История создания банковской системы информационной безопасности

      Стоит отметить, что основы упомянутого  научно-технического задела полностью  не сформированы. В частности, основополагающие концептуальные документы были выпущены в 1992 году и соответствующая терминология не устоялась. Например, в документе термин "безопасность информации" определяется как состояние защищенности информации, обрабатываемой средствами вычислительной техники или автоматизированной системы, от внутренних и внешних угроз. В более позднем документе это важное понятие трактуется несколько по-иному, с учетом вероятностного характера различных факторов, которые его определяют. В новой трактовке безопасность информации - состояние информации, информационных ресурсов и информационных систем, при которой с требуемой вероятностью обеспечивается защита информации (данных) от утечки, хищения, утраты, несанкционированного уничтожения, искажения, модификации (подделки), копирования, блокирования и т.п.

      Незавершенность последней формулировки и другие ее погрешности не позволяют с достаточной степенью четкости определить цель обеспечения безопасности информации и задачи ее достижения. Важность этого понятия очевидна, и поэтому попытаемся предложить расширительную формулировку, которая учитывает последние международные результаты в этой области техники и аналогичные отечественные наработки.

      Таким образом, безопасность информации –  состояние устойчивости информации к случайным или преднамеренным воздействиям, исключающее недопустимый риск ее уничтожения, искажения и раскрытия, которые приводят к материальному или моральному ущербу владельца или пользователя информации. Это определение наиболее полно учитывает главное назначение любой информационной АБС - исключение потерь, получение прибыли владельцем и пользователями данного инструментария в условиях реальных рисков.

      Отсюда  вытекает определение защиты информации как комплекса мероприятий, проводимых с целью предотвращения ущерба от действия угроз безопасности информации, где угроза является потенциальной  возможностью нарушения безопасности информации. Из предложенных определений следует вторичность защиты информации по отношению к ее безопасности, необходимость строгой аргументации и экономической обоснованности применения средств защиты, что реально возможно только после детального анализа объекта защиты (в нашем случае информация в АБС) и различных угроз безопасности информации.

      За  последние несколько лет в  нашей стране был сделан рывок  в автоматизации банковской деятельности, который ознаменовался завершением  в целом первого этапа автоматизации и переходом к новому этапу совершенствования АБС. Процесс автоматизации можно условно подразделить на этапы с обобщением и выделением типичных функциональных признаков многих действующих отечественных АБС.

      Средний, типичный, коммерческий банк обслуживает около 1500 клиентов, ведет 300-600 кредитных договоров, выполняет до 2000 проводок в день и хранит информацию по каждому из клиентов не менее трех лет.

      На  первом этапе автоматизации функциональное назначение АБС типичного банка ограничивалось реализацией повседневных, рутинных задач (кредитные и кассовые операции, расчеты, учет, отчетность), которые можно подразделить на несколько групп. Например, отчетность можно включать следующие группы документации: операционный день; балансы за день, оборотные балансы за отчетный период, сводные балансы; статистику; подсистемы валют, вкладчиков и кредитов.

      Для решения перечисленных задач  используется оборудование локальных  вычислительных систем (ЛВС) преимущественно  с сетевой операционной системой (ОС) NetWare фирмы Novell, в которых применяются персональные ЭВМ типа IBM PC с операционными системами MS DOS, организованные по схеме "интеллектуальные рабочие станции - файл-сервер". Используются различные простейшие системы управления базами данных (СУБД), такие как Fox Pro, Clipper, Clarion и т.д.

      Функционирование  и взаимодействие перечисленных  средств необходимо осуществлять посредством  организационных мероприятий. Наиболее часто встречается использование  отдельных фрагментов этих средств. Например, применяются агрегаты бесперебойного питания от электрической сети, позволяющие в несколько минут завершить вычислительный процесс, но не обеспечивающие работу ЛВС в случае более продолжительной аварии. Используемые криптографические средства электронной цифровой подписи, необходимые для безопасного взаимодействия с клиентами или абонентами по телекоммуникациям, как правило, не сертифицированы. Дублирование обычно ограничено использованием зеркальных накопителей на жестких магнитных дисках. Редко встречается регулярное сканирование информационных ресурсов ЛВС, которое должен осуществлять сетевой администратор.

      Так как MS DOS создавалась для широкого применения и не имеет средств  защиты информации, в банках часто  опираются на слабые защитные свойства сетевой ОС NetWare, которая предназначена для обычных условий применения в офисах и на промышленных предприятиях. Повсеместно применяется программно реализованная парольная система, призванная защитить от несанкционированного входа в систему. При этом общая ошибка пользователей MS DOS заключается в том, что они помещают процедуру вхождения с паролями в автоматические batch-файлы и не достигают необходимой защиты. Краткое перечисление слабых, фрагментарных средств защиты информации большинства отечественных АБС позволяет сделать вывод о несовершенстве их систем обеспечения безопасности информации и как следствие возрастание угроз стабильности развития банков.

      Дальнейшее  совершенствование отечественных  АБС возможно на пути приближения  к лучшим зарубежным образцам, которые поддерживают, практически, любой вид банковской деятельности, имеют богатые информационно-аналитические возможности, достаточно развитую систему безопасности информации, подсистему электронных платежей с применением пластиковых идентификационных карточек, надежные средства телекоммуникаций и гибкую, развиваемую архитектуру "клиент-сервер". Основной особенностью этой архитектуры является малая зависимость от типа ЭВМ, например, IBM RS/6000, Hewlett-Packard (HP 9000), DEC (Alpha/5900, 5000, 5200) и др. ЭВМ работает в большинстве случаев под управлением многозадачной, многопользовательской операционной системы UNIX или подобных, типа WINDOWS, OS/2, VAX VMS, OS/400.

      Структурированная система защиты информации от несанкционированного доступа (НСД) обязательно входит в перечень базовых модулей любой современной зарубежной АБС. Она включает подсистемы управления доступом и криптографических средств защиты информации. Помимо этого производится обязательная регистрация действий пользователей, а также несанкционированного входа в систему и доступа к записям. Подсистема обеспечения целостности информации, особенно в базе данных, является главной в каждой системе и включает совокупность аппаратных, программных и организационных мер и методов защиты. Особое внимание уделяется поддержке и контролю функционирования системы защиты информации.

      Не  меньшее внимание уделяется воздействию  среды, в которой функционирует  АБС, на устойчивость работы вычислительной техники²¹. При этом учитываются многообразные факторы, начиная от заземления и завершая условиями трассировки коммуникаций. Тщательно анализируются возможные нештатные аварийные ситуации с целью компенсации их воздействий на вычислительный процесс, например, с помощью резервного центра обработки данных.

      Особенности российской банковской системы накладывают  свой отпечаток на специфику безопасности информации отечественного электронного банка и предполагают их рассмотрение.

      При обеспечении безопасности информации отечественных АБС целесообразно  учитывать зарубежный и отечественный опыт защиты информации в различных государственных АС. Очевидно, что это надо делать осторожно, принимая во внимание особенности российских банков и, соответственно, их системы защиты информации.

      Перечислим  упомянутые особенности. К ним относятся: специфические правила бухгалтерского учета, неразвитость банковской деятельности, становление систем клиринговых расчетов, нестабильность и незавершенность банковского законодательства.

      Данные  особенности поясняют стремительное  и продолжающееся развитие отечественных АБС. Известно, что нет двух коммерческих банков с полностью идентичной технологией обработки документов. В этих быстро меняющихся условиях можно только укрупнено рассматривать специфику безопасности информации электронных банков и давать общие рекомендации по ее обеспечению. Изложим специфические черты обеспечения безопасности информации АБС по сравнению с аналогичными государственными системами.

      Основной  особенностью любой АБС и ее подсистем  является главенство критерия эффективность/стоимость при выборе технических или организационных решений построения системы защиты информации.

      Другая  особенность заключается в обработке  коммерческой информации, связанной  с понятием "банковская тайна". Как будет показано далее, отечественная законодательная база в области коммерческой (банковской) тайны не сформирована, что существенно затрудняет классификацию быстроменяющейся банковской информации и, следовательно, построения системы ее защиты.

      Зарубежная  статистика правонарушений в АБС и соответствующий отечественный опыт позволяют сделать вывод о приоритете целостности и доступности информационных ресурсов над их конфиденциальностью.

      Следующая особенность заключается в относительной  юридической и организационной  независимости субъектов взаимодействия в сфере экономики, что требует дополнительных усилий по юридически значимому подтверждению (проверке подлинности) участников конкретной финансовой процедуры, а также документированных результатов их сотрудничества.

      Изложенная  специфика и перечисленные особенности АБС выдвигают дополнительные требования к системам обеспечения безопасности банковской информации. Следует отметить, что это не оказывает существенного влияния на конкретные элементы и средства таких систем по сравнению с результатами классификации банковской информации.

      Ранее отмечалась сложность классификации  банковской информации, связанная с  неразвитостью банковской деятельности и соответствующего законодательства в России. Поэтому рассмотрим основные аспекты этой проблемы.

      Из  всего многообразного информационного  потока, проходящего через коммерческий банк, целесообразно выделять сведения, которые составляют банковскую тайну, являющуюся составной частью коммерческой тайны, отметим ряд особенностей банковской тайны по сравнению с коммерческой тайной:

      - банковская тайна является производной  отношений двух сторон: банка  и клиента; 

      - для коммерческой тайны важна  только охрана сущности, а для  банковской - охрана самого факта  ее наличия, т.е. отношений банка  и клиента; 

      - предоставление коммерческой тайны третьим лицам определяется возможной прибылью (для банка такое всегда имеет вынужденный характер);

      - сохранение коммерческой тайны  стимулируется возможной прибылью, что дополняется для банка  повышенной ответственностью;

      - любая купля-продажа банковской тайны всегда незаконна.

      Понятие "банковская тайна" введено законом  Российской Федерации от 2 декабря 1990 года "О банках и банковской деятельности", статья 25 "Банковская тайна" которого гласит²²: "Банки, включая Банк России, гарантируют тайну по операциям, счетам и вкладам своих клиентов и корреспондентов. Все служащие банка обязаны хранить тайну по операциям, счетам и вкладам банка, его клиентов и корреспондентов.

      Справки по операциям и счетам юридических  лиц и иных организаций могут выдаваться самим организациям, их вышестоящим органам, судам, следственным органам, органам арбитража, аудиторским организациям, а также финансовым органам по вопросам налогообложения (валютный контроль).

      Справки по счетам и вкладам граждан выдаются, кроме самих клиентов и их представителей, судам и следственным органам по делам, находящимся в их производстве, в случаях, когда на денежные средства и иные ценности наложен арест, обращено взыскание или применена конфискация имущества".

      Как следует из приведенной выдержки, банковская тайна охватывает операции, счета и вклады банка, его клиентов и корреспондентов. Законодательные исключения из этого положения касаются отдельных операций, которые связаны с деятельностью судебных и налоговых ведомств. Ответственность банка за сохранение тайны может быть увеличена и дополнена в договорах банка и клиента.

      При определении охраняемой коммерческой и, тем более, банковской информации необходимо выяснить: степень известности  информации третьим лицам, финансовую или иную ценность охраняемых сведений, возможность реального сохранения тайны, непротиворечивость охраны конкретных сведений действующему законодательству, соотношение средств, затрачиваемых на защиту информации и ее реальной стоимости.