Обеспечение экономической безопасности информационного обеспечения в процессе разработки и принятия УР в банковской сфере на примере «Р

Существует  довольно много различных алгоритмов криптографической защиты информации. Среди них можно назвать алгоритмы DES, Rainbow (США); FEAL-4 и FEAL-8 (Япония); В-Crypt (Великобритания); алгоритм шифрования по ГОСТ 28147 — 89 (Россия) и ряд других, реализованных зарубежными и отечественными поставщиками программных и аппаратных средств защиты.

В последнее  время все чаще возникает вопрос о замене в системах передачи и  обработки информации рукописной подписи, подтверждающей подлинность того или  иного документа, ее электронным  аналогом — электронной цифровой подписью (ЭЦП). Ею могут скрепляться  всевозможные электронные документы, начиная с различных сообщений  и кончая контрактами. ЭЦП может  применяться также для контроля доступа к особо важной информации. К ЭЦП предъявляются два основных требования: высокая сложность фальсификации  и легкость проверки.

Для реализации ЭЦП можно использовать как классические криптографические алгоритмы, так  и асимметричные, причем именно последние  обладают всеми свойствами, необходимыми для ЭЦП.

Однако ЭЦП  чрезвычайно подвержена действию обобщенного класса программ «троянский конь» с преднамеренно заложенными в них потенциально опасными последствиями, активизирующимися при определенных условиях. Например, в момент считывания файла, в котором находится подготовленный к подписи документ, эти программы могут изменить имя подписывающего лица, дату, какие-либо данные (например, сумму в платежных документах) и т.п.

Поэтому при  выборе системы ЭЦП предпочтение безусловно должно быть отдано ее аппаратной реализации, обеспечивающей надежную защиту информации от несанкционированного доступа, выработку криптографических ключей и ЭЦП.

Из изложенного  следует, что надежная криптографическая  система должна удовлетворять ряду определенных требований.

• Процедуры зашифровывания и расшифровывания должны быть «прозрачны» для пользователя.

• Дешифрование закрытой информации должно быть максимально затруднено.

• Содержание передаваемой информации не должно сказываться на эффективности криптографического алгоритма.

• Надежность криптозащиты не должна зависеть от содержания в секрете самого алгоритма шифрования (примерами этого являются как алгоритм DES, так и алгоритм ГОСТ 28147 — 89). [17]

Формирование  экономической информации должно происходить  с учетом обеспечения ее защиты и  безопасного хранения при ФОПУР. Мониторинг обеспечения безопасности экономической информации при ФОПУР в организации представляет собой постоянное наблюдение за событиями ИБ, сбор, анализ и обобщение результатов наблюдения.

Для сбора, обобщения, анализа и контроля за обращением внутренней информации необходимо регулярно предпринимать комплекс мер. В частности отслеживать утечки конфиденциальной информации через е-mail, ICQ, Skype, внешние устройства (USB/CD), документы отправляемые на печать и выявлять её появление на компьютерах пользователей.

Наибольшими возможностями для нанесения  ущерба организации обладает ее собственный  персонал. В этом случае содержанием  деятельности злоумышленника является нецелевое использование предоставленного контроля над информационными активами, а также сокрытие следов своей  деятельности. Внешний злоумышленник  скорее да, чем нет, может иметь  сообщника(ов) внутри организации. Электронная почта должна архивироваться. Архив должен быть доступен только подразделению (лицу) в организации, ответственному за обеспечение ИБ. Изменения в архиве не допускаются. Доступ к информации архива должен быть ограничен.

В этой связи  необходимо обеспечить  перехват трафика на уровне сетевых протоколов (POP3, SMPT, IMAP, MAPI), индексирование полученных  сообщений и осуществления полнотекстового поиска по письмам и вложенным файлам. Это позволяет отследить утечку конфиденциальной информации, создать почтовый архив всей e-mail переписки,  и даже при удалении письма из почтового клиента (по неосторожности или намеренно), вся информация, содержащаяся в нем,  все равно останется доступна для последующего  поиска.

Так же необходимо перехватывать трафик, передаваемый через браузер по HTTP протоколу. Необходима система отслеживания и перехвата сообщения, размещаемого в различных блогах, форумах, социальных сетях.

Важным моментом является перехват информации, записываемой на устройства через порты USB или, например, на CD/DVD диски. Таким образом предотвращается возможность утечки информации через сменные носители.

И наконец, важнейшим компонентом обеспечения комплексной системы безопасности экономической информации является контроль содержимого документов, отправленных на печать. Все данные необходимо перехватываются, содержимое файлов индексировать и хранить в базе заданный промежуток времени.

Отслеживая  документы, напечатанные на принтере, можно не только предотвращать попытки  хищения информации, но также оценить  целесообразность использования принтера каждым сотрудником.

Все рассмотренные средства защиты делятся на:

1. Формальные - выполняющие защитные функции строго по заранее предусмотренной процедуре и без непосредственного участия человека.
2. Неформальные - такие средства, которые либо определяются целенаправленной деятельностью людей, либо регламентируют эту деятельность.[10]

Защита АС, используемых при ФОПУР обеспечивается комплексом программно-технических средств и поддерживающих их организационных мер. Защита АС должна обеспечиваться на всех технологических этапах обработки информации и во всех режимах функционирования, в том числе при проведении ремонтных и регламентных работ.

Программно-технические средства защиты не должны существенно ухудшать основные функциональные характеристики АС (надежность, быстродействие, возможность  изменения конфигурации АС).

Неотъемлемой частью работ  по защите является оценка эффективности  средств защиты, осуществляемая по методике, учитывающей всю совокупность технических характеристик оцениваемого объекта, включая технические решения и практическую реализацию средств защиты.

Защита АС должна предусматривать  контроль эффективности средств  защиты от НСД. Этот контроль может  быть либо периодическим, либо инициироваться по мере необходимости пользователем  АС или контролирующими органами.

Концепция комплексной системы обеспечения экономической безопасности информации при ФОПУР ориентируется на физически защищенную среду, проникновение в которую посторонних лиц считается невозможным, поэтому нарушитель определяется как "субъект, имеющий доступ к работе с штатными средствами АС и СВТ как части АС.

Нарушители классифицируются по уровню возможностей, предоставляемых  им штатными средствами АС и СВТ. Выделяется четыре уровня этих возможностей.[3]

Классификация является иерархической, т.е. каждый следующий уровень включает в себя функциональные возможности  предыдущего.

Первый уровень определяет самый низкий уровень возможностей ведения диалога в АС - запуск задач (программ) из фиксированного набора, реализующих заранее предусмотренные функции по обработке информации.

Второй уровень определяется возможностью создания и запуска собственных программ с новыми функциями по обработке информации.

Третий уровень определяется возможностью управления функционированием АС, т.е. воздействием на базовое программное обеспечение системы и на состав и конфигурацию ее оборудования.

Четвертый уровень определяется всем объемом возможностей лиц, осуществляющих проектирование, реализацию и ремонт технических средств АС, вплоть до включения в состав СВТ собственных технических средств с новыми функциями по обработке информации.

В своем уровне нарушитель является специалистом высшей квалификации, знает все о АС и, в частности, о системе и средствах ее защиты.

В качестве главного средства защиты от НСД к информации в концепция комплексной системы обеспечения экономической безопасности информации при ФОПУР рассматривается система разграничения доступа (СРД) субъектов к объектам доступа. Основными функциями СРД являются:

- реализация правил разграничения  доступа (ПРД) субъектов и их  процессов к данным;

- реализация ПРД субъектов  и их процессов к устройствам  создания твердых копий;

- изоляция программ процесса, выполняемого в интересах субъекта, от других субъектов;

- управление потоками  данных с целью предотвращения  записи данных на носители  несоответствующего грифа;

- реализация правил обмена  данными между субъектами для АС и СВТ, построенных по сетевым принципам.

Кроме того, концепция комплексной системы обеспечения экономической безопасности информации при ФОПУР предусматривает наличие обеспечивающих средств для СРД, которые выполняют следующие функции:

- идентификацию и опознание  (аутентификацию) субъектов и поддержание  привязки субъекта к процессу, выполняемому для субъекта;

- регистрацию действий  субъекта и его процесса;

- предоставление возможностей  исключения и включения новых  субъектов и объектов доступа,  а также изменение полномочий  субъектов;

- реакцию на попытки  НСД, например, сигнализацию, блокировку, восстановление после НСД;

- тестирование;

- очистку оперативной  памяти и рабочих областей  на магнитных носителях после  завершения работы пользователя  с защищаемыми данными;

- учет выходных печатных  и графических форм и твердых  копий в АС;

- контроль  целостности программной и информационной  части как СРД, так и обеспечивающих  ее средств.[3]

Самые распространенные причины взлома корпоративной информационной системы  — это ошибки веб-приложений, небезопасные беспроводные сети, ошибки в настройках ПО и оборудования, программы, написанные аутсорсерами (которые могут не сообщать вам об уязвимостях в разработанных ими приложениях и даже не знать об их наличии), слабые пароли и социальная инженерия.

Для того чтобы эффективно защитить информационную систему компании от взлома, необходимо управлять уязвимостями и контролировать соответствие требованиям  стандартов.

Управление уязвимостями включает в себя инвентаризацию IT-активов, проверку информационной системы на наличие  уязвимостей, оценку ее защищенности, расстановку приоритетов (ранжирование уязвимостей по степени опасности), устранение найденных проблем и  проверку устранения. Этот циклический процесс необходимо производить систематически, в противном случае результат проверок не будет соответствовать реальному положению дел.

Рисунок 4. Управление уязвимостями [10]

В свою очередь, контроль соответствия стандартам позволяет обеспечить выполнение требований российских регуляторов, международных  отраслевых стандартов и внутрикорпоративных  регламентов, что на деле повышает защищенность информационной системы.

Однако, при организации защиты IT-инфраструктуры компании часто возникают сложности: информационные системы становятся все сложнее и разнороднее, а атаки на них — все более изощренными. При этом ошибки в конфигурации делают систему уязвимой.

Можно организовать управление уязвимостями вручную. Тогда для защиты каждого  сегмента IT-инфраструктуры (серверов, рабочих станций, периметра сети и т. п.) и каждой платформы придется нанимать узкопрофильных высокооплачиваемых специалистов. В связи с этим возникает фрагментарная отчетность, возрастают расходы на персонал и трудозатраты. Контроль соответствия стандартам при подобном подходе можно осуществлять лишь посредством полного аудита IT-активов.[11]

  

1.3 Роль, место и методология обеспечения экономической безопасности информационных процессов при разработке и принятии управленческого решения в деятельности коммерческого банка.

Прежде чем переходить к рассмотрению средств обеспечения экономической безопасности информационных процессов при разработке и принятии управленческого решения в деятельности коммерческого банка, рассмотрим самые распространенные угрозы, которым подвержены современные компьютерные системы. Знание возможных угроз, а также уязвимых мест защиты, которые эти угрозы обычно эксплуатируют, необходимо для того, чтобы выбирать наиболее экономичные средства обеспечения безопасности.

Само понятие "угроза" в разных ситуациях зачастую трактуется по-разному. Например, для подчеркнуто открытой организации может просто не существовать угроз конфиденциальности - вся информация считается общедоступной; однако в  большинстве случаев нелегальный  доступ считается серьезной опасностью. Здесь мы попытаемся встать на точку  зрения условно типичной организации.[5]

Самыми частыми и самыми опасными, с точки зрения размера ущерба, являются непреднамеренные ошибки пользователей, операторов, системных администраторов  и других лиц, обслуживающих информационные системы. Иногда такие ошибки являются угрозами: неправильно введенные  данные, ошибка в программе, а иногда они создают слабости, которыми могут  воспользоваться злоумышленники - таковы обычно ошибки администрирования. Согласно, 65% потерь - следствие непреднамеренных ошибок. Пожары и наводнения можно считать пустяками по сравнению с безграмотностью и расхлябанностью. Очевидно, самый радикальный способ борьбы с непреднамеренными ошибками - максимальная автоматизация и строгий контроль за правильностью совершаемых действий.

На втором месте по размерам ущерба располагаются кражи и подлоги. В большинстве расследованных случаев  виновниками оказывались штатные  сотрудники организаций, отлично знакомые с режимом работы и защитными  мерами. Это еще раз свидетельствует  о том, что внутренняя угроза гораздо  опаснее внешней.