- •А.П. Пархоменко а.Ф. Мешкова р.В. Менжулин основные проблемы и особенности защиты информации в банковских системах: модели нарушителей
- •1Воронеж 2008
- •2Воронеж 2008
- •Введение
- •1.Основные проблемы и особенности защиты информации в банковских системах.
- •1.1 Основные понятия, термины и определения.
- •1.1.1 Информация и информационные отношения в автоматизированных банковских системах. Субъекты информационных отношений, их безопасность в автоматизированных банковских системах.
- •1.1.2 Определение требований к защищенности информации в автоматизированных банковских системах.
- •1.2 Особенности автоматизированных банковских систем как объекта защиты информации.
- •1.2.1 Автоматизированные платежные системы.
- •1.2.2 Основные принципы и подходы к защите апбс.
- •1.2.3 Особенности платежных систем.
- •1.2.4 Автоматизированные информационные системы.
- •1.2.5 Основные принципы и подходы к защите автоматизированных информационных систем.
- •1.3 Особенности защиты информации в автоматизированных банковских системах.
- •1.3.1 Защита от физического доступа.
- •1.3.2 Защита резервных копий в автоматизированных банковских системах.
- •1.3.3 Защита от инсайдеров.
- •1.4 Основные проблемы защиты информации в автоматизированных банковских системах.
- •1.5 Проблемы правовой и организационно - технической защиты коммерческой и банковской тайны как видов конфиденциальной информации.
- •2. Модели нарушителей и риски в автоматизированных банковских системах.
- •2.1 Анализ проблем оценки и управления рисками информационной безопасности в автоматизированных банковских системах.
- •2.2 Анализ инструментальных средств оценки и управления рисками информационной безопасности.
- •2.3 Неформальная модель нарушителя в банковских системах
- •2.4 Модель нарушителя и эффективность защиты.
- •3. Оценки рисков информационной безопасности.
- •3.1 Оценка рисков информационной безопасности на основе алгоритма Мамдани.
- •Заключение
- •Список используемых информационных источников
- •394026 Воронеж, Московский просп., 14
1.3 Особенности защиты информации в автоматизированных банковских системах.
1.3.1 Защита от физического доступа.
Банки традиционно уделяют очень большое внимание физической безопасности операционных отделений, отделений хранения ценностей и т.п. Все это снижает риск несанкционированного доступа к коммерческой информации путем физического доступа. Однако офисы банков и технические помещения, в которых размещаются серверы, по степени защиты обычно не отличаются от офисов других компаний. Поэтому для минимизации рисков несанкционированного доступа необходимо использовать систему криптографической защиты.
Сегодня на рынке имеется большое количество утилит, осуществляющих шифрование данных. Однако особенности их обработки в банках, предъявляют к соответствующему программному обеспечению дополнительные требования. Во-первых, в системе криптографической защиты должен быть реализован принцип прозрачного шифрования. При его использовании данные в основном хранилище всегда находятся только в закодированном виде. Кроме того, эта технология позволяет минимизировать затраты на регулярную работу с данными. Их не нужно каждый день расшифровывать и зашифровывать. Доступ к информации осуществляется с помощью специального программного обеспечения (ПО), установленного на сервере. Оно автоматически расшифровывает информацию при обращении к ней и зашифровывает перед записью на жесткий диск. Эти операции осуществляются прямо в оперативной памяти сервера. Во-вторых, банковские базы данных очень объемны. Таким образом, криптографическая система защиты информации должна работать не с виртуальными, а с реальными разделами винчестеров, RAID-массивами и прочими серверными носителями информации, например, с хранилищами SAN. Дело в том, что файлы-контейнеры, которые могут подключаться к системе в качестве виртуальных дисков, не предназначены для работы с большими объемами данных. В том случае, когда виртуальный диск, созданный из такого файла, имеет большой размер, при обращении к нему одновременно даже нескольких человек можно наблюдать значительное уменьшение скорости чтения и записи информации. Работа же нескольких десятков человек с файлом-контейнером большого объема может превратиться в мучение. Кроме того, нужно учитывать, что эти объекты подвержены риску повреждения из-за вирусов, сбоев файловой системы и т.д. Ведь, по сути, они представляют собой обычные файлы, но довольно большого размера. И даже небольшое их изменение может привести к невозможности декодирования всей содержащейся в нем информации. Оба этих обязательных требования существенно сужают круг подходящих для реализации защиты продуктов. Фактически сегодня на российском рынке имеется лишь несколько таких систем 25.
Подробно рассматривать технические особенности серверных систем криптографической защиты информации нет необходимости. Но стоит отметить некоторые особенности таких систем, наличие которых желательно для банков. Первая связана с сертификацией используемого криптографического модуля. Соответствующее программное или аппаратное обеспечение уже есть в большинстве банков. Поэтому система серверной защиты информации должна предусматривать возможность их подключения и использования. Вторым особым требованием к системе защиты информации является возможность интеграции в систему физической безопасности офиса и/или серверной комнаты. Это позволяет защитить информацию от несанкционированного доступа, связанного с кражей, взломом и т.п.
Особое внимание в банках должно уделяться сохранности информации, поскольку она фактически является деньгами клиентов. Поэтому в системе защиты должны быть предусмотрены специальные возможности, минимизирующие риск ее утери. Одной из самых заметных является функция определения испорченных секторов на жестком диске. Кроме того, большую важность имеет возможность приостановки и отмены процессов первоначального зашифровывания диска, его расшифровывания и перешифровывания. Это довольно длительные процедуры, любой сбой во время которых грозит полной потерей всех данных.
Очень большое влияние на риски, связанные с несанкционированным доступом к конфиденциальной информации, имеет человеческий фактор. Поэтому желательно, чтобы система защиты предусматривала возможность уменьшения такой взаимосвязи. Достигается это путем использования надежных средств хранения ключей шифрования — смарт-карт или USB-токенов. Оптимальным является вхождение этих токенов в состав продукта, оно позволяет не только оптимизировать затраты, но и обеспечивает полную совместимость программного и аппаратного обеспечения.
Другой важной функцией, позволяющей минимизировать влияние человеческого фактора на надежность системы защиты, является кворум ключей. Суть его заключается в разделении ключа шифрования на несколько частей, каждая из которых отдается в пользование одному ответственному сотруднику. Для подключения закрытого диска требуется наличие заданного количества частей. Причем оно может быть меньше общего числа частей ключа. Такой подход позволяет обезопасить данные от нецелевого использования ответственными сотрудниками, а также обеспечивает необходимую для работы банка гибкость.