Особенности защиты информации в электронных банковских системах

При дальнейшем изложении наравне с термином АСОИ будем использовать термин «электронные банковские системы» (ЭБС, electronic banking system). Специфика защиты ЭБС обусловлена особенностями решаемых ими задач.

Как правило, ЭБС обрабатывают большой поток постоянно поступающих запросов в реальном масштабе времени, каждый из которых не требует для обработки многочисленных ресурсов, но все вместе они могут быть обработаны только высокопроизводительной системой.

В ЭБС хранится и обрабатывается конфиденциальная информация, не предназначенная для широкой публики. Подделка ее или даже утечка могут привести к серьезным (для банка или его клиентов) последствиям. Поэтому ЭБС обречены оставаться относительно закрытыми, работать под управлением специфического программного обеспечения и уделять большое внимание обеспечению своей безопасности.

Другой особенностью ЭБС являются повышенные требования к надежности аппаратного и программного обеспечения. В силу этого многие современные ЭБС тяготеют к так называемой отказоустойчивой архитектуре («fault-tolerant») компьютеров, позволяющей осуществлять непрерывную обработку информации даже в условиях различных сбоев и отказов.

Можно выделить два типа задач, решаемых ЭБС:

1. Аналитические.

К этому типу относятся задачи планирования, анализа счетов и т. д. Они не являются оперативными и могут требовать для решения длительного времени, а их результаты могут оказать влияние на политику банка в отношении конкретного клиента или проекта. Поэтому подсистема, с помощью которой решаются аналитические задачи, должна быть надежно изолирована от основной системы обработки информации.

Для решения такого рода задач обычно не требуется мощных вычислительных ресурсов, обычно достаточно 10−20% мощности всей системы. Однако ввиду возможной ценности результатов их защита должна быть постоянной.

2. Повседневные.

К этому типу относятся задачи, решаемые в повседневной деятельности, в первую очередь, выполнение платежей и корректировка счетов. Именно они и определяют размер и мощность основной системы банка; для их решения обычно требуется гораздо больше ресурсов, чем для аналитических задач.

В то же время ценность информации, обрабатываемой при решении таких задач, имеет временный характер. Постепенно ценность информации, например, о выполнении какого-либо платежа, становиться не актуальной. Естественно, это зависит от многих факторов, как-то: суммы и времени платежа, номера счета, дополнительных характеристик и т. д. Поэтому, обычно бывает достаточным обеспечить защиту платежа именно в момент его осуществления. При этом защита самого процесса обработки и конечных результатов должна быть постоянной.

Каким же мерам защиты систем обработки информации отдают предпочтение зарубежные специалисты ?

На этот вопрос можно ответить, используя результаты опроса, проведенного Datapro Information Group в 1992 году.

Политику безопасности имеют 82% опрошенных. По сравнению с 1991 годом процент организаций, имеющих политику безопасности, увеличился на 13%. Это означает, что различные организации уделяют все больше внимания защите хранимой и обрабатываемой информации.

Еще 12% опрошенных планируют разработать политику безопасности. Четко выражена следующая тенденция: организации с большим числом персонала предпочитают иметь разработанную политику безопасности в большей степени, чем организации с небольшим количеством персонала. Например, по данным этого опроса, всего лишь 66% организаций с числом сотрудников менее 100 человек имеют политику безопасности, тогда как 110.

для организаций с числом сотрудников более 5000 человек доля таких организаций составляет 94%.

В 88% организаций, имеющих политику безопасности, существует специальное подразделение, которое отвечает за се реализацию. В тех организациях, которые не содержат такое подразделение, эти функции, в основном, возложены на администратора системы (29%), на менеджера информационной системы (27%) или на других лиц (25%). Это означает, что существует тенденция выделения сотрудников, отвечающих за компьютерную безопасность, в специальное подразделение.

В политике безопасности особое внимание уделяется защите больших ЭВМ (82%), восстановлению информации после аварий и катастроф (73%), защите от компьютерных вирусов (72%), защите персональных ЭВМ (69%).

Из анализа данных можно сделать следующие выводы об особенностях защиты информации в финансовых и государственных системах:

1. Главное в защите финансовых организаций — оперативное и по возможности полное восстановление информации после аварий и катастроф. Около 60% опрошенных финансовых организаций имеют план ОНРВ, который ежегодно пересматривается в более чем 80% из них. В основном, защита информации от разрушения достигается созданием резервных копий и их внешним хранением, использованием средств бесперебойного электропитания и организацией горячего резерва аппаратных средств.

В государственных организациях проблеме восстановления системы обработки информации после аварий и катастроф уделяется значительно меньше внимания. Основным способом восстановления процесса обработки информации после аварий или катастроф в государственных организациях является создание и содержание резервной системы обработки информации;

2. Следующая по важности для финансовых организаций проблема — это управление доступом пользователей к хранимой и обрабатываемой информации. Здесь широко используются различные программные системы управления доступом, которые иногда могут заменять и антивирусные программные средства. В основном используются приобретенные программные средства управления доступом. Причем в финансовых организациях особое внимание уделяют такому управлению пользователей именно в сети. Однако сертифицированные средства управления доступом встречаются крайне редко (3%). Это можно объяснить тем, что с сертифицированными NCSC программными средствами трудно работать.

В государственных организациях гораздо шире применяются сертифицированные NCSC программные средства. Это объясняется существующими требованиями к обработке информации. Для защиты от компьютерных вирусов широко применяются специализированные антивирусные пакеты. Средства разграничения доступа используются намного реже.

• 3. К отличиям организации защиты сетей ЭВМ в финансовых организациях можно отнести широкое использование коммерческого программного обеспечения для управления доступом к сети (82%, в госсекторе — 71%), защита точек подключения к системе через коммутируемые линии связи (dial-up port protection; 69%, в госсекторе — 51%). Скорее всего, это связано с большей распространенностью средств телекоммуникаций в финансовых сферах и желанием защититься от вмешательства извне. Другие способы защиты, такие как применение антивирусных средств, оконечное и канальное шифрование передаваемых данных, аутентификация сообщений применяются примерно одинаково и, в основном (за исключением антивирусных средств), менее 50% опрошенных организаций.
• 4. Большое внимание, как в финансовых, так и в государственных организациях уделяется физической защите помещений, в которых расположены компьютеры (около 40%). Это означает, что защита ЭВМ от доступа посторонних лиц решается не только с помощью программных средств, но и организационно-технических (охрана, кодовые замки и т. д.).
• 5. Шифрование локальной информации применяют чуть более 20% финансовых организаций. Причинами этого, на наш взгляд, являются сложность распространения ключей, жесткие требования к быстродействию системы, а также необходимость оперативного восстановления информации при сбоях и отказах оборудования.
• 6. Значительно меньшее внимание в финансовых организациях уделяется защите телефонных линий связи (4%) и использованию ЭВМ, разработанных с учетом требования стандарта Tempest (защита от утечки информации по каналам электромагнитных излучений и наводок). В государственных организациях решению проблемы противодействия получению информации с использованием электромагнитных излучений и наводок уделяют гораздо больше внимания.

Анализ статистики позволяет сделать важный вывод: защита финансовых организаций (в том числе и банков) строится несколько иначе, чем государственных (в том числе и военных) организаций. Следовательно, для защиты ЭБС нельзя применять те же самые технические и организационные решения, которые были разработаны для государственного сектора.

Защита ЭБС должна разрабатываться для каждой системы индивидуально в соответствии с общими правилами:

• — анализ риска, заканчивающийся разработкой проекта системы и планов защиты, непрерывной работы и восстановления;
• — реализация системы защиты на основе результатов анализа риска;
• — постоянный контроль за работой системы защиты и АСОИ в целом (программный, системный и административный).

На каждом этапе реализуются определенные требования к защите; их точное соблюдение приводит к созданию безопасной системы.

Каждую систему обработки информации защиты следует разрабатывать, индивидуально учитывая следующие особенности:

• — организационную структуру банка;
• — объем и характер информационных потоков (внутри банка в целом, внутри отделов, между отделами, внешних);
• — количество и характер выполняемых операций: аналитических и повседневных (один из ключевых показателей активности банка — число банковских операций в день является основой для определения параметров системы);
• — количество и функциональные обязанности персонала;
• — количество и характер клиентов;
• — график суточной нагрузки и др.

Нельзя бездумно копировать чужие системы — они разрабатывались для иных условий. Одним из способов построения системы обработки информации является использование так называемого внешнего ресурса. Внешний ресурс

Известно, что банковский бизнес относится к числу наиболее рискованных. Конкуренция между отдельными банками, риск при финансировании проектов, непредсказуемая порой политическая и экономическая ситуация заставляют многие банки прибегать к любым мерам, способствующим экономии средств. Такой мерой, относящейся к проектированию информационной системы, является использование внешнего ресурса.

Внешний ресурс (outsourcing) — это использование банком для решения своих задач ресурсов другой организации (поставщика). Различают два вида внешнего ресурса:

• 1.Сервис-бюро (service bureau). Банк заключает контракт с поставщиком (возможно, другим банком) на предоставление вычислительных ресурсов (машинного времени, магнитных накопителей) для обработки информации в центре поставщика. При этом используются техническое и программное обеспечение последнего.
• 2. Услуги по управлению (facilities management). Поставщик управляет работой центра обработки банка, используя при этом оборудование самого банка. В этом случае служащие информационного отдела банка являются работниками поставщика ресурса.

Очень часто многие средние и крупные банки идут на использование внешнего ресурса, получая в результате существенную, но краткосрочную (на время контракта с поставщиком) экономию средств, которые могли бы быть затрачены на организацию собственной системы взамен частичной потери контроля за процессом обработки информации. Тем нс менее в условиях непредсказуемого будущего такая мера часто оказывается оправданной по следующим соображениям.

С одной стороны, банки неохотно вкладывают деньги в новые информационные технологии, расширение или модернизацию существующих систем. С другой стороны, чтобы остаться конкурентоспособными они должны предоставлять своим клиентам самый современный сервис со всеми возможными гарантиями надежности. Внешний ресурс является компромиссом в этой ситуации. Это не потому, что банки не могут позволить себе выполнение определенных операций в собственных системах, просто использование чужих систем может быть выгоднее.

Традиционно клиентами поставщика ресурса являлись мелкие предприятия, в том числе мелкие банки и их объединения. Они считали, что лучше платить за использование чужих систем, чем организовывать свои. Со средними и крупными предприятиями ситуация несколько иная. Поскольку они не желают терять контроль за выполнением операций, многие поставщики предлагают компромиссное решение. В этом случае банки выбирают набор прикладных задач, наименее сложных или второстепенных, которые и будут решаться поставщиком ресурса. К числу таких задач может быть отнесена, например, обработка изображений и др.

В случае использования внешнего ресурса банки получают следующие преимущества:

• — уменьшается нагрузка на ЭБС банка (в количестве операций в секунду);
• — уменьшается номенклатура задач, решаемых с помощью единого интегрированного программного обеспечения;
• — обеспечивается доступ к новым технологиям и прикладным задачам;
• — привлекается новый персонал с новыми знаниями и опытом, банк получает новые продукты и услуги, повышающие конкурентоспособность.

Правильно выбранная политика использования внешнего ресурса помогает сэкономить значительные суммы денег. При этом необходимо тщательно подходить к выбору поставщика ресурса — он должен обладать опытом соответствующей работы, прочной репутацией, гарантирующей конфиденциальность услуг, и использовать современную технологию.

По оценкам западных специалистов оптимальный срок контракта банка с поставщиком на предоставление внешнего ресурса находится в пределах 5−10 лет. Поставщик ресурса может сыграть определенную положительную роль при взаимодействии банков, банковское дело сегодня в гораздо большей степени зависит от партнерства, чем ранее.

Внешний ресурс может сэкономить банкам от 10% до 50% средств по сравнению с обработкой в собственной системе. Реальное значение экономии изменяется от случая к случаю. Однако используют внешний ресурс в своей работе только 35% опрошенных.

Скептики считают внешний ресурс источником финансовых проблем для банков, особенно крупных. Но всей вероятности, банки будут использовать внешний ресурс по принципу «задача за задачей», выбирая при этом третьестепенные проблемы, чтобы оставить контроль по основным операциям за собой.