Створення політики безпеки

Розвиток тенденцій розподіленої обробки даних на базі сучасних автоматизованих технологій, невпинне зростання користувачів Internet супроводжуються виникненням нових чи видозміною старих проблем, що є негативними супутниками технічного прогресу.

Нині стан захисту національних інформаційних ресурсів та систем викликає занепокоєність у всьому світі. Західні фахівці та експерти констатують украй важкий стан інформаційної безпеки у фінансових структурах, їхню неспроможність протистояти можливим атакам на інформаційні системи. За оцінкою Комітету ООН із запобігання злочинності і боротьби з нею, комп’ютерна злочинність вийшла на рівень однієї з головних міжнародних проблем. У США цей вид злочинної діяльності за прибутковістю займає третє місце після торгівлі зброєю і наркотиками.

Тому питання захисту банківських електронних оn-line-систем е найважливішим при їх організації. Захист інформації в оn-line — системах має бути досить надійним, водночас витрати на організацію захисту не мають перевищувати збитки, які можуть виникати від порушення системи захисту за весь час експлуатації системи. Крім того, будь-які елементи системи захисту не мають знижувати надійність роботи системи і відволікати значні її ресурси. «.

Належний рівень інформаційної безпеки будь-якої інформаційної комп’ютерної системи виключає фінансові втрати і забезпечує одержання прибутку власником і користувачами інструментарію в умовах реальних ризиків. Це особливо актуально для відкритих систем загального користування, що обробляють закриту інформацію обмеженого доступу. Термін «відкритий» означає, що всі пристрої і процеси системи (обчислювальної мережі) взаємодіють відповідно до певного набору стандартів і тому відкриті для взаємодії з іншими системами (обчислювальними мережами). Такий підхід пов’язаний із потребою залучати в єдину систему велику кількість технічних засобів і програм, які використовуються в обчислювальних системах чи мережах. Термін «відкритість» означає також, що обчислювальна система, яка відповідає певним стандартам, буде відкрита для взаємозв'язку з будь-якою іншою системою, що відповідає тим самим стандартам. Це, зокрема, стосується і механізмів криптографічного захисту інформації чи захисту від несанкціонованого доступу (НСД) до інформації.

Розробка системи захисту електронних банківських послуг передбачає створення моделі можливих загроз і вибір ефективних способів захисту, який має бути невід'ємною частиною оn-line — системи і здійснюватися на всіх етапах функціонування.

У будь-якій інформаційній системі, з погляду захисту інформації, можна виділити таких учасників інформаційного обміну: відправник інформації; одержувач інформації; зловмисник; арбітр.

Здійснюючи фінансові операції, усі чотири сторони треба вважати такими, що не довіряють одна одній. Отже, моделі загроз для інформаційних систем мають будуватися на основі взаємної недовіри.

Політика безпеки може бути визначена як набір законів, правил і практичних рекомендацій, на базі яких здійснюється керування, захист і розподіл критичної інформації в системі. [10].

Політика безпеки має охоплювати всі етапи обробки інформації, визначати поведінку системи в різних ситуаціях. Тому, беручись за розроблення політики безпеки системи, слід розглянути основні принципи, яких треба дотримувати під час створення системи захисту, оцінити ризики, які можуть виникати в разі здійснення загроз унаслідок порушень системи захисту з боку різних елементів платіжної системи та обслуговуючого персоналу.

Розробляючи політику безпеки банківських електронних систем, треба враховувати їхню специфіку порівняно з іншими інформаційними системами. Особливості банківської інформаційної системи зумовлені специфікою тих завдань, які виконують за її допомогою, а саме:

• — уся інформація, яка обробляється, накопичується і зберігається в системі, є конфіденційною, тому значну увагу доводиться приділяти криптографічному захисту за допомогою шифрування, розподілу доступу й автентифікації в мережі, захисту місць підключення до мереж зв’язку тощо;
• — інформація, яка циркулює в банківській системі, не може бути втрачена, дубльована або модифікована. У зв’язку з цим посилюються вимоги до надійності апаратного і програмного забезпечення, оперативного і повного (за можливостями) відновлення інформації після аварій та збоїв у роботі;
• — обробка кожного запиту не потребує значних ресурсів системи, але оскільки потік таких запитів до системи є значним і великим, то продуктивність системи має бути великою та постійною.

Зважаючи на специфіку банківської інформації, для систем інтерактивного банківського обслуговування клієнтів можна визначити такі основні принципи створення системи захисту:

• — конфіденційність, тобто гарантія, що інформація дається тільки авторизованим користувачам;
• — цілісність, тобто гарантія, що інформація не може бути несанкціоновано змінена;
• — доступність і безперервність роботи системи, тобто гарантія, що достовірна інформація буде доступна, коли це потрібно.

Щодо ідентифікації основних типів загроз, найбільш уразливих місць системи, де вони можуть виникати, можна виділити основні типи загроз для банківських оn-line-систем:

• — неавторизоване проникнення до системи, несанкціонована модифікація або знищення інформації;
• — ненавмисна модифікація або знищення інформації;
• — недоставка або помилкова доставка інформації;
• — затримка або погіршення обслуговування.

Загроза неавторизованого проникнення до системи охоплює всі типи несанкціонованого доступу, у тому числі такі: фальсифікація санкції на доступ, неправомірне використання паролів, спроби працювати від імені іншої особи, несанкціоноване використання носіїв даних, перехоплення повідомлень у каналах зв’язку, вірусні атаки тощо. Загроза ненавмисної модифікації виникає унаслідок помилок у програмному забезпеченні, апаратних збоїв, помилок персоналу та користувачів і т. ін. Затримка або погіршення обслуговування можуть призвести до втрати коштів унаслідок штрафних санкцій і, що найважливіше, до втрати довіри до банківської системи.