В.В. Глухов, П.Д. Зегжда
Санкт-Петербургский государственный технический университет
ЗАДАЧИ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ
БАНКОВСКИХ СИСТЕМ
Специфика современных БС состоит, прежде всего, в создании безбумажной формы подготовки, отработки и контроля документов в условиях высокой ответственности за их подлинность. При этом автоматизация банковских технологий должна охватить все этапы обработки документов.
С точки зрения обеспечения безопасности следует отметить следующее.
Предполагается, что при существовании бумажного носителя безопасность была гарантирована и основное требование к системам электронной обработки - поддержание прежнего уровня безопасности.
Понятие безопасности формируется на уровне конечного пользователя и определяется информационным сообщением с учетом его семантики, в то время как в реальной системе пользователи и информация представлены многими компонентами вычислительной системы.
3. Если в военных и специализированных системах полномочия пользователей прямо соответствуют их роли в управлении (старшему начальнику доступна вся информация), то в АБС наиболее критическая информация доступна операторам, вообще не принимающим участие в управлении.
4. В силу указанных в п.п.1 и 2 и 3 соображений весьма трудно формализовать привилегии пользователей и уровней конфиденциальности информации.
Конечной целью поддержания информационной безопасности АБС является гарантированная поддержка прав и полномочий пользователей по отношению к обрабатываемой информации (т.е. осуществления заданной политики безопасности) и реализация комплекса мер, сводящих к минимуму возможность злоупотребления недостатками используемых технических и программных средств.
Отметим, что в большинстве АБС система защиты входит как автономная подсистема, инвариантная к назначению и структуре различных АБС.
Такой подход исключает возможность создания архитектуры безопасности всей АБС как единого комплекса методических приемов, организационных и программно-аппаратных средств, реализующих доказуемую политику безопасности, выбранную и обоснованную для данной системы.
Острая необходимость безопасных банковских технологий предопределяет совершенствование стандартов, определяющих требования к подобным системам, учитывающих реальные угрозы, соответствующие функции защиты, гарантии надежности и критерии оценки, подразумевающие возможность управления безопасности.
Современные стандарты информационной безопасности предполагают разработку архитектуры безопасности информационной системы в виде так называемого “профиля защиты”, как совокупности требований и угроз, актуальных для конкретной системы и “проекта защиты”, как совокупности средств реализующих функции защиты. Проект защиты включает совокупность средств, обеспечивающих противодействие угрозам, а также доказательство адекватности (подтверждение) предложенных решений. Реализация указанных мер безопасности и приведения, отечественных АБС, в соответствие с требованиями мировых стандартов представляют собой актуальную задачу, без решения которой невозможно осуществление всего комплекса задач, стоящих перед автоматизацией банковских технологий.
Решение этой проблемы включает следующий комплекс задач: разработку и обоснование политики безопасности банковских технологий с учетом их специфики; разработку модели политики безопасности АБС; создание набора профилей безопасности АБС и их систематизация.
Разработка профиля защиты АБС, включает в себя: разграничение доступа абонентов к программам, данным, а также устройствам и объектам АБС; идентификацию и аутентификацию пользователей устройств, программных и информационных ресурсов; средства защиты от возможного внедрения специальных программных закладок.
Разработка методов и средств реализации выбранного профиля защиты, состоит в выборе и разработке программных и аппаратных средств защиты информации, в соответствии с выдвинутыми требованиями и разработанным профилем безопасности, подготовке материалов, необходимых для оценки соответствия защиты АБС нормативным документам, разработке рекомендаций и инструкций по эксплуатации и администрированию безопасности АБС, разработке рекомендаций по применению средств контроля безопасности администрирования и управления безопасностью АБС, проведении испытаний средств защиты информации.