double arrow

Современные способы защиты банковской системы с помощью IT

2

Защита банка должна рассматриваться совместно с бизнесом и

обеспечивать приемлемый уровень риска. Если уровень риска больше

требуемого, то защита недостаточна, а если меньше, то затраты на

защиту излишни. Чтобы определить требования к средствам защиты

банковской тайны, необходимо, прежде всего, выявить слабые

стороны системы, оценить их в терминах вероятности либо в иной

числовой или функциональной форме и просчитать последствия, к

которым может привести уязвимость системы.

Для жизненно важной и важной информации наиболее надежными являются средства криптографической защиты. В системе защиты должны быть учтены возможные неисправности, паразитные электромагнитные,

акустические и иные каналы утечки, ошибки операторов и другие опасные события. От утечки информации должны быть защищены также помещения и технические средства, в которых обрабатывается жизненно важная информация.

Банковская информация всегда была объектом пристального интереса всякого рода злоумышленников. Любое банковское преступление начинается с утечки информации. Автоматизированные банковские системы

являются каналами для таких утечек. С самого начала внедрения АБС

они стали объектом преступных посягательств. В США сумма

ежегодных убытков банковских учреждений от незаконного

использования компьютерной информации составляет, по оценкам

экспертов, от 0,3 до 5 млрд. долларов. Информация – это аспект

общей проблемы обеспечения безопасности банковской деятельности.

Но даже предельно жесткие организационные меры по упорядочению

работы с конфиденциальной информацией не защитят от ее утечки по

физическим каналам. Поэтому системный подход к защите информации требует, чтобы средства и действия, используемые банком для обеспечения информационной безопасности – организационные, физические и программно–технические – рассматривались как единый комплекс взаимосвязанных, взаимодополняющих и взаимодействующих мер. Такой комплекс должен быть нацелен не только на защиту информации от

несанкционированного доступа, но и на предотвращение случайного

уничтожения, изменения или разглашения информации, в том числе в

результате пожара, наводнения, стихийных бедствий, аварий и других

нарушений нормальной работы банка.

Зарубежный опыт. Западная АБС, так и типичные платформы

(СУБД, операционная система), на которых она базируется, уже

содержат настроенные средства предотвращения

несанкционированного доступа. Однако этих средств недостаточно

для обеспечения безопасности информационной системы банка, и они

должны быть в обязательном порядке дополнены следующими

мерами:

– организационными мероприятиями, в том числе

оперативными и негласными; по контролю за персоналом, имеющим

высокий уровень полномочий на действия в АБС: программистами,

системными администраторами, организационными и техническими

мероприятиями по резервированию критически важной информации;

– организационными мероприятиями по обеспечению

восстановления работоспособности АБС в случае возникновения

нестандартных ситуаций;

– организационными и техническими мероприятиями по

управлению доступом в помещения, в которых находятся

вычислительная техника и носители данных.

В качестве примера можно привести один из крупных западных

банков, который имеет разветвленную сеть филиалов. В главном

вычислительном центре (ГВЦ), установлен многократно

резервированный вычислительный комплекс. Второй, резервный,

вычислительный центр размещен в другом городе. В нем

располагается такой же вычислительный комплекс, как и в ГВЦ.

Синхронизация данных производится ежесуточно после закрытия

операционного дня путем пересылки обновленных данных в

резервный ВЦ по скоростной выделенной линии связи.

Вычислительный центр в целях защиты от террористических актов

замаскирован под склад. В самом вычислительном центре доступ

персонала в различные помещения разграничен при помощи системы

контроля на магнитных картах. Зоны обслуживания комплекса

разбиты на две категории, и персонал, допущенный в зоныобслуживания низшей категории, не имеет возможности попасть в

зоны высшей категории. В зонах высшей категории размещаются

накопители и устройства ввода–вывода конфиденциальной

информации. Помещения, в которых располагается вычислительная

техника, не имеют окон и экранированы. Программисты,

обслуживающие ЛВС, не имеют доступа к распределенным данным.

Все работы на счетах проводятся исключительно на фиктивных

данных, сканируемых специальной программой. За каждым

программистом ведется контроль, включая негласное наблюдение,

сбор сведений о личной жизни и проверку досье. Практикуется

систематическая перепроверка программистами деятельности друг

друга с поощрением выявления ошибок и некорректных действий в

программах. Все программные продукты, используемые на

вычислительном комплексе и приобретаемые на стороне, покупаются

только в исходных текстах, которые компилируются на месте после

тщательной проверки. Вносить и, тем более, выносить из здания ГВЦ

какие–либо записи или магнитные носители категорически

запрещается. Персонал сдает на входе личные вещи (папки, портфели,

документы) и получает их на выходе по окончании рабочего дня. Все

документы и магнитные носители, необходимые для работы,

допускаются в здание после тщательной проверки. Журнал учета

событий в системе (security log/audit trail) ведется на отдельной ЭВМ и

хранится на накопителях, размещенных в обособленном помещении.

Доступ в это помещение имеет только персонал администратора

системы безопасности, обладающий полномочиями для просмотра

журнала. Журнал архивируется на оптические накопители с

однократной записью. Помимо «стандартных» сведений о попытках

несанкционированного доступа и подозрительных событиях в

системе, в журнале учета событий регистрируются также денежные

операции некоторых типов и уровней. В частности, выявляются счета,

на которые поступает большое количество очень мелких сумм (для

обнаружения атаки типа «салями», когда на счет злоумышленника

переводятся незначительные суммы, образующиеся как разность

между точным и округленным значением сумм). Естественно, это

очень дорогая защита и она должна иметь под собой финансовые

обоснования.


Понравилась статья? Добавь ее в закладку (CTRL+D) и не забудь поделиться с друзьями:  


2

Сейчас читают про: