Наша совместная команда Banwar.org

Связаться с нами

  • (097) ?601-88-87
    (067) ?493-44-27
    (096) ?830-00-01

Статьи

Захист банківської інформації

Банківська діяльність завжди була пов'язана з обробкою і зберіганням великої кількості конфіденційних даних Банківська діяльність завжди була пов'язана з обробкою і зберіганням великої кількості конфіденційних даних. В першу чергу це персональні дані про клієнтів, про їх вклади і про всі здійснюваних операціях.

Вся комерційна інформація, що зберігається і обробляється в кредитних організаціях, піддається найрізноманітнішим ризикам, пов'язаним з вірусами, виходом з ладу апаратного забезпечення, збоями операційних систем і т.п. Але ці проблеми не здатні завдати скільки-небудь серйозної шкоди. Щоденне резервне копіювання даних, без якого немислима робота інформаційної системи будь-якого підприємства, зводить ризик безповоротної втрати інформації до мінімуму. Крім того, добре розроблені і широко відомі способи захисту від перерахованих загроз. Тому на перший план виходять ризики, пов'язані з несанкціонованим доступом до конфіденційної інформації (НСД).

Несанкціонований доступ - це реальність

На сьогоднішній день найбільш поширені три способи крадіжки конфіденційної інформації. По-перше, фізичний доступ до місць її зберігання і обробки. Тут існує безліч варіантів. Наприклад, зловмисники можуть забратися в офіс банку вночі і вкрасти жорсткі диски з усіма базами даних. Можливий навіть озброєний наліт, метою якого є не гроші, а інформація. Не виключена ситуація, коли сам співробітник банку може винести носій інформації за межі території.

По-друге, використання резервних копій. У більшості банків системи резервування важливих даних засновані на стримерах. Вони записують створювані копії на магнітні стрічки, які потім зберігаються в окремому місці. Доступ до них регламентується набагато більш м'яко. При їх транспортуванні і зберіганні щодо великої кількості осіб може зняти з них копії. Ризики, пов'язані з резервним копіюванням конфіденційних даних, не можна недооцінювати. Наприклад, більшість експертів упевнена, що з'явилися в продажу в 2005 році бази даних проводок Центрального Банку РФ були вкрадені саме завдяки знятим з магнітних стрічок копій. У світовій практиці відомо чимало подібних інцидентів. Зокрема, у вересні минулого року співробітники компанії Chase Card Services (підрозділ JPMorgan Chase & Co.), постачальника кредитних карт, помилково викинули п'ять магнітних стрічок з резервними копіями, що містять інформацію про 2,6 млн. Власників кредитних рахунків Circuit City.

По-третє, найбільш ймовірний спосіб витоку конфіденційної інформації - несанкціонований доступ співробітниками банку. При використанні для поділу прав тільки стандартних засобів операційних систем у користувачів нерідко існує можливість опосередковано (за допомогою певного ПО) цілком скопіювати бази даних, з якими вони працюють, і винести їх за межі компанії. Іноді співробітники роблять це без жодного злого наміру, просто щоб попрацювати з інформацією будинку. Однак такі дії є серйозним порушенням політики безпеки і вони можуть стати (і стають!) Причиною розголосу конфіденційних даних.

Крім того, в будь-якому банку є група людей, що володіють в локальній мережі підвищеними привілеями. Йдеться про системні адміністраторів. З одного боку, це необхідно їм для виконання службових обов'язків. Але, з іншого боку, у них з'являється можливість отримати доступ до будь-якої інформації і «замести сліди».

Таким чином, система захисту банківської інформації від несанкціонованого доступу повинна складатися як мінімум з трьох підсистем, кожна з яких забезпечує захист від свого виду загроз. Це підсистема захисту від фізичного доступу до даних, підсистема забезпечення безпеки резервних копій і підсистема захисту від інсайдерів. І бажано не нехтувати жодної з них, оскільки кожна загроза може стати причиною розголошення конфіденційних даних.

Банкам закон не писаний?

В даний час діяльність банків регламентується федеральним законом «Про банки і банківську діяльність». У ньому, крім усього іншого, вводиться поняття «банківська таємниця». Згідно з ним будь-яка кредитна організація зобов'язана забезпечувати конфіденційність всіх даних про вклади клієнтів. За їх розголошення вона несе відповідальність, включаючи відшкодування заподіяної витоком інформації збитку. При цьому ніяких вимог до безпеки банківських інформаційних систем не пред'являється. Це означає, що всі рішення щодо захисту комерційних даних банки приймають самостійно, грунтуючись на досвіді своїх фахівців або сторонніх компаній (наприклад, здійснюють аудит інформаційної безпеки). Єдиною рекомендацією є стандарт ЦБ РФ «Забезпечення інформаційної безпеки організацій банківської системи Російської Федерації. Загальні положення". Вперше він з'явився в 2004 році, а в 2006 був прийнятий новий його варіант. При створенні і доопрацювання цього відомчого документа використовувалися діючі російські та міжнародні стандарти в області інформаційної безпеки.

ЦБ РФ може тільки рекомендувати його іншим банкам, але не може наполягати на обов'язковому впровадженні. Крім того, в стандарті мало чітких вимог, що визначають вибір конкретних продуктів. Він, безумовно, важливий, але в даний момент не має серйозного практичного значення. Наприклад, про сертифіковані продукти в ньому сказано так: «... можуть використовуватися сертифіковані або дозволені до застосування засоби захисту інформації від несанкціонованого доступу». Відповідний список відсутня.

Перераховано в стандарті і вимоги до криптографічних засобів захисту інформації в банках. І ось тут вже є більш-менш чітке визначення: «ЗКЗІ ... повинні бути реалізовані на основі алгоритмів, що відповідають національним стандартам РФ, умовами договору з контрагентом і (або) стандартам організації». Підтвердити відповідність криптографічного модуля ГОСТ 28147-89 можна шляхом сертифікації. Тому при використанні в банку систем шифрування бажано застосовувати сертифіковані ФСБ РФ програмні або апаратні криптопровайдери, тобто зовнішні модулі, що підключаються до програмного забезпечення і реалізують сам процес шифрування.

У липні минулого року був прийнятий федеральний закон Російської Федерації «Про персональні дані», який вступив в дію 1 січня 2007 року. Деякі експерти пов'язували з ним поява більш певних вимог до банківських системами захисту, оскільки банки відносяться до організацій, які обробляють персональні дані. Однак сам закон, безумовно дуже важливий в цілому, на сьогоднішній день не можна застосувати на практиці. Проблема полягає у відсутності стандартів захисту приватних даних і органів, які могли б контролювати їх виконання. Тобто виходить, що в даний час банки вільні у виборі систем захисту комерційної інформації.

Захист від фізичного доступу

Банки традиційно приділяють дуже велику увагу фізичної безпеки операційних відділень, відділень зберігання цінностей і т.п. Все це знижує ризик несанкціонованого доступу до комерційної інформації шляхом фізичного доступу. Однак офіси банків і технічні приміщення, в яких розміщуються сервери, за ступенем захисту зазвичай не відрізняються від офісів інших компаній. Тому для мінімізації описаних ризиків необхідно використовувати систему криптографічного захисту.

Сьогодні на ринку є велика кількість утиліт, які здійснюють шифрування даних. Однак особливості їх обробки в банках пред'являють до відповідного ПО додаткові вимоги. По-перше, в системі криптографічного захисту повинен бути реалізований принцип прозорого шифрування. При його використанні дані в основному сховищі завжди знаходяться тільки в закодованому вигляді. Крім того, ця технологія дозволяє мінімізувати витрати на регулярну роботу з даними. Їх не потрібно кожен день розшифровувати і зашифровувати. Доступ до інформації здійснюється за допомогою спеціального ПЗ, встановленого на сервері. Воно автоматично розшифровує інформацію при зверненні до неї і зашифровує перед записом на жорсткий диск. Ці операції здійснюються прямо в оперативній пам'яті сервера.

По-друге, банківські бази даних дуже об'ємні. Таким чином, криптографічний система захисту інформації повинна працювати не з віртуальними, а з реальними розділами вінчестерів, RAID-масивами та іншими серверними носіями інформації, наприклад, зі сховищами SAN. Справа в тому, що файли-контейнери, які можуть підключатися до системи в якості віртуальних дисків, не призначені для роботи з великими обсягами даних. У тому випадку, коли віртуальний диск, створений з такого файлу, має великий розмір, при зверненні до нього одночасно навіть кількох людей можна спостерігати значне зменшення швидкості читання і запису інформації. Робота ж декількох десятків людей з файлом-контейнером великого обсягу може перетворитися в суще мука. Крім того, потрібно враховувати, що ці об'єкти схильні до ризику пошкодження через віруси, збоїв файлової системи і т.д. Адже, по суті, вони являють собою звичайні файли, але досить великого розміру. І навіть невелика їх зміна може привести до неможливості декодування всієї міститься в ньому інформації. Обидва цих обов'язкових вимоги істотно звужують коло відповідних для реалізації захисту продуктів. Фактично сьогодні на російському ринку є лише кілька таких систем.

Детально розглядати технічні особливості серверних систем криптографічного захисту інформації немає необхідності, оскільки в одному з минулих номерів ми вже порівнювали ці продукти. (Столяров Н., Давлетханов М. UTM-захист. «Директор ІК», №5, 2007 ) Але варто відзначити деякі особливості таких систем, наявність яких бажано для банків. Перша пов'язана з уже згаданої сертифікацією використовуваного криптографічного модуля. Відповідне програмне або апаратне забезпечення вже є в більшості банків. Тому система серверної захисту інформації повинна передбачати можливість їх підключення і використання. Другим особливим вимогою до системи захисту інформації є можливість інтеграції в систему фізичної безпеки офісу і / або серверної кімнати. Це дозволяє захистити інформацію від несанкціонованого доступу, пов'язаного з крадіжкою, зломом і т.п.

Особливу увагу в банках повинна приділятися збереження інформації, оскільки вона фактично є грошима клієнтів. Тому в системі захисту повинні бути передбачені спеціальні можливості, які мінімізують ризик її втрати. Однією з найпомітніших є функція визначення зіпсованих секторів на жорсткому диску. Крім того, велику важливість має можливість призупинення і скасування процесів початкового зашифровування диска, його розшифрування і перешіфровиванія. Це досить тривалі процедури, будь-який збій під час яких загрожує повною втратою всіх даних.

Дуже великий вплив на ризики, пов'язані з несанкціонованим доступом до конфіденційної інформації, має людський фактор. Тому бажано, щоб система захисту передбачала можливість зменшення такого взаємозв'язку. Досягається це шляхом використання надійних засобів зберігання ключів шифрування - смарт-карт або USB-ключів. Оптимальним є входження цих токенов до складу продукту, воно дозволяє не тільки оптимізувати витрати, але і забезпечує повну сумісність програмного і апаратного забезпечення.

Іншою важливою функцією, що дозволяє мінімізувати вплив людського фактора на надійність системи захисту, є кворум ключів. Суть його полягає в поділі ключа шифрування на кілька частин, кожна з яких віддається в користування одному відповідального співробітника. Для підключення закритого диска потрібна наявність певної кількості частин. Причому воно може бути менше загального числа частин ключа. Такий підхід дозволяє убезпечити дані від нецільового використання відповідальними співробітниками, а також забезпечує необхідну для роботи банку гнучкість.

Захист резервних копій

Регулярне резервування всієї зберігається в банку інформації - абсолютно необхідний захід. Вона дозволяє істотно знизити збитки в разі виникнення таких проблем, як псування даних вірусами, вихід з ладу апаратного забезпечення і т.п. Але в той же час вона посилює ризики, пов'язані з несанкціонованим доступом. Практика показує, що носії, на які записуються резервні копії, повинні зберігатися не в серверній кімнаті, а в іншому приміщенні або навіть будівлі. В іншому випадку при виникненні пожежі або іншого серйозного інциденту безповоротно втраченими можуть виявитися як самі дані, так і їх архіви. Надійно захистити резервні копії від несанкціонованого використання можна тільки за допомогою криптографії. В цьому випадку, зберігаючи ключ шифрування у себе, офіцер безпеки може спокійно передавати носії з архівами технічного персоналу.

Основна складність в організації криптографічного захисту резервних копій полягає в необхідності поділу обов'язків по управлінню архівуванням даних. Налаштовувати і здійснювати сам процес резервного копіювання повинен системний адміністратор або інший технічний співробітник. Управляти ж шифруванням інформації повинен відповідальний співробітник - офіцер безпеки. При цьому необхідно розуміти, що резервування в переважній більшості випадків здійснюється в автоматичному режимі. Вирішити цю проблему можна тільки шляхом «вбудовування» системи криптографічного захисту між системою управління резервним копіюванням та пристроями, які здійснюють запис даних (стримери, DVD-приводи і т.п.).

Таким чином, криптографічні продукти для можливості їх застосування в банках повинні також мати можливість роботи з різними пристроями, що використовуються для запису резервних копій на носії інформації: стримерами, CD- і DVD-приводами, знімними жорсткими дисками і т.п.

На сьогодні існують три типи продуктів, покликаних мінімізувати ризики, пов'язані з несанкціонованим доступом до резервних копій. До першого належать спеціальні пристрої. Такі апаратні рішення мають безліч переваг, в тому числі і надійне шифрування інформації, і висока швидкість роботи. Однак вони володіють трьома істотними недоліками, які не дозволяють використовувати їх в банках. Перший: дуже висока вартість (десятки тисяч доларів). Другий: можливі проблеми c ввезенням в Росію (не можна забувати, що ми говоримо про криптографічних засобах). Третій мінус полягає в неможливості підключити до них зовнішні сертифіковані криптопровайдери. Ці плати працюють тільки з реалізованими в них на апаратному рівні алгоритмамишифрування.

Другу групу систем захисту криптографічного захисту резервних копій становлять модулі, які пропонують своїм клієнтам розробники програмного і апаратного забезпечення для резервного копіювання. Існують вони для всіх найбільш відомих у цій галузі продуктів: ArcServe, Veritas Backup Exec і ін. Правда, і у них є свої особливості. Найголовніша - це робота тільки зі «своїм» ПО або накопичувачем. Тим часом інформаційна система банку постійно розвивається. І не виключено, коли заміна або розширення системи резервного копіювання може зажадати додаткових витрат на модифікацію системи захисту. Крім того, в більшості продуктів цієї групи реалізовані старі повільні алгоритми шифрування (наприклад, 3DES), немає коштів управління ключами, відсутня можливість підключення зовнішніх криптопровайдерів.

Все це змушує звернути найпильнішу увагу на системи криптографічного захисту резервних копій з третьої групи. До неї відносяться спеціально розроблені програмні, програмно-апаратні і апаратні продукти, не прив'язані до конкретних систем архівування даних. Вони підтримують широкий спектр пристроїв запису інформації, що дозволяє застосовувати їх у всьому банку, включаючи і всі його філії. Це забезпечує однаковість використовуваних засобів захисту і мінімізацію експлуатаційних витрат.

Правда, варто відзначити, що, незважаючи на всі їхні переваги, на ринку представлено зовсім небагато продуктів з третьої групи. Це пояснюється, швидше за все, відсутністю великого попиту на системи криптографічного захисту резервних копій. Як тільки керівництво банків і інших великих організацій усвідомлює реальність ризиків, пов'язаних з архівуванням комерційної інформації, число гравців на цьому ринку виросте.

Захист від інсайдерів

Останні дослідження в області інформаційної безпеки, наприклад щорічне CSI / FBI Computer Crime And Security Survey, показало, що фінансові втрати компаній від більшості загроз рік від року знижуються. Однак є кілька ризиків, збитки від яких ростуть. Одне з них - навмисне злодійство конфіденційної інформації або ж порушення правил поводження з нею тими співробітниками, доступ яких до комерційних даними необхідний для виконання службових обов'язків. Їх називають інсайдерами.

У переважній більшості випадків крадіжки конфіденційної інформації здійснюється за допомогою мобільних носіїв: CD і DVD-дисків, ZIP-пристроїв і, найголовніше, всіляких USB-накопичувачів. Саме їх масове поширення і призвело до розквіту інсайдерства по всьому світу. Керівники більшості банків прекрасно розуміють, чим може загрожувати, наприклад, потрапляння бази даних з персональними даними їх клієнтів або, тим більше, проводками по їх рахунках в руки кримінальних структур. І вони намагаються боротися з імовірним крадіжкою інформації доступними їм організаційними методами.

Однак організаційні методи в даному випадку неефективні. Сьогодні можна організувати перенесення інформації між комп'ютерами за допомогою мініатюрної флешки, стільникового телефону, mp3-плеєра, цифрового фотоапарата ... Звичайно, можна спробувати заборонити проносити на територію офісу всі ці пристрої, проте це, по-перше, негативно позначиться на відносинах з співробітниками , а по-друге, налагодити реально діючий контроль над людьми все одно дуже складно - банк не «поштову скриньку». І навіть відключення на комп'ютерах усіх пристроїв, які можуть використовуватися для запису інформації на зовнішні носії (FDD і ZIP-диски, CD та DVD-приводи і т.п.), і USB-портів не допоможе. Адже перші потрібні для роботи, а до других підключається різна периферія: принтери, сканери і т.п. І ніхто не може перешкодити людині відключити на хвилину принтер, вставити в звільнився порт флеш-диск і скопіювати на нього важливу інформацію. Можна, звичайно, знайти оригінальні способи захисту. Наприклад, в одному банку спробували такий метод вирішення проблеми: залили місце з'єднання USB-порту і кабелю епоксидною смолою, намертво «прив'язавши» останній до комп'ютера. Але, на щастя, сьогодні існують більш сучасні, надійні та гнучкі способи контролю.

Найефективнішим засобом мінімізації ризиків, пов'язаних з інсайдерами, є спеціальне програмне забезпечення, яке здійснює динамічне управління всіма пристроями і портами комп'ютера, які можуть використовуватися для копіювання інформації. Принцип їх роботи такий. Для кожної групи користувачів або для кожного користувача окремо задаються дозволу на використання різних портів і пристроїв. Найбільша перевага такого ПО - гнучкість. Вводити обмеження можна для конкретних типів пристроїв, їх моделей і окремих екземплярів. Це дозволяє реалізовувати дуже складні політики розподілу прав доступу.

Наприклад, деяким співробітникам можна дозволити використовувати будь-як принтери і сканери, підключені до USB-портів. Всі ж інші пристрої, вставлені в цей порт, залишаться недоступними. Якщо ж у банку застосовується система аутентифікації користувачів, заснована на токенах, то в налаштуваннях можна вказати використовувану модель ключів. Тоді користувачам буде дозволено використовувати тільки придбані компанією пристрої, а всі інші виявляться марними.

Виходячи з описаного вище принципу роботи систем захисту, можна зрозуміти, які моменти важливі при виборі програм, що реалізують динамічне блокування пристроїв запису і портів комп'ютера. По-перше, це універсальність. Система захисту повинна охоплювати весь спектр можливих портів і пристроїв введення-виведення інформації. Інакше ризик крадіжки комерційної інформації залишається неприпустимо високим. По-друге, розглядається ПО повинно бути гнучким і дозволяти створювати правила з використанням великої кількості різноманітної інформації про пристрої: їх типів, виробників моделей, унікальних номерів, які є у кожного примірника тощо Ну і, по-третє, система захисту від інсайдерів повинна мати можливість інтеграції з інформаційною системою банку, зокрема з Active Directory. В іншому випадку адміністратору або офіцеру безпеки доведеться вести по дві бази користувачів і комп'ютерів, що не тільки незручно, але й збільшує ризики виникнення помилок.

підводимо підсумки

Отже, сьогодні на ринку є продукти, за допомогою яких будь-який банк може організувати надійну систему захисту інформації від несанкціонованого доступу та нецільового використання. Правда, при їх виборі потрібно бути дуже обачним. В ідеалі цим повинні займатися власні фахівці відповідного рівня. Допускається використання послуг сторонніх компаній. Однак в цьому випадку можлива ситуація, коли банку буде майстерно нав'язано не адекватна програмне забезпечення, а то, що вигідно фірмі-постачальнику. Крім того, вітчизняний ринок консалтингу в області інформаційної безпеки знаходиться в зародковому стані.

Тим часом зробити правильний вибір зовсім нескладно. Досить озброїтися перерахованими нами критеріями і уважно вивчити ринок систем безпеки. Але тут є «підводний камінь», про який необхідно пам'ятати. В ідеальному випадку система інформаційної безпеки банку повинна бути єдиною. Тобто все підсистеми повинні інтегруватися в існуючу інформаційну систему і, бажано, мати загальне управління. В іншому випадку неминучі підвищені трудовитрати на адміністрування захисту і збільшення ризиків через помилки в управлінні. Тому для побудови всіх трьох описаних сьогодні підсистем захисту краще вибирати продукти, випущені одним розробником. Сьогодні в Росії є компанії, які створюють все необхідне для захисту банківської інформації від несанкціонованого доступу.

Марат Давлетханов - незалежний експерт, [email protected]

Банкам закон не писаний?

Новости

Banwar.org
Наша совместная команда Banwar.org. Сайт казино "Пари Матч" теперь доступен для всех желающих, жаждущих волнения и азартных приключений.