Система защиты информации в интернете

  Наконец, грянула эпоха “информационной  супермагистрали”: взрывообразное развитие сети Internet и связанных с нею услуг. Вместе с новыми возможностями эта сеть принесла и новые опасности. Казалось бы, какая разница, каким образом клиент связывается с банком: по коммутируемой линии, приходящей на модемный пул банковского узла связи, или по IP-протоколу через Internet? Однако в первом случае максимально возможное количество подключений ограничивается техническими характеристиками модемного пула, во втором же—возможностями Internet, которые могут быть существенно выше.  Кроме того, сетевой адрес банка, в принципе, общедоступен, тогда как телефонные номера модемного пула могут сообщаться лишь заинтересованным лицам. Соответственно, открытость банка, чья информационная система связана с Internet, значительно выше, чем в первом случае. Так только за пять месяцев 1995 г. компьютерную сеть Citicorp взламывали 40 раз! (Это свидетельствует, впрочем, не столько о какой-то “опасности” Internet вообще, сколько о недостаточно квалифицированной работе администраторов безопасности Citicorp.) 

  Все это вызывает необходимость  пересмотра подходов к обеспечению  информационной безопасности банка. Подключаясь к Internet, следует заново провести анализ риска и составить план защиты информационной системы, а также конкретный план ликвидации последствий, возникающих в случае тех или иных нарушений конфиденциальности, сохранности и доступности информации. 

  На первый взгляд, для нашей  страны проблема информационной  безопасности банка не столь  остра: до Internet ли нам, если в большинстве банков стоят системы второго поколения, работающие в технологии “файл-сервер”. К сожалению, и у нас уже зарегистрированы “компьютерные кражи”. Положение осложняется двумя проблемами. Прежде всего, как показывает опыт общения с представителями банковских служб безопасности, и в руководстве, и среди персонала этих служб преобладают бывшие оперативные сотрудники органов внутренних дел или госбезопасности. Они обладают высокой квалификацией в своей области, но в большинстве своем слабо знакомы с информационными технологиями. Специалистов по информационной безопасности в нашей стране вообще крайне мало, потому что массовой эта профессия становится только сейчас.

Вторая проблема связана с тем, что в очень многих банках безопасность автоматизированной банковской системы не анализируется и не обеспечивается всерьез. Очень мало где имеется тот необходимый набор организационных документов (анализ риска, план защиты и план ликвидации последствий), о котором говорилось выше. Более того, безопасность информации сплошь и рядом просто не может быть обеспечена в рамках имеющейся в банке автоматизированной системы и принятых правил работы с ней. 

  Не так давно мне довелось  читать лекцию об основах информационной  безопасности на одном из семинаров  для руководителей управлений  автоматизации коммерческих банков. На вопрос: “Знаете ли вы, сколько  человек имеют право входить  в помещение, где находится сервер  базы данных Вашего банка?”, утвердительно  ответило не более 40% присутствующих.  Пофамильно назвать тех, кто имеет такое право, смогли лишь 20%. В остальных банках доступ в это помещение не ограничен и никак не контролируется. Что говорить о доступе к рабочим станциям! 

  Что касается автоматизированных  банковских систем, то наиболее  распространенные системы второго-третьего  поколений состоят из набора  автономных программных модулей, запускаемых из командной строки DOS на рабочих станциях. Оператор  имеет возможность в любой  момент выйти в DOS из такого  программного модуля. Предполагается, что это необходимо для перехода  в другой программный модуль, но фактически в такой системе  не существует никаких способов  не только исключить запуск  оператором любых других программ (от безобидной игры до программы, модифицирующей данные банковских  счетов), но и проконтролировать  действия оператора. Стоит заметить, что в ряде систем этих поколений, в том числе разработанных  весьма уважаемыми отечественными  фирмами и продаваемых сотнями, файлы счетов не шифруются, т.  е. с данными в них можно ознакомиться простейшими общедоступными средствами. Многие разработчики ограничивают средства администрирования безопасности штатными средствами сетевой операционной системы: вошел в сеть -- делай, что хочешь. 

  Положение меняется, но слишком  медленно. Даже во многих новых  разработках вопросам безопасности  уделяется явно недостаточное  внимание. На выставке “Банк и  Офис -- 95” была представлена автоматизированная  банковская система с архитектурой  клиент—сервер, причем рабочие станции  функционируют под Windows. В этой системе очень своеобразно решен вход оператора в программу: в диалоговом окне запрашивается пароль, а затем предъявляется на выбор список фамилий всех операторов, имеющих право работать с данным модулем!  Таких примеров можно привести еще много. 

  Тем не менее, наши банки уделяют  информационным технологиям много  внимания, и достаточно быстро  усваивают новое. Сеть Internet и финансовые продукты, связанные с ней, войдут в жизнь банков России быстрее, чем это предполагают скептики, поэтому уже сейчас необходимо озаботиться вопросами информационной безопасности на другом, более профессиональном уровне, чем это делалось до сих пор.

Некоторые рекомендации:

1. Необходим комплексный подход  к информационной безопасности.

Информационная безопасность должна рассматриваться как составная часть общей безопасности банка—причем как важная и неотъемлемая ее часть.  Разработка концепции информационной безопасности должна обязательно проходить при участии управления безопасности банка. В этой концепции следует предусматривать не только меры, связанные с информационными технологиями (криптозащиту, программные средства администрирования прав пользователей, их идентификации и аутентификации, “брандмауэры” для защиты входов—выходов сети и т. п.), но и меры административного и технического характера, включая жесткие процедуры контроля физического доступа к автоматизированной банковской системе, а также средства синхронизации и обмена данными между модулем администрирования безопасности банковской системы и системой охраны.

2. Необходимо участие сотрудников  управления безопасности на этапе  выбора—приобретения—разработки  автоматизированной банковской  системы. Это участие не должно  сводиться к проверке фирмы-поставщика. Управление безопасности должно  контролировать наличие надлежащих  средств разграничения доступа  к информации в приобретаемой  системе. 

  К сожалению, ныне действующие  системы сертификации в области  банковских систем скорее вводят  в заблуждение, чем помогают выбрать  средства защиты информации. Сертифицировать  использование таких средств  имеет право ФАПСИ, однако правом  своим этот орган пользуется  весьма своеобразно. Так, один высокопоставленный  сотрудник ЦБ РФ (попросивший  не называть его имени) рассказал, что ЦБ потратил довольно много  времени и денег на получение  сертификата на одно из средств криптозащиты информации (кстати, разработанное одной из организаций, входящих в ФАПСИ). Почти сразу же после получения сертификата он был отозван: ЦБ было предложено вновь пройти сертификацию уже с новым средством криптозащиты—разработанным той же организацией из ФАПСИ. 

  Возникает вопрос, а что же  на самом деле подтверждает  сертификат? Если, как предполагает  наивный пользователь, он подтверждает  пригодность средства криптозащиты  выполнению этой функции, то отзыв  сертификата говорит о том, что при первоначальном сертифицировании ФАПСИ что-то упустило, а затем обнаружило дефект. Следовательно, данный продукт не обеспечивает криптозащиты и не обеспечивал ее с самого начала. 

  Если же, как предполагают пользователи  более искушенные, ФАПСИ отозвало  сертификат не из-за огрехов  в первом продукте, то значение  сертификации этим агентством  чего бы то ни было сводится к нулю. Действительно, раз “некие” коммерческие соображения преобладают над объективной оценкой продукта, то кто может гарантировать, что в первый раз сертификат был выдан благодаря высокому качеству продукта, а не по тем же “неким” соображениям? 

  Отсюда следует третья практическая  рекомендация: относиться сугубо  осторожно к любым сертификатам  и отдавать предпочтение тем  продуктам, надежность которых подтверждена  успешным использованием в мировой  финансовой практике. Безопасность  в сети Internet

1.2 Средства защиты информации 

  Сейчас вряд ли кому-то надо  доказывать, что при подключении  к Internet Вы подвергаете риску безопасность Вашей локальной сети и конфиденциальность содержащейся в ней информации. По данным CERT Coordination Center в 1995 году было зарегистрировано 2421 инцидентов - взломов локальных сетей и серверов. По результатам опроса, проведенного Computer Security Institute (CSI) среди 500 наиболее крупных организаций, компаний и университетов с 1991 число незаконных вторжений возросло на 48.9 %, а потери, вызванные этими атаками, оцениваются в 66 млн. долларов США. 

  Одним из наиболее распространенных  механизмов защиты от интернетовских  бандитов - “хакеров” является применение  межсетевых экранов -брэндмауэров (firewalls). 

  Стоит отметить, что в следствии непрофессионализма администраторов и недостатков некоторых типов брэндмауэров порядка 30% взломов совершается после установки защитных систем. 

  Не следует думать, что все  изложенное выше - “заморские диковины”.  Всем, кто еще не уверен, что Россия уверенно догоняет другие страны по числу взломов серверов и локальных сетей и принесенному ими ущербу, следует познакомиться с тематической подборкой материалов российской прессы и материалами Hack Zone (Zhurnal.Ru). 

  Не смотря на кажущийся правовой  хаос в расматриваемой области, любая деятельность по разработке, продаже и использованию средств защиты информации регулируется множеством законодательных и нормативных документов, а все используемые системы подлежат обязательной сертификации Государственой Технической Комисией при президенте России.

1.3 Информационная безопасность в Intranet 

  Архитектура Intranet подразумевает подключение к внешним открытым сетям, использование внешних сервисов и предоставление собственных сервисов вовне, что предъявляет повышенные требования к защите информации. 

  В Intranet-системах используется подход клиент-сервер, а главная роль на сегодняшний день отводится Web-сервису. Web-серверы должны поддерживать традиционные защитные средства, такие как аутентификация и разграничение доступа; кроме того, необходимо обеспечение новых свойств, в особенности безопасности программной среды и на серверной, и на клиентской сторонах. 

  Таковы, если говорить совсем  кратко, задачи в области информационной  безопасности, возникающие в связи  с переходом на технологию  Intranet. Далее мы рассмотрим возможные подходы к их решению.

Формирование режима информационной безопасности - проблема комплексная.

Меры по ее решению можно разделить на четыре уровня:

•  законодательный (законы, нормативные акты, стандарты и т.п.);

•  административный (действия общего характера, предпринимаемые руководством организации);

•  процедурный (конкретные меры безопасности, имеющие дело с людьми);

•  программно-технический (конкретные технические меры).

В таком порядке и будет построено последующее изложение.

ЗАКОНОДАТЕЛЬНЫЙ УРОВЕНЬ 

  В настоящее время наиболее  подробным законодательным документом  в области информационной безопасности  является Уголовный кодекс, точнее  говоря, его новая редакция, вступившая  в силу в мае 1996 года. 

  В разделе IX (“Преступления против  общественной безопасности”) имеется  глава 28 - “Преступления в сфере  компьютерной информации”. Она содержит  три статьи - 272 (“Неправомерный доступ  к компьютерной информации”), 273 (“Создание, использование и распространение  вредоносных программ для ЭВМ”) и 274 - “Нарушение правил эксплуатации  ЭВМ, системы ЭВМ или их сети”.

Уголовный кодекс стоит на страже всех аспектов информационной безопасности

- доступности, целостности, конфиденциальности, предусматривая наказания за

“уничтожение, блокирование, модификацию и копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети”. 

  Весьма энергичную работу в  области современных информационных  технологий проводит Государственная  техническая комиссия (Гостехкомиссия) при Президенте Российской Федерации. В рамках серии руководящих документов (РД) Гостехкомиссии подготовлен проект РД, устанавливающий классификацию межсетевых экранов (firewalls, или брандмауэров) по уровню обеспечения защищенности от несанкционированного доступа (НСД). Это принципиально важный документ, позволяющий упорядочить использование защитных средств, необходимых для реализации технологии Intranet.

РАЗРАБОТКА СЕТЕВЫХ АСПЕКТОВ ПОЛИТИКИ БЕЗОПАСНОСТИ 

  Политика безопасности определяется  как совокупность документированных

управленческих решений, направленных на защиту информации и ассоциированных с ней ресурсов.

При разработке и проведении ее в жизнь целесообразно руководствоваться следующими принципами:

•  невозможность миновать защитные средства;

•  усиление самого слабого звена;

•  невозможность перехода в небезопасное состояние;

•  минимизация привилегий;

•  разделение обязанностей;

•  эшелонированность обороны;

•  разнообразие защитных средств;

•  простота и управляемость информационной системы;