Верификация информационных систем коммерческого банка

Предлагаемая статья является продолжением цикла работ авторов, посвященных рассмотрению вопросов, связанных с решением проблем обеспечения информационной безопасности банковских систем, и рассмотрению актуальных технологий защиты информации в банковских телекоммуникационных системах [3], [5], [6], [8].

В работе рассматриваются вопросы верификации информационных систем коммерческого банка.

В современных коммерческих банках нередко возникают проблемы нарушения защиты программного и информационного обеспечения, связанные с несанкционированными действиями сотрудников банка [3].

На данный момент банки широко применяют интегрированные информационные системы и технологии классов CALS, ERP, MRP, использование которых обусловливает серьезную защиту программного и информа-

ционного обеспечения, однако ни одна из используемых ИС не обеспечивает интегрированной защиты систем банка [1]. Поэтому на сегодняшний день актуальной является разработка единой системы защиты банковской системы, главной задачей которой является предотвращение и предупреждение различных видов «инсайдерских» атак.

В настоящее время применяются следующиетехноло-гии проверки надёжности работы программного обеспечения (ПО): тестирование, теоретико-доказательный подход и верификация моделей программ [5].

Технология тестирования является наиболее применяемой в банковских системах верификации информации. При тестировании на вход программы передаются заблаговременно подготовленные тестовые данные и контролируется соответствие результата, выданного программой, ожидаемому результату. Главным свойством тестирования является свойство детерминированности алгоритма.

Методы верификации информации нацелены на подтверждение математических теорий о свойствах функционирования ПО или результатов работы ПО. Этот метод контроля надёжности функционирования ПО был впервые представлен в научных публикациях А.А. Ляпунова, Т. Хоара Э. Дейкстры, Пратта и Флойда[9].

Большой вклад в становление и развитие методов решения данной проблемы внесли российские ученые Пархоменко П.П., Липаев В.В., Согомонян Е.С., Майоров С.А., Немолочнов О.Ф., Рябов Г.Г., Селютин В.А., Курей-чик В.М. и многие другие[5].

При выборе мероприятий верификации банковских информационных систем следует соблюдать принцип, согласно которому себестоимость их осуществления не должна быть более ценности защищаемых ресурсов ПО банка. Ценность информационных ресурсов составляют их полезность и актуальность[4]. Ценность программных ресурсов составляет их функциональность и полезность. Также следует иметь в виду факторы, которые не могут быть представлены в денежном выражении, например, потеря репутации.

Базисными мерами контроля с точки зрения законодательства Российской Федерации являются:обеспечение конфиденциальности персональных данных сотрудников банка; защита учётных данных банка; защита прав на интеллектуальную собственность[2].

Типами доступа, которые следует рассматривать согласно ГОСТ Р ИСО/МЭК 17799-2005, являются:физический – к помещениям, компьютерным комнатам, серверным и логический – к базам данных, информационным системам банка.

В соответствии с общепринятой системой классификации информационных ресурсов банка, необходимо проведение процедур их маркировки [3]. Процедуры маркировки должны осуществляться для информационных ресурсов, представленных как в электронной, так и в бумажной форме. При проведении маркировки следует учитывать процессы обработки информационных ресурсов – копирование,хранение, утилизация, передача и т.д. Маркирование информационных ресурсов также необходимо для последующего проведения процедуры авторизации сотрудников банка.

Методы верификации ПО, использующие теоретикодоказательный подход, базируются на средствах автомати- ческого доказательства теорем (САДТ, theoremprover, «пру-вер»). Описание ПО показывается в виде совокупности логических утверждений. Спецификация ПО также показывается в виде утверждения. САДТ генерирует доказательство выполнимости спецификации, исходя из утверждений, описывающих контролируемое ПО [3], [6].При использовании САДТ в процессе генерирования доказательства может потребоваться участие эксперта. Одной из наиболее трудных задач, появляющихся при верификации ПО с помощью САДТ, является задача генерирования инварианта цикла. Инвариант цикла требуется при контроле выводимости постусловия функции из предусловия.

Верификация ПОс применением логических утверждений, сгенерированных непосредственно на базе исходных кодов ПО, повышает сложность процесса доказательства. Некоторые фрагменты кода могут быть несущественными для проверки выделенных свойств ПО. Свойства ПО могут быть проверены на модели ПО, более простой, чем исходное ПО.

Группа методов, основанных на верификации моделей (ModelChecking, MC), применяет компромиссный подход между полноценной верификацией ПО и тестированием, применяющим формальную проверку свойств [3], [8].

Автоматизированная система разграничения доступа к информационному и программному обеспечению (далее АСРДкИПО) имеет сложную структуру.Она должна решать проблему утечки информационных ресурсов за пределы ПО коммерческого банка. Базисными объектами защиты АСРДкИПО, являются: информационные ресурсы банка, потеря или несанкционированное изменение которых влечёт за собой ущерб, потерю репутации банка; процессы обработки информационных и программных ресурсов [3], [5].

Примером процессов обработки являютсяисполнение (запуск), хранение, передача, отображение, вычислительная обработка, изменение, утилизация.

Технология InformationProtectionandControl (IPC) является технологией защиты информационных ресурсов от внутренних угроз. Решения класса IPC предназначены для защиты информационных ресурсов от внутренних угроз, предотвращения различных видов утечек информационных ресурсов, промышленного шпионажа и разведки. Задача технологии IPC – предотвращение передачи информационных ресурсов за пределы периметра основной информационной системы.

Технология IPC соединяет в себе три основных принципа: мониторинг технических каналов связи с помощью технологии DataLossPrevention (DLP); контроль доступа к сети, приложениям и данным; шифрование носителей информации [3], [5].

В ходе работы систем IPC широко используется детектирование информационного контента. Детектирование информационного контента может происходить с помощью следующих методов:метод ручного детектирования («Карантин»);метод «Цифровых отпечатков»;метод сигнатур;метод, основанный на проставлении меток;метод лингвистического анализа;метод, основанный на «регулярных выражениях» [3].

Метод ручного детектирования основан на применении ручной проверки контента. При обращении сотруд- ника к файлам, содержащим конфиденциальные данные, производится информирования сотрудников отдела информационной безопасности банка, которые принимают решение о дальнейших действиях: предоставлении сотруднику запрашиваемых данных или отказе в доступе.

Достоинством метода является его эффективность. Недостатком является тот факт, что данный метод практически не реализуем в крупных банках, так как требует привлечения больших человеческих ресурсов (для формирования штата сотрудников отдела безопасности). Метод «Карантин» можно применять с другими методами для анализа данных выбранных «подозрительных» сотрудников.

При использовании метода «Цифровых отпечатков» (англ. «DigitalFingerprints») формируется база данных образцов (паттернов, шаблонов) конфиденциальных файлов. В начале работы создается файл-шаблон и передается DLP-системе, далее формируется отпечаток и передается в специальную базу данных так называемых «паттернов». Затем в правилах фильтрации файлов контента настраивается процентное соответствие шаблону из базы. Достоинством метода является тот факт, что система фильтрации информационного трафика, основанная на данном методе, способна работать с информацией любого формата. Также достоинствами системы «Цифровых отпечатков» являются: прозрачность работы алгоритма для сотрудников отдела информационной безопасности; высокая степень детектирования инцидентов нарушения правил работы с информационным обеспечением;простота добавления новых файлов-шаблонов (паттернов) [3].

Недостатками метода являются:чувствительность к изменениям файлов-шаблонов; требование обеспечения дополнительной защиты базы данных паттернов (особое расположение серверов, формирование правил и настройка допуска сотрудников к базе); снижение эффективности детектирования при переполнении базы данных паттернов, что на практике происходит довольно часто; высокая степень влияния на производительность основной информационной системы банка; низкая эффективность метода при работе с графическими файлами.

В крупных банках данную технологию трудно реализовать, так как база данных файлов-шаблонов увеличивается слишком быстро, что повышает нагрузку на сервера DLP-системы, кроме того постоянно приходится сталкиваться с проблемой заполнения базы данных, распределения нагрузки.

Метод сигнатур представляет собой поиск в информационном потоке определенных символьных последовательностей, так называемых «стоп-выражений» запрещенных последовательностей символов. Метод относится к «детерминистским», так как его алгоритм настроен на поиск 100 % совпадения «стоп-выражения». Большинство сигнатурных систем предназначены для поиска нескольких слов и частоту их встречаемости. Достоинства метода сигнатур: очевидность принципа работы; простота реализации и настройки.

Недостатками метода являются: чувствительность к специальной замене некоторых символов (например, на похожие символы из другого алфавита); неэффективность метода при работе с файлами программного кода; неприменимость метода к графическим файлам; зависимость функционирования от языка (как естественного, так искусственного).

DLP-системы, основанные на методе сигнатур хорошо «приспособлены» для западного рынка, но практически не пригодны в России. Причина – русский язык несигнату-рен: в нём много приставок, суффиксов и окончаний.

Метод «Меток» заключается в расстановке специальных «меток» внутри файлов конфиденциальной информации.

Достоинства метода: высокая эффективность детектирования; точность предоставляемой информации; высокое быстродействие.

Недостатки метода: сложность реализации – данный метод требует изменение структуры всей основной информационной системы банка; требование выполнения дополнительных настроек при формировании нового файла конфиденциальной информации.

Лингвистические методы являются самыми распространенными в применении в DLP-системах, так как предоставляют гибкий аппарат детектирования информационного контента. Лингвистический анализ текста включает в себя несколько методов детектирования: синтаксический анализ; семантический анализ; морфологический анализ и т.д[7].

Применение перечисленных методов анализа увеличивает эффективность DLP-системы. Недостатки лингвистических методов: чувствительность к переформированию предложений; неэффективность метода к файлам программного кода; неприменимость метода для графических файлов; зависимость от языка информационного контента.

Метод «Регулярных выражений» (метод «Текстовых идентификаторов») применяется в DLP-системах недавно. Регулярные выражения позволяют находить совпадения по типу данных (их форме представления). Основное отличие от метода «сигнатур» является особенность поиска: не по значению, а по типу данных. Таким образом, производится поиск целого блока идентичной информации. Подобный метод эффективен для поиска): дат; адресов (MAC, IP, Интернет-сер-висов); номеров портов; номеров кредитных карт; номеров счетов; номеров паспортов; классификаторов и т.д. [5].

Достоинства метода: высокая эффективность; высокий уровень быстродействия; способность детектировать специфичный для каждого банка тип контента; применимость метода для работы с графическими файлами.

Часто метод «регулярных выражений» применяется в качестве дополнительного алгоритма в DLP-системе, но не в качестве основного.

Основной функцией модульной подсистемы класса DLP является отслеживание утечек информационных ресурсов банка через сеть, съёмные носители данных, принтеры и т.д. – т.е. детектирование угроз нарушения параметров защиты информационного и программного обеспечения банка происходит только «в месте» соприкосновения ПО банка с внешней средой, а также на всех «интерфейсах-выходах»: съёмные носители данных, факсы, принтеры.

За мониторинг внутренних потоков конфиденциальной информации в банке подсистема класса DLP ответственности не несёт.Одной из задач модульной подсистемы класса DLP является контроль работы пользователей ПОбанка в глобальной сети Интернет.

Целью защиты стратегически важных информационных и программных ресурсов является предотвращение или минимизация наносимого ущерба (прямого или косвенного) субъектам информационных отношений посредством нежелательного воздействия на компоненты ПОбанка, а также разглашения (утечки), искажения (модификации), утраты (снижения степени доступности) или незаконного тиражирования информационных ресурсов, некомпетентного и некорректного использования программных ресурсов.

Проведенный анализ характеристик применяемых в настоящее время технологий верификации информационных систем коммерческого банка показал, что применение только одной из перечисленных технологий не способно решить поставленных в работе задач обеспечения защиты информационного и программного обеспечения банка. Для обеспечения требуемого уровня защиты ИС необходимо применение всех трёх подсистем верификации в едином комплексе.