Защита информации. Программные продукты банков
Редкие программные продукты банковских приложений предоставляют другие средства и сервисные услуги в области зашиты информации, кроме наличия системы разграничения доступа. Большинством фирм-разработчиков в рекламных проспектах на программный продукт провозглашается большой перечень функциональных возможностей их программного обеспечения с точки зрения компьютерной безопасности, но качественный уровень реализации возможностей защиты информации остается низким.
Мероприятия по обеспечению физической безопасности включают ограничение доступа в банк. Посетитель проходит целую процедуру для того, чтобы получить доступ в конкретное банковское подразделение. Часто к нему на время пребывания в банке приставляют сопровождающего, но проследить все действия сотрудников банка трудная задача. В большинстве случаев компьютерные преступления совершаются именно сотрудниками банка, по тем или иным причинам обиженными руководством или продающими информацию конкурентам. Организационные мероприятия по ограничению доступа в помещения подразделений, как правило, заканчиваются на входе в банк. По помещениям банка, в том числе и в помещения вычислительного центра, где находится вся обрабатываемая информация, доступ практически остается свободным.
Некоторые банки предпочитают содержать штат разработчиков программного обеспечения и своими силами разрабатывать функциональные задачи. Конечно, никто лучше вас не знает, что именно и как вам нужно автоматизировать, но при этом возможности системы, предоставляемые потенциальным нарушителям, существенно возрастают. В составе имеющихся в банке средств появляются отладчики, дезассемблеры, компиляторы, трансляторы и другие вспомогательные средства. Кроме того, никто даже не может подозревать о наличии программных закладок в разработанном программном обеспечении, пока их действия не начинают сказываться. Разработчик системы становится «компьютерным богом», ему известно о системе все, все ее слабые места, он знает как можно модифицировать информацию
так, чтобы об этом не узнал никто. Никто, кроме него, не может лучше осуществлять сопровождение системы. Банк становится полностью от него зависимым.
Как показывает практика, осуществлению компьютерных преступлений способствует нарушение регламента и правил архивирования информации. Если копия всей информации с файл-сервера снимается раз в неделю на магнитную ленту, то через две недели или, в лучшем случае, через месяц на эту же ленту записывается очередная копия информации. Уничтожение информации приводит к невозможности определения фактов злоумышленной модификации информации. Все следы уничтожаются.
Проведение анализа состояния систем защиты показало, что в ряде случаев не то что не соблюдается, а просто отсутствует регламент проведения антивирусной диагностики. Антивирусные мероприятия начинают проводится только при обнаружении (!) очередного вируса в системе. Потери дорогостоящего машинного времени на профилактические работы иногда заставляют персонал, сопровождающий автоматизированную систему, отказаться от регламентированных запусков антивирусных средств. При этом потери ресурсов из-за необходимости глобального восстановления информации после действия вируса не оцениваются, а реально они составляют гораздо больше, чем затраты на профилактику.
Другая крайность - ежесменный массированный антивирусный контроль, занимающий от полутора до двух часов. При этом никто не застрахован от действия нового, нигде не зарегистрированного вируса. Потери в этом варианте также велики и не соответствуют реальной степени угроз.
Выход состоит в определении строго обоснованного для вашей конкретной вычислительной установки регламента и состава запуска диагностических средств, регламента их ревизии и обновления. Такая работа может быть проведена только специалистами в области защиты информации.
Таким образом, каждому банку в зависимости от конкретных условий его работы требуется персонализированная система зашиты и безопасности информации. Построение такой системы возможно лишь на аудиторских условиях специально привлеченными, специалистами и фирмами, имеющими лицензию на указанный характер деятельности.
Следует отдавать себе отчет в том, что любая система защиты информации может быть вскрыта за конечное время с использованием необходимого объема ресурсов, поэтому при построении системы защиты нужно обеспечить условия оптимального вложения ресурсов и степени защищенности, возможность динамической модификации, расширения и развития системы защиты.
Сотрудники фирмы, чья деятельность в области защиты информации лицензирована государственными органами, несут ответственность по закону в случае разглашения структуры и состава системы защиты, а квалифицированные специалисты в области защиты информации прекрасно знают, как необходимо строить систему защиты с тем, чтобы разработчик после ее запуска не имел возможности для ее вскрытия.
В случае привлечения специалистов таких фирм снижается степень риска по злоумышленному использованию информации собственным персоналом, что является сегодня одной из наиболее вероят-ных угроз. Другой мерой получения гарантий по стойкости системы защиты, является проведение периодических сертификационных работ по текущей степени защищенности.
|
Основные средства. ОС.
