Информационная безопасность банковской информации

Раздел 3. Глава 5. Информационная безопасность банковской информации.

     5.1 Значение и роль защиты банковской  информации.

     Со  времени своего появления банки  неизменно вызывали преступный интерес. И этот интерес был связан не только с хранением в кредитных организациях денежных средств, но и с тем, что  в банках сосредотачивалась важная и часто секретная информация о финансовой и хозяйственной деятельности многих людей, компаний, организаций и даже целых государств. Так, еще в XVIII веке недоброжелатели известного Джакомо Казановы опубликовали закрытые данные о движении средств по его счету в одном из парижских банков. Из этой информации следовало, что организованная Казановой государственная лотерея приносила доход не только казне, но и (в не меньших масштабах) ему лично [1, с.4].

     В наши дни в связи с всеобщей информатизацией и компьютеризацией банковской деятельности значение информационной безопасности банков многократно возросло. Еще 30 лет назад объектом информационных атак были данные о клиентах банков или о деятельности самого банка. Такие атаки были редкими, круг их заказчиков был очень узок, а ущерб мог быть значительным лишь в особых случаях. В настоящее время в результате повсеместного распространения электронных платежей, пластиковых карт, компьютерных сетей объектом информационных атак стали непосредственно денежные средства, как банков, так и их клиентов. Совершить попытку хищения может любой — необходимо лишь наличие компьютера, подключенного к сети Интернет. Причем для этого не требуется физически проникать в банк, можно «работать» и за тысячи километров от него.

     Компьютеризация банковской деятельности позволила  значительно повысить производительность труда сотрудников банка, внедрить новые финансовые продукты и технологии. Однако прогресс в технике преступлений шел не менее быстрыми темпами, чем  развитие банковских технологий. В  настоящее время свыше 90% всех преступлений связана с использованием автоматизированных систем обработки информации банка (АСОИБ) [2, с.17]. Следовательно, при создании и модернизации АСОИБ банкам необходимо уделять пристальное внимание обеспечению ее безопасности. Эта проблема является сейчас наиболее актуальной и наименее исследованной. Если в обеспечении физической и классической информационной безопасности давно уже выработаны устоявшиеся подходы, то в связи с частыми радикальными изменениями в компьютерных технологиях методы безопасности АСОИБ требуют постоянного обновления. Как показывает практика, не существует сложных компьютерных систем, не содержащих ошибок. А поскольку идеология построения крупных АСОИБ регулярно меняется, то исправления найденных ошибок в системах безопасности хватает ненадолго, так как новая компьютерная система приносит новые проблемы и новые ошибки, заставляет по-новому перестраивать систему безопасности.

     По  мере развития и расширения сферы  применения средств вычислительной техники, острота проблемы обеспечения безопасности вычислительных систем и защиты, хранящейся и обрабатываемой в них информации от различных угроз, все более возрастает. Для этого есть целый ряд объективных причин.

     Основная из них — возросший уровень доверия к автоматизированным системам обработки информации. Им доверяют самую ответственную работу, от качества которой зависит жизнь и благосостояние многих людей. ЭВМ управляют технологическими процессами на предприятиях и атомных электростанциях, движениями самолетов и поездов, выполняют финансовые операции, обрабатывают секретную информацию.

     Целостную картину всех возможностей защиты создать  довольно сложно, поскольку пока еще  нет единой теории защиты компьютерных систем. Существует много подходов и точек зрения на методологию  ее построения. Тем не менее, в этом направлении прилагаются серьезные  усилия, как в практическом, так  и в теоретическом плане, используются самые последние достижения науки, привлекаются передовые технологии. Известны различные варианты защиты информации — от охранника на входе до математически выверенных способов сокрытия данных от ознакомления. Кроме того, можно говорить о глобальной защите и ее отдельных аспектах: защите персональных компьютерах, сетей, баз данных и др.

     Необходимо  отметить, что абсолютно защищенных систем нет. Можно говорить о надежности системы, во-первых, лишь с определенной вероятностью, а во-вторых, о защите от определенной категории нарушителей.

     Организация защиты АСОИБ — это единый комплекс мер, которые должны учитывать все  особенности процесса обработки  информации. Несмотря на неудобства, причиняемые  пользователю во время работы, во многих случаях средства защиты могут оказаться  совершенно необходимыми для нормального  функционирования системы. К основным из упомянутых неудобств следует отнести:

     1. Дополнительные трудности работы  с большинством защищенных систем.

     2. Увеличение стоимости защищенной  системы.

     3. Дополнительная нагрузка на системные  ресурсы, что потребует увеличения  рабочего времени для выполнения  одного и того же задания  в связи с замедлением доступа  к данным и выполнения операций  в целом.

     4. Необходимость привлечения дополнительного  персонала, отвечающего за поддержание  работоспособности системы защиты.

     Современный банк трудно представить себе без  автоматизированной информационной системы. Связь компьютеров между собой и с более мощными компьютерами, а также с ЭВМ других банков — также необходимое условие успешной деятельности банка — слишком велико количество операций, которые необходимо выполнить в течении короткого периода времени.

     В то же время информационные системы  становятся одной из наиболее уязвимых сторон современного банка, притягивая к себе злоумышленников, как из числа персонала банка, так и со стороны. Оценки потерь от преступлений, связанных с вмешательством в деятельность информационной системы банков, очень сильно разнятся. Сказывается разнообразие методик для их подсчета.[3, с.56]

     Уровень оснащенности средствами автоматизации  играет немаловажную роль в деятельности банка и, следовательно, напрямую отражается на его положении и доходах. Усиление конкуренции между банками приводит к необходимости сокращения времени  на производство расчетов, увеличения номенклатуры и повышения качества предоставляемых услуг. Чем меньше времени будут занимать расчеты между банком и клиентами, тем выше станет оборот банка и, следовательно, прибыль. Кроме того, банк более оперативно сможет реагировать на изменение финансовой ситуации.

     Чтобы обезопасить себя и своих клиентов, большинство банков предпринимают  необходимые меры защиты, в числе  которых защита АСОИБ занимает не последнее место. При этом необходимо учитывать, что защита АСОИБ банка  — дорогостоящее и сложное  мероприятие. [4]

     Проведенные опросы свидетельствуют о том, что чаще всего происходят не такие нарушения, как нападения хакеров или кража компьютеров с ценной информацией, а самые обыкновенные, проистекающие из повседневной деятельности. В то же время именно умышленные атаки на компьютерные системы приносят наибольший единовременный ущерб, а меры защиты от них наиболее сложны и дорогостоящи. В этой связи проблема оптимизации защиты АСОИБ является наиболее актуальной в сфере информационной безопасности банков.

       5.2 Средства обеспечения безопасности банковской информации.

Управление системой обеспечения безопасности информации представляет собой целенаправленное воздействие на компоненты системы  обеспечения безопасности (организационные, технические, программные и криптографические) с целью достижения требуемых показателей и норм защищенности циркулирующей в информационной системе Банка информации в условиях реализации основных угроз безопасности.

Главной целью  организации управления системой обеспечения  безопасности информации является повышение  надежности защиты информации в процессе ее обработки, хранения и передачи. [5]

Целями управления системой обеспечения безопасности информации являются:

- на этапе создания и ввода в действие новых информационных технологий:

• разработка и реализация технических программ и координационных планов создания нормативно-правовых основ и технической базы, обеспечивающей использование передовых средств и технологий обработки и передачи информации в защищенном исполнении в интересах обеспечения безопасности информации;
• организация и координация взаимодействия в этой области разработчиков;
• создание действенной организационной структуры, обеспечивающей комплексное решение задач безопасности информации при функционировании компонентов информационных технологий;

- на этапе эксплуатации компонентов информационной системы:

• обязательное и неукоснительное выполнение предусмотренных на этапе создания процедур, направленных на обеспечение безопасности информации, всеми задействованными в системе участниками, эффективное пресечение посягательств на информационные ресурсы, технические средства и информационные технологии, своевременное выявление негативных тенденций и совершенствование управления в области защиты информации.

Управление системой обеспечения безопасности информации реализуется специализированной подсистемой, представляющей собой совокупность органов управления, технических, программных  и криптографических средств  и организационных мероприятий  и взаимодействующих друг с другом пунктов управления различных уровней. Функциями подсистемы управления являются: информационная и управляющая.

Информационная  функция заключается в непрерывном  контроле состояния системы защиты, проверке соответствия показателей  защищенности допустимым значениям  и немедленном информировании о  возникающих в ситуациях, способных  привести к нарушению безопасности информации. К контролю состояния системы защиты предъявляются два требования: полнота и достоверность. Полнота характеризует степень охвата всех средств защиты и параметров их функционирования. Достоверность контроля характеризует степень адекватности значений контролируемых параметров их истинному значению. В результате обработки данных контроля формируется информация состояния системы защиты. [6]

Управляющая функция  заключается в формировании планов реализации технологических операций с учетом требований безопасности информации в условиях, сложившихся для данного  момента времени, а также в  определении места возникновения ситуации уязвимости информации и предотвращении ее утечки за счет оперативного блокирования участков информационной системы, на которых возникают угрозы безопасности информации. К управляющим функциям относятся учет, хранение, и выдача документов и информационных носителей, паролей и ключей. При этом генерация паролей, ключей, сопровождение средств разграничения доступа, а также контроль за ходом технологического процесса обработки секретной (конфиденциальной) информации возлагается на сотрудников подразделений информационной безопасности.

Для обеспечения  информационной безопасности Банка  используются следующие средства защиты:

• физические средства;
• технические средства;
• средства идентификации и аутентификации пользователей;
• средства разграничения доступа;
• средства обеспечения и контроля целостности;
• средства оперативного контроля и регистрации событий безопасности;
• криптографические средства.

Средства защиты должны применяться ко всем чувствительным ресурсам информационной системы Банка, независимо от их вида и формы представления  информации в них.

 5.3 Система информационной безопасности ОАО КБ «Восточный экспресс банк»

     ОАО КБ «Восточный экспресс банк» оснащен информационной системой необходимой для автоматизации процессов, сбора информации, анализа данных и принятия решений. Так же существует отдел автоматизированной обработки информации.

     Структурная модель позволяет выполнять функции, возлагаемые на систему. Информационная система состоит из следующих элементов:

• автоматизированных рабочих мест (АРМ), с которых операторы вводят, запрашивают информацию, поступающую в устной или письменной форме;
• выход в Интернет;
• сервера обработки, на котором установлена система управления базами данных (СУБД) и производится автоматизированный анализ текущей ситуации;
• сервера резервного копирования;
• автоматизированного рабочего места администратора информационной безопасности;
• автоматизированного рабочего места администратора.
• автоматизированного рабочего места бухгалтера.
• автоматизированного рабочего места руководства.