double arrow

Принципы обеспечения безопасности расчетов

Основные источники угроз безопасности информации в компью­терных системах — мошенничество, саботаж персонала, действия профессиональных хакеров, ошибки в деятельности человека и сбои оборудования системы. .

Наиболее распространенная техника банковского мошенничест­ва, получившая за рубежом название «салями», состоит в аккумули­ровании остатков денежных сумм, образующихся за счет округления счетов и процентных операций по ним.

Акты саботажа могут возникать в результате недовольства работников своим служебным и материальным положением, а также психическими расстройствами. Своими действиями они могут уничтожить или исказить информацию, привести к потере способности нор­мального функционирования компьютерной системы и другим дивер­сиям. Широко известным актом саботажа являются действия системного программиста Волжского автозавода в 1984 году. Он ввел в про­грамму компьютера, управляющего подачей узлов на сборочный конвейер, команды, которые при определенных условиях (достиже­ния заданного времени) приводили к сбоям системы управления. Уст­раняя искусственно созданные им же сбои, он ставил целью выглядеть незаменимым перед руководством для получения материальных пре­имуществ.

В последние годы угрозу безопасности компьютерным системам создают профессиональные хакеры. Это наиболее квалифицированные нарушители, прекрасно знающие вычислительную технику и системы связи. Их цель — выявить и преодолеть систему защиты, изучить возможности вычислительной системы и затем удалиться, самоутвер­дившись в возможности достижения цели. Обнаружить их действия сложно. Примером действия профессионального хакера являются со­бытия, происшедшие 21 ноября 1988 года в США. В этот день аспи­рант Корнельского университета ввел в вычислительную сеть мини­стерства обороны США компьютерный вирус, обладающий способностью обхода механизма защиты сети. В результате сеть 24 часа была парализована.

Современные методы несанкционированного доступа к информа­ции в компьютерных системах позволяют перехватывать пароли и ключи пользователей, извлекать интересующие нарушителя сведе­ния из остаточной информации с магнитных носителей, получать до­ступ к открытому тексту шифрованной информации и т. п. Например, для перехвата идентификаторов и паролей применяются специальные программные закладки, которые записываются в память ЭВМ. Эти закладки автоматически активизируются при каждом сеансе работы пользователя системы и запоминают введенные пользователем клю­чевые данные. Другая разновидность этих средств позволяет накапли­вать или передавать открытый текст информации в момент ее дешиф­рования для обработки и просмотра.

Как правило, размах компьютерных преступлений зависит от сте­пени компьютеризованности банка. Банки, использующие распреде­ленные вычислительные сети, подвержены более широкому спектру . угроз безопасности информации. В качестве основных факторов, в определенной степени способствующих расширению масштабов ком­пьютерной преступности, необходимо отметить следующие:

— использование вычислительной техники без всестороннего ее анализа с позиций обеспечения защиты информации;

— недостаточное выделение средств для реализации мер по защите информации;

— отсутствие поэтапной реализации плана мероприятий по защи­те информации в сочетании с таким же контролем;

— отсутствие взаимосвязанности принимаемых мер (программно­го, организационно-технического, законодательного характера) по борьбе с компьютерными преступлениями.

Анализ состояния защищенности банковской информации в запад­ных странах показал, что эти вопросы американские и европейские банки решали одновременно с вопросами стандартизации систем ко­дирования банковских операций и финансовых сообщений. Создав в 1973 году Общество СВИФТ, западные банки — члены СВИФТ пере­шли на международный стандарт использования компьютеров и средств телекоммуникаций в банковском деле, обеспечивающий бо­лее надежную, быструю и безопасную систему передачи информации. Средства обеспечения безопасности СВИФТ контролируют процеду­ры подключения терминалов к сети, обеспечивают регистрацию и шифрование сообщений, контролируют достоверность сообщений и источника информации.

Ряд ведущих западных банков защищает главные компьютеры сво­их сетей специальными устройствами. Эти устройства, выполняющие роль сетевого контролера, управляют модемами, проверяют телефонные номера абонентов, подключающихся к сети, регистрируют успеш­ные и безуспешные попытки соединения с центральной ЭВМ.

Защита банковской информации, связанная с управлением потоками денежных средств, имеет комплексный характер и крайне сложна. Общая структура проблемы защиты информации представлена на рис. 5. Из рисунка видно, что на любом информационном объекте в обработке информации участвуют: человек как генератор, источник, анализатор и накопитель информации; информационная техноло­гия, т. е. совокупность процедур закрепления информации на матери­альном носителе и технологий работы с этими носителями (учет, сор­тировка, копирование, уничтожение и т. д.); собственно носители ин­формации, организованные в базы данных, архивы и фонды.

Важнейшее место в системе защиты информации занимает чело­век. Его особенности как субъекта информационных отношений за­ключаются в том, что при работе с любой информацией, носителями и технологиями он произвольно или непроизвольно накапливает инфор­мацию в памяти и становится ее носителем, в результате чего проис­ходит постоянное многократное размножение исходной информации. При этом, в силу воздействия ряда социально-психологических факто­ров, человек может совершать осознанные или неосознанные дейст­вия, приводящие к выходу информации из-под контроля и нанесению ущерба ее владельцу. Причины таких действий могут быть совершен­но различные: от неудовлетворенных личных амбиций до осознанных противоправных действий. Согласно западной статистике, свыше 60% всех преступлений в банковской сфере совершаются персоналом бан­ков.

Обеспечение безопасности информации представляет в связи с этим крайне сложную задачу и требует специфических организаци­онных, режимных, охранных и кадровых мероприятий, а порой — поддержки со стороны правоохранительных органов.

В соответствии с требованиями комплексной защиты обеспечение безопасности включает: комплекс организационно-технических мер по защите информационной техники (ЭВМ, средств и систем связи, локальных вычислительных сетей), организационно-режимных мер по охране помещений и фондов носителей информации, меры физиче­ской охраны наиболее важных лиц (руководителей и носителей ин­формации) , а также меры по работе с кадрами, включая профилакти­ческие мероприятия (психологическое тестирование, анализ поведе­ния, оперативная поддержка).

Ключевые принципы обеспечения безопасности предусматривают:

— предмет защиты, то есть перечень сведений, утрата которых может нанести ущерб банку, его партнерам или клиентам. Перечень сведений, которые не могут составлять коммерческую тайну, опреде­лен Постановлением Правительства РСФСР от 5.12.91г. № 35;

— необходимость придания защищаемой информации статуса официально-документированной информации, когда носитель ин­формации учтен, и на нем должна быть представлена специальная метка конфиденциальности;

— обеспечение безопасной технологии обработки информации, ис­ключающей ее утрату, утечку или искажение;

— организация и поддержка режима доступа в помещения банка, к ресурсам ЭВМ, картотекам базам данных. Все мероприятия должны иметь эффективную поддержку организационно-режимными, кадро­выми и охранными мероприятиями.

В банковской сфере происходит стремительное внедрение ЭВМ для обработки информации. Стандартные программные средства ЭВМ и предлагаемое на российском рынке банковское программное обеспе­чение, как правило, дают возможность доступа к любым данным,ихизменения, копирования или уничтожения. На практике это означает возможность изменения, например, остатков на счетах клиентов как по текущему дню, так и по данным, находящимся в архивах. Необхо­димость проведения таких операций возникает, например, при оши­бочном вводе данных или сбое системы. В то же время, одновременно возникают возможности бесконтрольного, скрытого и бесследного проведения этих операций, т. е. создается реальная предпосылка для копирования (хищения), модификации или уничтожения данных.

Исключить подобные явления можно только путем использования средств защиты от несанкционированного доступа, которые обеспечивают:

— учет и регистрацию информации;

— контроль операций по чтению, обработке, модификации, копи­рованию и уничтожению данных;

— контроль доступа персонала к информационным ресурсам;

— регистрацию всех действий персонала при работе с информа­цией.

Кроме того, журналы регистрации пользователей, которые ведет

система защиты от несанкционированного доступа (НСД), являются основным материалом для проведения расследований в случае воз­никновения конфликтных ситуаций.

Важный элемент организации системы защиты — формулирова­ние максимально точной модели нарушения, на основании которой строится система защиты и устанавливается уровень безопасности ин­формации, который эта система обеспечивает. Естественно, для каж­дого направления защиты формируется своя обобщенная модель на­рушителя с учетом его профессиональной подготовки, устремлений, каналов доступа, а также условий размещения, состояния помещений и внешнего окружения защищаемого объекта. В зависимости от конк­ретной операции модель нарушителя, а следовательно, и угрозы ин­формации серьезно изменяются.

Так как в банке постоянно циркулируют потоки наличных денег и их безналичного эквивалента, условно можно выделить следующие типовые области деятельности банка, требующие специфического подхода к решению задачи защиты банковской информации:

1. Проведение операций «банк — клиент». На этом уровне безопас­ность безналичных финансовых расчетов обеспечивается:

— зашифрованной передачей платежных документов;

— достоверностью передаваемых документов методами «электрон­ной подписи», что требует признания юридической силы используе­мого оборудования и установления гарантий от возможного ущерба.

Безопасность наличных финансовых средств и связанных с ними расчетов обеспечивается традиционными средствами.

2. Внутрибанковская обработка информации. На этом уровне на­иболее важными задачами защиты являются: ,

— обеспечение защиты информации от несанкционированного до­ступа с целью ее копирования (хищения), модификации или уничто­жения;

— обеспечение учета, регистрации и хранения документов;

— обеспечение управляемого и контролируемого доступа сотруд­ников к базам и банкам данных, а также в помещения банка.

3. Межбанковский обмен (подуровни обмена банк — банк, банк — расчетно-клиринговый центр, банк — расчетно-кассовый центр). На этом уровне защита обеспечивается:

— оперативной передачей зашифрованных документов адресату;

— «электронной подписью» документов;

— высокой достоверностью передаваемых сообщений.

4. Безналичные расчеты населения с использованием кредитных карточек. Внедрение системы требует создания единой вычислитель­ной сети, объединяющей автоматизированные банковские системы.


Сейчас читают про: