Организация информационной безопасности учреждений кредитно-финансовой сферы

- непосредственное воздействие на объект атаки (в том числе с использованием привилегий), например, непосредственный доступ к набору данных, программе, службе, каналу связи и т.д., воспользовавшись какой-либо ошибкой. Такие действия обычно легко предотвратить с помощью средств контроля доступа.

- воздействие на систему разрешений (в том числе захват привилегий). При этом способе несанкционированные действия выполняются относительно прав пользователей на объект атаки, а сам доступ к объекту осуществляется потом законным образом. Примером может служить захват привилегий, что позволяет затем беспрепятственно получить доступ к любому набору данных ил и программе.

- опосредованное воздействие (через других пользователей):

- “маскарад”. В этом случае пользователь присваивает себе каким-либо образом полномочия другого пользователя выдавая себя за него;

- “использование вслепую”. При таком способе воздействия один пользователь заставляет другого выполнить необходимые действия (которые для системы защиты не выглядят несанкционированными, ведь их выполняет пользователь, имеющий на это право), причем последний о них может и не подозревать. Для реализации этой угрозы может использоваться вирус (вирус выполняет необходимые действия и сообщает тому, кто его внедрил о результате).

Два последних способа, особенно “использование вслепую”, чрезвычайно опасны. Для предотвращения подобных действий требуется постоянный контроль как со стороны администраторов и операторов за работой АСОИБ в целом, так и со стороны пользователей за своими собственными наборами данных.

6. По способу воздействия на БИС:

- в интерактивном режиме;

- в пакетном режиме.

Работая с системой, пользователь всегда имеет дело с какой-либо ее программой. Но одни программы составлены так, что пользователь может оперативно воздействовать на ход их выполнения, вводя различные команды или данные, а другие так, что всю информацию приходится задавать заранее. К первым (интерактивным) относятся, например, интерпретаторы командных языков, некоторые утилиты, управляющие программы баз данных и др. В основном это программы, ориентированные на работу с пользователем. Ко вторым (пакетным) относятся в основном системные и прикладные программы, ориентированные на выполнение каких-либо строго определенных действий без участия пользователя.

Воздействия различного рода могут производиться с использованием обоих классов программ. При использовании программ первого класса (например, для атаки на систему при помощи командного интерпретатора) воздействие оказывается более длительным по времени и, следовательно, имеет высокую вероятность обнаружения, но более гибким, позволяющим оперативно менять порядок действий. Воздействие с помощью программ второго класса (например, с помощью вирусов) является кратковременным, трудно диагностируемым, гораздо более опасным, но требует большой предварительной подготовки для того, чтобы заранее предусмотреть все возможные последствия вмешательства.

7. По объекту атаки. Одной из самых главных составляющих нарушения функционирования БИС является объект атаки, то есть компонент БИС, который подвергается воздействию со стороны злоумышленника. Определение объекта атаки позволяет принять меры по ликвидации последствий нарушения, восстановлению этого компонента, установку контроля по предупреждению повторных нарушений и т.д.

Воздействию могут подвергаться следующие компоненты БИС:

а. БИС в целом - злоумышленник пытается проникнуть в систему для последующего выполнения каких-либо несанкционированных действий. Для этого обычно используются метод “маскарада”, перехват или подделка пароля, взлом или доступ к БИС через сеть.

б. Объекты БИС - данные или программы в оперативной памяти или на внешних носителях, сами устройства системы, как внешние (дисководы, сетевые устройства, терминалы), так и внутренние (оперативная память, процессор), каналы передачи данных. Воздействие на объекты системы обычно имеет целью доступ к их содержимому (нарушение конфиденциальности или целостности обрабатываемой или хранимой информации) или нарушение их функциональности, например, заполнение всей оперативной памяти компьютера бессмысленной информацией или загрузка процессора компьютера задачей с неограниченным временем исполнения.

в. Субъекты БИС -- процессы и подпроцессы пользователей. Целью таких атак является либо прямое воздействие на работу процесса -- его приостановка, изменение привилегий или характеристик (приоритета, например), либо обратное воздействие -- использование злоумышленником привилегий, характеристик и т.д. другого процесса в своих целях. Частным случаем такого воздействия является внедрение злоумышленником вируса в среду другого процесса и его выполнение от имени этого процесса.

г. Каналы передачи данных -- пакеты данных, передаваемые по каналу связи и сами каналы. Воздействие на пакеты данных может рассматриваться как атака на объекты сети, воздействие на каналы -- специфический род атак, характерный для сети. К нему относятся: прослушивание канала и анализ трафика (потока сообщений) -- нарушение конфиденциальности передаваемой информации; подмена или модификация сообщений в каналах связи и на узлах ретрансляторах -- нарушение целостности передаваемой информации; изменение топологии и характеристик сети, правил коммутации и адресации --нарушение доступности сети.

8. По используемым средствам атаки.

Для воздействия на систему злоумышленник может использовать стандартное программное обеспечение или специально разработанные программы. В первом случае результаты воздействия обычно предсказуемы, так как большинство стандартных программ БИС хорошо изучены. Использование специально разработанных программ связано с большими трудностями, но может быть более опасным, поэтому в защищенных системах рекомендуется не допускать добавление программ в БИС без разрешения администратора безопасности системы.

9. По состоянию объекта атаки. Состояние объекта в момент атаки может оказать существенное влияние на результаты атаки и на работу по ликвидации ее последствий. Объект атаки может находиться в одном из трех состояний:

а. Хранения -- на диске, магнитной ленте, в оперативной памяти или любом другом месте в пассивном состоянии. При этом воздействие на объект обычно осуществляется с использованием доступа;

б. Передачи -- по линии связи между узлами сети или внутри узла. Воздействие предполагает либо доступ к фрагментам передаваемой информации (например, перехват пакетов на ретрансляторе сети), либо просто прослушивание с использованием скрытых каналов;

в. Обработки -- в тех ситуациях, когда объектом атаки является процесс пользователя.

Подобная классификация показывает сложность определения возможных угроз и способов их реализации. Это еще раз подтверждает тезис, что определить все множество угроз БИС и способов их реализации не представляется возможным. Не существует универсального способа защиты, который предотвратил бы любую угрозу. Этот факт обуславливает необходимость объединения различных мер защиты для обеспечения безопасности всей БИС в целом.

Выше была рассмотрена классификация возможных угроз безопасности БИС. Конечно, не все приведенные классы угроз являются независимыми от остальных, не для любой угрозы можно определить, к какому виду в каждом из перечисленных классов она принадлежит. Приведенная выше классификация охватывает большинство основных угроз безопасности БИС, которые должны найти свое место в одном или нескольких выделенных классах.

Далее приведем более подробное описание угроз, с которыми наиболее часто приходится сталкиваться администраторам безопасности.

Несанкционированный доступ (НСД).

Это наиболее распространенный вид компьютерных нарушений. Он заключается в получении пользователем доступа к объекту, на который у него нет разрешения в соответствии с принятой в организации политикой безопасности. Обычно самая главная проблема определить, кто и к каким наборам данных должен иметь доступ, а кто нет. Другими словами, необходимо определить термин “несанкционированный”.

По характеру воздействия НСД является активным воздействием, использующим ошибки системы. НСД обращается обычно непосредственно к требуемому набору данных, либо воздействует на информацию о санкционированном доступе с целью легализации НСД. НСД может быть подвержен любой объект системы. НСД может быть осуществлен как стандартными, так и специально разработанными программными средствами к объектам в любом состоянии.

Методика реализации НСД в значительной мере зависит от организации обработки информации в БИС, разработанной для БИС политики безопасности, возможностей установленных средств защиты, а также добросовестности администратора и оператора. Для реализации НСД существует два способа:

- во-первых, можно преодолеть систему защиты, то есть путем различных воздействий на нее прекратить ее действия в отношении себя или своих программ. Это сложно, трудоемко и не всегда возможно, зато эффективно;

- во-вторых, можно понаблюдать за тем, что “плохо лежит”, то есть какие наборы данных, представляющие интерес для злоумышленника, открыты для доступа по недосмотру или умыслу администратора. Такой доступ, хотя и с некоторой натяжкой, тоже можно назвать несанкционированным, его легко осуществить, но от него легко и защититься. К этому же типу относится НСД с подбором пароля, поскольку осуществить такой подбор возможно лишь в случае нарушения правил составления паролей и использования в качестве пароля человеческих имен, повторяющихся символов, наборов типа QWERTY.

В подавляющем большинстве случаев НСД становится возможным из-за непродуманного выбора средств защиты, их некорректной установки и настройки, плохого контроля работы, а также при небрежном отношении к защите своих собственных данных.

Незаконное использование привилегий.

Злоумышленники, применяющие данный способ атаки, обычно используют штатное программное обеспечение (системное или прикладное), функционирующее в нештатном режиме. Практически любая защищенная система содержит средства, используемые в чрезвычайных ситуациях, при сбоях оборудования или средства, которые способны функционировать с нарушением существующей политики безопасности. В некоторых случаях пользователь должен иметь возможность доступа ко всем наборам системы (например, при внезапной проверке).

Такие средства необходимы, но они могут быть чрезвычайно опасными. Обычно эти средства используются администраторами, операторами, системными программистами и другими пользователями, выполняющими специальные функции.

Для того, чтобы уменьшить риск от применения таких средств большинство систем защиты реализует такие функции с помощью набора привилегий -- для выполнения определенной функции требуется определенная привилегия. В этом случае каждый пользователь получает свой набор привилегий, обычные пользователи -- минимальный, администраторы -- максимальный (в соответствии с принципом минимума привилегий). Наборы привилегий каждого пользователя являются его атрибутами и охраняются системой защиты. Несанкционированный захват привилегий приведет, таким образом, к возможности несанкционированного выполнения определенной функции. Это может быть НСД (частный случай), запуск определенных программ и даже реконфигурация системы.

Естественно, при таких условиях расширенный набор привилегий -заветная мечта любого злоумышленника. Он позволит ему совершать практически любые действия, причем, возможно, даже в обход всех мер контроля. Нарушения, совершаемые с помощью незаконного использования привилегий, являются активным воздействием, совершаемым с целью доступа к какому-либо объекту или системе в целом.

Незаконный захват привилегий возможен либо при наличии ошибок в самой системе защиты (что, например, оказалось возможным в одной из версий операционной системы UNIX), либо в случае халатности при управлении системой и привилегиями в частности (например, при назначении расширенного набора привилегий всем подряд). Строгое соблюдение правил управления системой защиты, соблюдение принципа минимума привилегий позволят избежать таких нарушений.

Атаки “салями”.

Атаки “салями” более всего характерны для систем, обрабатывающих денежные счета и, следовательно, для банков особенно актуальны. Принцип атак “салями” построен на том факте, что при обработке счетов используются целые единицы (центы, рубли, копейки), а при исчислении процентов нередко получаются дробные суммы.

Например, 6.5% годовых от $102.87 за 31 день составит $0.5495726. Банковская система может округлить эту сумму до $0.55. Однако если пользователь имеет доступ к банковским счетам или программам их обработки, он может округлить ее в другую сторону -- до $0.54, а разницу в 1 цент записать на свой счет. Владелец счета вряд ли ее заметит, а если и обратит внимание, то спишет ее на погрешности обработки и не придаст значения. Злоумышленник же получит прибыль в один цент, при обработке 10.000 счетов в день (а в некоторых банках и больше). Его прибыль таким образом составит $1000, т.е. около $300 000 в год.

Отсюда и происходит название таких атак -- как колБИСа салями изготавливается из небольших частей разных сортов мяса, так и счет злоумышленника пополняется за счет различных вкладчиков. Естественно, такие атаки имеют смысл лишь в тех организациях, где осуществляется не менее 5.000 - 10.000 транзакций в день, иначе не имеет смысла рисковать, поскольку в случае обнаружения преступника просто определить. Таким образом, атаки “салями” опасны в основном для крупных банков.

Причинами атак “салями” являются, во-первых, погрешности вычислений, позволяющие трактовать правила округления в ту или иную сторону, а во-вторых, огромные объемы вычислений, необходимые для обработки счетов. Успех таких атак зависит не столько от величины обрабатываемых сумм, сколько от количества счетов (для любого счета погрешность обработки одинакова). Атаки “салями” достаточно трудно распознаются, если только злоумышленник не начинает накапливать на одном счете миллионы. Предотвратить такие атаки можно только обеспечением целостности и корректности прикладных программ, обрабатывающих счета, разграничением доступа пользователей АСОИБ к счетам, а также постоянным контролем счетов на предмет утечки сумм.

“Скрытые каналы”.

“Скрытые каналы” - пути передачи информации между процессами системы, нарушающие системную политику безопасности. В среде с разделением доступа к информации пользователь может не получить разрешение на обработку интересующих его данных, однако может придумать для этого обходные пути. Практически любое действие в системе каким-то образом затрагивает другие ее элементы, которые при этом могут изменять свое состояние. При достаточной наблюдательности и знании этих связей можно получить прямой или опосредованный доступ к данным.

“Скрытые каналы” могут быть реализованы различными путями, в частности при помощи программных закладок (“троянских коней”).

Например, программист банка не всегда имеет доступ к именам и балансам депозитных счетов. Программист системы, предназначенной для обработки ценных бумаг, может не иметь доступ к предложениям о покупке или продаже. Однако при создании таких систем он может предусмотреть способ получения интересующих его сведений. В этом случае программа скрытым способом устанавливает канал связи с этим программистом и сообщает ему требуемые сведения.

Атаки с использованием скрытых каналов обычно приводят к нарушениям конфиденциальности информации в АСОИБ, по характеру воздействия являются пассивными: нарушение состоит только в передаче информации. Для организации “скрытых каналов” может использоваться как штатное программное обеспечение, так и специально разработанные “троянские” или вирусные программы. Атака обычно производится программным способом.

Примером передачи информации по “скрытым каналам” может служить, например, итоговый отчет, в котором вместо слова “TOTAL” используется слово “TOTALS” - программист сделал так, что при определенных условиях, которые может распознать его программа, должна происходить замена слов. Подобными “скрытыми каналами” могут стать число пробелов между двумя словами, значение третьей или четвертой цифры после запятой в какой-нибудь дроби (на которые никто не обращает внимания) и т.д. “Скрытым каналом” может явиться и передача информации о наличии или отсутствии какого-либо набора данных, его размере, дате создания или модификации и т.д.

Проблема заключается в том, что очень трудно отделить неразрешенные “скрытые каналы” от разрешенных, то есть тех, которые не запрещаются системной политикой безопасности. В конечном счете все определяется ущербом, который может принести организация “скрытых каналов”.

Отличительными особенностями “скрытых каналов” является их малая пропускная способность (по ним обычно можно передавать только небольшое количество информации), большие трудности их организации и обычно небольшой наносимый ими ущерб. Более того, он вообще бывает незаметен, поэтому специальные меры защиты против “скрытых каналов” предпринимают довольно редко. Обычно достаточно грамотно разработанной полномочной политики безопасности.

“Маскарад”.

Под “маскарадом” понимается выполнение каких-либо действий одним пользователем БИС от имени другого пользователя. При этом такие действия другому пользователю могут быть разрешены. Нарушение заключается в присвоении прав и привилегий.

Такие нарушения также называются симуляцией или моделированием. Цель “маскарада” -- сокрытие каких-либо действий за именем другого пользователя или присвоение прав и привилегий другого пользователя для доступа к его наборам данных или для использования его привилегий.

“Маскарад” -- это способ активного нарушения защиты системы, он является опосредованным воздействием, то есть воздействием, совершенным с использованием возможностей других пользователей.

Примером “маскарада” может служить вход в систему под именем и паролем другого пользователя, при этом система защиты не сможет распознать нарушение. В этом случае “маскараду” обычно предшествует взлом системы или перехват пароля.

Другой пример “маскарада” -- присвоение имени другого пользователя в процессе работы. Это может быть сделано с помощью средств операционной системы (некоторые операционные системы позволяют изменять идентификатор пользователя в процессе работы) или с помощью программы, которая в определенном месте может изменить определенные данные, в результате чего пользователь получит другое имя. В этом случае “маскараду” может предшествовать захват привилегий, или он может быть осуществлен с использованием какой-либо ошибки в системе.

“Маскарадом” также называют передачу сообщений в сети от имени другого пользователя. Способы замены идентификатора могут быть разные, обычно они определяются ошибками и особенностями сетевых протоколов. Тем не менее на приемном узле такое сообщение будет воспринято как корректное, что может привести к серьезным нарушениям работы сети. Особенно это касается управляющих сообщений, изменяющих конфигурацию сети, или сообщений, ведущих к выполнению привилегированных операций.

Наиболее опасен “маскарад” в банковских системах электронных платежей, где неправильная идентификация клиента может привести к огромным убыткам. Особенно это касается платежей с помощью электронных банковских карт. Сам по себе метод идентификации с помощью персонального идентификатора (PIN) достаточно надежен, нарушения могут происходить вследствие ошибок его использования. Это произойдет, например, в случае утери кредитной карты, при использовании очевидного идентификатора (своего имени, ключевого слова и т.д.). Поэтому клиентам надо строго соблюдать все рекомендации банка по выполнению такого рода платежей.

“Маскарад” является достаточно серьезным нарушением, которое может привести к тяжелым последствиям, таким как изменение конфигурации системы (сети), утечка информации, нарушения работы БИС. Для предотвращения “маскарада” необходимо использовать надежные методы идентификации и аутентификации, блокировку попыток взлома системы, контроль входов в нее. Также необходимо фиксировать все события, которые могут свидетельствовать о “маскараде”, в системном журнале для его последующего анализа.

“Сборка мусора”.

После окончания работы обрабатываемая информация не всегда полностью удаляется из памяти. Часть данных может оставаться в оперативной памяти, на дисках и лентах, других носителях. Данные хранятся на носителе до перезаписи или уничтожения; при выполнении этих действий на освободившемся пространстве диска находятся их остатки. Хотя прочитать такие данные трудно, однако, используя специальные программы и оборудование, все же возможно. Такой процесс принято называть “сборкой мусора”. Он может привести к утечке важной информации.

“Сборка мусора” -- активное, непосредственное воздействие на объекты БИС при их хранении с использованием доступа. Это воздействие может привести к нарушению конфиденциальности информации.

Для защиты от “сборки мусора” используются специальные механизмы, которые могут быть реализованы в операционной системе и/или аппаратуре компьютера или в дополнительных программных (аппаратных) средствах. Примерами таких механизмов являются стирающий образец и метка полноты:

- стирающий образец -- это некоторая последовательность битов, записываемая на место, освобождаемое файлом. Менеджер или администратор безопасности БИС может автоматически активизировать запись этой последовательности при каждом освобождении участка памяти, при этом стираемые данные уничтожаются физически.

- метка полноты предотвращает чтение участков памяти, отведенных процессу для записи, но не использованных им. Верхняя граница адресов использованной памяти и есть метка полноты. Этот способ используется для защиты последовательных файлов исключительного доступа (результирующие файлы редакторов, компиляторов, компоновщиков т.д.). Для индексных и разделяемых последовательных файлов этот метод называется “стирание при размещении”, память очищается при выделении ее процессу.

“Взлом системы”.

Под “взломом системы” понимают умышленное проникновение в систему с несанкционированными параметрами входа, то есть именем пользователя и его паролем (паролями).

“Взлом системы” -- умышленное, активное воздействие на систему в целом. “Взлом системы” обычно происходит в интерактивном режиме.

Поскольку имя пользователя не является секретом, объектом “охоты” обычно становится пароль. Способы вскрытия пароля могут быть различны: перебор возможных паролей, “маскарад” с использованием пароля другого пользователя, захват привилегий. Кроме того, “взлом системы” можно осуществить, используя ошибки программы входа.

Таким образом, основную нагрузку на защиту системы от “взлома” несет программа входа. Алгоритм ввода имени и пароля, их шифрование (при необходимости), правила хранения и смены паролей не должны содержать ошибок. Противостоять “взлому системы” также помогает ограничение количества попыток неправильного ввода пароля с последующей блокировкой терминала и уведомлением оператора в случае нарушения.

Кроме того, оператор должен постоянно контролировать активных пользователей системы: их имена, характер работы, время входа и выхода и т.д.

“Люки”.

“Люк” -- это скрытая, недокументированная точка входа в программный модуль. “Люк” вставляется в программу обычно на этапе отладки для облегчения работы: программный модуль можно вызывать в разных местах, что позволяет отлаживать отдельные его части независимо. Но в дальнейшем программист может забыть уничтожить “люк” или некорректно его заблокировать. Кроме того, “люк” может вставляться на этапе разработки для последующей связи данного модуля с другими модулями системы, но затем, в результате изменившихся условий данная точка входа оказывается ненужной.

Наличие “люка” позволяет вызывать программу нестандартным образом, что может серьезно сказаться на состоянии системы защиты (неизвестно, как в таком случае программа будет воспринимать данные, среду системы и т.д.). Кроме того, в таких ситуациях не всегда можно прогнозировать ее поведение.

“Люк” относится к категории угроз, возникающих вследствие ошибок реализации какого-либо проекта (БИС в целом, комплекса программ и т.д.). Поскольку использование “люков” может быть самым разным и зависит от самой программы, классифицировать данную угрозу как-либо еще затруднительно.

“Люки” могут оказаться в программах по следующим причинам:

- их забыли убрать;

- для использования при дальнейшей отладке;

- для обеспечения поддержки готовой программы;

- для реализации тайного контроля доступа к данной программе после ее установки.

Первый из перечисленных случаев -- ненамеренный промах, который может привести к бреши в системе защиты. Два следующих случая -- серьезные испытания для системы безопасности, с которыми она может и не справиться. Четвертый случай может стать первым шагом преднамеренного проникновения с использованием данной программы.

Отметим, что программная ошибка “люком” не является. “Люк” -- это достаточно широко используемый механизм отладки, корректировки и поддержки программ, который создается преднамеренно, хотя чаще всего и без злого умысла. Люк становится опасным, если он не замечен, оставлен и не предпринималось никаких мер по контролю за ним.

Большая опасность “люков”, особенно в программах операционной системы, компенсируется высокой сложностью их обнаружения. Если не знать заранее, что данная программа содержит “люк”, необходимо обработать килобайты (а иногда и мегабайты) программного кода, чтобы найти его. Понятно, что почти всегда это нереально. Поэтому в большинстве случаев обнаружение “люков” -- результат случайного поиска. Защита от них может быть только одна -- не допускать появления “люков” в программе, а при приемке программных продуктов, разработанных третьими производителями -- проводить анализ исходных текстов программ с целью обнаружения “люков”.

Вредоносные программы.

В последнее время участились случаи воздействия на вычислительную систему при помощи специально созданных программ. Под вредоносными программами в будем понимать такие программы, которые прямо или косвенно дезорганизуют процесс обработки информации или способствуют утечке или искажению информации.

“Троянский кoнь” -- программа, выполняющая в дополнение к основным (проектным и документированным) не описанные в документации действия. Аналогия с древнегреческим “троянским конем” таким образом вполне оправдана -- в не вызывающей подозрений оболочке таится угроза. Программы такого типа являются серьезной угрозой безопасности БИС.

Вирус -- это программа, которая может заражать другие программы путем включения в них своей, возможно модифицированной, копии, причем последняя сохраняет способность к дальнейшему размножению. Вирус может быть охарактеризован двумя основными особенностями :

- способностью к самовоспроизведению. Это свойство означает, что за время своего существования на компьютере вирус должен хотя бы один раз воспроизвести свою копию на долговременном носителе;

- способностью к вмешательству (получению управления) в вычислительный процесс. Это свойство является аналогом “паразитирования” в живой природе, которое свойственно биологическим вирусам.

“Червь” -- программа, распространяющаяся через сеть и (в отличие от вируса) не оставляющая своей копии на магнитном носителе. “Червь” использует механизмы поддержки сети для определения узла, который может быть заражен. Затем с помощью тех же механизмов передает свое тело или его часть на этот узел и либо активизируется, либо ждет для этого подходящих условий.

“Жадные” программы -- это программы, которые при выполнении стремятся монополизировать какой-либо ресурс системы, не давая другим программам возможности использовать его. Доступ таких программ к ресурсам системы обычно приводит к нарушению ее доступности. Естественно, такая атака будет активным вмешательством в работу системы. Непосредственной атаке обычно подвергаются ключевые объекты системы: процессор, оперативная память, устройства ввода-вывода.

Захватчики паролей - это программы специально предназначены для воровства паролей. При попытке входа имитируется ввод имени и пароля, которые пересылаются владельцу программы-захватчика, после чего выводится сообщение об ошибке ввода и управление возвращается операционной системе. Пользователь, думающий, что допустил ошибку при наборе пароля, повторяет вход и получает доступ к системе. Однако его имя и пароль уже известны владельцу программы-захватчика. Перехват пароля может осуществляться и другим способом - с помощью воздействия на программу, управляющую входом пользователей в систему и ее наборы данных.

Кроме описанных выше, существуют и другие возможности компрометации пароля. Не следует записывать команды, содержащие пароль, в командные процедуры, надо избегать явного объявления пароля при запросе доступа по сети: эти ситуации можно отследить и захватить пароль. Не стоит использовать один и тот же пароль для доступа к разным узлам. Соблюдение правил использования паролей -- необходимое условие надежной защиты.

электронный платеж банк угроза

ГЛАВА 2. ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ БАНКОВСКИХ АВТОМАТИЗИРОВАННЫХ СИСТЕМ

Не будет преувеличением сказать, что проблема умышленных нарушений функционирования автоматизированных систем обработки информации в банках (АСОИБ) различного назначения в настоящее время является одной из самых актуальных. Наиболее справедливо это утверждение для стран с сильно развитой информационной инфраструктурой.

Современная АСОИБ -- сложный механизм, состоящий из большого количества компонентов различной степени автономности, связанных между собой и обменивающихся данными. Практически каждый из них может выйти из строя или подвергнуться внешнему воздействию.

2.1 Современное состояние безопасности банковских автоматизированных систем

Под безопасностью АСОИБ будем понимать ее свойство, выражающееся в способности противодействовать попыткам нанесения ущерба владельцам и пользователям системы при различных возмущающих (умышленных и неумышленных) воздействиях на нее. Иными словами под безопасностью системы понимается ее защищенность от случайного или преднамеренного вмешательства в нормальный процесс ее функционирования, а также от попыток хищения, модификации или разрушения ее компонентов. Следует отметить, что природа воздействия может быть самой различной. Это и попытки проникновения злоумышленника, и ошибки персонала, и стихийные бедствия (ураган, пожар), и выход из строя составных частей АСОИБ.

Безопасность АСОИБ достигается обеспечением конфиденциальности обрабатываемой ею информации, а также целостности и доступности компонентов и ресурсов системы.

Конфиденциальность информации -- это свойство информации быть известной только допущенным и прошедшим проверку (авторизованным) субъектам системы (пользователям, программам, процессам и т.д.). Для остальных субъектов системы эта информация как бы не существует.

Целостность компонента (ресурса) системы -- свойство компонента (ресурса) быть неизменным (в семантическом смысле) при функционировании системы.

Доступность компонента (ресурса) системы -- свойство компонента (ресурса) быть доступным для использования авторизованными субъектами системы в любое время.

Обеспечение безопасности АСОИБ требует применения различных мер защитного характера. Обычно вопрос о необходимости защиты компьютерной системы не вызывает сомнений. Наиболее трудными бывают ответы на вопросы:

1. От чего надо защищать систему?

2. Что надо защищать в самой системе?

3. Как надо защищать систему (при помощи каких методов и средств)?

При выработке подходов к решению проблемы безопасности следует всегда исходить из того, что конечной целью применения любых мер противодействия угрозам является защита владельца и законных пользователей АСОИБ от нанесения им материального или морального ущерба в результате случайных или преднамеренных воздействий на нее.

Обеспечение безопасности АСОИБ в целом предполагает создание препятствий для любого несанкционированного вмешательства в процесс ее функционирования, а также попыток хищения, модификации, выведения из строя или разрушения ее компонентов. То есть защиту всех компонентов системы: оборудования, программного обеспечения, данных и персонала. В этом смысле, защита информации от несанкционированного доступа является только частью общей проблемы обеспечения безопасности АСОИБ, а борьбу следует вести не только с “несанкционированным доступом” (к информации), а шире, -- с “несанкционированными действиями”.

Обычно различают внешнюю и внутреннюю безопасность АСОИБ. Внешняя безопасность включает защиту АСОИБ от стихийных бедствий (пожар, наводнение и т.п.) и от проникновения злоумышленников извне с целями хищения, получения доступа к носителям информации или вывода системы из строя. Предметом внутренней безопасности является обеспечение надежной и корректной работы системы, целостности ее программ и данных.

Все усилия по обеспечению внутренней безопасности АСОИБ фокусируются на создании надежных и удобных механизмов регламентации деятельности всех ее пользователей и обслуживающего персонала, соблюдении установленной в организации дисциплины прямого или косвенного доступа к ресурсам системы и к информации.

Учитывая то обстоятельство, что основным предназначением АСОИБ является переработка (сбор, хранение, обработка и выдача) информации, то проблема обеспечения безопасности информации является для АСОИБ центральной в ряду проблем защиты средств вычислительной техники от стихийных бедствий и хищений, проблем подбора и подготовки кадров, организации управления, обеспечения живучести АСОИБ, надежности их технических средств и программного обеспечения и других. Очевидно, что все они тесно связаны с безопасностью информации, поскольку, например, отказ в обслуживании клиента или несвоевременное предоставление пользователю хранящейся в АСОИБ важной информации из-за неработоспособности этой системы по своим последствиям равноценны потере информации (несанкционированному ее уничтожению).

Анализ построения система информационной безопасности следует начинать с анализа рисков возможных угроз.

Риск есть стоимостное выражение вероятностного события, ведущего к потерям. Для оценки степени риска при том или ином варианте действий применяются различные методики. В зарубежной литературе они получили название “анализ риска” (risk analysis). Анализ риска применяется к самым различным операциям. Например, при выдаче кредита специалисты банка оценивают риск его невозврата заемщиком. Оценив величину степени риска можно принять меры, направленные на ее уменьшение (например, опечатав на складе заемщика высоколиквидный товар).

Перед тем, как выбирать различные средства защиты необходимо четко представлять какие компоненты АСОИБ, от каких посягательств и насколько надежно вы хотите защитить. Безусловно, основой системы защиты АСОИБ должны быть организационные (административные) мероприятия, стержнем которых является разработка и реализация плана защиты. Но организационные меры без повсеместной поддержки их физическими и техническими (программными и аппаратными) средствами будут слабы. Поэтому при выборе средств защиты необходимо обращать внимание не только на их надежность, но и на то, как они будут поддерживать разработанные организационные мероприятия.

Необходимо использовать анализ риска для выбора наиболее реальных угроз АСОИБ и целесообразных способов защиты от них.

Для чего нужен анализ риска в этой области?

1. Для повышения осведомленности персонала. Обсуждение вопросов защиты АСОИБ может поднять уровень интереса к этой проблеме среди сотрудников, что приведет к более точному выполнению требований инструкций.

2. Для определения сильных и слабых сторон существующих и предлагаемых мер защиты. Многие организации не имеют полной информации о своей АСОИБ и ее слабых сторонах. Систематический анализ дает всестороннюю информацию о состоянии аппаратного и программного обеспечения АСОИБ и степени риска потери (искажения, утечки) информации при ее обработке и хранении в электронном виде.

3. Для подготовки и принятия решения по выбору мер и средств защиты. Защита снижает производительность АСОИБ, внося при этом неудобства (иногда существенные) в работу пользователей. Некоторые меры защиты слишком сложны и дороги и их применение не может быть оправдано теми функциями, которые они выполняют. В то же время существуют настолько серьезные виды угроз, что поиск и разработка новых, более эффективных методов и средств защиты от них является просто необходимыми. В обоих случаях степень риска определяет уровень и масштаб применяемых средств защиты.

4. Для определения затрат на защиту. Некоторые механизмы защиты требуют довольно больших ресурсов, и их работа скрыта от пользователей. Анализ риска может помочь определить самые главные требования к системе защиты АСОИБ.

Анализ риска - это процесс получения количественной или качественной оценки ущерба, который может произойти в случае реализации угрозы безопасности АСОИБ.

Ниже рассматриваются основные этапы, проводимые при анализе риска безопасности АСОИБ. Они могут в отдельных случаях корректироваться в зависимости от конкретных условий анализа:

1. Описание компонентов АСОИБ.

2. Определение уязвимых мест АСОИБ.

3. Оценка вероятностей проявления угроз безопасности АСОИБ.

4. Оценка ожидаемых размеров потерь.

5. Обзор возможных методов защиты и оценка их стоимости.

6. Оценка выгоды от применения предполагаемых мер.

Рассмотрим эти этапы подробнее. Описание компонентов АСОИБ

Все компоненты АСОИБ можно разбить на следующие категории:

- оборудование -- ЭВМ и их составные части (процессоры, мониторы, терминалы, рабочие станции), периферийные устройства (дисководы, устройства back-up, порты ввода-вывода, принтеры, кабели, контроллеры, линии связи) и т.д.;

- программное обеспечение -- исходные, объектные, загрузочные модули, приобретенные программы, “домашние” разработки, утилиты, операционные системы и системные программы (компиляторы, компоновщики и др.), диагностические программы и т.д.;

- данные -- временные, хранимые постоянно, на магнитных носителях, печатные, архивы, системные журналы и т.д.;

- сотрудники -- пользователи и обслуживающий персонал.

Кроме компонентов АСОИБ при планировании системы безопасности необходимо четко описать технологию обработки информации в защищаемой АСОИБ. Необходимо зафиксировать состояние АСОИБ как совокупности различных компонентов и технологии обработки информации. Все дальнейшие этапы анализа риска производятся именно с этой, зафиксированной на некоторый момент времени, системой.

Важным моментом является определение уязвимых мест АСОИБ. Для всех категорий, компонентов АСОИБ необходимо определить, какие опасности могут угрожать каждой из них и что может быть их причиной.

Рассмотрим примеры опасных воздействий, которые могут привести к нарушению конфиденциальности, целостности и доступности определенных компонентов и ресурсов АСОИБ:

1. Стихийные бедствия.

2. Внешние воздействия. Подключение к сети, интерактивная работа, воздействие хакеров.

3. Преднамеренные нарушения. Действия обиженных служащих, взяточников, любопытных посетителей, конкурентов и т.д.

4. Неумышленные ошибки. Ввод ошибочной команды, данных, использование неисправных устройств, носителей, а также пренебрежение некоторыми правилами безопасности.

Дальнейший этап анализа риска определяет, как часто может проявиться каждая из угроз безопасности АСОИБ. В некоторых случаях вообще невозможно численно оценить появление той или иной угрозы, однако для большинства случаев такая оценка все же возможна.

Приведем некоторые методы оценки вероятностей проявления угроз.

1. Эмпирическая оценка количества проявлений угрозы за некоторый период времени. Как правило, этот метод применяется для оценки вероятности стихийных бедствий. Невозможно предсказать возникновение, например, пожара в определенном здании, поэтому в таких случаях целесообразно накапливать массив данных об исследуемом событии. Так например, в среднем за год пожар уничтожит некоторое количество зданий; средний ущерб составит $Х. Кроме того, также можно получать данные об обманах со стороны сотрудников, коррупции и т.д. Такой анализ обычно неточен, поскольку использует лишь частичные данные о событии, но тем не менее в некоторых случаях таким путем можно получить приемлемые результаты.

2. Непосредственная регистрация событий. Обычно этот метод применяется для оценки вероятности часто проявляющихся событий (попытки входа в систему, доступ к определенному объекту и т.д.).

3. Оценка частоты проявления угрозы по таблице. Некоторые методы анализа риска позволяют оценить вероятность появления каких либо событий по специальной таблице, выбирая один из коэффициентов. Полнота анализа зависит от качества метода вычисления коэффициентов проявления данного события. Таким образом, оценка вероятности события производится не с помощью безосновательного выбора числа, а на основе системы коэффициентов, которая имеют некоторую методологическую основу.

4. Метод “Дельфийский оракул”. С помощью этого метода каждый конкретный коэффициент выводится из частоты появления определенного события. Эти частоты накапливаются и преобразуются в коэффициенты; они могут быть изменены на основе новых данных. После серии испытаний все значения коэффициентов собирают, и если они приемлемы, то одно из них (лучшее в смысле некоторого выбранного критерия) оставляют. В противном случае анализируется методика получения оценок и производится новая серия испытаний.

Определение потерь в результате реализации любой из угроз безопасности -- следующий этап анализа риска. Как и оценка частоты реализации различных угроз, определение потерь также трудно поддается расчету. Например, стоимость замены аппаратного или программного обеспечения АСОИБ оценивается достаточно просто. Однако существует много случаев (восстановление данных или программ), когда это сопряжено с большими трудностями.

Многие данные нуждаются в защите по вполне объяснимым причинам. Защищать необходимо личные данные (счета, страховые полисы), коммерческую информацию (технологические, финансовые и другие секреты). Однако при этом трудно оценить величину потерь при искажении, потере этих данных, либо при невозможности получить данные в требуемое время.

Ответы на приведенные ниже вопросы полезно использовать при оценке величины ожидаемых потерь, при анализе различных способов реализации угроз; они, конечно, не дадут полную картину, но могут облегчить оценку возможного ущерба:

1. Каковы Ваши обязательства по сохранению конфиденциальности и целостности тех или иных данных?

2. Может ли компрометация этих данных привести к несчастному случаю? Существует ли реальная возможность такого события?

3. Может ли несанкционированный доступ к этим данным послужить причиной потерь в будущем (упущенная возможность в бизнесе)? Может ли этот случай послужить Вашим соперникам (конкурентам)? Каковы возможные потери от этого?

4. Каков может быть психологический эффект потери? Возможные затруднения? Кредитоспособность? Потеря клиентуры?

5. Каково значение доступа к этим данным? Может ли обработка этих данных быть отложена? Могут ли эти вычислений быть выполнены где-нибудь еще? Сколько Вы можете заплатить за обработку этих данных в другом месте?

6. Каково для Вас значение несанкционированного доступа конкурентов к Вашим данным? Насколько заинтересованы ваши соперники (конкуренты) в этих данных?

7. Какие проблемы могут возникнуть при утере Ваших данных? Могут ли они быть восстановлены? Каков объем работ по восстановлению? Сколько это будет стоить ?

Как уже отмечалось выше, оценка потерь достаточно сложна. Более того, уязвимость вычислительных систем часто оказывается выше ожидаемой. Поэтому реалистичные оценки потенциального ущерба могут послужить основой для разработки системы защиты и определить область наиболее пристального внимания.

Защита от проявления той или иной угрозы может быть реализована различными способами. Например, защитить информацию на жестком диске ПЭВМ от ознакомления можно следующими способами :

- организовать контроль за доступом в помещение, в котором установлена ПЭВМ;

- назначить ответственных за использование ПЭВМ;

- шифровать информацию на диске;

- использовать системы разграничения доступа;

- закрывать доступ или демонтировать дисководы и порты ввода-вывода;

- применять средства оповещения администратора о вскрытии корпуса ПЭВМ.

Для каждого из этих способов определяются такие характеристики, как стоимость и эффективность. Стоимость метода защиты имеет абсолютное значение, выраженное в денежных единицах, затраченных на его реализацию и сопровождение. При оценке стоимости метода необходимо учитывать не только прямые (закупка оборудования, обучение персонала и т.д.), но и косвенные затраты (замедление работы системы, нарушение устоявшейся технологии обработки информации и т.д)

Эффективность метода -- это его способность противостоять тем или иным угрозам. Получить реальное значение эффективности очень трудно, и в большинстве случаев эта характеристика определяется эмпирически.

Анализ риска также позволяет экспериментировать с некоторой моделью АСОИБ для того, чтобы выяснить, какие из имеющихся методов защиты наиболее эффективны для сохранения работоспособности системы и конфиденциальности обрабатываемой в ней информации.

Анализ риска -- хорошо известный инструмент планирования, широко используемый в практике управления. Тем не менее, иногда выдвигаются аргументы против его использования. Рассмотрим основные из них.

1. Неточность. Многие значения, получаемые в процессе анализа (вероятность появления событий, стоимость ущерба) не отличаются высокой точностью. Однако существуют различные методы для получения приемлемых приближений этих значений.

В то же время, анализ риска -- это инструмент планирования. Основная его задача -- определить уровень возможных потерь. Например, можно ошибиться в частоте появления некоторого события -- один раз в год или один раз в три года, но мы по крайней мере будем уверены, что оно вряд ли будет происходить каждую неделю. Анализ риска определяет эффективный уровень затрат на защиту, особенно в условиях ограниченных финансов.

Кроме того, излишняя точность может оказаться ненужной. Например, совершенно неважно, составят ли ожидаемые потери $150.000 или $100.000, важно, что они будут много больше чем $20.000. Стремление к излишней точности в таких случаях только требует увеличения времени анализа и дополнительных затрат.

2. Быстрая изменяемость. Анализ риска актуален лишь в течение определенного промежутка времени. Потом может изменится состав системы, внешние условия и т.д, и придется проводить новый анализ. В идеале анализ риска для собственной АСОИБ рекомендуется проводить ежегодно.

Важный момент в ежегодном исследовании -- учет всех имеющих отношение к делу изменений, происшедших за истекший год. При этом некоторые факторы могли не учитываться в прошлом году, а некоторые могли потерять актуальность.

3. Отсутствие научной базы. Почти все методики проведения анализа риска основывается на положениях теории вероятностей и математической статистики, однако их применение не всегда корректно.

В процессе проведения анализа риска должна быть сформирована основа для определения необходимых мер защиты. В частности, следует определить, что именно относится к АСОИБ (оборудование, программы, данные, персонал и т.д.) и что нуждается в защите.

Далее необходимо составить список возможных на ваш взгляд способов реализации угроз работе системы, роль и место средств защиты для предотвращения кризисных ситуаций,

В этом разделе плана фиксируется порядок формирования и обработки данных в защищаемой АСОИБ. Как отмечалось выше, наиболее сложным этапом анализа риска является определение частоты появления возможных угроз системе. Поскольку использование различных методов оценки может влиять на точность результатов, все они должны быть отражены в данном пункте плана.

Наконец, этот пункт должен содержать сведения о действиях средств защиты в случае возникновения непредусмотренных ситуаций, которые могут возникнуть при вводе в действие новой техники, программ, данных или из-за ошибок в планировании. При этом необходимо также предусмотреть, каким образом существующая система защиты может быть адаптирована к возникающим новым ситуациям.

Таким образом, составление плана защиты -- сложный и трудоемкий процесс, требующий значительных исследований и затрат. В то же время чрезмерное увлечение сбором и анализом данных об АСОИБ и ее неформальных спецификаций может чересчур оттянуть и усложнить практическую реализацию мер по защите. Т.е. план должен строится на глубоком анализе ситуации, но в то же время оставаться в рамках здравого смысла, не погружаясь в излишнюю формализацию и бюрократизацию.

2.2 Подходы к защите информации в автоматизированных системах банков

Каждую систему обработки информации защиты следует разрабатывать индивидуально учитывая следующие особенности:

организационную структуру банка;

объем и характер информационных потоков (внутри банка в целом, внутри отделов, между отделами, внешних);

количество и характер выполняемых операций: аналитических и повседневных (один из ключевых показателей активности банка -- число банковских операций в день, является основой для определения параметров системы);

количество и функциональные обязанности персонала;

количество и характер клиентов;

график суточной нагрузки.

Защита АСОИБ должна разрабатываться для каждой системы индивидуально, но в соответствии с общими правилами. Построение защиты предполагает следующие этапы:

- анализ риска, заканчивающийся разработкой проекта системы защиты и планов защиты, непрерывной работы и восстановления;

- реализация системы защиты на основе результатов анализа риска;

- постоянный контроль за работой системы защиты и АСОИБ в целом (программный, системный и административный).

На каждом этапе реализуются определенные требования к защите; их точное соблюдение приводит к созданию безопасной системы.

На сегодняшний день защита АСОИБ -- это самостоятельное направление исследований. Поэтому легче и дешевле использовать для выполнения работ по защите специалистов, чем дважды учить своих людей (сначала их будут учить преподаватели, а потом они будут учиться на своих ошибках).

Главное при защите АСОИБ специалистами (естественно после уверенности в их компетенции в данном вопросе) -- наличие здравого смысла у администрации системы. Обычно, профессионалы склонны преувеличивать реальность угроз безопасности АСОИБ и не обращать внимания на такие “несущественные детали” как удобство ее эксплуатации, гибкость управления системой защиты и т.д., без чего применение системы защиты становится трудным делом. Построение системы защиты -- это процесс поиска компромисса между уровнем защищенности АСОИБ и сохранением возможности работы в ней. Здравый смысл помогает преодолеть большинство препятствий на этом пути.

...