11.4. БЕЗОПАСНОСТЬ БАНКОВСКИХ СИСТЕМ
комплексный подход объединяет разнообразные методы противодействия угрозам;
фрагментарный подход, т. е. противодействие определенным угрозам (антивирусные средства и т. п.).
Комплексный подход применяется для защиты крупных систем (например, международные межбанковские сети). В 1985 г. Национальным центром компьютерной безопасности Министерства обороны США была опубликована «Оранжевая книга», в которой приводился свод правил и норм, а также основные понятия защищенности информационно-вычислительных систем. В дальнейшем эта книга превратилась в настоящее «руководство к действию» для специалистов по защите информации. В ней определяются такие понятия, как:
Политика безопасности — совокупность норм, правил и методик, на основе которых в дальнейшем строится деятельность информационной системы в области обращения, хранения, распределения критичной информации.
Политика безопасности определяет:
Цели, задачи, приоритеты системы безопасности;
Гарантированный минимальный уровень защиты;
Обязанности персонала по обеспечению защиты;
Санкции за нарушение защиты;
Области действия отдельных подсистем.
Анализ риска состоит из нескольких этапов:
211. Описание состава системы (т. е. документация, аппаратные средства, данные, персонал и т. д.);
Определение уязвимых мест по каждому элементу системы;
Оценка вероятности реализации угроз;
Оценка ожидаемых размеров потерь;
Анализ методов и средств защиты;
Оценка оптимальности предлагаемых мер.
Окончательно анализ риска выливается в стратегический план обеспечения безопасности, важным при этом является разбивка информации на категории. Наиболее простой метод категорирования информации следующий:конфиденциальная информация, доступ к которой строго ограничен;
открытая информация, доступ к которой посторонних не связан с материальными и другими потерями.
Для деятельности коммерческого банка такой градации вполне достаточно.
Наиболее распространенными угрозами безопасности являются:
несанкционированный доступ, который заключается в получении пользователем доступа к объекту, на который нет разрешения;
«взлом системы» — умышленное проникновение, основную нагрузку защиты в этих случаях несет программа входа; 1. «маскарад» — выполнение каких-либо действий одним пользователем банковской системы от имени другого;
вирусные программы — воздействие на систему специально созданными программами, которые сбивают процесс обработки информации, и т. д.
В зависимости от существующих угроз различают следующие на-правления защиты банковских электронных систем:
Защита аппаратуры и носителей информации от повреждения, похищения, уничтожения;
Защита информационных ресурсов от несанкционированного использования;
Защита информационных ресурсов от несанкционированного доступа;
Защита информации в каналах связи и узлах коммутации (блокирует угрозу «подслушивания»);
Защита юридической значимости электронных документов;
Защита систем от вирусов.
Существуют различные программно-технические средства защиты.
К классу технических средств относятся: средства физической защиты территорий, сети электропитания; аппаратные и аппаратно-программные средства управления доступом к персональным компьютерам, комбинированные устройства и системы.
К классу программных средств защиты относятся: проверка паролей, программы шифрования (криптографического преобразования), программы цифровой подписи, средства антивирусной защиты, программы восстановления и резервного хранения информации.
Руководящие документы в области защиты информации разработаны в России Государственной технической комиссией (ГТК) при Президенте РФ. Для коммерческих структур эти документы носят рекомендательный характер, а в государственном секторе и при содержании информации, относящейся к государственной тайне, они обязательны к исполнению. Сегодня хороших технологий защиты данных вполне хватает, но постоянно появляются новые. Компания Intel, процессорами которой оснащены 85 % всех персональных компьютеров в мире, объявила, что скоро начнет выпускать чипы, в которых данные будут защищаться на аппаратном уровне, автоматически. США установили ограничения на экспорт мощных шифровальных технологий, в России
такими технологиями вообще нельзя пользоваться без разрешения ФАПСИ (Федерального агентства правительственной связи и информации при Президенте РФ). Ни западных, ни русских сертифицированных программ защиты платежей через Интернет пока нет. В общем, проблем достаточно, но виртуальная экономика не может не развиваться. Любые платежи и банковские услуги дома выгодны для клиентов и для банков, поскольку себестоимость электронных транзакций в несколько раз ниже обычных. Это шанс для российских банков стать известными на международном уровне и получить мировое признание.
Еще по теме 11.4. БЕЗОПАСНОСТЬ БАНКОВСКИХ СИСТЕМ:
- 8.3. Реструктуризация российской банковской системы и стратегические проблемы развития банковского инвестирования производства
- Современная банковская система России. Этапы формирования системы
- ТЕМА 2. СИСТЕМА ЭКОНОМИЧЕСКОЙ БЕЗОПАСНОСТИ
- Глава 1 БАНК, БАНКОВСКАЯ ДЕЯТЕЛЬНОСТЬ, БАНКОВСКАЯ СИСТЕМА
- Коллективная безопасность: универсальная и региональные системы
- Вопрос 19. Региональные системы коллективной безопасности
- Вопрос 18. Всеобщая система коллективной безопасности
- § 3. Политико-правовые особенности региональных систем коллективной безопасности
- Система общественной безопасности как объект управления
- 1. Понятие государственной безопасности и организационно-правовая система управления ею
- ПРИНЦИПЫ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ НАЦИОНАЛЬНОЙ ПЛАТЕЖНОЙ СИСТЕМЫ
- ПАРАДИГМА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ДЛЯ НАЦИОНАЛЬНОЙ ПЛАТЕЖНОЙ СИСТЕМЫ
- ТЕМА 3. РИСКИ В СИСТЕМЕ ЭКОНОМИЧЕСКОЙ БЕЗОПАСНОСТИ
- 2. Система и компетенция органов государственной власти, осуществляющих управление в области безопасности Российской Федерации
- Глава 2 БАНКОВСКАЯ СИСТЕМА
- Банковская система
- 3.3. Актуальные вопросы становления банковской системы
- 2.3. РАЗВИТИЕ БАНКОВСКОЙ СИСТЕМЫ
- 2 ХАРАКТЕРИСТИКА БАНКОВСКОЙ СИСТЕМЫ РФ