- •А.П. Пархоменко а.Ф. Мешкова р.В. Менжулин основные проблемы и особенности защиты информации в банковских системах: модели нарушителей
- •1Воронеж 2008
- •2Воронеж 2008
- •Введение
- •1.Основные проблемы и особенности защиты информации в банковских системах.
- •1.1 Основные понятия, термины и определения.
- •1.1.1 Информация и информационные отношения в автоматизированных банковских системах. Субъекты информационных отношений, их безопасность в автоматизированных банковских системах.
- •1.1.2 Определение требований к защищенности информации в автоматизированных банковских системах.
- •1.2 Особенности автоматизированных банковских систем как объекта защиты информации.
- •1.2.1 Автоматизированные платежные системы.
- •1.2.2 Основные принципы и подходы к защите апбс.
- •1.2.3 Особенности платежных систем.
- •1.2.4 Автоматизированные информационные системы.
- •1.2.5 Основные принципы и подходы к защите автоматизированных информационных систем.
- •1.3 Особенности защиты информации в автоматизированных банковских системах.
- •1.3.1 Защита от физического доступа.
- •1.3.2 Защита резервных копий в автоматизированных банковских системах.
- •1.3.3 Защита от инсайдеров.
- •1.4 Основные проблемы защиты информации в автоматизированных банковских системах.
- •1.5 Проблемы правовой и организационно - технической защиты коммерческой и банковской тайны как видов конфиденциальной информации.
- •2. Модели нарушителей и риски в автоматизированных банковских системах.
- •2.1 Анализ проблем оценки и управления рисками информационной безопасности в автоматизированных банковских системах.
- •2.2 Анализ инструментальных средств оценки и управления рисками информационной безопасности.
- •2.3 Неформальная модель нарушителя в банковских системах
- •2.4 Модель нарушителя и эффективность защиты.
- •3. Оценки рисков информационной безопасности.
- •3.1 Оценка рисков информационной безопасности на основе алгоритма Мамдани.
- •Заключение
- •Список используемых информационных источников
- •394026 Воронеж, Московский просп., 14
1.2 Особенности автоматизированных банковских систем как объекта защиты информации.
1.2.1 Автоматизированные платежные системы.
В автоматизированных платежных (расчетных) банковских системах (АПБС) существуют различные технологии обработки и подсистемы передачи платежной информации.
В АПБС циркулируют следующие основные виды информации:
1.Электронные платежные документы;
2.Электронные служебно-информационные документы и сообщения;
3.Техническая информация (для технической настройки программно-аппаратных комплексов обработки и передачи информации), различающиеся по требуемой степени защищенности и актуальности наиболее вероятных угроз.
Приоритеты политики безопасности в АПБС определены в следующем порядке: доступность, целостность, конфиденциальность. Напомним, что означают эти свойства информации. Доступность заключается в том, что в условиях случайных и преднамеренных угроз информация предоставляется в том виде и том месте, которые удобны пользователю, и в то время, когда они ему необходимы. Доступность определяется как наличием необходимой информации, так и готовностью системы к обслуживанию. Целостность — это способность сохранять неизменность или обнаруживать факт изменения информации в условиях случайных и преднамеренных угроз. Конфиденциальность подразумевает, что в условиях случайных и преднамеренных угроз информация предоставляется только авторизованному пользователю 19.
Обеспечение надежного и бесперебойного функционирования АПБС в условиях возникающих угроз и воздействий, которые могут привести к нарушению и дестабилизации работы платежной системы, к разрушению ее системы безопасности и хищению денежных средств.
Объекты защиты АПБС.
1.Технологический процесс обработки, передачи и хранения платежной информации банка (персонал, программные и технические средства, задействованные в указанном технологическом процессе).
2.Платежная информация (расчетные документы и информация, связанная с проведением расчетных операций) в процессе ее обработки, передачи и хранения в учреждении банка.
3.Управляющая информация платежных (расчетных) систем.
Зона ответственности банка в АПБС.
Выделяют две зоны материальной и юридической ответственности:
1.Зона ответственности кредитной организации (клиента);
2.Зона ответственности банка.
Банк обеспечивает безопасность процесса обработки, передачи и хранения платежных документов от момента приема в учреждении банка платежного документа от кредитной организации (клиента) до момента доставки кредитной организации (клиенту) документов, подтверждающих совершение платежа.
Все вопросы организации обмена платежной информацией между учреждением банка и кредитной организацией (клиентом), а также способы разбора конфликтных ситуаций, возникающих при данном информационном обмене, являются предметом гражданско-правовых отношений и должны быть зафиксированы в двустороннем договоре банка и кредитной организации (клиента).
1.2.2 Основные принципы и подходы к защите апбс.
1. Обеспечение безопасности технологии совершения платежей в целом, а не ее отдельных элементов;
2. Создание для каждой АПБС, включающей в себя взаимоувязанный комплекс мер и средств, функционирующих в рамках конкретной утвержденной платежной технологии с использованием программно-аппаратных средств и организационных мер защиты;
3. Регламентация типовых функциональных требований по комплексному обеспечению ИБ электронных платежных технологий в едином нормативном документе банка. Конкретизация этих требований в регламентирующих документах территориальных учреждений банка и их реализация в АПБС;
4. Расчетные документы являются открытыми документами строгого учета, отражают поручение на проведение банковских операций и могут быть переданы иным организациям только в соответствии с действующим законодательством Российской Федерации и нормативными актами банка. В АПБС циркулирует информация, не содержащая сведений, отнесенных к государственной тайне;
5. Банк в полном объеме обеспечивает функционирование АБПС в зоне своей ответственности и принимает решения об использовании в ней необходимых средств и систем защиты информации. В случае, когда банк поставляет своим клиентам и корреспондентам программно-аппаратные комплексы для обмена информацией, в состав указанных комплексов могут быть включены, в том числе, средства защиты и контроля;
6. Обеспечение принципа разумной достаточности:
А. Информация должна быть защищена от тех угроз, реализация которых может нанести ущерб АПБС;
Б. Информация в АПБС должна быть защищена в течение времени, установленного законами Российской Федерации;
7. Обеспечение безопасности АПБС достигается за счет согласованного применения технологических, организационных, технических и программных мер и средств защиты на всех этапах подготовки, обработки, передачи и хранения платежных документов;
8. Ни один сотрудник банка, независимо от должностного положения, не должен обладать всей полнотой полномочий для создания, уничтожения, изменения, авторизации и проведения платежного документа. Это достигается разнесением технологических точек ввода, обработки, контроля и передачи платежных документов; созданием двух контуров — обработки и контроля; регламентацией доступа персонала к платежной информации и в помещения, где она обрабатывается и др.);
9.Обеспечение функционирования механизмов, средств и систем защиты платежной информации, применяемых в зоне ответственности банка, должно полностью осуществляться силами банка и не должно зависеть от внешних организаций;
Все ответственные лица, задействованные в технологии обработки электронных платежных документов, в том числе, администраторы ИБ, назначаются соответствующими приказами (распоряжениями) руководителей территориальных учреждений банка (учреждений при банке) 20.