Твердохлеб Е. В.
Научный руководитель к. э. н. доц.. Палагута Е. С.
Донецкий национальный университет экономики и торговли
имени Михаила Туган – Барановского
Системы защиты информационных
систем в коммерческом банке
На сегодняшний день в Украине все банки
автоматизированы. Основной объем электронного информационного потока,
проходящего через автоматизированные банковские системы (АБС), не содержит
информации, которая составляет государственную тайну. По крайней мере подобная
информация может составлять ничтожную часть трафика украинских АБС.
Актуальность данной темы заключается в том, что
в нашей стране проблемы безопасности информационных технологий
десятилетиями изучались и своевременно решались преимущественно для защиты
государственной тайны в военных или правительственных автоматизированных
системах. Ранее весьма специфичные проблемы коммерческого сектора экономики не
нашли соответствующих решений ввиду отсутствия такого сектора. В настоящее
время это существенно мешает развитию безопасных информационных технологий в украинском
коммерческом секторе экономики, который, учитывая глобализацию информационного
общества, интегрируется с мировым рынком.
Целью написания данной статьи является раскрытие
проблемы безопасности информационных систем в коммерческих банках.
Защита информации в коммерческих
автоматизированных системах имеет значительные особенности, которые необходимо
учитывать, так как они оказывают большое влияние на технологию информационной
безопасности. Процесс обеспечения безопасности коммерческой автоматизированной
информационной системы базируется на научно-техническом заделе защиты
государственной тайны в военных или правительственных автоматизированных
системах с учетом новейших теоретических и практических достижений мирового
технологического рынка.
В задаче обеспечения безопасности коммерческой
информации конкретной автоматизированной системы нет, и не может быть заранее
полностью готового, статичного решения. Это диктуется динамикой рынка и связано
с тем, что структура каждой коммерческой организации, функциональные связи
между ее подразделениями и отдельными сотрудниками уникальны, динамично
развиваются и практически никогда полностью не повторяются.
При организации защиты АБС желательно попытаться
определить вероятность каждого конкретного вида угрозы и потенциальный ущерб,
который понесут пользователи и владельцы АБС, если угроза осуществится. Под
системой защиты АБС обычно понимают единую совокупность правовых и
морально-этических норм, организационных (административных), технологических
мер и программно-технических средств, направленных на противодействие угрозам
АБС с целью сведения до минимума возможного ущерба пользователям и владельцам
системы.
При построении системы защиты сложилось два
подхода к решению проблемы безопасности АБС:
¾ фрагментарный подход ориентируется на
противодействие строго определенным угрозам при определенных условиях.
Например, специализированные средства, автономные средства шифрования и т. д.
Главное достоинство фрагментарного подхода - его высокая избирательность
относительно конкретной угрозы. Но с этим связан и недостаток - локальность
действия, т.е. фрагментарные методы защиты обеспечивают эффективную защиту
конкретных объектов АБС от конкретной угрозы, но не более того.
¾ при комплексном подходе объединяются
разнородные меры противодействия угрозам (правовые, организационные,
программно-технические и т. д.). При комплексном использовании мер создается
защищенная среда обработки информации. Комплексный подход
применяют для защиты крупных АБС, нарушение безопасности в которых может
нанести огромный материальный ущерб, как банкам, так и их клиентам.
Недостатками комплексного подхода являются сложность управления и ограничения
на свободу действий пользователей АБС.
Можно выделить следующие
этапы построения системы защиты: 1) анализ возможных угроз АБС; 2) разработка системы
защиты; 3) реализация системы защиты; 4) сопровождение системы защиты.
На этапе анализа
возможных угроз АБС, исходя из ее состояния на данный момент времени,
определяются возможные возмущающие действия на каждый элемент системы защиты.
На этапе разработки возможно комплексное использование следующих видов защиты:
правовые, морально-этические, административные, физические, технические. К
правовым мерам относятся действующие в стране законы, указы, нормативные акты,
регламентирующие правила обращения с информацией ограниченного использования и
ответственность за их нарушения. К морально-этическим мерам противодействия
относятся всевозможные нормы поведения, которые традиционно сложились ранее, складываются
по мере распространения ЭВМ и АБС в стране и в мире или специально
разрабатываются. Административные меры защиты - это меры организационного
характера, регламентирующие процессы функционирования АБС, использования ее
ресурсов, деятельность персонала и т.д. Физические меры защиты - это разного
рода механические, электронные или электронно-механические устройства и
сооружения, специально предназначенные для создания физических препятствий на
возможных путях проникновения и доступа потенциальных нарушителей к компонентам
защиты и защищаемой информации. Техническими средствами защиты называются
различные электронные и специальные программы, которые выполняют функции
защиты.
Таким образом, обеспечение безопасности
информационных систем в коммерческом банке является залогом его эффективной
деятельности. При построении системы защиты сложилось два подхода к решению
проблемы безопасности АБС: фрагментарный и
комплексный.
Наилучшие результаты достигаются при системном подходе к вопросам обеспечения
безопасности АБС и комплексном использовании обеспечения мер защиты на всех
этапах жизненного цикла системы, начиная с самых ранних стадий ее
проектирования.