| Назва: | Інформаційна безпека й інформаційні технології |
| Тип: | Реферати |
| Мова: | Українська |
| Розмiр: | 8,6 KB |
| Скачувань: | 57 |
Друга проблема зв'язана з тим, що в дуже багатьох банках безпека автоматизованої банківської системи не аналізується і не забезпечується всерйоз. Дуже мало де мається той необхідний набір організаційних документів (аналіз ризику, план захисту і план ліквідації наслідків), про яке говорилося вище. Більш того, безпека інформації суцільно і поруч просто не може бути забезпечена в рамках наявної в банку автоматизованої системи і прийнятих правил роботи з нею.
Не дуже давно читаючи лекцію про основи інформаційної безпеки на одному із семінарів для керівників керувань автоматизації комерційних банків. На питання: “чи знаєте ви, скільки чоловік мають право входити в приміщення, де знаходиться сервер бази даних Вашого банку?”, ствердно відповіло не більш 40% присутніх. Поіменно назвати тих, хто має таке право, змогли лише 20%. В інших банках доступ у це приміщення не обмежений і ніяк не контролюється. Що говорити про доступ до робочих станцій!
Що стосується автоматизованих банківських систем, те найбільш розповсюджені системи третіх-третьої-другого-третього поколінь складаються з набору автономних програмних модулів, що запускаються з командного рядка DOS на робочих станціях. Оператор має можливість у будь-який момент вийти в DOS з такого програмного модуля. Передбачається, що це необхідно для переходу в інший програмний модуль, але фактично в такій системі не існує ніяких способів не тільки виключити запуск оператором будь-яких інших програм (від необразливої гри до програми, що модифікує дані банківських рахунків), але і проконтролювати дії оператора. Варто помітити, що в ряді систем цих поколінь, у тому числі розроблених дуже шановними вітчизняними фірмами і продаваних сотнями, файли рахунків не шифруються, тобто з даними в них можна ознайомитися найпростішими загальнодоступними засобами. Багато розроблювачів обмежують засоби адміністрування безпеки штатними засобами мережної операційної системи: ввійшов у мережу -і роби, що хочеш.
Положення міняється, але занадто повільно. Навіть у багатьох нових розробках питанням безпеки приділяється явно недостатня увага. На виставці “Банк і Офіс -і 95” була представлена автоматизована банківська система з архітектурою сервер-клієнт-сервер, причому робочі станції функціонують під Windows. У цій системі дуже своєрідно вирішений вхід оператора в програму: у діалоговому вікні запитується пароль, а потім пред'являється на вибір список прізвищ всіх операторів, що мають право працювати з даним модулем! Таких прикладів можна привести ще багато.
Проте, наші банки приділяють інформаційним технологіям багато уваги, і досить швидко засвоюють нове. Мережа Internet і фінансові продукти, зв'язані з нею, ввійдуть у життя банків Росії швидше, ніж це припускають скептики, тому вже зараз необхідно затурбуватися питаннями інформаційної безпеки на іншому, більш професійному рівні, чим це робилося дотепер.
Деякі рекомендації:
1. Необхідний комплексний підхід до інформаційної безпеки.
Інформаційна безпека повинна розглядатися як складова частина загальної безпеки причому як важлива і невід'ємна її частина. Розробка концепції інформаційної безпеки повинна обов'язково проходити при участі керування безпеки банку. У цій концепції варто передбачати не тільки міри, зв'язані з інформаційними технологіями (криптозахисту, програмні засоби адміністрування прав користувачів, їхньої ідентифікації й аутентифиіації, “брандмауери” для захисту входів-виходів мережі і т.п.), але і міри адміністративного і технічного характеру, включаючи тверді процедури контролю фізичного доступу до автоматизованої банківської системи, а також засобу синхронізації й обміну даними між модулем адміністрування безпеки банківської системи і системою охорони.
2. Необхідна участь співробітників керування безпеки на етапі вибору-придбання-розробки автоматизованої банківської системи. Це участь не повинна зводитися до перевірки фірми-постачальника. Керування безпеки повинне контролювати наявність належних засобів розмежування доступу до інформації в системі, що здобувається.
На жаль, нині діючі системи сертифікації в області банківських систем скоріше вводять в оману, чим допомагають вибрати засобу захисту інформації. Сертифікувати використання таких засобів має право ФАПСИ, однак правом своїм цей орган користається дуже своєрідно. Так, один високопоставлений співробітник ЦБ РФ розповів, що ЦБ витратив досить багато часу і грошей на одержання сертифіката на один із засобів криптозахисту інформації (до речі, розроблене однієї з організацій, що входять у ФАПСИ). Майже відразу ж після одержання сертифіката він був відкликаний: ЦБ було запропоновано знову пройти сертифікацію вже з новим засобом криптозахисту розробленим тією же організацією з ФАПСИ.
Не дуже давно читаючи лекцію про основи інформаційної безпеки на одному із семінарів для керівників керувань автоматизації комерційних банків. На питання: “чи знаєте ви, скільки чоловік мають право входити в приміщення, де знаходиться сервер бази даних Вашого банку?”, ствердно відповіло не більш 40% присутніх. Поіменно назвати тих, хто має таке право, змогли лише 20%. В інших банках доступ у це приміщення не обмежений і ніяк не контролюється. Що говорити про доступ до робочих станцій!
Що стосується автоматизованих банківських систем, те найбільш розповсюджені системи третіх-третьої-другого-третього поколінь складаються з набору автономних програмних модулів, що запускаються з командного рядка DOS на робочих станціях. Оператор має можливість у будь-який момент вийти в DOS з такого програмного модуля. Передбачається, що це необхідно для переходу в інший програмний модуль, але фактично в такій системі не існує ніяких способів не тільки виключити запуск оператором будь-яких інших програм (від необразливої гри до програми, що модифікує дані банківських рахунків), але і проконтролювати дії оператора. Варто помітити, що в ряді систем цих поколінь, у тому числі розроблених дуже шановними вітчизняними фірмами і продаваних сотнями, файли рахунків не шифруються, тобто з даними в них можна ознайомитися найпростішими загальнодоступними засобами. Багато розроблювачів обмежують засоби адміністрування безпеки штатними засобами мережної операційної системи: ввійшов у мережу -і роби, що хочеш.
Положення міняється, але занадто повільно. Навіть у багатьох нових розробках питанням безпеки приділяється явно недостатня увага. На виставці “Банк і Офіс -і 95” була представлена автоматизована банківська система з архітектурою сервер-клієнт-сервер, причому робочі станції функціонують під Windows. У цій системі дуже своєрідно вирішений вхід оператора в програму: у діалоговому вікні запитується пароль, а потім пред'являється на вибір список прізвищ всіх операторів, що мають право працювати з даним модулем! Таких прикладів можна привести ще багато.
Проте, наші банки приділяють інформаційним технологіям багато уваги, і досить швидко засвоюють нове. Мережа Internet і фінансові продукти, зв'язані з нею, ввійдуть у життя банків Росії швидше, ніж це припускають скептики, тому вже зараз необхідно затурбуватися питаннями інформаційної безпеки на іншому, більш професійному рівні, чим це робилося дотепер.
Деякі рекомендації:
1. Необхідний комплексний підхід до інформаційної безпеки.
Інформаційна безпека повинна розглядатися як складова частина загальної безпеки причому як важлива і невід'ємна її частина. Розробка концепції інформаційної безпеки повинна обов'язково проходити при участі керування безпеки банку. У цій концепції варто передбачати не тільки міри, зв'язані з інформаційними технологіями (криптозахисту, програмні засоби адміністрування прав користувачів, їхньої ідентифікації й аутентифиіації, “брандмауери” для захисту входів-виходів мережі і т.п.), але і міри адміністративного і технічного характеру, включаючи тверді процедури контролю фізичного доступу до автоматизованої банківської системи, а також засобу синхронізації й обміну даними між модулем адміністрування безпеки банківської системи і системою охорони.
2. Необхідна участь співробітників керування безпеки на етапі вибору-придбання-розробки автоматизованої банківської системи. Це участь не повинна зводитися до перевірки фірми-постачальника. Керування безпеки повинне контролювати наявність належних засобів розмежування доступу до інформації в системі, що здобувається.
На жаль, нині діючі системи сертифікації в області банківських систем скоріше вводять в оману, чим допомагають вибрати засобу захисту інформації. Сертифікувати використання таких засобів має право ФАПСИ, однак правом своїм цей орган користається дуже своєрідно. Так, один високопоставлений співробітник ЦБ РФ розповів, що ЦБ витратив досить багато часу і грошей на одержання сертифіката на один із засобів криптозахисту інформації (до речі, розроблене однієї з організацій, що входять у ФАПСИ). Майже відразу ж після одержання сертифіката він був відкликаний: ЦБ було запропоновано знову пройти сертифікацію вже з новим засобом криптозахисту розробленим тією же організацією з ФАПСИ.
Новости загрузка новостей...