Анализ и оценка современных средств хранения и передачи информации

После успешной авторизации  клиент обычно получает возможность  просмотра собственной банковской информации без выполнения финансовых транзакций или с серьезными ограничениями  на проведение платежей. Например, он может  провести платежи только по ранее  авторизованным клиентом шаблонам и  с небольшими лимитами на проведение операций.

Обычно доступ к банковским системам осуществляется физическими  лицами с компьютеров, которые используются также для выполнения и других задач. Поэтому для обеспечения  более безопасной работы с системами  клиент может установить виртуальную  машину на своем компьютере и произвести на ней настройки персонального  брандмауэра, которые разрешают  доступ только по адресам, которые указаны  на сайте банка.

Если установленный брандмауэр позволяет быстро изменять свою конфигурацию, клиент может модифицировать параметры  перед проведением работ в  системе. После окончания работы в системе клиент восстанавливает  параметры для доступа к ресурсам сети Интернет без ограничений.

Завершение работы с системами  необходимо проводить штатными средствами этих систем - обычно это ссылка «выход/окончание  работы». В результате стандартного завершения работы в системе производится удаление параметров ранее установленной  сессии, как на клиентском компьютере, так и на сервере банка, что  повышает безопасность системы.

Руководства пользователей  систем банков, размещенные на сайтах банков, требуют извлекать ключевой носитель с ключами электронной  подписи из компьютера после завершения работы с системой и не использовать ключевой носитель для других целей, кроме хранения ключевой информации.

В некоторых системах платеж можно произвести только в адрес  предопределенных клиентом получателей. Для определения получателей  необходимо произвести активизацию  получателя платежа, введенного с использованием Web-интерфейса при идентификации  клиента банка по телефону. В данном случае клиенту необходимо инициировать телефонный звонок в службу технической  поддержки Банка. В случае нахождения клиента за границей РФ, учитывая то, что одной минутой время звонка может не ограничиться, это приводит к дополнительным затратам при добавлении получателя платежа.

2.3 Основные принципы построения  системы информационной безопасности  ЗАО «Банк Русский Стандарт»

Построение системы, обеспечения  безопасности информации ЗАО «Банк  Русский Стандарт», и ее функционирование должны осуществляться в соответствии со следующими основными принципами: законность; системность; комплексность; непрерывность; своевременность; преемственность  и непрерывность совершенствования; разумная достаточность (экономическая  целесообразность); персональная ответственность; минимизация полномочий; исключение конфликта интересов; взаимодействие и сотрудничество; гибкость системы  защиты; открытость алгоритмов и механизмов защиты; простота применения средств защиты; обоснованность и техническая реализуемость; специализация и профессионализм; обязательность контроля.

Рассмотрим вышеуказанные  принципы более подробно.

Законность предполагает осуществление защитных мероприятий  и разработку системы безопасности информации Банка в соответствии с действующим законодательством  в области информации, информатизации и защиты информации, а также других нормативных актов по безопасности информации, утвержденных органами государственной  власти и управления в пределах их компетенции, с применением всех дозволенных методов обнаружения  и пресечения правонарушений при  работе с информацией. Принятые меры безопасности информации не должны препятствовать доступу правоохранительных органов в предусмотренных законодательством случаях к информации конкретных подсистем.

Все пользователи информационной системы Банка должны иметь представление  об ответственности за правонарушения в области информации.

Системный подход к построению системы защиты информации в Банке  предполагает учет всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и  факторов, значимых для понимания  и решения проблемы обеспечения  безопасности информации.

При создании системы защиты должны учитываться все слабые и  уязвимые места информационной системы  Банка, а также характер, возможные  объекты и направления атак на нее со стороны нарушителей, пути проникновения в распределенные системы и несанкционированного доступа к информации. Система  защиты должна строиться с учетом не только всех известных каналов  проникновения и несанкционированного доступа к информации, но и с  учетом возможности появления принципиально  новых путей реализации угроз  безопасности.

Комплексное использование  методов и средств защиты компьютерных систем предполагает согласованное  применение разнородных средств при построении целостной системы защиты, перекрывающей все существенные каналы реализации угроз и не содержащей слабых мест на стыках отдельных ее компонентов. Защита должна строиться эшелонировано. Внешняя защита должна обеспечиваться физическими средствами, организационными и правовыми мерами.

Обеспечение безопасности информации - процесс, осуществляемый Руководством Банка, подразделениями защиты информации и сотрудниками всех уровней. Это  не только и не столько процедура  или политика, которая осуществляется в определенный отрезок времени  или совокупность средств защиты, сколько процесс, который должен постоянно идти на всех уровнях внутри Банка и каждый сотрудник Банка  должен принимать участие в этом процессе. Деятельность по обеспечению  информационной безопасности является составной частью повседневной деятельности Банка.

Персональная ответственность  предполагает возложение ответственности  за обеспечение безопасности информации и системы ее обработки на каждого  сотрудника в пределах его полномочий. В соответствии с этим принципом  распределение прав и обязанностей сотрудников строится таким образом, чтобы в случае любого нарушения  круг виновников был четко известен или сведен к минимуму.

Принцип минимизация полномочий означает предоставление пользователям  минимальных прав доступа в соответствии со служебной необходимостью. Доступ к информации должен предоставляться  только в том случае и объеме, если это необходимо сотруднику для  выполнения его должностных обязанностей.

Принцип разделения функций  предполагает четкое разделение обязанностей сотрудников и исключение ситуаций, когда сфера ответственности  сотрудников допускает конфликт интересов. Сферы потенциальных  конфликтов должны выявляться, минимизироваться, и находится под строгим независимым  контролем. Реализация данного принципа предполагает, что не один сотрудник  не должен иметь полномочий, позволяющих  ему единолично осуществлять выполнение критичных операций. Наделение сотрудников  полномочиями, порождающими конфликт интересов, дает ему возможность  подтасовывать информацию в корыстных  целях или с тем, чтобы скрыть проблемы или понесенные убытки. Для  снижения риска манипулирования  информацией и риска хищения, такие полномочия должны в максимально  возможной степени быть разделены  между различными сотрудниками или  подразделениями Банка. Необходимо проводить периодические проверки обязанностей, функций и деятельности сотрудников, выполняющих ключевые функции, с тем, чтобы они не имели  возможности скрывать совершение неправомерных  действий. Необходимо принимать специальные  меры по недопущению сговора между  сотрудниками.

Принцип взаимодействия и  сотрудничества предполагает создание благоприятной атмосферы в коллективах  структурных подразделений Банка. В такой обстановке сотрудники должны осознанно соблюдать установленные  правила и оказывать содействие деятельности подразделений защиты информации.

Принцип гибкости системы  защиты подразумевает, что система  обеспечения информационной безопасности должна быть способна реагировать на изменения внешней среды и  условий осуществления Банком своей  деятельности. В число таких изменений  входят: изменения организационной  и штатной структуры Банка; корпоративная  реструктуризация, слияния и поглощения; расширение или приобретение бизнеса  за рубежом (включая влияние изменений  в соответствующей экономической  или правовой среде); изменение существующих или внедрение принципиально  новых информационных систем; новые  технические средства; новые виды деятельности; новые услуги, продукты.

Суть принципа открытости алгоритмов и механизмов защиты состоит  в том, что защита не должна обеспечиваться только за счет секретности структурной  организации и алгоритмов функционирования ее подсистем. Знание алгоритмов работы системы защиты не должно давать возможности  ее преодоления (даже авторам). Это, однако, не означает, что информация об используемых системах и механизмах защиты должна быть общедоступна.

Суть принципа простоты и  применения средств защиты состоит  в том, механизмы и методы защиты должны быть интуитивно понятны и  просты в использовании. Применение средств и методов защиты не должно быть связано со знанием специальных  языков или с выполнением действий, требующих значительных дополнительных трудозатрат при обычной работе зарегистрированных пользователей, а  также не должно требовать от пользователя выполнения рутинных малопонятных ему  операций.

Реализация принципа обоснованности и технической реализуемости  состоит в том, что информационные технологии, технические и программные  средства, средства и меры защиты информации должны быть реализованы на современном  уровне развития науки и техники, обоснованы с точки зрения достижения заданного уровня безопасности информации и экономической целесообразности, а также должны соответствовать  установленным нормам и требованиям  по безопасности информации.

Принцип специализации и  профессионализма состоит, прежде всего, в том, что к разработке средств  и реализации мер защиты информации специализированных организаций, наиболее подготовленных к конкретному виду деятельности по обеспечению безопасности информационных ресурсов, имеющих опыт практической работы и государственную лицензию на право оказания услуг в этой области. Реализация административных мер и эксплуатация средств защиты должна осуществляться профессионально подготовленными специалистами Банка (специалистами подразделений защиты информации).

Принцип обязательности контроля предполагает обязательность и своевременность  выявления и пресечения попыток  нарушения установленных правил, обеспечения безопасности информации, на основе используемых систем и средств  защиты информации, при совершенствовании  критериев и методов оценки эффективности  этих систем и средств.

Недостатки системы обеспечения  информационной безопасности, выявленные сотрудниками Банка или подразделениями  обеспечения безопасности должны немедленно доводиться до сведения руководителей  соответствующего уровня и оперативно устраняться. О существенных недостатках  необходимо сообщать руководству Банка. Важно, чтобы после получения  информации соответствующие руководители обеспечивали своевременное исправление  недостатков. Руководство должно периодически получать отчеты, суммирующие все  проблемы, выявленные системой обеспечения  информационной безопасности. Вопросы, которые кажутся незначительными, когда отдельные процессы рассматриваются  изолированно, при рассмотрении их наряду с другими аспектами могут  указать на отрицательные тенденции, грозящие перерасти в крупные  недостатки, если они не будут своевременно устранены.

Глава 3. Перспективы развития средств хранения и передачи информации в российских кредитно-финансовых учреждениях

3.1 Использование сети  Интернет кредитно-финансовыми учреждениями

Сеть Internet развивается экспоненциально. Пожалуй, самый мощный толчок к развитию Сеть получила с появлением и распространением Всемирной Паутины, которая превратила Internet в единое киберпространство. Сеть стала превращаться в общедоступную систему массового информационного обслуживания.

Интерактивный характер общения  с Сетью подталкивал к тому, чтобы расширить круг источников дохода за пределы традиционных поступлений  от размещения рекламы. На Западе появились  дистанционные торговые службы, где  можно ознакомиться с предложением товаров, посмотреть их фотографии на экране компьютера - и тут же заказать товар, заполнив соответствующую экранную форму. Прошло не так уж много времени, и подобные службы были дополнены  средствами дистанционной оплаты товара - по той же Сети, с использованием вначале обычных пластиковых  карточек, а затем и специально разработанных для Internet механизмов расчета.

Вот тут в дело вступили банки. В разработку безопасных средств  электронных расчетов для Сети полились деньги, что сразу же привлекло  к ним внимание, ведущих компьютерных фирм. Некоторые западные банки начали создавать службы расчетов, целиком  ориентированные на Internet. Появилось даже несколько "виртуальных банков", обслуживание в которых в основном через Internet и происходит.

Ситуация в России несколько  хуже. В российской части Internet было представлено всего около десятка банков. Никаких систем электронных расчетов через Internet не имеется. Интерактивные службы, в основном, ограничены некоторыми операциями на рынке ценных бумаг. Наши банки в основном используют Интернет для размещения информации о себе.

Тем не менее, начало положено, наши банки в Интернете присутствуют. Что касается электронных расчетов, в этой области прогресс сдерживается отсутствием нормативно-правовой базы.

Остановимся на основных возможностях, которые дает банку применение Internet. Здесь следует отметить, что сеть Internet в принципе применима для самых разных областей работы банка - от взаимодействия с клиентом до обмена информацией с другими банками.

Первым этапом работы в  Internet для любой финансовой организации обычно становится использование World Wide Web для опубликования рекламной и прочей информации. Сегодня примерно 300 финансовых организаций применяют WWW как средство рекламы.

Второй этап - предоставление клиентам базового доступа в банк. Клиенты получают возможность просмотреть  относящуюся к ним финансовую информацию, при этом они ничего не могут с ней сделать.