Інформаційні системи і технології в банках - Страхарчук А. Я. - Створення політики безпеки

У будь-якій інформаційній системі, з погляду захисту інформації, можна виділити таких учасників інформаційного обміну: відправник інформації; одержувач інформації; зловмисник; арбітр.

Здійснюючи фінансові операції, усі чотири сторони треба вважати такими, що не довіряють одна одній. Отже, моделі загроз для інформаційних систем мають будуватися на основі взаємної недовіри.

Політика безпеки може бути визначена як набір законів, правил і практичних рекомендацій, на базі яких здійснюється керування, захист і розподіл критичної інформації в системі.

Політика безпеки має охоплювати всі етапи обробки інформації, визначати поведінку системи в різних ситуаціях. Тому, беручись за розроблення політики безпеки системи, слід розглянути основні принципи, яких треба дотримувати під час створення системи захисту, оцінити ризики, які можуть виникати в разі здійснення загроз унаслідок порушень системи захисту з боку різних елементів платіжної системи та обслуговуючого персоналу.

Розробляючи політику безпеки банківських електронних систем, треба враховувати їхню специфіку порівняно з іншими інформаційними системами. Особливості банківської інформаційної системи зумовлені специфікою тих завдань, які виконують за її допомогою, а саме:

- уся інформація, яка обробляється, накопичується і зберігається в системі, є конфіденційною, тому значну увагу доводиться приділяти криптографічному захисту за допомогою шифрування, розподілу доступу й автентифікації в мережі, захисту місць підключення до мереж зв'язку тощо;

- інформація, яка циркулює в банківській системі, не може бути втрачена, дубльована або модифікована. У зв'язку з цим посилюються вимоги до надійності апаратного і програмного забезпечення, оперативного і повного (за можливостями) відновлення інформації після аварій та збоїв у роботі;

- обробка кожного запиту не потребує значних ресурсів системи, але оскільки потік таких запитів до системи є значним і великим, то продуктивність системи має бути великою та постійною.

Зважаючи на специфіку банківської інформації, для систем інтерактивного банківського обслуговування клієнтів можна визначити такі основні принципи створення системи захисту:

- конфіденційність, тобто гарантія, що інформація дається тільки авторизованим користувачам;

- цілісність, тобто гарантія, що інформація не може бути несанкціоновано змінена;

- доступність і безперервність роботи системи, тобто гарантія, що достовірна інформація буде доступна, коли це потрібно.

Щодо ідентифікації основних типів загроз, найбільш уразливих місць системи, де вони можуть виникати, можна виділити основні типи загроз для банківських оn-line-систем:

- неавторизоване проникнення до системи, несанкціонована модифікація або знищення інформації;

- ненавмисна модифікація або знищення інформації;

- недоставка або помилкова доставка інформації;

- затримка або погіршення обслуговування.

Загроза неавторизованого проникнення до системи охоплює всі типи несанкціонованого доступу, у тому числі такі: фальсифікація санкції на доступ, неправомірне використання паролів, спроби працювати від імені іншої особи, несанкціоноване використання носіїв даних, перехоплення повідомлень у каналах зв'язку, вірусні атаки тощо. Загроза ненавмисної модифікації виникає унаслідок помилок у програмному забезпеченні, апаратних збоїв, помилок персоналу та користувачів і т. ін. Затримка або погіршення обслуговування можуть призвести до втрати коштів унаслідок штрафних санкцій і, що найважливіше, до втрати довіри до банківської системи.

Схожі статті




Інформаційні системи і технології в банках - Страхарчук А. Я. - Створення політики безпеки

Предыдущая | Следующая