3.1. Угрозы безопасности

В последние годы внедрение систем электронной обработки и

передачи информации приобрело всеобъемлющий характер, охватив все

сферы банковской деятельности.

Наряду с интенсивным развитием вычислительных систем и средств

передачи данных все более актуальной становится проблема

обеспечения безопасности банковских информационных систем и

защиты финансовой информации. При разработке современных

банковских систем все большее внимание уделяется обеспечению

безопасности информации. Меры безопасности направляются на

предотвращение незаконного использования информации, физического

уничтожения или модификации информации.

Однако параллельно с совершенствованием средств защиты

информации совершенствуются и средства преодоления защиты, что

поставило вопрос о разработке не просто частных механизмов защиты, а

организации комплекса мер с использованием специальных средств,

методов и мероприятий с целью предотвращения потери информации.

Информация, хранящаяся в БИС, затрагивает интересы большого

количества людей и организаций, поскольку эта информация

представляет собой реальные деньги (остатка на счетах). На основании

этой информации могут производиться платежи, начисляться проценты

и выдаваться кредиты. Любое манипулирование этой информацией

может привести к серьезным убыткам.

Проблемы безопасности усложняются в связи с развитием и

распространением компьютерных сетей. Распределенные системы и

системы удаленного доступа выдвинули на первый план вопрос защиты

обрабатываемой и передаваемой информации.

Можно выделить несколько особенностей современных БИС,

которые отрицательно влияют на информационную безопасность:

• Их реализация на принципах открытой архитектуры, в которых

самыми уязвимыми местами являются связи между элементами

(АРМами, подсистемами БИС). Модель информационного

взаимодействия ISO предусматривает наличие систем безопасности

только на соответствующих уровнях, но не в рамках интерфейсов между

нами;

• Реализация без учета возможного использования в корпоративной

сети (взаимодействия удаленных объектов БИС через коммутируемые

линии), что приводит к большим дополнительным затратам;

• Неэффективность парольной защиты вне зависимости от

используемых средств криптозащиты и алгоритмов аутентификации;

• Возможность реализации средствами СУБД бизнес - логики, что

создает канал опосредованного воздействия на Базу Данных. Проблема

усугубляется тем, что эти процедуры зачастую хранятся не в виде

бинарных кодов, которые можно было бы охватить средствами контроля

целостности, а вместе с данными, и специальные механизмы их

выделения отсутствуют;

• БИС является прикладной программой и работает под

управлением ОС со всеми их особенностями и недостатками.

Оценки потерь от преступлений, связанных с вмешательством в

БИС различны. По данным из разных источников ущерб за 1998 год

составляет от 170 млн. до 40 млрд. долларов США. Причем в 99%

случаев к крупным финансовым потерям приводит систематическое

пренебрежение мерами безопасности.

Целью любых мероприятий по обеспечению безопасности БИС

является защита владельцев и законных пользователей от нанесения им

материального и морального ущерба в результате случайных или

преднамеренных воздействий на систему.

Банковская тайна.

Прежде чем говорить о методах и средствах, обеспечивающих

защищенность информации, необходимо определить какую же

информацию необходимо защищать.

В банке подлежит защите информация, составляющая его

коммерческую и банковскую тайну.

К понятию коммерческая тайна относится любая

конфиденциальная, управленческая, научно-техническая, деловая и

другая информация, представляющая ценность для банка и достижении

преимуществ над конкурентами и извлечение прибыли.

Термин банковская тайна традиционно толкуется в двух основных

значениях:

Во-первых, под банковской тайной в широком смысле понимается

разновидность коммерческой тайны - то есть конфиденциальные

сведения, принадлежащие банку. Все что касается коммерческой тайны

применимо к банковской тайне в этом смысле.

Во-вторых, под банковской тайной в узком смысле понимают

обязанность кредитного учреждения сохранять тайну по операциям

клиентов, ограждение банковских операций от ознакомления с ними

посторонних лиц, прежде всего конкурентов того или иного клиента,

тайну по операциям, счетам или вкладам своих клиентов и

корреспондентов.

Понятие «банковская тайна» введено законом Российской

Федерации от 02.12.90 г. «О банках и банковской деятельности»

Вот далеко не полный перечень данных, составляющих банковскую

тайну:

• Движение и остатки средств на счетах клиентов;

• Объемы и структура предоставленных и полученных кредитов и

депозитов;

• Данные о клиентах, акционерах и сотрудниках банка;

• Объемы инвестиций в ценные бумаги;

• Подробные балансы и бухгалтерская отчетность;

• Сведения о размерах заработной платы и социальных выплатах;

• Перечень сведений относящихся коммерческую тайну и ноу-хау;

• Конкретные документы, другие носители информации,

конкретные объемы устной информации.

В последние годы внедрение систем электронной обработки и

передачи информации приобрело всеобъемлющий характер, охватив все

сферы банковской деятельности.

Наряду с интенсивным развитием вычислительных систем и средств

передачи данных все более актуальной становится проблема

обеспечения безопасности банковских информационных систем и

защиты финансовой информации. При разработке современных

банковских систем все большее внимание уделяется обеспечению

безопасности информации. Меры безопасности направляются на

предотвращение незаконного использования информации, физического

уничтожения или модификации информации.

Однако параллельно с совершенствованием средств защиты

информации совершенствуются и средства преодоления защиты, что

поставило вопрос о разработке не просто частных механизмов защиты, а

организации комплекса мер с использованием специальных средств,

методов и мероприятий с целью предотвращения потери информации.

Информация, хранящаяся в БИС, затрагивает интересы большого

количества людей и организаций, поскольку эта информация

представляет собой реальные деньги (остатка на счетах). На основании

этой информации могут производиться платежи, начисляться проценты

и выдаваться кредиты. Любое манипулирование этой информацией

может привести к серьезным убыткам.

Проблемы безопасности усложняются в связи с развитием и

распространением компьютерных сетей. Распределенные системы и

системы удаленного доступа выдвинули на первый план вопрос защиты

обрабатываемой и передаваемой информации.

Можно выделить несколько особенностей современных БИС,

которые отрицательно влияют на информационную безопасность:

• Их реализация на принципах открытой архитектуры, в которых

самыми уязвимыми местами являются связи между элементами

(АРМами, подсистемами БИС). Модель информационного

взаимодействия ISO предусматривает наличие систем безопасности

только на соответствующих уровнях, но не в рамках интерфейсов между

нами;

• Реализация без учета возможного использования в корпоративной

сети (взаимодействия удаленных объектов БИС через коммутируемые

линии), что приводит к большим дополнительным затратам;

• Неэффективность парольной защиты вне зависимости от

используемых средств криптозащиты и алгоритмов аутентификации;

• Возможность реализации средствами СУБД бизнес - логики, что

создает канал опосредованного воздействия на Базу Данных. Проблема

усугубляется тем, что эти процедуры зачастую хранятся не в виде

бинарных кодов, которые можно было бы охватить средствами контроля

целостности, а вместе с данными, и специальные механизмы их

выделения отсутствуют;

• БИС является прикладной программой и работает под

управлением ОС со всеми их особенностями и недостатками.

Оценки потерь от преступлений, связанных с вмешательством в

БИС различны. По данным из разных источников ущерб за 1998 год

составляет от 170 млн. до 40 млрд. долларов США. Причем в 99%

случаев к крупным финансовым потерям приводит систематическое

пренебрежение мерами безопасности.

Целью любых мероприятий по обеспечению безопасности БИС

является защита владельцев и законных пользователей от нанесения им

материального и морального ущерба в результате случайных или

преднамеренных воздействий на систему.

Банковская тайна.

Прежде чем говорить о методах и средствах, обеспечивающих

защищенность информации, необходимо определить какую же

информацию необходимо защищать.

В банке подлежит защите информация, составляющая его

коммерческую и банковскую тайну.

К понятию коммерческая тайна относится любая

конфиденциальная, управленческая, научно-техническая, деловая и

другая информация, представляющая ценность для банка и достижении

преимуществ над конкурентами и извлечение прибыли.

Термин банковская тайна традиционно толкуется в двух основных

значениях:

Во-первых, под банковской тайной в широком смысле понимается

разновидность коммерческой тайны - то есть конфиденциальные

сведения, принадлежащие банку. Все что касается коммерческой тайны

применимо к банковской тайне в этом смысле.

Во-вторых, под банковской тайной в узком смысле понимают

обязанность кредитного учреждения сохранять тайну по операциям

клиентов, ограждение банковских операций от ознакомления с ними

посторонних лиц, прежде всего конкурентов того или иного клиента,

тайну по операциям, счетам или вкладам своих клиентов и

корреспондентов.

Понятие «банковская тайна» введено законом Российской

Федерации от 02.12.90 г. «О банках и банковской деятельности»

Вот далеко не полный перечень данных, составляющих банковскую

тайну:

• Движение и остатки средств на счетах клиентов;

• Объемы и структура предоставленных и полученных кредитов и

депозитов;

• Данные о клиентах, акционерах и сотрудниках банка;

• Объемы инвестиций в ценные бумаги;

• Подробные балансы и бухгалтерская отчетность;

• Сведения о размерах заработной платы и социальных выплатах;

• Перечень сведений относящихся коммерческую тайну и ноу-хау;

• Конкретные документы, другие носители информации,

конкретные объемы устной информации.