Информационная безопасность в системах кредитно-финансовой сферы

Современные информационные технологии/4.Информационная безопасность.

Малова А.Ю.

Донецкий национальный университет экономики и торговли

имени Михаила Туган-Барановского, Украина

Информационная безопасность в системах кредитно-финансовой сферы

В настоящее время интенсивное развитие информационно-телекоммуникационных систем в экономической и финансовой сфере позволяет банкам использовать новейшие технологии. Многие из оказываемых банками специфических услуг связаны с применением телекоммуникационных систем, которые получили широкое распространение в сфере международных межбанковских расчетов. Поэтому приобретает актуальность проблема обеспечения информационной безопасности в компьютеризированных системах кредитно-финансовой сферы.

Банковская информация является объектом преступных посягательств. Любое банковское преступление начинается с утечки информации. Компьютеризированные системы кредитно-финансовой сферы являются каналами для таких утечек.

Для комплексного обеспечения безопасности информации в информационно-телекоммуникационных сетях необходимо выполнение следующих принципов:

1) защита информации (с целью обеспечения ее конфиденциальности, целостности и достоверности) при ее хранении, обработки и передачи по сетям;

2) подтверждение подлинности объектов данных и пользователей;

3) обнаружение и предупреждение нарушения целостности объектов данных;

4) защита технических средств и помещений, в которых ведется обработка конфиденциальной информации, от утечки информации по побочным каналам и от возможно внедренных в технические средства электронных устройств съема информации;

5) защита программных продуктов от "вирусов";

6) защита от несанкционированного доступа к информационным ресурсам и техническим средствам сети;

7) реализация организационно–технических мероприятий, направленных на обеспечение сохранности конфиденциальных данных.

Контроль доступа в компьютеризированные системы кредитно-финансовой сферы осуществляется на основе трех принципов:

1. Принцип ограничения доступа: субъект системы должен иметь не больше и не меньше прав доступа, чем ему необходимо для нормальной работы.

2. Принцип разграничения доступа: объект системы должен быть доступен только тем субъектам, которые имеют определенные для данного объекта права доступа.

3. Принцип регистрации доступа: каждый факт доступа субъекта системы к объекту системы должен быть зарегистрирован в специальном системном журнале.

Системы защиты информации отражают традиционный подход к вычислительной сети как к потенциально ненадежной среде передачи данных. Существует несколько основных способов обеспечения безопасности программно-технической среды, реализуемых различными методами:

1. Идентификация (аутентификация) и авторизация при помощи паролей.

1.1 Создание профилей пользователей. На каждом из узлов создается база данных пользователей, их паролей и профилей доступа к локальным ресурсам вычислительной системы.

1.2 Создание профилей процессов. Задачу аутентификации выполняет независимый (third-party) сервер, который содержит пароли, как для пользователей, так и для конечных серверов (в случае группы серверов, базу данных паролей также содержит только один (тaster) сервер аутентификации; остальные - лишь периодически обновляемые копии).

2. Инкапсуляция передаваемой информации в специальных протоколах обмена. Использование подобных методов в коммуникациях основано на алгоритмах шифрования с открытым ключом. На этапе инициализации происходит создание пары ключей - открытого, и закрытого, имеющегося только у того, кто публикует открытый ключ. Суть алгоритмов шифрования с открытым ключом заключается в том, что операции шифрования и дешифрования производятся разными ключами (открытым и закрытым соответственно). Это позволяет конфиденциально общаться известному реципиенту, (кто эмитирует открытые ключи) и частному отправителю информации. Построенным на шифровании системам присущ риск компрометации путем подбора ключей шифрования.

3. Ограничение информационных потоков.

3.1. Firewalls (брандмауэры). Метод подразумевает создание между локальной и глобальной сетями специальных промежуточных серверов, которые инспектируют и фильтруют весь проходящий через них трафик сетевого/транспортного уровней. Это позволяет резко снизить угрозу несанкционированного доступа извне в корпоративные сети, но не устраняет эту опасность совсем. Более защищенная разновидность метода - это способ маскарада (masquerading), когда весь исходящий из локальной сети трафик посылается от имени firewall-еервера, делая локальную сеть практически невидимой.

3.2 Proxy-servers. При данном методе весь трафик сетевого/транспортного уровней между локальной и глобальной сетями запрещается, обращения из локальной сети в глобальную происходят через специальные серверы-посредники. Этот метод не дает достаточной защиты против атак на более высоких уровнях - например, на уровне приложения.

Таким образом, обеспечение информационной безопасности — процесс непрерывный, и применяемые меры должны носить комплексный характер. Эффективная защита невозможна без комплекса организационных мер. Должны быть определены цели, задачи, приоритеты в области информационной безопасности и с учетом этих факторов сформулированы требования к системе информационной безопасности, разработана политика и система управления информационной безопасностью.