Реферат: Проблемы информационной безопасности банков

дипломная работа

на тему

«Проблемы информационной безопасности банков»



Оглавление


Ââåäåíèå… 3

Ãëàâà1.Îñîáåííîñòèèíôîðìàöèîííîéáåçîïàñíîñòèáàíêîâ… 8

Ãëàâà2. Âëèÿíèåäîñòèæåíèéâ ñôåðåêîìïüþòåðíîéîáðàáîòêèèíôîðìàöèèíà ðàçâèòèåáàíêîâñêèõòåõíîëîãèé… 12

Ãëàâà3.×åëîâå÷åñêèéôàêòîð âîáåñïå÷åíèèèíôîðìàöèîííîéáåçîïàñíîñòè.      17

Óãðîçûèíôîðìàöèîííîéáåçîïàñíîñòèáàíêà ñîñòîðîíûïåðñîíàëà… 17

Êàäðîâàÿïîëèòèêà ñòî÷êèçðåíèÿèíôîðìàöèîííîéáåçîïàñíîñòè… 21

Ãëàâà4.Áåçîïàñíîñòüàâòîìàòèçèðîâàííûõñèñòåìîáðàáîòêèèíôîðìàöèèâ áàíêàõ(ÀÑÎÈÁ)… 29

Óãðîçûáåçîïàñíîñòèàâòîìàòèçèðîâàííûõñèñòåì… 29

Àíàëèçñîñòîÿíèÿáàíêîâñêèõàâòîìàòèçèðîâàííûõñèñòåì ñòî÷êèçðåíèÿ áåçîïàñíîñòè.          43

Ïîñòðîåíèåçàùèòûáàíêîâñêèõàâòîìàòèçèðîâàííûõñèñòåì… 50

Ãëàâà5.Áåçîïàñíîñòüêîìïüþòåðíûõñåòåé âáàíêå… 77

Êëàññèôèêàöèÿñåòåé… 77

Îáåñïå÷åíèåáåçîïàñíîñòèñåòåé… 81

Ãëàâà6.Áåçîïàñíîñòüýëåêòðîííûõïëàòåæåé… 88

Ýëåêòðîííûåïëàòåæè âáàíêå… 88

Âîïðîñûáåçîïàñíîñòèýëåêòðîííûõïëàòåæåé… 94

Ãëàâà7.Áåçîïàñíîñòüïåðñîíàëüíûõïëàòåæåéôèçè÷åñêèõëèö… 101

Îñíîâíûåôîðìûóäàëåííîãîáàíêîâñêîãîîáñëóæèâàíèÿôèçè÷åñêèõëèö… 101

Ïðîáëåìûèäåíòèôèêàöèèêëèåíòà ïðèóäàëåííîìîáñëóæèâàíèè… 103

Áåçîïàñíîñòüïðèèñïîëüçîâàíèèïëàñòèêîâûõêàðò… 105

Çàêëþ÷åíèå… 113

Ñïèñîêëèòåðàòóðû… 115

 


Введение

Со времени своего появления банки неизменно вызывали преступный интерес.И этот интерес был связан не только с хранением в кредитных организациях денежныхсредств, но и с тем, что в банках сосредотачивалась важная и зачастую секретнаяинформация о финансовой и хозяйственной деятельности многих людей, компаний, организацийи даже целых государств. Так, еще в XVIII веке недоброжелатели известного ДжакомоКазановы опубликовали закрытые данные о движении средств по его счету в одном изпарижских банков. Из этой информации следовало, что организованная Казановой государственнаялотерея приносила доход не только казне, но и (в не меньших масштабах) ему лично [1, с.4].

В настоящее время значение информации, хранимой в банках, значительно увеличилось.Так, недавняя утечка данных о ряде счетов в Bank of England в январе 1999 года заставилабанк поменять коды всех корреспондентских счетов, часть оборудования и программногообеспечения и обошлась банку в несколько десятков миллионов долларов. [17, сообщ.за 26.02.99г.]

В наши дни в связи со всеобщей информатизацией и компьютеризацией банковскойдеятельности значение информационной безопасности банков многократно возросло. Еще30 лет назад объектом информационных атак были данные о клиентах банков или о деятельностисамого банка. Такие атаки были редкими, круг их заказчиков был очень узок, а ущербмог быть значительным лишь в особых случаях. В настоящее время в результате повсеместногораспространения электронных платежей, пластиковых карт, компьютерных сетей объектоминформационных атак стали непосредственно денежные средства как банков, так и ихклиентов. Совершить попытку хищения может любой — необходимо лишь наличие компьютера,подключенного к сети Интернет. Причем для этого не требуется физически проникатьв банк, можно «работать» и за тысячи километров от него.

Например, в августе 1995 г. в Великобритании был арестован 24-летний российскийматематик Владимир Левин, который при помощи своего домашнего компьютера в Петербургесумел проникнуть в банковскую систему одного из крупнейших американских банковCitibank и похитить $2,8 млн. В 1994 году Владимир Левин вместе с приятелем сумелподобрать ключи к системе банковской защиты Citibank и попытался снять с его счетовкрупные суммы. По сведениям московского представительства Citibank, до тех пор подобноеникому не удавалось. Служба безопасности Citibank выяснила, что у банка пыталисьпохитить $2,8 млн., но контролирующие системы вовремя это обнаружили и заблокировалисчета. Украсть же удалось лишь $400 тысяч. Для получения денег Левин выехал в Англию,где и был арестован [17, сообщ. за 01.10.95г.].

Компьютеризация банковской деятельности позволила значительно повыситьпроизводительность труда сотрудников банка, внедрить новые финансовые продукты итехнологии. Однако прогресс в технике преступлений шел не менее быстрыми темпами,чем развитие банковских технологий. В настоящее время свыше 90% всех преступленийсвязана с использованием автоматизированных систем обработки информации банка (АСОИБ)[6, с.17]. Следовательно, при создании и модернизации АСОИБ банкам необходимо уделятьпристальное внимание обеспечению ее безопасности. Именно этой проблеме посвященабольшая часть дипломной работы.

Именно эта проблема является сейчас наиболее актуальной и наименее исследованной.Если в обеспечении физической и классической информационной[1]безопасности давно уже выработаны устоявшиеся подходы (хотя развитие происходити здесь), то в связи с частыми радикальными изменениями в компьютерных технологияхметоды безопасности АСОИБ требуют постоянного обновления. Как показывает практика,не существует сложных компьютерных систем, не содержащих ошибок. А поскольку идеологияпостроения крупных АСОИБ регулярно меняется, то исправления найденных ошибок и«дыр» в системах безопасности хватает ненадолго, так как новая компьютерная системаприносит новые проблемы и новые ошибки, заставляет по-новому перестраивать системубезопасности.

Особенно актуальна данная проблема в России. В западных банках программноеобеспечение (ПО) разрабатываются конкретно под каждый банк и устройство АСОИБ вомногом является коммерческой тайной. В России получили распространение «стандартные»банковские пакеты, информация о которых широко известна, что облегчает несанкционированныйдоступ в банковские компьютерные системы. Причем, во-первых, надежность «стандартного»ПО ниже из-за того разработчик не всегда хорошо представляет конкретные условия,в которых этому ПО придется работать, а во-вторых, некоторые российские банковскиепакеты не удовлетворяли условиям безопасности. Например, ранние версии (которыеи по сей день эксплуатируются в небольших банках) самого популярного российскогобанковского пакета требовали наличия дисковода у персонального компьютера и использовалиключевую дискету, как инструмент обеспечения безопасности [16]. Такое решение, во-первых,технически ненадежно, а во-вторых, одно из требований безопасности АСОИБ — закрытиедисководов и портов ввода-вывода в компьютерах сотрудников, не работающих с внешнимиданными.

В связи с вышеизложенным, в настоящей работе основное внимание уделеноименно компьютерной безопасности банков, т.е. безопасности автоматизированных системобработки информации банка (АСОИБ), как наиболее актуальной, сложной и насущнойпроблеме в сфере банковской информационной безопасности.

В работе рассматриваются особенности информационной безопасности банков,показывается, что именно для банков (в отличие от других предприятий) информационнаябезопасность имеет решающее значение (глава 1). В главе 2 говорится о развитиибанковских информационных технологий, поскольку именно эти технологии во многомопределяют систему информационной безопасности банка. Поскольку, по данным статистики[17, сообщ. за 08.12.98г.], наибольшая часть преступлений против банков совершаетсяс использованием инсайдерской информации, то в работе имеется глава 3, посвященнаяобеспечению информационной безопасности в сфере работы с персоналом.

Остальная часть работы посвящена безопасности АСОИБ и электронных платежей,как ее составной части. В главе 4 анализируются угрозы безопасности АСОИБ и рассматриваютсяобщие принципы построения систем безопасности АСОИБ. В главе 5 описываются специализированныепроблемы безопасности банковских компьютерных сетей. Главы 6 и 7 посвящены безопасностиэлектронных платежей.

По мере развития и расширения сферы применения средств вычислительной техникиострота проблемы обеспечения безопасности вычислительных систем и защиты хранящейсяи обрабатываемой в них информации от различных угроз все более возрастает. Для этогоесть целый ряд объективных причин.

Основная из них — возросший уровень доверия к автоматизированным системамобработки информации. Им доверяют самую ответственную работу, от качества которойзависит жизнь и благосостояние многих людей. ЭВМ управляют технологическими процессамина предприятиях и атомных электростанциях, движениями самолетов и поездов, выполняютфинансовые операции, обрабатывают секретную информацию.

Сегодня проблема защиты вычислительных систем становится еще более значительнойв связи с развитием и распространением сетей ЭВМ. Распределенные системы и системыс удаленным доступом выдвинули на первый план вопрос защиты обрабатываемой и передаваемойинформации.

Доступность средств вычислительной техники, и прежде всего персональныхЭВМ, привела к распространению компьютерной грамотности в широких слоях населения.Это, в свою очередь, вызвало многочисленные попытки вмешательства в работу государственныхи коммерческих, в частности банковских, систем, как со злым умыслом, так и из чисто«спортивного интереса». Многие из этих попыток имели успех и нанесли значительныйурон владельцам информации и вычислительных систем.

В немалой степени это касается разных коммерческих структур и организаций,особенно тех, кто по роду своей деятельности хранит и обрабатывает ценную (в денежномвыражении) информацию, затрагивающую к тому же интересы большого количества людей.В банках, когда дело касается электронных платежей и автоматизированного ведениясчетов, такая информация в некотором роде и представляет из себя деньги.

Целостную картину всех возможностей защиты создать довольно сложно, посколькупока еще нет единой теории защиты компьютерных систем. Существует много подходови точек зрения на методологию ее построения. Тем не менее, в этом направлении прилагаютсясерьезные усилия, как в практическом, так и в теоретическом плане, используютсясамые последние достижения науки, привлекаются передовые технологии. Причем занимаютсяэтой проблемой ведущие фирмы по производству компьютеров и программного обеспечения,университеты и институты, а также крупные банки и международные корпорации.

Известны различные варианты защиты информации — от охранника на входе доматематически выверенных способов сокрытия данных от ознакомления. Кроме того, можноговорить о глобальной защите и ее отдельных аспектах: защите персональных компьютерах,сетей, баз данных и др.

Необходимо отметить, что абсолютно защищенных систем нет. Можно говоритьо надежности системы, во-первых, лишь с определенной вероятностью, а во-вторых,о защите от определенной категории нарушителей. Тем не менее проникновения в компьютернуюсистему можно предусмотреть. Защита — это своего рода соревнование обороны и нападения:кто больше знает и предусматривает действенные меры — тот и выиграл.

Организация защиты АСОИБ — это единый комплекс мер, которые должны учитыватьвсе особенности процесса обработки информации. Несмотря на неудобства, причиняемыепользователю во время работы, во многих случаях средства защиты могут оказатьсясовершенно необходимыми для нормального функционирования системы. К основным изупомянутых неудобств следует отнести:

1. Дополнительные трудности работы с большинством защищенных систем.

2. Увеличение стоимости защищенной системы.

3. Дополнительная нагрузка на системные ресурсы, что потребует увеличениярабочего времени для выполнения одного и того же задания в связи с замедлением доступак данным и выполнения операций в целом.

4. Необходимость привлечения дополнительного персонала, отвечающего заподдержание работоспособности системы защиты.

Что же касается необходимости применения защиты, то здесь принцип «покагром не грянет, мужик не перекрестится» себя не оправдывает. Информация может иметьслишком большую ценность, чтобы рисковать ею, а непреложная истина: «кто владеетинформацией — тот владеет миром», большей частью вполне себя оправдывает.

Современный банк трудно представить себе без автоматизированной информационнойсистемы. Компьютер на столе банковского служащего уже давно превратился в привычныйи необходимый инструмент. Связь компьютеров между собой и с более мощными компьютерами,а также с ЭВМ других банков — также необходимое условие успешной деятельности банка— слишком велико количество операций, которые необходимо выполнить в течении короткогопериода времени.

В то же время информационные системы становятся одной из наиболее уязвимыхсторон современного банка, притягивая к себе злоумышленников как из числа персоналабанка, так и со стороны. Оценки потерь от преступлений, связанных с вмешательствомв деятельность информационной системы банков, очень сильно разнятся. Сказываетсяразнообразие методик для их подсчета. Средняя банковская кража с применением электронныхсредств составляет около $9.000, а один из самых громких скандалов связан с попыткойукрасть $700 млн. (Первый национальный банк, Чикаго). [3, с.56]

Причем необходимо учитывать не только суммы прямого ущерба, но и весьмадорогостоящие мероприятия, которые проводятся после успешных попыток взлома компьютерныхсистем. Так, недавняя пропажа данных о работе с секретными счетами Bank ofEngland в январе 1999 года заставила банк поменять коды всех корреспондентских счетов.В этой связи в Великобритании были подняты по тревоге все имеющиеся силы разведкии контрразведки для того, чтобы не допустить невероятной утечки информации, способнойнанести огромный ущерб. Правительством предпринимались крайние меры с тем, чтобыпосторонним не стали известны счета и адреса, по которым Bank of England направляетежедневно сотни миллиардов долларов. Причем в Великобритании больше опасались ситуации,при которой данные могли оказаться в распоряжении иностранных спецслужб. В такомслучае была бы вскрыта вся финансовая корреспондентская сеть Bank of England. Возможностьущерба была ликвидирована в течение нескольких недель. [17, сообщ. за 26.02.99г.]

Услуги, предоставляемые банками сегодня, в немалой степени основаны наиспользовании средств электронного взаимодействия банков между собой, банков и ихклиентов и торговых партнеров. В настоящее время доступ к услугам банков стал возможениз различных удаленных точек, включая домашние терминалы и служебные компьютеры.Этот факт заставляет отойти от концепции «запертых дверей», которая была характернадля банков 60-х годов, когда компьютеры использовались в большинстве случаев в пакетномрежиме как вспомогательное средство и не имели связи с внешним миром.

Компьютерные системы, без которых не может обойтись ни один современныйбанк, — источник совершенно новых, ранее неизвестных угроз. Большинство из них обусловленоиспользованием в банковском деле новых информационных технологий и характерны нетолько для банков. При этом следует помнить, что во многих странах, несмотря навсе увеличивающуюся роль электронных систем обработки, объем операций с бумажнымидокументами в 3-4 раза выше, чем с их электронными аналогами.

Уровень оснащенности средствами автоматизации играет немаловажную рольв деятельности банка и, следовательно, напрямую отражается на его положении и доходах.Усиление конкуренции между банками приводит к необходимости сокращения времени напроизводство расчетов, увеличения номенклатуры и повышения качества предоставляемыхуслуг.

Чем меньше времени будут занимать расчеты между банком и клиентами, темвыше станет оборот банка и, следовательно, прибыль. Кроме того, банк более оперативносможет реагировать на изменение финансовой ситуации. Разнообразие услуг банка (впервую очередь это относится к возможности безналичных расчетов между банком и егоклиентами с использованием пластиковых карт) может существенно увеличить число егоклиентов и, как следствие, повысить прибыль.

В то же время, АСОИБ банка становится одним из наиболее уязвимых мест вовсей организации, притягивающей злоумышленников, как извне, так и из числа сотрудниковсамого банка. Для подтверждения этого тезиса можно привести несколько фактов:

* Потери банков и других финансовых организаций от воздействий на их системыобработки информации составляют около $3 млрд. в год.

* Объем потерь, связанных с использованием пластиковых карточек оцениваетсяв $2 млрд. в год, что составляет 0.03-2% от общего объема платежей в зависимостиот используемой системы.

* Средняя величина ущерба от банковской кражи с применением электронныхсредств составляет около $9.000. [3, с.60]

* Один из самых громких скандалов связан с попыткой семерых человек украсть$700 млн. в Первом национальном банке, Чикаго. Она была предотвращена ФБР.

* 27 млн. фунтов стерлингов были украдены из Лондонского отделенияUnion Bank of Switzerland;

* DM 5 млн. украдены из Chase Bank (Франкфурт); служащий перевел деньгив банк Гонконга; они были взяты с большого количества счетов (атака «салями»), кражаоказалась успешной;

* $3 млн. — банк Стокгольма, кража была совершена с использованием привилегированногоположения нескольких служащих в информационной системе банка и также оказалась успешной.[10]

Чтобы обезопасить себя и своих клиентов, большинство банков предпринимаютнеобходимые меры защиты, в числе которых защита АСОИБ занимает не последнее место.При этом необходимо учитывать, что защита АСОИБ банка — дорогостоящее и сложноемероприятие. Так, например, Barclays Bank тратит на защиту своей автоматизированнойсистемы около $20 млн. ежегодно. [13]

В первой половине 1994 г. Datapro Information Services Group провела почтовыйопрос среди случайно выбранных менеджеров информационных систем. Целью опроса явилосьвыяснение состояния дел в области защиты. Было получено 1.153 анкеты, на основекоторых получены приводимые ниже результаты [2, с.101]:

* около 25% всех нарушений составляют стихийные бедствия;

* около половины систем испытывали внезапные перерывы электропитанияили связи, причины которых носили искусственный характер;

* около 3% систем испытывали внешние нарушения (проникновение в системуорганизации);

* 70-75% — внутренние нарушения, из них:

- 10% совершены обиженнымии недовольными служащими-пользователями АСОИБ банка;

- 10% — совершены из корыстныхпобуждений персоналом системы;

- 50-55% — результат неумышленныхошибок персонала и/или пользователей системы в результате небрежности, халатностиили некомпетентности.

Эти данные свидетельствуют о том, что чаще всего происходят не такие нарушения,как нападения хакеров или кража компьютеров с ценной информацией, а самые обыкновенные,проистекающие из повседневной деятельности. В то же время именно умышленные атакина компьютерные системы приносят наибольший единовременный ущерб, а меры защитыот них наиболее сложны и дорогостоящи. В этой связи проблема оптимизации защитыАСОИБ является наиболее актуальной в сфере информационной безопасности банков.

Глава 1. Особенности информационной безопасностибанков.

Стратегия информационной безопасности банков весьма сильно отличается отаналогичных стратегий других компаний и организаций. Это обусловлено прежде всегоспецифическим характером угроз, а также публичной деятельностью банков, которыевынуждены делать доступ к счетам достаточно легким с целью удобства для клиентов.

Обычная компания строит свою информационную безопасность, исходя лишь изузкого круга потенциальных угроз — главным образом защита информации от конкурентов(в российских реалиях основной задачей является защита информации от налоговых органови преступного сообщества с целью уменьшения вероятности неконтролируемого ростаналоговых выплат и рэкета). Такая информация интересна лишь узкому кругу заинтересованныхлиц и организаций и редко бывает ликвидна, т.е. обращаема в денежную форму.

Информационная безопасность банка должна учитывать следующие специфическиефакторы:

1. Хранимая и обрабатываемая в банковских системах информация представляетсобой реальные деньги. На основании информации компьютера могут производится выплаты,открываться кредиты, переводиться значительные суммы. Вполне понятно, что незаконноеманипулирование с такой информацией может привести к серьезным убыткам. Эта особенностьрезко расширяет круг преступников, покушающихся именно на банки (в отличие от, например,промышленных компаний, внутренняя информация которых мало кому интересна).

2. Информация в банковских системах затрагивает интересы большого количествалюдей и организаций — клиентов банка. Как правило, она конфиденциальна, и банк несетответственность за обеспечение требуемой степени секретности перед своими клиентами.Естественно, клиенты вправе ожидать, что банк должен заботиться об их интересах,в противном случае он рискует своей репутацией со всеми вытекающими отсюда последствиями.

3. Конкурентоспособность банка зависит от того, насколько клиенту удобноработать с банком, а также насколько широк спектр предоставляемых услуг, включаяуслуги, связанные с удаленным доступом. Поэтому клиент должен иметь возможностьбыстро и без утомительных процедур распоряжаться своими деньгами. Но такая легкостьдоступа к деньгам повышает вероятность преступного проникновения в банковские системы.

4. Информационная безопасность банка (в отличие от большинства компаний)должна обеспечивать высокую надежность работы компьютерных систем даже в случаенештатных ситуаций, поскольку банк несет ответственность не только за свои средства,но и за деньги клиентов.

5. Банк хранит важную информацию о своих клиентах, что расширяет круг потенциальныхзлоумышленников, заинтересованных в краже или порче такой информации.

Преступления в банковской сфере также имеют свои особенности [2, с.16]:

·   Многие преступления, совершенныев финансовой сфере остаются неизвестными для широкой публики в связи с тем, чторуководители банков не хотят тревожить своих акционеров, боятся подвергнуть своюорганизацию новым атакам, опасаются подпортить свою репутацию надежного хранилищасредств и, как следствие, потерять клиентов.

·   Как правило, злоумышленники обычноиспользуют свои собственные счета, на который переводятся похищенные суммы. Большинствопреступников не знают, как «отмыть» украденные деньги. Умение совершить преступлениеи умение получить деньги — это не одно и то же.

·   Большинство компьютерных преступлений— мелкие. Ущерб от них лежит в интервале от $10.000 до $50.000.

·   Успешные компьютерные преступления,как правило, требуют большого количества банковских операций (до нескольких сотен).Однако крупные суммы могут пересылаться и всего за несколько транзакций.

·   Большинство злоумышленников — клерки.Хотя высший персонал банка также может совершать преступления и нанести банку гораздобольший ущерб — такого рода случаи единичны.

·   Компьютерные преступления не всегдавысокотехнологичны. Достаточно подделки данных, изменения параметров среды АСОИБи т.д., а эти действия доступны и обслуживающему персоналу.

·   Многие злоумышленники объясняютсвои действия тем, что они всего лишь берут в долг у банка с последующим возвратом.Впрочем «возврата», как правило, не происходит.

Специфика защиты автоматизированных систем обработки информации банков(АСОИБ) обусловлена особенностями решаемых ими задач:

·   Как правило АСОИБ обрабатывают большойпоток постоянно поступающих запросов в реальном масштабе времени, каждый из которыхне требует для обработки многочисленных ресурсов, но все вместе они могут быть обработанытолько высокопроизводительной системой;

·   В АСОИБ хранится и обрабатываетсяконфиденциальная информация, не предназначенная для широкой публики. Ее подделкаили утечка могут привести к серьезным (для банка или его клиентов) последствиям.Поэтому АСОИБ обречены оставаться относительно закрытыми, работать под управлениемспецифического программного обеспечения и уделять большое внимание обеспечению своейбезопасности;

·   Другой особенностью АСОИБ являетсяповышенные требования к надежности аппаратного и программного обеспечения. В силуэтого многие современные АСОИБ тяготеют к так называемой отказоустойчивой архитектурекомпьютеров, позволяющей осуществлять непрерывную обработку информации даже в условияхразличных сбоев и отказов.

Можно выделить два типа задач, решаемых АСОИБ:

1. Аналитические. К этому типу относятся задачи планирования, анализа счетови т.д. Они не являются оперативными и могут требовать для решения длительного времени,а их результаты могут оказать влияние на политику банка в отношении конкретногоклиента или проекта. Поэтому подсистема, с помощью которой решаются аналитическиезадачи, должна быть надежно изолирована от основной системы обработки информации.Для решения такого рода задач обычно не требуется мощных вычислительных ресурсов,обычно достаточно 10-20% мощности всей системы. Однако ввиду возможной ценностирезультатов их защита должна быть постоянной.

2. Повседневные. К этому типу относятся задачи, решаемые в повседневнойдеятельности, в первую очередь выполнение платежей и корректировка счетов. Именноони и определяют размер и мощность основной системы банка; для их решения обычнотребуется гораздо больше ресурсов, чем для аналитических задач. В то же время ценностьинформации, обрабатываемой при решении таких задач, имеет временный характер. Постепенноценность информации, например, о выполнении какого-либо платежа, становиться неактуальной. Естественно, это зависит от многих факторов, как-то: суммы и времениплатежа, номера счета, дополнительных характеристик и т.д. Поэтому, обычно бываетдостаточным обеспечить защиту платежа именно в момент его осуществления. При этомзащита самого процесса обработки и конечных результатов должна быть постоянной.

Каким же мерам защиты систем обработки информации отдают предпочтение зарубежныеспециалисты? На этот вопрос можно ответить, используя результаты опроса, проведенногоDatapro Information Group в 1994 году среди банков и финансовых организаций[2]:

·   Сформулированную политику информационнойбезопасности имеют 82% опрошенных. По сравнению с 1991 годом процент организаций,имеющих политику безопасности, увеличился на 13%.

·   Еще 12% опрошенных планируют разработатьполитику безопасности. Четко выражена следующая тенденция: организации с большимчислом персонала предпочитают иметь разработанную политику безопасности в большейстепени, чем организации с небольшим количеством персонала. Например, по даннымэтого опроса, всего лишь 66% организаций, с числом сотрудников менее 100 человекимеют политику безопасности, тогда как для организаций с числом сотрудников более5000 человек доля таких организаций составляет 99%.

·   В 88% организаций, имеющих политикуинформационной безопасности, существует специальное подразделение, которое отвечаетза ее реализацию. В тех организациях, которые не содержат такое подразделение, этифункции, в основном, возложены на администратора системы (29%), на менеджера информационнойсистемы (27%) или на службу физической безопасности (25%). Это означает, что существуеттенденция выделения сотрудников, отвечающих за компьютерную безопасность, в специальноеподразделение.

·   В плане защиты особое внимание уделяетсязащите компьютерных сетей (90%), больших ЭВМ (82%), восстановлению информации послеаварий и катастроф (73%), защите от компьютерных вирусов (72%), защите персональныхЭВМ (69%).

Можно сделать следующие выводы об особенностях защиты информации в зарубежныхфинансовых системах [2, с.21]:

·   Главное в защите финансовых организаций— оперативное и по возможности полное восстановление информации после аварий и сбоев.Около 60% опрошенных финансовых организаций имеют план такого восстановления, которыйежегодно пересматривается в более чем 80% из них. В основном, защита информацииот разрушения достигается созданием резервных копий и их внешним хранением, использованиемсредств бесперебойного электропитания и организацией «горячего» резерва аппаратныхсредств.

·   Следующая по важности для финансовыхорганизаций проблема — это управление доступом пользователей к хранимой и обрабатываемойинформации. Здесь широко используются различные программные системы управления доступом,которые иногда могут заменять и антивирусные программные средства. В основном используютсяприобретенные программные средства управления доступом. Причем в финансовых организацияхособое внимание уделяют такому управлению пользователей именно в сети. Однако сертифицированныесредства управления доступом встречаются крайне редко (3%). Это можно объяснитьтем, что с сертифицированными программными средствами трудно работать и они крайнедороги в эксплуатации. Это объясняется тем, что параметры сертификации разрабатывалисьс учетом требований, предъявляемым к военным системам.

·   К отличиям организации защиты сетейЭВМ в финансовых организациях можно отнести широкое использование стандартного(т.е. адаптированного, но не специально разработанного для конкретной организации)коммерческого программного обеспечения для управления доступом к сети (82%), защитаточек подключения к системе через коммутируемые линии связи (69%). Скорее всегоэто связано с большей распространенностью средств телекоммуникаций в финансовыхсферах и желание защититься от вмешательства извне. Другие способы защиты, такиекак применение антивирусных средств, оконечное и канальное шифрование передаваемыхданных, аутентификация сообщений применяются примерно одинаково и, в основном (заисключением антивирусных средств), менее чем в 50% опрошенных организаций.

·   Большое внимание в финансовых организацияхуделяется физической защите помещений, в которых расположены компьютеры (около40%). Это означает, что защита ЭВМ от доступа посторонних лиц решается не толькос помощью программных средств, но и организационно-технических (охрана, кодовыезамки и т.д.).

·   Шифрование локальной информацииприменяют чуть более 20% финансовых организаций. Причинами этого являются сложностьраспространения ключей, жесткие требования к быстродействию системы, а также необходимостьоперативного восстановления информации при сбоях и отказах оборудования.

·   Значительно меньшее внимание в финансовыхорганизациях уделяется защите телефонных линий связи (4%) и использованию ЭВМ, разработанныхс учетом требования стандарта Tempest (защита от утечки информации по каналам электромагнитныхизлучений и наводок). В государственных организациях решению проблемы противодействияполучению информации с использованием электромагнитных излучений и наводок уделяютгораздо большее внимание.

Анализ статистики позволяет сделать важный вывод: защита финансовых организаций(в том числе и банков) строится несколько иначе, чем обычных коммерческих и государственныхорганизаций. Следовательно для защиты АСОИБ нельзя применять те же самые техническиеи организационные решения, которые были разработаны для стандартных ситуаций. Нельзябездумно копировать чужие системы — они разрабатывались для иных условий.

Глава 2. Влияние достижений в сфере компьютернойобработки информации на развитие банковских технологий.

Мировая банковская индустрия вошла в период перемен. Появление новых информационныхтехнологий начинает оказывать влияние на выработку стратегической политики банка.

Нынешние изменения в банковской сфере связаны с влиянием ряда факторов,в числе которых международная тенденция глобализации рынка банковских услуг, изменениезаконодательства, а также развитие информационных технологий. Все это заставляетбанки изменять способы обслуживания клиента.

Для того, чтобы остаться конкурентоспособными в XXI веке банки должны оцениватьвнешние факторы и адекватно реагировать на них. К тому же на деятельность банковвлияют и внутренние факторы, такие как изменение запросов клиентов, необходимостьуменьшения времени обслуживания, расширение использования высоких технологий.

Все это вынуждает банки искать свое место на рынке и разрабатывать своюстратегию действий с учетом новых реальностей. В жестких условиях современного рынкабанки должны дать четкий ответ на следующие вопросы:

1. Что оказывает давление на мой бизнес?

2. Что оказывает давление на бизнес моих клиентов?

3. Как я буду конкурировать на рынке?

4. Как я могу увеличить количество моих клиентов?

5. Смогу ли я увеличить поступления с помощью расширенного набора услуг?

6. На каких рынках мне следует быть?

7. Где и как возникают наибольшие затраты и как я могу их уменьшить?

8. Как я могу увеличить количество моих акционеров?

К основным внешним факторам, влияющих на банковскую индустрию в Европе,специалисты фирмы DEC [1, с.42] относят следующие:

* Общий рынок. Европейское Сообщество приняло решение о создании Общегоевропейского рынка товаров и услуг. Также как и некоторые положения Программы Общегорынка, некоторые директивы, вытекающие из этого решения окажут воздействие на деятельностьбанков.

* Вторая банковская директива. Наиболее значительным актом, оказывающимвоздействие на деятельность банков, является Вторая координационная банковская директива[Second Coordination Directive (Banking)], принятая к исполнению всеми членами Сообществас 1 января 1993 г. Основным содержанием этой директивы являются принципы внутригосударственногоуправления и всеобщего одобрения членами Сообщества стандартов контроля и регулированиядеятельности банков. Это позволяет банкам Сообщества, имеющим лицензии на деятельностьв своей стране, выполнять операции в рамках всего Сообщества без получения дополнительныхлицензий.

* Глобализация рынка услуг. С развитием новых технологий исчезают ограничения,связанные с национальными барьерами, и рынок услуг становится доступным 24 часав сутки.

* Изменения в законодательстве. Изменения в законодательстве поощряют небанковскиеорганизации оказывать финансовые услуги в прямом соперничестве с банками. Многиеиз таких организаций созданы недавно, их деятельность не регулируется так, как банковская,и они не нуждаются в дорогостоящей инфраструктуре для этой цели. Они используютсуществующие сети распределения и продаж для оказания услуг, стоимость которых оказываетсяменьше, чем у банков. Более того, они не наследуют традиционную банковскую инфраструктуру:многие банки считают слишком обременительным для себя ее переориентировать. Небанковскиеорганизации используют расширяющуюся сеть клиентов и увеличение продаж в тех областях,которые были исключительной вотчиной банков. Так например, английская фирмаMarks & Spencer успешно внедрилась на финансовый рынок с помощью создания собственногоинвестиционного фонда и карточек для обслуживания в магазинах.

* Увеличение требовательности клиентов. Информированность клиентов о доступностиуслуг банков и их стоимости приводит к увеличению требований к качеству и стоимостипредлагаемых услуг. Особенно это касается крупнейших универсальных банков, которыестановятся все менее привлекательны для клиентов, объединенных каким-либо однимобщим интересом или проживающих в одном регионе. Клиенты также прекрасно осведомленыо риске, связанном с банковской деятельностью, и становятся более осторожными привкладывании денег в ненадежные банки.

* Обработка транзакций. Обработка транзакций остается наиболее трудоемкимэлементом цепи приоритетов банка; она должна быть безошибочной и обеспечивать точнуюи своевременную информацию. Однако клиенты не желают оплачивать «невидимые» услуги и поэтому не считают обработку транзакций прибыльнымэлементом для банка. Банки не в состоянии оказывать высококачественные услуги беззначительных затрат в этой области. Но они стараются компенсировать их с помощьюпрогрессивно возрастающих тарифов. Конкуренты стремятсяиспользовать более дешевые технологии, которые дают преимущество в конкурентнойборьбе.

* Технологии. За последнее десятилетие развитие технологий, средств обработкии передачи информации помогли увеличить производительность и уменьшить стоимостьбанковских операций. Современные технологии позволяют практически моментально получатьи использовать информацию о клиентах, продуктах и рисках, что, несомненно, оказываетвлияние на конкурентоспособность банков. Однако пока очень немногие банки в полноймере используют эти возможности. Средства телекоммуникаций вместе с новыми информационнымитехнологиями становятся инструментом при разработке новых продуктов и механизмових распространения, что расширяет сферу деятельности банков. Электронные платежии средства расчета в точке продажи — примеры использования новых технологий, кореннымобразом меняющих банковскую индустрию. Тем не менее, информационные технологии иподдерживающие их организационные структуры могут стать барьером на пути развития.Вложив большие средства в определенную технологию, очень сложно переориентироватьсяна какую-либо другую. Этого недостатка лишены новые конкуренты, которые будут сразуприобретать перспективные технологии.

Выход из этого тупика — разработка эффективных способов обработки данных.В идеале следует заставить клиентов расплачиваться за улучшение параметров обслуживания (например, скорости).Так, скажем, операции передачи денег традиционно имеютбольшой объем и все больше зависят от применяемых технологий для сокращения расходов.Выполнение этих операций для большого числа клиентов может дать банкам существеннуюприбыль. Объемы же операций, связанных с обработкой чеков и других бумажных документовбудут уменьшаться пропорциональнораспространению электронных банковских карт.

Современные технологии предлагают альтернативы традиционным банковскимпродуктам и услугам. Изменения, которые привели к уменьшению объема локальных операций,оказываются в центре внимания.

Так, Deutsche Bank в 1992 г. объявил об убытках, связанных с обслуживаниемчастных лиц, в сумме DM 200 млн. Тем не менее он продолжал выполнять программу расширениясети самообслуживания путем эмитирования 3-х миллионов электронных карт. [1, с.51]

Использование современных технологий создало новый рынок, где технологиистановятся товаром в таких областях как обмен электронными данными, системы электронныхплатежей в точке продажи и т.д. Прежде всего это касается улучшения обслуживанияклиентов и оказания более специфических услуг.

Идя навстречу требованиям клиентов, и в соответствии с другими факторамиконкурентной борьбы, банки должны будут выбрать один из следующих путей развития:

1. Оказывать все виды услуг в большинстве своих отделений, включая, возможно,и небанковские услуги — универсальный банк;

2. Предоставлять узкому кругу клиентов небольшой, но специфичный переченьуслуг в определенном регионе — специализированный банк.

Существующий круг клиентов — это ключевой ресурс банка, который необходимосохранить и попытаться увеличить. С этой целью многие банки приспосабливают своитехнологии для продажи новой продукции. Более того, они переопределяют назначениетрадиционных механизмов распределения (единые филиальные и корпоративные банковскиесети) и вводят в эксплуатацию новые (телекоммуникационные средства связи с другимибанками и корпоративными клиентами).

Растет необходимость жесткого контроля за расходами, особенно в условияхувеличения затрат на регулирование деятельности и появления на рынке новых дешевыхтоваров и услуг, производимых и оказываемых небанковскими организациями. Такой контрольможет быть осуществлен с помощью централизованной обработки информации и совершенствованияуправлением. Эти меры, безусловно, оказывают воздействие на штат банка.

Возрастает необходимость обработки постоянно растущего потока информациио состоянии рынка для более точного определения места специфической продукции нарасширяющемся рынке.

Возможность доступа клиента к банку с помощью существующих филиальных сетейтеперь уже не является ключевым фактором успеха. Изменение требований клиентов,новые технологии и фиксированно высокая стоимость содержания таких сетей заставляютискать альтернативные стратегии. Предлагаются следующие подходы:

— мобильные пункты продажи товаров и услуг;

— механизмы прямой продажи товаров и услуг;

— технологии расчета в точке продажи;

— электронное и телефонное банковское обслуживание и др.

Применение новых технологий оказывает влияние на стратегические направленияи направления бизнеса в деятельности банка.

Банки издавна внедряют и используют самые современные достижения наукии техники для облегчения ручного труда и ускорения выполняемых операций. Однакосейчас этого уже недостаточно и победителями будут те, кто полностью перестроитсвою деятельность в соответствии с современными технологиями.

Развитие современных информационных технологий может осуществляться подвоздействием бизнеса и для бизнеса. Особенно важным в этом процессе является то,что информационные технологии развиваются в тесном взаимодействии с экономикой.Информационные технологии влияют на размер получаемых доходов и на то, как они складываютсяи распределяются.

Информационные технологии пронизывают каждый элемент цепи приоритетов банка,наполняя их новым содержанием и воздействуя на связь элементов между собой. Крометого, технологии влияют на конкурентоспособность банков, изменяя жизненный циклпродукции, предлагаемой клиентам.

Стратегии применения информационных технологий определяют методы, с помощьюкоторых они изменяют современный бизнес, и пути управления этими переменами.

Важным моментом является разработка архитектуры компьютерной системы банка.Под архитектурой системы понимается совокупность ее функциональных компонентов иих взаимодействие друг с другом. Целью разработки архитектуры компьютерной системыбанка является создание внутренне логичной и гибкой системы, которая будет следоватьза изменениями стратегии деятельности банка с минимальным разрушающим воздействиемна нее. Любая архитектура должна сочетаться с стратегией банка и упрощать проведениеее в жизнь.

Появление каждой новой технологии обязательно влечет за собой отказ отсуществующих систем обработки данных. Естественно, это является барьером на путивнедрения новых разработок. Неуклонно возрастает в связи с этим интерес к стандартизованными открытым системам, в которых программы и представления данные совместимы и ихработа не зависит от поставщика оборудования и программ.

Это направление особенно важно при выработке взаимных соглашений и междуорганизациями и их слиянии. Например, слияния Dutch Postbank и NaturaleNederlanden, английских Lloyds и Abbey Life, германских — Deutsche Bank иDeutsch Lebensversicherung — привели к возникновению проблем, связанных с информационнымитехнологиями. Задача заключается в том, чтобы разработать такую архитектуру, котораясвяжет вместе критичную деятельность клиентов и каналы распределения товаров и услугбанка, не нарушая при этом порядка работы организации. [1, с.60]

Во многом прибыльность банка зависит от обеспечения высшего руководстванужной, своевременной и точной информацией. Системы управления информацией должныбыть действительными помощниками в деятельности банка, обеспечивая, например, информациюо положении на рынке, прибыльности банковской продукции, состоянии клиентов и т.д.Получаемая с их помощью информация может использоваться банком для улучшения обслуживанияклиентов или для представления им с целью использования в собственных интересах.

Банкам необходима постоянная информация о степени риска их деятельности.Оценка риска — это процесс, который коренным образом может быть изменен с помощьюсовременных технологий. В него могут быть вовлечены более «интеллектуальные» системы,которые способны оценивать процентные ставки, курсы валют, кредитоспособность клиентаи т.п., выдавая при этом рекомендации относительно возможных действий и их результатов.

Современные технологии дают банкам огромные преимущества в организациисистем доставки товаров и услуг. Использование электронных средств связи позволяетреализовать:

·   электронные платежи и расчеты вточке продажи;

·   клиентские терминалы, осуществляющиепрямую связь с банком;

·   домашнее банковское обслуживаниес помощью персонального компьютера или телефона;

·   обмен электронными данными в сетис расширенным набором услуг;

·   технологии электронных банковскихкарт, включая магнитные пластиковые и интеллектуальные карты.

Реализация этих и других методов банковского обслуживания в конкретныхсистемах требует разработки жестких мер защиты для предотвращения случайных и умышленныхнарушений их функционирования.

Одна из важных проблем банков сегодня — это управление инвестициями в электронныебанковские системы с тем, чтобы последние полностью отражали перемены в банковскойиндустрии. Успех на новых стратегических направлениях бизнеса во многом зависитот реализации информационных систем.

Глава 3. Человеческий фактор в обеспеченииинформационной безопасности.Угрозы информационной безопасности банкасо стороны персонала.

Преступления, в том числе в информационной сфере, совершаются людьми. Большинствосистем не может нормально функционировать без участия человека. Пользователь системы,с одной стороны, — ее необходимый элемент, а с другой — он же является причинойи движущей силой нарушения или преступления. Вопросы безопасности систем (компьютерныхв том числе), таким образом, большей частью есть вопросы человеческих отношенийи человеческого поведения. Особенно это актуально в сфере информационной безопасности,т.к. утечка информации в подавляющем большинстве случаев происходит по вине сотрудниковбанков.

Анализ сообщений средств массовой информации и оперативных сводок правоохранительныхорганов о криминальных и диверсионно-террористических актах про­тив коммерческихструктур в Москве и других городах России позволяет сделать однозначный вывод овысо­кой степени осведомленности преступников относите­льно режима дня и динамикидеятельности предприни­мателей: жертв, как правило, неизменно встречали в районепроживания или места работы, либо с пред­ельной точностью по времени и месту перехватывалина трассе.

Заблаговременно были изучены основные и запас­ные маршруты перемещениякоммерсантов. Преступ­ники располагали подробными сведениями о составе семьи и родственникахбудущих жертв, марках и но­мерных знаках личных и служебных автомашин, сосе­дяхи т.п.

Неотъемлемым составляющим элементом любой планируемой преступной акцииявляется сбор инфор­мации. Представляется возможным выделить следу­ющие основныеметоды, которые используются зло­умышленниками в настоящее время для добывания сведенийо коммерческих структурах:

·   наблюдение, в том числе с помощьюмобильных и стационарных оптико-технических средств, скрытое фотографирование, видеозапись;выведывание информации;

·   проведение опросов, интервьюирования,анкетиро­вания, «направленных» бесед и т.п.;

·   хищение, скрытое копирование, подделкакаких-ли­бо внутренних документов лицами, внедренными или приобретенными в коммерческихструктурах, которые согласились или оказались вынужденными осуществ­лять указанныедействия по корыстным побуждениям, в результате угроз, по физическому принуждениюлибо иным причинам;

·   перехват информации на различныхчастотных ка­налах внутренней и внешней радио- и телевизионной связи коммерческихструктур;

·   получение информации техническимисредствами путем использования различных источников сигналов в помещениях коммерческихструктур как связанных с функционирующей аппаратурой (персональные ком­пьютеры),так и через специально внедренную технику негласного съема информации (спецзакладки,в том числе дистанционного управления);

·   добывание информации о коммерческихструктурах посредством применения системы аналитических ме­тодов (структурный анализ,финансовый анализ, ана­лиз себестоимости продукции, анализ научно-техничес­ких образцов,оценка квалификационных особенностей рабочих и служащих, изучение основных материаль­ныхфондов и т.п.).

При всем многообразии и несомненных достоинст­вах вышеперечисленных методовв настоящее время все же использование сотрудников коммерческих струк­тур в качествеисточников внутренней информации рас­сматривается как наиболее надежный, быстрыйи эффек­тивных способ получения конфиденциальных данных.

Отметим также, что кроме добывания собственно конфиденциальной информациипо различным вопро­сам такой внутренний источник из числа сотрудников коммерческихорганизаций может быть одновременно использован для получения уточняющих сведений,ко­торые бы дополняли данные, добытые техническими средствами и иными методами.

Помимо этого агентурные информационные источ­ники сегодня все более активнои настойчиво использу­ются для оказания выгодного криминальным структу­рам, а такжеконкурентам влияния на стратегию и так­тику поведения руководителей соответствующихком­мерческих предприятий, а также для воздействия на позицию лиц, принимающих ответственныерешения в сфере налогообложения, таможенной политики, экс­портно-импортных квот,землеотвода и т.д. [4, с.268]

При анализе нарушений защиты большое внимание следует уделять не толькосамому факту как таковому (то есть объекту нарушения), но и личности нарушителя,то есть субъекту нарушения. Такое внимание поможет разобраться в побудительных мотивахи, может быть, даст возможность избежать в дальнейшем повторения подобных ситуаций.Ценность такого анализа обуславливается еще и тем, что совершаемые без причины преступления(если речь не идет о халатности) очень и очень редки. Исследовав причину преступленийили нарушений можно либо повлиять на саму причину (если это возможно), либо ориентироватьсистему защиты именно на такие виды преступлений или нарушений.

Прежде всего, кто бы ни был источником нарушения, какое бы оно не было,все нарушители имеют одну общую черту -доступ к системе. Доступ может быть разным,с разными правами, к разным частям системы, через сеть, но он должен быть.

По данным Datapro Information Services Group [2] 81.7% нарушений совершаютсясамими служащими организации, имеющими доступ к ее системе, и только 17.3% нарушенийсовершаются лицами со стороны (1% приходится на случайных лиц). По другим данным,физическое разрушение составляет около 25% нарушений (пожар, наводнение, порча)и только 1-2% составляют нарушения со стороны посторонних лиц. На долю служащих,таким образом, остается 73-74% всех преступлений. Различаясь в цифрах, результатыобоих исследований говорят об одном: главный источник нарушений — внутри самой АСОИБ.И вывод отсюда также однозначен: неважно, есть ли у АСОИБ связи с внешним мироми есть ли внешняя защита, но внутренняя защита должна быть обязательно.

Можно выделять четыре основные причины нарушений: безответственность, самоутверждение,месть и корыстный интерес пользователей (персонала) АСОИБ.

При нарушениях, вызванных безответственностью, пользователь целенаправленноили случайно производит какие-либо разрушающие действия, не связанные тем не менеесо злым умыслом. В большинстве случаев это следствие некомпетентности или небрежности.Маловероятно, чтобы разработчики системы защиты могли предусмотреть все такие ситуации.Более того, во многих случаях система в принципе не может предотвратить подобныенарушения (например, случайное уничтожение своего собственного набора данных). Иногдаошибки поддержки адекватной защищенной среды могут поощрять такого рода нарушения.Даже лучшая система защиты будет скомпрометирована, если она неграмотно настроена.Наряду с неподготовленностью пользователей к точному соблюдению мер защиты, этообстоятельство может сделать систему уязвимой к этому виду нарушений.

Некоторые пользователи считают получение доступа к системным наборам данныхкрупным успехом, затевая своего рода игру «пользователь против системы» ради самоутверждениялибо в собственных глазах, либо в глазах коллег. Хотя намерения могут быть и безвредными,эксплуатация ресурсов АСОИБ считается нарушением политики безопасности. Пользователис более серьезными намерениями могут найти конфиденциальные данные, попытаться испортитьили уничтожить их при этом. Такой вид нарушения называется зондированием системы.Большинство систем имеет ряд средств противодействия подобным «шалостям». В случаенеобходимости администратор защиты использует их временно или постоянно.

Нарушение безопасности АСОИБ может быть вызвано и корыстным интересом пользователясистемы. В этом случае он будет целенаправленно пытаться преодолеть систему защитыдля доступа к хранимой, передаваемой и обрабатываемой в АСОИБ информации. Даже еслиАСОИБ имеет средства, делающие такое проникновение чрезвычайно сложным, полностьюзащитить ее от проникновения практически невозможно. Тот, кому успешно удалось проникновение— очень квалифицирован и опасен. Проникновение — опаснейший вид нарушений, правда,он встречается чрезвычайно редко, так как требуют необычайного мастерства и упорства.

Как показывает практика, ущерб от каждого вида нарушений обратно пропорционаленего частоте: чаще всего встречаются нарушения, вызванные халатностью и безответственностью,обычно ущерб от них незначителен и легко восполняется. Например, случайно уничтоженныйнабор данных можно восстановить, если сразу заметить ошибку. Если информация имеетважное значение, то необходимо хранить регулярно обновляемую резервную копию, тогдаущерб вообще практически незаметен.

Ущерб от зондирования системы может быть гораздо больше, но и вероятностьего во много раз ниже. Для таких действий необходима достаточно высокая квалификация,отличное знание системы защиты и определенные психологические особенности. Наиболеехарактерным результатом зондирования системы является блокировка: пользователь вконце концов вводит АСОИБ в состояние зависания, после чего операторы и системныепрограммисты должны тратить много времени для восстановления работоспособности системы.

Проникновение — наиболее редкий вид нарушений, но и наиболее опасный. Отличительнойчертой проникновении обычно является определенная цель: доступ (чтение, модификация,уничтожение) к определенной информации, влияние на работоспособность системы, слежениеза действиями других пользователей и др. Для выполнения подобных действий нарушительдолжен обладать теми же качествами, что и для зондирования системы, только в усиленномварианте, а также иметь точно сформулированную цель. В силу этих обстоятельств ущербот проникновении может оказаться в принципе невосполнимым. Например, для банковэто может быть полная или частичная модификация счетов с уничтожением журнала транзакций.

Таким образом, для организации надежной защиты необходимо четко отдаватьсебе отчет, от каких именно нарушений важнее всего избавиться, Для защиты от нарушений,вызванных халатностью нужна минимальная защита, для защиты от зондирования системы— более жесткая и самая жесткая вместе с постоянным контролем — от проникновении.Целью таких действий должно служить одно — обеспечение работоспособности АСОИБ вцелом и ее системы защиты в частности.

Причины, побудившие пользователя совершить нарушение или даже преступление,могут быть совершенно различными. Как уже отмечалось, около 86% нарушений составляютнеумышленные ошибки, вызванные небрежностью, недостаточной компетентностью, безответственностьюи т.д. Но не это составляет основную угрозу для системы. Гораздо более серьезнымможет быть ущерб, нанесенный в результате умышленного воздействия из-за обиды, неудовлетворенностисвоим служебным или материальным положением или по указанию других лиц. Причем ущербэтот будет тем больше, чем выше положение пользователя в служебной иерархии. Этотолько некоторые из возможных причин, побуждающих пользователей идти на нарушениеправил работы с системой.

Способы предотвращения нарушений вытекают из природы побудительных мотивов— это соответствующая подготовка пользователей, а также поддержание здорового рабочегоклимата в коллективе, подбор персонала, своевременное обнаружение потенциальныхзлоумышленников и принятие соответствующих мер. Первая из них — задача администрациисистемы, вторая — психолога и всего коллектива в целом. Только в случае сочетанияэтих мер имеется возможность не исправлять нарушения и не расследовать преступления,а предотвращать саму их причину.

При создании модели нарушителя и оценке риска потерь от действий персоналанеобходимо дифференцировать всех сотрудников по их возможностям доступа к системеи, следовательно, по потенциальному ущербу от каждой категории пользователей. Например,оператор или программист автоматизированной банковской системы может нанести несравненнобольший ущерб, чем обычный пользователь, тем более непрофессионал.

Ниже приводится примерный список персонала типичной АСОИБ и соответствующаястепень риска от каждого из них [3].

1. Наибольший риск:

— системный контролер;

— администратор безопасности.

2. Повышенный риск:

— оператор системы;

— оператор ввода и подготовки данных;

— менеджер обработки;

— системный программист.

3. Средний риск:

— инженер системы;

— менеджер программного обеспечения.

4. Ограниченный риск:

— прикладной программист;

— инженер или оператор по связи;

— администратор баз данных;

— инженер по оборудованию;

— оператор периферийного оборудования;

— библиотекарь системных магнитных носителей;

— пользователь-программист;

— пользователь-операционист.

5. Низкий риск:

— инженер по периферийному оборудованию;

— библиотекарь магнитных носителей пользователей;

— пользователь сети.

Каждый из перечисленных выше пользователей в соответствии со своей категориейриска может нанести больший или меньший ущерб системе. Однако пользователи различныхкатегорий различаются не только по степени риска, но и по тому, какому элементусистемы они угрожают больше всего. Понятно, что операционист вряд ли сможет вывестииз строя АСОИБ, но зато способен послать платеж не по адресу и нанести серьезныйфинансовый ущерб.

Кадровая политика с точки зрения информационнойбезопасности.

Практика последнего времени свидетельствует о том, что различные по масштабам,последствиям и значимости виды преступлений и правонарушений так или иначе связаныс конкретными действиями сотрудников коммерческих структур. В связи с этим представляетсяцелесообразным и необходимым в це­лях повышения экономической безопасности этихобъектов уделять больше внимания подбору и изуче­ния кадров, проверке любой информации,указыва­ющей на их сомнительное поведение и компромети­рующие связи. При этом необходимотакже в обяза­тельном порядке проводить значительную разъясни­тельно-воспитательнуюработу, систематические инст­руктажи и учения по правилам и мерам безопасности,регулярные, но неожиданные тестирования различных категорий сотрудников по постояннообновляемым программам.

В контрактах необходимо четко очерчивать персональ­ные функциональные обязанностивсех категорий со­трудников коммерческих предприятий и на основе  существующегороссийского законодательства во внутрен­них приказах и распоряжениях определятьих ответст­венность за любые виды нарушений, связанных с раз­глашением или утечкойинформации, составляющей коммерческую тайну.

Кроме того, в этой связи целесообразно отметить, что ведущие московскиекоммерческие банки все шире вводят в своих служебных документах гриф «конфиде­нциально»и распространяют различного рода надбав­ки к окладам для соответствующих категорийсвоего персонала.

Как свидетельствуют многочисленные опросы и проведённые беседы, в настоящеевремя многие ру­ководители ведущих московских коммерческих струк­тур все более глубокоосознают роль и место своих сотрудников в создании и поддержании общей систе­мыэкономической безопасности. Такое понимание этой проблемы ведет к настойчивому внедрениюпро­цедур тщательного подбора и расстановки персонала.

Так, постепенно приобретают все большую значи­мость рекомендательные письма,научные методы проверки на профпригодность и различного рода те­стирования, осуществляемыекадровыми подразделе­ниями, сотрудниками служб безопасности и группами психологическойподдержки, которые созданы в ряде коммерческих структур либо привлекаются в качествесторонних экспертов.

Несмотря, однако, на некоторые положительные примеры, в целом приходится,к сожалению, констати­ровать тот факт, что руководители подавляющего бо­льшинствакоммерческих организаций все же еще не в полной мере осознали необходимость организациикомплексной защиты своих структур от уголовных и экономических преступлений и вэтой связи потреб­ность постоянного совершенствования процесса под­бора и расстановкикадров.

Как свидетельствует современный опыт, безопа­сность экономической деятельностилюбой коммер­ческой структуры во многом зависит от того, в какой степени квалификацияее сотрудников, их морально-нравственные качества соответствуют решаемым задачам.

Если объективно оценивать существующие сегодня процедуры отбора кадров,то окажется, что во многих банках и фирмах акцент, к сожалению, делается пре­ждевсего на выяснении лишь уровня профессиональ­ной подготовки кандидатов на работу,который опре­деляется зачастую по традиционно-формальным при­знакам: образование;разряд; стаж работы по специальности.

При таком подходе очевидно, что кадровые подра­зделения исходят из всеболее устаревающей концеп­ции ограниченной материально-финансовой ответст­венностиотдельных работников за конечные резуль­таты своей деятельности и сохранность конфиденци­альнойинформации.

В современных же коммерческих банках при весьма ограниченной численностисотрудников, все более ча­стом совмещении рядовыми исполнителями различ­ных участковработы и стремительно увеличивающих­ся потоках информации и управленческих команд,каж­дый сотрудник во все возрастающей степени становит­ся носителем конфиденциальныхсведений, которые могут представлять интерес как для конкурентов, так и криминальныхсообществ.

В таких условиях весьма существенно повышаются и изменяются требованияк личным и деловым качест­вам сотрудников и, следовательно, к кандидатам на работу.Данное обстоятельство побуждает руководи­телей коммерческих структур все чаще обращатьсяк методам и процедурам научной психологии, с помо­щью которых можно достаточно быстро,надежно и всесторонне оценивать возможного кандидата и со­ставлять его психологическийпортрет.

Конечно, было бы ошибкой полагать, что психоло­гический отбор полностьюзаменяет прежние, достато­чно надежные кадровые процедуры. В этой связи под­черкнем,что только при умелом сочетании психологи­ческих и традиционных кадровых подходовможно с высокой степенью достоверности прогнозировать по­ведение сотрудников в различных,в том числе экст­ремальных, ситуациях.

В настоящее время ведущие банковские струк­туры имеют, как правило, строгоразработанные и ут­вержденные руководством организационные структу­ры и функцииуправления для каждого подразделения. Наибольшей популярностью пользуются методикисо­ставления оргсхем или организационных чертежей, на которых графически изображаетсякаждое рабочее ме­сто, прописываются должностные обязанности и опре­деляются информационныепотоки для отдельного ис­полнителя.

При такой схеме управления и контроля предельно ясно, на каком участке(отдел, служба, управление) требуется специалист соответствующей квалификации икакой информацией он должен располагать для вы­полнения функций на своем рабочемместе. Внутрен­ними распоряжениями также определяются требова­ния к деловым и личнымкачествам сотрудников и обусловливаются режимы сохранения или коммерчес­кой тайны.

Кроме того, для большей конкретизации этих про­цедур на каждое рабочееместо рекомендуется состав­лять профессиограмму, т.е. перечень личностных ка­честв,которыми в идеале должен обладать потенциаль­ный сотрудник. Содержательная сторонаи глубина проработки профессиограмм могут быть различными. Это зависит в первуюочередь от того, на какое рабо­чее место они составляются.

Однако обязательными атрибутами подобных до­кументов являются разделы,отражающие профессио­нально значимые качества (психологические характери­стики,свойства личности, без которых невозможно выполнение основных функциональных обязанностей),а также противопоказания (личностные качества, кото­рые делают невозможным зачислениекандидата на кон­кретную должность). В некоторых случаях необходимо не только указыватьпрофессионально значимые каче­ства, но и оценивать степень их выраженности, т.е.сформированности.

После разработки схем управления и составления профессиограмм можно приступатьк собеседованиям и применять разнообразные процедуры отбора кан­дидатов на работу.Как правило, проблема отбора кадров встает перед руководителями банков в двух основныхслучаях: создание новых подразделений, замещение вакантных должностей. Для первогослучая характерно, как правило, изуче­ние значительного числа кандидатур, для которыхиз набора имеющихся вакансий подбирается соответст­вующая должность. Во втором случаеиз ограничен­ного числа кандидатов отбирается тот, который по своим личным и профессиональнымкачествам в на­ибольшей степени соответствует требованиям профессиограммы данного рабочего места.

Проблема состоит в том, что даже весьма опыт­ные работники кадровых подразделенийне всегда мо­гут правильно, достоверно и быстро оценить подлин­ное психическое состояниелиц, пришедших на собеседо­вание. Этому способствуют повышенное волнение, склонностьотдельных кандидатов к предвзятым оцен­кам характера деятельности некоторых коммерческихструктур, но особенно широкое и зачастую бесконт­рольное самолечение различных психосоматическихрасстройств с использованием в ряде случаев весьма сильных психотропных препаратов.В этой связи веду­щие московские коммерческие банки требуют от кан­дидатов предоставлениясправок о состоянии здоровья либо сами выдают направления в определенные поликлиникис рекомендацией прохождения полной диспан­серизации (за счет кандидата).

С точки зрения обеспечения страте­гических интересов коммерческой структурыявляются обязательными следующие функции службы безопас­ности:

— определение степени вероятности формирования у кандидата преступных наклонностейв случаях воз­никновения в его окружении определенных благопри­ятных обстоятельств(персональное распоряжение кре­дитно-финансовыми ресурсами, возможность контро­ляза движением наличных средств и ценных бумаг, доступ к материально-техническим ценностям,работа с конфиденциальной информацией и пр.);

— выявление имевших место ранее преступных на­клонностей, судимостей, связейс криминальной сре­дой (преступное прошлое, наличие конкретных суди­мостей, случаиафер, махинаций, мошенничества, хи­щений на предыдущем месте работы кандидата иуста­новление либо обоснованное суждение о его возмож­ной причастности к этим преступнымдеяниям).

Для добывания подобной информации использу­ютсявозможности различных подразделений банковских структур, в первую очередь службыбезопасности, отдела кадров, юридического отдела, под­разделений медицинского обеспечения,а также не­которых сторонних организаций, например, детек­тивных агентств, бюропо занятости населения, диспансеров и пр.

Очевидно также, что представители банковских структур должны быть абсолютноуверены в том, что проводят тесты, собеседования и встречи именно с те­ми лицами,которые выступают в качестве кандидатов на работу. Это подразумевает тщательнуюпроверку паспортных данных, иных документов, а также получе­ние фотографий кандидатовбез очков, контактных линз, парика, макияжа.

Рекомендуется настаивать на получении набора цветных фотографий кандидата,которые могут быть использованы в случае необходимости для предъявле­ния жильцампо месту его проживания или коллегам по работе. Использование в кадровой работецветных фотографий, соответствующих паспортным данным, предпочтительнее также всвязи с тем, что они четко и без искажений передают цвет волос, глаз, кожи, возрасти характерные приметы кандидата.

В практике уже известны случаи, когда для допол­нительного анализа анкетыкандидата и его фотогра­фий руководители банковских структур приглашали высокопрофессиональныхюристов, графологов, из­вестных психоаналитиков с целью обеспечения максимальнойполноты формулировок окончательного заключения и выявления возможных скрытых противоречийв характере проверяемого лица.

В том случае, если результаты указанных проверок, тестов и психологическогоизучения не противоречат друг другу и не содержат данных, которые бы препят­ствовалиприему на работу данного кандидата, с ним заключается трудовое соглашение, в большинствеслу­чаев предусматривающее определенный испытатель­ный срок (1-3 месяца).

Необходимо также подчеркнуть следующее важноеобстоятельство — лица, принима­емые на ответственные вакантные должности в ком­мерческихструктурах (члены правлений, главные бух­галтеры, консультанты, начальники служббезопасно­сти и охраны, руководители компьютерных центров и цехов, помощники и секретарипервых лиц) сегодня подвергаются, как правило, следующей стандартной проверке, включающей:

·   достаточно продолжительные процедурысбора и верификации установочно-биографических сведений с их последующей аналитическойобработкой;

·   предоставление рекомендательныхписем от извест­ных предпринимательских структур с их последующей проверкой;

·   проверки по учетам правоохранительныхорганов; установки по месту жительства и по предыдущим местам работы;

·   серии собеседований и тестов с последующейпси­хоаналитической обработкой результатов.

По мнению экспертов, даже каждый, взятый в от­дельности из упомянутых методовпроверки доста­точно эффективен. В совокупности же достигается весьма высокая степеньдостоверности информации о профессиональной пригодности и надежности ка­ндидата,его способностях к творческой работе на конкретном участке в соответствующем коммерческомпредприятии.

Серьезное влияние на вопросы безопасности ком­мерческих предприятий оказываютпроцедуры уволь­нения сотрудников. К сожалению, отдельных руково­дителей порой малоинтересуют чувства и пережива­ния персонала, который по тем или иным причинам попадаетпод сокращение или самостоятельно изъяв­ляет желание покинуть банк или акционерноеобще­ство. Как показывает опыт, такой подход приводит, как правило, к серьезнымнегативным последствиям.

Современные психологические подходы к процессу увольнения позволяют выработатьследующую при­нципиальную рекомендацию: каковы бы ни были причи­ны увольнения сотрудника,он должен покидать коммер­ческую организацию без чувства обиды, раздражения и мести.

Только в этом случае можно надеяться на то, что увольняемый сотрудник непредпримет необдуманных шагов и не проинформирует правоохранительные ор­ганы, налоговую инспекцию, конкурентов,криминаль­ные структуры об известных ему аспектах работы банка. Кроме того, известныслучаи мести бывших сотрудников с использованием компьютерного проникновения.

Таким образом, представители кадровых подраз­делений и служб безопасностидолжны быть четко ориентированы на выяснение истинных мотивов уво­льнения всех категорийсотрудников. Зачастую причи­ны, на которые ссылается сотрудник при увольнении, иподлинные мотивы, побудившие его к такому шагу, существенно отличаются друг от друга.Обычно лож­ный защитный мотив используется потому, что со­трудник в силу прежнихпривычек и традиций опасает­ся неправильной интерпретации своих действий со сто­роныруководителей и коллег по работе.

Наряду с этим весьма часто имеют место случаи, когда сотрудник внутреннесам уверен в том, что увольняется по откровенно называемой им причине, хотя егорешение сформировано и принято под влия­нием совершенно иных, порой скрытых от негообсто­ятельств. Так, в практике уже известны случаи весьма тонких и тайных комбинацийоказания влияния на высококвалифицированных специалистов с целью их переманиванияна другое место работы.

В этой связи принципиальная задача состоит в том, чтобы определить истиннуюпричину увольнения со­трудника, попытаться правильно ее оценить и решить, целесообразноли в данной ситуации предпринимать попытки к искусственному удержанию данного лицав коллективе либо отработать и реализовать процеду­ру его спокойного и бесконфликтногоувольнения. Ре­шение рекомендуется принимать на основе строго объективных данныхв отношении каждого конкрет­ного сотрудника.

При поступлении устного или письменного заявле­ния об увольнении рекомендуетсяво всех без исключе­ниях случаях провести с сотрудникомбеседу с участи­ем представителя кадрового подразделения и кого-ли­бо из руководителейкоммерческой структуры. Однако до беседы целесообразно предпринять меры по сборуследующей информации об увольняющемся сотруднике:

— характер его взаимоотношений с коллегами в кол­лективе; отношение к работе;уровень профессиональной подготовки; наличие конфликтов личного или служебного хара­ктера;

— ранее имевшие место высказывания или пожелания перейти на другое местоработы;

— доступ к информации, в том числе составляющей коммерческую тайну;

— вероятный период устаревания сведений, составля­ющих коммерческую тайнудля данного предприятия; предполагаемое в будущем место работы увольня­ющегося(увольняемого) сотрудника.

Беседа при увольнении проводится лишь только после того, когда собранывсе необходимые сведения. Конечно, предварительно руководитель коммерческой структурыотрабатывает принципиальный подход к вопросу о том, целесообразно ли предприниматьпопытки склонить сотрудника изменить его первона­чальное решение либо санкционироватьоформление его увольнения. В любом случае рекомендуется дать собеседнику высказатьсяи в развернутой форме объяс­нить мотивы своего решения.При выборе места про­ведения беседы предпочтение отдается, как правило, служебнымпомещениям.

В зависимости от предполагаемого результата беседа может проводиться вофициальном тоне либо иметь форму доверительной беседы, задушевного разговора, обменамнениями. Однако каковы бы ни были планы в отношении данного сотрудника, раз­говорс ним должен быть построен таким образом, чтобы последний ни в коей мере не испытывалчувства униженности, обиды, оскорбленного достоинства. Для этого следует сохранятьтон беседы предельно кор­ректным, тактичным и доброжелательным, даже не­смотря налюбые критические и несправедливые заме­чания, которые могут быть высказаны сотрудникомв адрес банковской структуры и ее конкретных менеджеров.

Если менеджером банка, отделом кадров и службой безопасности все же приняторешение не препятствовать увольнению сотрудника, а по своему служебному положению он располагал доступом к конфиденциальной информации,то в этом случае от­рабатывается несколько вариантов сохранения в тайне коммерческихсведений (оформление официальной подписи о неразглашении данных, составляющих ком­мерческуютайну, либо устная «джентльменская» до­говоренность о сохранении увольняемым сотрудникомлояльности к «своему банку или фирме»).

В этой связи необходимо подчеркнуть, что личное обращение к чувству честии достоинства увольняемых лиц наиболее эффективно в отношении тех индивиду­умов,которые обладают темпераментом сангвиника и флегматика, высоко оценивающих, какправило, до­верие и доброжелательность.

Что касается лиц с темпераментом холерика, то с этой категорией сотрудниковрекомендуется завер­шать беседу на официальной ноте. В ряде случаев объявление импринятого решения об увольнении вы­зывает бурную негативнуюреакцию, связанную с по­пытками спекулировать на своих истинных, а порой и мнимыхпрофессиональных достоинствах. Поэтому с сотрудниками такого темперамента и складахарак­тера целесообразно тщательно оговаривать и обуслов­ливать в документах возможностинаступления для них юридических последствий раскрытия коммерчес­кой тайны.

Несколько иначе рекомендуется действовать втех случаях, когда увольнения сотрудников происходят по инициативе самих коммерческихструктур. В этих об­стоятельствах не следует поспешно реализовывать принятое решение. Если увольняемое лицо располага­еткакими-либо сведениями, составляющими коммерческую тайну, то целесообразно предварительно и под соответствующимпредлогом перевести его на другой участок работы, например в такое подразделение,в ко­тором отсутствует подобная информация.

Кроме того, таких лиц традиционно стремятся со­хранить в структуре банкаили фирмы (их дочерних предприятий, филиалов) до тех пор, пока не будут принятымеры к снижению возможного ущерба от разглашения ими сведений, составляющих коммерчес­куютайну, либо найдены адекватные средства защиты конфиденциальных данных (технические,администра­тивные, патентные, юридические, финансовые и пр.).

Только лишь после реализации этих мер рекомен­дуется приглашать на собеседованиеподлежащего уво­льнению сотрудника и объявлять конкретные причи­ны, по которым коммерческаяорганизация отказыва­ется от его услуг. Желательно при этом, чтобы эти причины содержалиэлементы объективности, достове­рности и проверяемости (перепрофилирование произ­водства,сокращение персонала, ухудшение финансово­го положения, отсутствие заказчиков ипр.). При моти­вации увольнения целесообразно, как правило, воздер­живаться от ссылокна негативные деловые и личные качества данного сотрудника.

После объявления об увольнении рекомендуется внимательно выслушивать контрдоводы, аргументы и замечания сотрудника в отношении характерарабо­ты, стиля руководства компанией и т. п. Обычноуво­льняемый персонал весьма критично, остро и правдиво освещает ситуацию в коммерческихструктурах, вскры­вая уязвимые места, серьезные недоработки, кадровые просчеты,финансовые неурядицы и т. п.

Если подходить не предвзято и объективно к подо­бной критике, то эти соображениямогут быть исполь­зованы в дальнейшем весьма эффективно в интересах самого банка.В ряде случаев увольняемому со­труднику вполне серьезно предлагают даже изложитьписьменно свои рекомендации, конечно, за соответст­вующее вознаграждение.

При окончательном расчете обычно рекомендуется независимо от личностныххарактеристик увольняемых сотрудников брать у них подписку о неразглашении конфиденциальныхсведений, ставших известными в процессе работ.

В любом случае после увольнения сотрудников, осведомленных о сведениях,составляющих коммер­ческую тайну, целесообразно через возможности служ­бы безопасностибанка или фирмы (частного детектив­ного агентства) проводить оперативную установку по их новому месту работы и моделироватьвозможности утечки конфиденциальных данных.

Кроме того, в наиболее острых и конфликтных ситуациях увольнения персоналапроводятся оператив­ные и профилактические мероприятия по новому месту работы, жительства;также в окружении носителей коммерческих секретов.

Персонал оказывает су­щественное, а в большинстве случаев даже решающеевлияние на информационную безопасность банка. В этой связи подбор кадров, их изучение,рас­становка и квалифицированная работа при увольнени­ях в значительной степениповышают устойчивость коммерческих предприятий к возможному стороннему негативномувлиянию и агентурному проникновению противоправных элементов.

Регулярное изучение всех категорий персонала, по­нимание объективных потребностейсотрудников, их ведущих интересов, подлинных мотивов поведения и выбор соответствующихметодов объединения от­дельных индивидуумов в работоспособный коллек­тив — все этопозволяет руководителям в итоге ре­шать сложные производственные и коммерческо-финансовыезадачи, в том числе связанные с обеспечением экономической безопасности.

Обобщая основные рекомендации, представляется, что программа работы с персоналомв коммерческой структуре могла бы быть сформулирована следующим образом:

— добывание в рамках действующего российского за­конодательства максимальногообъема сведений о ка­ндидатах на работу, тщательная проверка представ­ленных документовкак через официальные, так и опе­ративные возможности, в том числе службы безопас­ностибанка или частного детективного агент­ства, системность в анализе информации, собраннойна соответствующие кандидатуры;

— проведение комплекса проверочных мероприятий в отношении кандидатов наработу, их родственников, бывших сослуживцев, ближайшего окружения в тех случаях,когда рассматривается вопрос об их приеме на руководящие должности или допуске кинформа­ции, составляющей коммерческую тайну;

— использование современных методов, в частности собеседований и тестирований,для создания психоло­гического портрета кандидатов на работу, который бы позволялуверенно судить об основных чертах харак­тера и прогнозировать их вероятные действияв раз­личных экстремальных ситуациях;

— оценка с использованием современных психологи­ческих методов разноплановых и разнопорядковыхфа­кторов, возможно препятствующих приему кандида­тов на работу или их использованиюна конкретных должностях;

— определение для кандидатов на работу в коммер­ческих структурах некоторогоиспытательного срока с целью дальнейшей проверки и выявления деловых и личных качеств,иных факторов, которые бы могли препятствовать зачислению на должность;

— введение в практику регулярных и неожиданных комплексных проверок персонала,в том числе через возможности служб безопасности;

— обучение сотрудников кадровых подразделений и служб безопасности современнымпсихологическим подходам к работе с персоналом, социальным, психо­аналитическим,этико-моральным методам, навыкам использования современных технических средств дляфиксирования результатов интервью и собеседований, приемам проведения целевых бесед«втемную» и про­цедурам информационно-аналитической работы с до­кументами кандидатов;

— выделение из числа первых руководителей ком­мерческих структур кураторакадровой работы для осуществления контроля за деятельностью кадровых подразделенийи служб безопасности при работе с пе­рсоналом.

Можно сделать определенный вывод о том, что российские предпринимателиво все возрастающей степени меняют свое отношение к «человеческому фак­тору», ставятна вооружение своих кадровых подраз­делений и служб безопасности современные методыработы с персоналом. Очевидно, что дальнейшее раз­витие в этой области связано сактивным использова­нием значительного потенциала методов психоанали­за, психологиии этики управления, конфликтологии и ряда других наук и более полного интегрированиясоответствующих специалистов в коммерческие пред­приятия.

Глава 4. Безопасность автоматизированныхсистем обработки информации в банках (АСОИБ).Угрозы безопасности автоматизированных систем.

Не будет преувеличением сказать, что проблема умышленных нарушений функционированияАСОИБ различного назначения в настоящее время является одной из самых актуальных.Наиболее справедливо это утверждение для стран с сильно развитой информационнойинфраструктурой, о чем убедительно свидетельствуют приводимые ниже цифры.

По данным, приведенным в [2], в 1992 году ущерб от компьютерных преступленийсоставил $555 млн., 930 лет рабочего времени и 15.3 года машинного времени. По другимданным ущерб финансовых организаций составляет от $173 млн. до $41 млрд. в год[3].

В настоящей главе приводится классификация умышленных угроз безопасностиАСОИБ и их краткое описание. Классификация не является исчерпывающей. Она предназначенадля того, чтобы выделить основные типы угроз и методы защиты от них.

Современная АСОИБ — сложный механизм, состоящий из большого количествакомпонентов различной степени автономности, связанных между собой и обменивающихсяданными. Практически каждый из них может выйти из строя или подвергнуться внешнемувоздействию.

Под угрозой безопасности понимается потенциально возможное воздействиена АСОИ, которое может прямо или косвенно нанести урон пользователям или владельцамАСОИБ.

Приводимая ниже классификация охватывает только умышленные угрозы безопасностиАСОИБ, оставляя в стороне такие воздействия как стихийные бедствия, сбои и отказыоборудования и др. Реализацию угрозы в дальнейшем будем называть атакой.

Угрозы безопасности АСОИБ можно классифицировать по следующим признакам[3]:

1. По цели реализации угрозы. Реализация той или иной угрозы безопасностиАСОИБ может преследовать следующие цели:

— нарушение конфиденциальности информации. Информация, хранимая и обрабатываемаяв АСОИБ, может иметь большую ценность для ее владельца. Ее использование другимилицами наносит значительный ущерб интересам владельца;

— нарушение целостности информации. Потеря целостности информации (полнаяили частичная, компрометация, дезинформация) -угроза близкая к ее раскрытию. Ценнаяинформация может быть утрачена или обесценена путем ее несанкционированного удаленияили модификации. Ущерб от таких действий может быть много больше, чем при нарушенииконфиденциальности,

— нарушение (частичное или полное) работоспособности АСОИБ (нарушение доступности).Вывод из строя или некорректное изменение режимов работы компонентов АСОИБ, их модификацияили подмена могут привести к получению неверных результатов, отказу АСОИБ от потокаинформации или отказам при обслуживании. Отказ от потока информации означает непризнаниеодной из взаимодействующих сторон факта передачи или приема сообщений. Имея в виду,что такие сообщения могут содержать важные донесения, заказы, финансовые согласованияи т.п., ущерб в этом случае может быть весьма значительным. Так как диапазон услуг,предоставляемых современными АСОИБ, весьма широк, отказ в обслуживании может существенноповлиять на работу пользователя.

2. По принципу воздействия на АСОИБ:

— с использованием доступа субъекта системы (пользователя, процесса) кобъекту (файлу данных, каналу связи и т.д.);

— с использованием скрытых каналов.

Под доступом понимается взаимодействие между субъектом и объектом (выполнениепервым некоторой операции над вторым), приводящее к возникновению информационногопотока от второго к первому.

Под скрытым каналом (covert channel) понимается путь передачи информации,позволяющий двум взаимодействующим процессам обмениваться информацией таким способом,который нарушает системную политику безопасности. Скрытые каналы бывают двух видов:

а. Скрытые каналы с памятью (covert storage channel), позволяющие осуществлятьчтение или запись информации другого процесса непосредственно или с помощью промежуточныхобъектов для хранения информации (временной памяти);

б. Скрытые временные каналы (covert timing channel), при которых один процессможет получать информацию о действиях другого, используя интервалы между какими-либособытиями (например, анализ временного интервала между запросом на ввод-вывод исообщением об окончании операции позволяет судить о размере вводимой или выводимойинформации).

Коренное различие в получении информации с помощью доступа и с помощьюскрытых каналов заключается в том, что в первом случае осуществляется взаимодействиесубъекта и объекта АСОИБ и, следовательно, изменяется ее состояние. Во втором случаеиспользуются лишь побочные эффекты от взаимодействия двух субъектов АСОИБ, что неоказывает влияния на состояние системы.

Отсюда следует, что воздействие, основанное на первом принципе, проще,более информативнее, но от него легче защититься. Воздействие на основе второгопринципа отличается трудностью организации, меньшей информативностью и сложностьюобнаружения и устранения.

3. По характеру воздействия на АСОИБ. По этому критерию различают активноеи пассивное воздействие.

Активное воздействие всегда связано с выполнением пользователем каких-либодействий, выходящих за рамки его обязанностей и нарушающих существующую политикубезопасности. Это может быть доступ к определенным наборам данных, программам, вскрытиепароля и т.д. Активное воздействие ведет к изменению состояния системы и может осуществлятьсялибо с использованием доступа (например, к наборам данных), либо как с использованиемдоступа, так и с использованием скрытых каналов.

Пассивное воздействие осуществляется путем наблюдения пользователем каких-либопобочных эффектов (от работы программы, например) и их анализе. На основе такогорода анализа можно иногда получить довольно интересную информацию. Примером пассивноговоздействия может служить прослушивание линии связи между двумя узлами сети. Пассивноевоздействие всегда связано только с нарушением конфиденциальности информации в АСОИБ,так как при нем никаких действий с объектами и субъектами не производится. Пассивноевоздействие не ведет к изменению состояния системы.

4. По причине появления используемой ошибки защиты.

Реализация любой угрозы возможна только в том случае, если в данной конкретнойсистеме есть какая-либо ошибка или брешь защиты.

Такая ошибка может быть обусловлена одной из следующих причин:

а. Неадекватностью политики безопасности реальной АСОИБ. Это означает,что разработанная для данной АСОИБ политика безопасности настолько не отражает реальныеаспекты обработки информации, что становится возможным использование этого несоответствиядля выполнения несанкционированных действий. Все системы в той или иной степениимеют несоответствия подобного рода (модель никогда не может точно соответствоватьреальной системе), но в одних случаях это не может привести к нарушениям, а в других— может. С другой стороны такие действия нельзя назвать несанкционированными, посколькузащита от них не предусмотрена политикой безопасности и система защиты в принципене способна их предотвратить. Если такое несоответствие является опасным, то необходиморазработать новую политику безопасности, в которой оно будет не столь явным и сменитьсредства защиты для реализации новой политики безопасности.

б. Ошибками административного управления, под которыми понимается некорректнаяреализация или поддержка принятой политики безопасности в данной АСОИБ. Например,согласно политике безопасности, в АСОИБ должен быть запрещен доступ пользователейк определенному набору данных, а на самом деле (по невнимательности администраторабезопасности) этот набор данных доступен всем пользователям. Обычно на исправлениетакой ошибки требуется очень мало времени, как и на ее обнаружение, но ущерб отнее может быть огромен.

в. Ошибками в алгоритмах программ, в связях между ними и т.д., которыевозникают на этапе проектирования программы или комплекса программ и благодаря которымих можно использовать совсем не так, как описано в документации. Примером такойошибки может служить ошибка в программе аутентификации пользователя системойVAX/VMS версии 4.4, когда при помощи определенных действий пользователь имел возможностьвойти в систему без пароля. В последующих версиях ОС VAX/VMS эта ошибка была исправлена.Такие ошибки могут быть очень опасны, но их трудно найти; чтобы их устранить надоменять программу или комплекс программ.

г. Ошибками реализации алгоритмов программ (ошибки кодирования), связеймежду ними и т.д., которые возникают на этапе реализации или отладки и которые такжемогут служить источником недокументированных свойств. Подобные ошибки обнаружитьтруднее всего.

5. По способу воздействия на объект атаки (при активном воздействии):

— непосредственное воздействие на объект атаки (в том числе с использованиемпривилегий), например, непосредственный доступ к набору данных, программе, службе,каналу связи и т.д., воспользовавшись какой-либо ошибкой. Такие действия обычнолегко предотвратить с помощью средств контроля доступа.

— воздействие на систему разрешений (в том числе захват привилегий). Приэтом способе несанкционированные действия выполняются относительно прав пользователейна объект атаки, а сам доступ к объекту осуществляется потом законным образом. Примеромможет служить захват привилегий, что позволяет затем беспрепятственно получить доступк любому набору данных ил и программе.

— опосредованное воздействие (через других пользователей):

— «маскарад». В этом случае пользователь присваивает себе каким-либо образомполномочия другого пользователя выдавая себя за него;

— «использование вслепую». При таком способе воздействия один пользовательзаставляет другого выполнить необходимые действия (которые для системы защиты невыглядят несанкционированными, ведь их выполняет пользователь, имеющий на это право),причем последний о них может и не подозревать. Для реализации этой угрозы можетиспользоваться вирус (вирус выполняет необходимые действия и сообщает тому, ктоего внедрил о результате).

Два последних способа, особенно «использование вслепую», чрезвычайно опасны.Для предотвращения подобных действий требуется постоянный контроль как со стороныадминистраторов и операторов за работой АСОИБ в целом, так и со стороны пользователейза своими собственными наборами данных.

6. По способу воздействия на АСОИБ:

— в интерактивном режиме;

— в пакетном режиме.

Работая с системой, пользователь всегда имеет дело с какой-либо ее программой.Но одни программы составлены так, что пользователь может оперативно воздействоватьна ход их выполнения, вводя различные команды или данные, а другие так, что всюинформацию приходится задавать заранее. К первым (интерактивным) относятся, например,интерпретаторы командных языков, некоторые утилиты, управляющие программы баз данныхи др. В основном это программы, ориентированные на работу с пользователем. Ко вторым(пакетным) относятся в основном системные и прикладные программы, ориентированныена выполнение каких-либо строго определенных действий без участия пользователя.

Воздействия различного рода могут производиться с использованием обоихклассов программ. При использовании программ первого класса (например, для атакина систему при помощи командного интерпретатора) воздействие оказывается более длительнымпо времени и, следовательно, имеет высокую вероятность обнаружения, но более гибким,позволяющим оперативно менять порядок действий. Воздействие с помощью программ второгокласса (например, с помощью вирусов) является кратковременным, трудно диагностируемым,гораздо более опасным, но требует большой предварительной подготовки для того, чтобызаранее предусмотреть все возможные последствия вмешательства.

7. По объекту атаки. Одной из самых главных составляющих нарушения функционированияАСОИБ является объект атаки, то есть компонент АСОИБ, который подвергается воздействиюсо стороны злоумышленника. Определение объекта атаки позволяет принять меры по ликвидациипоследствий нарушения, восстановлению этого компонента, установку контроля по предупреждениюповторных нарушений и т.д.

Воздействию могут подвергаться следующие компоненты АСОИБ:

а. АСОИБ в целом — злоумышленник пытается проникнуть в систему для последующеговыполнения каких-либо несанкционированных действий. Для этого обычно используютсяметод «маскарада», перехват или подделка пароля, взлом или доступ к АСОИБ черезсеть.

б. Объекты АСОИБ — данные или программы в оперативной памяти или на внешнихносителях, сами устройства системы, как внешние (дисководы, сетевые устройства,терминалы), так и внутренние (оперативная память, процессор), каналы передачи данных.Воздействие на объекты системы обычно имеет целью доступ к их содержимому (нарушениеконфиденциальности или целостности обрабатываемой или хранимой информации) или нарушениеих функциональности, например, заполнение всей оперативной памяти компьютера бессмысленнойинформацией или загрузка процессора компьютера задачей с неограниченным временемисполнения (нарушение доступности АСОИБ).

в. Субъекты АСОИБ — процессы и подпроцессы пользователей. Целью таких атакявляется либо прямое воздействие на работу процесса — его приостановка, изменениепривилегий или характеристик (приоритета, например), либо обратное воздействие— использование злоумышленником привилегий, характеристик и т.д. другого процессав своих целях. Частным случаем такого воздействия является внедрение злоумышленникомвируса в среду другого процесса и его выполнение от имени этого процесса. Воздействиеможет осуществляться на процессы пользователей, системы, сети.

г. Каналы передачи данных — пакеты данных, передаваемые по каналу связии сами каналы. Воздействие на пакеты данных может рассматриваться как атака на объектысети, воздействие на каналы — специфический род атак, характерный для сети. К немуотносятся: прослушивание канала и анализ трафика (потока сообщений) — нарушениеконфиденциальности передаваемой информации; подмена или модификация сообщений вканалах связи и на узлах ретрансляторах — нарушение целостности передаваемой информации;изменение топологии и характеристик сети, правил коммутации и адресации —нарушениедоступности сети.

8. По используемым средствам атаки.

Для воздействия на систему злоумышленник может использовать стандартноепрограммное обеспечение или специально разработанные программы. В первом случаерезультаты воздействия обычно предсказуемы, так как большинство стандартных программАСОИБ хорошо изучены. Использование специально разработанных программ связано сбольшими трудностями, но может быть более опасным, поэтому в защищенных системахрекомендуется не допускать добавление программ в АСОИБ без разрешения администраторабезопасности системы.

9. По состоянию объекта атаки. Состояние объекта в момент атаки может оказатьсущественное влияние на результаты атаки и на работу по ликвидации ее последствий.Объект атаки может находиться в одном из трех состояний:

а. Хранения — на диске, магнитной ленте, в оперативной памяти или любомдругом месте в пассивном состоянии. При этом воздействие на объект обычно осуществляетсяс использованием доступа;

б. Передачи — по линии связи между узлами сети или внутри узла. Воздействиепредполагает либо доступ к фрагментам передаваемой информации (например, перехватпакетов на ретрансляторе сети), либо просто прослушивание с использованием скрытыхканалов;

в. Обработки — в тех ситуациях, когда объектом атаки является процесс пользователя.

Подобная классификация показывает сложность определения возможных угрози способов их реализации. Это еще раз подтверждает тезис, что определить все множествоугроз АСОИБ и способов их реализации не представляется возможным. Не существуетуниверсального способа защиты, который предотвратил бы любую угрозу. Этот факт обуславливаетнеобходимость объединения различных мер защиты для обеспечения безопасности всейАСОИБ в целом.

Выше была рассмотрена классификация возможных угроз безопасности АСОИБ.Конечно, не все приведенные классы угроз являются независимыми от остальных, недля любой угрозы можно определить, к какому виду в каждом из перечисленных классовона принадлежит. Приведенная выше классификация охватывает большинство основныхугроз безопасности АСОИБ, которые должны найти свое место в одном или несколькихвыделенных классах.

Далее приведено более подробное описание угроз, с которыми наиболее частоприходится сталкиваться администраторам безопасности.

Несанкционированный доступ (НСД).

Это наиболее распространенный вид компьютерных нарушений. Он заключаетсяв получении пользователем доступа к объекту, на который у него нет разрешения всоответствии с принятой в организации политикой безопасности. Обычно самая главнаяпроблема определить, кто и к каким наборам данных должен иметь доступ, а кто нет.Другими словами, необходимо определить термин «несанкционированный».

По характеру воздействия НСД является активным воздействием, использующимошибки системы. НСД обращается обычно непосредственно к требуемому набору данных,либо воздействует на информацию о санкционированном доступе с целью легализацииНСД. НСД может быть подвержен любой объект системы. НСД может быть осуществлен какстандартными, так и специально разработанными программными средствами  к объектамв любом состоянии.

Методика реализации НСД в значительной мере зависит от организации обработкиинформации в АСОИБ, разработанной для АСОИБ политики безопасности, возможностейустановленных средств защиты, а также добросовестности администратора и оператора.Для реализации НСД существует два способа:

— во-первых, можно преодолеть систему защиты, то есть путем различных воздействийна нее прекратить ее действия в отношении себя или своих программ. Это сложно, трудоемкои не всегда возможно, зато эффективно;

— во-вторых, можно понаблюдать за тем, что «плохо лежит», то есть какиенаборы данных, представляющие интерес для злоумышленника, открыты для доступа понедосмотру или умыслу администратора. Такой доступ, хотя и с некоторой натяжкой,тоже можно назвать несанкционированным, его легко осуществить, но от него легкои защититься. К этому же типу относится НСД с подбором пароля, поскольку осуществитьтакой подбор возможно лишь в случае нарушения правил составления паролей и использованияв качестве пароля человеческих имен, повторяющихся символов, наборов типаQWERTY.

В подавляющем большинстве случаев НСД становится возможным из-за непродуманноговыбора средств защиты, их некорректной установки и настройки, плохого контроля работы,а также при небрежном отношении к защите своих собственных данных.

Незаконное использование привилегий.

Злоумышленники, применяющие данный способ атаки, обычно используют штатноепрограммное обеспечение (системное или прикладное), функционирующее в нештатномрежиме. Практически любая защищенная система содержит средства, используемые в чрезвычайныхситуациях, при сбоях оборудования или средства, которые способны функционироватьс нарушением существующей политики безопасности. В некоторых случаях пользовательдолжен иметь возможность доступа ко всем наборам системы (например, при внезапнойпроверке).

Такие средства необходимы, но они могут быть чрезвычайно опасными. Обычноэти средства используются администраторами, операторами, системными программистамии другими пользователями, выполняющими специальные функции.

Для того, чтобы уменьшить риск от применения таких средств большинствосистем защиты реализует такие функции с помощью набора привилегий — для выполненияопределенной функции требуется определенная привилегия. В этом случае каждый пользовательполучает свой набор привилегий, обычные пользователи — минимальный, администраторы— максимальный (в соответствии с принципом минимума привилегий). Наборы привилегийкаждого пользователя являются его атрибутами и охраняются системой защиты. Несанкционированныйзахват привилегий приведет, таким образом, к возможности несанкционированного выполненияопределенной функции. Это может быть НСД (частный случай), запуск определенных программи даже реконфигурация системы.

Естественно, при таких условиях расширенный набор привилегий -заветнаямечта любого злоумышленника. Он позволит ему совершать практически любые действия,причем, возможно, даже в обход всех мер контроля. Нарушения, совершаемые с помощьюнезаконного использования привилегий, являются активным воздействием, совершаемымс целью доступа к какому-либо объекту или системе в целом.

Незаконный захват привилегий возможен либо при наличии ошибок в самой системезащиты (что, например, оказалось возможным в одной из версий операционной системыUNIX), либо в случае халатности при управлении системой и привилегиями в частности(например, при назначении расширенного набора привилегий всем подряд). Строгое соблюдениеправил управления системой защиты, соблюдение принципа минимума привилегий позволятизбежать таких нарушений.

Атаки «салями».

Атаки «салями» более всего характерны для систем, обрабатывающих денежныесчета и, следовательно, для банков особенно актуальны. Принцип атак «салями» построенна том факте, что при обработке счетов используются целые единицы (центы, рубли,копейки), а при исчислении процентов нередко получаются дробные суммы.

Например, 6.5% годовых от $102.87 за 31 день составит $0.5495726. Банковскаясистема может округлить эту сумму до $0.55. Однако если пользователь имеет доступк банковским счетам или программам их обработки, он может округлить ее в другуюсторону — до $0.54, а разницу в 1 цент записать на свой счет. Владелец счета врядли ее заметит, а если и обратит внимание, то спишет ее на погрешности обработкии не придаст значения. Злоумышленник же получит прибыль в один цент, при обработке10.000 счетов в день (а в некоторых банках и больше). Его прибыль таким образомсоставит $1000, т.е. около $300 000 в год.

Отсюда и происходит название таких атак — как колбаса салями изготавливаетсяиз небольших частей разных сортов мяса, так и счет злоумышленника пополняется засчет различных вкладчиков. Естественно, такие атаки имеют смысл лишь в тех организациях,где осуществляется не менее 5.000 — 10.000 транзакций в день, иначе не имеет смысларисковать, поскольку в случае обнаружения преступника просто определить. Таким образом,атаки «салями» опасны в основном для крупных банков.

Причинами атак «салями» являются, во-первых, погрешности вычислений, позволяющиетрактовать правила округления в ту или иную сторону, а во-вторых, огромные объемывычислений, необходимые для обработки счетов. Успех таких атак зависит не столькоот величины обрабатываемых сумм, сколько от количества счетов (для любого счетапогрешность обработки одинакова). Атаки «салями» достаточно трудно распознаются,если только злоумышленник не начинает накапливать на одном счете миллионы. Предотвратитьтакие атаки можно только обеспечением целостности и корректности прикладных программ,обрабатывающих счета, разграничением доступа пользователей АСОИБ к счетам, а такжепостоянным контролем счетов на предмет утечки сумм.

«Скрытые каналы»

«Скрытые каналы» — пути передачи информации между процессами системы, нарушающиесистемную политику безопасности. В среде с разделением доступа к информации пользовательможет не получить разрешение на обработку интересующих его данных, однако можетпридумать для этого обходные пути. Практически любое действие в системе каким-тообразом затрагивает другие ее элементы, которые при этом могут изменять свое состояние.При достаточной наблюдательности и знании этих связей можно получить прямой илиопосредованный доступ к данным.

«Скрытые каналы» могут быть реализованы различными путями, в частностипри помощи программных закладок («троянских коней»).

Например, программист банка не всегда имеет доступ к именам и балансамдепозитных счетов. Программист системы, предназначенной для обработки ценных бумаг,может не иметь доступ к предложениям о покупке или продаже. Однако при созданиитаких систем он может предусмотреть способ получения интересующих его сведений.В этом случае программа скрытым способом устанавливает канал связи с этим программистоми сообщает ему требуемые сведения.

Атаки с использованием скрытых каналов обычно приводят к нарушениям конфиденциальностиинформации в АСОИБ, по характеру воздействия являются пассивными: нарушение состоиттолько в передаче информации. Для организации «скрытых каналов» может использоватьсякак штатное программное обеспечение, так и специально разработанные «троянские»или вирусные программы. Атака обычно производится программным способом.

Примером передачи информации по «скрытым каналам» может служить, например,итоговый отчет, в котором вместо слова «TOTAL» используется слово «TOTALS» — программистсделал так, что при определенных условиях, которые может распознать его программа,должна происходить замена слов. Подобными «скрытыми каналами» могут стать числопробелов между двумя словами, значение третьей или четвертой цифры после запятойв какой-нибудь дроби (на которые никто не обращает внимания) и т.д. «Скрытым каналом»может явиться и передача информации о наличии или отсутствии какого-либо набораданных, его размере, дате создания или модификации и т.д.

Также существует большое количество способов организации связи между двумяпроцессами системы. Более того, многие операционные системы имеют в своем распоряжениитакие средства, так как они очень облегчают работу программистов и пользователей.Проблема заключается в том, что очень трудно отделить неразрешенные «скрытые каналы»от разрешенных, то есть тех, которые не запрещаются системной политикой безопасности.В конечном счете все определяется ущербом, который может принести организация «скрытыхканалов».

Отличительными особенностями «скрытых каналов» является их малая пропускнаяспособность (по ним обычно можно передавать только небольшое количество информации),большие трудности их организации и обычно небольшой наносимый ими ущерб. Более того,он вообще бывает незаметен, поэтому специальные меры защиты против «скрытых каналов»предпринимают довольно редко. Обычно достаточно грамотно разработанной полномочнойполитики безопасности.

«Маскарад».

Под «маскарадом» понимается выполнение каких-либо действий одним пользователемАСОИБ от имени другого пользователя. При этом такие действия другому пользователюмогут быть разрешены. Нарушение заключается в присвоении прав и привилегий.

Такие нарушения также называются симуляцией или моделированием. Цель «маскарада»— сокрытие каких-либо действий за именем другого пользователя или присвоение прави привилегий другого пользователя для доступа к его наборам данных или для использованияего привилегий.

«Маскарад» — это способ активного нарушения защиты системы, он являетсяопосредованным воздействием, то есть воздействием, совершенным с использованиемвозможностей других пользователей.

Примером «маскарада» может служить вход в систему под именем и паролемдругого пользователя, при этом система защиты не сможет распознать нарушение. Вэтом случае «маскараду» обычно предшествует взлом системы или перехват пароля.

Другой пример «маскарада» — присвоение имени другого пользователя в процессеработы. Это может быть сделано с помощью средств операционной системы (некоторыеоперационные системы позволяют изменять идентификатор пользователя в процессе работы)или с помощью программы, которая в определенном месте может изменить определенныеданные, в результате чего пользователь получит другое имя. В этом случае «маскараду»может предшествовать захват привилегий, или он может быть осуществлен с использованиемкакой-либо ошибки в системе.

«Маскарадом» также называют передачу сообщений в сети от имени другогопользователя. Способы замены идентификатора могут быть разные, обычно они определяютсяошибками и особенностями сетевых протоколов. Тем не менее на приемном узле такоесообщение будет воспринято как корректное, что может привести к серьезным нарушениямработы сети. Особенно это касается управляющих сообщений, изменяющих конфигурациюсети, или сообщений, ведущих к выполнению привилегированных операций. [8]

Наиболее опасен «маскарад» в банковских системах электронных платежей,где неправильная идентификация клиента может привести к огромным убыткам. Особенноэто касается платежей с помощью электронных банковских карт. Сам по себе метод идентификациис помощью персонального идентификатора (PIN) достаточно надежен, нарушения могутпроисходить вследствие ошибок его использования. Это произойдет, например, в случаеутери кредитной карты, при использовании очевидного идентификатора (своего имени,ключевого слова и т.д.). Поэтому клиентам надо строго соблюдать все рекомендациибанка по выполнению такого рода платежей.

«Маскарад» является достаточно серьезным нарушением, которое может привестик тяжелым последствиям, таким как изменение конфигурации системы (сети), утечкаинформации, нарушения работы АСОИБ. Для предотвращения «маскарада» необходимо использоватьнадежные методы идентификации и аутентификации, блокировку попыток взлома системы,контроль входов в нее. Также необходимо фиксировать все события, которые могут свидетельствоватьо «маскараде», в системном журнале для его последующего анализа.

«Сборка мусора».

После окончания работы обрабатываемая информация не всегда полностью удаляетсяиз памяти. Часть данных может оставаться в оперативной памяти, на дисках и лентах,других носителях. Данные хранятся на носителе до перезаписи или уничтожения; привыполнении этих действий на освободившемся пространстве диска находятся их остатки.Хотя прочитать такие данные трудно, однако, используя специальные программы и оборудование,все же возможно. Такой процесс принято называть «сборкой мусора». Он может привестик утечке важной информации.

«Сборка мусора» — активное, непосредственное воздействие на объекты АСОИБпри их хранении с использованием доступа. Это воздействие может привести к нарушениюконфиденциальности информации.

Для защиты от «сборки мусора» используются специальные механизмы, которыемогут быть реализованы в операционной системе и/или аппаратуре компьютера или вдополнительных программных (аппаратных) средствах. Примерами таких механизмов являютсястирающий образец и метка полноты:

— стирающий образец — это некоторая последовательность битов, записываемаяна место, освобождаемое файлом. Менеджер или администратор безопасности АСОИБ можетавтоматически активизировать запись этой последовательности при каждом освобожденииучастка памяти, при этом стираемые данные уничтожаются физически.

— метка полноты предотвращает чтение участков памяти, отведенных процессудля записи, но не использованных им. Верхняя граница адресов использованной памятии есть метка полноты. Этот способ используется для защиты последовательных файловисключительного доступа (результирующие файлы редакторов, компиляторов, компоновщиковт.д.). Для индексных и разделяемых последовательных файлов этот метод называется«стирание при размещении», память очищается при выделении ее процессу.

«Взлом системы».

Под «взломом системы» понимают умышленное проникновение в систему с несанкционированнымипараметрами входа, то есть именем пользователя и его паролем (паролями).

«Взлом системы» — умышленное, активное воздействие на систему в целом.«Взлом системы» обычно происходит в интерактивном режиме.

Поскольку имя пользователя не является секретом, объектом «охоты» обычностановится пароль. Способы вскрытия пароля могут быть различны: перебор возможныхпаролей, «маскарад» с использованием пароля другого пользователя, захват привилегий.Кроме того, «взлом системы» можно осуществить, используя ошибки программы входа.

Таким образом, основную нагрузку на защиту системы от «взлома» несет программавхода. Алгоритм ввода имени и пароля, их шифрование (при необходимости), правилахранения и смены паролей не должны содержать ошибок. Противостоять «взлому системы»также поможет например, ограничение количества попыток неправильного ввода пароляс последующей блокировкой терминала и уведомлением оператора в случае нарушения.

Кроме того, оператор должен постоянно контролировать активных пользователейсистемы: их имена, характер работы, время входа и выхода и т.д. Такие действия помогутсвоевременно установить факт «взлома» и позволят предпринять необходимые действия.

«Люки».

«Люк» — это скрытая, недокументированная точка входа в программный модуль.«Люк» вставляется в программу обычно на этапе отладки для облегчения работы: программныймодуль можно вызывать в разных местах, что позволяет отлаживать отдельные его частинезависимо. Но в дальнейшем программист может забыть уничтожить «люк» или некорректноего заблокировать. Кроме того, «люк» может вставляться на этапе разработки для последующейсвязи данного модуля с другими модулями системы, но затем, в результате изменившихсяусловий данная точка входа оказывается ненужной.

Наличие «люка» позволяет вызывать программу нестандартным образом, чтоможет серьезно сказаться на состоянии системы защиты (неизвестно, как в таком случаепрограмма будет воспринимать данные, среду системы и т.д.). Кроме того, в такихситуациях не всегда можно прогнозировать ее поведение.

«Люк» относится к категории угроз, возникающих вследствие ошибок реализациикакого-либо проекта (АСОИБ в целом, комплекса программ и т.д.). Поскольку использование«люков» может быть самым разным и зависит от самой программы, классифицировать даннуюугрозу как-либо еще затруднительно.

«Люки» могут оказаться в программах по следующим причинам:

— их забыли убрать;

— для использования при дальнейшей отладке;

— для обеспечения поддержки готовой программы;

— для реализации тайного контроля доступа к данной программе после ее установки.

Первый из перечисленных случаев — ненамеренный промах, который может привестик бреши в системе защиты. Два следующих случая — серьезные испытания для системыбезопасности, с которыми она может и не справиться. Четвертый случай может статьпервым шагом преднамеренного проникновения с использованием данной программы.

Отметим, что программная ошибка «люком» не является. «Люк» — это достаточношироко используемый механизм отладки, корректировки и поддержки программ, которыйсоздается преднамеренно, хотя чаще всего и без злого умысла. Люк становится опасным,если он не замечен, оставлен и не предпринималось никаких мер по контролю за ним.

Большая опасность «люков», особенно в программах операционной системы,компенсируется высокой сложностью их обнаружения. Если не знать заранее, что даннаяпрограмма содержит «люк», необходимо обработать килобайты (а иногда и мегабайты)программного кода, чтобы найти его. Понятно, что почти всегда это нереально. Поэтомув большинстве случаев обнаружение «люков» — результат случайного поиска. Защитаот них может быть только одна — не допускать появления «люков» в программе, а приприемке программных продуктов, разработанных третьими производителями — проводитьанализ исходных текстов программ с целью обнаружения «люков».

Вредоносные программы.

В последнее время участились случаи воздействия на вычислительную системупри помощи специально созданных программ. Под вредоносными программами в дальнейшембудем понимать такие программы, которые прямо или косвенно дезорганизуют процессобработки информации или способствуют утечке или искажению информации.

Ниже рассмотрим некоторые (самые распространенные) виды подобных программ:«троянский конь», вирус, «червь», «жадная» про грамма, «захватчик паролей»:

«Троянский кoнь» — программа, выполняющая в дополнение к основным (проектным и документированным)не описанные в документации действия. Аналогия с древнегреческим «троянским конем»таким образом вполне оправдана — в не вызывающей подозрений оболочке таится угроза.Программы такого типа являются серьезной угрозой безопасности АСОИБ.

По характеру угрозы «троянский конь» относится к активным угрозам, реализуемымпрограммными средствами, работающими в пакетном режиме. Он может угрожать любомуобъекту АСОИБ. Наиболее опасным является опосредованное воздействие, при котором«троянский конь» действует в рамках полномочий одного пользователя, но в интересахдругого пользователя, установить личность которого порой невозможно.

Опасность «троянского коня» заключается в дополнительном блоке команд,тем или иным образом вставленном в исходную безвредную программу, которая затемпредлагается (дарится, продается, подменяется) пользователям АСОИБ. Этот блок командможет срабатывать при наступлении некоторого условия (даты, времени и т.д., либопо команде извне). Запустивший такую программу подвергает опасности как себя и свойфайлы, так и всю АСОИБ в целом.

Наиболее опасные действия «троянский конь» может выполнять, если запустившийее пользователь обладает расширенным набором привилегий. В этом случае злоумышленник,составивший и внедривший «троянского коня», и сам этими привилегиями не обладающий,может выполнить несанкционированные привилегированные функции чужими руками. Или,например, злоумышленника очень интересуют наборы данных пользователя, запустившеготакую программу. Последний может даже не обладать расширенным набором привилегий— это не помешает выполнению несанкционированных действий.

Характерным примером «Троянского коня» является появившийся в Интернетев январе 1999 г. бесплатно распространяемый Screen Saver, который помимо выводакрасивых картинок на экране, осуществляет поиск на компьютере программы-шифровальщикаалгоритма DEC. В случае обнаружения программы, Screen Saver ставит под контрольобмен ключами шифрования и пересылает ключи по электронной почте на анонимный серверв Китае. [17]

«Троянский конь» — одна из наиболее опасных угроз безопасности АСОИБ. Радикальнымспособом защиты от этой угрозы является создание замкнутой среды исполнения программ.В особенности важно разделение внешних сетей (особенно Интернет) и внутренних сетейпо крайней мере на уровне протоколов, а еще лучше — на физическом уровне. Желательнотакже, чтобы привилегированные и непривилегированные пользователи работали с разнымиэкземплярами прикладных программ, которые должны храниться и защищаться индивидуально.При соблюдении этих мер вероятность внедрения программ подобного рода будет достаточнонизкой.

Вирус— это программа, которая может заражать другие программы путем включения в них своей,возможно модифицированной, копии, причем последняя сохраняет способность к дальнейшемуразмножению. Вирус может быть охарактеризован двумя основными особенностями :

— способностью к самовоспроизведению. Это свойство означает, что за времясвоего существования на компьютере вирус должен хотя бы один раз воспроизвести своюкопию на долговременном носителе;

— способностью к вмешательству (получению управления) в вычислительныйпроцесс. Это свойство является аналогом «паразитирования» в живой природе, котороесвойственно биологическим вирусам.

Как и «троянские кони» вирусы относятся к активным программным средствам.Классификация вирусов, используемые ими методы заражения, способы борьбы с нимидостаточно хорошо изучены и описаны. Эта проблема в нашей стране стала особенноактуальной, поэтому очень многие занимаются ею.

Проблема защиты от вирусов может рассматриваться с двух сторон: как самостоятельнаяпроблема и как одна из сторон проблемы общей защиты АСОИБ. И тот, и другой подходыимеют свои отличительные особенности и, соответственно, свои собственные методырешения проблемы.

В последнее время удалось более или менее ограничить масштабы зараженийи разрушений. Тут сыграли свою роль и превентивные меры, и новые антивирусные средства,и пропаганда всех этих мер.

Вообще говоря проблема вирусов может стать тем толчком, который приведетк новому осмыслению как концепций защиты, так и принципов автоматизированной обработкиинформации в целом.

«Червь» — программа, распространяющаяся через сеть и (в отличиеот вируса) не оставляющая своей копии на магнитном носителе. «Червь» используетмеханизмы поддержки сети для определения узла, который может быть заражен. Затемс помощью тех же механизмов передает свое тело или его часть на этот узел и либоактивизируется, либо ждет для этого подходящих условий.

Наиболее известный представитель этого класса — вирус Морриса (или, вернее,«червь Морриса»), поразивший сеть Internet в 1988 г. Наиболее подходящей средойраспространения «червя» является сеть, все пользователи которой считаются дружественнымии доверяют друг другу. Отсутствие защитных механизмов как нельзя лучше способствуетуязвимости сети.

Самый лучший способ защиты от «червя» — принять меры предосторожности противнесанкционированного доступа к сети.

Таким образом, как вирусы, так «троянские кони» и «черви» на сегодняшнийдень являются одной из самых опасных угроз АСОИБ. Для защиты от этих разновидностейвредоносных программ необходимо создание замкнутой среды исполнения программ, разграничениедоступа к исполняемым файлам, контроль целостности исполняемых файлов и системныхобластей, тестирование приобретаемых программных средств.

«Жадные» программы — это программы, которые при выполнении стремятся монополизироватькакой-либо ресурс системы, не давая другим программам возможности использовать его.Доступ таких программ к ресурсам системы обычно приводит к нарушению ее доступности.Естественно, такая атака будет активным вмешательством в работу системы. Непосредственнойатаке обычно подвергаются ключевые объекты системы: процессор, оперативная память,устройства ввода-вывода.

Многие компьютеры, особенно в исследовательских центрах, имеют фоновыепрограммы, выполняющиеся с низким приоритетом. Они обычно производят большой объемвычислений, а результаты их работы требуются не так часто. Однако при повышенииприоритета такая программа может блокировать все остальные. Такая программа и будет«жадной».

Тупиковая ситуация возникает, когда «жадная» программа бесконечна (например,исполняет заведомо бесконечный цикл). Однако во многих операционных системах существуетвозможность ограничения времени процессора, используемого задачей. Это не относитсяк операциям, выполняющимся в зависимости от других программ, например, к операциямввода-вывода, которые завершаются асинхронно к основной программе; время их выполненияне включается в счет времени программы. Перехватывая асинхронное сообщение о завершенииоперации ввода-вывода и посылая вновь запрос на новый ввод-вывод, можно добитьсяпо-настоящему бесконечной программы. Такие атаки называют также асинхронными.

Другой пример «жадной» программы — программа, захватывающая слишком большуюобласть оперативной памяти. В оперативной памяти последовательно размещаются данные,например подкачиваемые с внешнего носителя. В конце концов память может оказатьсяво владении одной программы, и выполнение других окажется невозможным.

Обычно «жадные» программы осуществляют захват одного из трех основных ресурсовсистемы: времени процессора, оперативной памяти, каналов ввода-вывода. Однако возможензахват и любых других ресурсов системы: блокирование ее работы, или же использованиепобочного результата деятельности какой-либо программы (например, вируса). Боротьсяс захватом ресурсов можно путем введения различных ограничений для выполняемых программ(на время процессора, на количество операций ввода-вывода, на разрешенный объемоперативной памяти и т.д.), а также постоянным операторским контролем за их соблюдением.

Захватчики паролей. Это программы специально предназначены для воровствапаролей. При попытке входа имитируется ввод имени и пароля, которые пересылаютсявладельцу программы-захватчика, после чего выводится сообщение об ошибке ввода иуправление возвращается операционной системе. Пользователь, думающий, что допустилошибку при наборе пароля, повторяет вход и получает доступ к системе. Однако егоимя и пароль уже известны владельцу программы-захватчика. Перехват пароля можетосуществляться и другим способом — с помощью воздействия на программу, управляющуювходом пользователей в систему и ее наборы данных.

Для предотвращения этой угрозы перед входом в систему необходимо убедиться,что вы вводите имя и пароль именно системной программе входа, а не какой-то другой.Кроме того, необходимо неукоснительно придерживаться правил использования паролейи работы с системой. Большинство нарушений происходят не из-за хитроумных атак,а из-за элементарной небрежности. Не рекомендуется покидать рабочее место, не выйдяиз системы. Постоянно проверяйте сообщения о дате и времени последнего входа и количествеошибочных входов. Эти простые действия помогут избежать захвата пароля.

Кроме описанных выше, существуют и другие возможности компрометации пароля.Не следует записывать команды, содержащие пароль, в командные процедуры, надо избегатьявного объявления пароля при запросе доступа по сети: эти ситуации можно отследитьи захватить пароль. Не стоит использовать один и тот же пароль для доступа к разнымузлам.

Соблюдение правил использования паролей — необходимое условие надежнойзащиты.

Анализ состояния банковских автоматизированныхсистем с точки зрения безопасности.

Под безопасностью АСОИБ будем понимать ее свойство, выражающееся в способностипротиводействовать попыткам нанесения ущерба владельцам и пользователям системыпри различных возмущающих (умышленных и неумышленных) воздействиях на нее. Инымисловами под безопасностью системы понимается ее защищенность от случайного или преднамеренноговмешательства в нормальный процесс ее функционирования, а также от попыток хищения,модификации или разрушения ее компонентов. Следует отметить, что природа воздействияможет быть самой различной. Это и попытки проникновения злоумышленника, и ошибкиперсонала, и стихийные бедствия (ураган, пожар), и выход из строя составных частейАСОИБ.

Безопасность АСОИБ достигается обеспечением конфиденциальности обрабатываемойею информации, а также целостности и доступности компонентов и ресурсов системы.

Конфиденциальность информации — это свойство информации быть известнойтолько допущенным и прошедшим проверку (авторизованным) субъектам системы (пользователям,программам, процессам и т.д.). Для остальных субъектов системы эта информация какбы не существует.

Целостность компонента (ресурса) системы — свойство компонента (ресурса)быть неизменным (в семантическом смысле) при функционировании системы.

Доступность компонента (ресурса) системы — свойство компонента (ресурса)быть доступным для использования авторизованными субъектами системы в любое время.[6, с.57]

Обеспечение безопасности АСОИБ требует применения различных мер защитногохарактера. Обычно вопрос о необходимости защиты компьютерной системы не вызываетсомнений. Наиболее трудными бывают ответы на вопросы:

1. От чего надо защищать систему?

2. Что надо защищать в самой системе?

3. Как надо защищать систему (при помощи каких методов и средств)?

При выработке подходов к решению проблемы безопасности следует всегда исходитьиз того, что конечной целью применения любых мер противодействия угрозам являетсязащита владельца и законных пользователей АСОИБ от нанесения им материального илиморального ущерба в результате случайных или преднамеренных воздействий на нее.

Обеспечение безопасности АСОИБ в целом предполагает создание препятствийдля любого несанкционированного вмешательства в процесс ее функционирования, а такжепопыток хищения, модификации, выведения из строя или разрушения ее компонентов.То есть защиту всех компонентов системы: оборудования, программного обеспечения,данных и персонала. В этом смысле, защита информации от несанкционированного доступаявляется только частью общей проблемы обеспечения безопасности АСОИБ, а борьбу следуетвести не только с «несанкционированным доступом» (к информации), а шире, — с «несанкционированнымидействиями».

Обычно различают внешнюю и внутреннюю безопасность АСОИБ [3, с.182]. Внешняябезопасность включает защиту АСОИБ от стихийных бедствий (пожар, наводнение и т.п.)и от проникновения злоумышленников извне с целями хищения, получения доступа к носителяминформации или вывода системы из строя. Предметом внутренней безопасности являетсяобеспечение надежной и корректной работы системы, целостности ее программ и данных.

Все усилия по обеспечению внутренней безопасности АСОИБ фокусируются насоздании надежных и удобных механизмов регламентации деятельности всех ее пользователейи обслуживающего персонала, соблюдении установленной в организации дисциплины прямогоили косвенного доступа к ресурсам системы и к информации.

Учитывая то обстоятельство, что основным предназначением АСОИБ являетсяпереработка (сбор, хранение, обработка и выдача) информации, то проблема обеспечениябезопасности информации является для АСОИБ центральной в ряду проблем защиты средстввычислительной техники от стихийных бедствий и хищений, проблем подбора и подготовкикадров, организации управления, обеспечения живучести АСОИБ, надежности их техническихсредств и программного обеспечения и других. Очевидно, что все они тесно связаныс безопасностью информации, поскольку, например, отказ в обслуживании клиента илинесвоевременное предоставление пользователю хранящейся в АСОИБ важной информациииз-за неработоспособности этой системы по своим последствиям равноценны потере информации(несанкционированному ее уничтожению).

Анализ построения система информационной безопасности следует начинатьс анализа рисков возможных угроз.

Риск есть стоимостное выражение вероятностного события, ведущего к потерям.Для оценки степени риска при том или ином варианте действий применяются различныеметодики. В зарубежной литературе они получили название «анализ риска» (riskanalysis). Анализ риска применяется к самым различным операциям. Например, при выдачекредита специалисты банка оценивают риск его невозврата заемщиком. Оценив величинустепени риска можно принять меры, направленные на ее уменьшение (например, опечатавна складе заемщика высоколиквидный товар). [13, с.28]

Перед тем, как выбирать различные средства защиты необходимо четко представлятькакие компоненты АСОИБ, от каких посягательств и насколько надежно вы хотите защитить.Безусловно, основой системы защиты АСОИБ должны быть организационные (административные)мероприятия, стержнем которых является разработка и реализация плана защиты. Ноорганизационные меры без повсеместной поддержки их физическими и техническими (программнымии аппаратными) средствами будут слабы. Поэтому при выборе средств защиты необходимообращать внимание не только на их надежность, но и на то, как они будут поддерживатьразработанные организационные мероприятия.

Необходимо использовать анализ риска для выбора наиболее реальных угрозАСОИБ и целесообразных способов защиты от них.

Для чего нужен анализ риска в этой области?

1. Для повышения осведомленности персонала. Обсуждение вопросов защитыАСОИБ может поднять уровень интереса к этой проблеме среди сотрудников, что приведетк более точному выполнению требований инструкций.

2. Для определения сильных и слабых сторон существующих и предлагаемыхмер защиты. Многие организации не имеют полной информации о своей АСОИБ и ее слабыхсторонах. Систематический анализ дает всестороннюю информацию о состоянии аппаратногои программного обеспечения АСОИБ и степени риска потери (искажения, утечки) информациипри ее обработке и хранении в электронном виде.

3. Для подготовки и принятия решения по выбору мер и средств защиты. Защитаснижает производительность АСОИБ, внося при этом неудобства (иногда существенные)в работу пользователей. Некоторые меры защиты слишком сложны и дороги и их применениене может быть оправдано теми функциями, которые они выполняют. В то же время существуютнастолько серьезные виды угроз, что поиск и разработка новых, более эффективныхметодов и средств защиты от них является просто необходимыми. В обоих случаях степеньриска определяет уровень и масштаб применяемых средств защиты.

4. Для определения затрат на защиту. Некоторые механизмы защиты требуютдовольно больших ресурсов, и их работа скрыта от пользователей. Анализ риска можетпомочь определить самые главные требования к системе защиты АСОИБ.

Анализ риска — это процесс получения количественной или качественной оценкиущерба, который может произойти в случае реализации угрозы безопасности АСОИБ.

Ниже рассматриваются основные этапы, проводимые при анализе риска безопасностиАСОИБ. Они могут в отдельных случаях корректироваться в зависимости от конкретныхусловий анализа [13, с.29]:

1. Описание компонентов АСОИБ.

2. Определение уязвимых мест АСОИБ.

3. Оценка вероятностей проявления угроз безопасности АСОИБ.

4. Оценка ожидаемых размеров потерь.

5. Обзор возможных методов защиты и оценка их стоимости.

6. Оценка выгоды от применения предполагаемых мер.

Рассмотрим эти этапы подробнее. Описание компонентов АСОИБ

Все компоненты АСОИБ можно разбить на следующие категории:

— оборудование — ЭВМ и их составные части (процессоры, мониторы, терминалы,рабочие станции), периферийные устройства (дисководы, устройства back-up, портыввода-вывода, принтеры, кабели, контроллеры, линии связи) и т.д.;

— программное обеспечение — исходные, объектные, загрузочные модули, приобретенныепрограммы, «домашние» разработки, утилиты, операционные системы и системные программы(компиляторы, компоновщики и др.), диагностические программы и т.д.;

— данные — временные, хранимые постоянно, на магнитных носителях, печатные,архивы, системные журналы и т.д.;

— сотрудники — пользователи и обслуживающий персонал.

Кроме компонентов АСОИБ при планировании системы безопасности необходимочетко описать технологию обработки информации в защищаемой АСОИБ. Необходимо зафиксироватьсостояние АСОИБ как совокупности различных компонентов и технологии обработки информации.Все дальнейшие этапы анализа риска производятся именно с этой, зафиксированной нанекоторый момент времени, системой.

Важным моментом является определение уязвимых мест АСОИБ. Для всех категорий,компонентов АСОИБ необходимо определить, какие опасности могут угрожать каждой изних и что может быть их причиной.

Рассмотрим примеры опасных воздействий, которые могут привести к нарушениюконфиденциальности, целостности и доступности определенных компонентов и ресурсовАСОИБ:

1. Стихийные бедствия.

2. Внешние воздействия. Подключение к сети, интерактивная работа, воздействиехакеров.

3. Преднамеренные нарушения. Действия обиженных служащих, взяточников,любопытных посетителей, конкурентов и т.д.

4. Неумышленные ошибки. Ввод ошибочной команды, данных, использование неисправныхустройств, носителей, а также пренебрежение некоторыми правилами безопасности.

Дальнейший этап анализа риска определяет, как часто может проявиться каждаяиз угроз безопасности АСОИБ. В некоторых случаях вообще невозможно численно оценитьпоявление той или иной угрозы, однако для большинства случаев такая оценка все жевозможна.

Приведем некоторые методы оценки вероятностей проявления угроз.

1. Эмпирическая оценка количества проявлений угрозы за некоторый периодвремени. Как правило, этот метод применяется для оценки вероятности стихийных бедствий.Невозможно предсказать возникновение, например, пожара в определенном здании, поэтомув таких случаях целесообразно накапливать массив данных об исследуемом событии.Так например, в среднем за год пожар уничтожит некоторое количество зданий; среднийущерб составит $Х. Кроме того, также можно получать данные об обманах со сторонысотрудников, коррупции и т.д. Такой анализ обычно неточен, поскольку используетлишь частичные данные о событии, но тем не менее в некоторых случаях таким путемможно получить приемлемые результаты.

2. Непосредственная регистрация событий. Обычно этот метод применяетсядля оценки вероятности часто проявляющихся событий (попытки входа в систему, доступк определенному объекту и т.д.).

3. Оценка частоты проявления угрозы по таблице. Некоторые методы анализариска позволяют оценить вероятность появления каких либо событий по специальнойтаблице, выбирая один из коэффициентов. Полнота анализа зависит от качества методавычисления коэффициентов проявления данного события. Таким образом, оценка вероятностисобытия производится не с помощью безосновательного выбора числа, а на основе системыкоэффициентов, которая имеют некоторую методологическую основу.

4. Метод «Дельфийский оракул». С помощью этого метода каждый конкретныйкоэффициент выводится из частоты появления определенного события. Эти частоты накапливаютсяи преобразуются в коэффициенты; они могут быть изменены на основе новых данных.После серии испытаний все значения коэффициентов собирают, и если они приемлемы,то одно из них (лучшее в смысле некоторого выбранного критерия) оставляют. В противномслучае анализируется методика получения оценок и производится новая серия испытаний.

Определение потерь в результате реализации любой из угроз безопасности —следующий этап анализа риска. Как и оценка частоты реализации различных угроз, определениепотерь также трудно поддается расчету. Например, стоимость замены аппаратного илипрограммного обеспечения АСОИБ оценивается достаточно просто. Однако существуетмного случаев (восстановление данных или программ), когда это сопряжено с большимитрудностями.

Многие данные нуждаются в защите по вполне объяснимым причинам. Защищатьнеобходимо личные данные (счета, страховые полисы), коммерческую информацию (технологические,финансовые и другие секреты). Однако при этом трудно оценить величину потерь приискажении, потере этих данных, либо при невозможности получить данные в требуемоевремя.

Ответы на приведенные ниже вопросы полезно использовать при оценке величиныожидаемых потерь, при анализе различных способов реализации угроз; они, конечно,не дадут полную картину, но могут облегчить оценку возможного ущерба:

1. Каковы Ваши обязательства по сохранению конфиденциальности и целостноститех или иных данных?

2. Может ли компрометация этих данных привести к несчастному случаю? Существуетли реальная возможность такого события?

3. Может ли несанкционированный доступ к этим данным послужить причинойпотерь в будущем (упущенная возможность в бизнесе)? Может ли этот случай послужитьВашим соперникам (конкурентам)? Каковы возможные потери от этого?

4. Каков может быть психологический эффект потери? Возможные затруднения?Кредитоспособность? Потеря клиентуры?

5. Каково значение доступа к этим данным? Может ли обработка этих данныхбыть отложена? Могут ли эти вычислений быть выполнены где-нибудь еще? Сколько Выможете заплатить за обработку этих данных в другом месте?

6. Каково для Вас значение несанкционированного доступа конкурентов к Вашимданным? Насколько заинтересованы ваши соперники (конкуренты) в этих данных?

7. Какие проблемы могут возникнуть при утере Ваших данных? Могут ли онибыть восстановлены? Каков объем работ по восстановлению? Сколько это будет стоить?

Как уже отмечалось выше, оценка потерь достаточно сложна. Более того, уязвимостьвычислительных систем часто оказывается выше ожидаемой. Поэтому реалистичные оценкипотенциального ущерба могут послужить основой для разработки системы защиты и определитьобласть наиболее пристального внимания.

Защита от проявления той или иной угрозы может быть реализована различнымиспособами. Например, защитить информацию на жестком диске ПЭВМ от ознакомления можноследующими способами :

— организовать контроль за доступом в помещение, в котором установленаПЭВМ;

— назначить ответственных за использование ПЭВМ;

— шифровать информацию на диске;

— использовать системы разграничения доступа;

— закрывать доступ или демонтировать дисководы и порты ввода-вывода;

— применять средства оповещения администратора о вскрытии корпуса ПЭВМ.

Для каждого из этих способов определяются такие характеристики, как стоимостьи эффективность. Стоимость метода защиты имеет абсолютное значение, выраженное вденежных единицах, затраченных на его реализацию и сопровождение. При оценке стоимостиметода необходимо учитывать не только прямые (закупка оборудования, обучение персоналаи т.д.), но и косвенные затраты (замедление работы системы, нарушение устоявшейсятехнологии обработки информации и т.д)

Эффективность метода — это его способность противостоять тем или иным угрозам.Получить реальное значение эффективности очень трудно, и в большинстве случаев этахарактеристика определяется эмпирически.

Анализ риска также позволяет экспериментировать с некоторой моделью АСОИБдля того, чтобы выяснить, какие из имеющихся методов защиты наиболее эффективныдля сохранения работоспособности системы и конфиденциальности обрабатываемой в нейинформации.

Анализ риска — хорошо известный инструмент планирования, широко используемыйв практике управления. Тем не менее, иногда выдвигаются аргументы против его использования.Рассмотрим основные из них.

1. Неточность. Многие значения, получаемые в процессе анализа (вероятностьпоявления событий, стоимость ущерба) не отличаются высокой точностью. Однако существуютразличные методы для получения приемлемых приближений этих значений.

В то же время, анализ риска — это инструмент планирования. Основная егозадача — определить уровень возможных потерь. Например, можно ошибиться в частотепоявления некоторого события — один раз в год или один раз в три года, но мы покрайней мере будем уверены, что оно вряд ли будет происходить каждую неделю. Анализриска определяет эффективный уровень затрат на защиту, особенно в условиях ограниченныхфинансов.

Кроме того, излишняя точность может оказаться ненужной. Например, совершенноневажно, составят ли ожидаемые потери $150.000 или $100.000, важно, что они будутмного больше чем $20.000. Стремление к излишней точности в таких случаях толькотребует увеличения времени анализа и дополнительных затрат.

2. Быстрая изменяемость. Анализ риска актуален лишь в течение определенногопромежутка времени. Потом может изменится состав системы, внешние условия и т.д,и придется проводить новый анализ. В идеале анализ риска для собственной АСОИБ рекомендуетсяпроводить ежегодно.

Важный момент в ежегодном исследовании — учет всех имеющих отношение кделу изменений, происшедших за истекший год. При этом некоторые факторы могли неучитываться в прошлом году, а некоторые могли потерять актуальность.

3. Отсутствие научной базы. Почти все методики проведения анализа рискаосновывается на положениях теории вероятностей и математической статистики, однакоих применение не всегда корректно.

В процессе проведения анализа риска должна быть сформирована основа дляопределения необходимых мер защиты. В частности, следует определить, что именноотносится к АСОИБ (оборудование, программы, данные, персонал и т.д.) и что нуждаетсяв защите.

Далее необходимо составить список возможных на ваш взгляд способов реализацииугроз работе системы, роль и место средств защиты для предотвращения кризисных ситуаций,

В этом разделе плана фиксируется порядок формирования и обработки данныхв защищаемой АСОИБ. Как отмечалось выше, наиболее сложным этапом анализа риска являетсяопределение частоты появления возможных угроз системе. Поскольку использование различныхметодов оценки может влиять на точность результатов, все они должны быть отраженыв данном пункте плана.

Наконец, этот пункт должен содержать сведения о действиях средств защитыв случае возникновения непредусмотренных ситуаций, которые могут возникнуть привводе в действие новой техники, программ, данных или из-за ошибок в планировании.При этом необходимо также предусмотреть, каким образом существующая система защитыможет быть адаптирована к возникающим новым ситуациям.

Таким образом, составление плана защиты — сложный и трудоемкий процесс,требующий значительных исследований и затрат. В то же время чрезмерное увлечениесбором и анализом данных об АСОИБ и ее неформальных спецификаций может чересчуроттянуть и усложнить практическую реализацию мер по защите. Т.е. план должен строитсяна глубоком анализе ситуации, но в то же время оставаться в рамках здравого смысла,не погружаясь в излишнюю формализацию и бюрократизацию.

Построение защиты банковских автоматизированныхсистем.

Каждую систему обработки информации защиты следует разрабатывать индивидуальноучитывая следующие особенности:

·   организационную структуру банка;

·   объем и характер информационныхпотоков (внутри банка в целом, внутри отделов, между отделами, внешних);

·   количество и характер выполняемыхопераций: аналитических и повседневных (один из ключевых показателей активностибанка — число банковских операций в день, является основой для определения параметровсистемы);

·   количество и функциональные обязанностиперсонала;

·   количество и характер клиентов;

·   график суточной нагрузки.

Защита АСОИБ должна разрабатываться для каждой системы индивидуально, нов соответствии с общими правилами. Построение защиты предполагает следующие этапы:

— анализ риска, заканчивающийся разработкой проекта системы защиты и плановзащиты, непрерывной работы и восстановления;

— реализация системы защиты на основе результатов анализа риска;

— постоянный контроль за работой системы защиты и АСОИБ в целом (программный,системный и административный).

На каждом этапе реализуются определенные требования к защите; их точноесоблюдение приводит к созданию безопасной системы.

На сегодняшний день защита АСОИБ — это самостоятельное направление исследований.Поэтому легче и дешевле использовать для выполнения работ по защите специалистов,чем дважды учить своих людей (сначала их будут учить преподаватели, а потом онибудут учиться на своих ошибках).

Главное при защите АСОИБ специалистами (естественно после уверенности вих компетенции в данном вопросе) — наличие здравого смысла у администрации системы.Обычно, профессионалы склонны преувеличивать реальность угроз безопасности АСОИБи не обращать внимания на такие «несущественные детали» как удобство ее эксплуатации,гибкость управления системой защиты и т.д., без чего применение системы защиты становитсятрудным делом. Построение системы защиты — это процесс поиска компромисса междууровнем защищенности АСОИБ и сохранением возможности работы в ней. Здравый смыслпомогает преодолеть большинство препятствий на этом пути.

Для обеспечения непрерывной защиты информации в АСОИБ целесообразно создатьиз специалистов группу информационной безопасности. На эту группу возлагаются обязанностипо сопровождению системы защиты, ведения реквизитов защиты, обнаружения и расследованиянарушений политики безопасности и т.д.

Один из самых важных прикладных аспектов теории защиты — защита сети. Приэтом, с одной стороны, сеть должна восприниматься как единая система и, следовательно,ее защита также должна строиться по единому плану. С другой стороны, каждый узелсети должен быть защищен индивидуально.

Защита конкретной сети должна строиться с учетом конкретных особенностей:назначения, топологии, особенностей конфигурации, потоков информации, количествапользователей, режима работы и т.д.

Кроме того, существуют специфические особенности защиты информации на микрокомпьютерах,в базах данных. Нельзя также упускать из виду такие аспекты, как физическая защитакомпьютеров, периферийных устройств, дисплейных и машинных залов. Иногда бываетнеобходим и «экзотический» вид защиты — от электромагнитного излучения или защитаканалов связи.

Основные этапы построения системы защиты заключаются в следующем:

Анализ -> Разработка системы защиты (планирование) -> Реализациясистемы защиты -> Сопровождение системы защиты.

Этап анализа возможных угроз АСОИБ необходим для фиксирования на определенныймомент времени состояния АСОИБ (конфигурации аппаратных и программных средств, технологииобработки информации) и определения возможных воздействий на каждый компонент системы.Обеспечить защиту АСОИБ от всех воздействий на нее невозможно, хотя бы потому, чтоневозможно полностью установить перечень угроз и способов их реализации. Поэтомунадо выбрать из всего множества возможных воздействий лишь те, которые могут реальнопроизойти и нанести серьезный ущерб владельцам и пользователям системы.

На этапе планирования формируется система защиты как единая совокупностьмер противодействия различной природы.

По способам осуществления все меры обеспечения безопасности компьютерныхсистем подразделяются на: правовые, морально-этические, административные, физическиеи технические (аппаратные и программные) [9, с.28].

К правовым мерам защиты относятся действующие законы, указы и другие нормативныеакты, регламентирующие правила обращения с информацией ограниченного использованияи ответственность за их нарушения. Этим они препятствуют несанкционированному использованиюинформации и являются сдерживающим фактором для потенциальных нарушителей.

К морально-этическим мерам противодействия относятся всевозможные нормыповедения, которые традиционно сложились или складываются по мере распространенияЭВМ в стране или обществе. Эти нормы большей частью не являются обязательными, какзаконодательно утвержденные, однако, их несоблюдение ведет обычно к падению авторитета,престижа человека, группы лиц или организации. Морально-этические нормы бывают,как неписанные (например, общепризнанные нормы честности, патриотизма и т.п.), таки оформленные в некий свод (устав) правил или предписаний. Наиболее характернымпримером последних является «Кодекс профессионального поведения членов Ассоциациипользователей ЭВМ США» [14]. В частности, считаются неэтичными умышленные или неумышленныедействия, которые:

— нарушают нормальную работу компьютерных систем;

— вызывают дополнительные неоправданные затраты ресурсов (машинного времени,памяти, каналов связи и т.п.);

— нарушают целостность хранимой и обрабатываемой информации;

— нарушают интересы других законных пользователей и т.д.

Административные меры защиты — это меры организационного характера, регламентирующиепроцессы функционирования системы обработки информации, использование ее ресурсов,деятельность персонала, а также порядок взаимодействия пользователей с системойтаким образом, чтобы в наибольшей степени затруднить или исключить возможность реализацииугроз безопасности. Они включают:

— разработку правил обработки информации в АСОИБ;

— мероприятия, осуществляемые при проектировании, строительстве и оборудованиивычислительных центров и других объектов АСОИБ (учет влияния стихии, пожаров, охранапомещений, организация защиты от установки прослушивающей аппаратуры и т.п.);

— мероприятия, осуществляемые при подборе и подготовке персонала (проверкановых сотрудников, ознакомление их с порядком работы с конфиденциальной информацией,с мерами ответственности за нарушение правил ее обработки; создание условий, прикоторых персоналу было бы невыгодно допускать злоупотребления и т.д.);

— организацию надежного пропускного режима;

— организацию учета, хранения, использования и уничтожения документов иносителей с конфиденциальной информацией;

— распределение реквизитов разграничения доступа (паролей, профилей полномочийи т.п.);

— организацию скрытого контроля за работой пользователей и персонала АСОИБ;

— мероприятия, осуществляемые при проектировании, разработке, ремонте имодификациях оборудования и программного обеспечения (сертификация используемыхтехнических и программных средств, строгое санкционирование, рассмотрение и утверждениевсех изменений, проверка их на удовлетворение требованиям защиты, документальноеотражение изменений и т.п.).

Физические меры защиты — это разного рода механические, электро- или электронно-механическиеустройства и сооружения, специально предназначенные для создания физических препятствийна возможных путях проникновения и доступа потенциальных нарушителей к компонентамсистемы и защищаемой информации.

Техническими (аппаратно-программными) средствами защиты называются различныеэлектронные устройства и специальные программы, которые выполняют (самостоятельноили в комплексе с другими средствами) функции защиты (идентификацию и аутентификациюпользователей, разграничение доступа к ресурсам, регистрацию событий, криптографическуюзащиту информации и т.д.).

Наилучшие результаты достигаются при системном подходе к вопросам обеспечениябезопасности АСОИБ и комплексном использовании различных мер защиты на всех этапахжизненного цикла системы, начиная с самых ранних стадий ее проектирования.

Очевидно, что в структурах с низким уровнем правопорядка, дисциплины иэтики ставить вопрос о защите информации просто бессмысленно. Прежде всего надорешить правовые и организационные вопросы.

Административные меры играют значительную роль в обеспечении безопасностиАСОИБ. Эти меры необходимо использовать тогда, когда другие методы и средства защитыпросто недоступны (отсутствуют или слишком дороги). Однако это вовсе не означает,что систему защиты необходимо строить исключительно на основе административных методов,как это часто пытаются сделать чиновники, далекие от технического прогресса. Этиммерам присущи серьезные недостатки, такие как:

— низкая их надежность без соответствующей поддержки со стороны физических,технических и программных средств (люди склонны к нарушению любых установленныхправил, если только их можно нарушить);

— применение для защиты только административного мер обычно приводит кпараличу деятельности АСОИБ и всей организации (совершенно невозможно работать ненарушая инструкций) из-за ряда дополнительных неудобств, связанных с большим объемомрутинной формальной деятельности.

Административные меры надо везде, где только возможно, заменять более надежнымисовременными физическими и техническими средствами. Они должны обеспечивать эффективноеприменение других, более надежных методов и средств защиты в части касающейся регламентациидействий людей.

Известно не так много общих (универсальных) способов защиты АСОИБ от различныхвоздействий на нее. Ими являются:

— идентификация и аутентификация субъектов (пользователей, процессов ит.д.) АСОИБ;

— контроль доступа к ресурсам АСОИБ;

— регистрация и анализ событий, происходящих в АСОИБ;

— контроль целостности объектов АСОИБ;

— шифрование данных;

— резервирование ресурсов и компонентов АСОИБ.

Эти универсальные способы защиты могут применяться в различных вариацияхи совокупностях в конкретных методах и средствах защиты.

Результатом этапа планирования является план защиты — документ, содержащийперечень защищаемых компонентов АСОИБ и возможных воздействий на них, цель защитыинформации в АСОИБ, правила обработки информации в АСОИБ, обеспечивающие ее защитуот различных воздействий, а также описание разработанной системы защиты информации.

При необходимости, кроме плана защиты на этапе планирования может бытьразработан план обеспечения непрерывной работы и восстановления функционированияАСОИБ, предусматривающий деятельность персонала и пользователей системы по восстановлениюпроцесса обработки информации в случае различных стихийных бедствий и других критическихситуаций.

Сущность этапа реализации системы защиты заключается в установке и настройкесредств защиты, необходимых для реализации зафиксированных в плане защиты правилобработки информации. Содержание этого этапа зависит от способа реализации механизмовзащиты в средствах защиты.

К настоящему времени сформировались два основных способа реализации механизмовзащиты.

При первом из них механизмы защиты не реализованы в программном и аппаратномобеспечении АСОИБ, либо реализована только часть их, необходимая для обеспеченияработоспособности всей АСОИБ (например, механизмы защиты памяти в мультипользовательскихсистемах). Защита информации при хранении, обработке или передаче обеспечиваетсядополнительными программными или аппаратными средствами, не входящими в состав самойАСОИБ. При этом средства защиты поддерживаются внутренними механизмами АСОИБ.

Такой способ получил название «добавленной» (add-on) защиты [6, с.87],поскольку средства защиты являются дополнением к основным программным и аппаратнымсредствам АСОИБ. Подобного подхода в обеспечении безопасности придерживается, например,фирма IBM, почти все модели ее компьютеров и ОС, от персональных до больших машин,используют добавленную защиту (например пакет RACF).

Другой способ носит название «встроенной» (built-in) защиты. Он заключаетсяв том, что механизмы защиты являются неотъемлемой частью АСОИБ, разработанной иреализованной с учетом определенных требований безопасности. Механизмы защиты могутбыть реализованы в виде отдельных компонентов АСОИБ, распределены по другим компонентамсистемы (то есть в некотором компоненте АСОИБ есть часть, отвечающая за поддержаниеего защиты). При этом средства защиты составляют единый механизм, который отвечаетза обеспечение безопасности всей АСОИБ.

Этот способ использовался компанией DEC при разработке системыVAX/VMS.

Оба способа — добавленной и встроенной защиты — имеют свои преимуществаи недостатки. Добавленная защита является более гибкой, ее механизмы можно добавлятьили удалять по мере необходимости. Это не составит большого труда, так как они всереализованы отдельно от других процедур системы. Однако в этом случае остро встаетвопрос поддержки работы этих механизмов встроенными механизмами ОС, в том числеи аппаратными. В том случае, если добавляемые средства защиты не поддерживаютсявстроенными механизмами АСОИБ, то они не обеспечат необходимого уровня безопасности.

Проблемой может стать сопряжение встроенных механизмов с добавляемыми программнымисредствами — довольно сложно разработать конфигурацию механизмов защиты, их интерфейсс добавляемыми программными средствами так, чтобы защита охватывала всю системуцеликом.

Другой проблемой является оптимальность защиты. При любой проверке прав,назначении полномочий, разрешений доступа и т.д. необходимо вызывать отдельную процедуру.Естественно, это сказывается на производительности системы. Не менее важна и проблемасовместимости защиты с имеющимися программными средствами. Как правило, при добавленнойзащите вносятся некоторые изменения в логику работы системы. Эти изменения могутоказаться неприемлемыми для некоторых прикладных программ. Такова плата за гибкостьи облегчение обслуживания средств защиты.

Основное достоинство встроенной защиты — надежность и оптимальность. Этообъясняется тем, что средства защиты и механизмы их поддержки разрабатывались иреализовывались одновременно с самой системой обработки информации, поэтому взаимосвязьсредств защиты с различными компонентами системы теснее, чем при добавленной защите.Однако встроенная защита обладает жестко фиксированным набором функций, не позволяярасширять или сокращать их. Некоторые функции можно только отключить.

Справедливости ради стоит отметить, что оба вида защиты в чистом виде встречаютсяредко. Как правило, используются их комбинации, что позволяет объединять достоинстваи компенсировать недостатки каждого из них.

Комплексная защита АСОИБ может быть реализована как с помощью добавленной,так и встроенной защиты.

Этап сопровождения заключается в контроле работы системы, регистрации происходящихв ней событий, их анализе с целью обнаружить нарушения безопасности.

В том случае, когда состав системы претерпел существенные изменения (сменавычислительной техники, переезд в другое здание, добавление новых устройств илипрограммных средств), требуется повторение описанной выше последовательности действий.

Стоить отметить тот немаловажный факт, что обеспечение защиты АСОИБ — этоитеративный процесс, завершающийся только с завершением жизненного цикла всей системы.

На последнем этапе анализа риска производится оценка реальных затрат ивыигрыша от применения предполагаемых мер защиты. Величина выигрыша может иметькак положительное, так и отрицательное значение. В первом случае это означает, чтоиспользование системы защиты приносит очевидный выигрыш, а во втором — лишь дополнительныерасходы на обеспечение собственной безопасности.

Сущность этого этапа заключается в анализе различных вариантов построениясистемы защиты и выборе оптимального из них по некоторому критерию (обычно по наилучшемусоотношению «эффективность/стоимость»).

Приведем пример: необходимо оценить выгоду при защите информации от раскрытияили обработки на основе некорректных данных в течении одного года. [2, с.141]

Величину ущерба от реализации этих угроз оценим в $1.000.000. Предположим,предварительный анализ показал, что в среднем эта ситуация встречается один разв десять лет (Р=0.1).

Тогда стоимость потерь для данной угрозы (СР) составит:

СР = С * Р = $1.000.000 * 0.1 = $100.000

Далее зададимся эффективностью методов защиты. Для данного абстрактногослучая предположим, что в результате экспертной оценки методов защиты было полученозначение 60% (в шести случаях из десяти защита срабатывает), тогда:

ЕМ = 60% * СР = $60.000

Затраты на реализацию этих методов (закупка средств защиты, обучение персонала,изменение технологии обработки информации, зарплата персоналу и т.д.) составили(СМ) $25.000. Тогда величина выгоды равна:

PR = ЕМ — СМ = $60.000 — $25.000 = $35.000.

В рассмотренном случае величина выгоды имеет положительное значение, чтоговорит о целесообразности применения выбранных методов защиты.

После того, как были определены угрозы безопасности АСОИБ, от которых будетпроизводится защита и выбраны меры защиты, требуется составить ряд документов, отражающихрешение администрации АСОИБ по созданию системы защиты. Это решение конкретизируетсяв нескольких планах: плане защиты и плане обеспечения непрерывной работы и восстановленияфункционирования АСОИБ.

План защиты — это документ, определяющий реализацию системы защиты организациии необходимый в повседневной работе. Он необходим:

1. Для определения, общих правил обработки информации в АСОИБ, целей построенияи функционирования системы защиты и подготовки сотрудников.

2. Для фиксирования на некоторый момент времени состава АСОИБ, технологииобработки информации, средств защиты информации.

3. Для определения должностных обязанностей сотрудников организации позащите информации и ответственности за их соблюдение.

План представляет собой организационный фундамент, на котором строитсявсе здание системы защиты. Он нуждается в регулярном пересмотре и, если необходимо,изменении.

План защиты обычно содержит следующие группы сведений:

1. Политика безопасности.

2. Текущее состояние системы.

3. Рекомендации по реализации системы защиты.

4. Ответственность персонала.

5. Порядок ввода в действие средств защиты.

6. Порядок пересмотра плана и состава средств защиты.

Рассмотрим подробнее эти группы сведений.

Политика безопасности. В этом разделе должен быть определен набор законов,правил и практических рекомендаций, на основе которых строится управление, защитаи распределение критичной информации в АСОИБ. Раздел должен содержать:

1. Цели, преследуемые реализацией системы защиты в вычислительной системе(например, защита данных компании от несанкционированного доступа, защита от утериданных и др.).

2. Меры ответственности средств защиты и нижний уровень гарантированнойзащиты (например, в работе небольших групп защищенных компьютеров, в обязанностяхкаждого из служащих и др.).

3. Обязательства и санкции, связанные с защитой (например, штрафы, персональнаяответственность и др.).

Рекомендации по реализации системы защиты. Всесторонний анализ риска долженопределять размеры наибольших возможных потерь, независимо от вероятности появлениясоответствующих событий; размеры наибольших ожидаемых потерь; меры, предпринимаемыев случае критических ситуаций, а также стоимость таких мер. Эти результаты используютсяпри определении зон особого контроля и распределении средств для обеспечения защиты.В этом случае план защиты должен содержать рекомендации, какие средства контролялучше всего использовать в чрезвычайных ситуациях (то есть имеющие наибольшую эффективность)и какие лучше всего соответствовали бы средствам контроля повседневной работы.

Некоторые ситуации могут приводить к слишком большому ущербу (например,крушение системы), а стоимость средств защиты от них может быть слишком высока илиэти средства окажутся неэффективны. В этом случае лучше не учитывать такие ситуациипри планировании защиты, хотя их и возникающие при этом возможные последствия следуетотразить в плане.

Ответственность персонала. Каждый сотрудник обслуживающего персонала вычислительнойсистемы должен хорошо знать свои обязанности и нести ответственность за свои действия.Ниже приводятся некоторые примеры обязанностей сотрудников и групп сотрудников:

1. Пользователь персонального компьютера или терминала несет ответственностьза физическую целостность компьютера (терминала) во время сеанса работы с АСОИБ,а также за неразглашение собственного пароля.

2. Администратор баз данных несет ответственность за конфиденциальностьинформации в базах данных, ее логическую непротиворечивость и целостность.

3. Сотрудник руководства отвечает за разделение обязанностей служащих всфере безопасности обработки информации, предупреждение возможных угроз и профилактикусредств защиты.

Порядок ввода в действие средств защиты. Ввод в работу крупномасштабныхи дорогих средств защиты целесообразно проводить постепенно, давая возможность обслуживающемуперсоналу и пользователям спокойно ознакомиться со своими новыми обязанностями.Для этого необходимо проводить разного рода тренировки, занятия по разъяснению целейзащиты и способов ее реализации.

Этот раздел плана содержит расписание такого рода занятий, а также порядокввода в действие системы защиты.

Порядок модернизации средств защиты. Важной частью плана защиты являетсяпорядок пересмотра состава средств защиты. Состав пользователей, данные, обстановка— все изменяется с течением времени, появляются новые программные и аппаратные средства.Многие средства защиты постепенно теряют свою эффективность и становятся ненужными,или подлежат замене по какой-либо иной причине (например, уменьшается ценность информации,для обработки которой достаточно более простых средств защиты). Поэтому список объектов,содержащих ценную информацию, их содержимое и список пользователей должны периодическипросматриваться и изменяться в соответствии с текущей ситуацией. Также периодическидолжен проводиться анализ риска, учитывающий изменения обстановки. Последний пунктплана защиты должен устанавливать сроки и условия такого пересмотра, а также условия,при которых может производиться внеочередной пересмотр (например, качественный скачокв разработке методов преодоления защиты, что может нанести серьезный ущерб пользователями владельцам АСОИБ).

Каким бы всеобъемлющим не был план, все возможные угрозы и защиту от нихон предусмотреть не в состоянии. К тому же многие ситуации он должен только описывать— их контроль может оказаться неэффективным (в силу дороговизны средств защиты илималой вероятности появления угроз). В любом случае владельцы и персонал системыдолжны быть готовы к различным непредвиденным ситуациям.

Для определения действий персонала системы в критических ситуациях с цельюобеспечения непрерывной работы и восстановления функционирования АСОИБ необходиморазрабатывать план обеспечения непрерывной работы и восстановления (план ОНРВ).В некоторых случаях план обеспечения непрерывной работы и план восстановления —разные документы. Первый скорее план, позволяющий избежать опасных ситуаций, второй— план реакции на них.

План ОНРВ можно сравнить с планом противопожарной защиты (обеспечение непрерывнойработы) и ликвидации последствий (минимизация ущерба и восстановление функционированияАСОИБ). Про этот план обычно все знают, но никто его не читает, хотя на пепелищеоб этом обычно сожалеют.

Существует несколько способов смягчения воздействия непредвиденных ситуаций:

1. Избегать их. Это наиболее эффективный, но не всегда осуществимый способ.Избегать непредвиденных ситуаций можно с помощью ограничительных мер, предусмотренныхпланом защиты, а можно и с помощью устранения самой причины потенциального нарушения.Например, с пожаром можно бороться огнетушителем, а можно соблюдением мер противопожарнойзащиты. С рассерженными пользователями можно бороться административными мерами(разозлив этим их еще больше), а можно и поддержанием здоровой атмосферы в коллективе.

2. Если избежать какого-либо нарушения невозможно, необходимо уменьшитьвероятность его появления или смягчить последствия от него.

3. Если предполагать, что какие-то нарушения все-таки могут произойти,следует предусмотреть меры сохранения контроля над ситуацией. Например, в любоймомент может выйти из строя отдельный блок системы — часть компьютера, компьютерцеликом, подсеть и т.д., может наступить нарушение энергоснабжения и др. В принципеэто может привести к выходу АСОИБ из строя, однако при правильной организации АСОИБэтого можно избежать.

4. Если нарушение произошло, необходимо предусмотреть меры по ликвидациипоследствий и восстановлению информации. Например, в случае сбоя в компьютере —замену сбойного компонента, в случае уничтожения каких-либо данных — восстановлениес резервных копий и т.д.

Все приведенные выше четыре способа должны в той или иной мере присутствоватьв плане ОНРВ. Для каждой конкретной АСОИБ эти меры следует планировать в процессеанализа риска с учетом особенностей (специфических видов угроз, вероятностей появления,величин ущерба и т.д.) и на основе критерия «эффективность/стоимость». Хороший планОНРВ должен отвечать следующим требованиям:

1. Реальность плана ОНРВ.

План должен оказывать реальную помощь в критических ситуациях, а не оставатьсяпустой формальностью. Необходимо учитывать психологический момент ситуации, прикоторой персонал находится в состоянии стресса, поэтому сам план и предлагаемыедействия должны быть простыми и ясными. План должен учитывать реальное состояниекомпонентов системы, способов их взаимодействия и т.д. Повышению действенности планаОНРВ способствуют тренировки в условиях, приближенных к реальным (естественно безреальных потерь).

2.Быстрое восстановление работоспособности системы.

Предлагаемые планом ОНРВ действия должны восстанавливать повседневную деятельностьнастолько быстро, насколько это возможно. В принципе это главное назначение планаОНРВ. Расследовать причины и наказать виновных можно потом, главное — продолжитьпроцесс обработки информации.

3. Совместимость с повседневной деятельностью.

Предлагаемые планом ОНРВ действия не должны нарушать привычный режим работы.Если его действия противоречат повседневной деятельности (возможно, возобновленнойпосле аварии), то это приведет к еще большим проблемам.

4. Практическая проверка.

Все положения плана ОНРВ должны быть тщательно проверены, как теоретически,так и практически. Только в этом случае план ОНРВ будет удовлетворять перечисленнымвыше требованиям.

5. Обеспечение.

Реальная выполнимость плана ОНРВ будет достигнута только в том случае,если предварительно подготовлено, проверено и готово к работе все вспомогательноеобеспечение — резервные копии, рабочие места, источники бесперебойного питания ит.д. Персонал должен совершенно точно знать, как и когда пользоваться этим обеспечением.

Наличие любого плана ОНРВ — полного или краткого, но главное —реального,благотворно влияет на моральную обстановку в коллективе. Пользователи должны бытьуверены в том, что даже в самых неблагоприятных условиях какая-то часть их трудабудет сохранена; руководство должно быть уверено, что не придется начинать все сначала.

План ОНРВ лучше всего строить как описание опасных ситуаций и способовреакции на них в следующем порядке:

— описание нарушения;

— немедленная реакция на нарушение — действия пользователей и администрациив момент обнаружения нарушения (сведение ущерба до минимума, уведомление руководства,останов работы, восстановительные процедуры и т.д.);

— оценка ущерба от нарушения — в чем заключаются потери и какова их стоимость(включая восстановление);

— возобновление обработки информации. После устранения нарушения и первичноговосстановления необходимо как можно быстрее возобновить работу, так как машинноевремя — это деньги;

— полное восстановление функционирования системы — удаление и замена поврежденныхкомпонентов системы, возобновление обработки информации в полном объеме.

В части, посвященной реакции на нарушения, план ОНРВ должен содержать переченьдействий, которые выполняются персоналом при наступлении различных ситуаций. Причемдействия должны быть реальными, иначе в них нет никакого смысла.

Эта часть плана должна определять:

— что должно быть сделано;

— когда это должно быть сделано;

— кем и как это должно быть сделано;

— что необходимо для того, чтобы это было сделано.

При планировании подобных действий необходимо помнить об их экономическойэффективности. Например, всю информацию системы в резервных копиях держать в принципеневозможно — ее слишком много и она слишком часто обновляется. В копиях должна содержатьсятолько самая ценная информация, значимость которой уменьшается не слишком быстро.Вообще определение степени дублирования ресурсов (критичной нагрузки; criticalworkload) — самостоятельная и достаточно сложная задача. Она должна решаться индивидуальнодля конкретных условий с учетом стоимости дублирования и загрузки системы, размероввозможного ущерба, имеющихся ресурсов и других факторов.

Для определения конкретных действий по восстановлению и возобновлению процессаобработки, включаемых в план ОНРВ, может быть полезен приводимый ниже список способоворганизации восстановления программ и данных, а также процесса обработки информации(первый способ для восстановления программ и данных, остальные — для возобновлениясамого процесса обработки информации).

Способы организации восстановления работы:

Резервное копирование и внешнее хранение программ и данных. Это основнойи наиболее действенный способ сохранения программного обеспечения и данных. Резервныекопии делаются с наборов данных, потеря или модификация которых могут нанести значительныйущерб. Обычно в таких копиях хранятся системное программное обеспечение и наборыданных, наиболее важное прикладное программное обеспечение, а также наборы данных,являющиеся основными в данной системе (например, база данных счетов в банке).

Резервное копирование может быть полным (копии делаются со всех наборовданных), возобновляемым (копии некоторых наборов данных периодически обновляются)и выборочным (копии делаются только с некоторых наборов данных, но потом не обновляются).Способы резервного копирования определяются для каждой конкретной АСОИБ индивидуальнос точки зрения критерия экономической эффективности.

Резервное копирование не имеет никакого, смысла, если копии могут бытьуничтожены вместе с оригиналами. Поэтому копии должны храниться в надежном месте,исключающем возможность уничтожения. В тоже время, должны существовать возможностьих оперативного использования. Иногда хранят две и более копий каждого набора данных.Например, одна копия может храниться в сейфе, находящемся в границах доступа персоналасистемы, а другая — в другом здании. В случае сбоя оборудования в системе используетсяпервая копия (оперативно!), а в случае ее уничтожения (например, при пожаре) — вторая.

Взаимодействие служб. Услуги по возобновлению процесса обработки предоставляютсяпо взаимной договоренности другими службами или организациями, обычно безвозмездно.Взаимопомощь бывает двух видов:

1. Внешняя — другая организация предоставляет свою АСОИБ, возможно программноеобеспечение для временной обработки информации пострадавшей стороной. Такой способвозобновления процесса обработки информации может использоваться для обработки небольшихобъемов некритичной информации. При этом желательно, чтобы две организации былипримерно одного типа и работали в одной области.

2. Внутренняя — возможность обработки информации предоставляется другимиподразделениями одной и той же организации (департаментами, отделами, группами).Такой способ обычно не требует больших затрат и легко доступен, если дублирующаяАСОИБ позволяет проводить такого рода обработку.

Любой план хорош в том случае, если он выполним. Для обеспечения выполнимостипланов необходимо чтобы работу по их составлению выполняла группа квалифицированныхспециалистов, размеры которой зависят от характера организации и масштабов предполагаемыхмер защиты. Оптимальная численность группы 5-7 человек. Можно привлечь дополнительныхсотрудников для обработки и анализа выводов и рекомендаций основной группы, или,в случае больших объемов работы, каждая группа должна составлять один план или одиниз пунктов плана.

Специализация сотрудников, входящих в группу разработки планов, зависитот конкретных условий. Использование защищенных протоколов, механизмов защиты операционныхсистем и сетей требует привлечения системных программистов. Применение средств защиты,встраиваемых в прикладное программное обеспечение делает необходимым участие в группепроблемных программистов. Необходимость организации защиты физических устройств,организации резервных рабочих мест также требует присутствия в рабочей группе соответствующихспециалистов. И, наконец, поскольку АСОИБ функционирует для пользователя, то целесообразноприсутствие пользователей различных категорий — для учета взгляда со стороны наудобство и эффективность предлагаемых методов и средств защиты. В большинстве случаевцелесообразно, чтобы в эту группу входили следующие специалисты, каждый из которыхдолжен отвечать за свой участок работы:

— специалисты по техническим средствам;

— системные программисты;

— проблемные программисты;

— сотрудники, отвечающие за подготовку, ввод и обработку данных;

— специалисты по защите физических устройств;

— представители пользователей.

После подготовки плана необходимо его принять и реализовать, что напрямуюзависит от его четкости, корректности и ясности для сотрудников организации.

Понимание необходимости мер защиты и контроля — непременное условие нормальнойработы. Известен случай о том, как пользователь менял каждый раз 24 пароля и возвращалсяк первоначальному, так как система была защищена от повторного использования предыдущих23 паролей. Если сотрудники не понимают или не согласны с предлагаемыми мерами,то они будут стараться обойти их, так как любые меры контроля предполагают увеличениесложности работы.

Другой ключевой момент — управление средствами защиты и восстановления.Надежное управление осуществимо лишь в случае понимания обслуживающим персоналомразмеров возможных убытков, ясного изложения планов и выполнения персоналом своихобязанностей. Многие сотрудники, обслуживающие АСОИБ, не всегда осознают риск, связанныйс обработкой информации в АСОИБ. Только специальная предварительная подготовка персоналаспособствует правильной и эффективной работе средств защиты и восстановления; онаможет проводиться с привлечением сторонних специалистов. Описание различных способовпреодоления и нарушения защиты в повседневной деятельности в сфере бизнеса (как,например, утечка информации к конкуренту) поможет обслуживающему персоналу понятьнеобходимость точного выполнения требований защиты (например, своевременной сменыпаролей).

Важнейшим понятием, которое должно быть оформлено документально, являетсяполитика безопасности.

Политика безопасности — набор законов, правил и практических рекомендаций,на основе которых строится управление, защита и распределение критичной информациив системе. Она должна охватывать все особенности процесса обработки информации,определяя поведение системы в различных ситуациях.

Политика безопасности представляет собой некоторый набор требований, прошедшихсоответствующую проверку, реализуемых при помощи организационных мер и программно-техническихсредств и определяющих архитектуру системы защиты. Ее реализация для конкретнойАСОИБ осуществляется при помощи средств управления механизмами защиты.

Для конкретной организации политика безопасности должна быть индивидуальной,зависимой от конкретной технологии обработки информации, используемых программныхи технических средств, расположения организации т.д.

Перед тем, как приступит к изложению материала введем некоторые определения.

Субъект — активный компонент системы, который может явиться причиной потокаинформации от объекта к субъекту или изменения состояния системы.

Объект — пассивный компонент системы, хранящий, принимающий или передающийинформацию. Доступ к объекту подразумевает доступ к содержащейся в нем информации.

Основу политики безопасности составляет способ управления доступом, определяющийпорядок доступа субъектов системы к объектам системы. Название этого способа, какправило, определяет название политики безопасности.

Для изучения свойств способа управления доступом создается его формальноеописание — математическая модель. При этом модель должна отражать состояния всейсистемы, ее переходы из одного состояния в другое, а также учитывать, какие состоянияи переходы можно считать безопасными в смысле данного управления. Без этого говоритьо каких-либо свойствах системы, и тем более гарантировать их, по меньшей мере некорректно.Отметим лишь, что для разработки моделей применяется широкий спектр математическихметодов (моделирования, теории информации, графов, автоматов и другие).

В настоящее время лучше всего изучены два вида политики безопасности: избирательнаяи полномочная, основанные, соответственно на избирательном и полномочном способахуправления доступом.

Кроме того, существует набор требований, усиливающий действие этих политики предназначенный для управления информационными потоками в системе.

Следует отметить, что средства защиты, предназначенные для реализации какого-либоиз названных выше способа управления доступом, только предоставляют возможностинадежного управления доступом или информационными потоками. Определение прав доступасубъектов к объектам и/или информационным потокам (полномочий субъектов и атрибутовобъектов, присвоение меток критичности и т д.) входит в компетенцию администрациисистемы.

Для того, чтобы корректно воплотить в жизнь разработанную политику безопасностинеобходимо иметь надежные механизмы ее реализации. Естественно предположить, чтовсе средства, отвечающие за реализацию политики безопасности, сами должны быть защищеныот любого вмешательства в их работу. В противном случае говорить о надежности защитыбудет трудно. Можно изменять их параметры, но в своей основе они должны оставатьсяв неприкосновенности.

Поэтому все средства защиты и управления должны быть объединены в так называемуюдостоверную вычислительную базу.

Достоверная вычислительная база (ДВБ) — это абстрактное понятие, обозначающееполностью защищенный механизм вычислительной системы (включая аппаратные и программныесредства), отвечающий за поддержку реализации политики безопасности.

Средства защиты должны создавать ДВБ для обеспечения надежной защиты АСОИБ.В различных средствах защиты ДВБ может быть реализована по-разному. Способностьреализации ДВБ к безотказной работе зависит от ее устройства и корректного управления,а ее надежность является залогом соблюдения политики безопасности в защищаемой системе.

Таким образом, ДВБ выполняет двойную задачу — поддерживает реализацию политикибезопасности и является гарантом целостности механизмов защиты, то есть самой себя.ДВБ совместно используется всеми пользователями АСОИБ, однако ее модификация разрешенатолько пользователям со специальными полномочиями. К ним относятся администраторысистемы и другие привилегированные сотрудники организации.

Процесс, функционирующий от имени ДВБ, является достоверным. Это означает,что система защиты безоговорочно доверяет этому процессу и все его действия санкционированыполитикой безопасности. Именно поэтому задача номер один защиты ДВБ — поддержаниесобственной целостности; все программы и наборы данных ДВБ, должны быть надежнозащищены от несанкционированных изменений.

Для поддержки политики безопасности и собственной защиты ДВБ должна обеспечитьзащиту субъектов (процессов) системы и защиту объектов системы в оперативной памятии на внешних носителях.

Защита ДВБ строится на основе концепции иерархической декомпозиции системы.Сущность концепции заключается в том, что реальная система представляется как совокупностьиерархически упорядоченных абстрактных уровней; при этом функции каждого уровняреализуются компонентами более низкого уровня. Компоненты определенного уровня зависяттолько от компонентов более низких уровней и их внутренняя структура полагаетсянедоступной с более высоких уровней. Связь уровней организуется через межуровневыйинтерфейс.

Структура компонентов системы и связи между ними являются жестко фиксированными;их изменение, дублирование, уничтожение невозможны. Компоненты более высоких уровнейпривязаны к компонентам более низких уровней, те, в свою очередь, к элементам физическойреализации (устройствам ввода-вывода, процессору и др.). Связи между различнымикомпонентами определяются спецификациями межуровневого интерфейса и также не могутизменяться. Это является дополнительной мерой обеспечения целостности ДВБ.

Компоненты верхних уровней обычно описывают интерфейс пользователя. Сюдавходят различные редакторы, компиляторы, интерпретаторы командных языков, утилитыи т.д. Средние уровни обычно реализуют ввод-вывод на уровне записей, работу с файламии виртуальной памятью. Компоненты нижних уровней реализуют планирование и диспетчеризациюпроцессов, распределение ресурсов, ввод-вывод на физическом уровне, обработку прерыванийи т.д. Компонентами нулевого уровня можно считать элементы физической реализации:особенности архитектуры процессора, состав и назначение регистров (общих и привилегированных),физическую реализацию некоторых функций и т.д. Множество компонентов всех уровней,кроме верхнего, а также средства управления ими и составляют ДВБ.

Пользователь, находясь на самом высоком уровне, может только послать запросна выполнение какой-либо операции. Этот запрос будет разрешен к выполнению компонентамиболее низких уровней только в том случае, если, пройдя обработку корректности навсех промежуточных уровнях, он не был отвергнут, то есть не сможет нарушить существующуюполитику безопасности. При этом каждая функция может быть выполнена только определеннымикомпонентами на определенном уровне, что определяется архитектурой системы в целом.

Например, пользователь из командного интерпретатора послал запрос на выполнениеоперации ввода-вывода (для редактирования файла, размещающегося на диске). Этотзапрос будет обработан интерпретатором и передан на более низкий уровень — в подсистемуввода-вывода. Та проверит корректность запроса (разрешен ли доступ к этому файлу?),обработает его и передаст дальше — механизмам ввода-вывода, которые выполнят операциюи сообщат о результатах. При этом спецификации межуровневого интерфейса гарантируют,что прямой вызов примитивов ввода-вывода пользователю недоступен. Он еще может иногдаобращаться непосредственно к подсистеме ввода-вывода (из программы), но не на болеенизкий уровень. Таким образом гарантируется невозможность доступа субъекта к объектув обход средств контроля.

Необходимость защиты внутри отдельных компонентов системы очевидна: каждыйиз них должен проверять корректность обращения к реализуемой им функции.

Особенность применения концепции иерархической декомпозиции заключаетсяв следующем:

1. Каждый компонент должен выполнять строго определенную функцию;

2. Каждая функция с помощью операции декомпозиции может быть разбита наряд подфункций, которые реализуются и защищаются отдельно. Этот процесс может насчитыватьнесколько этапов;

3. Основная «тяжесть» защиты приходится на межуровневый интерфейс, связывающийдекомпозированные подфункции в единое целое; горизонтальные ссылки должны быть сведеныдо минимума. Помимо защиты самой себя ДВБ также должна обеспечить надежную защитупользователей системы (в частности, друг от друга). Для защиты пользователей используютсяте же самые механизмы, что и для защиты ДВБ. Теми же остаются и цели защиты: субъектови объектов пользователей, в оперативной памяти и на внешних носителях. Рассмотримподробнее принципы такой защиты.

Защита субъектов осуществляется с помощью межуровневого интерфейса: в зависимостиот выполняемой им функции система переводит его на соответствующий уровень. Уровень,в свою очередь, определяет и степень управляемости процесса пользователем, которыйнаходится на самом верхнем уровне — чем ниже уровень процесса, тем меньше он управляемс более верхних уровней и тем больше он зависит от ОС.

Любые попытки защиты оперативной памяти приводят к необходимости созданиявиртуальной памяти в том или ином виде. Здесь используется та же концепция иерархическойдекомпозиции, чтобы отделить реальную память, содержащую информацию, от той, котораядоступна пользователям. Соответствие между виртуальной и физической памятью обеспечиваетсядиспетчером памяти. При этом различные области памяти могут являться компонентамиразных уровней — это зависит от уровня программ, которые могут обращаться к этимобластям.

Пользователи и их программы могут работать только с виртуальной памятью.Доступ к любому участку физической оперативной памяти (в том числе и принадлежащемуДВБ), контролируется диспетчером памяти. При трансляции виртуального адреса в физическийпроверяются права доступа к указанному участку. Надежность разделения оперативнойпамяти во многом обеспечивается за счет надежности функции, отображающей виртуальныеадреса в физические: адресные пространства различных пользователей и системы недолжны перекрываться в физической памяти.

Доступ к информации на внешних носителях осуществляется с помощью подсистемыввода-вывода; программы этой подсистемы являются компонентами нижних и средних уровнейДВБ. При получении имени файла (адреса записи) в первую очередь проверяются полномочияпользователя на доступ к запрашиваемым данным. Принятие решение на осуществлениедоступа осуществляется на основе информации, хранящейся в базе данных защиты. Самабаза данных является частью ДВБ, доступ к ней также контролируется.

ДВБ должна быть организована таким образом, чтобы только ее компонентымогли выполнить запрос, причем только тот, который содержит корректные параметры.

Одним из необходимых условий реализации ДВБ в средствах защиты являетсяналичие мультирежимного процессора (то есть процессора, имеющего привилегированныйи обычный режим работы) о аппаратной поддержкой механизма переключения режимов,и различных способов реализации виртуальной памяти.

Достоверная вычислительная база состоит из ряда механизмов защиты, позволяющихей обеспечивать поддержку реализации политики безопасности.

Основой ДВБ является ядро безопасности — элементы аппаратного и программногообеспечения, защищенные от модификации и проверенные на корректность, которые разделяютвсе попытки доступа субъектов к объектам.

Ядро безопасности является реализацией концепции монитора ссылок(reference monitor) — абстрактной концепции механизма защиты.

Помимо ядра безопасности ДВБ содержит другие механизмы, отвечающие за жизнедеятельностьсистемы. К ним относятся планировщики процессов, диспетчеры памяти, программы обработкипрерываний, примитивы ввода-вывода и др. программно-аппаратные средства, а такжесистемные наборы данных.

Под монитором ссылок понимают концепцию контроля доступа субъектов к объектамв абстрактной машине. Под базой данных защиты понимают базу данных, хранящую информациюо правах доступа субъектов системы к объектам. Основу базы данных защиты составляетматрица доступа или ее представления, которая служит основой избирательной политикибезопасности.

Важным понятием является понятие профиля. Профилем называется список защищаемыхобъектов системы и прав доступа к ним, ассоциированный с каждым субъектом. При обращениик объекту профиль субъекта проверяется на наличие соответствующих прав доступа.

В системах с большим количеством объектов профили могут иметь большие размерыи, вследствие этого, ими трудно управлять; изменение профилей нескольких субъектовможет потребовать большого количества операции и привести к трудностям в работесистемы. Поэтому профили обычно используются лишь администраторами безопасностидля контроля работы субъектов, и даже такое их применение весьма ограничено.

При реализации полномочной политики безопасности база данных защиты такжесодержит метки критичности всех объектов и уровни прозрачности субъектов системы.

Монитор ссылок должен выполнять следующие функции:

1. Проверять права доступа каждого субъекта к любому объекту на основанииинформации, содержащейся в базе данных защиты и положений политики безопасности(избирательной или полномочной);

2. При необходимости регистрировать факт доступа и его параметры в системномжурнале.

Реализующее монитор ссылок ядро безопасности должно обладать следующимисвойствами:

— контролировать все попытки доступа субъектов к объектам;

— иметь защиту от модификации, подделки, навязывания;

— быть протестировано и верифицировано для получения гарантий надежности;

— иметь небольшой размер и компактную структуру.

В терминах модели Белла-Лападулла (избирательной и полномочной политикбезопасности) монитор ссылок должен контролировать состояния системы и переходыиз одного в другое. Основными функциями, которые должно выполнять ядро безопасностисовместно с другими службами ОС, являются [2, с.193]:

1. Идентификация, аутентификация и авторизация субъектов и объектов системы.

Эти функции необходимы для подтверждения подлинности субъекта, законностиего прав на данный объект или на определенные действия, а также для обеспеченияработы субъекта в системе.

— Идентификация — процесс распознавания элемента системы, обычно с помощьюзаранее определенного идентификатора или другой априорной информации; каждый субъектили объект должен быть однозначно идентифицируем.

— Аутентификация — проверка идентификации пользователя, процесса, устройстваили другого компонента системы (обычно осуществляется перед разрешением доступа);а также проверка целостности данных при их хранении или передаче для предотвращениянесанкционированной модификации.

— Авторизация — предоставление субъекту прав на доступ к объекту.

Эти функции необходимы для поддержания разрешительного порядка доступак системе и соблюдения политики безопасности: авторизованный (разрешенный) доступимеет только тот субъект, чей идентификатор удовлетворяет результатам аутентификации.Они выполняются как в процессе работы (при обращении к наборам данных, устройствам,ресурсам), так и при входе в систему.

2. Контроль входа пользователя в систему и управление паролями. Эти функцииявляются частным случаем перечисленных выше: при входе в систему и вводе имени пользователяосуществляется идентификация, при вводе пароля — аутентификация и, если пользовательс данными именем и паролем зарегистрирован в системе, ему разрешается доступ к определеннымобъектам и ресурсам (авторизация). Однако при входе в систему существуют отличияпри выполнении этих функций. Они обусловлены тем, что в процессе работы системауже имеет информацию о том, кто работает, какие у него полномочия (на основе информациив базе данных защиты) и т.д. и поэтому может адекватно реагировать на запросы субъекта.При входе в систему это все только предстоит определить. В данном случае возникаетнеобходимость организации «достоверного маршрута» — пути передачи идентифицирующейинформации от пользователя к ядру безопасности для подтверждения подлинности. Какпоказывает практика, вход пользователя в систему — одно из наиболее уязвимых местзащиты; известно множество случаев взлома пароля, входа без пароля, перехвата пароляи т.д. Поэтому при выполнении входа и пользователь, и система должны быть уверены,что они работают непосредственно друг с другом, между ними нет других программ ивводимая информация истинна.

Достоверный маршрут реализуется привилегированными процедурами ядра безопасности,чья работа обеспечивается механизмами ДВБ, а также некоторыми другими механизмами,выполняющими вспомогательные функции. Они проверяют, например, что терминал, с которогоосуществляется вход в систему, не занят никаким другим пользователем, который имитировалокончание работы.

3. Регистрация и протоколирование. Аудит.

Эти функции обеспечивают получение и анализ информации о состоянии ресурсовсистемы с помощью специальных средств контроля, а также регистрацию действий, признанныхадминистрацией потенциально опасными для безопасности системы. Такими средствамимогут быть различные системные утилиты или прикладные программы, выводящие информациюнепосредственно на системную консоль или другое определенное для этой цели устройство,а также системный журнал. Кроме того, почти все эти средства контроля могут не толькообнаружить какое-либо событие, но и фиксировать его. Например, большинство системимеет средства протоколирования сеансов работы отдельных пользователей (всего сеансаили его отдельных параметров).

Большинство систем защиты имеют в своем распоряжении средства управлениясистемным журналом. Системный журнал является составной частью монитора ссылок ислужит для контроля соблюдения политики безопасности. Он является одним из основныхсредств контроля, помогающим администратору предотвращать возможные нарушения всвязи с тем, что:

— способен оперативно фиксировать происходящие в системе события;

— может помочь выявить средства и априорную информацию, использованныезлоумышленником для нарушения;

— может помочь определить, как далеко зашло нарушение, подсказать методего расследования и способы исправления ситуации.

Содержимое системного журнала и других наборов данных, хранящих информациюо результатах контроля, должны подвергаться периодическому просмотру и анализу(аудит) с целью проверки соблюдения политики безопасности.

4. Противодействие «сборке мусора».

После окончания работы программы обрабатываемая информация не всегда полностьюудаляется из памяти. Части данных могут оставаться в оперативной памяти, на дискахи лентах, других носителях. Они хранятся на диске до перезаписи или уничтожения.При выполнении этих действий на освободившемся пространстве диска находятся их остатки.

Хотя при искажении заголовка файла эти остатки прочитать трудно, однако,используя специальные программы и оборудование, такая возможность все-таки имеется.Этот процесс называется «сборкой мусора». Он может привести к утечке важной информации.

Для защиты от «сборки мусора» используются специальные средства, которыемогут входить в ядро безопасности ОС или устанавливаться дополнительно.

5. Контроль целостности субъектов.

Согласно модели Белла-Лападулла [2, с.196] множество субъектов системыесть подмножество множества объектов, то есть каждый субъект одновременно являетсяобъектом. При этом под содержимым субъекта обычно понимают содержимое контекстапроцесса, куда входит содержимое общих и специальных регистров (контекст процессапостоянно изменяется). Кроме содержимого или значения субъект имеет ряд специфическихатрибутов: приоритет, список привилегий, набор идентификаторов и др. характеристики.В этом смысле поддержание целостности субъекта, то есть предотвращение его несанкционированноймодификации, можно рассматривать как частный случай этой задачи для объектов вообще.

В то же время субъект отличается от объекта тем, что является, согласноопределению, активным компонентом системы. В связи с этим для защиты целостностисубъекта, в качестве представителя которого выступает процесс, вводится такое понятиекак рабочая среда или область исполнения процесса. Эта область является логическизащищенной подсистемой, которой доступны все ресурсы системы, относящиеся к соответствующемупроцессу. Другими словами, область исполнения процесса является виртуальной машиной.В рамках этой области процесс может выполнять любые санкционированные действия безопасения нарушения целостности. Таким образом, реализуется концепция защищеннойобласти для отдельного процесса.

Контроль целостности обеспечивается процедурами ядра безопасности, контролируемымимеханизмами поддержки ДВБ. Основную роль играют такие механизмы, как поддержка виртуальнойпамяти (для создания области данного процесса) и режим исполнения процесса (определяетего возможности в рамках данной области и вне ее).

Область исполнения процесса может содержать или вкладываться в другие подобласти,которые составляют единую иерархическую структуру системы. Процесс может менятьобласти: это действие называется переключением области процесса. Оно всегда связанос переходом центрального процессора в привилегированный режим работы.

Механизмы поддержки областей исполнения процесса обеспечивают контрольих целостности достаточно надежно. Однако даже разделенные процессы должны иметьвозможность обмениваться информацией. Для этого разработаны несколько специальныхмеханизмов, чтобы можно было осуществлять обмен информацией между процессами безущерба безопасности или целостности каждого из них. К таким механизмам относятся,например, кластеры флагов событий, почтовые ящики и другие системные структуры данных.Следует однако учитывать, что с их помощью может осуществляться утечка информации,поэтому если использование таких механизмов разрешено, их обязательно следует контролировать.

6. Контроль доступа.

Под контролем доступа будем понимать ограничение возможностей использованияресурсов системы программами, процессами или другими системами (для сети) в соответствиис политикой безопасности. Под доступом понимается выполнение субъектом некоторойоперации над объектом из множества разрешенных для данного типа. Примерами такихопераций являются чтение, открытие, запись набора данных, обращение к устройствуи т.д.

Контроль должен осуществляться при доступе к:

— оперативной памяти;

— разделяемым устройствам прямого доступа;

— разделяемым устройствам последовательного доступа;

— разделяемым программам и подпрограммам;

— разделяемым наборам данных.

Основным объектом внимания средств контроля доступа являются совместноиспользуемые наборы данных и ресурсы системы. Совместное использование объектовпорождает ситуацию «взаимного недоверия», при которой разные пользователи одногообъекта не могут до конца доверять друг другу. Тогда, если с этим объектом что-нибудьслучиться, все они попадают в круг подозреваемых.

Существует четыре основных способа разделения субъектов к совместно используемымобъектам:

1. Физическое — субъекты обращаются к физически различным объектам (однотипнымустройствам, наборам данных на разных носителях и т.д.).

2. Временное — субъекты с различными правами доступа к объекту получаютего в различные промежутки времени.

3. Логическое — субъекты получают доступ к совместно используемому объектув рамках единой операционной среды, но под контролем средств разграничения доступа,которые моделируют виртуальную операционную среду «один субъект — все объекты»;в этом случае разделение может быть реализовано различными способами разделениеоригинала объекта, разделение с копированием объекта и т.д.

4. Криптографическое — все объекты хранятся в зашифрованном виде, правадоступа определяются наличием ключа для расшифрования объекта.

Существует множество различных вариантов одних и тех же способов разделениясубъектов, они могут иметь разную реализацию в различных средствах защиты.

Контроль доступа субъектов системы к объектам (не только к совместно используемым,но и к индивидуальным) реализуется с помощью тех же механизмов, которые реализуютДВБ и осуществляется процедурами ядра безопасности.

Как уже отмечалось выше, настройка механизмов защиты — дело сугубо индивидуальноедля каждой системы и даже для каждой задачи. Поэтому дать ее подробное описаниедовольно трудно. Однако существуют общие принципы, которых следует придерживаться,чтобы облегчить себе работу, так как они проверены практикой. Рассмотрим их:

1.Группирование.

Это объединение множества субъектов под одним групповым именем; всем субъектам,принадлежащим одной группе, предоставляются равные права. Принципы объединения пользователейв группы могут быть самые разные: одинаковый характер вычислений, работа над совместнымпроектом и т.д. При этом один и тот же субъект может входить в несколько различныхгрупп, и, соответственно, иметь различные права по отношению к одному и тому жеобъекту. Механизм группирования может быть иерархическим. Это означает, что каждыйсубъект является членом нескольких групп, упорядоченных по отношению «быть подмножеством».Контроль за состоянием групп очень важен, поскольку члены одной группы имеют доступк большому числу объектов, что не способствует их безопасности. Создание групп иприсвоение групповых привилегий должно производиться администратором безопасности,руководителем группы или каким-либо другим лицом, несущим ответственность за сохранностьгрупповых объектов.

2. Правила умолчания.

Большое внимание при назначении привилегий следует уделять правилам умолчания,принятым в данных средствах защиты; это необходимо для соблюдения политики безопасности.Во многих системах, например, субъект, создавший объект и являющийся его владельцем,по умолчанию получает все права на него. Кроме того, он может эти права передаватькому-либо. В различных средствах защиты используются свои правила умолчания, однакопринципы назначения привилегий по умолчанию в большинстве систем одни и те же. Еслив системе используется древовидная файловая структура, то необходимо принимать вовнимание правила умолчания для каталогов. Корректное использование правил умолчанияспособствуют поддержанию целостности политики безопасности.

3. Минимум привилегий.

Это один из основополагающих принципов реализации любой политики безопасности,используемый повсеместно. Каждый пользователь и процесс должен иметь минимальноечисло привилегий, необходимых для работы. Определение числа привилегий для всехпользователей, с одной стороны, позволяющих осуществлять быстрый доступ ко всемнеобходимым для работы объектам, а, с другой, — запрещающих доступ к чужим объектам— проблема достаточно сложная. От ее решения во многом зависит корректность реализацииполитики безопасности.

4. Принцип «надо знать».

Этот принцип во многом схож с предыдущим. Согласно ему, полномочия пользователейназначаются согласно их обязанностям. Доступ разрешен только к той информации, котораянеобходима им для работы. Согласно принципу, пользователь должен знать обо всехдоступных ему ресурсах. В том случае, если пользователь не знает о них, такие ресурсыдолжны быть отключены.

5. Объединение критичной информации.

Во многих системах сбор, хранение и обработка информации одного уровняпроизводится в одном месте (узле сети, устройстве, каталоге). Это связано с тем,что проще защитить одним и тем же способом большой массив информации, чем организоватьиндивидуальную защиту для каждого набора данных. Для реализации этого принципа могутбыть разработаны специальные программы, управляющие обработкой таких наборов данных.Это будет простейший способ построения защищенных областей.

6. Иерархия привилегий.

Контроль объектов системы может иметь иерархическую организацию. Такаяорганизация принята в большинстве коммерческих систем.

При этом схема контроля имеет вид дерева, в котором узлы — субъекты системы,ребра — право контроля привилегий согласно иерархии, корень — администратор системы,имеющий право изменять привилегии любого пользователя.

Узлами нижележащих уровней являются администраторы подсистем, имеющие праваизменять привилегии пользователей этих подсистем (в их роли могут выступать руководителиорганизаций, отделов). Листьями дерева являются все пользователи системы. Вообщеговоря, субъект, стоящий в корне любого поддерева, имеет право изменять защиту любогосубъекта, принадлежащего этому поддереву.

Достоинство такой структуры — точное копирование схемы организации, которуюобслуживает АСОИБ. Поэтому легко составить множество субъектов, имеющих право контролироватьданный объект. Недостаток иерархии привилегий — сложность управления доступом прибольшом количестве субъектов и объектов, а также возможность получения доступа администраторасистемы (как высшего по иерархии) к любому набору данных.

7. Привилегии владельца.

При таком контроле каждому объекту соответствует единственный субъект сисключительным правом контроля объекта — владелец. Как правило, это его создатель.Владелец обладает всеми разрешенными для этого типа данных правами на объект, можетразрешать доступ любому другому субъекту, но не имеет права никому передать привилегиюна корректировку защиты. Однако такое ограничение не касается администраторов системы— они имеют право изменять защиту любых объектов.

Главным недостатком принципа привилегий владельца является то, что приобращении к объекту, пользователь должен предварительно получить разрешение у владельца(или администратора). Это может приводить к сложностям в работе (например; при отсутствиивладельца или просто нежелании его разрешить доступ). Поэтому такой принцип обычноиспользуется при защите личных объектов пользователей.

8. Свободная передача привилегий.

При такой схеме субъект, создавший объект, может передать любые права нанего любому другому субъекту. Тот, в свою очередь, может передать все эти правадругому субъекту.

Естественно, при этом возникают большие трудности в определении круга субъектов,имеющих в данный момент доступ к объекту (права на объект могут распространятьсяочень быстро и так же быстро исчезать), и поэтому такой объект легко подвергнутьнесанкционированной обработке. В силу этих обстоятельств подобная схема применяетсядостаточно редко — в основном в исследовательских группах, работающих над однимпроектом (когда все имеющие доступ к объекту заинтересованы в его содержимом).

В чистом виде рассмотренные принципы реализации политики безопасности применяютсяредко. Обычно используются их различные комбинации. Ограничение доступа к объектамв ОС включает в себя ограничение доступа к некоторым системным возможностям, например,ряду команд, программам и т.д., если при использовании их нарушается.политика безопасности.Вообще набор полномочий каждого пользователя должен быть тщательно продуман, исключенывозможные противоречия и дублирования, поскольку большое количество нарушений происходитименно из-за этого. Может произойти утечка информации без нарушения защиты, еслиплохо была спроектирована или реализована политика безопасности.

Политика безопасности и механизмы поддержки ее реализации образуют единуюзащищенную среду обработки информации. Эта среда имеет иерархическую структуру,где верхние уровни представлены требованиями политики безопасности, далее следуетинтерфейс пользователя, затем идут несколько программных уровней защиты (включаяуровни ОС) и. наконец, нижний уровень этой структуры представлен аппаратными средствамизащиты. На всех уровнях, кроме верхнего, должны реализовываться требования политикибезопасности, за что, собственно, и отвечают механизмы защиты.

В различных системах механизмы защиты могут быть реализованы по-разному;их конструкция определяется общей концепцией системы. Однако одно требование должновыполняться неукоснительно: эти механизмы должны адекватно реализовывать требованияполитики безопасности.

Имеется два подхода к обеспечению безопасности АСОИБ.

«Фрагментарный» подход ориентируется на противодействие строго определеннымугрозам при определенных условиях. Примерами реализации такого подхода являются,например, специализированные антивирусные средства, отдельные средства регистрациии управления, автономные средства шифрования и т.д. Главная отличительная особенность«фрагментарного» подхода — отсутствие единой защищенной среды обработки информации.

Главным достоинством «фрагментарного» подхода является его высокая избирательностьотносительно конкретной угрозы, обуславливающая и основной его недостаток — локальностьдействия. Другими словами, фрагментарные меры защиты обеспечивают эффективную защитуконкретных объектов АСОИБ от конкретной угрозы, но не более того. Даже небольшоевидоизменение угрозы ведет к потере эффективности защиты; распространить действиетаких мер на всю АСОИБ практически невозможно.

Особенностью комплексного подхода является создание защищенной среды обработкиинформации в АСОИБ, объединяющей разнородные меры противодействия угрозам (правовые,организационные, программно-технические). Защищенная среда обработки информациистроится на основе разработанных для конкретной АСОИБ правил обработки критическойинформации.

Организация защищенной среды обработки информации позволяет гарантировать(в рамках разработанной политики безопасности) уровень безопасности АСОИБ. Недостаткамиподхода являются высокая чувствительность к ошибкам установки и настройки средствзащиты, сложность управления, ограничения на свободу действий пользователей АСОИБ.

Комплексный подход применяют для защиты крупных АСОИБ, или небольших АСОИБ,обрабатывающих дорогостоящую информацию или выполняющих ответственные задачи. Приэтом способ реализации комплексной защиты определяется спецификой АСОИБ, другимиобъективными и субъективными факторами.

Для всех крупных организаций характерно то, что нарушение безопасностиинформации в их АСОИБ может нанести огромный материальный ущерб как самим организациям,так и их клиентам. Поэтому эти организации вынуждены особое внимание уделять гарантиямбезопасности, что ведет к необходимости реализации комплексной защиты.

Комплексного подхода придерживаются большинство государственных и крупныхкоммерческих предприятий и учреждений, он нашел свое отражение в различных стандартахи целенаправленно проводится в жизнь, например, Министерством обороны США в лицеНационального Центра Компьютерной Безопасности (NCSC). [2, с.201]

Важным компонентом защиты является «горячий резерв».

«Горячий резерв» используется для возобновления процесса обработки послесобытий, вызвавших полный или частичный отказ основной системы — в результате отключенияэнергоснабжения, неисправности оборудовании или программного обеспечения, злогоумысла («вирусная атака») и т.д.

«Горячий резерв» — это готовая к работе дублирующая система, в которойполностью сгенерирована операционная система, размещены прикладное программное обеспечениеи наборы данных. Кроме того, резервная система должна иметь работоспособные периферийныеустройства, подключенные каналы связи, источники энергоснабжения и даже персонал.Время на подготовку определяется временем загрузки резервных копий и системы.

Содержание «горячего резерва» обходится очень дорого. Однако в некоторыхслучаях — для обработки информации, требующей полного контроля со стороны ее владельца,«горячий резерв» необходим. Кроме того, можно содержать и использовать «горячийрезерв» на кооперативных началах — вместе с другими организациями.

«Расщепленный резерв» представляет собой способ не столько восстановления,сколько организации АСОИБ. В этом смысле о нем можно говорить, как о способе организациисистемы с высокой степенью распределенности и взаимодублирующими составными частями.При таком подходе критичные элементы системы (аппаратура, программы, данные) разнесеныпо отдельным ее частям (узлам распределенной системы) и функционируют в какой-томере независимо, обмениваясь между собой информацией по каналам связи.

В случае выхода из строя отдельных элементов системы другие могут взятьна себя их функции. Времени на приведение дублирующих элементов в рабочее состояниеочень мало, фактически оно определяется загрузкой из резервных копий (так как аппаратурарасщепленного резерва всегда находится в рабочем состоянии).

Такой способ обеспечения непрерывной работы и восстановления очень эффективен,так как позволяет быстро осуществлять переход с основных элементов АСОИБ на дублирующие.Более того, этот переход может быть практически незаметен для пользователей за исключениемвозрастания нагрузки на отдельные элементы. Однако при использовании «расщепленногорезерва» возникает множество проблем, основными из которых являются:

1. Определение критической нагрузки. Распределение аппаратуры, программи данных по элементам всей АСОИБ таким, чтобы обеспечить оптимальное дублированиеи восстановление данных и процесса их обработки в различных ситуациях. Существующиематематические методы позволяют рассчитывать оптимальную критическую нагрузку длякаждого конкретного случая.

2. Обеспечение безопасности. При распределении программ и данных по различнымэлементам системы неизбежно увеличивается вероятность различных нарушений. Эта вероятностьповышается в критических случаях, когда информация может обрабатываться на другихэлементах системы, возможно, с нарушением безопасности. В этом случае необходиморазрабатывать политику безопасности и составлять планы с учетом возможных опасныхситуаций и реакции на них.

«Холодный резерв» используется для возобновления процесса обработки послесерьезных, нанесший большой ущерб событий, которые привели к полному выходу системыиз строя пожара, наводнения и т.д. Время на восстановление в этом случае может исчислятьсянеделями и месяцами. Естественно, это слишком большой срок, чтобы позволить себеобходиться без обработки информации.

«Холодный резерв» представляет собой резервную систему обработки данных,которая не участвует в повседневной деятельности организации. Резервная системапоставляется определенными фирмами (по заранее согласованной договоренности) в течениекороткого промежутка времени (24 часа). Так же оперативно выполняются пуско-наладочныеработы, после чего резервная система готова принять на себя функции основной.

В результате подобных мероприятий перерыв в работе АСОИБ в результате полногои необратимого выхода ее из строя будет исчисляться днями, а не неделями и месяцами.В то же время, покупка и установка резервной системы — дело дорогое, к тому же онане сможет принять на себя все функции основной, а только некоторую их часть. Поэтому«холодный резерв» целесообразно использовать для возобновления выполнения наиболееважных операций.

В том случае, когда размер ущерба невелик, система серьезно не пострадала,то наилучшим способом может быть отсутствие экстренных действий и продолжение работы.

Важным понятием политики безопасности является избирательная политика безопасности

Основой избирательной политики безопасности является избирательное управлениедоступом (ИУД), которое подразумевает, что:

— все субъекты и объекты системы должны быть идентифицированы;

— права доступа субъекта к объекту системы определяются на основании некотороговнешнего (по отношению к системе) правила (свойство избирательности).

Для описания свойств избирательного управления доступом применяется модельсистемы на основе матрицы доступа (МД, иногда ее называют матрицей контроля доступа).Такая модель получила название матричной.

Матрица доступа представляет собой матрицу, в которой объекту системы соответствуетстолбец, а субъекту — строка. На пересечении столбца и строки матрицы указываетсятип (типы) разрешенного доступа субъекта к объекту. Обычно выделяют такие типы доступасубъекта к объекту как «доступ на чтение», «доступ на запись», «доступ на исполнение»и др.

Множество объектов и типов доступа к ним субъекта может изменяться в соответствиис некоторыми правилами, существующими в данной системе. Определение и изменениеэтих правил также является задачей ИУД. Например, доступ субъекта к конкретномуобъекту может быть разрешен только в определенные дни (дата-зависимое условие),часы (время-зависимое условие), в зависимости от других характеристик субъекта(контекстно-зависимое условие) или в зависимости от характера предыдущей работы.Такие условия на доступ к объектам обычно используются в СУБД. Кроме того, субъектс определенными полномочиями может передать их другому субъекту (если это не противоречитправилам политики безопасности).

Решение на доступ субъекта к объекту принимается в соответствии с типомдоступа, указанным в соответствующей ячейке матрицы доступа. Обычно, избирательноеуправление доступом реализует принцип «что не разрешено, то запрещено», предполагающийявное разрешение доступа субъекта к объекту.

Матрица доступа — наиболее примитивный подход к моделированию систем, который,однако, является основой для более сложных моделей, наиболее полно описывающих различныестороны реальных АСОИБ.

Вследствие больших размеров и разреженности МД хранение полной матрицыпредставляется нецелесообразным, поэтому во многих средствах защиты используют болееэкономные представления МД (профили). Каждый из этих способов представления МД имеетсвои достоинства и недостатки, обуславливающие область их применения. Поэтому вкаждом конкретном случае надо знать, во-первых, какое именно представление используетсредство защиты, и, во-вторых, какие особенности и свойства имеет это представление.

Основу полномочной политики безопасности составляет полномочное управлениедоступом, которое подразумевает, что:

— все субъекты и объекты системы должны быть однозначно идентифицированы;

— каждому объекту системы присвоена метка критичности, определяющая ценностьсодержащейся в нем информации;

— каждому субъекту системы присвоен уровень прозрачности, определяющиймаксимальное значение метки критичности объектов, к которым субъект имеет доступ.

В том случае, когда совокупность меток имеет одинаковые значения, говорят,что они принадлежат к одному уровню безопасности. Организация меток имеет иерархическуюструктуру и, таким образом, в системе можно реализовать иерархически ненисходящий(по ценности) поток информации (например, от рядовых исполнителей к руководству).Чем важнее объект или субъект, тем выше его метка критичности. Поэтому наиболеезащищенными оказываются объекты с наиболее высокими значениями метки критичности.

Каждый субъект кроме уровня прозрачности имеет текущее значение уровнябезопасности, которое может изменяться от некоторого минимального значения до значенияего уровня прозрачности.

Для моделирования полномочного управления доступом используется модельБелла-Лападула [2, с.159], включающая в себя понятия безопасного (с точки зренияполитики) состояния и перехода. Для принятия решения на разрешение доступа производитсясравнение метки критичности объекта с уровнем прозрачности и текущим уровнем безопасностисубъекта. Результат сравнения определяется двумя правилами: «простым условием защиты»и «свойством». В упрощенном виде, они определяют, что информация может передаватьсятолько «наверх», то есть субъект может читать содержимое объекта, если его текущийуровень безопасности не ниже метки критичности объекта, и записывать в него, — еслине выше.

Простое условие защиты гласит, что любую операцию над объектом субъектможет выполнять только в том случае, если его уровень прозрачности не ниже меткикритичности объекта.

Основное назначение полномочной политики безопасности — регулирование доступасубъектов системы к объектам с различным уровнем критичности и предотвращение утечкиинформации с верхних уровней должностной иерархии на нижние, а также блокированиевозможных проникновении с нижних уровней на верхние. При этом она функционируетна фоне избирательной политики, придавая ее требованиям иерархически упорядоченныйхарактер (в соответствии с уровнями безопасности).

Изначально полномочная политика безопасности была разработана в интересахминобороны США для обработки информации с различными грифами секретности. Ее применениев коммерческом секторе сдерживается следующими основными причинами :

— отсутствием в коммерческих организациях четкой классификации хранимойи 'обрабатываемой информации, аналогичной государственной классификации (грифы секретностисведений);

— высокой стоимостью реализации и большими накладными расходами.

Помимо управления доступом субъектов к объектам системы проблема защитыинформации имеет еще один аспект. Чтобы получить информацию о каком-либо объектесистемы, вовсе не обязательно искать пути несанкционированного доступа к нему. Можнополучать информацию, наблюдая за работой системы и, в частности, за обработкой требуемогообъекта. Иными словами, при помощи каналов утечки информации. По этим каналам можнополучать информацию не только о содержимом объекта, но и о его состоянии, атрибутахи др. в зависимости от особенностей системы и установленной защиты объектов. Этаособенность связана с тем, что при взаимодействии двух субъектов возникает некоторыйпоток информации от одного к другому.

Информационные потоки существуют в системе всегда. Поэтому возникает необходимостьопределить, какие информационные потоки в системе являются «легальными», то естьне ведут к утечке информации, а какие — ведут. Таким образом, возникает необходимостьразработки правил, регулирующих управление информационными потоками в системе.

Для этого необходимо построить модель системы, которая может описыватьтакие потоки. Такая модель называется потоковой [2, с.176]. Модель описывает условияи свойства взаимного влияния (интерференции) субъектов, а также количество информации,полученной субъектом в результате интерференции.

Управление информационными потоками в системе не есть самостоятельная политика,так как оно не определяет правил обработки информации. Управление информационнымипотоками применяется обычно в рамках избирательной или полномочной политики, дополняяих и повышая надежность системы защиты.

Управление доступом (избирательное или полномочное) сравнительно легкореализуемо (аппаратно или программно), однако оно неадекватно реальным АСОИБ из-засуществования в них скрытых каналов. Тем не менее управление доступом обеспечиваетдостаточно надежную защиту в простых системах, не обрабатывающих особо важную информацию.В противном случае средства защиты должны дополнительно реализовывать управлениеинформационными потоками. Организация такого управления в полном объеме достаточнасложна, поэтому его обычно используют для усиления надежности полномочной политики:ненисходящие (относительно уровней безопасности) информационные потоки считаютсяразрешенными, все остальные — запрещенными.

Отметим, что кроме способа управления доступом политика безопасности включаетеще и другие требования, такие как подотчетность, гарантии и т.д.

Избирательное и полномочное управление доступом, а также управление информационнымипотоками — своего рода три кита, на которых строится вся защита.

Глава 5. Безопасность компьютерных сетейв банке.Классификация сетей.

/>Сети компьютеров имеют множество преимуществ перед совокупностьюотдельных систем, в их числе следующие:

* Разделение ресурсов.

Пользователи сети могут иметь доступ к определенным ресурсам всех узловсети. В их числе, например, наборы данных, свободная память на удаленных узлах,вычислительная мощность удаленных процессоров и т.д.Это позволяет экономить значительные средства за счет оптимизации использованияресурсов и их динамического перераспределения в процессе работы.

* Повышение надежности функционирования системы. Поскольку сеть состоит из совокупности отдельных узлов, тов случае сбоя на одном или нескольких узлах другие узлы смогут взять на себя ихфункции. При этом пользователи могут даже и не заметить этого- перераспределениезадач возьмет на себя программное обеспечение сети.

* Распределение загрузки.

В сетях с переменным уровнем загруженности имеется возможность перераспределятьзадачи с одних узлов сети (с повышенной нагрузкой) на другие, где имеются свободныересурсы. Такое перераспределение может производиться динамически в процессе работы,более того, пользователи могут даже и не знать об особенностях планирования задачв сети. Эти функции может брать на себя программное обеспечение сети.

* Расширяемость.

Сеть может быть легко расширена за счет добавления новых узлов. При этомархитектура практически всех сетей позволяет легко адаптировать сетевое программноеобеспечение к изменениям конфигурации. Более того, это может производиться автоматически.

Однако с точки зрения безопасности эти достоинства превращаются в уязвимыеместа, порождая серьезные проблемы.

Особенности работы в сети определяются ее двойственным характером: с однойстороны, сеть следует рассматривать как единую систему, а с другой, — как совокупностьнезависимых систем, каждая из которых выполняет свои функции; имеет своих пользователей. Эта же двойственность проявляетсяв логическом и физическом восприятии сети: на физическом уровне взаимодействие отдельныхузлов осуществляется с помощью сообщений различного вида и формата, которые интерпретируютсяпротоколами. На логическом уровне (т.е. сточки зрения протоколов верхних уровней)сеть представляется как совокупность функций, распределенных по различным узлам,но связанных в единый комплекс.

Сети подразделяются:[8, с.4-7]

1 По топологии сети (классификация по организации физического уровня).

* Общая шина.

Все узлы соединены с общей высокоскоростной шиной передачи данных. Ониодновременно настроены на прием сообщения, но каждый узел может принять только тосообщение, которое предназначено ему. Адрес идентифицируется контроллером сети,при этом в сети может быть только один узел с заданнымадресом. Если два узла одновременно заняты передачей сообщения (столкновение пакетов),то один из них или они оба ее прекращают, ожидают случайный интервал времени, затемвозобновляют попытку передачи (метод разрешения конфликтов). Возможен другой случай— в момент передачи каким-либо узлом сообщения по сети, другие узлы начать передачуне могут (метод предотвращения конфликтов). Такая топология сети является оченьудобной: все узлы являются равноправными, логическоерасстояние между любыми двумя узлами равно 1, скоростьпередачи сообщений велика. Впервые организация сети «общая шина» и соответствующие протоколы нижнихуровней были разработаны совместно компаниями DIGITALи Rank Xerox, она получила название Ethernet.

* Кольцо.

Сеть построена в виде замкнутого контура однонаправленных каналов междустанциями. Каждая станция принимает сообщения по входному каналу, в начале сообщениясодержится адресная и управляющая информация. На основанииее станция принимает решение сделать копию сообщения и убрать его из кольца либопередать по выходному каналу на соседний узел. Если в настоящий момент не передаетсяникакого сообщения, станция сама может передать сообщение.

В кольцевых сетях используется несколько различных способов управления:

— гирляндная — управляющая информация передаетсяпо отдельным совокупностям (цепям) компьютеров кольца;

— управляющий маркер — управляющая информация оформляется в виде определенногобитового шаблона, циркулирующего по кольцу; только при получении маркера станцияможет выдать сообщение в сеть (наиболее известный способ, получивший названиеtoken ring);

— сегментная — по кольцу циркулирует последовательностьсегментов. Обнаружив пустой, станция может поместитьв него сообщение и передать в сеть;

— вставка регистров — сообщение загружаетсяв регистр сдвига и передается в сеть когда кольцо свободно.

* Звезда.

Сеть состоит из одного узла-концентратора и нескольких соединенных с нимтерминальных узлов, непосредственно между собой несвязанных. Один или несколькотерминальных узлов могут являться концентраторами другой сети, в этом случае сетьприобретает древовидную топологию.

Управление сетью полностью осуществляется концентратором; терминальныеузлы могут связываться между собой только через него. Обычно на терминальных узлахвыполняется лишь локальная обработка данных. Обработка данных, имеющих отношениеко всей сети, осуществляется на концентраторе. Она носит название централизованной.Управление сетью обычно осуществляется с помощью процедуры опроса: концентраторчерез определенные промежутки времени опрашивает по очереди терминальные станции- есть ли для него сообщение. Если есть — терминальная станция передает сообщениена концентратор, если нет — осуществляется опрос следующей станции. Концентраторможет передать сообщение одному или нескольким терминальным станциям в любой моментвремени.

2. По размерам сети:

* Локальные. Сеть передачи данных, связывающая ряд узлов в одной локальнойзоне (комната, организация); обычно узлы сети комплектуются однотипным аппаратными программным обеспечением (хотя это и необязательно). Локальные сети обеспечиваютвысокие скорости передачи информации. Локальные сети характеризуются короткими (не болеенескольких километров) линиями связи, контролируемой рабочей средой, низкой вероятностьюошибок, упрощенными протоколами. Для связи локальныхсетей с территориальными используются шлюзы.

* Территориальные. Отличаются от локальныхбольшей протяженностью линий связи (город, область, страна, группа стран), которыемогут обеспечиваться телекоммуникационными компаниями. Территориальная сеть можетсвязывать несколько локальных сетей, отдельные удаленные терминалы и ЭВМ и можетбыть соединена с другими территориальными сетями.

Территориальные сети редко используют какие-либо типовые топологическиеконструкции, так как они предназначены для выполнения других, обычно специфическихзадач. Поэтому они как правило строятся в соответствии с произвольной топологией,управление осуществляется с помощью специфических протоколов.

3. По организации обработки информации (классификация на логическом уровне представления;здесь под системой понимается вся сеть как единый комплекс):

* Централизованная.

Системы такой организации наиболее широко распространены и привычны. Онисостоят из центрального узла, реализующего весь комплекс выполняемых системой функций,и терминалов, роль которых сводится к частичному вводу и выводу информации. В основномпериферийные устройства играют роль терминалов, с которых осуществляется управлениепроцессом обработки информации. Роль терминалов могут выполнять дисплейные станцииили персональные компьютеры, как локальные, так и удаленные.Любая обработка (в том числе связь с другими сетями) выполняется через центральныйузел. Особенностью таких систем является высокая нагрузка на центральный узел, всилу чего там должен быть высоконадежный и высокопроизводительный компьютер. Центральныйузел является наиболее уязвимой частью системы: выход его из строя выводит из строявсю сеть. В тоже время задачи обеспечения безопасности в централизованных системахрешаются наиболее просто и фактически сводятся к защите центрального узла.

Другой особенностью таких систем является неэффективное использование ресурсовцентрального узла, а также неспособность гибкой перестройки характера работы (центральныйкомпьютер должен работать все время, а значит какую-то его часть он может работатьвхолостую). В настоящее время доля систем с централизованным управлением постепеннопадает.

* Распределенная.

Практически все узлы этой системы могут выполнять сходные функции, причемкаждый отдельный узел может использовать оборудованиеи программное обеспечение других узлов. Основной частью такой системы является распределеннаяОС, которая распределяет объекты системы: файлы, процессы (или задачи), сегментыпамяти, другие ресурсы. Но при этом ОС может распределять не все ресурсы или задачи,а только часть их, например, файлы и свободную память на диске. В этом случае системавсе равно считается распределенной, количество ее объектов (функций, которые могутбыть распределены по отдельным узлам) называется степенью распределенности. Такие системы могут быть как локальными,так и территориальными. Говоря математическим языком, основной функцией распределеннойсистемы является отображение отдельных задач во множество узлов, на которых происходитих выполнение [7, с.49]. Распределенная система должна обладать следующими свойствами:[11]

1. Прозрачностью, то есть система должна обеспечитьобработку информации вне зависимости от ее местонахождения.

2. Механизмом распределения ресурсов, который должен выполнять следующиефункции: обеспечивать взаимодействие процессов и удаленный вызов задач, поддерживатьвиртуальные каналы, распределенные транзакции и службу имен.

3. Службой имен, единой для всей системы, включая поддержку единой службыдиректорий.

4. Реализацией служб гомогенных и гетерогенных сетей.

5. Контролем функционирования параллельных процессов.

6. Безопасностью. В распределенных системах проблема безопасности переходитна качественно новый уровень, поскольку приходится контролировать ресурсы и процессы всей системы в целом, а также передачуинформации между элементами системы. Основные составляющиезащиты остаются теми же — контроль доступа и информационных потоков, контроль трафика сети, аутентификация, операторский контроль и управлениезащитой. Однако контроль в этом случае усложняется.

Распределенная система обладает рядом преимуществ, не присущих никакойдругой организации обработки информации: оптимальностью использования ресурсов,устойчивостью к отказам (выход из строя одного узла не приводит к фатальным последствиям- его легко можно заменить) и т.д. Однако при этом возникают новые проблемы: методикараспределения ресурсов, обеспечение безопасности, прозрачности и др. В настоящеевремя все возможности распределенных систем реализованыдалеко не полностью.

В последнее время все большее признание получает концепция обработки информацииклиент-сервер. Данная концепция является переходной от централизованной к распределеннойи одновременно объединяющей обе последних. Однако клиент-сервер — это не столькоспособ организации сети, сколько способ логического представления и обработки информации.

Клиент-сервер — это такая организация обработки информации, при которойвсе выполняемые функции делятся на два класса: внешние и внутренние. Внешние функциисостоят из поддержки интерфейса пользователя и функций представления информациина уровне пользователя. Внутренние касаются выполнения различных запросов, процессаобработки информации, сортировки и др.

Сущность концепции клиент-сервер заключается в том, что в системе выделяютсяэлементы двух уровней: серверы, выполняющие обработку данных (внутренние функции),и рабочие станции, выполняющие функции формирования запросов и отображения результатових обработки (внешние функции). От рабочих станций к серверу идет поток запросов,в обратном направлении — результаты их обработки. Серверов в системе может бытьнесколько и они могут выполнять различные наборы функций нижнего уровня (серверыпечати, файловые и сетевые серверы). Основной объем информации обрабатывается насерверах, которые в этом случае играют роль локальных центров; информация вводитсяи выводится с помощью рабочих станций.

Отличительные особенности систем, построенных по принципу клиент-сервер,следующие:

— наиболее оптимальное использование ресурсов;

— частичное распределение процесса обработки информации в сети;

— прозрачный доступ к удаленным ресурсам;

— упрощенное управление;

— пониженный трафик;

— возможность более надежной и простой защиты;

— большая гибкость в использовании системы в целом, а также разнородногооборудования и программного обеспечения;

— централизованный доступ к определенным ресурсам,

Отдельные части одной системы могут строится по различным принципам и объединятьсяс использованием соответствующих согласующих модулей. Каждый класс сетей имеет своиспецифические особенности как в плане организации, так и в плане защиты.

Обеспечение безопасности сетей.

Как уже отмечалось выше, несомненные преимущества обработки информациив сетях ЭВМ оборачиваются немалыми сложностями при организации их защиты. Отметимследующие основные проблемы:

* Разделение совместно используемых ресурсов.

В силу совместного использования большого количества ресурсов различнымипользователями сети, возможно находящимися на большом расстоянии друг от друга,сильно повышается риск НСД — в сети его можно осуществить проще и незаметнее.

* Расширение зоны контроля.

Администратор или оператор отдельной системы или подсети должен контролироватьдеятельность пользователей, находящихся вне пределов его досягаемости, возможно,в другой стране. При этом он должен поддерживать рабочий контакт со своими коллегамив других организациях.

* Комбинация различных программно-аппаратных средств.

Соединение нескольких систем, пусть даже однородных по характеристикам,в сеть увеличивает уязвимость всей системы в целом. Система настроена на выполнениесвоих специфических требований безопасности, которые могут оказаться несовместимыс требованиями на других системах. В случае соединения разнородных систем риск повышается.

* Неизвестный периметр.

Легкая расширяемость сетей ведет к тому, что определить границы сети подчасбывает сложно; один и тот же узел может быть доступен для пользователей различныхсетей. Более того, для многих из них не всегда можно точно определить сколько пользователейимеют доступ к определенному узлу и кто они.

* Множество точек атаки.

В сетях один и тот же набор данных или сообщение могут передаваться черезнесколько промежуточных узлов, каждый из которых является потенциальным источникомугрозы. Естественно, это не может способствовать повышению защищенности сети. Крометого, ко многим современным сетям можно получить доступ с помощью коммутируемыхлиний связи и модема, что во много раз увеличивает количество возможных точек атаки.Такой способ прост, легко осуществим и трудно контролируем; поэтому он считаетсяодним из наиболее опасных. В списке уязвимых мест сети также фигурируют линии связии различные виды коммуникационного оборудования: усилители сигнала, ретрансляторы,модемы и т.д.

* Сложность управления и контроля доступа к системе.

Многие атаки на сеть могут осуществляться без получения физического доступак определенному узлу — с помощью сети из удаленных точек. В этом случае идентификациянарушителя может оказаться очень сложной, если не невозможной. Кроме того, времяатаки может оказаться слишком мало для принятия адекватных мер.

По своей сути проблемы защиты сетей обусловлены двойственным характеромпоследних: об этом мы говорили выше. С одной стороны, сеть есть единая система седиными правилами обработки информации, а с другой, — совокупность обособленныхсистем, каждая из которых имеет свои собственные правила обработки информации. Вчастности, эта двойственность относится и к проблемам защиты. Атака на сеть можетосуществляться с двух уровней (возможна их комбинация):

1. Верхнего — злоумышленник использует свойства сети для проникновенияна другой узел и выполнения определенных несанкционированных действий. Предпринимаемыемеры защиты определяются потенциальными возможностями злоумышленника и надежностьюсредств защиты отдельных узлов.

2. Нижнего — злоумышленник использует свойства сетевых протоколов для нарушенияконфиденциальности или целостности отдельных сообщений или потока в целом. Нарушениепотока сообщений может привести к утечке информации и даже потере контроля за сетью.Используемые протоколы должны обеспечивать защиту сообщений и их потока в целом.

Защита сетей, как и защита отдельных систем, преследует три цели: поддержаниеконфиденциальности передаваемой и обрабатываемой в сети информации, целостностии доступности ресурсов и компонентов сети.

Эти цели определяют действия по организации защиты от нападений с верхнегоуровня. Конкретные задачи, встающие при организации защиты сети, обуславливаютсявозможностями протоколов высокого уровня: чем шире эти возможности, тем больше задачприходится решать. Действительно, если возможности сети ограничиваются пересылкойнаборов данных, то основная проблема защиты заключается в предотвращении НСД к наборамданных, доступным для пересылки. Если же возможности сети позволяют организоватьудаленный запуск программ, работу в режиме виртуального терминала, то необходимореализовывать полный комплекс защитных мер.

Как и для АСОИБ, защита сети должна планироваться как единый комплекс мер,охватывающий все особенности обработки информации. В этом смысле организация защитысети, разработка политики безопасности, ее реализация и управление защитой подчиняютсяобщим правилам, которые были рассмотрены выше. Однако необходимо учитывать, чтокаждый узел сети должен иметь индивидуальную защиту в зависимости от выполняемыхфункций и от возможностей сети. При этом защита отдельного узла должна являтьсячастью общей защиты. На каждом отдельном узле необходимо организовать:

— контроль доступа ко всем файлам и другим наборам данных, доступным излокальной сети и других сетей;

— контроль процессов, активизированных с удаленных узлов;

— контроль сетевого графика;

— эффективную идентификацию и аутентификацию пользователей, получающихдоступ к данному узлу из сети;

— контроль доступа к ресурсам локального узла, доступным для использованияпользователями сети;

— контроль за распространением информации в пределах локальной сети и связанныхс нею других сетей.

Однако сеть имеет сложную структуру: для передачи информации с одного узлана другой последняя проходит несколько стадий преобразований. Естественно, все этипреобразования должны вносить свой вклад в защиту передаваемой информации, в противномслучае нападения с нижнего уровня могут поставить под угрозу защиту сети. Такимобразом, защита сети как единой системы складывается из мер защиты каждого отдельногоузла и функций защиты протоколов данной сети.

Необходимость функций защиты протоколов передачи данных опять же обуславливаетсядвойственным характером сети: она представляет собой совокупность обособленных систем,обменивающихся между собой информацией с помощью сообщений. На пути от одной системык другой эти сообщения преобразуются протоколами всех уровней. А поскольку они являютсянаиболее уязвимым элементом сети, протоколы должны предусматривать обеспечение ихбезопасности для поддержки конфиденциальности, целостности и доступности информации,передаваемой в сети.

Сетевое программное обеспечение должно входить в состав сетевого узла,в противном случае возможно нарушение работы сети и ее защиты путем изменения программили данных. При этом протоколы должны реализовывать требования по обеспечению безопасностипередаваемой информации, которые являются частью общей политики безопасности. Нижеприводится классификация угроз, специфических для сетей (угрозы нижнего уровня):

1. Пассивные угрозы (нарушение конфиденциальности данных, циркулирующихв сети) — просмотр и/или запись данных, передаваемых по линиям связи:

— просмотр сообщения — злоумышленник может просматривать содержание сообщения,передаваемого по сети;

— анализ графика — злоумышленник может просматривать заголовки пакетов,циркулирующих в сети и на основе содержащейся в них служебной информации делатьзаключения об отправителях и получателях пакета и условиях передачи (время отправления,класс сообщения, категория безопасности и т.д.); кроме того, он может выяснить длинусообщения и объем графика.

2. Активные угрозы (нарушение целостности или доступности ресурсов сети)— несанкционированное использование устройств, имеющих доступ к сети для измененияотдельных сообщений или потока сообщений:

— отказ служб передачи сообщений — злоумышленник может уничтожать или задерживатьотдельные сообщения или весь поток сообщений;

— «маскарад» — злоумышленник может присвоить своему узлу или ретрансляторучужой идентификатор и получать или отправлять сообщения от чужого имени;

— внедрение сетевых вирусов — передача по сети тела вируса с его последующейактивизацией пользователем удаленного или локального узла;

— модификация потока сообщений — злоумышленник может выборочно уничтожать,модифицировать, задерживать, переупорядочивать и дублировать сообщения, а такжевставлять поддельные сообщения.

Совершенно очевидно, что любые описанные выше манипуляции с отдельнымисообщениями и потоком в целом, могут привести к нарушениям работы сети или утечкеконфиденциальной информации. Особенно это касается служебных сообщений, несущихинформацию о состоянии сети или отдельных узлов, о происходящих на отдельных узлахсобытиях (удаленном запуске программ, например) — активные атаки на такие сообщениямогут привести к потере контроля за сетью. Поэтому протоколы, формирующие сообщенияи ставящие их в поток, должны предпринимать меры для их защиты и неискаженной доставкиполучателю.

Решаемые протоколами задачи аналогичны задачам, решаемым при защите локальныхсистем: обеспечение конфиденциальности обрабатываемой и передаваемой в сети информации,целостности и доступности ресурсов (компонентов) сети. Реализация этих функций осуществляетсяс помощью специальных механизмов. К их числу следует отнести:

— Механизмы шифрования, которые обеспечивают конфиденциальность передаваемыхданных и/или информации о потоках данных. Используемый в данном механизме алгоритмшифрования может использовать секретный или открытый ключ. В первом случае предполагаетсяналичие механизмов управления и распределения ключей. Различают два способа шифрования:канальное, реализуемое с помощью протокола канального уровня, и оконечное (абонентское),реализуемое с помощью протокола прикладного или, в некоторых случаях, представительногоуровня.

В случае канального шифрования защищается вся передаваемая по каналу связиинформация, включая служебную. Этот способ имеет следующие особенности:

— вскрытие ключа шифрования для одного канала не приводит к компрометацииинформации в других каналах;

— вся передаваемая информация, включая служебные сообщения, служебные полясообщений с данными, надежно защищена;

— вся информация оказывается открытой на промежуточных узлах -ретрансляторах,шлюзах и т.д.;

— пользователь не принимает участия в выполняемых операциях;

— для каждой пары узлов требуется свой ключ;

— алгоритм шифрования должен быть достаточно стоек и обеспечивать скоростьшифрования на уровне пропускной способности канала (иначе возникнет задержка сообщений,которая может привести к блокировке системы или существенному снижению ее производительности);

— предыдущая особенность приводит к необходимости реализации алгоритмашифрования аппаратными средствами, что увеличивает расходы на создание и обслуживаниесистемы.

Оконечное (абонентское) шифрование позволяет обеспечивать конфиденциальностьданных, передаваемых между двумя прикладными объектами. Другими словами, отправительзашифровывает данные, получатель — расшифровывает. Такой способ имеет следующиеособенности (сравните с канальным шифрованием):

— защищенным оказывается только содержание сообщения; вся служебная информацияостается открытой;

— никто кроме отправителя и получателя восстановить информацию не может(если используемый алгоритм шифрования достаточно стоек);

— маршрут передачи несущественен — в любом канале информация останетсязащищенной;

— для каждой пары пользователей требуется уникальный ключ;

— пользователь должен знать процедуры шифрования и распределения ключей.

Выбор того или иного способа шифрования или их комбинации зависит от результатованализа риска. Вопрос стоит следующим образом: что более уязвимо — непосредственноотдельный канал связи или содержание сообщения, передаваемое по различным каналам.Канальное шифрование быстрее (применяются другие, более быстрые, алгоритмы), прозрачнодля пользователя, требует меньше ключей. Оконечное шифрование более гибко, можетиспользоваться выборочно, однако требует участия пользователя. В каждом конкретномслучае вопрос должен решаться индивидуально.

— Механизмы цифровой подписи, которые включают процедуры закрытия блоковданных и проверки закрытого блока данных. Первый процесс использует секретную ключевуюинформацию, второй — открытую, не позволяющую восстановить секретные данные. С помощьюсекретной информации отправитель формирует служебный блок данных (например, на основеодносторонней функции), получатель на основе общедоступной информации проверяетпринятый блок и определяет подлинность отправителя. Сформировать подлинный блокможет только пользователь, имеющий соответствующий ключ.

* Механизмы контроля доступа.

Осуществляют проверку полномочий сетевого объекта на доступ к ресурсам.Проверка полномочий производится в соответствии с правилами разработанной политикибезопасности (избирательной, полномочной или любой другой) и реализующих ее механизмов.

* Механизмы обеспечения целостности передаваемых данных.

Эти механизмы обеспечивают как целостность отдельного блока или поля данных,так и потока данных. Целостность блока данных обеспечивается передающим и принимающимобъектами. Передающий объект добавляет к блоку данных признак, значение которогоявляется функцией от самих данных. Принимающий объект также вычисляет эту функциюи сравнивает ее с полученной. В случае несовпадения выносится решение о нарушениицелостности. Обнаружение изменений может повлечь за собой действия по восстановлениюданных. В случае умышленного нарушения целостности может быть соответствующим образомизменено и значение контрольного признака (если алгоритм его формирования известен),в этом случае получатель не сможет установить нарушение целостности. Тогда необходимоиспользовать алгоритм формирования контрольного признака как функцию данных и секретногоключа. В этом случае правильное изменение контрольного признака без знания ключабудет невозможно и получатель сможет установить, подвергались ли данные модификации.

Защита целостности потоков данных (от переупорядочивания, добавления, повторовили удаления сообщений) осуществляется с использованием дополнительных формы нумерации(контроль номеров сообщений в потоке), меток времени и т.д.

Желательными компонентами защиты сети являются следующие механизмы:[8, с.34]

* Механизмы аутентификации объектов сети.

Для обеспечения аутентификации используются пароли, проверка характеристикобъекта, криптографические методы (аналогичные цифровой подписи). Эти механизмыобычно применяются для аутентификации одноуровневых сетевых объектов. Используемыеметоды могут совмещаться с процедурой «троекратного рукопожатия» (троекратный обменсообщениями между отправителем и получателем с параметрами аутентификации и подтверждениями).

* Механизмы заполнения текста.

Используются для обеспечения защиты от анализа графика. В качестве такогомеханизма может использоваться, например, генерация фиктивных сообщений (богусов);в этом случае трафик имеет постоянную интенсивность во времени.

* Механизмы управления маршрутом.

Маршруты могут выбираться динамически или быть заранее заданы с тем, чтобыиспользовать физически безопасные подсети, ретрансляторы, каналы. Оконечные системыпри установлении попыток навязывания могут потребовать установления соединения подругому маршруту. Кроме того, может использоваться выборочная маршрутизация (тоесть часть маршрута задается отправителем явно — в обход опасных участков).

* Механизмы освидетельствования.

Характеристики данных, передаваемые между двумя и более объектами (целостность,источник, время, получатель) могут подтверждаться с помощью механизма освидетельствования.Подтверждение обеспечивается третьей стороной (арбитром), которой доверяют все заинтересованныестороны и которая обладает необходимой информацией.

Помимо перечисленных выше механизмов защиты, реализуемых протоколами различныхуровней, существует еще два, не относящихся к определенному уровню. Они по своемуназначению аналогичны механизмам контроля в локальных системах:

* Обнаружение и обработка событий (аналог средств контроля опасных событий).

Предназначены для обнаружения событий, которые приводят или могут привестик нарушению политики безопасности сети. Список этих событий соответствует спискудля отдельных систем. Кроме того, в него могут быть включены события, свидетельствующиео нарушениях в работе перечисленных выше механизмов защиты. Предпринимаемые в этойситуации действия могут включать различные процедуры восстановления, регистрациюсобытий, одностороннее разъединение, местный или периферийный отчет о событии (записьв журнал) и т.д.

* Отчет о проверке безопасности (аналог проверки с использованием системногожурнала).

Проверка безопасности представляет собой независимую проверку системныхзаписей и деятельности на соответствие заданной политике безопасности.

Функции защиты протоколов каждого уровня определяются их назначением:

1. Физический уровень — контроль электромагнитных излучений линий связии устройств, поддержка коммуникационного оборудования в рабочем состоянии. Защитана данном уровне обеспечивается с помощью экранирующих устройств, генераторов помех,средств физической защиты передающей среды.

2. Канальный уровень — увеличение надежности защиты (при необходимости)с помощью шифрования передаваемых по каналу данных. В этом случае шифруются всепередаваемые данные, включая служебную информации.

3. Сетевой уровень — наиболее уязвимый уровень с точки зрения защиты. Нанем формируется вся маршрутизирующая информация, отправитель и получатель фигурируютявно, осуществляется управление потоком. Кроме того, протоколами сетевого уровняпакеты обрабатываются на всех маршрутизаторах, шлюзах и др. промежуточных узлах.Почти все специфические сетевые нарушения осуществляются с использованием протоколовданного уровня (чтение, модификация, уничтожение, дублирование, переориентация отдельныхсообщений или потока в целом, маскировка под другой узел и др.).

Защита от всех подобных угроз осуществляется протоколами сетевого и транспортногоуровней и с помощью средств криптозащиты. На данном уровне может быть реализована,например, выборочная маршрутизация.

4. Транспортный уровень — осуществляет контроль за функциями сетевого уровняна приемном и передающем узлах (на промежуточных узлах протокол транспортного уровняне функционирует). Механизмы транспортного уровня проверяют целостность отдельныхпакетов данных, последовательности пакетов, пройденный маршрут, время отправленияи доставки, идентификацию и аутентификацию отправителя и получателя и др. функции.Все активные угрозы становятся видимыми на данном уровне.

Гарантом целостности передаваемых данных является криптозащита данных ислужебной информации. Никто кроме имеющих секретный ключ получателя и/или отправителяне может прочитать или изменить информацию таким образом, чтобы изменение осталосьнезамеченным.

Анализ графика предотвращается передачей сообщений, не содержащих информацию,которые, однако, выглядят как настоящие. Регулируя интенсивность этих сообщенийв зависимости от объема передаваемой информации можно постоянно добиваться равномерногографика. Однако все эти меры не могут предотвратить угрозу уничтожения, переориентацииили задержки сообщения. Единственной защитой от таких нарушений может быть параллельнаядоставка дубликатов сообщения по другим путям.

5. Протоколы верхних уровней обеспечивают контроль взаимодействия принятойили переданной информации с локальной системой. Протоколы сеансового и представительногоуровня функций защиты не выполняют. В функции защиты протокола прикладного уровнявходит управление доступом к определенным наборам данных, идентификация и аутентификацияопределенных пользователей, а также другие функции, определяемые конкретным протоколом.Более сложными эти функции являются в случае реализации полномочной политики безопасностив сети.

Глава 6. Безопасность электронных платежей.Электронные платежи в банке.

В главе 4 были рассмотрены особенности подхода к защите электронных банковскихсистем. Специфической чертой этих систем является специальная форма обмена электроннымиданными — электронных платежей, без которых ни один современный банк не может существовать.

Обмен электронными данными (ОЭД) — это межкомпьютерный обмен деловыми,коммерческими, финансовыми электронными документами. Например, заказами, платежнымиинструкциями, контрактными предложениями, накладными, квитанциями и т.п.

ОЭД обеспечивает оперативное взаимодействие торговых партнеров (клиентов,поставщиков, торговых посредников и др.) на всех этапах подготовки торговой сделки,заключения контракта и реализации поставки. На этапе оплаты контракта и переводаденежных средств ОЭД может приводить к электронному обмену финансовыми документами.При этом создается эффективная среда для торгово-платежных операций: [3, с.71]

* Возможно ознакомление торговых партнеров с предложениями товаров и услуг,выбор необходимого товара/услуги, уточнение коммерческих условий (стоимости и сроковпоставки, торговых скидок, гарантийных и сервисных обязательств) в реальном масштабевремени;

* Заказ товара/услуг или запрос контрактного предложения в реальном масштабевремени;

* Оперативный контроль поставки товара, получение по электронной почтесопроводительных документов (накладных, фактур, комплектующих ведомостей и т.д.);

* Подтверждение завершения поставки товара/услуги, выставление и оплатасчетов;

* Выполнение банковских кредитных и платежных операций. К достоинствамОЭД следует отнести:

* Уменьшение стоимости операций за счет перехода на безбумажную технологию.Эксперты оценивают стоимость обработки и ведения бумажной документации в 3-8% отобщей стоимости коммерческих операций и доставки товаров. Выигрыш от примененияОЭД оценивается, например, в автомобильной промышленности США более чем в $200 наодин изготовленный автомобиль [14];

* Повышение скорости расчета и оборота денег;

* Повышение удобства расчетов.

Существует две ключевые стратегии развития ОЭД:

1. ОЭД используется как преимущество в конкурентной борьбе, позволяющееосуществлять более тесное взаимодействие с партнерами. Такая стратегия принята вкрупных организациях и получила название «Подхода Расширенного Предприятия»(Extended Enterprise) [2, с.230].

2. ОЭД используется в некоторых специфических индустриальных проектах илив инициативах объединений коммерческих и других организаций для повышения эффективностиих взаимодействия.

Банки в США и Западной Европе уже осознали свою ключевую роль в распространенииОЭД и поняли те значительные преимущества, которые дает более тесное взаимодействиес деловыми и личными партнерами. ОЭД помогает банкам в предоставлении услуг клиентам,особенно мелким, тем, которые ранее не могли позволить себе ими воспользоватьсяиз-за их высокой стоимости.

Основным препятствием широкому распространению ОЭД является многообразиепредставлений документов при обмене ими по каналам связи. Для преодоления этогопрепятствия различными организациями были разработаны стандарты представления документовв системах ОЭД для различных отраслей деятельности: [2, с.234]

QDTI — General Trade Interchange (Европа, международная торговля);

МДСНД — National Automated Clearing House Association (США, Национальнаяассоциация автоматизированных расчетных палат);

TDCC — Transportation Data Coordinating Committee (Координационный комитетпо данным перевозок);

VICS — Voluntary Interindustry Communication Standart (США, Добровольныймежотраслевой коммуникационный стандарт);

WINS — Warehouse Information Network Standarts (Стандарты информационнойсети товарных складов).

В октябре 1993 года международная группа UN/ECE опубликовала первую версиюстандарта EDIFACT. Разработанный набор синтаксических правил и коммерческих элементовданных был оформлен в виде двух стандартов ISO [2, с.241]:

ISO 7372 — Trade Data Element Directory (Справочник коммерческих элементовданных);

ISO 9735 — EDIFACT — Application level syntax rules (Синтаксические правилаприкладного уровня).

Частным случаем ОЭД являются электронные платежи — обмен финансовыми документамимежду клиентами и банками, между банками и другими финансовыми и коммерческими организациями.

Суть концепции электронных платежей заключается в том, что пересылаемыепо линиям связи сообщения, должным образом оформленные и переданные, являются основаниемдля выполнения одной или нескольких банковских операций. Никаких бумажных документовдля выполнения этих операций в принципе не требуется (хотя они могут быть выданы).Другими словами, пересылаемое по линиям связи сообщение несет информацию о том,что отправитель выполнил некоторые операции над своим счетом, в частности над корреспондентскимсчетом банка-получателя (в роли которого может выступать клиринговый центр), и чтополучатель должен выполнить определенные в сообщении операции. На основании такогосообщения можно переслать или получить деньги, открыть кредит, оплатить покупкуили услугу и выполнить любую другую банковскую операцию. Такие сообщения называютсяэлектронными деньгами, а выполнение банковских операций на основании посылки илиполучения таких сообщений — электронными платежами. Естественно, весь процесс осуществленияэлектронных платежей нуждается в надежной защите. Иначе банк и его клиентов ожидаютсерьезные неприятности.

Электронные платежи применяются при межбанковских, торговых и персональныхрасчетах.

Межбанковские и торговые расчеты производятся между организациями (юридическимилицами), поэтому их иногда называют корпоративными. Расчеты с участием физическихлиц-клиентов получили название персональных.

Большинство крупных хищений в банковских системах прямо или косвенно связаноименно с системами электронных платежей.

На пути создания систем электронных платежей, особенно глобальных, охватывающихбольшое число финансовых институтов и их клиентов в различных странах, встречаетсямножество препятствий. Основными из них являются:

1. Отсутствие единых стандартов на операции и услуги, что существенно затрудняетсоздание объединенных банковских систем. Каждый крупный банк стремится создать своюсеть ОЭД, что увеличивает расходы на ее эксплуатацию и содержание. Дублирующие другдруга системы затрудняют пользование ими, создавая взаимные помехи и ограничиваявозможности клиентов.

2. Возрастание мобильности денежных масс, что ведет к увеличению возможностифинансовых спекуляций, расширяет потоки «блуждающих капиталов». Эти деньги способныза короткое время менять ситуацию на рынке, дестабилизировать ее.

3. Сбои и отказы технических и ошибки программных средств при осуществлениифинансовых расчетов, что может привести к серьезным осложнениям для дальнейших расчетови потере доверия к банку со стороны клиентов, особенно в силу тесного переплетениябанковских связей (своего рода «размножение ошибки»). При этом существенно возрастаетроль и ответственность операторов и администрации системы, которые непосредственноуправляют обработкой информации.

Любая организация, которая хочет стать клиентом какой-либо системы электронныхплатежей, либо организовать собственную систему, должна отдавать себе в этом отчет.

Для надежной работы система электронных платежей должна быть хорошо защищена.

Торговые расчеты производятся между различными торговыми организациями.Банки в этих расчетах участвуют как посредники при перечислении денег со счета организации-плательщикана счет организации-получателя.

Торговые расчеты чрезвычайно важны для общего успеха программы электронныхплатежей. Объем финансовых операций различных компаний обычно составляет значительнуючасть общего объема операций банка.

Виды торговых расчетов сильно различаются для разных организаций, но всегдапри их осуществлении обрабатывается два типа информации: платежных сообщений и вспомогательная(статистика, сводки, уведомления). Для финансовых организаций наибольший интереспредставляет, конечно, информация платежных сообщений — номера счетов, суммы, баланси т.д. Для торговых организаций оба вида сведений одинаково важны — первый даетключ к финансовому состоянию, второй — помогает при принятии решений и выработкеполитики.

Чаще всего распространены торговые расчеты следующих двух видов: [16]

* Прямой депозит (direct deposit).

Смысл этого вида расчетов заключается в том, что организация поручает банкуосуществлять некоторые виды платежей своих служащих или клиентов автоматически,с помощью заранее подготовленных магнитных носителей или специальных сообщений.Условия осуществления таких расчетов оговариваются заранее (источник финансирования,сумма и т.д.). Они используются в основном для регулярных платежей (выплаты различногорода страховок, погашение кредитов, зарплата и т.д.). В организационном плане прямойдепозит более удобен, чем, например, платежи с помощью чеков.

С 1989 г. число служащих, использующих прямой депозит, удвоилось и составило25% от общего количества. Более 7 млн. американцев получают сегодня заработную платув виде прямого депозита. Банкам прямой депозит сулит следующие выгоды:

— уменьшение объема задач, связанных с обработкой бумажных документов и,как следствие, экономия значительных сумм;

— увеличение числа депозитов, так как 100% объема платежей должны бытьвнесены на депозит.

Кроме банков в выигрыше остаются и хозяева, и работники; повышаются удобстваи уменьшаются затраты.

* Расчеты при помощи ОЭД.

В качестве данных здесь выступают накладные, фактуры, комплектующие ведомостии т.д.

Для осуществления ОЭД необходима реализация следующего набора основныхуслуг :

— электронная почта по стандарту Х.400 ;

— передача файлов;

— связь «точка-точка»;

— доступ к базам данных в режиме on-line;

— почтовый ящик;

— преобразование стандартов представления информации.

Примерами существующих в настоящее время систем торговых расчетов с использованиемОЭД могут служить:

— National Bank и Royal Bank (Канада) связаны со своими клиентами и партнерамис помощью IBM Information Network;

— Bank of Scotland Transcontinental Automated Payment Service (TAPS), основаннаяв 1986 г., связывает Bank of Scotland с клиентами и партнерами в 15 странах с помощьюкорреспондентских банков и автоматизированных клиринговых палат.

Электронные межбанковские расчеты бывают в основном двух видов:

* Клиринговые расчеты с использованием мощной вычислительной системы банка-посредника(клирингового банка) и корреспондентских счетов банков-участников расчетов в этомбанке. Система основана на зачете взаимных денежных требований и обязательств юридическихлиц с последующим переводом сальдо. Клиринг также широко используется на фондовыхи товарных биржах, где зачет взаимных требований участников сделок проводится черезклиринговую палату или особую электронную клиринговую систему.

Межбанковские клиринговые расчеты осуществляются через специальные клиринговыепалаты, коммерческие банки, между отделениями и филиалами одного банка — через головнуюконтору. В ряде стран функции клиринговых палат выполняют центральные банки. Автоматизированныеклиринговые палаты (АКП) предоставляют услуги по обмену средствами между финансовымиучреждениями. Платежные операции в основном сводятся либо к дебетованию, либо ккредитованию. Членами системы АКП являются финансовые учреждения, которые состоятв ассоциации АКП. Ассоциация образуется для того, чтобы разрабатывать правила, процедурыи стандарты выполнения электронных платежей в пределах географического региона.Необходимо отметить, что АКП не что иное, как механизм для перемещения денежныхсредств и сопроводительной информации. Сами по себе они не выполняют платежных услуг.АКП были созданы в дополнение к системам обработки бумажных финансовых документов.Первая АКП появилась в Калифорнии в 1972 г., в настоящее время в США функционируют48 АКП. В 1978 г. была создана Национальная Ассоциация АКП (National AutomatedClearing House Association; NACHA), объединяющая все 48 сети АКП на кооперативныхначалах. [2, с.289]

Объем и характер операций постоянно расширяются. АКП начинают выполнятьделовые расчеты и операции обмена электронными данными. После трехлетних усилийразличных банков и компаний была создана система СТР (Corporate Trade Payment),предназначенная для автоматизированной обработки кредитов и дебетов. По мнению специалистовв ближайшее время тенденция расширения функций АКП будет сохраняться.

* Прямые расчеты, при которых два банка осуществляют связь непосредственномежду собой с помощью счетов «лоро-ностро», возможно, при участии третьеголица, играющего организационную или вспомогательную роль. Естественно, объем взаимныхопераций должен быть достаточно велик для оправдания затрат на организацию такойсистемы расчетов. Обычно такая система объединяет несколько банков, при этом каждаяпара может связываться непосредственно между собой, минуя посредников. Однако вэтом случае возникает необходимость управляющего центра, занимающегося защитой взаимодействующихбанков (рассылкой ключей, управлением, контролем функционирования и регистрациейсобытий).

В мире существует достаточно много таких систем — от небольших, связывающихнесколько банков или филиалов, до гигантских международных, связывающих тысячи участников.Наиболее известной системой этого класса является SWIFT.

В последнее время появился третий вид электронных платежей — обработкаэлектронных чеков (electronic check truncation), суть которого состоит в прекращениипути пересылки бумажного чека в финансовой организации, в которой он был предъявлен.В случае необходимости дальше «путешествует» его электронный аналог в виде специальногосообщения. Пересылка и погашение электронного чека осуществляются с помощью АКП.[2, с.291]

В 1990 г. NACHA анонсировала первый этап тестирования национальной экспериментальнойпрограммы «Electronic Check Truncation». Ее целью является сокращение расходов наобработку огромного количества бумажных чеков.

Пересылка денег с помощью системы электронных платежей включает следующиеэтапы (в зависимости от конкретных условий и самой системы порядок может меняться):

1. Определенный счет в системе первого банка уменьшается на требуемую сумму.

2. Корреспондентский счет второго банка в первом увеличивается на ту жесумму.

3. От первого банка второму посылается сообщение, содержащее информациюо выполняемых действиях (идентификаторы счетов, сумма, дата, условия и т.д.); приэтом пересылаемое сообщение должно быть соответствующим образом защищено от подделки:зашифровано, снабжено цифровой подписью и контрольными полями и т.д.

4. С корреспондентского счета первого банка во втором списывается требуемаясумма.

5. Определенный счет во втором банке увеличивается на требуемую сумму.

6. Второй банк посылает первому уведомление о произведенных корректировкахсчета; это сообщение также должно быть защищено от подделки способом, аналогичнымзащите платежного сообщения.

7. Протокол обмена фиксируется у обоих абонентов и, возможно, у третьеголица (в центре управления сетью) для предотвращения конфликтов.

На пути передачи сообщений могут быть посредники — клиринговые центры,банки-посредники в передаче информации и т.п. Основная сложность таких расчетов- уверенность в своем партнере, то есть каждый из абонентов должен быть уверен,что его корреспондент выполнит все необходимые действия.

Для расширения применения электронных платежей проводится стандартизацияэлектронного представления финансовых документов. Она была начата в 70-х годах врамках двух организаций [2, с. 298]:

1) ANSI (American National Standart Institute) опубликовал документANSI X9.2-1080, (Interchange Message Specification for Debit and Credit CardMessage Exchange Among Financial Institute, Спецификация обменных сообщений длядебетных и кредитных карточек обмена между финансовыми организациями). В 1988 аналогичныйстандарт был принят ISO и получил название ISO 8583 (Bank Card OriginatedMessages Interchange Message Specifications — Content for FinancialTransactions);

2) SWIFT (Society for Worldwide Interbank FinancialTelecommunications) разработало серию стандартов межбанковских сообщений.

В соответствии со стандартом ISO 8583 финансовый документ содержит рядэлементов данных (реквизитов), расположенных в определенных полях сообщения илиэлектронного документа (электронной кредитной карточки, сообщения в формате Х.400или документа в синтаксисе EDIFACT). Каждому элементу данных (ЭД) назначается свойуникальный номер. Элемент данных может быть как обязательным (то есть входить вкаждое сообщение данного вида), так и необязательным (в некоторых сообщениях можетотсутствовать).

Битовая шкала определяет состав сообщения (те ЭД, которые в нем присутствуют).Если некоторый разряд битовой шкалы установлен в единицу, это означает, что соответствующийЭД присутствует в сообщении. Благодаря такому методу кодирования сообщений уменьшаетсяобщая длина сообщения, достигается гибкость в представлении сообщений со многимиЭД, обеспечивается возможность включения новых ЭД и типов сообщений в электронныйдокумент стандартной структуры. [2, с. 299]

Существует несколько способов электронных межбанковских платежей. Рассмотримдва из них: оплата чеком (оплата после услуги) и оплата аккредитивом (оплата ожидаемойуслуги). Другие способы, как например оплата с помощью платежных требований илиплатежных поручений, имеют сходную организацию.

Оплата чеком основана на бумажном или другом документе, содержащим идентификациюподателя. Этот документ является основанием для перевода определенной в чеке суммысо счета владельца на счет подателя. Платеж чеком включает следующие этапы :

— получение чека;

— представление чека в банк;

— запрос о переводе со счета владельца чека на счет подателя;

— перевод денег;

— уведомление о платеже.

Основными недостатками таких платежей являются необходимость существованиявспомогательного документа (чека), который легко подделать, а также значительныезатраты времени на выполнение платежа (до нескольких дней).

Поэтому в последнее время более распространен такой вид платежей как оплатааккредитивом. Он включает следующие этапы:

— уведомление банка клиентом о предоставлении кредита;

— уведомление банка получателя о предоставлении кредита и перевод денег;

— уведомление получателя о получении кредита.

Такая система позволяет осуществлять платежи в очень короткие сроки. Уведомлениео предоставлении кредита можно направлять по (электронной) почте, на дискетах, магнитныхлентах.

Каждый из рассмотренных выше видов платежей имеет свои преимущества и своинедостатки. Чеки наиболее удобны при оплате незначительных сумм, а также при нерегулярныхплатежах. В этих случаях задержка платежа не очень существенна, а использованиекредита нецелесообразно. Расчеты с помощью аккредитива обычно используются при регулярнойоплате и для значительных сумм. В этих случаях отсутствие клиринговой задержки позволяетэкономить много времени и средств за счет уменьшения периода оборота денег. Общимнедостатком этих двух способов является необходимость затрат на организацию надежнойсистемы электронных платежей. [2, с. 300]

Вопросы безопасности электронных платежей.

Для определения общих проблем защиты систем ОЭД рассмотрим в прохождениедокумента при ОЭД. Можно выделить три основных этапа:

— подготовка документа к отправке;

— передача документа по каналу связи;

— прием документа и его обратное преобразование.

С точки зрения защиты в системах ОЭД существуют следующие уязвимые места:

1. Пересылка платежных и других сообщений между банками или между банкоми клиентом;

2. Обработка информации внутри организаций отправителя и получателя;

3. Доступ клиента к средствам, аккумулированным на счете.

Одно из наиболее уязвимых мест в системе ОЭД — пересылка платежных и другихсообщений между банками, или между банком и банкоматом, или между банком и клиентом.При пересылке платежных и других сообщений возникают следующие проблемы:

— внутренние системы организаций Получателя и Отправителя должны быть приспособленык получению/отправке электронных документов и обеспечивать необходимую защиту приих обработке внутри организации (защита оконечных систем);

— взаимодействие Получателя и Отправителя документа осуществляется опосредованно- через канал связи. Это порождает три типа проблем: 1) взаимного опознавания абонентов(проблема установления аутентификации при установлении соединения); 2) защиты документов,передаваемых по каналам связи (обеспечение целостности и конфиденциальности документов);3) защиты самого процесса обмена документами (проблема доказательства отправления/доставкидокумента);

— в общем случае Отправитель и Получатель документа принадлежат к различныморганизациям и друг от друга независимы. Этот факт порождает проблему недоверия- будут ли предприняты необходимые меры по данному документу (обеспечение исполнениядокумента).

С технической точки зрения эти проблемы решаются с помощью нескольких механизмов,отвечающих за обеспечение адекватной безопасности электронных банковских систем.Работа большинства этих механизмов обеспечивается службами сети с расширенным наборомуслуг (Value-Added Network, VAN). Службы, реализующие ОЭД, должны выполнять следующиефункции:

— обеспечить защиту от случайных и умышленных ошибок;

— обеспечить адаптацию к частым изменениям количества пользователей, типовоборудования, способов доступа, объемов трафика, топологии;

— поддерживать различные типы аппаратного и программного обеспечения, поставляемогоразличными производителями;

— осуществлять управление и поддержку сети для обеспечения непрерывностиработы и быстрой диагностики нарушений;

— реализовывать полный спектр прикладных задач ОЭД, включая электроннуюпочту;

— реализовывать максимально возможное число требований партнеров;

— включать службы резервного копирования и восстановления после аварий.

В системах ОЭД должны быть реализованы следующие механизмы, обеспечивающиереализацию функций защиты на отдельных узлах системы ОЭД и на уровне протоколоввысокого уровня:

— равноправная аутентификацию абонентов;

— невозможность отказа от авторства сообщения/приема сообщения;

— контроль целостности сообщения;

— обеспечение конфиденциальности сообщения;

— управление доступом на оконечных системах;

— гарантии доставки сообщения;

— невозможность отказа or принятия мер по сообщению;

— регистрация последовательности сообщений;

— контроль целостности последовательности сообщений;

— обеспечение конфиденциальности потока сообщений.

Полнота решения рассмотренных выше проблем сильно зависит от правильноговыбора системы шифрования. Система шифрования (или криптосистема) представляет собойсовокупность алгоритмов шифрования и методов распространения ключей. Правильныйвыбор системы шифрования помогает:

— скрыть содержание документа от посторонних лиц (обеспечение конфиденциальностидокумента) путем шифрования его содержимого;

— обеспечить совместное использование документа группой пользователей системыОЭД путем криптографического разделения информации и соответствующего протоколараспределения ключей. При этом для лиц, не входящих в группу, документ недоступен;

— своевременно обнаружить искажение, подделку документа (обеспечение целостностидокумента) путем введения криптографического контрольного признака (имитовставки);

— удостовериться в том, что абонент, с которым происходит взаимодействиев сети является именно тем, за кого он себя выдает (аутентификация абонента/источникаданных).

Следует отметить, что при защите систем ОЭД большую роль играет не столькошифрование документа, сколько обеспечение его целостности и аутентификация абонентов(источника данных) при проведении сеанса связи. Поэтому механизмы шифрования в такихсистемах играют обычно вспомогательную роль.

Надежность всей криптосистемы в целом во многом зависит от механизмов рассылки(распределения) ключей между участниками взаимодействия. Проблема рассылки ключейв настоящее время не имеет общих решений. В каждом конкретном случае она должнарешаться с учетом особенностей функционирования всей защищаемой АСОИБ. Существуетмного различных подходов к решению этой проблемы. Не вдаваясь в тонкости каждогоиз них, поскольку это выходит далеко за рамки обсуждаемого предмета, кратко опишемосновные: [2, с.305]

* Метод базовых/сеансовых ключей.

Суть метода состоит в том, что вводится иерархия ключей (главный ключ(ГК)/ключ шифрования ключей (КК)/ключ шифрования данных (КД).

Иерархия может быть двухуровневой (КК/КД) или трехуровневой (ГК/КК/КД).При этом старший ключ в иерархии распространяется между участниками взаимодействиянеэлектронным образом, исключающем его перехват и/или компрометацию. Стандарт определяеттри способа распространения ключей: непосредственная передача, передача с использованиемцентра распространения и передача с использованием центра трансляции ключей. Стандартне применяется для распространения ключей между специализированными банковскимиустройствами, такими как банкоматы и устройства расчета в точке продажи;

* Метод открытых ключей. Основан на односторонних преобразованиях, прикоторых часть ключа остается открытой и может быть передана по линиям связи в открытомвиде. Это избавляет от дорогостоящей процедуры распространения ключей шифрованиянеэлектронным способом;

* Метод выведенного ключа, применяется для защиты информации, передаваемоймежду терминалом системы расчета в точке продажи и компьютером банка. При этом методеключ для шифрования каждой следующей транзакции вычисляется путем одностороннегопреобразования предыдущего ключа и параметров транзакции;

* Метод ключа транзакции. Также применяется для защиты информации, передаваемоймежду терминалом системы расчета в точке продажи и компьютером банка. Он отличаетсяот метода выведенного ключа тем, что при вычислении ключа для следующей транзакциине используются ее параметры.

Жестким ограничением на реализацию мер по защите информации накладываютсятребования уже существующих стандартов ОЭД. Поскольку абсолютно неуязвимых системне бывает, каждая организация должна самостоятельно решать вопрос об уровне защищенностисобственной системы ОЭД: что лучше — затратить дополнительные средства на организациюи поддержание защиты или сэкономить и работать в условиях постоянного риска.

Необходимость поддержки электронных банковских услуг с помощью специальныхбанковских и других сетей, а также с помощью национальных клиринговых систем, радикальноизменила отношения между банками и их клиентами. Только за последнее десятилетиестали доступны, а сейчас используются повсеместно, различные клиринговые системы,осуществляющие весь спектр банковских операций. Данные и инструкции вводятся, распределяютсяи обрабатываются в них в режиме реального времени.

Безопасность операций с наличностью и расчетных услуг требует принятиятех же общих мер, которые необходимы для защиты любой электронной финансовой услуги.Особое внимание необходимо обратить на защиту терминалов, подключенных к системамэлектронных платежей.

Если банк выполняет операции повышенного риска, то реализуемые процедурыобеспечения безопасности должны включать парольную защиту, многоуровневую авторизациюпользователей, контроль операций, ведение системного журнала. Также следует осуществлятьразграничение доступа пользователей к терминалам и другим внешним устройствам, которыедолжны быть защищены физически. Для обеспечения безопасности данных, передаваемыхпо линиям связи, необходимо использовать криптографические методы.

Система безопасности центральной АСОИБ должна включать многоуровневый контрольдоступа к периферийным устройствам и центральной базе данных.

Если операции повышенного риска не выполняются, некоторые требования кбезопасности могут быть ослаблены или ликвидированы совсем. Задачи по обеспечениюбезопасности определяются для каждого конкретного случая индивидуально в процессеанализа риска.

В настоящее время в мире существует большое количество систем электронныхплатежей. Наиболее известные из них: [2, с.312]

— S.W.I.F.T. (The Society for Worldwide Inter-bank FinancialTelecommunication) — бесприбыльное кооперативное международное сообщество, цельюкоторого является организация межбанковских расчетов по всему миру.

— FedWire — самая крупная система американских межбанковских коммуникаций,соединяющая головные конторы округа Federal Reserve, ветви банков FederalReserve и более 500 других банков с помощью центра коммутации в Вирджинии.

— CHAPS (Clearing Houses Automated Payment System) — система поддержкиэлектронных платежей между сравнительно небольшой (около 300) группой банков Лондона,большинство из которых отделения иностранных банков, использующих Лондон в качестверасчетного центра.

— CHIPS (Clearing Houses Interbank Payment System) — клиринговая системаСША, организованная Нью-йоркской ассоциацией клиринговых палат (New York ClearingHouse Association — NYCHA) (см. [1]).

Рассмотрим подробнее организацию некоторых из этих систем, уделив особоевнимание рассмотрению вопросов обеспечению их безопасности.

Система SWIFT.

Сообщество SWIFT было организовано в 1973 году и в 1977 г. начали осуществлятьсяпервые операции с использованием сетей связи. Члены сообщества находятся в Южной,Центральной и Северной Америке, Европе, Африке, Австралии и на Дальнем Востоке.

Система SWIFT позволяет пользователям получить следующие преимущества:

— повышение эффективности работы банков за счет стандартизации и современныхспособов передачи информации, способствующих развитию автоматизации и рационализациибанковских процессов;

— надежный обмен платежными сообщениями;

— сокращение операционных расходов по сравнению с телексной связью;

— удобный прямой доступ пользователей SWIFT к своим корреспондентам повсему миру (доставка сообщения с обычным приоритетом в любую точку мира — 20 минут,доставка срочного сообщения — 30 секунд);

— использование стандартизованных сообщений SWIFT, позволяющее преодолетьязыковые барьеры и свести к минимуму различия в практике осуществления банковскихопераций;

— повышение конкурентоспособности банков-членов SWIFT за счет того, чтомеждународный и кредитный оборот все более концентрируется на пользователяхSWIFT.

Стоимость передачи сообщений членами сообщества определяется по единомутарифу и зависит от количества соединений, адреса, объема сообщения. За счет высокойинтенсивности графика (более 5 млн. сообщений в день) стоимость передачи одногосообщения оказывается ниже, чем в других средствах связи (телекс, телеграф). Дополнительнок основной функции (обмену сообщениями) система SWIFT также выполняет роль форумадля выработки соглашения о стандартах представления и передачи данных.

Существует две системы SWIFT: SWIFT I (введена в строй в 1977 году) иSWIFT II (внедрена с 1990 года). Хотя по архитектуре эти системы различны, пользовательне отличает сообщений, полученных по SWIFT I или SWIFT II. Ниже мы рассмотрим архитектуруи защиту системы SWIFT II.

В архитектуре SWIFT II можно выделить четыре основные уровне иерархии:[7, с.141]

— банковский терминал, который устанавливается в банке и предназначен длядоступа персонала банка в сеть. Терминалами системы SWIFT обычно являются персональныекомпьютеры. Смонтированное оборудование может сдаваться «под ключ» (на базе миниЭВМкомпаний Unisys и NCR) или интегрироваться в существующую банковскую систему (напримерна базе семейство миниЭВМ VAX компании DEC);

— региональный процессор (РП), основным назначением которого является организациявзаимодействия пользователей некоторой ограниченной области (республики, страны,группы стран). Места расположения РП заранее не определяются. Как правило, РП оснащаютсясдублированными ЭВМ фирмы Unisys;

— слайс-процессор (СП), необходимый для обмена сообщениями между подключеннымик нему РП, краткосрочного или длительного архивирования сообщений и генерации системныхотчетов. Система SWIFT может сохранять передаваемые сообщения на срок до 14 дней.Это помогает избегать проблем, связанных с трактовкой текстов сообщений. На сегодняшнийдень существует три СП, каждый из них которых оснащен тремя машинами А12 фирмыUnisys, одна из которой является резервной. Один СП может обработать до 3.5 миллионовсообщений в день. Допускается включение в сеть дополнительных СП;

— процессор управления системой (ПУС), выполняющий функции монитора системы,управления системой и сетью. Существует два ПУС, один из которых находится в Голландии,а второй в США. Каждый ПУС может контролировать состояние и управлять работой СПи РП, работой сетевых программ и оборудования, подключением пользователей и их рабочимисеансами, включая выбираемые пользователем прикладные задачи. ПУС единственный уровеньсистемы, который не занят обработкой сообщений, а предназначен исключительно дляуправления системой SWIFT в целом.

Сообщения системы SWIFT содержат поля, идентифицирующие всех участниковпередачи информации и платежей.

Банк заказчика операции информирует банк-отправитель о необходимости послатьсообщение и переводит ему соответствующую сумму. Банк получателя при приеме сообщенияпереводит эту сумму на счет расчетного банка, который осуществляет платежи.

Расчеты между банком-отправителем и банком-получателем осуществляются спомощью счета, который открывается в одном из них для другого. Кто для кого открываетсчет, зависит от типа валюты, в которой производятся расчеты. Если платежи осуществляютсяв валюте государства, в котором находится банк-получатель, то он вносит соответствующуюсумму в дебет счета банка-отправителя в своем банке. Наоборот, если платежи осуществляютсяв валюте государства, в котором находится банк-отправитель, то он открывает у себясчет банка получателя и предоставляет ему кредит на соответствующую сумму.

Безопасность в системе SWIFT обеспечивается применением организационных,программных и технических мер.

В системе SWIFT существует строгое разделение ответственности за поддержаниебезопасности системы. Так банк, подключенный к системе, отвечает за правильную эксплуатациюи физическую защиту терминалов, модемов и линий связи до регионального процессора,за правильное оформление сообщения при передаче его в сеть и наличие работоспособныхтерминалов. Всю остальную ответственность за передачу сообщений несет администрациясистемы. Управление защитой осуществляется управлением Главного инспектора. Контрользащищенности системы осуществляется через случайные промежутки времени, чтобы убедиться,что все требования к: безопасности выполняются должным образом.

Защита банковских терминалов предусматривает разграничение доступа пользователейк нему по паролю и специальной пластиковой карточке. При входе пользователя в системупроизводится взаимное опознавание терминала и системы. Автоматическое отключениеот SWIFT происходит в следующих случаях:

— при обнаружении помехи или обрыве соединения;

— при неоднократном обнаружении ошибки при передаче данных или в принятомсообщении;

— при сбое РП, к которому подсоединены терминалы.

Сведения о подключении и отключении терминала регистрируются в специальномжурнале.

Для обеспечения конфиденциальности передаваемых сообщений используетсяшифрование при помощи специальных устройств, устанавливаемых в тракте передачи«банковский терминал — региональный процессор». Для шифрования информации используютсятри типа ключей: главный (64 бита), вторичный (128 бит) и шифрования данных (64бита). Главный и вторичный ключи устанавливаются представителями SWIFT. Ключ шифрованияданных генерируется специальным шумовым источником в процессе работы. Смена модулей,содержащих первичный и вторичный ключи, осуществляется периодически по указаниюГлавного инспектора системы. Банкам предоставляется возможность устанавливать собственныеустройства шифрования для защиты линии связи (естественно после консультаций с представителямиSWIFT). Обеспечение конфиденциальности сообщений не является самой главной задачейсистемы, хотя этому также уделяется серьезное внимание.

Для аутентификации пользователей и обеспечения целостности сообщений всистеме SWIFT существует оригинальный алгоритм аутентификации, детали которого держатсяв секрете. Как и для любого такого алгоритма, базовыми требованиями являются надежноераспределение ключей между двумя абонентами и защита их от остальных. Надежная аутентификациядостигается за счет четкого распределения ответственности. Ключи рассылаются банкампопарно, другие банки и персонал сети доступа к ним не имеют; рассылается такжеруководство по управлению ключами: процедура и время замены ключей и т.д. Крометого, SWIFT может использоваться для обмена конфиденциальной информацией между кооперациейбанков, однако, в этом случае ответственность за обеспечение безопасности ложитсяна участников обмена.

В то же время аутентификации взаимодействующих организаций недостаточнодля надежной работы сети, так как она не предполагает защиты от подмены, уничтоженияили задержки сообщений.

Для обеспечения целостности потока передаваемых сообщений применяется механизмномеров сообщений. Соединения между SWIFT и пользователями поддерживаются двумя(входной и выходной) последовательностями номеров. Входная последовательность обрабатываетсяслайс-процессорами системы, выходная — получателями сообщений. Такой механизм обеспечиваетполный контроль за последовательностью переданных и полученных сообщений для любойпары оконечных пользователей. Он удостоверяет, что ни одно сообщение не уничтоженои не продублировано.

Еще одна задача защиты — предотвращение передачи ложных сообщений, не искажающихпоследовательности номеров и имеющих истинную аутентификацию. Эта задача решаетсябанками — оконечными пользователями системы. Именно они ответственны за корректностьпереданных от их имени сообщений. Кроме того, на пунктах обработки и передачи сообщенийтакже существуют механизмы защиты от подделки сообщений.

Для центральной части SWIFT, состоящей из слайс-процессоров,региональных процессоров и линий связи, защита сообщений является задачей администрациисистемы. Доступ к системе, программное обеспечение и сообщения пользователей строгоконтролируются, как и доступ на территорию машинных залов. Международные линии связи,соединяющие слайс-процессоры между собой, слайс-процессоры и региональные процессоры,имеют надежную криптозащиту. Персонал системы SWIFT не имеет доступа к содержимомупересылаемых сообщений. [2, с.356]

В реализации защиты SWIFT отражены основные подходы,которые применяются при организации системы электронных платежей в целом.

Глава 7. Безопасность персональных платежейфизических лиц.Основные формы удаленного банковского обслуживанияфизических лиц.

Выделяют три вида персональных платежей:

— домашнее (телефонное) обслуживание,

— расчет с автоматическим кассовым аппаратом (банкоматом),

— расчет в точке продажи.

В настоящее время появился четвертый вид — финансовый сервис с использованиемвсемирной сети Интернет.

Домашнее банковское обслуживание позволяет клиентам получить доступ к банковскими информационным услугам не выходя из дома.

Достоинства этого вида обслуживания:

— для клиента — большая доступность данных и управление своими финансовымиделами;

— для банка — уменьшение стоимости обслуживания.

Ввод данных для платежа при голосовой связи (идентификатор, номер счета,размер платежа) производится клиентом либо с клавиатуры телефона либо голосом (чтоменее надежно с точки зрения безопасности, но более технически доступно).

Системы домашнего (телефонного) обслуживания начали внедряться банкамис начала 80-годов, однако, до настоящего времени широкого распространения не получили.

Этот вид обслуживания в разных странах находится на различном уровне. Например,в США домашнее обслуживание не приняло больших масштабов в то время как во Францииоколо 3.5 млн. домов подключено к сети MiniTel.

Некоторое распространение получило телефонное обслуживание и в Великобритании.Основным банком, обеспечивающим эти услуги является там Trustee Savings Banks. Егосистема SpeedLink в настоящее время обслуживает более 250.000 клиентов, не имеющихспециального оборудования, за исключением современного телефона. [12]

Для получения доступа к услугам SpeedLink клиенту необходимо соединитьсяс ним и назвать свой номер счета и свой идентификатор (PIN SpeedLine) для подтвержденияличности. После установления связи клиенты SpeedLink могут получить уведомлениена факс-аппарат или по почте (если факс отсутствует). Система предоставляет такжетакие услуги как оплата счетов, передача денег, ознакомление с последними шестьютранзакциями, перевод денег. Соотношение персональных и корпоративных клиентов этойсистемы находится в отношении 2:1.

First Direct — полная система телефонного обслуживания клиентов на дому.Она введена в действие Midland Bank Group в 1989 году.

Основное ее отличие в том, что она не использует синтезируемый голос илиперсональный компьютер для проведения расчетов.

Проведенные после установки First Direct исследования показали, что30% населения посещают банки для того, чтобы использовать банкоматы, а 30% пользуютсятелефоном.

В системе First Direct особое внимание уделяется начальной идентификациии проверке абонента. Для идентификации используется десятисимвольный пароль, устанавливаемыйклиентом и известный только ему. Проверка абонента осуществляется при взаимодействиис оператором. В начале работы оператор запрашивает наугад одну или несколько буквиз пароля пользователя. Дополнительно клиент снабжается кодовым словом, котороеиспользуется при этой процедуре. Детали процедуры идентификации и аутентификациисистемы First Direct держатся в секрете.

Будущее этого вида услуг сильно зависит от прогресса в области распознаванияречи и создания надежных и сравнительно недорогих устройств с приемлемыми характеристикамитакого распознавания. [12]

Банковский автомат-кассир (АКА, банкомат) — специализированное устройство,предназначенное для обслуживания клиента в отсутствие банковского персонала. Этонаиболее существенная часть банковской системы, предназначенная, в основном, длявыдачи наличных денег. Помимо этой функции АКА может выполнять ряд дополнительных,а числе которых:

* проверка состояния счета клиента;

* изменение параметров счета клиента;

* осуществление различных платежей;

* предоставление информации о:

— страховом полисе клиента;

— котировках ценных бумаг на фондовом рынке;

— покупке и продаже акций;

— обменных курсах валют и т.д.

Автоматический кассовый аппарат состоит из трех устройств ввода (считывательс пластиковых карточек, цифровая и функциональная клавиатура), двух выходных устройств(микродисплей и принтер) и устройства обработки информации. Взаимодействие клиентас АКА осуществляется при помощи пластиковой карточки, на которой записана необходимаяинформация, выносной клавиатуры и микродисплея.

В настоящее время устройства обработки информации АКА разрабатываются наоснове микропроцессоров. Так, например основой АКА компании NCR являются процессорыIntel 80486 и Pentium. Фактически АКА компании NCR представляет собой персональнуюЭВМ, работающую под управлением ОС OS/2 и имеющую до 64 Мбайт оперативной памяти,до 3200 Мбайт дисковой памяти, накопитель на гибких магнитных дисках, дисплей, принтери другие периферийные устройства. Выполнение операций осуществляется с помощью прикладногопрограммного обеспечения. Шифрование конфиденциальной информации при передаче поканалам связи или при записи на диск осуществляется на основе стандарта DES. Кромекрипто-защиты предусмотрены и другие меры безопасности.

В 90-х годах по данным Американской Ассоциации Банкиров в США услуги АКАиспользовались половиной национальных банков и всеми крупными банками. [2, с.377].

Системы, обеспечивающие расчеты продавца и покупателя в точке продажи,(point-of-sale, POS) получили распространение в США более 25 лет назад. В основном,все терминалы, подключенные к этим системам размещены на предприятиях торговли.Большинство таких терминалов установлены в супермаркетах, так как там совершаетсябольшое количество покупок в течении дня, а также в других магазинах и на автозаправочныхстанциях.

Системы POS обеспечивают следующие услуги:

— проверку и подтверждение чеков;

— проверку и обслуживание дебетовых и кредитных карточек;

— использование системы электронных расчетов.

Банки, финансирующие систему расчетов в точке продажи, таким образом расширяютсписок своих клиентов путем предоставления им больших удобств для покупок в магазинахс использованием удаленных устройств. Торговля, в свою очередь, увеличивает количествоклиентов, расширяет управление имуществом, сохраняет время клиентов и уменьшаетриск потери наличных денег.

Существует два типа систем POS. Основной из них предполагает, что продавеци покупатель имеют счета в одном и том же банке. Данные, необходимые для платежа,передаются через терминалы системы POS банковскому компьютеру, производится платежи деньги переводятся со счета покупателя на счет продавца. В более сложной системеучаствуют два или более банков. При платеже сначала вызывается банк покупателя,производится платеж и записывается на магнитную ленту для передачи в расчетную палату.Расчетная палата в свою очередь пересылает данные о платеже в банк продавца, которыйкредитует платеж.

Проблемы идентификации клиента при удаленномобслуживании.

Персональный номер (идентификатор) (Personal Identification Number,PIN) — это последовательность цифр, используемая для идентификации клиента. Дляввода PIN как в АКА, так и в терминалах систем POS предусмотрена цифровая клавиатура,аналогичная телефонной. По способу назначения можно выделить следующие типыPIN:

— назначаемые выведенные PIN;

— назначаемые случайные PIN;

— PIN, выбираемые пользователем.

Клиент различает только два типа PIN: PIN, который назначен ему банком,выдавшим карточку, и PIN, который пользователь может выбирать себе самостоятельно.

В связи с тем, что PIN предназначен для идентификации и аутентификацииклиента, его значение должно быть известно только клиенту. Однако на практикеPIN трудно удержать в памяти и поэтому клиент банка куда-нибудь его запишет (иногда- на саму карточку). В результате задача злоумышленника бывает сильно облегчена.

Использование PIN, назначенных банком, неудобно даже при небольшом их количестве.Много цифр не удержишь в памяти и их придется записывать. Для большего удобстваклиента используются PIN, выбираемые им самим. Такой способ определения PIN, во-первых,позволяет клиенту использовать один и тот же PIN для различных целей, и, во-вторых,позволяет задавать PIN как совокупность букв и цифр.

PIN обычно состоит из 4-6 цифр. Следовательно, для его перебора в наихудшем(для защиты естественно) случае необходимо осуществить 10.000 комбинаций (4-х символьныйPIN). Такой перебор возможен за короткое время. Поэтому в системах, использующихтакой PIN, должны быть предусмотрены меры защиты от подбора PIN.

Всего существуют два основных способа проверки PIN: алгоритмический и неалгоритмический.

Алгоритмический способ проверки заключается в том, что у пользователя запрашиваетсяPIN, который преобразуется по определенному алгоритму с использованием секретногоключа и затем сравнивается со значением PIN, хранившемся на карточке. Достоинствомэтого метода проверки является:

— отсутствие копии PIN на главном компьютере, что исключает его раскрытиеперсоналом банка;

— отсутствие передачи PIN между АКА и главным компьютером банка, что исключаетего перехват злоумышленником или навязывание результатов сравнения;

— облегчение работы по созданию программного обеспечения системы, так какуже нет необходимости действий в реальном масштабе времени.

Неалгоритмический способ проверки PIN, как это следует из его названия,не требует применения специальных алгоритмов. Проверка PIN осуществляется путемпрямого сравнения полученного PIN со значениями, хранимыми в базе данных. Частосама база данных со значениями PIN шифруется прозрачным образом, чтобы не затруднятьпроцесс сравнения, но повысить ее защищенность.

Как же происходит генерация PIN? Вначале номер счета клиента дополняетсянулями или другой константой до 16 шестнадцатеричных цифр (8 байт). Затем получившиеся8 байт шифруются с использованием секретного ключа. Из получившегося шифртекста(8 байт), начиная с младших байт выделяются по 4 бита. Если значение числа, образуемогоэтими битами менее 10, то полученная цифра включается в PIN, иначе значение отбрасывается.Таким образом обрабатываются все 8 байт (64 бита). Если в результате обработки неудалось получить требуемое количество десятичных цифр, то из неиспользуемых комбинацийвычитается 10.

В том случае, когда необходимо получить выбираемый пользователем PIN, токаждая его цифра складывается по модулю 10 с соответствующей цифрой выведенногоPIN (без учета переноса). Получаемое десятичное число называется «смещением» и запоминаетсяна карточке. Так как выводимый PIN имеет случайное значение, то невозможно получитьвыбранный пользователем PIN по его «смещению».

В настоящее время ведется большая дискуссия по поводу применения PIN дляидентификации клиентов [12]. Сторонники применения утверждают, что вскрытие PINв Великобритании, например, составило несколько случаев в месяц против несколькосотен миллионов проведенных транзакций в год. Противники же доказывают, что идентификацияклиента с использованием PIN работает только в следующих случаях:

— отсутствует перехват карточки и/или PIN при передаче от банка клиенту;

— банковские карточки не воруют, не теряют и их невозможно подделать;

— PIN невозможно узнать при доступе к системе другим пользователем;

— PIN иным образом не может быть скомпрометирован;

— в электронной системе банка отсутствуют сбои и ошибки;

— в самом банке нет мошенников.

В качестве альтернативы PIN предлагается применять устройства идентификации,основанные на биометрическом принципе. Их широкое применение сдерживается высокойстоимостью. Например, устройство, предлагаемое компанией Sats и предназначенноедля идентификации человека по геометрии его руки, стоит около $3.500. [12]

Однако в настоящее время к биометрическим системам проявляется все большеинтереса.

Безопасность при использовании пластиковыхкарт.

Использование систем POS и АКА потребовало появления некоторого носителяинформации, который мог бы идентифицировать пользователя и хранить некоторые учетныеданные. В качестве такого носителя стали выступать пластиковые карточки.

В настоящее время выпущено более миллиарда карточек в различных странахмира [5, с.26]. Наиболее известные из них:

— кредитные карточки Visa (более 350 млн. карточек) и MasterCard (200 млн.карточек);

— международные чековые гарантии Eurocheque и Posteheque;

— карточки для оплаты путешествий и развлечений American Express (60 млн.карточек) и Diners Club.

По принципу действия можно выделить пассивные и активные пластиковые карточки.Пассивные всего лишь хранят информацию на том или ином носителе. Отличительной особенностьюактивных карточек является наличие встроенной в него микросхемы. Карточка с микропроцессоромназывается «интеллектуальной» (smart card).

По характеру расчетов, проводимых с использованием пластиковых карточек,можно выделить кредитные и дебетовые карточки.

По характеру использования карточки подразделяются на корпоративные и личные.Главное отличие корпоративных (которые могут быть выданы только юридическим лицам)от индивидуальных состоит в том, что их владельцы имеют право на получение дополнительныхуслуг.

Например, такими карточками может одновременно пользоваться большое количествосотрудников фирмы, но счета по совершенным ими сделкам будут выставлены фирме.

На магнитной карточке расположена магнитная полоса, состоящая из трех дорожек.Каждая из них имеет соответствующее назначение. Размеры карточки, формат хранимыхданных определены специальным стандартом ISO 7811 1985 года.

Процессорный тип карточек изобретен и запатентован Роланом Мореном во Франции.Микросхемы, установленные на карточке, могут быть как обычными — энергонезависимойпамяти, так и достаточно сложными микропроцессорами. Емкость обычной карточки сэнергонезависимой памятью составляет от 2 до 16 килобайт. В постоянное запоминающееустройство, установленное на карточке, прошивается специальный набор программ. Иначеговоря, сердцем таких карточек является не просто микропроцессор, а микроЭВМ. Этикарточки обеспечивают обширный набор функций:

— возможность работы с защищенной файловой системой (доступ к файлам требуетпредъявления полномочий почтению/записи информации);

— шифрование данных с применением различных алгоритмов;

— ведение ключевой системы и т.д.

Некоторые карточки обеспечивают режим «самоблокировки» (невозможность дальнейшейработы с ней) при попытке несанкционированного доступа.

Преимуществом интеллектуальных карточек является больший объем хранимойинформации, устойчивость к подделке и возможность использования во многих приложениях.

Интеллектуальные карточки позволяют существенно упростить процедуру идентификацииклиента. Это позволяет оказаться от работы АКА в режиме реального времени и централизованнойпроверки PIN. Для проверки PIN применяется алгоритм, реализуемый микропроцессоромна карточке. Физическая защита интеллектуальной карты позволяет гарантировать корректностьрезультата проверки PIN.

В то же время интеллектуальные карточки обладают и существенными недостаткамикоторые обусловили их ограниченное распространение. Основных недостатков два:

— высокая стоимость производства карточки;

— увеличенная по сравнению со стандартом толщина, из-за чего она не можетбыть прочитана обыкновенным АКА. Для чтения таких карточек необходима установкаспециальных считывателей.

Кредитные карточки — наиболее распространенный тип пластиковых карточек.К ним относятся карточки общенациональных систем США Visa и Mastercard,American Express и AmEx's Optima, карточка Discovery Card фирмы Sears,Universal Card фирмы AT&T, местные и региональные карточки универсальных магазинов.Ими пользуются миллионы людей в США.

Карточки предъявляются на предприятиях торговли и обслуживания для оплатытоваров и услуг. При оплате с помощью кредитных карточек банк покупателя открываетему кредит на сумму покупки и затем через некоторое время (обычно 25 дней) присылаетсчет по почте. Покупатель возвращает оплаченный чек обратно в банк.

Visa, MasterCard и Discover требуют от обладателей карточек производствапо крайней мере фиксированного минимального платежа.

Разновидностью кредитных карточек являются affinity-карточки. Они выпускаютсябанком, кредитным объединением или финансовой компанией, заключившими специальноесоглашение с профессиональной, общественной, религиозной или другой некоммерческойорганизацией. Обычно знак этой организации помещается на кредитную карточку. Производителькарточек обязуется отчислять своему контрагенту некоторый (сравнительно небольшой)процент от прибыли при использовании карточек. В ответ на это организация, с которойзаключен договор, помогает производителю карточек внедрить их среди ее членов.

Дебетовые карточки используются для дебетовых расчетов. Другие ее названия:карточка наличных средств или расчетная. Она во многом аналогична кредитной. Длядебетовых транзакций чаще всего используются АКА. Дебетовые карточки предназначеныдля замены наличных денег и персональных чеков.

Пластиковая карточка, как основной носитель информации для АКА и оборудованияPOS, является притягательным объектом для злоумышленника. Поэтому перед выпускомтаких карточек необходимо четко представлять степень их защиты от различных воздействий.Существует два основных требования к банковским карточкам: уникальность и необратимость.

Первое требование означает, что среди всех выпущенных банком карточек недолжно быть ни одной одинаковой по характеристикам. Создание подобной карточки должнобыть исключено для злоумышленника. Согласно второму требованию, не может быть восстановленапервоначальная информация на карточке.

Для реализации этих требований каждая фирма-изготовитель предусматриваетсвои схемы защиты, все тонкости которых она хранит в секрете. Рассмотрим два основныхспособа защиты магнитных карточек от подделки: метод магнитных водяных знаков иметод «сэндвича».

Метод магнитных водяных знаков предусматривает нанесение на магнитную ленту,расположенную на карточке, специального рисунка. Этот рисунок наносится при помощимагнитного поля и выполняет ту же самую функцию, что и обычные водяные знаки наценных бумагах. При изготовлении карточка подвергается воздействию сильного электромагнитногополя под углом 45 градусов к продольной оси. Затем на нее воздействует специальноезаписывающее устройство, которое преобразует направленность магнитных полей на карточкек особому виду.

Проверка карточки с нанесенными магнитными водяными знаками осуществляетсяспециальными устройствами. Этот метод защиты не влияет на информацию, которая записанана информационных дорожках, а добавляет на неиспользуемую нулевую дорожку от 50до 100 разрядов дополнительной информации. Эти знаки используется для дополнительнойпроверки.

Метод «сэндвича» является альтернативой методу водяных знаков и заключаетсяв том, что одна полоска содержит участки с различными уровнями намагниченности,причем участок с меньшей намагниченностью расположен ближе к головке чтения/записи.Для записи информации на карточку используется сильное магнитное поле. В считывателеинформации карточка вначале проходит через стирающее поле. При этом на участке сослабой намагниченностью информация стирается, а с сильной намагниченностью — неизменяется. Затем информация с полосы считывается обычным образом. Надежность этогометода защиты основана на двух предположениях: во-первых, если злоумышленник используетодинарную полосу для подделки карточки, то вся информация на ней будет затерта стирающимполем; во-вторых, для записи на двухслойную полосу требуется специальное оборудованиедля создания необходимого по величине магнитного поля.

Современные пластиковые карточки имеют несколько степеней (уровней) защиты.Например, карточки системы VISA имеют семь уровней защиты:

1. Торговое имя продукта, которое идентифицирует тип Visa карточки, вместес символом защиты;

2. Вокруг панели расположена кайма впечатанных кодов идентификации банка;

3. Поле fine-line в области идентификации продукции:

— символ защиты;

— идентификатор банка над символом защиты;

— голубь (эмблема Visa), который видим только в ультрафиолетовых лучах;

— трехмерная голограмма голубя.

В настоящее время не существует достоверной статистики по потерям, которыесвязаны с использованием пластиковых карточек. По некоторым оценкам, они составляютдо $2 млрд. в год. Основной причиной потерь является неправильное использованиекарточек их законными владельцами. [12]

Пропорции злоупотреблений с пластиковыми карточками зависят от структурыбанковской индустрии и поэтому сильно меняются от страны к стране. Например, посравнению с Западной Европой, в США большие потери происходят именно за счет неправильногоиспользования карточек. Но при этом, по оценкам экспертов, ущерб от мошенничествас применением технических средств составляет не менее $500 млн. в год. [3, с.52]

Ниже приведена статистика потерь для Visa и MasterCard (данные 1993 года).[2, с.24]

Причина Доля в общих потерях, % Мошенничество продавца 22.6 Украденные карты 17.2 Подделка карт 14.3 Изменение рельефа карты 8.1 Потерянные карты 7.5 Неправильное применение 7.4 Мошенничество по телефону 6.3 Мошенничество при пересылке почтой 4.5 Почтовое мошенничество 3.6 Кражи при производстве  пересылке 2.9 Сговор с владельцем карточки 2.1 Прочие 3.5

Одно из важнейших требований безопасности при работе с пластиковыми карточками— обеспечение безопасности банкоматов.

В настоящее время на автоматические кассовые аппараты (АКА) возлагаютсяследующие задачи:

— идентификация и аутентификация клиента;

— выдача наличных денег;

— оповещение о состоянии счета клиента;

— перевод денег клиента с одного счета на другой;

— регистрация всех произведенных операций и выдача квитанций.

Основная задача АКА — выдача наличных денег клиенту. Так как внутри АКАкроме различных устройств находятся и наличные деньги, то должна быть предусмотренаего серьезная физическая защита.

По имеющимся данным [6, с.82] в Великобритании АКА установлены:

* 67 % — в виде, вмонтированном в стену;

* 21 % — внутри банков;

* 5 % — в вестибюлях банков;

* 7 % — отдельно стоящие банкоматы вне банков.

При рассмотрении дальнейшей защиты хранимой в АКА информации предполагается,что нарушение его внешней физической защиты маловероятно.

Автоматический кассовый аппарат может работать в одном из двух режимов:

1. Off-line (автономный режим). В автономном режиме АКА функционирует независимоот компьютеров банка. При этом запись информации о транзакциях производится на внутренниймагнитный диск и выводится на встроенный принтер.

2. On-line (режим реального времени). Для работы в этом режиме АКА долженбыть подсоединен (непосредственно, либо через телефонную сеть) к главному компьютерубанка. При этом регистрация транзакций осуществляется непосредственно на главномкомпьютере, хотя подтверждение о транзакции выдается на принтер АКА.

Как автономный режим работы АКА, так и режим реального времени обладаютсвоими достоинствами и недостатками (см. табл. 17).

Преимуществами автономного режима АКА является его относительная дешевизнаи независимость от качества линий связи. Это особенно следует отметить в отечественныхусловиях, когда качество телефонных линий, мягко говоря, не идеально. В то же времянизкая стоимость установки напрямую обуславливает высокую стоимость эксплуатацииэтих аппаратов. Ведь для того, чтобы обновлять списки потерянных карточек, «черныесписки» необходимо хотя бы раз в день специально выделенному человеку обновлятьв месте расположения АКА. При значительном количестве таких устройств подобное обслуживаниезатруднительно. Отказ от ежедневного обновления списков может привести к большимпотерям для банка в случае подделки карточки или при пользовании украденной карточкой.

Сложности возникают также и при идентификации (аутентификации) клиента.Для защиты информации, хранящейся на магнитной карточке применяется ее шифрование.Для того, чтобы АКА одного и того же банка воспринимали пластиковые карточки в нихдля шифрования/расшифрования должен быть использован один ключ. Компрометация егохотя бы на одном из АКА приведет к нарушению защиты на всех АКА.

Режим реального времени имеет большие преимущества по сравнению с автономным.Он позволяет клиенту не только получить наличные деньги, но и осуществлять манипуляциисо своим счетом. Централизованная идентификация/аутентификация позволяет существенноповысить устойчивость системы к компрометации ключей шифрования. Централизованнаяпроверка идентификатора пользователя делает возможным быстрое обновление списковзапрещенных к использованию карточек, а также введение ограничений на количествоналичных денег, которые может получить клиент в течение одного дня (для защиты отиспользования украденных карточек).

Однако этот режим работы возможен лишь при наличии надежных каналов связимежду АКА и банком (банками), что делает его довольно дорогим.

Наличие канала связи порождает и другие угрозы безопасности по сравнениюс автономным режимом работы. Это перехват информационного потока, анализ графикаи имитация работы главного компьютера. При этом анализируются данные, передаваемыеАКА главному компьютеру и получение на их основе информации о счетах, суммах, условияхплатежей и т.д. Главный компьютер может быть имитирован компьютером злоумышленникаи на запрос АКА о результатах идентификации/аутентификации выдавать положительныйответ.

В том случае, когда АКА работает в режиме реального времени для осуществленияидентификации он обменивается с главным компьютером банка тремя сообщениями, каждоеиз которых должно соответствовать специальному алгоритму с использованием шифра,части которого находятся как в банкомате, так и в главном компьютере. Без серьезнойматематической подготовки и хорошего компьютерного оборудования злоумышленник несможет осуществить перехват информации.

Для борьбы с подбором PIN применяется ограничение на его ввод — обычнотрехкратное. Если три попытки ввода PIN оказались неудачными, то в платеже клиентуотказывается. Ранние системы после трех неудачных попыток не возвращали карточку,однако, такое решение проблемы, особенно с кредитными карточками, не вызвало восторгаклиентов.

Для АКА, работающих в автономном режиме, возврат карточки в случае трехкратногонеудачного ввода PIN является весьма опасным, так как позволяет дальше подбиратьPIN.

Кроме одиночных АКА в настоящее время эксплуатируются и сети АКА, в которыхучаствуют несколько банков. Участники такой сети преследуют следующие цели:

— разделение затрат и риска при разработке новых видов услуг между участникамисети;

— уменьшение стоимости операций для участников;

— придание оказываемым услугам общенационального характера и, соответственно,повышение их субъективной ценности для потребителя;

— возможность для региональных банков, так же как и для банков, расположенныхв финансовых центрах, немедленно получить выгоду от либерализации законодательства,регулирующего выход на рынки других стран;

— преодоление имеющихся географических ограничений, которых не существуетдля небанковских учреждений. В настоящее время в США насчитывается три общенациональныхсети:

1. MasterCard/Cirrus;

2. Plus System;

3. Visa U.S.A.

При совместном использовании банками сети АКА появляется новая проблема- защита конфиденциальной информации банков друг от друга (ключи шифрования, спискиномеров запрещенных к использованию карточек и т.д.). Для ее успешного решения былапредложена схема централизованной проверки PIN каждым банком в своем центре связис АКА. При этом также усложняется система распределения ключей между всеми участникамисети.

К эмитенту карточки предъявляются следующие требования:

— выпускаемые им карточки должны восприниматься всеми АКА сети;

— он должен обладать технологией проверки собственных обменных PIN (еслив АКА используется встроенная проверка принадлежности транзакции, то главный компьютердолжен эмулировать результаты проверки в таком же формате).

К банку, выдающему «чужие» карточки, в свою очередь, предъявляются другиетребования:

— в АКА или главном компьютере банка должна быть реализована проверка принадлежноститранзакции;

— если нет возможности проверить правильность чужого PIN, банк должен передатьданные о транзакции на сетевой маршрутизатор.

Для защиты взаимодействия компьютеров банков между собой и с АКА применяетсяоконечное шифрование информации, передаваемой по линиям связи.

Наиболее часто используется следующий метод: вся сеть АКА разбита на зоныи в каждой из них используется свой Главный зональный управляющий ключ. Он предназначендля шифрования ключей при обмене между сетевым маршрутизатором и главным компьютеромбанка. Ключ индивидуален для всех участников сети. Обычно он случайно генерируетсямаршрутизатором и неэлектронным способом передается в банк. Раскрытие ключа приведетк раскрытию всех PIN, которые передаются между маршрутизатором и главным компьютеромбанка.

В неразделяемой сети АКА достаточно на всех АКА использовать один открытыйключ, а на главном компьютере банка закрытый ключ. Это позволит шифровать запроси подтверждающее сообщение и проверять подлинность ответного сообщения из банка,так как обеспечение конфиденциальности ответного сообщения не обязательно. Особоговнимания стоит проблема защиты запроса от активных атак (изменения или введенияложного запроса). Но и она в случае неразделяемой сети может быть решена с использованиемпароля для идентификации АКА.

В случае сети совместно используемых АКА применение системы шифрованияс открытым ключом позволяет отказаться от зональных ключей и дорогостоящей процедурыих смены. Однако в этом случае схема идентификации АКА по паролю не будет работать.Эта проблема может быть решена в том случае, когда каждый АКА вместе с запросомбудет пересылать и свой открытый ключ, заверенный банком. [7, с.49]

Системы POS предназначены для сокращения расходов по обработке бумажныхденег и для уменьшения риска покупателя и продавца, связанного с этой обработкой.

Покупатель для оплаты покупки предъявляет свою дебетовую или кредитнуюкарточку и для подтверждения личности вводит PIN. Продавец со своей стороны вводитсумму, которую необходимо уплатить за покупку или за услуги.

Запрос на перевод денег направляется в банк продавца. Тот для проверкиподлинности карточки, предъявленной покупателем, переадресует запрос в банк покупателя.Если карточка подлинная и покупатель имеет право применять ее для оплаты продуктови услуг банк покупателя переводит деньги в банк продавца на его счет. После переводаденег банк продавца посылает извещение на терминал POS, в котором сообщает о завершениитранзакции. После этого продавец выдает покупателю извещение.

Необходимо обратить внимание на тот путь, который должна проделать информацияпрежде чем будет осуществлена транзакция. Во время его прохождения возможна потерясообщений. Во избежание этого банк продавца должен повторять выдачу сообщений приобнаружении их потери.

Для защиты системы POS должны соблюдаться следующие требования:

1. Проверка PIN, введенного покупателем, должна производиться системойбанка покупателя. При пересылке по каналам связи PIN должны быть зашифрованы.

2. Сообщения, содержащие запрос на перевод денег (или подтверждение о переводе),должны проверяться на подлинность для защиты от внесения изменений и замены припрохождении по линиям связи к обрабатывающим процессорам.

Самым уязвимым местом системы POS являются ее терминалы. Все построениесистемы охраны исходит из предположения абсолютно надежной физической защиты банкомата.Для терминалов POS это не так. Изначально предполагается, что терминал системыPOS незащищен от внешнего воздействия.

В связи с этим предположением возникают новые типы угроз для терминала.Они связаны с раскрытием секретного ключа, который находится в терминале POS и служитдля шифрования информации, передаваемой терминалом в банк продавца. Угроза вскрытияключа терминала весьма реальна, так как они устанавливаются в таких неохраняемыхместах как магазины, автозаправочные станции и пр. Эти угрозы получили следующиеназвания: [2, с.391]

1. «Обратное трассирование». Сущность этой угрозы заключается в том, чтоесли злоумышленник получит ключ шифрования, то он будет пытаться восстановить значенияPIN, использованные в предыдущих транзакциях.

2. «Прямое трассирование». Сущность этой угрозы заключается в том, чтоесли злоумышленник получит ключ шифрования, то он будет пытаться восстановить значенияPIN, используемые в транзакциях, которые произойдут после того, как он получит ключ.

Для защиты от этих угроз были предложены три метода: метод ключа транзакции,метод выведенного (полученного) ключа и метод открытых ключей. Сущность первых двухзаключается в том, что они предусматривают изменение ключа шифрования передаваемыхданных для каждой транзакции.

Метод ключа транзакции был впервые предложен в 1983 году. Информация, передаваемаямежду каждым терминалом и каждым эмитентом карточек, должна быть зашифрована науникальном ключе, который, в свою очередь, должен изменяться от транзакции к транзакции.Однако применение этого метода для большого количества терминалов и эмитентов карточекделает затруднительным управление ключами. Поэтому, в подавляющем большинстве практическихприложений, он применяется не к связи «терминал-эмитент карточек», а к связи «терминал-получатель»,так как каждый получатель имеет ограниченный набор обслуживаемых терминалов. Пригенерации нового ключа используются следующие составляющие: однонаправленная функцияот значения предыдущего ключа, содержание транзакции и информация, полученная скарточки. При этом подразумевается, что предыдущая транзакция завершилась успешно.Такая схема обеспечивает защиту как от «обратного трассирования», так и от «прямоготрассирования». Раскрытие одного ключа не дает возможности злоумышленнику вскрытьвсе предыдущие или все последующие транзакции.

Метод предусматривает также раздельную генерацию двух ключей — одного дляшифрования PIN, другого для получения MAC. Это необходимо для разделения функцийбанков продавца и получателя. Недостатком схемы является ее сложность.

Метод выведенного ключа более прост в использовании, однако, и менее надежен.Он обеспечивает смену ключа при каждой транзакции независимо от ее содержания. Длягенерации ключа здесь используется однонаправленная функция от текущего значенияключа и некоторое случайное значение. Метод обеспечивает защиту только от «обратноготрассирования».

Применение открытых ключей позволяет надежно защититься от любых видовтрассирования и обеспечить надежное шифрование передаваемой информации. В этом методетерминал РОЗ снабжается секретным ключом, на котором шифруется запрос к банку продавца.

Этот ключ генерируется при инициализации терминала. После генерации секретногоключа терминал посылает связанный с ним открытый ключ на компьютер продавца. Обменмежду участниками взаимодействия осуществляется с использованием открытого ключакаждого из них. Подтверждение подлинности участников осуществляется специальнымцентром регистрации ключей с использованием своей пары открытого и закрытого ключей.Недостатком метода является его сравнительно малое быстродействие.

Заключение.

Банки играют огромную роль в экономической жизни общества, их часто называюткровеносной системой экономики. Благодаря своей специфической роли, со времени своегопоявления они всегда притягивали преступников. К 90-м годам XX века банки перешлик компьютерной обработке информации, что значительно повысило производительностьтруда, ускорило расчеты и привело к появлению новых услуг. Однако компьютерные системы,без которых в настоящее время не может обойтись ни один банк, являются также источникомсовершенно новых угроз, неизвестных ранее. Большинство из них обусловлены новымиинформационными технологиями и не являются специфическими исключительно для банков.

Существуют однако два аспекта, выделяющих банки из круга остальных коммерческихсистем:

1. Информация в банковских системах представляет собой «живые деньги»,которые можно получить, передать, истратить, вложить и т.д.

2. Она затрагивает интересы большого количества организаций и отдельныхлиц.

Поэтому информационная безопасность банка — критически важное условие егосуществования.

В силу этих обстоятельств, к банковским системам предъявляются повышенныетребования относительно безопасности хранения и обработки информации. Отечественныебанки также не смогут избежать участи тотальной автоматизации по следующим причинам:

— усиления конкуренции между банками;

— необходимости сокращения времени на производство расчетов;

— необходимости улучшать сервис.

В США, странах Западной Европы и многих других, столкнувшихся с этой проблемойдовольно давно, в настоящее время создана целая индустрия защиты экономической информации,включающая разработку и производство безопасного аппаратного и программного обеспечения,периферийных устройств, научные изыскания и др.

Сфера информационной безопасности — наиболее динамичная область развитияиндустрии безопасности в целом. Если обеспечение физической безопасности имеет давнюютрадицию и устоявшиеся подходы, то информационная безопасность постоянно требуетновых решений, т.к. компьютерные и телекоммуникационные технологии постоянно обновляются,на компьютерные системы возлагается все большая ответственность.

Статистика показывает, что подавляющее большинство крупных организацийимеют план с правилами доступа к информации, а также план восстановления после аварий.

Безопасность электронных банковских систем зависит от большого количествафакторов, которые необходимо учитывать еще на этапе проектирования этой системы.

При этом для каждого отдельного вида банковских операций и электронныхплатежей или других способов обмена конфиденциальной информацией существуют своиспецифические особенности защиты. Таким образом, организация защиты банковских системесть целый комплекс мер, которые должны учитывать как общие концепции, но и специфическиеособенности.

Основной вывод, который можно сделать из анализа развития банковской отрасли,заключается в том, что автоматизация и компьютеризация банковской деятельности(и денежного обращения в целом) продолжает возрастать. Основные изменения в банковскойиндустрии за последние десятилетия связаны именно с развитием информационных технологий.Можно прогнозировать дальнейшее снижение оборота наличных денег и постепенный переходна безналичные расчеты с использованием пластиковых карт, сети Интернет и удаленныхтерминалов управления счетом юридических лиц.

В связи с этим следует ожидать дальнейшее динамичное развитие средств информационнойбезопасности банков, поскольку их значение постоянно возрастает.


Список литературы

1.   Абрамов А.В. Новое в финансовой индустрии:информатизация банковских технологий. — СПБ: Питер, 1997 г.

2.   Гайкович Ю.В, Першин А.С. Безопасность электронныхбанковских систем. — М: Единая Европа, 1994 г.

3.   Демин В.С. и др. Автоматизированные банковскиесистемы. — М: Менатеп-Информ, 1997 г.

4.   Крысин В.А. Безопасность предпринимательскойдеятельности. — М: Финансы и статистика, 1996 г.

5.   Линьков И.И. и др. Информационные подразделенияв коммерческих структурах: как выжить и преуспеть. — М: НИТ, 1998 г.

6.   Титоренко Г.А. и др. Компьютеризация банковскойдеятельности. — М: Финстатинформ, 1997 г.

7.   Тушнолобов И.Б., Урусов Д.П., Ярцев В.И.Распределенные сети. — СПБ: Питер, 1998 г.

8.   Novell NetWare. Руководство пользователя,1998 г.

9.   Аглицкий И. Состояние и перспективы информационногообеспечения российских банков. — Банковские технологии, 1997 г. №1.

10. Аджиев В. Мифы о безопасности программногообеспечения: уроки знаменитых катастроф. — Открытые системы, 1998 г., №6.

11. Джонсон Джордж, Распределенные системыв многофилиальной структуре. — PC Magazine/Russian Edition, 1998 г., №10.

12. Заратуйченко О.В. Концепции построенияи реализации информационных систем в банках. — СУБД, 1996 г., №4.

13. Кузнецов В.Е. Измерение финансовыхрисков. — Банковские технологии, 1997, №9.

14. Мур Г. Глобальный информационный рынок.— Материалы агентства VDM-News, мониторинг иностранной прессы, 14.01.99 г.

15. Семеновых В.А. Некоторые вопросы информационно-аналитическойработы в банке. — Материалы Семинара «Практические вопросы информационно-аналитическойработы в коммерческом банке», 24-26.03.98 г.

16. Тарасов П.И. Диасофт предлагает комплексныерешения для банков. — Мир ПК, 1998 г., №5.

17. Материалы агентства «Интерфакс».1995-99 гг.

еще рефераты
Еще работы по банковскому делу