Файл: Система защиты информации в банковских системах (Теоретические основы системы защиты информации).pdf

Различают безопасность:

• внутреннюю, состоящую в обеспечении надежной и корректной работы системы, целостности ее программ и данных;

• внешнюю, состоящую в защите от стихийных бедствий, от проникновения злоумышленников извне с целью хищения информации или вывода системы из строя. Главная цель защиты АБС заключается в том, чтобы эффективно препятствовать хищению, уничтожению и изменению информации, хранящейся в системе.

В 1985 г. Национальным центром компьютерной безопасности США была опубликована «Оранжевая книга». В ней в систематизированном виде приведены: классификация угроз безопасности; рекомендации по анализу рисков; методы и средства защиты от любой группы угроз.

Системные принципы обеспечения безопасности состоят в следующем: − принимать принципиальные решения в области безопасности на основе текущего состояния системы; − прогнозировать возможные угрозы и анализировать связанный с ними риск; − планировать мероприятия по выходу из критических ситуаций; − планировать мероприятия по предотвращению критических ситуаций.

Одним из основных понятий является политика безопасности - совокупность норм, правил и методик, на основе которых строится функционирование информационной системы, т.е. реализуются сие темные принципы, рассмотренные выше. Одним из важнейших видов работ является анализ риска, он состоит из ряда этапов. Анализ риска уведомляет руководство о сильных и слабых сторонах системы защиты, является базой для принятия решений в области безопасности, позволяет оптимизировать затраты на защиту.

Этапы анализа риска:

1) описание автоматизированной банковской системы (технического обеспечения, программного обеспечения, информационного обеспечения, документации персонала);

2) определение уязвимых мест автоматизированной банковской системы, на этом этапе оценивается уязвимость системы по каждому ее элементу с определением возможных угроз;

3) оценка вероятности реализации угроз;

4) оценка ожидаемых размеров потерь, этот этап достаточно сложен, так как не всегда возможна количественная оценка в определенных показателях;

5) анализ возможных методов и средств защиты;

6) оценка выигрыша от предлагаемых мер.

На основе анализа риска составляется план защиты, в котором отражается текущее состояние системы защиты, рекомендации, список сотрудников и зон ответственности, расписание — определение порядка работы, предусмотрена корректировка плана.

При определении меры ответственности сотрудников за безопасность необходимо учитывать следующие положения: − основополагающие решения в области политики безопасности принимаются руководством банка; − только специалисты могут обеспечить правильное функционирование системы безопасности; − никакая внешняя организация не заинтересована в экономической эффективности системы безопасности.

С точки зрения безопасности автоматизированных банковских систем важно рассмотреть классификацию информации по нескольким основаниям:

По конфиденциальности различают: — конфиденциальную информацию, доступ к которой посторонних лиц и части персонала нежелателен и ведет к материальным потерям; — открытую информацию, доступ к ней не связан с потерями. По степени важности выделяют: − важную информацию, которая незаменима и необходима в работе банка; ее потеря или искажение приводит к невосполнимому ущербу; трудно восстанавливается или вообще не подлежит восстановлению; − полезную информацию, которая является желательной; ее потеря или искажение не приносит больших потерь; легко восстанавливается.

Защита информации в автоматизированных банковских системах - это способы и средства по ограничению доступа к информационной системе, направленные на предотвращение всех видов атак, т.е. на обеспечение безопасности автоматизированной банковской системы.

Функции защиты:

1) защита системы от посторонних лиц заключается в создании надежных барьеров на всех возможных путях доступа к системе;

2) защита системы от пользователя исключает доступ к общесистемным данным, к данным других пользователей, возможность изменения программного обеспечения, сбор информации;

3) защита пользователей друг от друга реализуется при совместной работе и при хранении информации; исключает «маскарад»;

4) защита пользователя от самого себя состоит в защите автоматизированной системы от случайных ошибок пользователя; случайные ошибки не должны приводить к потере информации;

5) защита системы от самой себя предусматривает исключение потери или искажения данных при ошибках или сбоях в компонентах системы.

Способы и средства обеспечения безопасности информации показаны на рис. 4.

Рисунок 4. Способы и средства обеспечения безопасности информации (на примере банковской системы)

Сделаем выводы, Деятельность любого банка напрямую зависит от того, насколько хорошо построена система безопасности. Если инфраструктура банка дает сбои, то последствия катастрофичны: банк может потерять не только базу клиентов, но и их доверие. Столкновение с этой проблемой привело к созданию новых систем защиты информации. 

2.2 Защита информации от компьютерных вирусов в банке

Компьютерный вирус — это специальная программа, предназначенная для выполнения разрушительных действий в автоматизированной информационной системе или сети. Первые сообщения о несущих вред программах, преднамеренно и скрытно внедряемых в программное обеспечение различных вычислительных систем, появились в начале 80-х гг. прошлого столетия.

Название «компьютерные вирусы» произошло, вероятно, по причине сходства с биологическим прототипом с точки зрения возможности самостоятельного размножения. В компьютерную область были перенесены и некоторые другие медико-биологические термины, например, вирусные эпидемии, заражение, вакцина, доктор и др.

Сообщение о программах, которые при наступлении определенных условий начинают производить вредные действия, но при этом не копируются, появились значительно раньше. По аналогии с персонажем известного древнегреческого мифа такие программы получили название «троянские кони». Их распространение носит более локальный характер.

Первые сообщения о возможности создания компьютерных вирусов относятся к 1984 г., и уже в 1985 г. стали появляться сообщения о реальных фактах проявления компьютерных вирусов. В 1987 г. были зафиксированы факты появления компьютерных вирусов и в нашей стране. Масштабы реальных проявлений «вирусных эпидемий» в настоящее время оцениваются сотнями тысяч случаев «заражения» персональных компьютеров. Хотя некоторые из вирусных программ оказываются вполне безвредными, многие из них имеют разрушительный характер.

Особенно опасны вирусы для персональных компьютеров, входящих в состав вычислительных сетей.

Наибольшее распространение получили следующие виды вредоносных программ:

1) вирусы — программы, способные заражать другие программы, модифицируя их так, чтобы они включали в себя копию вируса;

2) «троянский конь» — программы, приводящие к неожиданным, нежелательным результатам; встраиваются в операционные системы, системы электронной почты, сети; способны изменить, уничтожить информацию, раскрыть пароль; антивирусными средствами не обнаруживаются, но системы управления доступом обладают механизмами идентификации и ограничения их действий;

3) «червяки» — программы, распространяемые по каналам связи; подобны вирусам, так как заражают другие программы, однако не способны копироваться;

4) «жадная программа» — программа, захватывающая, монополизирующая ресурсы системы и не дающая другим программам их использовать;

5) «захватчики паролей» — программы, предназначенные для распознавания паролей (пользователь вводит пароль, а про грамма его захватывает);

6) «бактерии» — программы, которые делают копии себя в памяти, перегружая память компьютера, и не дают работать другим программам;

7) «логические бомбы» — программы, встраиваемые при разработке программ и срабатывающие при определенном условии (время, дата); искажают или полностью удаляют информацию

8) «лазейки» — программы, которые ищут точку входа в программу и открывают доступ к некоторым системным функциям (относится к операционной системе).

Имеющиеся в настоящее время средства противодействия компьютерным вирусам достаточны для того, чтобы предотвратить серьезный ущерб от их воздействия. Однако это возможно только при внимательном отношении к данной проблеме. За последнее время большинство вирусных эпидемий возникало в среде малоквалифицированных пользователей. Для противодействия компьютерным вирусам и другим типам вредоносных программ в банках применяется комплекс мер и средств защиты.

Юридические средства защиты сводятся к административной ответственности за умышленное создание и распространение вирусов; трудность их применения состоит в доказательстве авторства и умышленного создания таких программ, следовательно, необходимо совершенствовать отечественное законодательство в этой области.

Административные и организационные меры защиты на современном этапе являются более действенными и заключаются в составлении четких планов профилактических мероприятий и планов действий на случай возникновения заражения. Программно-аппаратные меры защиты основаны на использовании программных антивирусных средств и специальных аппаратных средств, с помощью которых осуществляется контроль зараженности автоматизированной системы, контроль доступа, шифрования данных и регистрации попыток обращения к данным.

В банках используется два метода защиты от вирусов:

1) применение «иммуностойких» программных средств, защищенных от возможности несанкционированной модификации (разграничение доступа, методы самоконтроля и самовосстановления);

2) применение специальных антивирусных программных средств, которые можно разделить на четыре категории: вирус-фильтр (сторож) — программа, обнаруживающая свойственные для вирусов действия и требующая от пользователя подтверждения на их выполнение (например, при обновлении программных файлов), — детектор (сканер) — программы, предназначенные для просмотра всех возможных мест нахождения вирусов (файлы, операционная система, внутренняя память) и сигнализирующие об их наличии, дезинфектор (доктор) — программа, осуществляющая удаление вируса из программного файла или памяти персонального компьютера.

Ряд вирусов искажают систему так, что ее исходное состояние доктор восстановить не может, — полидетектор-дезинфектор — пакет прикладных программ, позволяющий выявить вирусы в памяти персонального компьютера, обезвредить их и по возможности восстановить пораженные файлы и программы. Однако, несмотря на все меры антивирусной защиты, стопроцентной гарантии от вирусов в настоящее время не существует. Поэтому необходимо всегда иметь резервные копии программ и файлов данных на информационных носителях не менее чем в двух экземплярах.

На что же нужно обращать внимание при реализации антивирусной защиты в банковской сфере?

Как показывает практика, львиная доля вопросов и заблуждений связана с защитой банкоматов и терминалов. И вызываются они незнанием положений того же PCI-DSS. Поэтому и начнем мы обзор именно с них. 

Требования PCI-DSS/PA-DSS. Как правило, все подобные устройства могут работать с карточками Visa и MasterCard и, соответственно, подпадают под требования стандартов PCI-DSS (Payment Card Industry Data Security Standard, стандарт безопасности данных индустрии платежных карт описывает требования по обеспечению безопасности информации о владельцах платежных карт при ее обработке, передаче или хранении, поэтому начнем с него)/PA-DSS. На данный момент версия стандарта PCI-DSS 3.1. Стандарт PCI-DSS разработан Советом по стандартам безопасности индустрии платежных карт (Payment Card Industry Security Standards Council, PCI SSC). PCI SSC был основан ведущими международными платежными системами — Visa, MasterCard, American Express, JCB, Discover. Стандарт объединяет в себе требования ряда программ по защите информации, в частности:

Visa Europe & other regions: Account Information Security (AIS);

Visa USA: Cardholder Information Security (CISP);

MasterCard: Site Data Protection (SDP). 

Требования стандарта PCI DSS распространяются на организации, обрабатывающие информацию о держателях платежных карт. Если организация хранит, обрабатывает или передает в течение года информацию хотя бы об одной карточной транзакции или владельце платежной карты, то она должна соответствовать требованиям стандарта PCI DSS. В число таких организаций попадают торгово-сервисные предприятия (включая розничные магазины и службы электронной коммерции), а также поставщики услуг, связанных с обработкой, хранением и передачей карточной информации (процессинговые центры, платежные шлюзы, call-центры, хранилища носителей резервных копий данных, организации, участвующие в персонализации карт, и т. п.).

Наиболее близко к реальным требованиям по антивирусной защите приближаются указания Положения Банка России от 9 июня 2012 года № 382-П (с изменениями согласно Указаниям Банка России 3007-У от 05.06.2013, N 3361-У от 14.08.2014) «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении денежных переводов».