11.4. БЕЗОПАСНОСТЬ БАНКОВСКИХ СИСТЕМ

комплексный подход объединяет разнообразные методы противодействия угрозам;

фрагментарный подход, т. е. противодействие определенным угрозам (антивирусные средства и т. п.).

Комплексный подход применяется для защиты крупных систем (например, международные межбанковские сети). В 1985 г. Национальным центром компьютерной безопасности Министерства обороны США была опубликована «Оранжевая книга», в которой приводился свод правил и норм, а также основные понятия защищенности информационно-вычислительных систем. В дальнейшем эта книга превратилась в настоящее «руководство к действию» для специалистов по защите информации. В ней определяются такие понятия, как:

Политика безопасности — совокупность норм, правил и методик, на основе которых в дальнейшем строится деятельность информационной системы в области обращения, хранения, распределения критичной информации.

Политика безопасности определяет:

Цели, задачи, приоритеты системы безопасности;

Гарантированный минимальный уровень защиты;

Обязанности персонала по обеспечению защиты;

Санкции за нарушение защиты;

Области действия отдельных подсистем.

Анализ риска состоит из нескольких этапов:

211. Описание состава системы (т. е. документация, аппаратные средства, данные, персонал и т. д.);

Определение уязвимых мест по каждому элементу системы;

Оценка вероятности реализации угроз;

Оценка ожидаемых размеров потерь;

Анализ методов и средств защиты;

Оценка оптимальности предлагаемых мер. Окончательно анализ риска выливается в стратегический план обеспечения безопасности, важным при этом является разбивка информации на категории. Наиболее простой метод категорирования информации следующий:

конфиденциальная информация, доступ к которой строго ограничен;

открытая информация, доступ к которой посторонних не связан с материальными и другими потерями.

Для деятельности коммерческого банка такой градации вполне достаточно.

Наиболее распространенными угрозами безопасности являются:

несанкционированный доступ, который заключается в получении пользователем доступа к объекту, на который нет разрешения;

«взлом системы» — умышленное проникновение, основную нагрузку защиты в этих случаях несет программа входа; 1. «маскарад» — выполнение каких-либо действий одним пользователем банковской системы от имени другого;

вирусные программы — воздействие на систему специально созданными программами, которые сбивают процесс обработки информации, и т. д.

В зависимости от существующих угроз различают следующие на-правления защиты банковских электронных систем:

Защита аппаратуры и носителей информации от повреждения, похищения, уничтожения;

Защита информационных ресурсов от несанкционированного использования;

Защита информационных ресурсов от несанкционированного доступа;

Защита информации в каналах связи и узлах коммутации (блокирует угрозу «подслушивания»);

Защита юридической значимости электронных документов;

Защита систем от вирусов.

Существуют различные программно-технические средства защиты.

К классу технических средств относятся: средства физической защиты территорий, сети электропитания; аппаратные и аппаратно-программные средства управления доступом к персональным компьютерам, комбинированные устройства и системы.

К классу программных средств защиты относятся: проверка паролей, программы шифрования (криптографического преобразования), программы цифровой подписи, средства антивирусной защиты, программы восстановления и резервного хранения информации.

Руководящие документы в области защиты информации разработаны в России Государственной технической комиссией (ГТК) при Президенте РФ. Для коммерческих структур эти документы носят рекомендательный характер, а в государственном секторе и при содержании информации, относящейся к государственной тайне, они обязательны к исполнению. Сегодня хороших технологий защиты данных вполне хватает, но постоянно появляются новые. Компания Intel, процессорами которой оснащены 85 % всех персональных компьютеров в мире, объявила, что скоро начнет выпускать чипы, в которых данные будут защищаться на аппаратном уровне, автоматически. США установили ограничения на экспорт мощных шифровальных технологий, в России

такими технологиями вообще нельзя пользоваться без разрешения ФАПСИ (Федерального агентства правительственной связи и информации при Президенте РФ). Ни западных, ни русских сертифицированных программ защиты платежей через Интернет пока нет. В общем, проблем достаточно, но виртуальная экономика не может не развиваться. Любые платежи и банковские услуги дома выгодны для клиентов и для банков, поскольку себестоимость электронных транзакций в несколько раз ниже обычных. Это шанс для российских банков стать известными на международном уровне и получить мировое признание.