Защита информации. Программные продукты банков
Редкие программные продукты банковских приложений предоставляют другие средства и сервисные услуги в области зашиты информации, кроме наличия системы разграничения доступа. Большинством фирм-разработчиков в рекламных проспектах на программный продукт провозглашается большой перечень функциональных возможностей их программного обеспечения с точки зрения компьютерной безопасности, но качественный уровень реализации возможностей защиты информации остается низким. Мероприятия по обеспечению физической безопасности включают ограничение доступа в банк. Посетитель проходит целую процедуру для того, чтобы получить доступ в конкретное банковское подразделение. Часто к нему на время пребывания в банке приставляют сопровождающего, но проследить все действия сотрудников банка трудная задача. В большинстве случаев компьютерные преступления совершаются именно сотрудниками банка, по тем или иным причинам обиженными руководством или продающими информацию конкурентам. Организационные мероприятия по ограничению доступа в помещения подразделений, как правило, заканчиваются на входе в банк. По помещениям банка, в том числе и в помещения вычислительного центра, где находится вся обрабатываемая информация, доступ практически остается свободным. Некоторые банки предпочитают содержать штат разработчиков программного обеспечения и своими силами разрабатывать функциональные задачи. Конечно, никто лучше вас не знает, что именно и как вам нужно автоматизировать, но при этом возможности системы, предоставляемые потенциальным нарушителям, существенно возрастают. В составе имеющихся в банке средств появляются отладчики, дезассемблеры, компиляторы, трансляторы и другие вспомогательные средства. Кроме того, никто даже не может подозревать о наличии программных закладок в разработанном программном обеспечении, пока их действия не начинают сказываться. Разработчик системы становится «компьютерным богом», ему известно о системе все, все ее слабые места, он знает как можно модифицировать информацию
![Защита информации. Программные продукты банков Защита информации. Программные продукты банков](//ecouniver.com/uploads/1314165876_663.jpg)
так, чтобы об этом не узнал никто. Никто, кроме него, не может лучше осуществлять сопровождение системы. Банк становится полностью от него зависимым. Как показывает практика, осуществлению компьютерных преступлений способствует нарушение регламента и правил архивирования информации. Если копия всей информации с файл-сервера снимается раз в неделю на магнитную ленту, то через две недели или, в лучшем случае, через месяц на эту же ленту записывается очередная копия информации. Уничтожение информации приводит к невозможности определения фактов злоумышленной модификации информации. Все следы уничтожаются. Проведение анализа состояния систем защиты показало, что в ряде случаев не то что не соблюдается, а просто отсутствует регламент проведения антивирусной диагностики. Антивирусные мероприятия начинают проводится только при обнаружении (!) очередного вируса в системе. Потери дорогостоящего машинного времени на профилактические работы иногда заставляют персонал, сопровождающий автоматизированную систему, отказаться от регламентированных запусков антивирусных средств. При этом потери ресурсов из-за необходимости глобального восстановления информации после действия вируса не оцениваются, а реально они составляют гораздо больше, чем затраты на профилактику. Другая крайность - ежесменный массированный антивирусный контроль, занимающий от полутора до двух часов. При этом никто не застрахован от действия нового, нигде не зарегистрированного вируса. Потери в этом варианте также велики и не соответствуют реальной степени угроз. Выход состоит в определении строго обоснованного для вашей конкретной вычислительной установки регламента и состава запуска диагностических средств, регламента их ревизии и обновления. Такая работа может быть проведена только специалистами в области защиты информации. Таким образом, каждому банку в зависимости от конкретных условий его работы требуется персонализированная система зашиты и безопасности информации. Построение такой системы возможно лишь на аудиторских условиях специально привлеченными, специалистами и фирмами, имеющими лицензию на указанный характер деятельности. Следует отдавать себе отчет в том, что любая система защиты информации может быть вскрыта за конечное время с использованием необходимого объема ресурсов, поэтому при построении системы защиты нужно обеспечить условия оптимального вложения ресурсов и степени защищенности, возможность динамической модификации, расширения и развития системы защиты. Сотрудники фирмы, чья деятельность в области защиты информации лицензирована государственными органами, несут ответственность по закону в случае разглашения структуры и состава системы защиты, а квалифицированные специалисты в области защиты информации прекрасно знают, как необходимо строить систему защиты с тем, чтобы разработчик после ее запуска не имел возможности для ее вскрытия. В случае привлечения специалистов таких фирм снижается степень риска по злоумышленному использованию информации собственным персоналом, что является сегодня одной из наиболее вероят-ных угроз. Другой мерой получения гарантий по стойкости системы защиты, является проведение периодических сертификационных работ по текущей степени защищенности.
|