В банковском деле

Применение современных технических средств информацион

ной безопасности стало существенным элементом предо

твращения компьютерных преступлений в банковском деле (предо

твращение подразумевает ограничение доступа либо использова

ние целой компьютерной системы или ее части). Инструкции о тех

нической информационной безопасности Украины показывают, что

техническая информационная безопасность с ограниченным до

ступом в автоматизированных системах и средствах разработки на

правлена на предотвращение нарушения целостности данных с ог

раниченным доступом и их утечкой в случаях:

n неавторизованного доступа;

n понимания и анализа совместной электромагнитной ради

ации;

n использования устройств, хранящих информацию слоями,

т.е. с наложением новой информации на ранее записанную;

n выполнения компьютерных вирусов.

Техническая информационная безопасность с ограниченным

доступом в автоматизированных системах и средствах разработ

ки, предназначенная для формирования, передачи, принятия,

преобразования, представления и хранения некоторой инфор

мации, обеспечена проектировщиком, организационной про

граммой и техническими мерами на всех стадиях их создания

и работы.

Основные методы и средства технической информационной

безопасности с ограниченным доступом в автоматизированных

системах и средствах разработки:

n использование защищенного оборудования;

n регулирование работы пользователей, операционного пер

сонала, программного обеспечения, элементов баз данных и ин

формационных каналов с ограниченным доступом (разграниче

ние прав доступа);

n настройка архитектуры автоматизированных систем

и средств компьютерной разработки;

n техническое и инженерное оборудование помещений

и коммуникаций, предназначенных для эксплуатации автома

тизированных систем и средств компьютерной разработки;

n поиск устройств, допускающих наложение информации,

их обнаружение и блокирование.

Эти меры могут играть серьезную профилактическую роль

в борьбе с компьютерными преступлениями при их квалифи

цированном и всестороннем использовании.

Учитывая тот факт, что проблема, связанная с компьютерной

преступностью и ее профилактикой в банковском деле, в нашей

стране изучается только с начала 90 х годов, а в некоторых за

рубежных странах она исследовалась в течение долгого време

ни, мы должны обобщить широкий опыт этих стран и внедрить

его во внутреннюю практику, принимая во внимание действу

ющее нормативное и юридическое законодательство Украины.

Основные средства информационной безопасности — фи

зические меры, аппаратные средства, программные средства,

аппаратно программные средства, криптографические и орга

низационные методы.

Физические средства защиты — меры, которые являются

необходимыми для внешней защиты компьютера, территорий

и объектов на базе компьютеров, специально предназначенные

для того, чтобы создать физические препятствия на возможных

путях проникновения и потенциальных посягательств на дос

туп к компонентам информационных систем и данным, нахо

дящимся под защитой. Самый простой и надежный метод за

щиты от неавторизированного доступа — режим независимого

использования компьютера одним пользователем в специаль

но предназначенной комнате в отсутствие посторонних людей.

В этом случае специально отведенная комната играет роль ис

ключительного круга защиты, а физическую безопасность обес

печивают окна, стены, пол, потолок, дверь. Если стены, потолок,

пол и дверь прочны, пол не имеет никаких люков, примыкающих

к другим помещениям, а окна и дверь снабжены сигнализацией,

то стабильность системы безопасности будет зависеть от рабо

ты сигнализации во время отсутствия пользователя.

В рабочее время, когда компьютер включен, утечка инфор

мации возможна через каналы смежной электромагнитной ра

диации. Чтобы предотвратить такую угрозу, производится спе

циальная экспертиза средств (непосредственно компьютерa)

и устройств электронно вычислительной системы (ECM) (ком

пьютера в специально размеченной комнате).

Эта экспертиза подразумевает проведение процедуры серти

фикации и классификацию средств и устройств ECM с изданием

соответствующих разрешенных действий. Кроме того, дверь ком

наты должна быть снабжена механическим или электромехани

ческим замком. В некоторых случаях, если не предусмотрена си

стема сигнализации, а пользователь отсутствует в течение

длительного периода, желательно держать системный блок и ка

налы коммуникации в сейфе, чтобы обеспечить лучшую безопас

ность. Использование аппаратного пароля системы ввода/выво

да BIOS в некоторых компьютерах, который запрещает загрузку

и работу с системой ECM, не обеспечивает надлежащую безопас

ность от угрозы несанкционированного доступа; аппаратный па

роль BIOS можно заменить на другой в случае отсутствия меха

нического замка на корпусе системного блока и отсутствия

пользователя, поскольку кластеры (блоки) BIOS унифицирова

ны и имеют некоторые данные пароля.

По этой причине механический замок на корпусе, запреща

ющий включение и загрузку компьютера, — самая эффективная

мера. Чтобы обеспечивать безопасность против утечки, специа

листы предлагают механическое присоединение компьютера

к столу пользователя. Тем временем следует иметь в виду, что

в отсутствие системы сигнализации, гарантирующей постоян

ный контроль доступа к комнате или к сейфу, надежность зам

ков и соединений должна учитывать то, чтобы время, необходи

мое нарушителю для их взлома, не превысило период отсутствия

пользователя компьютера. Если этот вид защиты не обеспечен,

то требуется бесперебойная работа системы сигнализации.

Диапазон современных физических средств безопаснос

ти очень широк. Эта группа средств безопасности также вклю

чает различные средства экранирования рабочих помещений

и каналов передачи данных (коммуникационных каналов).

Аппаратные средства защиты — различные электронные, ме

ханические и электронные средства и другие системные устрой

ства, внедренные в последовательные блоки электронных систем

обработки и передачи данных для обеспечения внутренней безо

пасности компьютерных средств обслуживания: терминалов, ус

тройств ввода/вывода, процессоров, линий коммуникаций и т.д.

Основные функции аппаратных средств защиты:

n запрещение несанкционированного удаленного доступа

к удаленному пользователю;

n запрещение несанкционированного удаленного доступа

к базам данных в результате случайной или намеренной дея

тельности штата;

n защита целостности программного обеспечения.

Эти функции выполняются в случае:

n идентификации субъектов (пользователи, штат обслужи

вания) и объектов (ресурсы) системы;

n аутентификации субъектов в соответствии с выданным

идентификатором;

n контроль полномочий, подразумевающий проверку разре

шений для некоторых видов работы;

n регистрация со ссылкой на запрещенные ресурсы;

n регистрация попыток несанкционированного доступа.

Выполнение этих функций производится с помощью при

менения различных технических устройств специального назна

чения. В частности, они включают:

n эмиттеры, обеспечивающие непрерывную подачу электро

энергии, а также устройства выравнивания (выпрямители), ко

торые предотвращают спазматические скачки напряжения в сети;

n устройства экранирования аппаратуры, коммуникацион

ных каналов и мест размещения компьютерной техники;

n устройства идентификации и подтверждения терминалов

и пользователей при выполнении несанкционированного досту

па к компьютерной сети;

n средства защиты компьютерных портов и т.д.

Средства защиты портов имеют несколько защитных функ

ций, в частности:

1) «сравнение кода». Компьютер сверяет код зарегистриро

ванных пользователей с требуемым кодом;

2) «маскировка». Некоторые средства защиты портов мас

кируют существование портов на канале телефонной связи пу

тем синтезирования человеческого голоса, отвечающего на за

просы смотрящего;

3) «контрзвонок». В памяти средств защиты портов хра

нятся не только коды доступа, но и идентифицирующие номе

ра телефонов;

4) ввод автоматической «электронной записи» доступа к ком

пьютерной системе с фиксацией основных действий пользователя.

Программные средства защиты необходимы для достижения

логических и интеллектуальных функций защиты, которые встро

ены в инструментальное программное обеспечение системы.

Некоторые цели системы безопасности реализуются с по

мощью программных средств защиты:

n проверка загрузки и входа в систему с помощью системы

паролей

n определение границ и проверка прав доступа к системным

ресурсам, терминалам, внешним ресурсам, постоянным и времен

ным наборам данных и т.д.;

n защита файлов от вирусов;

n автоматический контроль действий пользователей путем

регистрирации их деятельности.

Аппаратно программные средства защиты — средства, кото

рые базируются на синтезе программных и аппаратных средств.

Эти средства широко используются при установлении подлин

ности пользователей автоматизированных банковских систем.

Установление подлинности — проверка идентификатора пользо

вателя непосредственно перед доступом к ресурсу системы.

Аппаратно программные средства безопасности также ис

пользуются при оверлее (наложении) электронных и цифровых

подписей подотчетных пользователей.

Использование смарт карт, содержащих пароли и коды

пользователей, широко распространено в автоматизированных

банковских системах.

Организационные средства защиты компьютерной инфор

мации составляют набор мер относительно вербовки штата со

трудников, осмотра и обучения штата, которые участвуют во всех

стадиях информационного процесса

Анализ материалов уголовных дел приводит к заключению,

что основные причины и условия, способствующие соверше

нию компьютерных преступлений, являются главным образом

следующими:

n отсутствие надлежащего контроля деятельности персо

нала, который помогает преступнику свободно использовать

компьютер как инструмент преступления;

n низкий уровень программного обеспечения, которое не

имеет никакой защиты справочников и не гарантирует провер

ку соответствия и точности информации;

n недостаток системы защиты пароля от несанкционирован

ного доступа к рабочей станции или ее программному обеспече

нию, который не обеспечивает подлинную идентификацию

пользователя согласно индивидуальным параметрам биометрии;

n отсутствие строгого подхода к доступу служащих к сек

ретной информации и т.д.

Опыт зарубежных стран свидетельствует, что самая эффек

тивная защита информационных систем — введение специали

ста по компьютерной безопасности или создание специальных

служб, как частных, так и централизованных, в зависимости от

конкретной ситуации. Доступность такого отдела (службы)

в банковской системе, согласно иностранным специалистам,

вдвое уменьшает совершение преступлений в сфере компьютер

ных технологий.