БЕЗОПАСНОСТЬ БАНКОВСКИХ СИСТЕМ
При создании своих электронных систем банкам необходимо уделить как можно больше внимания защите и обеспечению их безопасности. Обычно различается внутренняя и внешняя безопасность. Внутренняя безопасность обязана обеспечивать целостность программ и данных и нормальную работу всей системы. Внешняя должна защищать от любых, угрожающих сбоем в системе, проникновений. В настоящее время существуют два подхода к построению защиты банковских систем:
♦ комплексный подход объединяет разнообразные методы противодействия угрозам;
♦ фрагментарный подход, т. е. противодействие определенным угрозам (антивирусные средства и т. п.).
Комплексный подход применяется для защиты крупных систем (например, международные межбанковские сети). В 1985 г. Национальным центром компьютерной безопасности Министерства обороны США была опубликована «Оранжевая книга», в которой приводился свод правил и норм, а также основные понятия защищенности информационно-вычислительных систем. В дальнейшем эта книга превратилась в настоящее «руководство к действию» для специалистов по защите информации. В ней определяются такие понятия, как:
1. Политика безопасности — совокупность норм, правил и методик, на основе которых в дальнейшем строится деятельность информационной системы в области обращения, хранения, распределения критичной информации.
Политика безопасности определяет:
1.1. Цели, задачи, приоритеты системы безопасности; 1.2 Гарантированный минимальный уровень защиты;
1.3. Обязанности персонала по обеспечению защиты;
1.4. Санкции за нарушение защиты;
1.5. Области действия отдельных подсистем.
2. Анализ риска состоит из нескольких этапов:
211. Описание состава системы (т. е. документация, аппаратные средства, данные, персонал и т. д.);
2.2. Определение уязвимых мест по каждому элементу системы;
2.3. Оценка вероятности реализации угроз;
2.4. Оценка ожидаемых размеров потерь;
2.5. Анализ методов и средств защиты;
2.6. Оценка оптимальности предлагаемых мер. Окончательно анализ риска выливается в стратегический план обеспечения безопасности, важным при этом является разбивка информации на категории. Наиболее простой метод категорирования информации следующий:
♦ конфиденциальная информация, доступ к которой строго ограничен;
♦ открытая информация, доступ к которой посторонних не связан с материальными и другими потерями.
Для деятельности коммерческого банка такой градации вполне достаточно.
Наиболее распространенными угрозами безопасности являются:
♦ несанкционированный доступ, который заключается в получении пользователем доступа к объекту, на который нет разрешения;
♦ «взлом системы» — умышленное проникновение, основную нагрузку защиты в этих случаях несет программа входа;
♦ «маскарад» — выполнение каких-либо действий одним пользователем банковской системы от имени другого;
♦ вирусные программы — воздействие на систему специально созданными программами, которые сбивают процесс обработки информации, и т. д.
В зависимости от существующих угроз различают следующие направления защиты банковских электронных систем:
1. Защита аппаратуры и носителей информации от повреждения, похищения, уничтожения;
2. Защита информационных ресурсов от несанкционированного использования;
3. Защита информационных ресурсов от несанкционированного доступа;
4. Защита информации в каналах связи и узлах коммутации (блокирует угрозу «подслушивания»);
5. Защита юридической значимости электронных документов;
6. Защита систем от вирусов.
Существуют различные программно-технические средства защиты.
К классу технических средств относятся: средства физической защиты территорий, сети электропитания; аппаратные и аппаратно-программные средства управления доступом к персональным компьютерам, комбинированные устройства и системы.
К классу программных средств защиты относятся: проверка паролей, программы шифрования (криптографического преобразования), программы цифровой подписи, средства антивирусной защиты, программы восстановления и резервного хранения информации.
Руководящие документы в области защиты информации разработаны в России Государственной технической комиссией (ГТК) при Президенте РФ. Для коммерческих структур эти документы носят рекомендательный характер, а в государственном секторе и при содержании информации, относящейся к государственной тайне, они обязательны к исполнению. Сегодня хороших технологий защиты данных вполне хватает, но постоянно появляются новые. Компания Intel, процессорами которой оснащены 85 % всех персональных компьютеров в мире, объявила, что скоро начнет выпускать чипы, в которых данные будут защищаться на аппаратном уровне, автоматически. США установили ограничения на экспорт мощных шифровальных технологий, в России
Такими технологиями вообще нельзя пользоваться без разрешения ФАПСИ (Федерального агентства правительственной связи и информации при Президенте РФ). Ни западных, ни русских сертифицированных программ защиты платежей через Интернет пока нет. В общем, проблем достаточно, но виртуальная экономика не может не развиваться. Любые платежи и банковские услуги дома выгодны для клиентов и для банков, поскольку себестоимость электронных транзакций в несколько раз ниже обычных. Это шанс для российских банков стать известными на международном уровне и получить мировое признание.
[1] Начиная с 01.01.99 г. данные по филиалам Агропромбанка не Публикуются в связи с закрытием им большинства своих филиалов.
[2] По состоянию на 01.01.98 i\ в число филиалов российских кредитных организаций за рубежом включены филиалы, по которым Банк России выдал разрешение на их открытие. На последующие даты указываются филиалы, открытые росс*шскими кредитными организациями за рубежом.
[3] Выдаются с декабря 1996 г. в соответствии с письмом Банка F оссии от 03.12.96 г. №367.
[4] Балабанов И. Т. Драгоценные металлы и драгоценные камни: операции на российском рынке. — М.: Финансы и статистика, 1998. С. 103-112.
[5] Экономика и жизнь. — 1996. — № 3.
[6] Российская газета. — 2000. — 22 марта.
[7] Экономика и жизнь. — 1996 — № 49.
[8] Более подробно см.: Балабанов И. Т. Валютный рынок и валютные операции в России. — М.: Финансы и статистика, 1994.
[9] Указом Президента РФ от 17 мая 2000 г. Федеральная служба России по валютному и экспортному контролю упразднена. Ее функции переданы Министерству финансов России и Министерству экономического развития и торговли.
[10] Российская газета. — 2000. — 28 марта.
[11] Более подробно см. Балабанов И. Т. Основы финансового менеджмента: Учебн. пособие. — 3-е изд., доп. и переработ. — М.: Финансы и статистика, 2000.
