Проблемы информационной безопасности банков

В различных системах механизмы защиты могут быть реализованы  по-разному; их конструкция определяется общей концепцией системы. Однако одно требование должно выполняться неукоснительно: эти механизмы должны адекватно реализовывать требования политики безопасности.

Имеется два подхода  к обеспечению безопасности АСОИБ.

«Фрагментарный» подход ориентируется на противодействие  строго определенным угрозам при  определенных условиях. Примерами реализации такого подхода являются, например, специализированные антивирусные средства, отдельные средства регистрации и управления, автономные средства шифрования и т.д. Главная отличительная особенность «фрагментарного» подхода — отсутствие единой защищенной среды обработки информации.

Главным достоинством «фрагментарного» подхода является его высокая  избирательность относительно конкретной угрозы, обуславливающая и основной его недостаток — локальность  действия. Другими словами, фрагментарные  меры защиты обеспечивают эффективную защиту конкретных объектов АСОИБ от конкретной угрозы, но не более того. Даже небольшое видоизменение угрозы ведет к потере эффективности защиты; распространить действие таких мер на всю АСОИБ практически невозможно.

Особенностью комплексного подхода является создание защищенной среды обработки информации в АСОИБ, объединяющей разнородные меры противодействия угрозам (правовые, организационные, программно-технические). Защищенная среда обработки информации строится на основе разработанных для конкретной АСОИБ правил обработки критической информации.

Организация защищенной среды обработки информации позволяет  гарантировать (в рамках разработанной  политики безопасности) уровень безопасности АСОИБ. Недостатками подхода являются высокая чувствительность к ошибкам установки и настройки средств защиты, сложность управления, ограничения на свободу действий пользователей АСОИБ.

Комплексный подход применяют  для защиты крупных АСОИБ, или  небольших АСОИБ, обрабатывающих дорогостоящую  информацию или выполняющих ответственные задачи. При этом способ реализации комплексной защиты определяется спецификой АСОИБ, другими объективными и субъективными факторами.

Для всех крупных организаций  характерно то, что нарушение безопасности информации в их АСОИБ может нанести огромный материальный ущерб как самим организациям, так и их клиентам. Поэтому эти организации вынуждены особое внимание уделять гарантиям безопасности, что ведет к необходимости реализации комплексной защиты.

Комплексного подхода  придерживаются большинство государственных и крупных коммерческих предприятий и учреждений, он нашел свое отражение в различных стандартах и целенаправленно проводится в жизнь, например, Министерством обороны США в лице Национального Центра Компьютерной Безопасности (NCSC). [2, с.201]

Важным компонентом  защиты является «горячий резерв».

«Горячий резерв» используется для возобновления процесса обработки  после событий, вызвавших полный или частичный отказ основной системы — в результате отключения энергоснабжения, неисправности оборудовании или программного обеспечения, злого умысла («вирусная атака») и т.д.

«Горячий резерв» —  это готовая к работе дублирующая  система, в которой полностью  сгенерирована операционная система, размещены прикладное программное  обеспечение и наборы данных. Кроме того, резервная система должна иметь работоспособные периферийные устройства, подключенные каналы связи, источники энергоснабжения и даже персонал. Время на подготовку определяется временем загрузки резервных копий и системы.

Содержание «горячего резерва» обходится очень дорого. Однако в некоторых случаях — для обработки информации, требующей полного контроля со стороны ее владельца, «горячий резерв» необходим. Кроме того, можно содержать и использовать «горячий резерв» на кооперативных началах — вместе с другими организациями.

«Расщепленный резерв»  представляет собой способ не столько  восстановления, сколько организации  АСОИБ. В этом смысле о нем можно  говорить, как о способе организации  системы с высокой степенью распределенности и взаимодублирующими составными частями. При таком подходе критичные элементы системы (аппаратура, программы, данные) разнесены по отдельным ее частям (узлам распределенной системы) и функционируют в какой-то мере независимо, обмениваясь между собой информацией по каналам связи.

В случае выхода из строя  отдельных элементов системы  другие могут взять на себя их функции. Времени на приведение дублирующих  элементов в рабочее состояние  очень мало, фактически оно определяется загрузкой из резервных копий (так  как аппаратура расщепленного резерва всегда находится в рабочем состоянии).

Такой способ обеспечения  непрерывной работы и восстановления очень эффективен, так как позволяет  быстро осуществлять переход с основных элементов АСОИБ на дублирующие. Более того, этот переход может быть практически незаметен для пользователей за исключением возрастания нагрузки на отдельные элементы. Однако при использовании «расщепленного резерва» возникает множество проблем, основными из которых являются:

1. Определение критической  нагрузки. Распределение аппаратуры, программ и данных по элементам всей АСОИБ таким, чтобы обеспечить оптимальное дублирование и восстановление данных и процесса их обработки в различных ситуациях. Существующие математические методы позволяют рассчитывать оптимальную критическую нагрузку для каждого конкретного случая.

2. Обеспечение безопасности. При распределении программ и  данных по различным элементам  системы неизбежно увеличивается  вероятность различных нарушений.  Эта вероятность повышается в  критических случаях, когда информация может обрабатываться на других элементах системы, возможно, с нарушением безопасности. В этом случае необходимо разрабатывать политику безопасности и составлять планы с учетом возможных опасных ситуаций и реакции на них.

«Холодный резерв» используется для возобновления процесса обработки после серьезных, нанесший большой ущерб событий, которые привели к полному выходу системы из строя пожара, наводнения и т.д. Время на восстановление в этом случае может исчисляться неделями и месяцами. Естественно, это слишком большой срок, чтобы позволить себе обходиться без обработки информации.

«Холодный резерв» представляет собой резервную систему обработки  данных, которая не участвует в  повседневной деятельности организации. Резервная система поставляется определенными фирмами (по заранее согласованной договоренности) в течение короткого промежутка времени (24 часа). Так же оперативно выполняются пуско-наладочные работы, после чего резервная система готова принять на себя функции основной.

В результате подобных мероприятий перерыв в работе АСОИБ в результате полного и необратимого выхода ее из строя будет исчисляться днями, а не неделями и месяцами. В то же время, покупка и установка резервной системы — дело дорогое, к тому же она не сможет принять на себя все функции основной, а только некоторую их часть. Поэтому «холодный резерв» целесообразно использовать для возобновления выполнения наиболее важных операций.

В том случае, когда  размер ущерба невелик, система серьезно не пострадала, то наилучшим способом может быть отсутствие экстренных действий и продолжение работы.

Важным понятием политики безопасности является избирательная  политика безопасности

Основой избирательной  политики безопасности является избирательное  управление доступом (ИУД), которое подразумевает, что:

- все субъекты и  объекты системы должны быть  идентифицированы;

- права доступа субъекта  к объекту системы определяются  на основании некоторого внешнего (по отношению к системе) правила  (свойство избирательности).

Для описания свойств избирательного управления доступом применяется модель системы на основе матрицы доступа (МД, иногда ее называют матрицей контроля доступа). Такая модель получила название матричной.

Матрица доступа представляет собой матрицу, в которой объекту  системы соответствует столбец, а субъекту — строка. На пересечении столбца и строки матрицы указывается тип (типы) разрешенного доступа субъекта к объекту. Обычно выделяют такие типы доступа субъекта к объекту как «доступ на чтение», «доступ на запись», «доступ на исполнение» и др.

Множество объектов и  типов доступа к ним субъекта может изменяться в соответствии с некоторыми правилами, существующими  в данной системе. Определение и  изменение этих правил также является задачей ИУД. Например, доступ субъекта к конкретному объекту может быть разрешен только в определенные дни (дата-зависимое условие), часы (время-зависимое условие), в зависимости от других характеристик субъекта (контекстно-зависимое условие) или в зависимости от характера предыдущей работы. Такие условия на доступ к объектам обычно используются в СУБД. Кроме того, субъект с определенными полномочиями может передать их другому субъекту (если это не противоречит правилам политики безопасности).

Решение на доступ субъекта к объекту принимается в соответствии с типом доступа, указанным в соответствующей ячейке матрицы доступа. Обычно, избирательное управление доступом реализует принцип «что не разрешено, то запрещено», предполагающий явное разрешение доступа субъекта к объекту.

Матрица доступа —  наиболее примитивный подход к моделированию систем, который, однако, является основой для более сложных моделей, наиболее полно описывающих различные стороны реальных АСОИБ.

Вследствие больших  размеров и разреженности МД хранение полной матрицы представляется нецелесообразным, поэтому во многих средствах защиты используют более экономные представления МД (профили). Каждый из этих способов представления МД имеет свои достоинства и недостатки, обуславливающие область их применения. Поэтому в каждом конкретном случае надо знать, во-первых, какое именно представление использует средство защиты, и, во-вторых, какие особенности и свойства имеет это представление.

Основу полномочной  политики безопасности составляет полномочное  управление доступом, которое подразумевает, что:

- все субъекты и объекты системы должны быть однозначно идентифицированы;

- каждому объекту системы  присвоена метка критичности,  определяющая ценность содержащейся  в нем информации;

- каждому субъекту  системы присвоен уровень прозрачности, определяющий максимальное значение метки критичности объектов, к которым субъект имеет доступ.

В том случае, когда  совокупность меток имеет одинаковые значения, говорят, что они принадлежат  к одному уровню безопасности. Организация  меток имеет иерархическую структуру  и, таким образом, в системе можно реализовать иерархически ненисходящий (по ценности) поток информации (например, от рядовых исполнителей к руководству). Чем важнее объект или субъект, тем выше его метка критичности. Поэтому наиболее защищенными оказываются объекты с наиболее высокими значениями метки критичности.

Каждый субъект кроме  уровня прозрачности имеет текущее  значение уровня безопасности, которое  может изменяться от некоторого минимального значения до значения его уровня прозрачности.

Для моделирования полномочного управления доступом используется модель Белла-Лападула [2, с.159], включающая в себя понятия безопасного (с точки зрения политики) состояния и перехода. Для принятия решения на разрешение доступа производится сравнение метки критичности объекта с уровнем прозрачности и текущим уровнем безопасности субъекта. Результат сравнения определяется двумя правилами: «простым условием защиты» и «свойством». В упрощенном виде, они определяют, что информация может передаваться только «наверх», то есть субъект может читать содержимое объекта, если его текущий уровень безопасности не ниже метки критичности объекта, и записывать в него, - если не выше.

Простое условие защиты гласит, что любую операцию над  объектом субъект может выполнять  только в том случае, если его уровень прозрачности не ниже метки критичности объекта.

Основное назначение полномочной политики безопасности — регулирование доступа субъектов  системы к объектам с различным  уровнем критичности и предотвращение утечки информации с верхних уровней  должностной иерархии на нижние, а также блокирование возможных проникновении с нижних уровней на верхние. При этом она функционирует на фоне избирательной политики, придавая ее требованиям иерархически упорядоченный характер (в соответствии с уровнями безопасности).

Изначально полномочная  политика безопасности была разработана  в интересах минобороны США для  обработки информации с различными грифами секретности. Ее применение в коммерческом секторе сдерживается следующими основными причинами :

- отсутствием в коммерческих организациях четкой классификации хранимой и 'обрабатываемой информации, аналогичной государственной классификации (грифы секретности сведений);

- высокой стоимостью  реализации и большими накладными  расходами.

Помимо управления доступом субъектов к объектам системы проблема защиты информации имеет еще один аспект. Чтобы получить информацию о каком-либо объекте системы, вовсе не обязательно искать пути несанкционированного доступа к нему. Можно получать информацию, наблюдая за работой системы и, в частности, за обработкой требуемого объекта. Иными словами, при помощи каналов утечки информации. По этим каналам можно получать информацию не только о содержимом объекта, но и о его состоянии, атрибутах и др. в зависимости от особенностей системы и установленной защиты объектов. Эта особенность связана с тем, что при взаимодействии двух субъектов возникает некоторый поток информации от одного к другому.