Інформаційна безпека й інформаційні технології
Не дуже давно читаючи лекцію про основи інформаційної безпеки на одному із семінарів для керівників керувань автоматизації комерційних банків. На питання: “чи знаєте ви, скільки чоловік мають право входити в приміщення, де знаходиться сервер бази даних Вашого банку?”, ствердно відповіло не більш 40% присутніх. Поіменно назвати тих, хто має таке право, змогли лише 20%. В інших банках доступ у це приміщення не обмежений і ніяк не контролюється. Що говорити про доступ до робочих станцій!
Що стосується автоматизованих банківських систем, те найбільш розповсюджені системи третіх-третьої-другого-третього поколінь складаються з набору автономних програмних модулів, що запускаються з командного рядка DOS на робочих станціях. Оператор має можливість у будь-який момент вийти в DOS з такого програмного модуля. Передбачається, що це необхідно для переходу в інший програмний модуль, але фактично в такій системі не існує ніяких способів не тільки виключити запуск оператором будь-яких інших програм (від необразливої гри до програми, що модифікує дані банківських рахунків), але і проконтролювати дії оператора. Варто помітити, що в ряді систем цих поколінь, у тому числі розроблених дуже шановними вітчизняними фірмами і продаваних сотнями, файли рахунків не шифруються, тобто з даними в них можна ознайомитися найпростішими загальнодоступними засобами. Багато розроблювачів обмежують засоби адміністрування безпеки штатними засобами мережної операційної системи: ввійшов у мережу -і роби, що хочеш.
Положення міняється, але занадто повільно. Навіть у багатьох нових розробках питанням безпеки приділяється явно недостатня увага. На виставці “Банк і Офіс -і 95” була представлена автоматизована банківська система з архітектурою сервер-клієнт-сервер, причому робочі станції функціонують під Windows. У цій системі дуже своєрідно вирішений вхід оператора в програму: у діалоговому вікні запитується пароль, а потім пред'являється на вибір список прізвищ всіх операторів, що мають право працювати з даним модулем! Таких прикладів можна привести ще багато.
Проте, наші банки приділяють інформаційним технологіям багато уваги, і досить швидко засвоюють нове. Мережа Internet і фінансові продукти, зв'язані з нею, ввійдуть у життя банків Росії швидше, ніж це припускають скептики, тому вже зараз необхідно затурбуватися питаннями інформаційної безпеки на іншому, більш професійному рівні, чим це робилося дотепер.
Деякі рекомендації:
1. Необхідний комплексний підхід до інформаційної безпеки.
Інформаційна безпека повинна розглядатися як складова частина загальної безпеки причому як важлива і невід'ємна її частина. Розробка концепції інформаційної безпеки повинна обов'язково проходити при участі керування безпеки банку. У цій концепції варто передбачати не тільки міри, зв'язані з інформаційними технологіями (криптозахисту, програмні засоби адміністрування прав користувачів, їхньої ідентифікації й аутентифиіації, “брандмауери” для захисту входів-виходів мережі і т.п.), але і міри адміністративного і технічного характеру, включаючи тверді процедури контролю фізичного доступу до автоматизованої банківської системи, а також засобу синхронізації й обміну даними між модулем адміністрування безпеки банківської системи і системою охорони.
2. Необхідна участь співробітників керування безпеки на етапі вибору-придбання-розробки автоматизованої банківської системи. Це участь не повинна зводитися до перевірки фірми-постачальника. Керування безпеки повинне контролювати наявність належних засобів розмежування доступу до інформації в системі, що здобувається.
На жаль, нині діючі системи сертифікації в області банківських систем скоріше вводять в оману, чим допомагають вибрати засобу захисту інформації. Сертифікувати використання таких засобів має право ФАПСИ, однак правом своїм цей орган користається дуже своєрідно. Так, один високопоставлений співробітник ЦБ РФ розповів, що ЦБ витратив досить багато часу і грошей на одержання сертифіката на один із засобів криптозахисту інформації (до речі, розроблене однієї з організацій, що входять у ФАПСИ). Майже відразу ж після одержання сертифіката він був відкликаний: ЦБ було запропоновано знову пройти сертифікацію вже з новим засобом криптозахисту розробленим тією же організацією з ФАПСИ.Виникає питання, а що ж насправді підтверджує сертифікат? Якщо, як припускає наївний користувач, він підтверджує придатність засобу криптозахисту виконанню цієї функції, то відкликання сертифіката говорить про те, що при первісному сертифіцированії ФАПСИ щось упустило, а потім знайшло дефект. Отже, даний продукт не забезпечує криптозахисту і не забезпечував її із самого початку.
Якщо ж, як припускають користувачі більш спокушені, ФАПСИ відкликало сертифікат не через огріхи в першому продукті, то значення сертифікації цим агентством чого б те ні було зводиться до нуля. Дійсно, раз “деякі” комерційні розуміння переважають над об'єктивною оцінкою продукту, то хто може гарантувати, що в перший раз сертифікат був виданий завдяки високій якості продукту, а не по тим же “деяким” розумінням?