Безопасность банковских систем

При создании своих электронных систем банкам необходимо уделить как можно больше внимания защите и обеспечению их безопасности. Обычно различают внутреннюю и внешнюю безопасность. Внутренняя безопасность обязана обеспечивать целостность программ и данных и нормальную работу всей системы. Внешняя безопасность должна защищать от любых, угрожающих сбоем в системе, проникновений. В настоящее время существуют два подхода к построению защиты банковских систем:

• — комплексный подход — объединяет разнообразные методы противодействия угрозам;
• — фрагментарный подход, т. е. противодействие определенным угрозам (антивирусные средства и т.н.).

Комплексный подход применяется для защиты крупных систем (например, международных межбанковских сетей). В 1985 г. Национальным центром компьютерной безопасности Министерства обороны США была опубликована «Оранжевая книга», в которой приводился свод правил и норм, а также основные понятия защищенности информационно-вычислительных систем. В дальнейшем эта книга превратилась в настоящее руководство к действию для специалистов по защите информации. В ней определяются такие понятия.

1. Политика безопасности — совокупность норм, правил и методик, на основе которых в дальнейшем строится деятельность информационной системы в области обращения, хранения, распределения критичной информации.

Политика безопасности определяет:

• 1.1. Цели, задачи, приоритеты системы безопасности.
• 1.2. Гарантированный минимальный уровень защиты.
• 1.3. Обязанности персонала по обеспечению защиты.
• 1.4. Санкции за нарушение защиты.
• 1.5. Области действия отдельных подсистем.
• 2. Анализ риска, который состоит из нескольких этапов:
• 2.1. Описание состава системы (документация, аппаратные средства, данные, персонал и т. д.).
• 2.2. Определение уязвимых мест по каждому элементу системы.
• 2.3. Оценка вероятности реализации угроз.
• 2.4. Оценка ожидаемых размеров потерь.
• 2.5. Анализ методов и средств защиты.
• 2.6. Оценка оптимальности предлагаемых мер.

Окончательно анализ риска выливается в стратегический план обеспечения безопасности, важным при этом является разбивка информации на категории. Наиболее простой метод категорирования информации таков: конфиденциальная информация, доступ к которой строго ограничен; открытая информация, доступ к которой посторонних не связан с материальными и другими потерями. Для деятельности коммерческого банка такой градации вполне достаточно.

Наиболее распространенными угрозами безопасности являются:

• — несанкционированный доступ, который заключается в получении пользователем доступа к объекту, на который нет разрешения;
• — «взлом системы» — умышленное проникновение, основную нагрузку защиты в этих случаях несет программа входа;
• — «маскарад» — выполнение каких-либо действий одним пользователем банковской системы от имени другого;
• — вирусные программы — воздействие на систему специально созданными программами, которые сбивают процесс обработки информации, и т. д.

В зависимости от существующих угроз различают следующие направления защиты банковских электронных систем.

• 1. Защита аппаратуры и носителей информации от повреждения, похищения, уничтожения.
• 2. Защита информационных ресурсов от несанкционированного использования.
• 3. Защита информационных ресурсов от несанкционированного доступа.
• 4. Защита информации в каналах связи и узлах коммутации (блокирует угрозу прослушивания).
• 5. Защита юридической значимости электронных документов.
• 6. Защита систем от вирусов.

Существуют различные программно-технические средства защиты.

К классу технических средств относятся: средства физической защиты территорий, сети электропитания; аппаратные и аппаратно-программные средства управления доступом к персональным компьютерам, комбинированные устройства и системы.

К классу программных средств защиты относятся: проверка паролей, программы шифрования (криптографического преобразования), программы цифровой подписи, средства антивирусной защиты, программы восстановления и резервного хранения информации. Руководящие документы в области защиты информации разработаны в России Государственной технической комиссией (ГТК) при Президенте РФ. Для коммерческих структур эти документы носят рекомендательный характер, а в государственном секторе и при содержании информации, относящейся к государственной тайне, они обязательны к исполнению. Сегодня хороших технологий защиты данных вполне хватает, но постоянно появляются новые. Компания Intel, процессорами которой оснащены 85% всех персональных компьютеров в мире, объявила, что скоро начнет выпускать чипы, в которых данные будут защищаться на аппаратном уровне, автоматически. США установили ограничения на экспорт мощных шифровальных технологий. Безопасность — один из наиболее важных вопросов интернет-банкинга, который волнует как самих банкиров, так и их потенциальных клиентов. Несмотря на то, что периодически появляются новые вирусы и развиваются хакерские методики, существуют технологии, которые практически сводят на нет вероятность краж в Интернете. Кражи как таковые происходят достаточно редко. Большинство действий хакеров в Интернете относится к категории вандализма. Банки должны не только брать на вооружение самые современные методы обеспечения безопасности интернет-транзакций, но и в упреждающем режиме доводить свою политику в сфере безопасности до сведения общественности. Клиент должен быть уверен, что в его банке применяются процедуры, позволяющие создать максимально безопасную среду интернет-банкинга. Пользователя, как правило, интересуют два вопроса из области безопасности — идентификация личности и защищенность самих транзакций. Все более популярным становится использование смарт-карт и генераторов случайных паролей. При осуществлении транзакций есть необходимость обеспечения безопасности любых телекоммуникаций, передачи информации, а также предотвращения их перехвата или искажения «в пути». Существующие на сегодня стандарты шифрования — вполне надежное средство обеспечения безопасности в этой области. При использовании открытых и частных ключей шифрования декодирование данных в процессе передачи является практически невозможным.