Информационная безопасность КБ "Солидарность"

В сущности, всякий банк - это, прежде всего, информационная система, то есть система, в которой происходит накопление и обработка информации. Действительно, кроме операций с наличными деньгами и материальными ценностями, все остальные операции, которые совершаются в банке, есть действия с информацией. При ближайшем рассмотрении легко заметить, что и при операциях с материальными ценностями и наличностью, помимо чисто физического перемещения этих объектов в пространстве, производятся весьма существенные действия над чистой информацией в рамках деятельности по их учету. Поэтому для банка основную ценность представляет именно информация. Защита информационной системы требует системного подхода, здесь нельзя ограничиваться отдельными мероприятиями. Самые продуманные программные средства не смогут уберечь от небрежности или злого умысла администратора безопасности или доверенного пользователя, в свою очередь, ужесточение организационных мер не спасет от утечки по физическим каналам, оставленным без присмотра. Системный подход к защите информации требует, чтобы средства и действия, используемые банком для обеспечения информационной безопасности - организационные, физические и программно-технические - рассматривались как единый комплекс взаимосвязанных, взаимодополняющих и взаимодействующих мер. Такой комплекс должен быть нацелен не только на защиту информации от несанкционированного доступа, но и на предотвращение случайного или умышленного уничтожения, модификации или компрометации. Комплексный подход подразумевает также учет развития банковских технологий в сторону предоставления все больших удобств клиентам банка, которые, в свою очередь, резко увеличивают возможность появления новых угроз информации. К этим технологиям можно отнести и систему Клиент-Банк, активно используемую банком. В рамках комплексного подхода к защите информации в КБ "Солидарность" можно отметить следующие моменты:

1. Контроль доступа в АБС банка;
2. Физическая безопасность АБС;
3. Организация безопасного подключения Internet;
4. Защита секретной информации, передаваемой по публичным сетям.

Установленная в банке АБС "Диасофт-БАНК" обладает гибкой системой настройки прав пользователей. Так, например, операционист не имеет доступа к информации о движении средств по счетам "чужого" клиента и уж тем более не имеет доступ к кредитным договорам. Подобная политика относится ко всем сотрудникам банка, имеющим доступ к АБС. Существующая в АБС система протоколирования "помнит" обо всех изменениях, вводимых любым пользователем, поэтому обнаружить недобросовестного работника не составит особого труда. Информационные файлы системы протоколирования не подлежат редактированию и хранятся в специальном формате. Также производится ежедневное резервное копирование всех данных. Эти меры, в совокупности с допуском к протоколам только администраторов АБС, позволяют надежно защитить систему протоколирования, и как следствие получить реальную картину проводимых операций.

Оставшаяся возможность реализации угрозы для физической безопасности АБС решается по нескольким направлениям. Ежедневное резервное архивирование всех данных по накопительной политике сводит к минимуму время восстановления системы до работоспособного состояния. Кроме того, реализована и внедрена схема использования АБС по архитектуре "тонкого клиента", что позволило заметно повысить надежность и безопасность использования АБС, в результате чего конечный пользователь оторван от такого понятия как "файл базы данных".

Одним из объемных аспектов в безопасности информации в КБ "Солидарность" является организация безопасного подключения Internet. В настоящее время принята следующая схема подключения: организована подсеть с реальными IP адресами, защищенная от доступа извне фильтрующим межсетевым экраном (firewall), в этой подсети находятся доступные широкому кругу анонимных пользователей сервера. Также в этой сети установлен Proxy сервер, отделяющий защищаемую внутреннюю сеть банка. Использованием современного маршрутизатора введен еще один уровень защиты. Таким образом, можно представить защиту подключения банковской сети к Internet в виде пирамиды, где на вершине расположены аппаратные компоненты - маршрутизаторы, отключение которых (в нестабильной ситуации) полностью прекратит доступ к внутренней сети банка из внешней, агрессивной среды. Промежуточное положение занимает фильтрующий межсетевой экран, фильтрующий нежелательный трафик, и не позволяющий устанавливать соединения удаленному узлу с неразрешенными сервисами. Основание пирамиды - наиболее мощная ее часть - это Proxy сервер, осуществляющий идентификацию и аутентификацию пользователей, осуществляющий дополнительную фильтрацию трафика применительно к конкретному пользователю. На всех трех уровнях постоянно производится сбор статистической информации, которая в последующем архивируется и записывается на носители долговременного хранения. Даже прорвав все три линии обороны банковской сети, злоумышленник столкнется с трудностями, связанными с маршрутизацией пакетов во внутренней сети банка. Доступ к основным серверам имеют только жестко определенные подсети общей сети банка.

Необходимо сказать несколько слов об организации взаимодействия головного отделения со своими дополнительными офисами. В данной ситуации необходимо обеспечить единое информационное пространство или единую локальную сеть. Процесс объединения нескольких удаленных локальных сетей описан во множестве литературы, но стоит обратить внимание на следующие моменты:

• - Важно иметь хорошо защищенный от НСД и разнообразных утечек канал передачи;
• - Необходимо иметь возможность быстрой замены "транспорта" при выходе из строя основного канала.

Этим требованиям удовлетворяет российская разработка АПК "ШИП" (Шифратор IP потока). Реализованный в нем алгоритм шифрования соответствует ГОСТ 28147-89, причем этот шифратор может использоваться для обеспечения защищенного трафика не только по выделенному каналу, но и при использовании сети передачи данных общего пользования.

Организация связи с филиалами банка использует стандартный FTR сервис с обязательной криптозащитой всех передаваемых данных. Для криптозащиты используются российская разработка - Cripton и зарубежная разработка пакет PGP. Единственное неудобство, возникающее при криптозащите передаваемой информации - это неудовлетворительное состояние существующего в этой области законодательства, которое не позволяет иногда даже опытным юристам однозначно ответить на вопрос о необходимости получения лицензии на использование средств шифрования. Одна из услуг, предоставляемая нашим банком нашим клиентам, требующая обязательного применения средств криптозащиты, это система "Клиент-Банк". Разработчики программы предусмотрели в своем ПО кроме встроенной функции шифрования, возможность подключения внешних, выбираемых пользователем (естественно, после согласования с банком) средств шифрования передаваемой платежной информации.

Хотя наличие высокотехничных средств защиты и опытного обслуживающего персонала является большей частью успеха при организации защиты информации на предприятии, а тем более в банке, но нельзя забывать, что человек - самое слабое звено в системе, и социальная инженерия должна занимать одно из первых мест при рассмотрении способов защиты вашей информации.