Широкое внедрение и использование информационных технологий в банковской деятельностью в Украине, связано с бурным ростом числа коммерческих банков в 1993-94 годах. Сегодня в подавляющем числе КБ используются те или иные средства автоматизации, обычно в виде автоматизированных банковских систем (АБС). Степень автоматизации, а также ее технологическая база в разных банках сильно различаются.
Автоматизированные банковские системы, открывая новые возможности в организации всей банковской деятельности, повышении качества и надежности, в то же время становятся одной из наиболее уязвимых сторон безопасности современного банка, притягивая к себе злоумышленников как из числа персонала банка, так и со стороны.
Актуальность проблемы обеспечения безопасности АБС возрастает в связи с рядом объективных причин. Одна из них это высокий уровень доверия к АБС. Им доверяют самую ответственную работу (выполнение финансовых операций), от качества которой зависит жизнь и благосостояние многих людей.
Хранимая и обрабатываемая в банковских системах информация представляет собой реальные деньги. На основании информации компьютера могут производиться выплаты, открываться кредиты, переводиться значительные суммы. Вполне понятно, что незаконное манипулирование такой информацией может привести к серьезным убыткам.
Банковская информация затрагивает интересы большого количества людей и организаций - клиентов банка. Как правило, она конфиденциальна и банк несет ответственность за обеспечение режима секретности перед своими клиентами. Естественно, клиенты вправе ожидать, что банк будет заботиться об их интересах, в противном случае он рискует своей репутацией со всеми вытекающими последствиями.
По западным источника, средняя банковская кража с применением электронных средств составляет около 9000 долл., а один из самых громких скандалов связан с попыткой украсть 700 млн. долл. из Первого национального банка в Чикаго.
Что касается статистики преступлений в сфере использования банковских компьютерных систем по Украине, то ее по сути нет, что естественно не означает отсутствие таких преступлений.
Центром исследования проблем компьютерной преступности, было организовано и проведено анкетировании работников отделов информационной безопасности, системных администраторов и сотрудников отделов безопасности более чем 22 коммерческих банков Украины (всего 112 респондентов). Результаты анкетирования показали серьезные прорехи в организации защиты АБС от противоправных посягательств (Голубев В.А., Головин А.Ю. "Проблемы расследования преступлений в сфере использования компьютерных технологий").
Анализ полученной статистики свидетельствует, что обеспечение информационной безопасности АБС продолжает оставаться чрезвычайно острой проблемой. Можно констатировать, что несмотря на усилия многочисленных организаций, занимающихся решением этой проблемы, общая тенденция остается негативной.
Современные автоматизированные банковские системы имеют сложную структуру. Увеличение количества используемых системно-технических платформ и большого набора сетевых сервисов приводит к расширению списка уязвимостей и повышает требования к средствам защиты. Использование стандартных средств защиты, таких как межсетевые экраны, виртуальные частные сети, средства защиты от несанкционированного доступа является необходимым, но уже не достаточным условием построения надежной и эффективной системы информационной безопасности.
Что необходимо предпринять, чтоб снизить уровень уязвимости АБС от внутренних и внешних атак и в конечном счете избежать хищений денежных средств и иных противоправных деяний.
Такой точкой отсчета, первой линией обороны, является проведение анализа рисков. Анализ рисков позволяет всесторонне исследовать информационную систему организации, оценить текущий уровень информационной безопасности, выявить уязвимые места в системе защиты, создать модели возможных угроз АБС, проверить правильность подбора и настройки средств защиты.
Стоимостное выражение вероятного события, ведущего к потерям, называют риском. Оценки степени риска в случае осуществления того или иного варианта угроз, выполняемые по специальным методикам, называют анализом риска.
В процессе проведения анализа рисков выявляются технологические потоки как электронной, так и бумажной информации, топология сети, незащищенные или неправильные сетевые соединения, производится анализ настроек межсетевых экранов и других средств защиты. Результатом проведения такого анализа является ряд организационных документов, которые в дальнейшем могут явиться основой для построения надежной
В процессе анализа риска изучают компоненты автоматизированной банковской системы (АБС), которые могут подвергнуться угрозам, определяют уязвимые места системы, оценивают вероятность для каждой конкретной угрозы и ожидаемые размеры потерь, выбирают возможные методы защиты и просчитывают их стоимость. На заключительном этапе оценивается выгода от применения предполагаемых мер защиты. Эта выгода может иметь как положительный, так и отрицательный знак: в первом случае - очевидный выигрыш, во втором - он означает дополнительные расходы на обеспечение собственной безопасности.
Исходя из этого анализа принимается решение о целесообразности тех или иных мер защиты, которые описываются в документе, получившем распространенное название - политика безопасности.
Политика безопасности - набор законов, правил и практических рекомендаций, на основе которых строится управление, защита и распределение критичной информации в системе. Она должна охватывать все особенности процесса обработки информации, определяя поведение системы в различных ситуациях.
Политика безопасности представляет собой некоторый набор требований, прошедших соответствующую проверку, реализуемых при помощи организационно-правовых мер и программно-технических средств. Для конкретных организаций политика безопасности должна быть индивидуальной, зависимой от конкретной технологии обработки информации, используемых программных и технических средств, расположения организации и т. д.
Политика безопасности (план защиты) должен включать в себя следующие документы (группу сведений):
· объектов (элементов ресурсов) АБС;
· принципов управления доступом пользователей к информации (доверительное и/или административное управление доступом);
· правил разграничения информационных потоков;
· правил маркирования носителей информации;
· основных атрибутов доступа пользователей, процессов и пассивных объектов;
· правил разграничения доступа пользователей и процессов к пассивным объектам;
· правил администрирования средств защиты и регистрации действий пользователей;
· другие общие моменты политики безопасности.
Требования к безопасности АБС изложенные в политике безопасности должны включать в себя:
1. Текущее состояние системы.
2. Рекомендации по реализации системы защиты.
3. Ответственность персонала.
4. Порядок ввода в действие средств защиты.
5. Порядок пересмотра плана и состава средств защиты.В конечном итоге должна быть произведена оценка надежности системы защиты, т. е. уровня обеспечиваемой ею безопасности. Для оценки степени безопасности в разных странах разработаны критерии оценки безопасности систем, создаются соответствующие стандарты. За разработку этих документов и проверку средств разграничения доступа на соответствие им отвечают различные организации. Например, в США это уже упоминаемый ранее Национальный центр компьютерной безопасности, в России такие функции возложены на Государственную техническую комиссию при Президенте Российской Федерации, а на Украине - Департамент специальных телекоммуникационных систем и защиты информации Службы безопасности Украины.
Реализация политики безопасности требует настройки средств защиты, управления системой защиты и осуществления контроля функционирования АБС.
Как правило, задачи управления и контроля решаются административной группой, состав и размер которой зависят от конкретных условий. Очень часто в эту группу входят администратор безопасности, менеджер безопасности и операторы.
Обеспечение и контроль безопасности представляют собой комбинацию технических и административных мер. По данным зарубежных источников, у сотрудников административной группы обычно 1/3 времени занимает техническая работа и около 2/3 - административная (разработка документов, связанных с защитой АБС, процедур проверки системы защиты и т. д.). Разумное сочетание этих мер способствует уменьшению вероятности нарушений политики безопасности.
Административную группу иногда называют группой информационной безопасности. На мой взгляд, с точки зрения контроля и реализации политики безопасности нецелесообразно совмещение групп информационной безопасности с другими службами. Такая группа(служба) должна быть обособлена от всех остальных подразделений, занимающихся управлением самой АБС, программированием и другими относящимися к системе задачами(на практике, к сожалению такое совмещение частое явление).
В обязанности входящих в эту группу сотрудников должно быть включено не только исполнение директив вышестоящего руководства, но и участие в выработке решений по всем вопросам, связанным с процессом обработки информации с точки зрения обеспечения его защиты. Все их распоряжения, касающиеся этой области, обязательны к исполнению сотрудниками всех уровней и организационных звеньев банка.
В заключении необходимо особо подчеркнуть, что с точки зрения предупреждения преступности в сфере использования банковских автоматизированных систем, необходим постоянный и эффективный контроль за реализацией политики безопасности, потому, что все технические ухищрения в области обеспечения безопасности могут оказаться бесполезными, другими словами наличие научно-обоснованной политики безопасности является обязательным условием комплексной защиты АБС.
Copyright © Центр исследования проблем компьютерной преступности, 2001-2002 Все права защищены.
При публикации информации взятой в нашем каталоге ссылка на http://www.crime-research.org обязательна. |