Организация информационной безопасности учреждений кредитно-финансовой сферы

Размещено на http://www.allbest.ru/

Размещено на http://www.allbest.ru/

МИНИСТЕРСТВО ВНУТРЕННИХ ДЕЛ РОССИЙСКОЙ ФЕДЕРАЦИИ

ВОРОНЕЖСКИЙ ИНСТИТУТ МВД РОССИИ

Радиотехнический факультет

Кафедра информационной безопасности

ДИПЛОМНАЯ РАБОТА

Тема: «Организация информационной безопасности учреждений кредитно-финансовой сферы»

Исполнитель: младший лейтенант милиции

Быкадоров А.С

Руководитель

преподаватель кафедры информационной безопасности

старший лейтенант милиции

Зарубин С.В

Рецензент: доцент кафедры ТСБС

кандидат технических наук,

п/полковник милиции

Бабкин А.Н

Воронеж 2007

АННОТАЦИЯ

В данной дипломной работе исследуются основные подходы к организации информационной безопасности в учреждениях кредитно-финансовой сферы.

Целью данной дипломной работы является анализ современного состояния информационной безопасности в учреждениях кредитно-финансовой сферы и, в частности, безопасности автоматизированных систем обработки информации банков, а также систематизация существующих методов их обеспечения.

ВВЕДЕНИЕ

В наши дни в связи со всеобщей информатизацией и компьютеризацией банковской деятельности значение информационной безопасности учреждений кредитно-финансовой сферы многократно возросло. Еще 30 лет назад объектом информационных атак были данные о клиентах банков или о деятельности самого банка. Такие атаки были редкими, круг их заказчиков был очень узок, а ущерб мог быть значительным лишь в особых случаях. В настоящее время в результате повсеместного распространения электронных платежей, пластиковых карт, компьютерных сетей объектом информационных атак стали непосредственно денежные средства как банков, так и их клиентов. Совершить попытку хищения может любой -- необходимо лишь наличие компьютера, подключенного к сети Интернет. Причем для этого не требуется физически проникать в банк, можно “работать” и за тысячи километров от него.

Компьютеризация банковской деятельности позволила значительно повысить производительность труда сотрудников банка, внедрить новые финансовые продукты и технологии. Однако прогресс в технике преступлений шел не менее быстрыми темпами, чем развитие банковских технологий. В настоящее время свыше 90% всех преступлений связана с использованием автоматизированных систем обработки информации банка (АСОИБ). Следовательно, при создании и модернизации АСОИБ банкам необходимо уделять пристальное внимание обеспечению ее безопасности. Эта проблема является сейчас наиболее актуальной и наименее исследованной.

Если в обеспечении физической и классической информационной безопасности давно уже выработаны устоявшиеся подходы (хотя развитие происходит и здесь), то в связи с частыми радикальными изменениями в компьютерных технологиях методы безопасности АСОИБ требуют постоянного обновления. Как показывает практика, не существует сложных компьютерных систем, не содержащих ошибок. А поскольку идеология построения крупных АСОИБ регулярно меняется, то исправления найденных ошибок и “дыр” в системах безопасности хватает ненадолго, так как новая компьютерная система приносит новые проблемы и новые ошибки, заставляет по-новому перестраивать систему безопасности.

Исходя из этого, целью данной дипломной работы стали анализ современного состояния информационной безопасности в учреждениях кредитно-финансовой сферы и, в частности, безопасности автоматизированных систем обработки информации банков, а также систематизация существующих методов их обеспечения.

Для достижения цели дипломной работы необходимо решить следующие задачи:

1. Определить специфические требования к организации информационной безопасности в учреждениях кредитно-финансовой сферы.

2. Систематизировать существующие угрозы безопасности информации в банковских учреждениях.

3. Провести анализ современного состояния автоматизированных систем обработки информации в банковских учреждениях.

4. Проанализировать совокупность организационных и технических методов обеспечения информационной безопасности и, в частности, безопасности компьютерных сетей в учреждениях кредитно-финансовой сферы.

ГЛАВА 1. ОСНОВЫ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ БАНКОВСКИХ СТРУКТУР

1.1 Специфика защиты информационных систем учреждений кредитно-финансовой сферы

Информационные системы становятся одной из наиболее уязвимых сторон современных учреждений кредитно-финансовой сферы, притягивая к себе злоумышленников как из числа персонала, так и со стороны Обычная компания строит свою информационную безопасность, исходя лишь из узкого круга потенциальных угроз -- главным образом защита информации от конкурентов. Такая информация интересна лишь узкому кругу заинтересованных лиц и организаций. Стратегия информационной безопасности учреждений кредитно-финансовой сферы весьма сильно отличается от аналогичных стратегий других компаний и организаций. Это обусловлено, прежде всего, специфическим характером угроз, а также публичной деятельностью банков, которые вынуждены делать доступ к счетам достаточно легким с целью удобства для клиентов. Информационная безопасность банка должна учитывать следующие специфические факторы:

- хранимая и обрабатываемая в банковских системах информация представляет собой реальные деньги. На основании информации компьютера могут производится выплаты, открываться кредиты, переводиться значительные суммы. Вполне понятно, что незаконное манипулирование с такой информацией может привести к серьезным убыткам.

- информация в банковских системах затрагивает интересы большого количества людей и организаций -- клиентов банка. Как правило, она конфиденциальна, и банк несет ответственность за обеспечение требуемой степени секретности перед своими клиентами. Естественно, клиенты вправе ожидать, что банк должен заботиться об их интересах, в противном случае он рискует своей репутацией со всеми вытекающими отсюда последствиями.

- конкурентоспособность банка зависит от того, насколько клиенту удобно работать с банком, а также насколько широк спектр предоставляемых услуг, включая услуги, связанные с удаленным доступом. Поэтому клиент должен иметь возможность быстро и без утомительных процедур распоряжаться своими деньгами. Но такая легкость доступа к деньгам повышает вероятность преступного проникновения в банковские системы.

- информационная безопасность банка должна обеспечивать высокую надежность работы компьютерных систем даже в случае нештатных ситуаций, поскольку банк несет ответственность не только за свои средства, но и за деньги клиентов.

- банк хранит важную информацию о своих клиентах, что расширяет круг потенциальных злоумышленников, заинтересованных в краже или порче такой информации.

Многие преступления, совершенные в финансовой сфере остаются неизвестными для широкой публики в связи с тем, что руководители банков не хотят тревожить своих акционеров, боятся подвергнуть свою организацию новым атакам, опасаются подпортить свою репутацию надежного хранилища средств и, как следствие, потерять клиентов. Как правило, злоумышленники обычно используют свои собственные счета, на который переводятся похищенные суммы.

Большинство злоумышленников -- клерки. Хотя высший персонал банка также может совершать преступления и нанести банку гораздо больший ущерб -- такого рода случаи единичны. Компьютерные преступления не всегда высокотехнологичны. Достаточно подделки данных, изменения параметров среды компьютерной системы и т.д., а эти действия доступны и обслуживающему персоналу.

Специфика защиты банковских автоматизированных систем обусловлена особенностями решаемых ими задач. Как правило банковские компьютерные системы обрабатывают большой поток постоянно поступающих запросов в реальном масштабе времени, каждый из которых не требует для обработки многочисленных ресурсов, но все вместе они могут быть обработаны только высокопроизводительной системой.

В такой системе хранится и обрабатывается конфиденциальная информация, не предназначенная для широкой публики. Ее подделка или утечка могут привести к серьезным (для банка или его клиентов) последствиям. Поэтому системы обречены оставаться относительно закрытыми, работать под управлением специфического программного обеспечения и уделять большое внимание обеспечению своей безопасности.

Другой особенностью компьютерных систем является повышенные требования к надежности аппаратного и программного обеспечения. В силу этого многие современные системы тяготеют к так называемой отказоустойчивой архитектуре компьютеров, позволяющей осуществлять непрерывную обработку информации даже в условиях различных сбоев и отказов.

Можно выделить два типа задач, решаемых компьютерной системой:

- аналитические. К этому типу относятся задачи планирования, анализа счетов и т.д. Они не являются оперативными и могут требовать для решения длительного времени, а их результаты могут оказать влияние на политику банка в отношении конкретного клиента или проекта. Поэтому подсистема, с помощью которой решаются аналитические задачи, должна быть надежно изолирована от основной системы обработки информации. Для решения такого рода задач обычно не требуется мощных вычислительных ресурсов, однако ввиду возможной ценности результатов их защита должна быть постоянной.

- повседневные. К этому типу относятся задачи, решаемые в повседневной деятельности, в первую очередь выполнение платежей и корректировка счетов. Именно они и определяют размер и мощность основной системы банка. Для их решения обычно требуется гораздо больше ресурсов, чем для аналитических задач. В то же время ценность информации, обрабатываемой при решении таких задач, имеет временный характер. Поэтому, обычно бывает достаточным обеспечить защиту платежа именно в момент его осуществления. При этом защита самого процесса обработки и конечных результатов должна быть постоянной.

Главное в защите финансовых организаций -- оперативное и по возможности полное восстановление информации после аварий и сбоев. В основном, защита информации от разрушения достигается созданием резервных копий и их внешним хранением, использованием средств бесперебойного электропитания и организацией “горячего” резерва аппаратных средств.

Следующая по важности для финансовых организаций проблема -- это управление доступом пользователей к хранимой и обрабатываемой информации. Здесь широко используются различные программные системы управления доступом, которые иногда могут заменять и антивирусные программные средства. В основном используются приобретенные программные средства управления доступом. Причем в финансовых организациях особое внимание уделяют такому управлению пользователей именно в сети.

К отличиям организации защиты сетей ЭВМ в финансовых организациях можно отнести широкое использование стандартного коммерческого программного обеспечения для управления доступом к сети, защита точек подключения к системе через коммутируемые линии связи. Скорее всего это связано с большей распространенностью средств телекоммуникаций в финансовых сферах и желание защититься от вмешательства извне. Другие способы защиты, такие как применение антивирусных средств, оконечное и канальное шифрование передаваемых данных, аутентификация сообщений применяются примерно одинаково.

Большое внимание в финансовых организациях уделяется физической защите помещений, в которых расположены компьютеры. Это означает, что защита ЭВМ от доступа посторонних лиц решается не только с помощью программных средств, но и организационно-технических (охрана, кодовые замки и т.д.).

Шифрование локальной информации применяют небольшое число финансовых организаций. Причинами этого являются сложность распространения ключей, жесткие требования к быстродействию системы, а также необходимость оперативного восстановления информации при сбоях и отказах оборудования.

Значительно меньшее внимание в финансовых организациях уделяется защите телефонных линий связи и использованию ЭВМ, разработанных с учетом требования стандартов по защите от утечки информации по каналам электромагнитных излучений и наводок. В государственных организациях решению проблемы противодействия получению информации с использованием электромагнитных излучений и наводок уделяют гораздо большее внимание.

Анализ статистики позволяет сделать важный вывод: защита финансовых организаций строится несколько иначе, чем обычных коммерческих и государственных организаций. Следовательно для защиты систем нельзя применять те же самые технические и организационные решения, которые были разработаны для стандартных ситуаций. Нельзя бездумно копировать чужие системы -- они разрабатывались для иных условий.

Мировая банковская индустрия вошла в период перемен. Появление новых информационных технологий начинает оказывать влияние на выработку стратегической политики банка.

Нынешние изменения в банковской сфере связаны с влиянием ряда факторов, в числе которых международная тенденция глобализации рынка банковских услуг, изменение законодательства, а также развитие информационных технологий. Все это заставляет банки изменять способы обслуживания клиента.

Для того, чтобы остаться конкурентоспособными банки должны оценивать внешние факторы и адекватно реагировать на них. К тому же на деятельность банков влияют и внутренние факторы, такие как изменение запросов клиентов, необходимость уменьшения времени обслуживания, расширение использования высоких технологий.

К основным внешним факторам, влияющих на банковскую индустрию западные специалисты относят следующие:

1. Общий рынок. Европейское Сообщество приняло решение о создании Общего европейского рынка товаров и услуг. Также как и некоторые положения Программы Общего рынка, некоторые директивы, вытекающие из этого решения окажут воздействие на деятельность банков.

2. Вторая банковская директива. Наиболее значительным актом, оказывающим воздействие на деятельность банков, является Вторая координационная банковская директива, принятая к исполнению всеми членами Сообщества. Основным содержанием этой директивы являются принципы внутригосударственного управления и всеобщего одобрения членами Сообщества стандартов контроля и регулирования деятельности банков. Это позволяет банкам Сообщества, имеющим лицензии на деятельность в своей стране, выполнять операции в рамках всего Сообщества без получения дополнительных лицензий.

3. Глобализация рынка услуг. С развитием новых технологий исчезают ограничения, связанные с национальными барьерами, и рынок услуг становится доступным круглосуточно.

4. Изменения в законодательстве. Изменения в законодательстве поощряют небанковские организации оказывать финансовые услуги в прямом соперничестве с банками. Многие из таких организаций созданы недавно, их деятельность не регулируется так, как банковская, и они не нуждаются в дорогостоящей инфраструктуре для этой цели. Они используют существующие сети распределения и продаж для оказания услуг, стоимость которых оказывается меньше, чем у банков. Более того, они не наследуют традиционную банковскую инфраструктуру: многие банки считают слишком обременительным для себя ее переориентировать. Небанковские организации используют расширяющуюся сеть клиентов и увеличение продаж в тех областях, которые были исключительной вотчиной банков.

5. Увеличение требовательности клиентов. Информированность клиентов о доступности услуг банков и их стоимости приводит к увеличению требований к качеству и стоимости предлагаемых услуг. Особенно это касается крупнейших универсальных банков, которые становятся все менее привлекательны для клиентов, объединенных каким-либо одним общим интересом или проживающих в одном регионе. Клиенты также прекрасно осведомлены о риске, связанном с банковской деятельностью, и становятся более осторожными при вкладывании денег в ненадежные банки.

6. Технологии. За последнее десятилетие развитие технологий, средств обработки и передачи информации помогли увеличить производительность и уменьшить стоимость банковских операций. Современные технологии позволяют практически моментально получать и использовать информацию о клиентах, продуктах и рисках, что, несомненно, оказывает влияние на конкурентоспособность банков. Однако пока очень немногие банки в полной мере используют эти возможности. Средства телекоммуникаций вместе с новыми информационными технологиями становятся инструментом при разработке новых продуктов и механизмов их распространения, что расширяет сферу деятельности банков. Электронные платежи и средства расчета в точке продажи -- примеры использования новых технологий, коренным образом меняющих банковскую индустрию. Тем не менее, информационные технологии и поддерживающие их организационные структуры могут стать барьером на пути развития. Вложив большие средства в определенную технологию, очень сложно переориентироваться на какую-либо другую. Этого недостатка лишены новые конкуренты, которые будут сразу приобретать перспективные технологии.

Выход из этого тупика - разработка эффективных способов обработки данных. В идеале следует заставить клиентов расплачиваться за улучшение параметров обслуживания. Объемы же операций, связанных с обработкой чеков и других бумажных документов будут уменьшаться пропорционально распространению электронных банковских карт.

Современные технологии предлагают альтернативы традиционным банковским продуктам и услугам. Изменения, которые привели к уменьшению объема локальных операций, оказываются в центре внимания. Использование современных технологий создало новый рынок, где технологии становятся товаром в таких областях как обмен электронными данными, системы электронных платежей в точке продажи и т.д. Прежде всего это касается улучшения обслуживания клиентов и оказания более специфических услуг. Возрастает необходимость обработки постоянно растущего потока информации о состоянии рынка для более точного определения места специфической продукции на расширяющемся рынке.

Возможность доступа клиента к банку с помощью существующих филиальных сетей теперь уже не является ключевым фактором успеха. Изменение требований клиентов, новые технологии и фиксированно высокая стоимость содержания таких сетей заставляют искать альтернативные стратегии.

Предлагаются следующие подходы:

- мобильные пункты продажи товаров и услуг;

- механизмы прямой продажи товаров и услуг;

- технологии расчета в точке продажи;

- электронное и телефонное банковское обслуживание и др.

Применение новых технологий оказывает влияние на стратегические направления и направления бизнеса в деятельности банка. Банки издавна внедряют и используют самые современные достижения науки и техники для облегчения ручного труда и ускорения выполняемых операций. Однако сейчас этого уже недостаточно и победителями будут те, кто полностью перестроит свою деятельность в соответствии с современными технологиями.

Развитие современных информационных технологий может осуществляться под воздействием бизнеса и для бизнеса. Особенно важным в этом процессе является то, что информационные технологии развиваются в тесном взаимодействии с экономикой. Информационные технологии влияют на размер получаемых доходов и на то, как они складываются и распределяются.

Информационные технологии пронизывают каждый элемент цепи приоритетов банка, наполняя их новым содержанием и воздействуя на связь элементов между собой. Кроме того, технологии влияют на конкурентоспособность банков, изменяя жизненный цикл продукции, предлагаемой клиентам. Стратегии применения информационных технологий определяют методы, с помощью которых они изменяют современный бизнес, и пути управления этими переменами.

Важным моментом является разработка архитектуры компьютерной системы банка. Под архитектурой системы понимается совокупность ее функциональных компонентов и их взаимодействие друг с другом. Целью разработки архитектуры компьютерной системы банка является создание внутренне логичной и гибкой системы, которая будет следовать за изменениями стратегии деятельности банка с минимальным разрушающим воздействием на нее. Любая архитектура должна сочетаться с стратегией банка и упрощать проведение ее в жизнь.

Появление каждой новой технологии обязательно влечет за собой отказ от существующих систем обработки данных. Естественно, это является барьером на пути внедрения новых разработок. Неуклонно возрастает в связи с этим интерес к стандартизованным и открытым системам, в которых программы и представления данные совместимы и их работа не зависит от поставщика оборудования и программ.

Во многом прибыльность банка зависит от обеспечения высшего руководства нужной, своевременной и точной информацией. Системы управления информацией должны быть действительными помощниками в деятельности банка, обеспечивая, например, информацию о положении на рынке, прибыльности банковской продукции, состоянии клиентов и т.д. Получаемая с их помощью информация может использоваться банком для улучшения обслуживания клиентов или для представления им с целью использования в собственных интересах.

Банкам необходима постоянная информация о степени риска их деятельности. Оценка риска -- это процесс, который коренным образом может быть изменен с помощью современных технологий. В него могут быть вовлечены более “интеллектуальные” системы, которые способны оценивать процентные ставки, курсы валют, кредитоспособность клиента и т.п., выдавая при этом рекомендации относительно возможных действий и их результатов.

Современные технологии дают банкам огромные преимущества в организации систем доставки товаров и услуг. Использование электронных средств связи позволяет реализовать:

- электронные платежи и расчеты в точке продажи;

- клиентские терминалы, осуществляющие прямую связь с банком;

- домашнее банковское обслуживание с помощью персонального компьютера или телефона;

- обмен электронными данными в сети с расширенным набором услуг;

- технологии электронных банковских карт, включая магнитные пластиковые и интеллектуальные карты.

Реализация этих и других методов банковского обслуживания в конкретных системах требует разработки жестких мер защиты для предотвращения случайных и умышленных нарушений их функционирования.

Одна из важных проблем банков сегодня - это управление инвестициями в электронные банковские системы с тем, чтобы последние полностью отражали перемены в банковской индустрии. Успех на новых стратегических направлениях бизнеса во многом зависит от реализации информационных систем.

1.2 Основные направления построения системы информационной безопасности в банковских структурах

Основные направления построения системы обеспечения информационной безопасности в банковских структурах определяют стратегию защиты. Стратегия обеспечения безопасности - совокупность долгосрочных целей, реализация которых обеспечивает защиту кредитной организации от потенциальных угроз разглашения коммерческой и банковской тайны, а также нанесения ей любых других форм ущерба имущественного и неимущественного характера. Факторами, определяющими стратегию обеспечения безопасности банка являются:

* общая стратегия развития ("миссия") банка, например ориентация на обслуживание высокорентабельных отраслей или теневой экономики;

* степень агрессивности конкурентной стратегии банка;

* степень "криминогенности" самого региона размещения банка;

* финансовые возможности банка по обеспечению собственной безопасности;

* квалификация персонала службы безопасности банка.

Факторы, определяющие отраслевую специфику формирования и реализации стратегии обеспечения собственной безопасности следующие:

* автоматическое перенесение возможных потерь на клиентов и партнеров банка, взаимодействие с которыми всегда строятся на доверительной основе;

* более высокая уязвимость банка как хозяйствующего субъекта в случае возможной утечки конфиденциальных сведений (ущерб не только прямым имущественным интересам, но и его имиджу в глазах клиентов);

* более обширный в сравнении с другими сферами деятельности перечень потенциальных угроз банковской безопасности.

Можно сформулировать общие методические требования к стратегии, а именно:

* системный подход к проблеме обеспечения безопасности банка (т.е. не допустимость акцентирования усилий службы безопасности на отражении какого-либо одного или нескольких видов потенциальных угроз в ущерб остальным);

* приоритет мероприятий по предотвращению потенциальных угроз (т.е. мер профилактического характера);

* ориентированность на приоритет защиты конфиденциальной информации и лишь затем иных объектов потенциальных угроз;

* четкое закрепление полномочий службы безопасности, исключающее возможность возбуждение против банка не только уголовного преследования, но и частных исков по обвинению в нарушении гражданских прав;

* обеспечение непосредственного участия в реализации стратегии всех подразделений и сотрудников банка в рамках установленной им компетенции и ответственности;

* взаимосвязь с другими направлениями общей стратегии банка (например, с кадровой стратегией).

Представляется целесообразным определить общую иерархическую последовательность формирования стратегии следующим образом:

* определение общего перечня реальных и потенциальных угроз безопасности банка, а также их возможных источников;

* формирование ранжированного перечня объектов защиты;

* определение ресурсов, необходимых для реализации стратегии;

* определение рациональных форм защиты по конкретным объектам;

* определение функций, прав и ответственности службы безопасности банка;

* определение задач других структурных подразделений и управленческих ин станций банка в рамках реализации стратегии;

* разработка оперативного плана мероприятий и целевых программ.

Тогда вариантные концепции стратегии обеспечения безопасности банка выглядят так:

Вариант 1: концепция «упреждающего противодействия», предполагающая возможность использования службой безопасности наиболее активных методов профилактики и противодействия возможным угрозам, например, банковского шпионажа, не легитимных методов контроля лояльности собственного персонала и т.п. (вариант характерен для крупных банков, реализующих агрессивную конкурентную стратегию).

Вариант 2: концепция «адекватного ответа», предполагающая использование службой безопасности всего комплекса легитимных методов профилактики и отражения потенциальных угроз, а в порядке исключения - и не легитимных методов, но лишь в отношении тех конкурентов или иных источников угроз, которые первыми применили подобные методы банка (вариант характерен для банков, реализующих наступательную конкурентную стратегию).

Вариант 3: концепция «пассивной обороны», предполагающая приоритетную ориентацию банка на защиту со стороны государства в лице правоохранительных органов, что позволяет резко ограничить функции собственной службы безопасности, сохранив в ее распоряжении лишь минимально необходимую номенклатуру методов профилактики и отражения потенциальных угроз (вариант характерен для банков, реализующих наступательную конкурентную стратегию).

Определим базовые элементы системы безопасности банка, подлежащие отражению в стратегии:

а). Основные объекты защиты:

* информация, содержащая банковскую тайну (конфиденциальные сведения, разглашение которых способно нанести ущерб клиентам и иным партнерам кредитной организации, например, данные о движении денежных средств на их депозитных или расчетных счетах);

* информация, содержащая коммерческую тайну (прежде всего, сведения, разглашение которых потенциально может нанести ущерб имущественным и неимущественным интересам самого банка, например, данные о планах регионального развития или внедрения новой финансовой услуги);

персонал (прежде всего, высшие руководители и ведущие эксперты банка);

имущество банка (прежде всего, денежные средства).

б). Основные источники угроз безопасности банка:

конкуренты;

нелояльные сотрудники самого банка;

криминальные структуры;

индивидуально действующие злоумышленники (чаще всего - хакеры).

в). Классификация потенциальных угроз:

Внутренние угрозы со стороны собственного персонала (в отечественных условиях представляют большую опасность в сравнении с внешними):

разглашение конфиденциальных сведений сотрудниками банка (умышленное, как форма коррупции или прямого саботажа, и неумышленное, вследствие низкой ответственности сотрудников);

саботаж (например, в форме сознательного уничтожения или искажения компьютерных баз данных);

прямое хищение денежных средств сотрудниками банка;

хищение денежных средств сотрудниками банка с использованием компьютерных технологий;

коррупция банковских служащих (например, в форме предоставления за взятку кредита с нарушением действующих правил и, как следствие, последующие потери от нарушения условий кредитного договора);

участие банковских служащих в покушениях на безопасность банка со стороны внешних источников;

Внешние угрозы со стороны конкурентов и злоумышленников:

несанкционированное проникновение в компьютерные сети банка с целью изъятия конфиденциальной информации, хищений денежных средств или повреждения программной базы;

перехват конфиденциальной информации с использованием технических средств;

насильственные формы хищений (ограбления);

хищения имущества банка в ненасильственной форме (кражи);

шантаж сотрудников банка;

покушения на сотрудников банка и членов их семей.

г). Основные методы обеспечения банковской безопасности:

Компьютерные:

* защита от несанкционированного проникновения в базы данных (система паролей, блокирующие программы и т.п.);

* защита информации от уничтожения в случае саботажа;

Технические:

* специальные технические средства защиты имущества (сейфы, кладовые, инкассаторские автомобили и т.п.);

* специальные технические средства защиты информации (резонаторы, индикаторы и т.п.);

Организационные:

* формирование комплексной операционной подсистемы обеспечения банковской безопасности;

* разработка формализованных процедур выделения и защиты конкретных блоков конфиденциальных сведений;

Кадровые:

* целевое обучение (специальный инструктаж и информационно-воспитательная работа) персонала;

* контроль за соблюдением персоналом установленных службой безопасности правил и за общей лояльностью сотрудников;

* повышение квалификации сотрудников службы безопасности;

* определение перечня экономических и административных санкций при нарушении сотрудниками банка установленных правил;

Программно-целевые (разработка и реализация целевых программ по конкретным направлениям обеспечения банковской безопасности).

Особенности формирования и реализации стратегии обеспечения банковской безопасности в современных отечественных условиях:

* общий уровень криминогенности экономики переходного периода;

* высокая степень криминогенности банковской деятельности (участие отдельных банков в противоправных финансовых операциях, связи с "теневой" экономикой и преступными группировками);

* более высокий уровень распространённости угроз банковской безопасности насильственного характера (ограбления, покушения на персонал);

* недостаточная степень лояльности банковских служащих к своему работодателю;

* непонимание многими руководителями службы безопасности необходимости системного подхода к решению этой проблемы из-за общей ориентации на односторонние по своей направленности методы - защита персонала, защита имущества, защита информации;

* недостаточная квалификация сотрудников службы безопасности в сфере защиты компьютерной информации;

* недостаток у многих банков финансовых ресурсов для внедрения высокоэффективных систем защиты информации и имущества.

1.3 Особенности и виды нарушений безопасности банковских информационных систем

Преступления, в том числе в информационной сфере, совершаются людьми. Большинство систем не может нормально функционировать без участия человека. Пользователь системы, с одной стороны, -- ее необходимый элемент, а с другой -- он же является причиной и движущей силой нарушения или преступления. Вопросы безопасности систем (компьютерных в том числе), таким образом, большей частью есть вопросы человеческих отношений и человеческого поведения. Особенно это актуально в сфере информационной безопасности, т.к. утечка информации в подавляющем большинстве случаев происходит по вине сотрудников банков.

Анализ сообщений средств массовой информации и оперативных сводок правоохранительных органов о криминальных и диверсионно-террористических актах против коммерческих структур в Москве и других городах России позволяет сделать однозначный вывод о высокой степени осведомленности преступников относительно режима дня и динамики деятельности предпринимателей: жертв, как правило, неизменно встречали в районе проживания или места работы, либо с предельной точностью по времени и месту перехватывали на трассе.

Заблаговременно были изучены основные и запасные маршруты перемещения коммерсантов. Преступники располагали подробными сведениями о составе семьи и родственниках будущих жертв, марках и номерных знаках личных и служебных автомашин, соседях и т.п.

Неотъемлемым составляющим элементом любой планируемой преступной акции является сбор информации. Представляется возможным выделить следующие основные методы, которые используются злоумышленниками в настоящее время для добывания сведений о коммерческих структурах:

- наблюдение, в том числе с помощью мобильных и стационарных оптико-технических средств, скрытое фотографирование, видеозапись; выведывание информации;

- проведение опросов, интервьюирования, анкетирования, “направленных” бесед и т.п.;

- хищение, скрытое копирование, подделка каких-либо внутренних документов лицами, внедренными или приобретенными в коммерческих структурах, которые согласились или оказались вынужденными осуществлять указанные действия по корыстным побуждениям, в результате угроз, по физическому принуждению либо иным причинам;

- перехват информации на различных частотных каналах внутренней и внешней радио- и телевизионной связи коммерческих структур;

- получение информации техническими средствами путем использования различных источников сигналов в помещениях коммерческих структур как связанных с функционирующей аппаратурой (персональные компьютеры), так и через специально внедренную технику негласного съема информации (спецзакладки, в том числе дистанционного управления);

- добывание информации о коммерческих структурах посредством применения системы аналитических методов (структурный анализ, финансовый анализ, анализ себестоимости продукции, анализ научно-технических образцов, оценка квалификационных особенностей рабочих и служащих, изучение основных материальных фондов и т.п.).

При всем многообразии и несомненных достоинствах вышеперечисленных методов в настоящее время все же использование сотрудников коммерческих структур в качестве источников внутренней информации рассматривается как наиболее надежный, быстрый и эффективных способ получения конфиденциальных данных.

Отметим также, что кроме добывания собственно конфиденциальной информации по различным вопросам такой внутренний источник из числа сотрудников коммерческих организаций может быть одновременно использован для получения уточняющих сведений, которые бы дополняли данные, добытые техническими средствами и иными методами.

При анализе нарушений защиты большое внимание следует уделять не только самому факту как таковому (то есть объекту нарушения), но и личности нарушителя, то есть субъекту нарушения. Такое внимание поможет разобраться в побудительных мотивах и, может быть, даст возможность избежать в дальнейшем повторения подобных ситуаций. Ценность такого анализа обуславливается еще и тем, что совершаемые без причины преступления (если речь не идет о халатности) очень и очень редки. Исследовав причину преступлений или нарушений можно либо повлиять на саму причину (если это возможно), либо ориентировать систему защиты именно на такие виды преступлений или нарушений.

Прежде всего, кто бы ни был источником нарушения, какое бы оно не было, все нарушители имеют одну общую черту -доступ к системе. Доступ может быть разным, с разными правами, к разным частям системы, через сеть, но он должен быть.

По данным Datapro Information Services Group 81.7% нарушений совершаются самими служащими организации, имеющими доступ к ее системе, и только 17.3% нарушений совершаются лицами со стороны (1% приходится на случайных лиц). По другим данным, физическое разрушение составляет около 25% нарушений (пожар, наводнение, порча) и только 1-2% составляют нарушения со стороны посторонних лиц. На долю служащих, таким образом, остается 73-74% всех преступлений. Различаясь в цифрах, результаты обоих исследований говорят об одном: главный источник нарушений -- внутри самой банковской информационной системы (БИС). И вывод отсюда также однозначен: неважно, есть ли у БИС связи с внешним миром и есть ли внешняя защита, но внутренняя защита должна быть обязательно.

Можно выделять четыре основные причины нарушений: безответственность, самоутверждение, месть и корыстный интерес пользователей БИС. При нарушениях, вызванных безответственностью, пользователь целенаправленно или случайно производит какие-либо разрушающие действия, не связанные тем не менее со злым умыслом. В большинстве случаев это следствие некомпетентности или небрежности. Маловероятно, чтобы разработчики системы защиты могли предусмотреть все такие ситуации. Более того, во многих случаях система в принципе не может предотвратить подобные нарушения (например, случайное уничтожение своего собственного набора данных). Иногда ошибки поддержки адекватной защищенной среды могут поощрять такого рода нарушения. Даже лучшая система защиты будет скомпрометирована, если она неграмотно настроена. Наряду с неподготовленностью пользователей к точному соблюдению мер защиты, это обстоятельство может сделать систему уязвимой к этому виду нарушений.

Некоторые пользователи считают получение доступа к системным наборам данных крупным успехом, затевая своего рода игру “пользователь против системы” ради самоутверждения либо в собственных глазах, либо в глазах коллег. Хотя намерения могут быть и безвредными, эксплуатация ресурсов БИС считается нарушением политики безопасности. Пользователи с более серьезными намерениями могут найти конфиденциальные данные, попытаться испортить или уничтожить их при этом. Такой вид нарушения называется зондированием системы. Большинство систем имеет ряд средств противодействия подобным “шалостям”. В случае необходимости администратор защиты использует их временно или постоянно.

Нарушение безопасности БИС может быть вызвано и корыстным интересом пользователя системы. В этом случае он будет целенаправленно пытаться преодолеть систему защиты для доступа к хранимой, передаваемой и обрабатываемой в БИС информации. Даже если БИС имеет средства, делающие такое проникновение чрезвычайно сложным, полностью защитить ее от проникновения практически невозможно. Тот, кому успешно удалось проникновение -- очень квалифицирован и опасен. Проникновение -- опаснейший вид нарушений, правда, он встречается чрезвычайно редко, так как требуют необычайного мастерства и упорства.

Как показывает практика, ущерб от каждого вида нарушений обратно пропорционален его частоте: чаще всего встречаются нарушения, вызванные халатностью и безответственностью, обычно ущерб от них незначителен и легко восполняется. Например, случайно уничтоженный набор данных можно восстановить, если сразу заметить ошибку. Если информация имеет важное значение, то необходимо хранить регулярно обновляемую резервную копию, тогда ущерб вообще практически незаметен.

Ущерб от зондирования системы может быть гораздо больше, но и вероятность его во много раз ниже. Для таких действий необходима достаточно высокая квалификация, отличное знание системы защиты и определенные психологические особенности. Наиболее характерным результатом зондирования системы является блокировка: пользователь в конце концов вводит БИС в состояние зависания, после чего операторы и системные программисты должны тратить много времени для восстановления работоспособности системы.

Проникновение -- наиболее редкий вид нарушений, но и наиболее опасный. Отличительной чертой проникновении обычно является определенная цель: доступ (чтение, модификация, уничтожение) к определенной информации, влияние на работоспособность системы, слежение за действиями других пользователей и др. Для выполнения подобных действий нарушитель должен обладать теми же качествами, что и для зондирования системы, только в усиленном варианте, а также иметь точно сформулированную цель. В силу этих обстоятельств ущерб от проникновении может оказаться в принципе невосполнимым. Таким образом, для организации надежной защиты необходимо четко отдавать себе отчет, от каких именно нарушений важнее всего избавиться, Для защиты от нарушений, вызванных халатностью нужна минимальная защита, для защиты от зондирования системы -- более жесткая и самая жесткая вместе с постоянным контролем -- от проникновении. Целью таких действий должно служить одно -- обеспечение работоспособности БИС в целом и ее системы защиты в частности.

Гораздо более серьезным может быть ущерб, нанесенный в результате умышленного воздействия из-за обиды, неудовлетворенности своим служебным или материальным положением или по указанию других лиц. Причем ущерб этот будет тем больше, чем выше положение пользователя в служебной иерархии. Это только некоторые из возможных причин, побуждающих пользователей идти на нарушение правил работы с системой.

Способы предотвращения нарушений вытекают из природы побудительных мотивов -- это соответствующая подготовка пользователей, а также поддержание здорового рабочего климата в коллективе, подбор персонала, своевременное обнаружение потенциальных злоумышленников и принятие соответствующих мер. Первая из них - задача администрации системы, вторая -- психолога и всего коллектива в целом. Только в случае сочетания этих мер имеется возможность не исправлять нарушения и не расследовать преступления, а предотвращать саму их причину.

При создании модели нарушителя и оценке риска потерь от действий персонала необходимо дифференцировать всех сотрудников по их возможностям доступа к системе и, следовательно, по потенциальному ущербу от каждой категории пользователей. Например, оператор или программист банковской автоматизированной системы может нанести несравненно больший ущерб, чем обычный пользователь, тем более непрофессионал. Ниже приводится примерный список персонала типичной БИС и соответствующая степень риска от каждого из них.

1. Наибольший риск:

- системный контролер;

- администратор безопасности.

2. Повышенный риск:

- оператор системы;

- оператор ввода и подготовки данных;

- менеджер обработки;

- системный программист.

3. Средний риск:

- инженер системы;

- менеджер программного обеспечения.

4. Ограниченный риск:

- прикладной программист;

- инженер или оператор по связи;

- администратор баз данных;

- инженер по оборудованию;

- оператор периферийного оборудования;

- библиотекарь системных магнитных носителей;

- пользователь-программист;

- пользователь-операционист.

5. Низкий риск:

- инженер по периферийному оборудованию;

- библиотекарь магнитных носителей пользователей;

- пользователь сети.

Каждый из перечисленных выше пользователей в соответствии со своей категорией риска может нанести больший или меньший ущерб системе. Однако пользователи различных категорий различаются не только по степени риска, но и по тому, какому элементу системы они угрожают больше всего. Понятно, что операционист вряд ли сможет вывести из строя БИС, но зато способен послать платеж не по адресу и нанести серьезный финансовый ущерб.

Современная БИС сложный механизм, состоящий из большого количества компонентов различной степени автономности, связанных между собой и обменивающихся данными. Практически каждый из них может выйти из строя или подвергнуться внешнему воздействию. Под угрозой безопасности понимается потенциально возможное воздействие на автоматизированную систему обработки информации (АСОИ), которое может прямо или косвенно нанести урон пользователям или владельцам БИС.

Приводимая ниже классификация охватывает только умышленные угрозы безопасности БИС, оставляя в стороне такие воздействия как стихийные бедствия, сбои и отказы оборудования и др.

1.4 Классификация угроз информационной безопасности банков

Угрозы безопасности БИС можно классифицировать по следующим признакам:

1. По цели реализации угрозы. Реализация той или иной угрозы безопасности БИС может преследовать следующие цели:

- нарушение конфиденциальности информации. Информация, хранимая и обрабатываемая в БИС, может иметь большую ценность для ее владельца. Ее использование другими лицами наносит значительный ущерб интересам владельца;

- нарушение целостности информации. Потеря целостности информации (полная или частичная, компрометация, дезинформация) -угроза близкая к ее раскрытию. Ценная информация может быть утрачена или обесценена путем ее несанкционированного удаления или модификации. Ущерб от таких действий может быть много больше, чем при нарушении конфиденциальности,

- нарушение (частичное или полное) работоспособности БИС (нарушение доступности). Вывод из строя или некорректное изменение режимов работы компонентов БИС, их модификация или подмена могут привести к получению неверных результатов, отказу БИС от потока информации или отказам при обслуживании. Отказ от потока информации означает непризнание одной из взаимодействующих сторон факта передачи или приема сообщений. Имея в виду, что такие сообщения могут содержать важные донесения, заказы, финансовые согласования и т.п., ущерб в этом случае может быть весьма значительным. Так как диапазон услуг, предоставляемых современными БИС, весьма широк, отказ в обслуживании может существенно повлиять на работу пользователя.

2. По принципу воздействия на БИС:

- с использованием доступа субъекта системы (пользователя, процесса) к объекту (файлу данных, каналу связи и т.д.);

- с использованием скрытых каналов.

Под доступом понимается взаимодействие между субъектом и объектом (выполнение первым некоторой операции над вторым), приводящее к возникновению информационного потока от второго к первому.

Под скрытым каналом понимается путь передачи информации, позволяющий двум взаимодействующим процессам обмениваться информацией таким способом, который нарушает системную политику безопасности.

Скрытые каналы бывают двух видов:

а. Скрытые каналы с памятью, позволяющие осуществлять чтение или запись информации другого процесса непосредственно или с помощью промежуточных объектов для хранения информации (временной памяти);

б. Скрытые временные каналы, при которых один процесс может получать информацию о действиях другого, используя интервалы между какими-либо событиями (например, анализ временного интервала между запросом на ввод-вывод и сообщением об окончании операции позволяет судить о размере вводимой или выводимой информации).

Коренное различие в получении информации с помощью доступа и с помощью скрытых каналов заключается в том, что в первом случае осуществляется взаимодействие субъекта и объекта БИС и, следовательно, изменяется ее состояние. Во втором случае используются лишь побочные эффекты от взаимодействия двух субъектов БИС, что не оказывает влияния на состояние системы.

Отсюда следует, что воздействие, основанное на первом принципе, проще, более информативнее, но от него легче защититься. Воздействие на основе второго принципа отличается трудностью организации, меньшей информативностью и сложностью обнаружения и устранения.

3. По характеру воздействия на БИС. По этому критерию различают активное и пассивное воздействие.

Активное воздействие всегда связано с выполнением пользователем каких-либо действий, выходящих за рамки его обязанностей и нарушающих существующую политику безопасности. Это может быть доступ к определенным наборам данных, программам, вскрытие пароля и т.д. Активное воздействие ведет к изменению состояния системы и может осуществляться либо с использованием доступа (например, к наборам данных), либо как с использованием доступа, так и с использованием скрытых каналов.

Пассивное воздействие осуществляется путем наблюдения пользователем каких-либо побочных эффектов (от работы программы, например) и их анализе. На основе такого рода анализа можно иногда получить довольно интересную информацию. Примером пассивного воздействия может служить прослушивание линии связи между двумя узлами сети. Пассивное воздействие всегда связано только с нарушением конфиденциальности информации в БИС, так как при нем никаких действий с объектами и субъектами не производится. Пассивное воздействие не ведет к изменению состояния системы.

4. По причине появления используемой ошибки защиты.

Реализация любой угрозы возможна только в том случае, если в данной конкретной системе есть какая-либо ошибка или брешь защиты.

Такая ошибка может быть обусловлена одной из следующих причин:

- неадекватностью политики безопасности реальной БИС. Это означает, что разработанная для данной БИС политика безопасности настолько не отражает реальные аспекты обработки информации, что становится возможным использование этого несоответствия для выполнения несанкционированных действий. Все системы в той или иной степени имеют несоответствия подобного рода (модель никогда не может точно соответствовать реальной системе), но в одних случаях это не может привести к нарушениям, а в других -- может. С другой стороны такие действия нельзя назвать несанкционированными, поскольку защита от них не предусмотрена политикой безопасности и система защиты в принципе не способна их предотвратить. Если такое несоответствие является опасным, то необходимо разработать новую политику безопасности, в которой оно будет не столь явным и сменить средства защиты для реализации новой политики безопасности.

- ошибками административного управления, под которыми понимается некорректная реализация или поддержка принятой политики безопасности в данной БИС. Например, согласно политике безопасности, в БИС должен быть запрещен доступ пользователей к определенному набору данных, а на самом деле (по невнимательности администратора безопасности) этот набор данных доступен всем пользователям. Обычно на исправление такой ошибки требуется очень мало времени, как и на ее обнаружение, но ущерб от нее может быть огромен.

- ошибками в алгоритмах программ, в связях между ними и т.д., которые возникают на этапе проектирования программы или комплекса программ и благодаря которым их можно использовать совсем не так, как описано в документации. Ошибками реализации алгоритмов программ (ошибки кодирования), связей между ними и т.д., которые возникают на этапе реализации или отладки и которые также могут служить источником недокументированных свойств. Подобные ошибки обнаружить труднее всего.

5. По способу воздействия на объект атаки (при активном воздействии):

...