Защита информации в банке: основные угрозы и борьба с ними (часть 1)

Статья раскрывает основные угрозы информационной безопасности банков. Приведены самые важные мероприятия по защите информации в банке, которые необходимо провести для создания эффективной системы защиты.

Угрозы информации в банке.

Во внешней среде системы разделяют следующие виды угроз информации:

нарушение физической целостности (уничтожение, разрушение элементов);

нарушение логической целостности (разрушение логических связей);

модификация содержания (изменение блоков информации, внешнее навязывание ложной информации);

нарушение конфиденциальности (разрушение защиты, уменьшение степени защищенности информации);

нарушение прав собственности на информацию (несанкционированное копирование, использование).

Выделяют два основных признака происхождения угроз:

умышленного происхождения: хищение носителей информации, подключение к каналам связи, перехват электромагнитных излучений, несанкционированный доступ, разглашение информации, копирование данных и т.д.;

естественного происхождения: несчастные случаи (пожары, аварии, взрывы), стихийные бедствия (ураганы, наводнения, землетрясения), ошибки в процессе обработки информации (ошибки пользователя, оператора, сбои аппаратно-программного обеспечения (АПО)) и т.д.

Примечание. Под угрозой (в общем смысле) обычно понимают потенциально возможное событие (воздействие, процесс или явление), которое может привести к нанесению ущерба чьим-либо интересам.

В модели выделяются внутренние (предотвращение угроз, исходящих из внутренних источников) и внешние (предотвращение угроз, исходящих извне) средства защиты информации. Внешние и внутренние средства защиты информации являются составными частями системы информационной безопасности, функционирующей в банке.

Источниками внешних угроз являются:

естественные системы (астрокосмические, планетарные, физические, химические, биологические);

искусственные системы (организационно-экономические и технические системы, а также имеющие смешанный характер (например, биотехнические));

абстрактные системы (символические (модели, алгоритмы, программы, технологические карты и т.д.) и описательные системы (например, в виде уточнений религиозного или этнического характера)).

Примечание. Наибольшими возможностями для нанесения ущерба организации банковской системы Российской Федерации обладает ее собственный персонал.

Источниками внутренних угроз системы являются ее подсистемы и элементы:

люди;

технические устройства и системы;

технологические схемы обработки;

применяемые в системах обработки данных модели, алгоритмы, программы.

Причины возникновения угроз делятся на:

Объективные (количественная или качественная недостаточность элементов системы). Угрозы, обусловленные этими причинами, не связаны непосредственно с деятельностью людей и являются случайными по характеру происхождения угрозами.

Субъективные. Угрозы, обусловленные этими причинами, непосредственно связаны с деятельностью человека и являются как преднамеренными (деятельность разведок иностранных государств, промышленный шпионаж, деятельность уголовных элементов и недобросовестных сотрудников), так и непреднамеренными (плохое психологическое состояние, недостаточная подготовка, низкий уровень знаний) угрозами информации.

К субъективным причинам относятся:

Несанкционированный доступ (получение лицами в обход системы защиты с помощью программных, технических и других средств, а также в силу случайных обстоятельств доступа к обрабатываемой информации и хранимой на объекте информации).

Разглашение информации ее обладателем (умышленные или неосторожные действия должностных лиц и граждан, которым соответствующие сведения в установленном порядке были доверены по работе, приведшие к не вызванному служебной необходимостью оглашению охраняемых сведений, а также передача таких сведений по открытым техническим каналам или обработка на некатегорированных ЭВМ).

Рассмотрим относительно полное множество каналов несанкционированного получения информации, сформированное на основе такого показателя, как степень взаимодействия злоумышленника с информационными подсистемами.

К первому классу относятся каналы от источника информации при несанкционированном доступе к нему:

хищение носителей информации;

копирование информации с носителей (материально-вещественных, магнитных и т.д.);

установка закладных устройств в помещение и съем информации с их помощью, выведывание информации от обслуживающего персонала на объекте;

фотографирование или видеосъемка носителей информации внутри помещения.

Ко второму классу относятся каналы со средств обработки информации при несанкционированном доступе к ним:

снятие информации с устройств электронной памяти;

установка закладных устройств в системы обработки информации;

ввод программных продуктов, позволяющих злоумышленнику получать информацию;

копирование информации с технических устройств отображения (фотографирование с мониторов и др.).

К третьему классу относятся каналы от источника информации без несанкционированного доступа к нему:

получение информации по акустическим каналам (в системах вентиляции, теплоснабжения, а также с помощью направленных микрофонов);

получение информации по виброакустическим каналам (с использованием акустических датчиков, лазерных устройств);

использование технических средств оптической разведки (биноклей, подзорных труб и т.д.);

использование технических средств оптико-электронной разведки (внешних телекамер, приборов ночного видения и т.д.);

осмотр отходов и мусора;

выведывание информации у обслуживающего персонала за пределами объекта, изучение выходящей за пределы объекта открытой информации (публикаций, рекламных проспектов и т.д.).

К четвертому классу относятся каналы со средств обработки информации без несанкционированного доступа к ним:

электромагнитные излучения системы обработки информации (паразитные электромагнитные излучения, паразитная генерация усилительных каскадов, паразитная модуляция высокочастотных генераторов низкочастотным сигналом, содержащим конфиденциальную информацию);

электромагнитные излучения линий связи;

подключения к линиям связи;

снятие наводок с системы теплоснабжения;

использование высокочастотного навязывания;

снятие с линий, выходящих за пределы объекта сигналов, образованных на технических средствах за счет акустоэлектрических преобразований;

снятие излучений оптоволоконных линий связи;

подключение к базам данных и ЭВМ по компьютерным сетям.

Примечание. Для успешной работы с персоналом банка необходимо помнить, что залогом эффективности данного процесса является соблюдение принципов последовательности и непрерывности. Привлекать к процессу обучения по вопросам обеспечения информационной безопасности целесообразно всех сотрудников, имеющих отношение к работе с конфиденциальной информацией.

Полное устранение перечисленных угроз безопасности функционирования информационных систем принципиально невозможно, но все же некоторые из них можно минимизировать на этапе проектирования.

Примечание. В индийском call-центре крупнейшего британского банка HSBC инсайдер выкрал конфиденциальную информацию о счетах британских клиентов и передал ее подельникам в Соединенном Королевстве. В результате около 20 британских клиентов HSBC лишились почти 500 тыс. долл. США. Убытки же самого банка составили несколько миллионов.

Учет угроз и рисков при проектировании информационных систем.

В основу формирования требований по защите информации должны быть положены определение перечня и характеристик потенциальных угроз информационной безопасности и установление возможных источников их возникновения.

Внутренними источниками угроз информационной безопасности функционирования сложных информационных систем являются:

системные ошибки при постановке целей и задач проектирования информационных систем, формулировке требований к функциям и характеристикам средств защиты решения задач, определении условий и параметров внешней среды, в которой предстоит применять программную систему;

алгоритмические ошибки проектирования при непосредственной алгоритмизации функций защиты программных средств и баз данных, при определении структуры и взаимодействия компонентов комплексов программ, а также при использовании информации баз данных;

ошибки программирования в текстах программ и описания данных, а также в исходной и результирующей документации на компоненты программной системы;

недостаточная эффективность используемых методов и средств оперативной защиты программ и данных и обеспечения безопасности функционирования информационной системы в условиях случайных и предумышленных негативных воздействий.

Внешними дестабилизирующими факторами, создающими угрозы безопасности функционирования объектов информационной системы, являются:

предумышленные негативные воздействия лиц с целью искажения, уничтожения или хищения программ, данных и документов информационной системы;

ошибки и несанкционированные воздействия оперативного, административного и обслуживающего персонала в процессе эксплуатации информационной системы;

искажения в каналах телекоммуникации информации, поступающей от внешних источников и передаваемой потребителям, а также недопустимые значения и изменения характеристик потоков информации;

сбои и отказы в АПО системы информационной безопасности;

вирусы, распространяемые по каналам телекоммуникации;

изменения состава и конфигурации комплекса взаимодействующей аппаратуры информационной системы, не предусмотренные при испытаниях и сертификации.

Проектирование систем защиты информации для организации должно способствовать снижению возможных негативных последствий, связанных с использованием информационных технологий, и обеспечить возможность реализации основных целей и задач кредитной организации.

Одним из эффективных способов является интеграция системы управления рисками в систему управления жизненным циклом информационной системы.

Примечание. Ущерб от потери рабочего времени на разбор и чтение спама, по разным оценкам, составляет уже 50-200 долл. США в год в расчете на одного сотрудника, и эти цифры продолжают расти. Зафиксированный объем потерь от компьютерных преступлений, совершаемых хакерами, и кражи конфиденциальной информации сотрудниками компаний исчисляется уже сотнями миллиардов долларов.