например, конкурента), либо действующие в собственных целях;
- собственные сотрудники банка, пытающиеся получить конфиденциальные сведения для их последующей передачи (по различным мотивам) сторонним структурам или шантажа своего работодателя;
- государство в лице фискальных или правоохранительных органов, использующих специальные методы сбора информации для выполнения установленных им контрольных или оперативных функций.
Угрозы информационной безопасности банка могут проявляться в следующих формах:
- перехват конфиденциальной информации, в результате которого у субъекта угрозы оказывается ее дубликат (особая опасность этой формы угрозы для пострадавшего банка заключается в том, что о самом факте утечки он, чаще всего, узнает лишь после того, когда конечная цель перехвата уже достигнута);
- хищение конфиденциальной информации, в результате которого субъект угрозы одновременно решает две задачи - приобретает соответствующие сведения и лишает их пострадавший банк;
- повреждение или уничтожение информации, в результате которого субъектом угрозы достигается лишь задача нанесения ущерба атакуемому банку.
Методы реализации угроз информационной безопасности банка
дифференцируются в зависимости:
- от вида данных, являющихся объектом угрозы;
- от субъекта угрозы.
При использовании классификации по первому признаку можно отметить, что основной угрозой является не санкционируемый доступ к информации в электронном виде. В отличие от информации, существующей на других носителях, здесь могут быть реализованы все формы угроз (перехват, хищение, уничтожение). Другим отличием является то, что для достижения поставленных целей субъект угрозы вынужден использовать наиболее сложные с технологической точки зрения, следовательно, дорогостоящие методы. Сторонние для банка структуры и индивидуальные злоумышленники используют специальные компьютерные программы, позволяющие преодолеть существующие у любого банка системы защиты баз данных, локальных сетей и иных компьютерных коммуникаций. Другим методом является использование специальных сканеров, позволяющих со значительно расстояния перехватывать (снимать) информацию с работающих компьютеров, факсов, модемов. Возможности субъектов угроз по достижению поставленных целей резко возрастают при использовании услуг сотрудников самого банка, особенно из числа лиц, имеющих доступ к защищаемой информации или компьютерным системам защиты.
Исходя из этого можно выделить несколько основных способов защиты информации.
Криптографическим средством защиты информации является электронная цифровая подпись (ЭЦП).
Криптографическая защита и безопасность информации или криптосистема работает по определенному алгоритму и состоит из одного и более алгоритмов шифрования по специальным математическим формулам. Также в систему программной защиты информации криптосистемы входят ключи, используемые набором алгоритмов шифрования данных, алгоритм управления ключами, незашифрованный текст и шифртекст.
Работа программы для защиты информации с помощью криптографии, согласно доктрине информационной безопасности РФ сначала применяет к тексту шифрующий алгоритм и генерирует ключ для дешифрования. После этого шифр текст передается адресату, где этот же алгоритм расшифровывает полученные данные в исходный формат. Кроме этого в средствах защиты компьютерной информации криптографией включают в себя процедуры генерации ключей и их распространения.
По принципам использования криптографическая защита может быть встроенным в платежную систему или быть дополнительным механизмом, который может отключаться. Существует две группы криптографических алгоритмов:
1) общие:
- симметричные;
- асимметричные;
2) специальные.
Симметричная или секретная методология криптографии.
В данной методологии технические средства защиты информации, шифрования и расшифровки получателем и отправителем используется один и тот же ключ, оговоренный ранее еще перед использованием криптографической инженерной защиты информации.
В случае, когда ключ не был скомпрометирован, в процессе расшифровке будет автоматически выполнена аутентификация автора сообщения, так как только он имеет ключ к расшифровке сообщения.
Таким образом, программы для защиты информации криптографией предполагают, что отправитель и адресат сообщения – единственные лица, которые могут знать ключ, и компрометация его будет затрагивать взаимодействие только этих двух пользователей информационной системы.
Проблемой организационной защиты информации в этом случае будет актуальна для любой криптосистемы, которая пытается добиться цели защиты информации или защиты информации в Интернете, ведь симметричные ключи необходимо распространять между пользователями безопасно, то есть, необходимо, чтобы защита информации в компьютерных сетях, где передаются ключи, была на высоком уровне.
Любой симметричный алгоритм шифрования криптосистемы программно-аппаратного средства защиты информации использует короткие ключи и производит шифрование очень быстро, не смотря на большие объемы данных, что удовлетворяет цели защиты информации.
Средства защиты компьютерной информации на основе криптосистемы должны использовать симметричные системы работы с ключами в следующем порядке:
Работа информационной безопасности начинается с того, что сначала защита банковской информации создает, распространяет и сохраняет симметричный ключ организационной защиты информации;
Далее специалист по защите информации или отправитель системы защиты информации в компьютерных сетях создает электронную подпись с помощью хэш-функции текста и добавления полученной строки хэша к тексту, который должен быть безопасно передан в организации защиты информации;
Согласно доктрине информационной безопасности, отправитель пользуется быстрым симметричным алгоритмом шифрования в криптографическом средстве защиты информации вместе с симметричным ключом к пакету сообщения и электронной подписью, которая производит аутентификацию пользователя системы шифрования криптографического средства защиты информации;
Зашифрованное сообщение можно смело передавать даже по незащищенным каналам связи, хотя лучше все-таки это делать в рамках работы информационной безопасности. А вот симметричный ключ в обязательном порядке должен быть передан по каналам связи в рамках программно- аппаратных средств защиты информации;
В системе информационной безопасности на протяжении истории защиты информации, согласно доктрине информационной безопасности, получатель использует тоже симметричный алгоритм для расшифровки пакета и тот же симметричный ключ, который дает возможность восстановить текст исходного сообщения и расшифровать электронную подпись отправителя в системе защиты информации;
В системе защиты информации получатель должен теперь отделить электронную подпись от текста сообщения;
Далее, получатель генерирует другую подпись с помощью все того же расчета хэш-функции для полученного текста и на этом работа информационной безопасности не заканчивается;
Теперь, полученные ранее и ныне электронные подписи получатель сравнивает, чтобы проверить целостность сообщения и отсутствия в нем искаженных данных, что в сфере информационной безопасности называется целостностью передачи данных.
Информационно психологическая безопасность, где используется симметричная методология работы защиты информации, обладает следующими средствами: