Файл: Система защиты информации в банковских системах (Теоретические основы системы защиты информации).pdf

С развитием процесса автоматизации производства направление информационной безопасности и контроля доступа становится стратегически важным даже в отношении тех предприятий, чья деятельность напрямую не связана с компьютерными или интернет-технологиями. Это может относиться как к контролю доступа в помещение, так и доступа к определенной информации. Причем требования к способам контроля доступа на крупном предприятии не менее жесткие, чем для электронной коммерции: помимо высокой точности аутентификации важна скорость обработки данных об объекте.

Выделяют 4 вида автоматизированной идентификации объекта:

• Оптическая
• Магнитная
• Радиочастотная
• Биометрическая

Самый простой и в то же время самый распространенный способ идентификации — оптический. В его основе лежит принцип распознавания видимых символов. Широко применяем в штрих-кодах и похожих системах. Низкая надежность данного способа идентификации не позволяет защищать особо важную информацию, поскольку легко поддается подделке, поэтому используется в торговле для внутреннего учета.

Более прогрессивный способ идентификации — магнитный, основан на считывании нанесенных на магнитную полосу спецсимволов. Карты с магнитной полосой достаточно популярны как в качестве платежного инструмента, так и для контроля доступа в помещение. Однако карты с магнитной полосой в настоящее время не могут полностью защитить пользователя от незаконного копирования информации злоумышленниками. Мошенники, занимающиеся кражей данных с карт, так называемые «кардеры», на данный момент располагают целым арсеналом средств для считывания информации с магнитных полос и подделкой карт. Поэтому помимо магнитных полос карты оснащают дополнительными средствами защиты^[14].

Среди современных средств защиты информации от посягательств выделяют радиочастотные RFID и биометрические системы идентификации. Они обладают высокой устойчивостью к взлому и краже информации.
Карты с RFID чипом относятся к бесконтактным смарт-картам, в основу действия которых заложен принцип кодирования карт при помощи нанесения на чип RFID-метки. Такие карты отличаются высокой надежностью, большим объемом записываемой информации, долговечностью^[15]. Использование нескольких уровней криптозащиты делают практически невозможным их подделку. Запас прочности самого RFID-чипа огромен, срок эксплуатации RFID карт почти не ограничен, при этом стопроцентная идентификация может производиться даже через грязь, воду, пар, краску, пластмассу, древесину и даже сквозь металл. Уникальность RFID-карт состоит еще и в том, что благодаря высокой скорости считывания меток, RFID-карты могут применяться в системах контроля доступа автотранспорта^[16].

В системе обеспечения безопасности все большее значение приобретает обеспечение информационной безопасности предприятия. Это связано с растущим объемом информации, с необходимостью ее хранения, передачи и обработки. Перевод значительной части информации в электронную форму, использование локальных и глобальных сетей создают качественно новые угрозы конфиденциальной информации^[17].

Проблемы, связанные с информационной безопасностью на предприятиях, могут быть решены только с помощью систематического и комплексного подхода. С методологической точки зрения, подход к проблемам информационной безопасности начинается с выявления субъектов информационных отношений и интересов этих субъектов.

В обеспечении информационной безопасности нуждаются разные субъекты информационных отношений^[18]:

– государство в целом или отдельные его органы и организации;

– общественные или коммерческие организации (объединения),

предприятия (юридические лица);

– отдельные граждане (физические лица).

В зависимости от сочетания уровней конфиденциальности информации и характера условий размещений определяют категории объектов КСЗИ( рис.1).

Рисунок 1.Объекты системы защиты информации

Деятельность по созданию КСЗИ относится к лицензируемым видам деятельности и лицензируется Государственной службой специальной связи и защиты информации России. Право на проведение государственных экспертиз КСЗИ имеют лицензиаты в области ТЗИ, которые также входят в Реестр Организаторов экспертизы в сфере ТЗИ, который формирует и ведет Контролирующий орган. К проведению работ по созданию КСЗИ и государственной экспертизе КСЗИ привлекаются различные субъекты, для исключения нарушений и злоупотреблений в сфере защиты информации.

Задачи, ставящиеся перед КСЗИ вытекают из следующего принципа: выявления по возможности каналов утечки информации и угрозы информации и борьба с ними.

1. Создание и документальное закрепление организации методов защиты информации;

2. правовое регулирование защиты информации;

3. защита информации от случайных угроз (стихийное бедствие);

4. защита информации от шпионажа и диверсии;

5. защита информации от НСД;

6. защита информации от разрушающих программ, воздействующих в автоматизированных системах;

7. защита информации в распределительных автоматизированных системах обработки данных.

Для того, чтобы создать комплексную систему защиты информации на предприятии надо:

1. выполнить анализ информации циркулирующей на объекте защиты (выявление источников носителей информации, выявление объема информации);

2. выявить угрозы безопасности информации (моделирование объекта защиты, выявление рисков, оценка этих рисков);

3. разработать организационно-методических мероприятия;

4. ввести в эксплуатацию комплекс системы защиты информации, выполнить его сертификацию и отслеживать дальнейшее развитие.

2.2. Компоненты системы защиты информации

Организация КСЗИ на каждом конкретном предприятии зависит от параметров рассмотренных характеристик данного предприятия. Эти характеристики определяют цели и задачи КСЗИ, объем ее материального обеспечения, состав и структуру КСЗИ, состав технических средств защиты, численность и квалификацию сотрудников СЗИ т. д.

Однако степень воздействия различных характеристик предприятия на организацию КСЗИ различна. Из числа наиболее влиятельных можно выделить следующие:

— характер деятельности предприятия;

— состав защищаемой информации, ее объем, способы представления и отображения;

— численный состав и структура кадров предприятия;

— техническая оснащенность предприятия;

— экономическое состояние предприятия; — организационная структура предприятия; — нормативно-правовое обеспечение деятельности предприятия. В меньшей степени на организацию КСЗИ на предприятии могут влиять:

— режим работы предприятия;

— технология производства и управления;

— тип и объем производства; — местоположение и архитектурные особенности предприятия;

— форма собственности предприятия. Компоненты КСЗИ со слабой защитой

– должны обеспечивать защиту информации в пределах серийных средств обработки информации с использованием общедоступных организационно - правовых мер.

Компоненты со средней защитой – дополнительно к вышеуказанным мерам должны иметь системы (средства) разграничения доступа и средства регулирования (управления) защитой информации.

Компоненты сильной защиты – должны обеспечиваться комплексом средств защиты и обязательная организационная структура по защите информации (служба защиты информации).

Компоненты очень сильной защиты – компоненты должны строиться на основе типового проектирования с наличием непрерывного цикла защиты информации.

Компоненты особой защиты – данные компоненты должны реализовываться на основе индивидуального проектирования, а также реализовываться мандатный доступ к информации.

Более светлым цветом показано то, что возможно может быть допущено, более темным цветом – то, что должно быть.

Рисунок 2. Классификационная структура типовых компонентов КСЗИ (с учетом требуемых уровней защиты)

Применительно к конфиденциальной информации можно указать следующие четыре требуемых уровня защиты информации:

1. Очень высокая защита (особо конфиденциально);

2. Высокая защита (строго конфиденциально);

3. Средняя защита (конфиденциально);

4.Низкая защита (открытая информации).

По активности реагирования на несанкционированные действия все компоненты КСЗИ (средства защиты информации) целесообразно делить на следующие три типа:

1.Пассивные. В которых не предусматривается сигнализация о несанкционированных действиях и не предусматривается воздействие на нарушителя.

2.Полуактивные. Предусматривается сигнализация о несанкционированных действиях, но не предусматривается воздействие на нарушителя.

3.Активные. Предусматривается сигнализация о несанкционированных действиях и воздействие на нарушителя.

Рисунок 3. Типовые объекты защиты

Процесс подготовки к внедрению системы защиты информации можно разделить на несколько этапов:

1) разработка необходимой документации;

2) анализ существующей системы защиты информации;

3) внедрение системы и средств защиты информации;

4) проведение испытаний новой системы защиты информации;

5) поддержка и обслуживание.

Комплексный аудит информационной безопасности (ИБ) предприятия – это комплекс организационно-технических мероприятий, проводимых независимыми экспертами, по оценке функционирования существующей системы обеспечения ИБ (механизмов защиты и контроля, применяемых в организации) заказчика.

Целью комплексного аудита является проверка системы обеспечения ИБ заказчика на соответствие существующим стандартам и нормативным документам в области защиты информации и выработка рекомендаций по устранению выявленных несоответствий.

Результатом комплексного аудита является формирование отчетов с детальными выводами и рекомендациями по конкретным доработкам существующей системы обеспечения ИБ с учетом текущих требований заказчика, либо разработка проекта оптимальной архитектуры системы обеспечения ИБ в соответствии с нормативными требованиями. Дополнительно может быть разработан план реализации предложенных рекомендаций.

Глава 2.Система защиты информации в банковских системах

2.1 Безопасный режим банка

Банковская информация всегда была объектом пристального внимания разного рода злоумышленников, поэтому банки превратились в оборудованные по последнему слову техники «бастионы». Однако действия злоумышленников совершенствуются не менее интенсивно, чем средства их предупреждения, поэтому для защиты информации требуется не просто разработка частных механизмов защиты, а организация целого комплекса мер, т.е. использование специальных средств, методов и мероприятий с целью предотвращения потери информации. Таким образом, сегодня требуется новая современная технология защиты информации в автоматизированных информационных системах и сетях передачи данных.

Несмотря на предпринимаемые дорогостоящие меры, функционирование банковских автоматизированных информационных систем выявило наличие слабых мест в защите информации. Открытый характер систем, их широкое распространение порождает новые формы преступности.

В настоящее время особенно опасными для банка являются компьютерные преступления. Уровень потерь, связанных с несанкционированным доступом к банковской информации, достаточно высок, при этом сохраняется тенденция к росту потерь.

Действия злоумышленников часто достигают цели по следующим причинам:

- в большинстве банков используются однотипные стандартные вычислительные средства — IBM-совместимые персональные компьютеры; локальные вычислительные сети со стандартной техникой и программным обеспечением; программное обеспечение автоматизированных банковских систем написано на стандартных языках программирования;

- возрастает компьютерная грамотность клиентов. Недооценка вопросов безопасности влечет за собой финансовые потери, потерю клиентов и доверия на рынке услуг.

Следовательно, при создании автоматизированных банковских систем необходимо уделять внимание их безопасности, т.е. профессионально обеспечить их защиту.

Безопасность АБС — это защищенность банковской системы от случайного или преднамеренного вмешательства в нормальный процесс ее функционирования, а также от попыток хищения, модификации или разрушения ее компонентов. Безопасность АБС включает безопасность сотрудников, безопасность помещений и ценностей и информационную безопасность.