- •А.П. Пархоменко а.Ф. Мешкова р.В. Менжулин основные проблемы и особенности защиты информации в банковских системах: модели нарушителей
- •1Воронеж 2008
- •2Воронеж 2008
- •Введение
- •1.Основные проблемы и особенности защиты информации в банковских системах.
- •1.1 Основные понятия, термины и определения.
- •1.1.1 Информация и информационные отношения в автоматизированных банковских системах. Субъекты информационных отношений, их безопасность в автоматизированных банковских системах.
- •1.1.2 Определение требований к защищенности информации в автоматизированных банковских системах.
- •1.2 Особенности автоматизированных банковских систем как объекта защиты информации.
- •1.2.1 Автоматизированные платежные системы.
- •1.2.2 Основные принципы и подходы к защите апбс.
- •1.2.3 Особенности платежных систем.
- •1.2.4 Автоматизированные информационные системы.
- •1.2.5 Основные принципы и подходы к защите автоматизированных информационных систем.
- •1.3 Особенности защиты информации в автоматизированных банковских системах.
- •1.3.1 Защита от физического доступа.
- •1.3.2 Защита резервных копий в автоматизированных банковских системах.
- •1.3.3 Защита от инсайдеров.
- •1.4 Основные проблемы защиты информации в автоматизированных банковских системах.
- •1.5 Проблемы правовой и организационно - технической защиты коммерческой и банковской тайны как видов конфиденциальной информации.
- •2. Модели нарушителей и риски в автоматизированных банковских системах.
- •2.1 Анализ проблем оценки и управления рисками информационной безопасности в автоматизированных банковских системах.
- •2.2 Анализ инструментальных средств оценки и управления рисками информационной безопасности.
- •2.3 Неформальная модель нарушителя в банковских системах
- •2.4 Модель нарушителя и эффективность защиты.
- •3. Оценки рисков информационной безопасности.
- •3.1 Оценка рисков информационной безопасности на основе алгоритма Мамдани.
- •Заключение
- •Список используемых информационных источников
- •394026 Воронеж, Московский просп., 14
1.4 Основные проблемы защиты информации в автоматизированных банковских системах.
Реализация угроз несанкционированного использования информации наносит сейчас гораздо больший ущерб, чем, например, "случайные" пожары в помещении банка или физическое воздействие на сотрудников банка. Однако затраты банков на построение системы защиты информации несоизмеримо малы по сравнению с затратами на защиту от грабителей или на противопожарную защиту. В результате современный коммерческий банк с мощными и дорогостоящими системами автоматизации и хорошо вооруженной охраной на входе напоминает "бастион".
Банковская компьютерная автоматизированная система по обработке информации прекрасно помогает ускорить и облегчить работу. Однако она же несет страшную опасность - возможность проникнуть в сокровенные планы и замыслы и использовать их отнюдь не во благо банков 32.
Примеров подтверждающих это сейчас уже достаточно много, однако они скромно замалчиваются руководителями банков. При этом конструктивных выводов о необходимости построения квалифицированной системы защиты информации, к сожалению, не делается.
В результате анализа степени защищенности автоматизированных банковских систем ряда банков из всей огромной номенклатуры угроз защищенности информации в сложившейся сегодня обстановке, можно выделить наиболее вероятные и разрушительные. Перечислим их:
1.Вирусные угрозы;
2.Угрозы несанкционированного чтения и модификации информации;
3.Непредумышленные угрозы, связанные с низким качеством и надежностью используемых автоматизированных систем, плохой технологической организацией функционирования систем 33.
Отечественной статистики по распределению вероятных угроз не существует. По зарубежным оценкам в США и Западной Европе экономические потери от действия указанных угроз составляют ежегодно около 130 млрд. долларов.
Следует учитывать, что типы и виды угроз, характеристики их воздействия сильно отличаются и зависят от конкретного вида вычислительных систем, их конфигурации, состава программных средств и ряда других факторов.
Примеры действия угроз защищенности информации:
Хорошим примером борьбы с одной из существующих угроз являются действия службы сопровождения автоматизированных средств одного из банков после проявления действия компьютерного вируса в сети рабочих станций. Были изданы строгие приказы о запрете запуска компьютерных игр на всех рабочих местах. Вплоть до увольнения. После очередного проявления действия вируса, который переформатировал часть винчестера на рабочем месте с данными по итогам операционного дня, был издан приказ и проведены работы по отключению всех устройств считывания с гибких магнитных дисков. Проведенное обследование показало, что подозреваемые в заражении игровые программы находятся на сетевом сервере системы, а запускает их с привилегированного рабочего места сын одного из руководителей банка, играющий на этом компьютере по выходным. Выяснилось также, что часть зараженных игровых программ заархивированы на некоторых рабочих местах в специальных форматах (для невозможности их распознавания) и периодически запускается персоналом. Неравная борьба службы поддержки с вирусами закончилась победой последних, так как потребовалось переформатирование всех жестких дисков для восстановления работоспособности системы 34 35 36.
Известны другие отечественные примеры использования должностными лицами банка привилегированных полномочий в целях личного обогащения, причем раскрытие таких преступлений сопряжено с привлечением высококлассных специалистов и огромными затратами.
Примером действия третьей группы угроз - непредумышленные угрозы, связанные с низким качеством программных средств автоматизации - является неточность пересчетов курсов валют, которая приводит к существенным расхождениям при подведении итогов. Эта типовая ошибка многих программных систем автоматизации банковской деятельности уже привела к длинному перечню увольнений ни в чем не повинных операторов.
Сегодня работа банков не представляется возможной без компьютерной обработки документов и поступающей информации. Современные банковские системы содержат мощные программные, системные, технические и сетевые средства. Число ежедневно обрабатываемых документов, гибкость технологии их обработки, скорость аналитической обработки больших массивов данных требует активного взаимодействия множества географически удаленных филиалов и рабочих мест, высочайшего уровня надежности и квалифицированно построенной системы защиты данных.
К сожалению, банковские службы безопасности сегодня большое внимание уделяют вопросам физической защиты (подразумевая наличие решеток на окнах, видеонаблюдения, охранников и т.п.). Вопросы компьютерной безопасности остаются в введении служб сопровождения и внедрения нового программного обеспечения. Квалифицированных разработчиков программного обеспечения и системных программистов в таких службах достаточно много. Специалисты в области систем компьютерной безопасности практически отсутствуют. Сложившаяся ситуация объясняется тем, что подготовкой таких специалистов на сегодняшний день имеют право заниматься только учреждения, имеющие государственную лицензию на такой вид деятельности (Гостехкомиссии РФ, ФАПСИ). Это положение распространяется и на любой вид деятельности в области защиты информации - она должна быть лицензирована 37.
Разработкой программного обеспечения банковских задач сегодня занимается достаточно большое число фирм, как давно работающих в данной области деятельности, так и вновь организуемых. Уровень соответствия разрабатываемого программного обеспечения функциональным задачам банка можно оценивать по разному. Однако, у всех этих систем есть общий недостаток - отсутствует комплексная система защиты информации, они не сертифицированы по квалификационным требованиям защищенности, а существующие средства и методы защиты информации в таких системах либо "цельнотянутые" у зарубежных фирм, либо недостаточно надежные средства.
В такой ситуации надеяться на гарантированную защиту информации практически бесполезно. Следует также учитывать, что даже в случае гарантий по защищенности информации со стороны разработчика автоматизированных средств, конкретная установка их в вычислительной системе пользователя создает специфическую картину угроз защищенности и требует специфических мер защиты.
Рассмотрим вопросы, связанные с предоставлением существующими программными системами услуг в области защиты информации для АБС. Отметим, что средства разработки программного обеспечения разнообразны: начиная от С, С++, Clarion и заканчивая мощными средствами проектирования информационных систем - CASE-средствами, распределенными базами данных и сетевыми системами. Разработчики тщательно продумывают интерфейсные связи внутри системы и общения с пользователем, продумывают алгоритмы ускоренного поиска в базах данных, структуры файлов. При этом выбор средств разработки системы (программного языка реализации) нередко производится исходя из числа программистов, умеющих работать в той или иной среде; при проектировании системы не производится анализ распространенности используемых форматов данных и возможности их конвертирования в другие легко отображаемые форматы. Полученная в результате такого проектирования система выполняет хорошо продуманные и четко реализованные функции, но данные хранятся в формате, который легко читается любым редактором текстов, или их можно конвертировать в другие более распространенные форматы данных. В этом случае в системе обеспечен высокий уровень надежности обработки и хранения, а также физической целостности данных, но уровень безопасности информации является крайне низким. При установке такого программного продукта в банке требуются серьезные мероприятия организационного и технического характера для достижения необходимого уровня защищенности информации 38.
Уровень защищенности информации формально должен определятся исходя из уровня конфиденциальности обрабатываемой информации, уровня ущерба от нарушения защиты. Определение требуемого уровня конфиденциальности - прерогатива руководства банка, он может меняться в широких пределах в зависимости от стратегических и тактических целей банка, применяемой технологии обработки информации, частного мнения руководства, состава обслуживающего персонала, состава автоматизированных средств и великого множества иных причин, перечень которых может занять не одну страницу. Важным моментом при определении уровня конфиденциальности информации являются требования законодательной базы и государственных структур.
Степень защищенности информации в автоматизированных банковских системах определяется также конкретизированным полем угроз нарушения конфиденциальности. Полный перечень угроз в современном компьютеризованном мире составляет также не одну страницу и бороться со всеми возможными угрозами дорого и практически не нужно, тем более что с каждым днем этот перечень возрастает. Квалифицированный подход к построению системы защиты информации подразумевает конкретизированную оценку вероятности проявления каждой угрозы на конкретной банковской системе. Это могут сделать только специалисты.
Большие трудности при выборе системы автоматизации банковской деятельности вызывают вопросы связанные с адаптацией встроенных средств защиты, применяемых в таких системах. Если для обеспечения защиты коммерческой и персонализированной информации руководство банка свободно в выборе зарубежных или отечественных несертифицированных и нелицензированных средств защиты информации, то с точки зрения требований государственных структур по защите информации, связанной с государственными интересами, применение таких средств защиты абсолютно неприемлемо. По этой причине, по-видимому, ни одна зарубежная система автоматизации банковской деятельности не найдет в России широкого применения или должна быть модифицирована и сертифицирована по отечественным требованиям. Отечественные разработки банковских систем при использовании в них лицензированных и сертифицированных средств защиты имеют в этом смысле определенное преимущество.
Как правило, существующие сегодня на рынке программные продукты с точки зрения методов защиты информации содержат систему разграничения доступа. Мероприятия по вводу нового пользователя в систему с организационной точки зрения остаются на усмотрение служб безопасности. Примером может служить заполнение анкеты на право доступа к системе, в которой содержится перечень функциональных задач, перечень операций в конкретной функциональной задаче, перечень действий, разрешенных оператору к выполнению. Анкету утверждают руководство банка, служба безопасности, служба сопровождения. После этих действий, оператору для входа в систему необходимо знать два пароля: пароль супервизора для физического входа в компьютер и личный пароль для входа в систему. Во многих современных системах хранение паролей организовано так, что контроль за разглашением паролей и, соответственно, разграничение доступа к информации становится бесполезным делом 39.
Редкие программные продукты банковских приложений предоставляют другие средства и сервисные услуги в области защиты информации, кроме наличия системы разграничения доступа. Большинством фирм-разработчиков в рекламных проспектах на программный продукт провозглашается большой перечень функциональных возможностей их программного обеспечения с точки зрения компьютерной безопасности, но качественный уровень реализации возможностей защиты информации остается низким.
Мероприятия по обеспечению физической безопасности включают ограничение доступа в банк. Посетитель проходит целую процедуру на доступ в конкретное банковское подразделение. Часто к нему на время пребывания в банке приставляют сопровождающего, но проследить все действия сотрудников банка - трудная задача. В большинстве случаев компьютерные преступления совершаются именно сотрудниками банка, по тем или иным причинам обиженными руководством или продающими информацию конкурентам. Организационные мероприятия по ограничению доступа в помещения подразделений, как правило, заканчиваются на входе в банк. По помещениям банка, в том числе и в помещения вычислительного центра, где находится вся обрабатываемая информация, доступ практически остается свободным.
Некоторые банки предпочитают содержать штат разработчиков программного обеспечения и своими силами разрабатывать функциональные задачи. Конечно, никто лучше их не знает, что именно и как им нужно автоматизировать, но при этом возможности системы, предоставляемые потенциальным нарушителям, существенно возрастают. В составе имеющихся в банке средств появляются отладчики, дизассемблеры, компиляторы, трансляторы и другие вспомогательные средства. Кроме того, никто даже не может подозревать о наличии программных закладок в разработанном программном обеспечении, пока их действия не начинает сказываться. Разработчик системы становится "компьютерным богом", ему известно о системе все, все ее слабые места, он знает как можно модифицировать информацию так, чтобы об этом не узнал никто. Никто, кроме него, не может лучше осуществлять сопровождение системы. Банк становится полностью от него зависимым 40.
Как показывает практика, осуществлению компьютерных преступлений способствует нарушение регламента и правил архивирования информации. Если копия всей информации с файл-сервера снимается раз в неделю на магнитную ленту, то через две недели или, в лучшем случае, через месяц на эту же ленту записывается очередная копия информации. Уничтожение информации приводит к невозможности определения фактов злоумышленной модификации информации. Все следы уничтожаются.
Проведение анализа состояния систем защиты показало, что в ряде случаев не то что не соблюдается, а просто отсутствует регламент проведения антивирусной диагностики. Антивирусные мероприятия начинают проводится только при обнаружении очередного вируса в системе.
Потери дорогостоящего машинного времени на профилактические работы иногда заставляют персонал, сопровождающий автоматизированную систему, отказаться от регламентированных запусков антивирусных средств. При этом потери ресурсов из-за необходимости глобального восстановления информации после действия вируса не оцениваются, а реально они составляют гораздо больше, чем затраты на профилактику.
Другой "уклон" - ежесменный массированный антивирусный контроль, занимающий от полутора до двух часов. При этом никто не гарантирован от действия нового, нигде не зарегистрированного вируса. Потери в этом варианте также велики и не соответствуют реальной степени угроз.
Выход состоит в определении строго обоснованного для банковской конкретной вычислительной установки регламента и состава запуска диагностических средств, регламента их ревизии и обновления. Такая работа может быть проведена только специалистами в области защиты информации.
Таким образом, каждому банку в зависимости от конкретных условий его работы требуется персонализированная система защиты и безопасности информации. Построение такой системы возможно лишь на аудиторских условиях специально привлеченными специалистами и фирмами, имеющими лицензию на указанный характер деятельности 41.
Следует отдавать себе отчет в том, что любая система защиты информации может быть вскрыта за конечное время с использованием необходимого объема ресурсов, поэтому при построении системы защиты нужно обеспечить условия оптимального вложения ресурсов и степени защищенности, возможность динамической модификации, расширения и развития системы защиты.
Сотрудники фирмы, чья деятельность в области защиты информации лицензирована государственными органами, несут ответственность по закону в случае разглашения структуры и состава системы защиты, а квалифицированные специалисты в области защиты информации прекрасно знают, как необходимо строить систему защиты с тем, чтобы разработчик после ее запуска не имел возможности для ее вскрытия.
В случае привлечения специалистов таких фирм снижается степень риска по злоумышленному использованию информации собственным персоналом, что является сегодня одной из наиболее вероятных проблем. Другой мерой получения гарантий по стойкости системы защиты, является проведение периодических сертификационных работ по текущей степени защищенности.
Рассмотрим различные варианты организации построения системы защиты информации на автоматизированной банковской системе.
Исходя из предположения, что автоматизированная система должна функционировать по крайней мере 5 лет (средний срок морального и функционального старения системы), стоит она около 100 тыс. долл., и мы решили сэкономить деньги и не затратили средства на построение системы защиты информации, можно гарантировать, что в некоторый момент жизненного цикла система обязательно подвергнется воздействию по крайней мере одной из потенциально возможных угроз. По экспертным оценкам специалистов в области защиты информации затраты на восстановление работоспособности системы и компенсации воздействия угрозы могут быть в 1,5 раза больше стоимости самой автоматизированной системы и в данном случае составят 150 тыс. долл. Таким образом, общие затраты при эксплуатации банковской системы за эти 5 лет могут составить 250 тыс. долл.42.
При использовании стратегии с периодическим регламентом проведения защитных мероприятий, которые осуществляются службой компьютерной безопасности (затраты на проведение таких работ можно оценить в 50 тыс. долл. за пять лет), не гарантируется отсутствие воздействия угроз защищенности, однако, затраты на компенсацию воздействия угроз по экспертным оценкам специалистов снизятся примерно в три раза. Общие затраты на эксплуатацию системы составят в этом случае 200 тыс. долл.
Если используется стратегия, при которой уже в начале запуска в эксплуатацию автоматизированной системы специалисты позаботились о построении квалифицированной системы защиты (оценка в 30 тыс. долл.), то тем самым они обеспечили снижение затрат на компенсацию воздействия угроз примерно в пять раз, общие затраты на эксплуатацию системы составили за пять лет 160 тыс. долл.
Еще лучше окупается стратегия защиты информации с использованием квалифицированного ее построения и поддержки службой сопровождения (затраты на которую в этом случае снижаются в два-три раза). Оценка затрат в этом варианте составляет около 140 тыс. долл.
Приведенный здесь обзор сложнейших проблем построения квалифицированной системы защиты и безопасности информации в банковских системах показывает, что если мы понимаем необходимость устранения растущих экономических потерь от беззащитности информации в автоматизированной банковской системе, то необходимо вложить ресурсы в ее создание и поддержку, принимая во внимание следующие факторы:
1.Автоматизация (без которой невозможно развитие банка) приводит к росту угроз несанкционированного доступа к информации, как следствие, к необходимости постоянной поддержки и развития системы защиты;
2.Защита информации является не разовым мероприятием и даже не совокупностью мероприятий, а непрерывным процессом, который должен протекать во времени на всех этапах жизненного цикла автоматизированной системы обработки информации;
3.Создание эффективных средств защиты может быть осуществлено высококвалифицированными специалистами;
4.Поддержание и обеспечение надежного функционирования механизмов системы защиты информации сопряжено с решением специфических задач и поэтому может осуществляться лишь специалистами;
5.Анализ, оценку, проектирование системы защиты информации, сертификацию защищенности необходимо проводить независимыми организациями, имеющими государственную лицензию на проведение указанных работ.
При соблюдении указанных правил, цели и возможности банка принесут прибыль и развитие, слабая система защиты - экономические потери и прибыль конкурентам 43.