Лекция 5
ЗАЩИТА ИНФОРМАЦИИ В БАНКОВСКИХ ИНФОРМАЦИОННЫХ СИСТЕМАХ

1. Виды угроз безопасности информационных систем в банках.
2. Методы и средства защиты информации.
3. Компьютерные вирусы, вредоносные программы и борьба с ними.
4. Комплекс мероприятий по защите информации в банковских информационных системах.

1 Виды угроз безопасности информационных систем в банках

Развитие новых информационных технологий и всеобщая ком-пьютеризация привели к тому, что информационная безопас¬ность не только становится обязательной, она еще и одной из характери¬стик ИС. Существует довольно обширный класс систем обработки ин¬формации, при разработке которых фактор безопасности играет перво¬степенную роль (например, банковские информационные системы).
Под безопасностью ИС понимается защищенность системы от слу-чайного или преднамеренного вмешательства в нормальный процесс ее функционирования, от попыток хищения (несанкционированного по-лучения) информации, модификации или физического разрушения ее компонентов. Иначе говоря, это способность противодействовать различным возмущающим воздействиям на ИС.
Под угрозой безопасности информации понимаются события или дей¬ствия, которые могут привести к искажению, несанкционированному использованию или даже к разрушению информационных ресурсов управляемой системы, а также программных и аппаратных средств.

Классификация угроз безопасности информации

1) Слу¬чайные или непреднамеренные угрозы. Их источником могут быть выход из строя аппаратных средств, неправильные действия работников ИС или ее пользователей, непреднамеренные ошибки в программном обеспечении и т.д. Такие угрозы тоже следует держать во внимании, так как ущерб от них может быть значительным.
2) Пассивные угрозы направлены в основном на несанкционированное использование информационных ресурсов ИС, не оказывая при этом влияния на ее функционирование. Например, несанкционированный доступ к базам данных, прослушивание каналов связи и т.д.
3) Активные угрозы имеют целью нарушение нормального функционирования ИС путем целенаправленного воздействия на ее компоненты. К активным угрозам относятся, например, вывод из строя компьютера или его операционной системы, искажение сведений, разрушение ПО компьютеров, нарушение работы линий связи и т.д. Источником активных угроз могут быть действия взломщиков вредоносные программы и т.п.
4) Умышленные угрозы подразделяются также на внутренние (возникающие внутри управляемой организации) и внешние.
Внутренние угрозы чаще всего определяются социальной напря-женностью и тяжелым моральным климатом.
Внешние угрозы могут определяться злонамеренными действия¬ми конкурентов, экономическими условиями и другими причинами (например, стихийными бедствиями).
К внешним угрозам относится промышленный шпио¬наж — это наносящие ущерб владельцу коммерческой тайны неза¬конные сбор, присвоение и передача сведений, составляющих ком¬мерческую тайну, лицом, не уполномоченным на это ее владельцем.
К основным угрозам безопасности информации и нормального функционирования ИС относятся:
- утечка конфиденциальной информации;
- компрометация информации;
- несанкционированное использование информационных ресурсов;
- ошибочное использование информационных ресурсов;
- несанкционированный обмен информацией между абонентами;
- отказ от информации;
- нарушение информационного обслуживания;
- незаконное использование привилегий.
Утечка конфиденциальной информации — это бесконтрольный выход конфиденциальной информации за пределы ИС или круга лиц, которым она была доверена по службе или стала известна в процессе работы. Эта утечка может быть следствием:
- разглашения конфиденциальной информации;
- ухода информации по различным, главным образом техниче¬ским, каналам;
- несанкционированного доступа к конфиденциальной инфор¬мации различными способами (наблюдение, копирование или хищение носителей информации с преодолением мер защиты, маскировка под зарегистрированного пользователя, применение подслушивающих устройств, использование программных ловушек, злоумышленный вывод из строя механизмов защиты, склонение со стороны взломщика и т.д.).
Довольно большая часть при¬чин и условий, создающих предпосылки и возможность неправомер¬ного овладения конфиденциальной информацией, возникает из-за элементарных недоработок руководителей организаций и их сотруд¬ников. Например,
- недостаточное знание работниками организации правил защи¬ты конфиденциальной информации и непонимание необхо¬димости их тщательного соблюдения;
- текучесть кадров, в том числе владеющих сведениями, состав-ляющими коммерческую тайну;
- использование неаттестованных технических средств обработ¬ки конфиденциальной информации;
- слабый контроль за соблюдением правил защиты информации правовыми, организационными и инженерно-техническими мерами;
- организационные недоработки, в результате которых винов-никами утечки информации являются люди — сотрудники ИС и ИТ.

2 Методы и средства защиты информации

Различают следующие методы защиты информации в ИС:

Препятствие — метод физического преграждения пути злоумышленнику к защищаемой информации (к аппаратуре, носителям информации и т.д.).
Управление доступом — методы защиты информации регули¬рованием использования всех ресурсов ИС и ИТ. Эти методы должны противостоять всем возможным путям несанкционированного доступа к информации. Управление доступом включает следующие функции защиты:
• идентификацию пользователей, персонала и ресурсов системы (присвоение каждому объекту персонального идентификатора);
• опознание (установление подлинности) объекта или субъекта по предъявленному им идентификатору;
• проверку полномочий (проверка соответствия дня недели, времени суток, запрашиваемых ресурсов и процедур установ¬ленному регламенту);
• разрешение и создание условий работы в пределах установ¬ленного регламента;
• регистрацию (протоколирование) обращений к защищаемым ресурсам;
• реагирование (сигнализация, отключение, задержка работ, от¬каз в запросе и т.п.) при попытках несанкционированных действий.
Механизмы шифрования — криптографическое закрытие ин¬формации. Эти методы защиты все шире применяются как при об¬работке, так и при хранении информации на магнитных носителях. При передаче информации по каналам связи большой протяженно¬сти этот метод является единственно надежным.
Противодействие атакам вредоносных программ предполагает комплекс разнообразных мер организационного характера и исполь-зование антивирусных программ.
Регламентация — создание таких условий автоматизированной обработки, хранения и передачи защищаемой информации, при кото¬рых нормы и стандарты по защите выполняются в наибольшей степени.
Принуждение — метод защиты, при котором пользователи и персонал ИС вынуждены соблюдать правила обработки, передачи и использования защищаемой информации под угрозой материальной, административной или уголовной ответственности.
Побуждение — метод защиты, побуждающий пользователей и персонал ИС не нарушать установленные порядки за счет соблюде¬ния сложившихся моральных и этических норм.

Различают следующие средства защиты информации в ИС:

1) Технические средства. Вся совокупность технических средств подразделяется на аппа¬ратные и физические.
Аппаратные средства — устройства, встраиваемые непосредст¬венно в вычислительную технику, или устройства, которые сопряга¬ются с ней по стандартному интерфейсу.
Физические средства включают различные инженерные уст¬ройства и сооружения, препятствующие физическому проникнове¬нию злоумышленников на объекты защиты и осуществляющие за¬щиту персонала (личные средства безопасности), материальных средств и финансов, информации от противоправных действий. Примеры физических средств: замки на дверях, решетки на окнах, средства электронной охранной сигнализации и т.п.
2) Программные средства — это специальные программы и про-граммные комплексы, предназначенные для защиты информации в ИС. Как отмечалось, многие из них слиты с ПО самой ИС.
3) Организационные средства осуществляют регламентацию произ-водственной деятельности в ИС и взаимоотношений исполнителей на нормативно-правовой основе таким образом, что разглашение, утечка и несанкционированный доступ к конфиденциальной информации становятся невозможными или существенно затрудняются за счет проведения организационных мероприятий. Комплекс этих мер реа-лизуется группой информационной безопасности, но должен нахо¬диться под контролем первого руководителя.
4) Законодательные средства защиты определяются законодатель¬ными актами страны, которыми регламентируются правила пользова¬ния, обработки и передачи информации ограниченного доступа и ус-танавливаются меры ответственности за нарушение этих правил.
5) Морально-этические средства защиты включают всевозможные нормы поведения, которые традиционно сложились ранее, складыва¬ются по мере распространения ИС и ИТ в стране и в мире или спе¬циально разрабатываются. Морально-этические нормы могут быть неписаные (например, честность) либо оформленные в некий свод (устав) правил или предписаний. Эти нормы, как правило, не являют¬ся законодательно утвержденными, но поскольку их несоблюдение приводит к падению престижа организации, они считаются обяза¬тельными для исполнения.

3 Компьютерные вирусы, вредоносные программы и борьба с ними

Борьба с информационными инфекциями пред¬ставляет значительные трудности, так как существует и постоянно разрабатывается огромное множество вредоносных программ, цель которых — порча информации в БД и ПО компьютеров. Большое число разновидностей этих программ не позволяет разработать по¬стоянных и надежных средств защиты против них.
Вредоносные программы классифицируются следующим образом:
Логические бомбы, как вытекает из названия, используются для ис-кажения или уничтожения информации, реже с их помощью соверша¬ются кража или мошенничество. Манипуляциями с логическими бом¬бами обычно занимаются чем-то недовольные служащие, собирающие¬ся покинуть данную организацию, но это могут быть и консультанты, служащие с определенными политическими убеждениями и т.п. Реальный пример логической бомбы: программист, предвидя свое увольнение, вносит в программу расчета заработной платы оп¬ределенные изменения, которые начинают действовать, когда его фамилия исчезнет из набора данных о персонале фирмы.
Троянский конь — программа, выполняющая в дополнение к ос-новным, т. е. запроектированным и документированным действиям, действия дополнительные, не описанные в документации.
Вирус — программа, которая может заражать другие программы путем включения в них модифицированной копии, обладающей спо-собностью к дальнейшему размножению.
Червь — программа, вызывающая неуправляемое функционирование каких-либо устройств, распространяющаяся через сеть и не остав¬ляющая своей копии на магнитном носителе.
Захватчик паролей — это программы, специально предназначен¬ные для воровства паролей. При попытке обращения пользователя к терминалу системы на экран выводится информация, необходимая для окончания сеанса работы. Пытаясь организовать вход, пользова¬тель вводит имя и пароль, которые пересылаются владельцу про¬граммы-захватчика, после чего выводится сообщение об ошибке, а ввод и управление возвращаются к операционной системе. Пользо¬ватель, думающий, что допустил ошибку при наборе пароля, повто¬ряет вход и получает доступ к системе. Однако его имя и пароль уже известны владельцу программы-захватчика.
Компрометация информации (один из видов информационных инфекций). Реализуется, как правило, посредством несанкциониро¬ванных изменений в базе данных, в результате чего ее потребитель вынужден либо отказаться от нее, либо предпринимать дополнитель¬ные усилия для выявления изменений и восстановления истинных сведений. При использовании скомпрометированной информации потребитель подвергается опасности принятия неверных решений.
Несанкционированное использование информационных ресурсов, с одной стороны, является последствиями ее утечки и средством ее компрометации. С другой стороны, оно имеет самостоятельное зна¬чение, так как может нанести большой ущерб управляемой системе (вплоть до полного выхода ИТ из строя) или ее абонентам.
Ошибочное использование информационных ресурсов будучи санк-ционированным тем не менее может привести к разрушению, утечке или компрометации указанных ресурсов. Данная угроза чаще всего является следствием ошибок, имеющихся в ПО ИТ.
Несанкционированный обмен информацией между абонентами может привести к получению одним из них сведений, доступ к кото¬рым ему запрещен. Последствия — те же, что и при несанкциониро¬ванном доступе.
Отказ от информации состоит в непризнании получателем или отправителем этой информации фактов ее получения или от¬правки. Это позволяет одной из сторон расторгать заключенные фи¬нансовые соглашения «техническим» путем, формально не отказыва¬ясь от них, нанося тем самым второй стороне значительный ущерб.
Нарушение информационного обслуживания — угроза, источни¬ком которой является сама ИТ. Задержка с предоставлением инфор¬мационных ресурсов абоненту может привести к тяжелым для него последствиям. Отсутствие у пользователя своевременных данных, необходимых для принятия решения, может вызвать его нерацио¬нальные действия.
Незаконное использование привилегий. Большинство систем защиты используют наборы привилегий, т. е. для выполнения определенной функции требуется оп¬ределенная привилегия. Обычно пользователи имеют минимальный набор привилегий, администраторы — максимальный.
Наборы привилегий охраняются системой защиты. Несанкцио-нированный (незаконный) захват привилегий возможен при наличии ошибок в системе защиты, но чаще всего происходит в процессе управления системой защиты, в частности при небрежном пользова¬нии привилегиями.
Компьютерные вирусы являются самой распространенной вредоносной программой. Этот продукт интеллектуальной деятельности человека может нанести непоправимый вред информации, которую обрабатывают современные компьютеры.
Компьютерный вирус — это программа, обычно скрывающаяся внутри других программ, способная сама себя воспроизводить ("размножаться") и приписывать себя к другим программам ("заражать их") без ведома и согласия пользователя, а также выполняющая ряд нежелательных действий на компьютере (проявление "болезни").

Рис. 1 – Классификация компьютерных вирусов
В целях защиты компьютеров от заражения вирусами рекомендуется:
- оснастить свой компьютер современными антивирусными программами (например, DrWeb, AVP, McAfee, Norton Antivirus или другими) и постоянно обновлять их версии;
- регулярно создавать резервные копии важных файлов и системных областей жестких дисков;
- периодически проверять на наличие вирусов жесткие диски компьютера, запуская антивирусные программы для тестирования файлов, памяти и системных областей дисков, предварительно загрузив операционную систему с защищенной от записи системной дискеты;
- при проверке и лечении своих дисков от вирусов использовать заведомо чистую операционную систему, загруженную с дискеты;
- перед считыванием с дискет информации, записанной на других компьютерах, всегда проверять эти дискеты на отсутствие вирусов, запуская антивирусные программы своего компьютера до чтения содержания дискет;
- при переносе на свой компьютер файлов в архивированном виде проверять их сразу же после разархивации на жестком диске, ограничивая область проверки только вновь записанными файлами;
- всегда защищать свои дискеты от записи при работе на других компьютерах, если на них не будет проводиться запись информации.

4 Комплекс мероприятий по защите информации в банковских информационных системах

Защита конфиденциальной информации в банковских информационных системах осуществляется путем проведения организационных, организационно-технических, инженерно-технических, программно-аппаратных и правовых мероприятий.
Организационные мероприятия предусматривают:
- формирование и обеспечение функционирования системы информационной безопасности;
- организацию делопроизводства в соответствии с требованиями руководящих документов;
- использование для обработки информации защищенных систем и средств информатизации, а также применение технических и программных средств защиты,  сертифицированных  в установленном порядке;
- возможность использования информационных систем для подготовки документов конфиденциального характера только на учтенных установленным порядком съемных магнитных носителях и только при отключенных внешних линиях связи;
- организацию контроля за действиями персонала при проведении работ на объектах защиты организации;
- обучение персонала работе со служебной (конфиденциальной) информацией и др.
Основными организационно-техническими мероприятиями по защите информации являются:
- экспертиза деятельности организации в области защиты информации;
- аттестация объектов по выполнению требований обеспечения защиты информации при проведении работ со сведениями, составляющими служебную тайну;
- сертификация средств защиты информации и контроля за ее эффективностью, систем и средств информатизации и связи в части защищенности информации от утечки по техническим каналам связи;
- обеспечение условий защиты информации при подготовке и реализации международных договоров и соглашений;
- создание и применение информационных и автоматизированных систем управления в защищенном исполнении;
- разработка и внедрение технических решений и элементов защиты информации при проектировании, строительстве (реконструкции) и эксплуатации объектов, систем и средств информатизации и связи;
- разработка средств защиты информации и контроля за эффективностью их использования;
- применение специальных методов, технических мер и средств защиты информации, исключающих перехват информации, передаваемой по каналам связи.
Для предотвращения угрозы утечки информации по техническим каналам проводятся следующие инженерно-технические мероприятия:
- предотвращение перехвата техническими средствами информации, передаваемой по каналам связи;
- выявление возможно внедренных на объекты и в технические средства электронных устройств перехвата информации (закладных устройств);
- предотвращение утечки информации за счет побочных электромагнитных излучений и наводок, создаваемых функционирующими техническими средствами, электроакустических преобразований и др.
Программные (программно-аппаратные) мероприятия по предотвращению утечки информации предусматривают:
- исключение несанкционированного доступа к информации;
- предотвращение специальных воздействий, вызывающих разрушение, уничтожение, искажение информации или сбои в работе средств информатизации;
- выявление внедренных программных или аппаратных "закладок";
- исключение перехвата информации техническими средствами;
- применение средств и способов защиты информации и контроля эффективности при обработке, хранении и передаче по каналам связи.
Правовые мероприятия - создание в организации нормативной правовой базы по информационной безопасности - предусматривают разработку на основе законодательных актов Российской Федерации необходимых руководящих и нормативно-методических документов, перечней охраняемых сведений, мер ответственности лиц, нарушивших установленный порядок работы с конфиденциальной информацией, и т.д.
В результате созданная система обеспечения информационной безопасности должна обеспечить:
- пресечение и выявление попыток несанкционированного получения информации и доступа к управлению автоматизированной системой;
- пресечение и выявление попыток несанкционированной модификации информации;
- пресечение и выявление попыток уничтожения или подмены (фальсификации) информации;
- пресечение и выявление попыток несанкционированного распространения или нарушения информационной безопасности;
- ликвидацию последствий успешной реализации угроз информационной безопасности;
- выявление и нейтрализацию проявившихся и потенциально возможных дестабилизирующих факторов и каналов утечки информации;
- определение лиц, виновных в проявлении дестабилизирующих факторов и возникновении каналов утечки информации, и привлечете их к ответственности определенного вида (уголовной или административной).