Protecția informațiilor în bancă despre principalele amenințări și despre lupta împotriva acestora (partea 1)

Protecția informațiilor în bancă despre principalele amenințări și despre lupta împotriva acestora (partea 1)

Amenințări ale informațiilor din bancă.

În mediul extern, sistemele împart următoarele tipuri de amenințări la adresa informațiilor:
    încălcarea integrității fizice (distrugerea, distrugerea elementelor);

încălcarea integrității logice (distrugerea conexiunilor logice);

modificarea conținutului (schimbarea blocurilor de informații, impunerea externă a informațiilor false);

încălcarea confidențialității (distrugerea protecției, reducerea securității informațiilor);

cauze naturale: accidente (incendii, accidente, explozii), dezastre naturale (uragane, inundații, cutremure), erori în prelucrarea informațiilor (erori de utilizator, erori de operator, defecțiuni hardware și software)

Notă: sub amenințare (în general), se înțelege de obicei un eventual eveniment posibil (impact, proces sau fenomen) care ar putea duce la deteriorarea intereselor cuiva.

Modelul identifică mijloacele interne de protecție a informațiilor (prevenirea amenințărilor provenite din surse interne) și externe (prevenirea amenințărilor venite din exterior). Mijloacele externe și interne de protecție a informațiilor sunt părți componente ale sistemului de securitate a informațiilor care funcționează în bancă.

Sursele amenințărilor externe sunt:
    sisteme naturale (astrocosmice, planetare, fizice, chimice, biologice);

sisteme artificiale (sisteme organizatorico-economice și tehnice, precum și sisteme mixte (de exemplu, sisteme biotehnice));

sistemele abstracte (simbolice (modele, algoritmi, programe, hărți tehnologice etc.) și sisteme descriptive (de exemplu, sub forma unor clarificări de natură religioasă sau etnică)).

Notă. Cele mai mari oportunități de deteriorare a organizării sistemului bancar din Federația Rusă se bucură de personalul propriu.

Sursele amenințărilor interne ale sistemului sunt subsistemele și elementele sale:
    persoane;

dispozitive și sisteme tehnice;

scheme tehnologice de prelucrare;

utilizate în modele de sisteme de prelucrare a datelor, algoritmi, programe. Cauzele amenințărilor sunt împărțite în:

    Obiectiv (defecțiune cantitativă sau calitativă a elementelor sistemului). Amenințările cauzate de aceste motive nu sunt direct legate de activitățile oamenilor și sunt accidentale prin natura originii prin amenințări.

Subiectiv. Amenințările cauzate de acești factori sunt direct legate de activitățile umane și sunt ambele intenționate (inteligență activitatea țărilor străine, spionaj industrial, activitățile de elemente criminale și angajații necinstite) și neintenționată (stare proastă psihologică, lipsa de pregătire, nivelul scăzut al cunoștințelor) amenințărilor informatice. Motivele subiective includ:

    Accesul neautorizat (obtinerea ocolind sistemul de protectie prin software, tehnic si prin alte mijloace, precum si din cauza unor circumstante accidentale, accesul la informatiile prelucrate si informatiile stocate pe site).

Luați în considerare un set relativ complet de canale de regăsire neautorizată a informațiilor, format pe baza unui astfel de indicator, precum gradul de interacțiune al atacatorului cu subsistemele de informare.

Prima clasă include canale din sursa de informații atunci când accesul neautorizat la acesta:
    furtul purtătorilor de informații;

instalarea dispozitivelor încorporate în cameră și recuperarea informațiilor cu ajutorul acestora, recuperarea informațiilor de la personalul de întreținere al instalației;

Cea de-a doua clasă include canale de la facilitățile de procesare a informațiilor pentru acces neautorizat la acestea:
    îndepărtarea informațiilor de la dispozitivele de memorie electronice;

instalarea dispozitivelor încorporate în sistemele de procesare a informațiilor;

introducerea de produse software care permit unui atacator să primească informații;

Clasa a treia include canalele din sursa de informații fără acces neautorizat la aceasta:
    Achiziționarea de informații privind canalele acustice (în sistemele de ventilație, alimentare cu energie termică și, de asemenea, utilizarea microfoanelor direcționale);

obținerea de informații despre canalele vibro-acustice (folosind senzori acustici, dispozitive laser);

utilizarea mijloacelor tehnice de recunoaștere optică (binocluri, telescoape etc.);

utilizarea mijloacelor tehnice de recunoaștere optoelectronică (camere externe, dispozitive de vedere de noapte etc.);

inspecția deșeurilor și a resturilor;

Cea de-a patra clasă include canalele din facilitățile de procesare a informațiilor fără acces neautorizat la acestea:
    radiația electromagnetică a sistemului de procesare a informațiilor (radiații electromagnetice parazitare, generarea parazită a treptelor de amplificare, modularea parazitară a generatoarelor de înaltă frecvență printr-un semnal de frecvență joasă, care conține informații confidențiale);

radiația electromagnetică a liniilor de comunicații;

conectarea la liniile de comunicații;

eliminarea interferențelor din sistemul de alimentare cu căldură;

utilizarea impunerii de înaltă frecvență;

îndepărtarea de pe liniile care depășesc obiectul semnalelor generate de mijloacele tehnice datorate transformărilor acouoelectrice;

îndepărtarea radiațiilor de la liniile de comunicare cu fibră optică;

conectarea la baze de date și computere în rețele de calculatoare.

Notă. Pentru o muncă de succes cu personalul bancar, este necesar să ne amintim că cheia eficienței acestui proces este respectarea principiilor consecvenței și continuității. Este recomandabil să implicați toți angajații implicați în lucrul cu informații confidențiale în procesul de instruire în domeniul securității informațiilor.

Eliminarea completă a amenințărilor enumerate la securitatea funcționării sistemelor informatice este fundamental imposibilă, însă unele dintre acestea pot fi minimizate la etapa de proiectare.

Notă. În call center-ul indian al celei mai mari bănci britanice HSBC, insiderul a furat informații confidențiale despre conturile clienților britanici și ia înmânat podelnikam în Regatul Unit. Ca urmare, aproximativ 20 de clienți britanici HSBC au pierdut aproape 500 mii dolari. Pierderile băncii s-au ridicat la câteva milioane.

Contabilizarea amenințărilor și riscurilor la proiectarea sistemelor informatice.

Baza pentru formarea cerințelor pentru protecția informațiilor ar trebui să fie definiția listei și a caracteristicilor potențialelor amenințări la adresa securității informațiilor și identificarea surselor posibile de apariție a acestora.

Sursele interne de amenințări la adresa securității informațiilor legate de funcționarea sistemelor complexe de informații sunt:
    erori de sistem în stabilirea obiectivelor și obiectivelor de proiectare a sistemelor informatice, formularea cerințelor pentru funcțiile și caracteristicile mijloacelor de protecție pentru rezolvarea problemelor, determinarea condițiilor și parametrilor mediului extern în care urmează să se aplice sistemul software;

algoritmice de eroare de proiectare cu algoritmizarea directă a funcțiilor software și a bazelor de date de protecție, în determinarea structurii și interacțiunii componentelor complexelor de programe și atunci când se utilizează informații de bază de date;

erori de programare în textele programelor și descrieri de date, precum și în sursa și documentația rezultată pentru componentele sistemului software;

eficiența insuficientă a metodelor și mijloacelor de protecție operațională a programelor și a datelor și asigurarea securității sistemului informatic în condiții de influență negativă accidentală și premeditată. Factori destabilizatori externi. crearea de amenințări la adresa securității funcționării obiectelor sistemului de informații sunt:

    efecte negative premeditate ale persoanelor în scopul distorsionării, distrugerii sau furtului de programe, date și documente ale sistemului informatic;

erorile și impactul neautorizat al personalului operațional, administrativ și de întreținere asupra funcționării sistemului informatic;

distorsiuni în canalele de telecomunicații ale informațiilor provenite din surse externe și transmise consumatorilor, precum și valori inadmisibile și schimbări ale caracteristicilor fluxurilor de informații;

eșecuri și eșecuri în sistemul de securitate a informațiilor APO;

viruși distribuiți prin canale de telecomunicații;

schimbări în compoziția și configurația complexului de echipamente de interacțiune a sistemului informatic, care nu sunt prevăzute în testarea și certificarea.

Proiectarea sistemelor de securitate a informațiilor pentru organizație ar trebui să contribuie la reducerea posibilelor consecințe negative asociate cu utilizarea tehnologiei informației și să asigure posibilitatea realizării obiectivelor și obiectivelor principale ale instituției de credit.

O modalitate eficientă este integrarea sistemului de gestionare a riscurilor în sistemul de management al ciclului de viață al sistemului informatic.

Notă. Daunele cauzate de pierderea timpului de lucru pentru parsarea și citirea mesajelor spam, potrivit unor estimări diferite, sunt deja de 50-200 USD pe an pe angajat, iar aceste cifre continuă să crească. Suma fixă ​​a pierderilor cauzate de crimele informatice comise de hackeri și furtul informațiilor confidențiale de către angajații companiei se ridică la sute de miliarde de dolari.