Безопасность автоматизированных банковских систем

Автоматизированная банковская система (АБС) — это форма организационного управления банком на базе широкого применения новых информационных технологий [1].

Стратегия информационной безопасности банков весьма сильно отличается от аналогичных стратегий других компаний и организаций. Это обусловлено, прежде всего, специфическим характером угроз, а также публичной деятельностью банков, которые вынуждены делать доступ к счетам достаточно легким с целью удобства для клиентов.

Для обеспечения непрерывной защиты информации в автоматизированных системах обработки информации в банках (АСОИБ) целесообразно создать из специалистов группу информационной безопасности. На эту группу возлагаются обязанности по сопровождению системы защиты, ведения реквизитов защиты, обнаружения и расследования нарушений политики безопасности и т.д.

Один из самых важных прикладных аспектов теории защиты — защита сети. При этом, с одной стороны, сеть должна восприниматься как единая система и, следовательно, ее защита также должна строиться по единому плану. С другой стороны, каждый узел сети должен быть защищен индивидуально[2].

Защита конкретной сети должна строиться с учетом конкретных особенностей:  назначения, топологии, особенностей конфигурации, потоков информации, количества пользователей, режима работы и т.д.

Кроме того, существуют специфические особенности защиты информации на микрокомпьютерах, в базах данных.

Выделяют несколько проблем при защите информации в сетях ЭВМ:

• 1)    Разделение совместно используемых ресурсов.

В силу совместного использования большого количества ресурсов различными пользователями сети, возможно находящимися на большом расстоянии друг от друга, сильно повышается риск НСД — в сети его можно осуществить проще и незаметнее.

• 2)    Расширение зоны контроля.

Администратор или оператор отдельной системы или подсети должен контролировать деятельность пользователей, находящихся вне пределов его досягаемости, возможно, в другой стране. При этом он должен поддерживать рабочий контакт со своими коллегами в других организациях.

• 3)    Комбинация различных программно-аппаратных средств.

Соединение нескольких систем, пусть даже однородных по характеристикам, в сеть увеличивает уязвимость всей системы в целом. Система настроена на выполнение своих специфических требований безопасности, которые могут оказаться несовместимы с требованиями на других системах. В случае соединения разнородных систем риск повышается.

Как и для АСОИБ, защита сети должна планироваться как единый комплекс мер, охватывающий все особенности обработки информации. В этом смысле организация защиты сети, разработка политики безопасности, ее реализация и управление защитой подчиняются общим правилам, которые были рассмотрены выше. Однако необходимо учитывать, что каждый узел сети должен иметь индивидуальную защиту в зависимости от выполняемых функций и от возможностей сети. При этом защита отдельного узла должна являться частью общей защиты. На каждом отдельном узле необходимо организовать:

• -    контроль доступа ко всем файлам и другим наборам данных, доступным из локальной сети и других сетей;

• -    контроль процессов, активизированных с удаленных узлов;

• -    контроль сетевого графика;

• -    эффективную идентификацию и аутентификацию пользователей, получающих доступ к данному узлу из сети;

• -    контроль доступа к ресурсам локального узла, доступным для использования пользователями сети;

• -    контроль за распространением информации в пределах локальной сети и связанных с нею других сетей.

К проблемам тотальной автоматизации банков относятся следующие:

• -    усиление конкуренции между банками;

• -    необходимости сокращения времени на производство расчетов, а также улучшения сервиса.

В США, странах Западной Европы и многих других, столкнувшихся с этой проблемой довольно давно, в настоящее время создана целая индустрия защиты экономической информации, включающая разработку и производство безопасного аппаратного и программного обеспечения, периферийных устройств, научные изыскания и другие [3].

Сфера информационной безопасности - наиболее динамичная область развития индустрии безопасности в целом. Если обеспечение физической безопасности имеет давнюю традицию и устоявшиеся подходы, то информационная безопасность постоянно требует новых решений, т.к. компьютерные и телекоммуникационные технологии постоянно обновляются, на компьютерные системы возлагается все большая ответственность[4].

Таким образом, для защиты банковских систем предъявляются повышенные требования относительно безопасности хранения и обработки информации. Необходимо использовать средства защиты внутренней сети банка от несанкционированного доступа через общедоступные каналы связи, средства шифрования канала между сервером и клиентской частью.