Создание политики безопасности

В любой информационной системе, с точки зрения защиты информации, можно выделить таких участников информационного обмена: отправитель информации; получатель информации; злоумышленник; арбитр.

При осуществлении финансовых операций все четыре стороны надо считать не доверяют друг другу. Итак, модели угроз для информационных систем должны строиться на основе взаимного недоверия.

Политика безопасности может быть определена как набор законов, правил и практических рекомендаций, на базе которых осуществляется управление, защиту и распределение критической информации в системе.

Политика безопасности должна охватывать все этапы обработки информации, определять поведение системы в различных ситуациях. Поэтому, приступая к разработке политики безопасности системы, следует рассмотреть основные принципы, которых нужно соблюдать при создании системы защиты, оценить риски, которые могут возникать в случае осуществления угроз вследствие нарушений в системе безопасности со стороны различных элементов платежной системы и обслуживающего персонала.

Разрабатывая политику безопасности банковских электронных систем, надо учитывать их специфику по сравнению с другими информационными системами. Особенности банковской информационной системы обусловлены спецификой тех задач, которые выполняют с ее помощью, а именно:

• вся информация, которая обрабатывается, накапливается и хранится в системе, является конфиденциальной, поэтому значительное внимание приходится уделять криптографической защиты с помощью шифрования, распределения доступа и аутентификации в сети, защиты мест подключения к сетям связи и тому подобное;

• информация, которая циркулирует в банковской системе, не может быть потеряна, дублированная или модифицирована. В связи с этим ужесточаются требования к надежности аппаратного и программного обеспечения, оперативного и полного (по возможностям) восстановление информации после аварий и сбоев в работе;

• обработка каждого запроса не требует значительных ресурсов системы, но поскольку поток таких запросов к системе является значительным и большим, то производительность системы должна быть большой и постоянной.

Учитывая специфику банковской информации для систем интерактивного банковского обслуживания клиентов можно определить следующие основные принципы создания системы защиты:

• конфиденциальность, то есть гарантия, что информация дается только авторизованным пользователям;

• целостность, то есть гарантия, что информация не может быть несанкционированно изменена;

• доступность и непрерывность работы системы, то есть гарантия, что достоверная информация будет доступна, когда это нужно.

По идентификации основных типов угроз, наиболее уязвимых мест системы, где они могут возникать, можно выделить основные типы угроз для банковских оn-line-систем:

• неавторизованное проникновение в систему, несанкционированная модификация или уничтожение информации;

• непреднамеренная модификация или уничтожение информации;

• недоставка или ложная доставка информации;

• задержка или ухудшение обслуживания.

Угроза несанкционированного проникновения в систему охватывает все типы несанкционированного доступа, в том числе следующие: фальсификация санкции на доступ, неправомерное использование паролей, попытки работать от имени другого лица, несанкционированное использование носителей данных, перехват сообщений в каналах связи, вирусные атаки и т. Угроза непреднамеренной модификации возникает вследствие ошибок в программном обеспечении, аппаратных сбоев, ошибок персонала и пользователей и т. Д. Задержка или ухудшение обслуживания могут привести к потере средств вследствие штрафных санкций и, что самое важное, к потере доверия к банковской системе.

 
< Пред   СОДЕРЖАНИЕ   След >