ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ ЭЛЕКТРОННЫХ БАНКОВСКИХ УСЛУГ

Концептуальные основы создания системы информационной безопасности

Развитие тенденций распределенной обработки данных на базе современных автоматизированных технологий, постоянный рост пользователей Internet сопровождаются возникновением новых или видоизменением старых проблем, являются отрицательными спутниками технического прогресса.

Сейчас состояние защиты информационных ресурсов и систем вызывает озабоченность во всем мире. Западные специалисты и эксперты констатируют крайне тяжелое состояние информационной безопасности в финансовых структурах, их неспособность противостоять возможным атакам на информационные системы. По оценке Комитета ООН по предупреждению преступности и борьбы с ней, компьютерная преступность вышла на уровень одной из главных международных проблем. В США этот вид преступной деятельности по прибыльности занимает третье место после торговли оружием и наркотиками.

Фактов относительно угроз вывести из строя компьютерные системы - множество, кражи интеллектуальной собственности в Internet приобретают все больших объемов, но мало финансовое учреждение решится их разглашать, поскольку это снижает уровень доверия к ним. Даже в странах с наиболее развитым электронным бизнесом сделки или стоимость товаров обычно ограничиваются небольшими суммами в пределах 300-400 долларов. Это вызвано, прежде всего, недостаточным решением проблем информационной безопасности в сетях ЭВМ.

Поэтому вопросы защиты банковских электронных оn-line-систем является важнейшим при их организации. Защита информации в оn-line-системах должен быть достаточно надежным, одновременно расходы на организацию защиты не должны превышать убытки, которые могут возникать от нарушения системы защиты за все время эксплуатации системы. Кроме того, любые элементы системы защиты не имеют снижать надежность работы системы и отвлекать значительные ее ресурсы. "

Надлежащий уровень информационной безопасности любой компьютерной системы исключает финансовые потери и обеспечивает получение прибыли собственником и пользователями инструментария в условиях реальных рисков. Это особенно актуально для открытых систем общего пользования, обрабатывающих закрытую информацию ограниченного доступа. Термин "открытый" означает, что все устройства и процессы системы (вычислительной сети) взаимодействуют в соответствии с определенным набором стандартов и поэтому открыты для взаимодействия с другими системами (вычислительными сетями). Такой подход связан с необходимостью привлекать в единую систему большое количество технических средств и программ, используемых в вычислительных системах или сетях. Термин "открытость" означает также, что вычислительная система, которая соответствует определенным стандартам, будет открыта для взаимосвязи с любой другой системой, отвечает тем же стандартам. Это, в частности, касается и механизмов криптографической защиты информации или защиты от несанкционированного доступа (НСД) к информации.

Разработка системы защиты электронных банковских услуг предполагает создание модели возможных угроз и выбор эффективных способов защиты, который должен быть неотъемлемой частью оn-line-системы и осуществляться на всех этапах функционирования.

Основные понятия информационной безопасности

Развитие информационно-телекоммуникационных систем различного назначения, в частности глобальной сети Internet, и потребность обмена конфиденциальной информацией между организациями определили направление работы мирового сообщества по систематизации и упорядочению основных требований и характеристик таких систем по информационной безопасности.

Под безопасностью информации будем понимать состояние устойчивости информации в случайных или умышленных действий, что исключает недопустимые риски ее уничтожения, искажения и раскрытия, которые приводят к материальному ущербу владельца или пользователя информации.

Под безопасностью on-line-систем будем понимать защиту от несанкционированного доступа к информации, несанкционированных изменений информации, несанкционированных операций с функциями систем.

Итак, по информационным системам термин "безопасность" означает возможность противостоять попыткам наносить ущерб владельцам или пользователям системы от различных воздействий на нее (умышленных или неумышленных). Это - устойчивость системы к ошибкам при передаче данных и к технических неполадок, защита программ, файлов, аппаратных средств от подделки и злоупотреблений, связанных с несанкционированным доступом.

Согласно определению, безопасность информационных систем может быть достигнута с помощью соблюдения конфиденциальности информации, которую обрабатывает система, целостности компонентов и ресурсов системы и информации, обрабатываемой, накапливается и сохраняется, доступности компонентов и ресурсов системы.

Конфиденциальность информации - это свойство информации быть доступной только тем субъектам системы (пользователям, программистам, процессам и т.п.), которые выдержали проверку и были допущены к этой информации (были авторизованы).

Целостность компонентов и ресурсов системы - это свойство компонентов системы быть неизменными в течение функционирования системы. Изменения информации, которую обрабатывает система, должны осуществлять только авторизованные пользователи или процессы системы.

Доступность компонентов (ресурсов) системы - это свойство компонентов (ресурсов) системы быть доступными для использования только авторизованными субъектами системы в любое время.

Безопасность системы состоит из внешней и внутренней безопасности.

Внешняя безопасность предполагает защиту системы от проникновения злоумышленников и извне с целью похищения, получения доступа к информации или вывода системы из строя; защита от потери или модификации системой информации в случае стихийных бедствий (пожаров, землетрясений и т.д.).

Внутренняя безопасность - обеспечение надежной и корректной работы, целостности информации и компонентов (ресурсов) системы, требует создания надежных и удобных механизмов регламентации деятельности всех пользователей и обслуживающего персонала, поддержание дисциплины доступа к ресурсам системы.

Есть два подхода к обеспечению безопасности информационных систем: фрагментарный и комплексный.

Фрагментарный подход ориентирован на противодействие четко определенным угрозам при определенных условиях использования системы. Этот подход обеспечивает прочную защиту от конкретной угрозы, но при этом характерный локальностью действия и отсутствием единого защищенного среды для обработки информации. Поэтому такой подход неприемлем для защиты многих электронных систем, в частности систем предоставления банковских услуг.

Для создания защиты банковских оn-line-систем нужно использовать комплексный подход, а именно: создание защищенной среды для обработки информации в системе, которое объединяет различные (правовые, организационные, программно-технические) средства для противодействия любым угрозам.

 
< Пред   СОДЕРЖАНИЕ   След >