Інформаційні системи і технології в банках – Страхарчук А. Я. – 6.6. ІНФОРМАЦІЙНА БЕЗПЕКА ЕЛЕКТРОННИХ БАНКІВСЬКИХ ПОСЛУГ
6.6.1. Концептуальні засади створення системи інформаційної безпеки
Розвиток тенденцій розподіленої обробки даних на базі сучасних автоматизованих технологій, невпинне зростання користувачів Internet супроводжуються виникненням нових чи видозміною старих проблем, що є негативними супутниками технічного прогресу.
Нині стан захисту національних інформаційних ресурсів та систем викликає занепокоєність у всьому світі. Західні фахівці та експерти констатують украй важкий стан інформаційної безпеки у фінансових структурах, їхню неспроможність протистояти можливим атакам на інформаційні системи. За оцінкою Комітету ООН із запобігання злочинності і боротьби з нею, комп’ютерна злочинність вийшла на рівень однієї з головних міжнародних проблем. У США цей вид злочинної діяльності за прибутковістю займає третє місце після торгівлі зброєю і наркотиками.
Фактів щодо загроз вивести з ладу комп’ютерні системи – безліч, крадіжки інтелектуальної власності в Internet набувають усе більших обсягів, але мало яка фінансова установа наважиться їх розголошувати, оскільки це знижує рівень довіри до них. Навіть у країнах із найбільш розвиненим електронним бізнесом угоди чи вартість товарів звичайно обмежуються невеликими сумами в межах 300-400 доларів. Це викликано, перш за все, недостатнім розв’язанням проблем інформаційної безпеки в мережах ЕОМ.
Тому питання захисту банківських електронних оn-line-систем е найважливішим при їх організації. Захист інформації в оn-line – системах має бути досить надійним, водночас витрати на організацію захисту не мають перевищувати збитки, які можуть виникати від порушення системи захисту за весь час експлуатації системи. Крім того, будь-які елементи системи захисту не мають знижувати надійність роботи системи і відволікати значні її ресурси.”
Належний рівень інформаційної безпеки будь-якої інформаційної комп’ютерної системи виключає фінансові втрати і забезпечує одержання прибутку власником і користувачами інструментарію в умовах реальних ризиків. Це особливо актуально для відкритих систем загального користування, що обробляють закриту інформацію обмеженого доступу. Термін “відкритий” означає, що всі пристрої і процеси системи (обчислювальної мережі) взаємодіють відповідно до певного набору стандартів і тому відкриті для взаємодії з іншими системами (обчислювальними мережами). Такий підхід пов’язаний із потребою залучати в єдину систему велику кількість технічних засобів і програм, які використовуються в обчислювальних системах чи мережах. Термін “відкритість” означає також, що обчислювальна система, яка відповідає певним стандартам, буде відкрита для взаємозв’язку з будь-якою іншою системою, що відповідає тим самим стандартам. Це, зокрема, стосується і механізмів криптографічного захисту інформації чи захисту від несанкціонованого доступу (НСД) до інформації.
Розробка системи захисту електронних банківських послуг передбачає створення моделі можливих загроз і вибір ефективних способів захисту, який має бути невід’ємною частиною оn-line – системи і здійснюватися на всіх етапах функціонування.
Основні поняття інформаційної безпеки
Розвиток інформаційно-телекомунікаційних систем різного призначення, зокрема глобальної мережі Internet, і потреба обміну конфіденційною інформацією між організаціями визначили напрям роботи світового співтовариства із систематизації та впорядкування основних вимог і характеристик таких систем щодо інформаційної безпеки.
Під безпекою інформації будемо розуміти стан стійкості інформації до випадкових чи навмисних впливів, що виключає неприпустимі ризики її знищення, перекручування і розкриття, які призводять до матеріального збитку власника чи користувача інформації.
Під безпекою on-line-систем будемо розуміти захист від несанкціонованого доступу до інформації, несанкціонованих змін інформації, несанкціонованих операцій із функціями систем.
Отже, стосовно інформаційних систем термін “безпека” означає можливість протистояти спробам завдавати збитків власникам або користувачам системи від різних впливів на неї (навмисних або ненавмисних). Це – стійкість системи до помилок під час передавання даних і до технічних неполадок, захист програм, файлів, апаратних засобів від підробки та зловживань, пов’язаних із несанкціонованим доступом.
Згідно із визначенням, безпека інформаційних систем може бути досягнута за допомогою дотримання конфіденційності інформації, яку обробляє система, цілісності компонентів і ресурсів системи та інформації, яка обробляється, накопичується і зберігається, доступності компонентів і ресурсів системи.
Конфіденційність інформації – це властивість інформації бути доступною тільки тим суб’єктам системи (користувачам, програмістам, процесам тощо), які витримали перевірку і були допущені до цієї інформації (були авторизовані).
Цілісність компонентів і ресурсів системи – це властивість компонентів системи бути незмінними протягом функціонування системи. Зміни інформації, яку обробляє система, мають здійснювати лише авторизовані користувачі або процеси системи.
Доступність компонентів (ресурсів) системи – це властивість компонентів (ресурсів) системи бути доступними для використання тільки авторизованими суб’єктами системи в будь-який час.
Безпека системи складається із зовнішньої і внутрішньої безпеки.
Зовнішня безпека передбачає захист системи від проникнення зловмисників і ззовні з метою викрадення, отримання доступу до інформації або виведення системи з ладу; захист від втрати або модифікації системою інформації в разі стихійних лих (пожеж, землетрусів тощо).
Внутрішня безпека – забезпечення надійної та коректної роботи, цілісності інформації і компонентів (ресурсів) системи, що вимагає створення надійних і зручних механізмів регламентування діяльності усіх користувачів та обслуговуючого персоналу, підтримання дисципліни доступу до ресурсів системи.
Є два підходи до забезпечення безпеки інформаційних систем: фрагментарний та комплексний.
Фрагментарний підхід зорієнтований на протидію чітко визначеним загрозам за певних умов використання системи. Цей підхід забезпечує міцний захист від конкретної загрози, але при цьому характерний локальністю дії та відсутністю єдиного захищеного середовища для обробки інформації. Тому такий підхід є неприйнятним для захисту багатьох електронних систем, зокрема систем надання банківських послуг.
Для створення захисту банківських оn-line – систем треба використовувати комплексний підхід, а саме: створення захищеного середовища для обробки інформації в системі, яке об’єднує різноманітні (правові, організаційні, програмно-технічні) засоби для протидії будь-яким загрозам.
(2 votes, average: 4,50 out of 5)