Загрози інформації в банку.
У зовнішньому середовищі системи поділяють такі види загроз інформації:-
порушення фізичної цілісності (знищення, руйнування елементів);
порушення логічної цілісності (руйнування логічних зв'язків);
модифікація змісту (зміна блоків інформації, зовнішнє нав'язування неправдивої інформації);
порушення конфіденційності (руйнування захисту, зменшення ступеня захищеності інформації);
природного походження: нещасні випадки (пожежі, аварії, вибухи), стихійні лиха (урагани, повені, землетруси), помилки в процесі обробки інформації (помилки користувача, оператора, збої апаратно-програмного забезпечення (АПО)) і т.д.
Прімечаніе.Под загрозою (в загальному сенсі) зазвичай розуміють потенційно можлива подія (вплив, процес або явище), яке може привести до нанесення збитку чиїмось інтересам.
У моделі виділяються внутрішні (запобігання загроз, що виходять з внутрішніх джерел) та зовнішні (запобігання загроз, що виходять ззовні) засоби захисту інформації. Зовнішні та внутрішні засоби захисту інформації є складовими частинами системи інформаційної безпеки, що функціонує в банку.
Джерелами зовнішніх загроз є:-
природні системи (Астрокосмічного, планетарні, фізичні, хімічні, біологічні);
штучні системи (організаційно-економічні та технічні системи, а також мають змішаний характер (наприклад, біотехнічні));
абстрактні системи (символічні (моделі, алгоритми, програми, технологічні карти і т.д.) і описові системи (наприклад, у вигляді уточнень релігійного чи етнічного характеру)).
Примітка. Найбільшими можливостями для нанесення шкоди організації банківської системи Російської Федерації має її власний персонал.
Джерелами внутрішніх загроз системи є її підсистеми і елементи:-
люди;
технічні пристрої та системи;
технологічні схеми обробки;
застосовувані в системах обробки даних моделі, алгоритми, програми. Причини виникнення загроз діляться на:
-
Об'єктивні (кількісна або якісна недостатність елементів системи). Загрози, обумовлені цими причинами, не пов'язані безпосередньо з діяльністю людей і є випадковими по характеру походження погрозами.
Суб'єктивні. Загрози, обумовлені цими причинами, безпосередньо пов'язані з діяльністю людини і є як навмисними (діяльність розвідок іноземних держав, промислове шпигунство, діяльність кримінальних елементів і недобросовісних співробітників), так і ненавмисними (поганий психологічний стан, недостатня підготовка, низький рівень знань) погрозами інформації. До суб'єктивних причин відносяться:
-
Несанкціонований доступ (одержання особами в обхід системи захисту за допомогою програмних, технічних та інших засобів, а також в силу випадкових обставин доступу до оброблюваної інформації і зберігається на об'єкті інформації).
Розглянемо щодо повне безліч каналів несанкціонованого отримання інформації, сформований на основі такого показника, як ступінь взаємодії зловмисника з інформаційними підсистемами.
До першого класу відносяться канали від джерела інформації при несанкціонованому доступі до нього:-
розкрадання носіїв інформації;
установка закладних пристроїв в приміщення і знімання інформації з їх допомогою, вивідування інформації від обслуговуючого персоналу на об'єкті;
До другого класу відносяться канали зі засобів обробки інформації при несанкціонованому доступі до них:-
зняття інформації з пристроїв електронної пам'яті;
установка закладних пристроїв в системи обробки інформації;
введення програмних продуктів, що дозволяють зловмисникові отримувати інформацію;
До третього класу належать канали від джерела інформації без несанкціонованого доступу до нього:-
отримання інформації по акустичним каналам (в системах вентиляції, теплопостачання, а також за допомогою спрямованих мікрофонів);
отримання інформації по віброакустичним каналам (з використанням акустичних датчиків, лазерних пристроїв);
використання технічних засобів оптичної розвідки (біноклів, підзорних труб і т.д.);
використання технічних засобів оптико-електронної розвідки (зовнішніх телекамер, приладів нічного бачення і т.д.);
огляд відходів і сміття;
До четвертого класу належать канали зі засобів обробки інформації без несанкціонованого доступу до них:-
електромагнітні випромінювання системи обробки інформації (паразитні електромагнітні випромінювання, паразитная генерація каскадів, паразитная модуляція високочастотних генераторів низькочастотним сигналом, що містить конфіденційну інформацію);
електромагнітні випромінювання ліній зв'язку;
підключення до ліній зв'язку;
зняття наводок з системи теплопостачання;
використання високочастотного нав'язування
зняття з ліній, що виходять за межі об'єкта сигналів, утворених на технічних засобах за рахунок акустоелектричних перетворень;
зняття випромінювань оптоволоконних ліній зв'язку;
підключення до баз даних і ЕОМ по комп'ютерних мережах.
Примітка. Для успішної роботи з персоналом банку необхідно пам'ятати, що запорукою ефективності даного процесу є дотримання принципів послідовності та безперервності. Залучати до процесу навчання з питань забезпечення інформаційної безпеки доцільно всіх співробітників, що мають відношення до роботи з конфіденційною інформацією.
Повне усунення перерахованих загроз безпеки функціонування інформаційних систем принципово неможливо, але все ж деякі з них можна мінімізувати на етапі проектування.
Примітка. В індійському call-центрі найбільшого британського банку HSBC інсайдер викрав конфіденційну інформацію про рахунки британських клієнтів і передав її спільникам в Сполученому Королівстві. В результаті близько 20 британських клієнтів HSBC втратили майже 500 тис. Дол. США. Збитки ж самого банку склали кілька мільйонів.
Облік загроз і ризиків при проектуванні інформаційних систем.
В основу формування вимог щодо захисту інформації повинні бути покладені визначення переліку та характеристик потенційних загроз інформаційній безпеці і встановлення можливих джерел їх виникнення.
Внутрішніми джерелами загроз інформаційної безпеки функціонування складних інформаційних систем є:-
системні помилки при постановці цілей і завдань проектування інформаційних систем, формулюванні вимог до функцій і характеристикам засобів захисту вирішення завдань, визначенні умов і параметрів зовнішнього середовища, в якій застосовувані програмну систему;
алгоритмічні помилки проектування при безпосередній алгоритмізації функцій захисту програмних засобів і баз даних, при визначенні структури і взаємодії компонентів комплексів програм, а також при використанні інформації баз даних;
помилки програмування в текстах програм і опису даних, а також у вихідній і результуючій документації на компоненти програмної системи;
недостатня ефективність використовуваних методів і засобів оперативного захисту програм і даних і забезпечення безпеки функціонування інформаційної системи в умовах випадкових і навмисних негативних впливів. Зовнішніми дестабілізуючими факторами. створюють загрозу безпеці функціонування об'єктів інформаційної системи, є:
-
навмисні негативні впливи осіб з метою спотворення, знищення або розкрадання програм, даних і документів інформаційної системи;
помилки і несанкціоновані дії оперативного, адміністративного та обслуговуючого персоналу в процесі експлуатації інформаційної системи;
спотворення в каналах телекомунікації інформації, що надходить від зовнішніх джерел і переданої споживачам, а також неприпустимі значення і зміни характеристик потоків інформації;
збої і відмови в АПО системи інформаційної безпеки;
віруси, поширювані по каналах телекомунікації;
зміни складу і конфігурації комплексу взаємодіє апаратури інформаційної системи, не передбачені при випробуваннях і сертифікації.
Проектування систем захисту інформації для організації має сприяти зниженню можливих негативних наслідків, пов'язаних з використанням інформаційних технологій, і забезпечити можливість реалізації основних цілей і завдань кредитної організації.
Одним з ефективних способів є інтеграція системи управління ризиками в систему управління життєвим циклом інформаційної системи.
Примітка. Збиток від втрати робочого часу на розбір і читання спаму, за різними оцінками, становить вже 50-200 дол. США на рік у розрахунку на одного співробітника, і ці цифри продовжують рости. Зафіксований обсяг втрат від комп'ютерних злочинів, що здійснюються хакерами, і крадіжки конфіденційної інформації співробітниками компаній обчислюється вже сотнями мільярдів доларів.