Полная версия

Главная arrow Банковское дело arrow Банки и банковское дело

  • Увеличить шрифт
  • Уменьшить шрифт


<<   СОДЕРЖАНИЕ   >>

15.4. Безопасность банковских систем

При создании своих электронных систем банкам необходимо уделить как можно больше внимания защите и обеспечению их безопасности. Обычно различают внутреннюю и внешнюю безопасность. Внутренняя безопасность обязана обеспечивать целостность программ и данных и нормальную работу всей системы. Внешняя безопасность должна защищать от любых, угрожающих сбоем в системе, проникновений. В настоящее время существуют два подхода к построению защиты банковских систем:

  • – комплексный подход – объединяет разнообразные методы противодействия угрозам;
  • – фрагментарный подход, т.е. противодействие определенным угрозам (антивирусные средства и т.н.).

Комплексный подход применяется для защиты крупных систем (например, международных межбанковских сетей). В 1985 г. Национальным центром компьютерной безопасности Министерства обороны США была опубликована "Оранжевая книга", в которой приводился свод правил и норм, а также основные понятия защищенности информационно-вычислительных систем. В дальнейшем эта книга превратилась в настоящее руководство к действию для специалистов по защите информации. В ней определяются такие понятия.

1. Политика безопасности – совокупность норм, правил и методик, на основе которых в дальнейшем строится деятельность информационной системы в области обращения, хранения, распределения критичной информации.

Политика безопасности определяет:

  • 1.1. Цели, задачи, приоритеты системы безопасности.
  • 1.2. Гарантированный минимальный уровень защиты.
  • 1.3. Обязанности персонала по обеспечению защиты.
  • 1.4. Санкции за нарушение защиты.
  • 1.5. Области действия отдельных подсистем.
  • 2. Анализ риска, который состоит из нескольких этапов:
  • 2.1. Описание состава системы (документация, аппаратные средства, данные, персонал и т.д.).
  • 2.2. Определение уязвимых мест по каждому элементу системы.
  • 2.3. Оценка вероятности реализации угроз.
  • 2.4. Оценка ожидаемых размеров потерь.
  • 2.5. Анализ методов и средств защиты.
  • 2.6. Оценка оптимальности предлагаемых мер.

Окончательно анализ риска выливается в стратегический план обеспечения безопасности, важным при этом является разбивка информации на категории. Наиболее простой метод категорирования информации таков: конфиденциальная информация, доступ к которой строго ограничен; открытая информация, доступ к которой посторонних не связан с материальными и другими потерями. Для деятельности коммерческого банка такой градации вполне достаточно.

Наиболее распространенными угрозами безопасности являются:

  • – несанкционированный доступ, который заключается в получении пользователем доступа к объекту, на который нет разрешения;
  • – "взлом системы" – умышленное проникновение, основную нагрузку защиты в этих случаях несет программа входа;
  • – "маскарад" – выполнение каких-либо действий одним пользователем банковской системы от имени другого;
  • – вирусные программы – воздействие на систему специально созданными программами, которые сбивают процесс обработки информации, и т.д.

В зависимости от существующих угроз различают следующие направления защиты банковских электронных систем.

  • 1. Защита аппаратуры и носителей информации от повреждения, похищения, уничтожения.
  • 2. Защита информационных ресурсов от несанкционированного использования.
  • 3. Защита информационных ресурсов от несанкционированного доступа.
  • 4. Защита информации в каналах связи и узлах коммутации (блокирует угрозу прослушивания).
  • 5. Защита юридической значимости электронных документов.
  • 6. Защита систем от вирусов.

Существуют различные программно-технические средства защиты.

К классу технических средств относятся: средства физической защиты территорий, сети электропитания; аппаратные и аппаратно-программные средства управления доступом к персональным компьютерам, комбинированные устройства и системы.

К классу программных средств защиты относятся: проверка паролей, программы шифрования (криптографического преобразования), программы цифровой подписи, средства антивирусной защиты, программы восстановления и резервного хранения информации. Руководящие документы в области защиты информации разработаны в России Государственной технической комиссией (ГТК) при Президенте РФ. Для коммерческих структур эти документы носят рекомендательный характер, а в государственном секторе и при содержании информации, относящейся к государственной тайне, они обязательны к исполнению. Сегодня хороших технологий защиты данных вполне хватает, но постоянно появляются новые. Компания Intel, процессорами которой оснащены 85% всех персональных компьютеров в мире, объявила, что скоро начнет выпускать чипы, в которых данные будут защищаться на аппаратном уровне, автоматически. США установили ограничения на экспорт мощных шифровальных технологий. Безопасность – один из наиболее важных вопросов интернет-банкинга, который волнует как самих банкиров, так и их потенциальных клиентов. Несмотря на то, что периодически появляются новые вирусы и развиваются хакерские методики, существуют технологии, которые практически сводят на нет вероятность краж в Интернете. Кражи как таковые происходят достаточно редко. Большинство действий хакеров в Интернете относится к категории вандализма. Банки должны не только брать на вооружение самые современные методы обеспечения безопасности интернет-транзакций, но и в упреждающем режиме доводить свою политику в сфере безопасности до сведения общественности. Клиент должен быть уверен, что в его банке применяются процедуры, позволяющие создать максимально безопасную среду интернет-банкинга. Пользователя, как правило, интересуют два вопроса из области безопасности – идентификация личности и защищенность самих транзакций. Все более популярным становится использование смарт-карт и генераторов случайных паролей. При осуществлении транзакций есть необходимость обеспечения безопасности любых телекоммуникаций, передачи информации, а также предотвращения их перехвата или искажения "в пути". Существующие на сегодня стандарты шифрования – вполне надежное средство обеспечения безопасности в этой области. При использовании открытых и частных ключей шифрования декодирование данных в процессе передачи является практически невозможным.

 
<<   СОДЕРЖАНИЕ   >>