Реферат
Інформацiйна безпека
й iнформацiйнi технологiї
На ранньому етапi автоматизацiї впровадження банкiвських систем (i взагалi засобiв автоматизацiї банкiвської дiяльностi) не пiдвищувало вiдкритiсть банку. спiлкування з зовнiшнiм свiтом, як i колись, йшло через операцiонiстiв i кур'єрiв, тому додаткова погроза безпеки iнформацiї виникала лише вiд можливих зловживань з боку фахiвцiв, що працювали в самому банку, по iнформацiйних технологiях.
по картках йшло в режимi голосової авторизацiї, вiдкритiсть iнформацiйної системи банка пiдвищувалася незначно, але потiм з'явилися банкомати, POS-термiнали, iншi пристрої самообслуговування - те є засобу, що належать до iнформацiйної системи банку, але розташованi поза нею i доступнi стороннiм для банку обличчям.
Вiдкритiсть системи, що пiдвищилася, зажадала спецiальних мiр для контролю i регулювання обмiну iнформацiєю: додаткових засобiв iдентифiкацiї й аутентифiкацiїї обличчя, що запитують доступ до системи (PIN-код, iнформацiя про клiєнта на магнiтнiй чи смузi в пам'ятi мiкросхеми картки, шифрування даних, контрольнi числа й iншi засоби захисту карток), засобiв криптозахисту iнформацiї в каналах зв'язку i т. д.
обмiну iнформацiєю виступають самi банки. Проте, там, де захисту не придiлялася необхiдна увага, результати були цiлком передбачуванi. Найбiльш кричущий до жалю, наша країна. Використання вкрай примiтивних засобiв захисту телекомунiкацiй у 1992 р. привело до величезних утрат на фальшивих авiзо.
i в першу чергу системи Home Banking (вiтчизняний аналог—“клiєнт-банк”). Це зажадало забезпечити клiєнтам цiлодобовий доступ до автоматизованої банкiвської системи для проведення операцiй, причому повноваження на здiйснення банкiвських транзакцiї одержав безпосередньо клiєнт. Ступiнь вiдкритостi iнформацiйної системи банку зросла майже до межi. Вiдповiдно, вимагаються особливi, спецiальнi мiри для того, щоб настiльки ж значно не упала її захищенiсть.
Нарештi, гримнула епоха “iнформацiйної супермагiстралi”: взривоподiбний розвиток мережi Internet i зв'язаних з нею послуг. Разом з новими можливостями ця мережа принесла i новi небезпеки. Здавалося б, яка рiзниця, яким образом клiєнт зв'язується з банком: по лiнiї, що комутується, прихожої на модемний пул банкiвського вузла зв'язку, чи по IP-протоколi через Internet? Однак у першому випадку максимально можлива кiлькiсть пiдключень обмежується технiчними характеристиками модемного пула, у другому же-можливостями Internet, що можуть бути iстотно вище. Крiм того, мережна адреса банку, у принципi, загальнодоступний, тодi як телефоннi номери модемного пула можуть повiдомлятися лише зацiкавленим особам. Вiдповiдно, вiдкритiсть банку, чия iнформацiйна система зв'язана з Internet, значно вище, нiж у першому випадку. Так тiльки за п'ять мiсяцiв 1995 р. комп'ютерну мережу Citicorp зламували 40 разiв! (Це свiдчить, утiм, не стiльки про якiйсь “небезпецi” Internet узагалi, скiльки про недостатньо квалiфiковану роботу адмiнiстраторiв безпеки Citicorp.)
Усе це викликає необхiднiсть перегляду пiдходiв до забезпечення iнформацiйної безпеки банку. Пiдключаючи до Internet, варто заново провести аналiз ризику i скласти план захисту iнформацiйної системи, а також конкретний план лiквiдацiї наслiдкiв, що виникають у випадку тих чи iнших порушень конфiденцiйностi, схоронностi i приступностi iнформацiї.
На перший погляд, для нашої країни проблема iнформацiйної безпеки банка не настiльки гостра: до Internet чи нам, якщо в бiльшостi банкiв коштують системи другого поколiння, що працюють у технологiї “сервер-файл-сервер”. На жаль, i в нас уже зареєстрованi “комп'ютернi крадiжки”. Положення ускладнюється двома проблемами. Насамперед, як показує досвiд спiлкування з представниками банкiвських служб безпеки, i в керiвництвi, i серед персоналу цих служб переважають колишнi оперативнi спiвробiтники органiв внутрiшнiх чи справ держбезпеки. Вони мають високу квалiфiкацiю у своїй областi, але здебiльшого слабко знайомi з iнформацiйними технологiями. Фахiвцiв з iнформацiйної безпеки в нашiй країнi узагалi вкрай мало, тому що масової ця професiя стає тiльки зараз.
Друга проблема зв'язана з тим, що в дуже багатьох банках безпека автоматизованої банкiвської системи не аналiзується i не забезпечується всерйоз. Дуже мало де мається той необхiдний набiр органiзацiйних документiв (аналiз ризику, план захисту i план лiквiдацiї наслiдкiв), про яке говорилося вище. Бiльш того, безпека iнформацiї суцiльно i поруч просто не може бути забезпечена в рамках наявної в банку автоматизованої системи i прийнятих правил роботи з нею.
Не дуже давно читаючи лекцiю про основи iнформацiйної безпеки на одному iз семiнарiв для керiвникiв керувань автоматизацiї комерцiйних банкiв. На питання: “чи знаєте ви, скiльки чоловiк мають право входити в примiщення, де знаходиться сервер бази даних Вашого банку?”, ствердно вiдповiло не бiльш 40% присутнiх. Поiменно назвати тих, хто має таке право, змогли лише 20%. В iнших банках доступ у це примiщення не обмежений i нiяк не контролюється. Що говорити про доступ до робочих станцiй!
рядка DOS на робочих станцiях. Оператор має можливiсть у будь-який момент вийти в DOS з такого програмного модуля. Передбачається, що це необхiдно для переходу в iнший програмний модуль, але фактично в такiй системi не iснує нiяких способiв не тiльки виключити запуск оператором будь-яких iнших програм (вiд необразливої гри до програми, що модифiкує данi банкiвських рахункiв), але i проконтролювати дiї оператора. Варто помiтити, що в рядi систем цих поколiнь, у тому числi розроблених дуже шановними вiтчизняними фiрмами i продаваних сотнями, файли рахункiв не шифруються, тобто з даними в них можна ознайомитися найпростiшими загальнодоступними засобами. Багато розроблювачiв обмежують засоби адмiнiстрування безпеки штатними засобами мережної операцiйної системи: ввiйшов у мережу -i роби, що хочеш.
Положення мiняється, але занадто повiльно. Навiть у багатьох нових розробках питанням безпеки придiляється явно недостатня увага. На виставцi “Банк i Офiс -i 95” була представлена автоматизована банкiвська система з архiтектурою сервер-клiєнт-сервер, причому робочi станцiї функцiонують пiд Windows. У цiй системi дуже своєрiдно вирiшений вхiд оператора в програму: у дiалоговому вiкнi запитується пароль, а потiм пред'являється на вибiр список прiзвищ всiх операторiв, що мають право працювати з даним модулем! Таких прикладiв можна привести ще багато.
Проте, нашi банки придiляють iнформацiйним технологiям багато уваги, i досить швидко засвоюють нове. Мережа Internet i фiнансовi продукти, зв'язанi з нею, ввiйдуть у життя банкiв Росiї швидше, нiж це припускають скептики, тому вже зараз необхiдно затурбуватися питаннями iнформацiйної безпеки на iншому, бiльш професiйному рiвнi, чим це робилося дотепер.
Деякi рекомендацiї:
Інформацiйна безпека повинна розглядатися як складова частина загальної безпеки причому як важлива i невiд'ємна її частина. Розробка концепцiї iнформацiйної безпеки повинна обов'язково проходити при участi керування безпеки банку. У цiй концепцiї варто передбачати не тiльки мiри, зв'язанi з iнформацiйними технологiями (криптозахисту, програмнi засоби адмiнiстрування прав користувачiв, їхньої iдентифiкацiї й аутентифиiацiї, “брандмауери” для захисту входiв-виходiв мережi i т. п.), але i мiри адмiнiстративного i технiчного характеру, включаючи твердi процедури контролю фiзичного доступу до автоматизованої банкiвської системи, а також засобу синхронiзацiї й обмiну даними мiж модулем адмiнiстрування безпеки банкiвської системи i системою охорони.
2. Необхiдна участь спiвробiтникiв керування безпеки на етапi вибору-придбання-розробки автоматизованої банкiвської системи. Це участь не повинна зводитися до перевiрки фiрми-постачальника. Керування безпеки повинне контролювати наявнiсть належних засобiв розмежування доступу до iнформацiї в системi, що здобувається.
На жаль, нинi дiючi системи сертифiкацiї в областi банкiвських систем скорiше вводять в оману, чим допомагають вибрати засобу захисту iнформацiї. Сертифiкувати використання таких засобiв має право ФАПСИ, однак правом своїм цей орган користається дуже своєрiдно. Так, один високопоставлений спiвробiтник ЦБ РФ розповiв, що ЦБ витратив досить багато часу i грошей на одержання сертифiката на один iз засобiв криптозахисту iнформацiї (до речi, розроблене однiєї з органiзацiй, що входять у ФАПСИ). Майже вiдразу ж пiсля одержання сертифiката вiн був вiдкликаний: ЦБ було запропоновано знову пройти сертифiкацiю вже з новим засобом криптозахисту розробленим тiєю же органiзацiєю з ФАПСИ.
про те, що при первiсному сертифiцированiї ФАПСИ щось упустило, а потiм знайшло дефект. Отже, даний продукт не забезпечує криптозахисту i не забезпечував її iз самого початку.
Якщо ж, як припускають користувачi бiльш спокушенi, ФАПСИ вiдкликало сертифiкат не через огрiхи в першому продуктi, то значення сертифiкацiї цим агентством чого б те нi було зводиться до нуля. Дiйсно, раз “деякi” комерцiйнi розумiння переважають над об'єктивною оцiнкою продукту, то хто може гарантувати, що в перший раз сертифiкат був виданий завдяки високiй якостi продукту, а не по тим же “деяким” розумiнням?
Звiдси випливає третя практична рекомендацiя: вiдноситися сугубо обережно до будь-яких сертифiкатiв i вiддавати перевагу тим продуктам, надiйнiсть яких пiдтверджена успiшним використанням у свiтовiй фiнансовiй практицi. Безпека в мережi Internet
|
