Загальні принципи захисту інформації в банківських автоматизованих системах

Козаченко І.П., Голубєв В.О.
20.05.2005 | 14:06
В умовах широкого застосування обчислювальної техніки і засобів обміну інформацією поширюються можливості її просочення та несанкціонованого доступу до неї зі злочинною метою. Особливо уразливими сьогодні залишаються незахищені системи зв'язку, в тому числі обчислювальні мережі. Інформація, циркулююча в них, може бути незаконно змінена, викрадена або знищена. Останнім часом у засобах масової інформації з'явилося безліч сенсаційних повідомлень про факти злочинних впливів на автоматизовані системи обробки, зберігання і передачі інформації, особливо в кредитно-банківській діяльності.

За деякими даними, в промислово розвинених країнах середній збиток від одного злочину в сфері комп`ютерної інформації близький до 450 тис. дол., а щорічні сумарні втрати в США і Західній Європі, за даними, що наводять Гайкович В та Прешин А. [1], досягають 100 млрд. і 35 млрд. дол. В останні десятиріччя зберігалася стійка тенденція до зросту збитків, пов'язаних з злочинністю в сфері комп'ютерної інформації. В пресі та літературі наводиться багато подібних прикладів.

Комерційним і фінансовим установам доводиться реалізовувати широкий набір заходів, щоб захистити себе від таких злочинів. Наслідки недооцінки питань безпеки можуть виявитися вельми сумними. Досить згадати про великі суми, викрадені за допомогою підробних авізо. На жаль, досвід західних фірм дає небагато підстав сподіватися, що цей перелік не буде продовжений у майбутньому в нашій країні.

Найбільшу небезпеку для банків представляє інформаційна незахищеність, тому при вирішенні даної проблеми банку необхідно враховувати те, що однією з головних умов стабільного функціонування кожного банку - є обмін інформацією. Розглянемо питання інформаційної безпеки більш детально.

З метою протидії злочинам у сфері комп`ютерної інформації або зменшення збитків від них необхідно грамотно вибирати заходи і засоби забезпечення захисту інформації від просочування та несанкціонованого доступу до неї. Необхідно знати також основні законодавчі положення в цій області, організаційні, програмно-технічні та інші заходи забезпечення безпеки інформації.

Актуальність даної проблеми пов'язана із зростанням можливостей обчислювальної техніки. Розвиток засобів, методів і форм автоматизації процесів обробки інформації і масове застосування персональних комп'ютерів роблять інформацію набагато більш уразливої. Основними чинниками, які сприяють підвищенню її уразливості, є:
  • збільшення обсягів інформації, що накопичується, зберігається та обробляється за допомогою комп'ютерів;
  • зосередження в базах даних інформації різного призначення і різної приналежності;
  • розширення кола користувачів, що мають безпосередній доступ до ресурсів обчислювальної системи та масивів даних;
  • ускладнення режимів роботи технічних засобів обчислювальних систем;
  • обмін інформацією в локальних та глобальних мережах, в тому числі на великих відстанях.

У всіх аспектах забезпечення захисту інформації основним елементом є аналіз можливих дій щодо порушення роботи банківських автоматизованих систем.

Під такими діями ми будемо розуміти такі, що підвищують уразливість інформації, яка обробляється в автоматизованій системі, приводять до її просочення, випадкової або навмисної зміни або знищення.

Випадкові загрози включають у себе помилки, пропуски тощо, а також події, що не залежать від людини, наприклад природні явища або викликані діяльністю людини. Заходи захисту від них - в основному організаційні.

До помилок апаратних і програмних засобів відносяться пошкодження комп'ютерів і периферійних пристроїв (магнітних носіїв тощо), помилки в прикладних програмах. До помилок через неуважність, які досить часто виникають під час технологічного циклу обробки, передачі або зберігання даних, відносяться помилки користувача, оператора або програміста, втручання під час виконання програм, пошкодження носіїв інформації та інші. Навмисні загрози можуть реалізуватися учасниками процесу обробки інформації (внутрішні) і "хакерами"(зовнішні).

За частотою вияву навмисні загрози можна розташувати в такому порядку:
  • копіювання і крадіжка програмного забезпечення;
  • несанкціоноване введення даних;
  • зміна або знищення даних на магнітних носіях;
  • саботаж;
  • крадіжка інформації;
  • несанкціоноване використання ресурсів комп'ютерів;
  • несанкціоноване використання банківських автоматизованих систем;
  • несанкціонований доступ до інформації високого рівня секретності.

За визначенням А.І. Куранова, під втручанням у роботу АС треба розуміти будь-які зловмисні дії, що впливають на обробку інформації в АС, тобто на всю сукупність операцій (зберігання, введення, записування, перетворення, зчитування, зберігання, знищення, реєстрація), що здійснюються за допомогою технічних і програмних засобів, включаючи обмін через канали передачі даних. При втручанні в роботу автоматизованої системи здійснюється її порушення, яке спричиняє спотворення процесу обробки інформації, внаслідок чого перекручується або знищується сама інформація чи її носії.

Під знищенням інформації мається на увазі її втрата, коли інформація в АС перестає існувати для фізичних і юридичних осіб, які мають право власності на неї в повному чи обмеженому обсязі. Як знищення, втрату інформації треба розглядати і її блокування, тобто припи-нення доступу до інформації користувачам АС. Втручання в роботу АС може бути і в формі впливу на канали передачі інформації як між технічними засобами її обробки і зберігання всередині АС, так і між окремими АС, внаслідок чого інформація, що передається, знищується чи перекручується.

Під перекрученням інформації слід розуміти зміну її змісту, порушення її цілісності, в тому числі і часткове знищення.

Навмисні дії щодо порушення роботи автоматизованих систем призводять до безпосереднього розкриття або зміни даних. Шкідливі програми інколи неправильно ототожнюють з комп'ютерними вірусами, тоді як віруси - лише одні з численних видів шкідливих програм. Особа, яка здійснює несанкціоновану дію з метою підвищення уразливості інформації, ми будемо називати зловмисником. Дії зловмисника можна розділити на чотири основні категорії:
  1. Переривання - припинення нормальної обробки інформації, наприклад, внаслідок руйнування обчислювальних засобів. Зазначимо, що переривання може мати серйозні наслідки навіть у тому випадку, коли сама інформація ніяких впливів не зазнає.
  2. Крадіжка, розкриття - читання або копіювання інформації з метою отримання даних, які можуть бути використані або зловмисником, або третьою стороною.
  3. Модифікація (зміна) інформації.
  4. Руйнування - безповоротна зміна інформації, наприклад стирання даних з диска.

У загальній системі забезпечення безпеки банку системи захисту інформації відіграють істотну роль, серед яких виділяють наступні засоби захисту:
  • фізичний;
  • законодавчій;
  • організаційний;
  • програмно-технічний.

Фізичні засоби захисту засновані на створенні фізичних перешкод для зловмисника, які перегороджують йому шлях до інформації (сувора система пропуску на територію і в приміщення з апаратурою або з носіями інформації). Ці засоби дають захист тільки від "зовнішніх" зловмисників і не захищають інформацію від тих осіб, які володіють правом входу в приміщення. До законодавчих засобів захисту відносяться законодавчі акти, які регламентують правила використання й обробки інформації обмеженого доступу і встановлюють кримінальну відповідальність за порушення цих правил.
Під організаційним розуміється захист інформації шляхом регулювання доступу до всіх ресурсів системи (технічним засобам, система безпеки телекомунікацій та зв`язку, програмним елементам тощо). У автоматизованих системах інформаційного забезпечення повинні бути регламентовані порядок роботи користувачів і персоналу, право доступу до інформації, окремим файлам та базам даних.

З програмно-технічних засобів особливо в комп'ютерних мережах найбільш ефективні криптографічні засоби захисту інформації. Коли фізичні засоби захисту можуть бути подолані шляхом, наприклад, дистанційного нагляду, підключення до мережі або підкупу персоналу, а організаційні не гарантують від проникнення зловмисників, то програмно-технічні, і насамперед, криптографічні методи, якщо вони задовольняють відповідним вимогам, характеризуються найбільшою мірою "міцності".

Вибір засобів захисту інформації в банківських автоматизованих системах - складна задача, при розв'язанні якої потрібно враховувати різні можливі дії щодо порушення роботи такої системи, вартість реалізації різних засобів захисту і наявність різних зацікавлених сторін. При виборі таких засобів важливо знати, що сучасна наука має в своєму розпорядженні методи, що дозволяють вибрати таку сукупність засобів захисту, яка забезпечить максимізацію міри безпеки інформації при даних витратах або мінімізацію витрат при заданому рівні безпеки інформації.

Одним із найважливіших видів інформації в банку є гроші в електронному вигляді, тому у фундаменті захисту інформації в автоматизованих банківських системах находиться захист електронного грошового обігу. Крім цього, інформація в банківських системах зачіпає інтереси великої кількості людей та організацій - клієнтів банку. Ця інформація має обмежений доступ і банк несе відповідальність за забезпечення надійного рівня її захисту перед клієнтами та державою.

Банківські служби безпеки сьогодні велику увагу приділяють питанням фізичного захисту (маючи на увазі грати на вікнах, технічні засоби захисту та ін.). Питання комп'ютерної безпеки залишаються у веденні служб супроводу і впровадження програмного забезпечення. Кваліфікованих розробників програмного забезпечення і системних програмістів в таких службах досить багато, але фахівців в області систем комп'ютерної безпеки практично немає.

Рівень відповідності програмного забезпечення функціональним задачам банку, що розробляється, можна оцінювати по різному. Однак, у всіх цих систем є загальний недолік - відсутня комплексна система захисту інформації, вони не сертифіковані на кваліфікаційні вимоги безпеки, а існуючі засоби і методи захисту інформації в таких системах, як правило, зарубіжного виробництва або розроблені самостійно програмістами банку.

Розглянемо питання, пов'язані з наданням існуючими програмними системами послуг в області захисту інформації. Зазначимо, що засоби розробки програмного забезпечення різноманітні: починаючи від С, С++, Clarion і закінчуючи могутніми засобами проектування інформаційних систем - CASE-засобами, розподіленими базами даних і мережевими системами. Розробники ретельно продумують інтерфейсні зв'язки всередині системи і спілкування з користувачем, продумують алгоритми прискореного пошуку в базах даних, структуру файлів. При цьому вибір засобів розробки системи (програмної мови реалізації) нерідко проводиться, виходячи з числа програмістів, що вміють працювати в тому або іншому оточенні; при проектуванні системи не проводиться аналіз поширеності форматів даних, що використовуються, і можливості їх конвертування в інші формати, що легко відображаються. Отримана в результаті такого проектування система виконує добре продумані і чітко реалізовані функції, але дані зберігаються в форматі, який легко читається будь-яким редактором текстів, або ж їх можна конвертувати в інші, більш поширені формати даних. У цьому випадку в системі забезпечений високий рівень надійності обробки і зберігання, а також фізичної цілісності даних, але рівень безпеки інформації є надто низьким. При установці такого програмного продукту в банку потрібні серйозні заходи організаційного і технічного характеру для досягнення необхідного рівня захищеності інформації.

Як висновок треба зазначити, що кваліфікований підхід до побудови системи захисту інформації в банківських АС має на увазі конкретну оцінку імовірності вияву кожної загрози на конкретній банківській системі.

Таким чином, кожному банку, в залежності від конкретних умов його роботи, потрібна персональна система захисту інформації. Побудова такої системи можлива лише на аудиторських умовах спеціально залученими фахівцями і фірмами, що мають ліцензію на вказаний характер діяльності.

Розглянувши загальні принципи захисту інформації в банківських автоматизованих системах, потрібно зазначити, що комплексний захист інформації в банківських автоматизованих системах має в своєї основі використання фізичних, законодавчих, організаційних та програмно-технічних засобів захисту. Такі засоби повинні забезпечувати ідентифікацію та аутентифікацію користувачів, розподіл повноважень доступу до системи, реєстрацію та облік спроб несанкціонованого доступу. Організаційні заходи захисту інформації в банківських комп`ютерних системах, як правило, спрямовані на чіткий розподіл відповідальності при роботі персоналу з інформацією, створення декількох рубежів контролю, запобігання навмисному або випадковому знищенню та модифікації інформації.

СПИСОК ВИКОРИСТАНИХ ДЖЕРЕЛ
  1. Гайкович В., Прешин А. Безопасность электронных банковских систем.- М.: Единая Европа, 1994.
  2. Голубєв В.О. Комп'ютерні злочини в банківській діяльності.-З.:Павел, 1997.-133 с.
  3. Голубєв В.О. Програмно-технічні засоби захисту інформації від комп'ютерних злочинів.- З.: Павел, 1998.-144 с.
  4. Куранов А. И. Безопасность банковской информации. //Сис-темы безопасности. - 1995, № 4.
  5. Абалмазов Э. И. Экспертная оценка проблемы безопасности банков. //Системы безопасности. - 1995, № 6.
  6. Уголовный кодекс Украины: научно-практический комментарий. - Киев: Фіта, 1995.-862 с.

ISBN 966-95343-1-3

©Авторський колектив, 1998
© "Інформаційні технології та захист інформації", 1998
©Запорізький юридичний інститут, 1998