Информационная угроза что это
Тема 6. Концепция комплексной зпщиты информационных банковских систем и сетей
В результате изучения темы студенты должны освоить:
Оглавление
6.1. Концепция безопасности банка: основные положения
Концепция безопасности банка представляет собой научно обоснованную систему взглядов на определение основных направлений, условий и порядка практического решения задач защиты банка от противоправных действий и недобросовестной конкуренции.
Под безопасностью банка в целом понимают состояние защищенности интересов владельцев, руководства и клиентов банка, материальных ценностей и информационных ресурсов от внутренних и внешних угроз.
Обеспечение безопасности является неотъемлемой частью деятельности банка. Концепция безопасности определяет цели и задачи системы безопасности; подходы к ее организации; виды угроз безопасности и ресурсы, подлежащие защите; а также основные направления разработки системы безопасности, включая правовую, организационную и инженерно-техническую защиту.
Главными целями системы безопасности являются:
К основным задачам системы безопасности банка следует отнести:
Рассмотренные цели и задачи системы безопасности банка определяют и концепцию комплексной защиты информационной банковской сети. А именно, в настоящее время на первый план выходит задача создания комплексной сис темы управления информационной безопасностью, которая охватывает всю инфраструктуру компании и, независимо от сложности и масштаба информационной системы, позволяет:
6.2. Объекты банковской безопасности
К объектам, подлежащим защите от потенциальных угроз и противоправных посягательств, относятся:
В рамках данной темы целесообразно подробно рассмотреть такой объект безопасности как информация.
6.2.1. Информация как объект банковской безопасности
Информация по Федеральному закону «Об информации, информатизации и защите информации» определена как сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления.
Информационные ресурсы являются объектами отношений физических, юридических лиц, государства.
Правовой режим информационных ресурсов определяется нормами права владения, права пользования и права распоряжения, устанавливающими:
При этом собственнику предоставляется право самостоятельно, в пределах своей компетенции, устанавливать режим защиты информационных ресурсов и доступа к ним.
Конфиденциальная информация в силу закона. Федеральный закон «Об информации, информатизации и защите информации» (ст. 11) напрямую относит к категории конфиденциальной информации персональные данные (информацию о гражданах). Гражданский кодекс Российской Федерации (ст. 857) вводит понятие «банковская тайна», а Закон РСФСР «О банках и банковской деятельности в РСФСР» ограничивает доступ к этим сведениям и определяет круг лиц, допущенных к ним (ст. 25). Федеральный закон «О связи» (ст. 32) на основании Конституции Российской Федерации дает понятие «тайна связи» и определяет круг лиц, допущенных к ней и обеспечивающих ее соблюдение.
Конфиденциальная информация по признакам. Не ко всяким сведениям, составляющим тайну, в силу их неопределенности применима прямая норма. Иногда законодательно возможно определить только признаки, которым должны удовлетворять эти сведения. Признаками, определенными законом, можно считать такие неотъемлемые свойства информации, которые непосредственно указаны в законе, присущи сведениям, составляющим тайну, и совокупность которых позволяет однозначно определить объект правовых отношений. Так, Гражданским кодексом Российской Федерации (ст. 139) определяются признаки служебной и коммерческой тайны как особого объекта гражданских прав, а также предусматриваются основания и формы их защиты. Коммерческая и служебная тайна в качестве объекта гражданского права обладает тремя признаками:
Документирование информации проводится по правилам. Основные из них изложены в ГОСТ 6.38-90 «Система организационно-распорядительной документации. Требования к оформлению документов», ГОСТ 6.10.4-84 «Унифицированные системы документации. Придание юридической силы документам на машинном носителе и машинограмме, создаваемым средствами вычислительной техники». ГОСТы предполагают 31 реквизит, который делает информацию документом. Наличие всех перечисленных реквизитов необязательно. Главным из них является текст документа. Поэтому любая информация, изложенная в виде связного текста, без каких-либо дополнительных реквизитов уже может рассматриваться как документ. Особый порядок существует только для документов, полученных из автоматизированных информационных систем. Здесь может применяться процедура заверения информации электронной подписью.
Гражданский кодекс Российской Федерации определяет требования конфиденциальности при взаимодействии сторон в предпринимательской деятельности.
Конфиденциальность полученной сторонами информации. Если сторона благодаря исполнению своего обязательства по договору подряда получила от другой стороны информацию о новых решениях и технических знаниях, в том числе не защищаемых законом, а также сведения, которые могут рассматриваться как коммерческая тайна (статья 139), сторона, получившая такую информацию, не вправе сообщать ее третьим лицам без согласия другой стороны. Порядок и условия пользования такой информацией определяются соглашением сторон.
Конфиденциальность сведений, составляющих предмет договор. Если иное не предусмотрено договорами на выполнение, научно-исследовательских работ, опытно-конструкторских и технологических работ, стороны обязаны обеспечить конфиденциальность сведений, касающихся предмета договора, хода его исполнения и полученных результатов. Объем сведений, признаваемых конфиденциальными, определяется в договоре. Каждая из сторон обязуется публиковать полученные при выполнении работы сведения, признанные конфиденциальными, только с согласия другой стороны.
6.2.2. Содержание банковской тайны
Согласно п.1 ст. 857 ГК РФ банк гарантирует тайну банковского счета и банковского вклада, операций по счету и сведений о клиенте. Одновременно с этим ст. 26 Закона о банках предоставляет право кредитной организации включать в состав банковской тайны иные сведения, если это не противоречит федеральному закону.
С одной стороны, банковская тайна защищает интересы клиента и запрещает, по общему правилу, доступ третьих лиц (в том числе государства в лице государственных органов) к конфиденциальной информации клиента банка. С другой стороны, нормы, регулирующие правоотношения, связанные с банковской тайной, закрепляют на законодательном уровне исключительные случаи и порядок такого доступа в интересах государства.
Содержание банковской тайны, закрепленное ст. 857 ГК РФ, предполагает распространение режима банковской тайны на все сведения о клиенте при условии, что такие сведения получены банком в ходе его профессиональной деятельности.
Именно деятельность банка, «осуществляемая профессионально, является критерием для определения характера сведений, составляющих банковскую тайну». Банковскую тайну можно определить как профессиональное обязательство банка держать в строжайшей тайне всю информацию, относящуюся к финансовым и личным аспектам деятельности клиентов и некоторых третьих лиц, при условии, что такая информация почерпнута в результате нормального банковского обслужи вания этих клиентов.
В этом плане банковская тайна соотносится с иными видами профессиональной тайны, такими, как тайна страхования, нотариальная, налоговая, врачебная, аудиторская, таможенная и др.
Кредитная организация, Банк России гарантируют тайну об операциях, о счетах и вкладах своих клиентов и корреспондентов. Все служащие кредитной организации обязаны хранить тайну об операциях, счетах и вкладах ее клиентов и корреспондентов, а также об иных сведениях, устанавливаемых кредитной организацией, если это не противоречит федеральному закону.
В соответствии с законодательством Российской Федерации справки по операциям и счетам юридических лиц и граждан, осуществляющих предпринимательскую деятельность без образования юридического лица, выдаются кредитной организацией органам внутренних дел при осуществлении ими функций по выявлению, предупреждению и пресечению налоговых преступлений.
Информация по операциям юридических лиц, граждан, осуществляющих предпринимательскую деятельность без образования юридического лица, и физических лиц предоставляется кредитными организациями в уполномоченный орган, осуществляющий меры по противодействию легализации (отмыванию) доходов, полученных преступным путем, в случаях, порядке и объеме, которые предусмотрены Федеральным законом «О противодействии легализации (отмыванию) доходов, полученных преступным путем
За разглашение банковской тайны Банк России, кредитные, аудиторские и иные организации, уполномоченный орган, осуществляющий меры по противодействию легализации (отмыванию) доходов, полученных преступным путем, а также их должностные лица и их работники несут ответственность, включая возмещение нанесенного ущерба, в порядке, установленном федеральным законом.
Другой целью является стремление нанести ущерб предприятию, выражающееся в дезинформации контрагентов предприятия, у которых тайна похищена, либо в распространении действительной информации, способной нанести ущерб взаимоотношениям сторон: разрушение производственных и торговых связей, срыв сделок и т.п.
Овладевают банковской тайной путем хищения (открытого или тайного): завладение документами, оставленными без охраны, либо утерянными документами. Часто сотрудники становятся «переносчиками» коммерческой и банковской тайны с одного предприятия на другое. Это происходит при их увольнении с работы, особенно если такое сопровождалось конфликтной ситуацией. Бывший сотрудник, имеющий «на руках» список партнеров и клиентов банка, пытается открыть свое дело и использовать старые связи и доверительные отношения в своих интересах. В итоге налаженным партнерским отношениям может быть нанесен непоправимый ущерб.
6.2.3. Коммерческая тайна
Информацией этой категории владеют сами банки и поэтому вправе ею распоряжаться, а следовательно, и выбирать степень ее защиты. Правда, применить какие-либо санкции в случае нарушения конфиденциальности возможно, только если предварительно были выполнены особые формальности, оговоренные Гражданским кодексом Российской Федерации.
Суть этих формальностей, изложенных в ст. 139 Гражданского кодекса Российской Федерации, заключается в том, что, во-первых, информация должна иметь действительную или потенциальную коммерческую ценность, и эти сведения не могут быть известны третьим лицам в силу каких-либо других условий, во-вторых, банк принимает определенные усилия, чтобы исключить на законных основаниях свободный доступ к этой информации и обеспечить охрану ее конфиденциальности, и, в-третьих, все сотрудники, знакомые с этими сведениями, официально предупреждены об их конфиденциальности.
Установление правовых основ защиты коммерческой тайны и иной конфиденциальной информации, имеющей коммерческую ценность, является важным элементом юридического обеспечения предпринимательской деятельности. В большинстве экономически развитых зарубежных стран законодательство, регулирующее правовой режим коммерческой тайны и устанавливающее ответственность за неправомерное использование, представляет собой весьма развитый нормативный массивный, формирование которого осуществляется как на основе национальных правовых традиций, так и в соответствии с современными стандартами международной торговли.
Большое количество действующих законов и иных правовых актов РФ содержит разрозненные нормы, касающиеся вопросов коммерческой тайны. В основном эти нормы устанавливают обязанность должностных лиц или государственных органов, органов следствия и дознания и лиц, занимающихся соответствующими видами деятельности, соблюдать права обладателей коммерческой тайны, ставшей им известной. Ответственность за нарушение прав обладателя коммерческой тайны установлена нормами ГК РФ и УК РФ РФ, ТК РФ. Наличие значительного количества принятых декларативных норм и их противоречивость создают возможность различного толкования этих норм в правоприменительной практике. До сих пор не имеют однозначного правового разрешения вопросы, касающиеся законных оснований отнесения информации к коммерческой тайне; определения прав обладателя коммерческой тайной; разумной достаточности мер по охране коммерческой тайны; регулирования отношений работодателя и работника в области охраны конфиденциальности информации, составляющей коммерческую тайну. Эти обстоятельства вызвали необходимость разработки специального законодательного акта, регулирующего вопросы коммерческой тайны. 16.08.2004 г. вступил в силу закон «О коммерческой тайне», который учитывает наличие разрозненных норм в российском законодательстве и по своей концепции играет роль кодифицирующего акта. В статье 8 упоминается, что обладателем коммерческой тайны в отношении информации, созданной работником в связи с выполнением им трудовых обязанностей или конкретного задания работодателя, является работодатель, если договором между ним и работником не предусмотрено иное.
Статья 3 закона «О коммерческой тайне» так определяет коммерческую тайну и информацию, составляющую коммерческую тайну: «Коммерческая тайна – конфиденциальность информации, позволяющая её обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду; информация, составляющая коммерческую тайну, – научно-техническая, технологическая, производственная, финансово-экономическая или иная информация (в том числе составляющая секреты производства (ноу-хау), которая имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к которой нет свободного доступа на законном основании и в отношении которой обладателем такой информации введен режим коммерческой тайны».
Понятие коммерческой тайны введено Гражданским Кодексом РФ, где сказано, что «информация, составляющая служебную или коммерческую тайну, защищается способами, предусмотренными настоящим Кодексом и другими законами.
Лица, незаконными методами получившие информацию, которая составляет служебную или коммерческую тайну, обязаны возместить причиненные убытки. Такая же обязанность возлагается на работников, разгласивших служебную или коммерческую тайну вопреки трудовому договору, в том числе контракту, и на контрагентов, сделавших это вопреки гражданско-правовому договору». Кодексом также определено, что порядок и условия пользования такой информацией определяется соглашением сторон.
Информационная безопасность хозяйственного объекта базируется на достоверной информации о рынке и конкурентах и надежной защите своей коммерческой информации. Коммерческая тайна – информация, связанная именно с коммерческой деятельностью фирмы.
Коммерческая тайна является ее собственностью. Если коммерчес кая тайна является результатом совместной деятельности с другими предприятиями, основанной на договорных началах, то эта тайна может быть собственностью двух сторон. Это обстоятельство долж но найти отражение в договоре.
В соответствии со статьей 3 закона «О коммерческой тайне» под разглашением коммерческой тайны «понимается действие или бездействие, в результате которых информация, составляющая коммерческую тайну, в любой возможной форме (устной, письменной, иной форме, в том числе с использованием технических средств) становится известной третьим лицам без согласия обладателя такой информации либо вопреки трудовому или гражданско-правовому договору».
Под открытым опубликованием вышеуказанных сведений имеете в виду публикация материалов в открытой печати, передача по радио и телевидению, оглашение на международных и российских съездах, конференциях, совещаниях, симпозиумах, при публичной за щите диссертаций и других публичных выступлениях, свободная рас сылка, вывоз материалов за границу или передача их в любой форме иностранным организациям или отдельным лицам вне сферы прямых служебных обязанностей.
Необходимость и возможность открытого опубликования этих све дений, а также их объемы, формы и время опубликования, опре деляются директором или его заместителями по направлениям по за ключению постоянно действующей экспертной комиссии.
Меры по ограничению открытых публикаций коммерческой инфор мации не могут быть использованы во вред принципу гласности и для сокрытия от общественности фактов бесхозяйственности, расто чительства, недобросовестной конкуренции и других негативных яв лений.
Использование для открытого опубликования сведений, полученных на договорной или доверительной основе или являющихся результа том совместной производственной деятельности, допускается лишь с общего согласия партнеров.
Передача информации сторонним организациям, не связанным пря мыми служебными контактами, должна регулироваться, как правило, договорными отношениями, предусматривающими обязательства и ответственность пользователей, включая возмещение материальных затрат на предоставление информации и компенсацию за нарушение договорных обязательств.
Предоставление коммерческой информации представителям слу жебных, ревизионных, фискальных и следственных органов, народ ным депутатам, органам печати, радио и пр. регулируется соответ ствующими положениями.
На документы, которые составляют коммерческую тайну, должен быть нанесен гриф « Коммерческая тайна» с указанием ее обладателя (для юридических лиц – полное наименование и место нахождения, для индивидуальных предпринимателей – фамилия, имя, отчество гражданина, являющегося индивидуальным предпринимателем, и место жительства)».
Тиражированные документы и издания с грифом «коммерческая тайна» рассматриваются как материалы, содержащие сведения огра ниченного распространения.
Ответственность за обеспечение режима при работе с материала ми с грифом «коммерческая тайна», своевременную разработку и осуществление не обходимых мероприятий по сохранению коммерческой тайны возла гается на директора, его заместителей по направлениям и руково дителей структурных подразделений. Ответственность за организацию и осуществление работы по защите коммерческой тайны и проведе ние постоянного контроля за её соблюдением возлагается на службу безопасности.
Служба безопасности принимает меры по сохранению коммерчес кой тайны путем максимального ограничения круга лиц, физической сохранности документов, содержащих такие сведения, обработки ин формации с грифом «коммерческая тайна» на защищенных ЭВМ, внесения требований по конфиденциальности конкретной информации в договоры с внут ренними и внешнеторговыми партнерами и других мер по решению руководства.
Защита коммерческой тайны предусматривает:
Контроль за осуществлением учета, размножения, хранения и ис пользования документов, дел и изданий с грифом «коммерческая тайна» возлагается на уполномоченных службы безопасности.
Контроль за неразглашением сведений, содержащихся в документах, делах и изданиях с грифом «коммерческая тайна», осуществля ется отделами службы безопасности.
Определение необходимости проставления грифа «Коммерческая тайна» производится на основании перечня упомянутого выше: на документе – исполнителем и лицом, подписывающим документ, а на издании – автором (составителем) и руководителем, утверж дающим издание к печати.
Сроки действия коммерческой тайны, содержащейся в документе, определяются в каждом конкретном случае исполнителем или лицом, подписавшим документ, в виде конкретной даты или «до заключения контракта», или «бессрочно».
На документах, делах и изданиях, содержащих сведения, состав ляющие коммерческую тайну, проставляется гриф «Коммерческая тайна», а в документах и изданиях, кроме того, – номер; экземпляров.
Порядок работы на ЭВМ при обработке информации с грифом «коммерческая тайна» осуществляется в соответствии с требованиями инструкции о по рядке работы на ПЭВМ при обработке несекретной информации.
6.3. Угрозы банковской безопасности
Преступления «белых воротничков» совершаются, как правило, с помощью подделок и обмана: чековый обман, подделка и фальсификация, компьютерная преступность, воровство и кража, мошенничество и недобросовестная конкуренция.
Виды преступлений экономической направленности: хищения финансовых и материальных средств. мошенничество в сфере финансовой деятельности, незаконные сделки с валютными ценностями, изготовление поддельных денег и др.
Ухудшение состояния криминогенной обстановки в стране, усиление межрегиональных связей организованных преступных групп, рост их финансовой мощи и технической оснащенности дает основание полагать, что тенденция к осложнению оперативной обстановки вокруг банков в ближайшем будущем сохранится. Отсюда определение и прогнозирование возможных угроз и осознание их опасности необходимы для обоснования, выбора и реализации защитных мероприятий, адекватных угрозам.
В процессе выявления, анализа и прогнозирования потенциальных угроз интересам банка в рамках концепции учитываются объективно существующие внешние и внутренние условия, влияющие на их безопасность. Таковыми являются:
На стадии концептуальной проработки вопросов безопасности банка представляется возможным рассмотрение общего состава потенциальных угроз. Конкретные перечни, связанные со спецификой и банка, и условий, требуют определенной детализации и характерны для этапа разработки конкретного проекта системы безопасности.
6.3.1. Классификация угроз информационной безопасности
Угроза – это потенциальные или реальные действия, приводящие к моральному или ма териальному ущербу.
Основными угрозами информации являются ее разглашение, утечка и несанкционированный доступ к ее источникам. Под угрозами конфиденциальной информации принято понимать потенциальные или реально возможные действия по отношению к информационным ресурсам, приводящие к неправомерному овладению охраняемыми сведениями.
Такими действиями являются:
В конечном итоге противоправные действия с информацией приводят к нарушению ее конфиденциаль ности, полноты, достоверности и доступности, что в свою очередь приводит к нарушению как режима управления, так и его качества в условиях ложной или неполной информации.
Каждая угроза влечет за собой определенный ущерб – моральный или материальный, а защита и противодействие угрозе призваны снизить его величи ну, в идеале – полностью, реально – значительно или хотя бы частично. Но и это удается далеко не всегда.
Исходя из этого, угрозы могут быть классифициро ваны по следующим причинам:
Источниками внешних угроз являются: недобросовестные конкуренты; преступные группировки и формирования; отдельные лица и организации административно- управленческого аппарата.
Источниками внутренних угроз могут быть: администрация предприятия; персонал; технические средства обеспечения производствен ной и трудовой деятельности.
Соотношение внешних и внутренних угроз на ус редненном уровне можно охарактеризовать так: 82% угроз совершается собственными сотрудниками организации при их прямом или опосредованном участии; 17% угроз совершается извне – внешние угрозы; 1% угроз совершается случайными лицами.
Отношение объекта (фирма, организация) и субъек та (конкурент, злоумышленник) в информационном процессе с противоположными интересами можно рассматривать с позиции активности в действиях, при водящих к овладению конфиденциальными сведения ми. В этом случае возможны такие ситуации:
Факт получения охраняемых сведений зло умышленниками или конкурентами называют утечкой. Однако, одновременно с этим в значительной части за конодательных актов, законов, кодексов, официальных материалов используются и такие понятия, как разгла шение сведений и несанкционированный доступ к кон фиденциальной информации.
Разглашение – это умышленные или неосто рожные действия с конфиденциальными сведениями, приведшие к ознакомлению с ними лиц, не допущен ных к ним. Разглашение выражается в сообщении, передаче, предоставлении, пересылке, опубликовании, утере и в других формах обмена и действий с деловой и науч ной информацией. Реализуется разглашение по формальным и неформальным каналам распространения информации. К формальным коммуникациям относятся деловые встречи, совещания, переговоры и тому по добные формы общения: обмен официальными дело выми и научными документами средствами передачи официальной информации (почта, телефон, телеграф и т. д.). Неформальные коммуникации включают лич ное общение (встречи, переписка), выставки, семина ры, конференции и другие массовые мероприятия, а также средства массовой информации (печать, газе ты, интервью, радио, телевидение). Как правило, при чиной разглашения конфиденциальной информации является недостаточное знание сотрудниками правил защиты коммерческих секретов и непонимание (или недопонимание) необходимости их тщательного соблю дения. Тут важно отметить, что субъектом в этом про цессе выступает источник (владелец) охраняемых сек ретов.
Утечка – это бесконтрольный выход конфиден циальной информации за пределы организации или круга лиц, которым она была доверена. Утечка информации осуществляется по различ ным техническим каналам. Известно, что информа ция вообще переносится или передается либо энер гией, либо веществом. Это либо акустическая волна (звук), либо электромагнитное излучение, либо лист бумаги (написанный текст) и др. С учетом этого мож но утверждать, что по физической природе возмож ны следующие пути переноса информации: световые лучи, звуковые волны, электромагнитные волны, ма териалы и вещества. Соответственно этому классифицируются и каналы утечки информации на визу ально-оптические, акустические, электромагнитные и материально-вещественные. Под каналом утечки ин формации принято понимать физический путь от источника конфиденциальной информации к зло умышленнику, посредством которого последний мо жет получить доступ к охраняемым сведениям. Для образования канала утечки информации необходимы определенные пространственные, энергетические и временные условия, а также наличие на стороне злоумышленника соответствующей аппаратуры приема, обработки и фиксации информации.
Несанкционированный доступ – это противо правное преднамеренное овладение конфиденциаль ной информацией лицом, не имеющим права доступа к охраняемым секретам.
Несанкционированный доступ к источникам кон фиденциальной информации реализуется различны ми способами: от инициативного сотрудничества, выражающегося в активном стремлении «продать» секреты, до использования различных средств проник новения к коммерческим секретам. Для реализации этих действий злоумышленнику приходится часто про никать на объект или создавать вблизи него специаль ные посты контроля и наблюдения – стационарных или в подвижном варианте, оборудованных самыми со временными техническими средствами.
Если исходить из комплексного подхода к обеспе чению информационной безопасности, то такое деле ние ориентирует на защиту информации, как от раз глашения, так и от утечки по техническим каналам и от несанкционированного доступа к ней со стороны конкурентов и злоумышленников.
Такой подход к классификации действий, способ ствующих неправомерному овладению конфиденци альной информацией, показывает многогранность угроз и многоаспектность защитных мероприятий, не обходимых для обеспечения комплексной информаци онной безопасности.
Возможны следующие условия, которые способствуют неправомерному овладению конфиденциальной информацией:
Каждому из условий неправомерного овладения конфиденциальной информацией можно поставить в соответствие определенные каналы, определенные способы защитных действий и определенные классы средств защиты или противодействия.
Для того чтобы построить эффективную систему информационной безопасности, необходимо в первую очередь определить реальные и потенциаль ные угрозы, каналы несанкционированного доступа и утечки информации
Одним из основных требований интегральной защиты является системный подход, поэтому при выявлении технических каналов утечки информации не обходимо рассматривать всю совокупность элементов защиты, включающую основное оборудование технических средств обработки информации, оконечные устройства, соединительные линии, распределительные и комму тационные устройства, системы электропитания, системы заземления и т. п.
Наряду с основными техническими средствами, непосредственно связан ными с обработкой и передачей конфиденциальной информации, необходимо учитывать и вспомогательные технические средства и системы, та кие как технические средства открытой телефонной, факсимильной, громко говорящей связи, системы охранной и пожарной сигнализации, электрифика ции, радиофикации, электробытовые приборы и др.
Утечка информации осуществляется по различ ным техническим каналам. Существуют определенные условия, при которых возникают каналы технической утечки информации – это несовершенство схемных решений (конструктивные и технологические) и эксплуатационный износ элементов (изменение параметров и аварийный выход из строя).
Технический канал утечки информации – физический путь от источника конфиденциальной информации к злоумышленнику, посредством которого может быть осуществлен несанкционированный доступ к охра няемым сведениям. Движение ин формации в таком канале осуществляется только в одну сторону – от источника к злоумышленнику.
В качестве каналов утечки большой интерес представляют собой вспомогательные средства, выходящие за пределы контролируемой зоны, а также посторонние провода и кабели, к ним не относящиеся, но проходящие через помещения, где установлены основные и вспомогательные технические средст ва, металлические трубы систем отопления, водоснабжения и другие токопроводящие металлоконструкции.
Существенную часть составляют технические каналы утечки акустической информации, носителем которой являются акустические сигналы. В зависимости от среды распространения акустических колебаний, способов их перехвата и физической природы возникновения информационных сигналов технические каналы утечки акустической информации можно разделить на воздушные, вибрационные, электро акустические, оптико-электронные и параметрические.
Особый интерес представляет перехват информации при ее передаче по каналам связи. Это вызвано тем, что в этом случае обеспечивается сво бодный несанкционированный доступ к передаваемым сигналам. Единственным га рантированным методом защиты информации в этом случае является криптографическая защита. В зависимости от вида каналов связи техничес кие каналы перехвата информации можно разделить на электромагнитные, электрические и индукционные.
Электромагнитные излучения передатчиков средств связи, модулированные информационным сигналом, могут перехватываться естественным образом с использованием стандартных технических средств. Этот электромагнитный канал перехвата информации широко используется для прослушива ния телефонных разговоров, ведущихся по радиотелефонам, сотовым телефо нам или по радиорелейным и спутниковым линиям связи.
Электрический канал перехвата информации, передаваемой по кабельным линиям связи, предполагает контактное подключение к этим линиям. Этот ка нал наиболее часто используется для перехвата телефонных разговоров, при этом перехватываемая информация может быть записана на диктофон или пе редана по радиоканалу. Подобные устройства, подключаемые к телефонным линиям связи и содержащие радиопередатчики для ретрансляции перехвачен ной информации, обычно называются телефонными закладками.
Однако непосредственное электрическое подключение аппаратуры пере хвата является компрометирующим признаком. Поэтому чаще используется индукционный канал перехвата, не требующий контактного подключения к каналам связи. Современные индукционные датчики, по сообщениям открытой печати, способны снимать информацию с кабелей, защищенных не только изоляцией, но и двойной броней из стальной ленты и стальной проволоки, плотно обвивающих кабель.
Наиболее динамично развиваются в последнее время методы съема ком пьютерной информации. Несмотря на то, что в этом направлении также ис пользуются различные аппаратные закладки, основные возможности несанкционированного доступа обеспечиваются специальным программным обеспечением, включающим в себя такие составляющие, как компьютерные вирусы, «логические бомбы», «троянские кони», программные закладки и т.п.
Рассмотренные методы получения информации основаны на исполь зовании внешних каналов утечки. Однако необходимо остановиться и на внутренних каналах утечки информации, тем более что обычно им не прида ют должного внимания и много теряют. Внутренние каналы утечки связаны, как правило, с администрацией и обслуживающим персоналом, с каче ством организации режима работы. Из них в первую очередь можно отметить такие каналы утечки, как хищение носителей информации, съем информации с ленты принтера и плохо стертых дискет, использование произ водственных и технологических отходов, визуальный съем информации с дисплея и принтера, несанкционированное копирование.
Среди источников несанкционирован ного доступа к источникам конфиденциальной инфор мации можно выделить следующие.
Инициативное сотрудничество проявляется в оп ределенных действиях лиц, чем-то неудовлетворен ных или остро нуждающихся в средствах к существо ванию, из числа работающих на предприятии или просто готовых ради наживы на любые противоправные действия.
Склонение к сотрудничеству – это, как правило, насильственное действие со стороны злоумышленни ков. Склонение или вербовка может осуществляться путем подкупа, запугивания, шантажа. Склонение к сотрудничеству реализуется в виде реальных угроз, преследования и других действий, выражающихся в преследовании, оскорблении, надругательстве и т.д.
Выведывание, выпытывание – это стремление под видом наивных вопросов получить определенные све дения. Выпытывать информацию можно и ложными трудоустройствами, и созданием ложных организаций, и дру гими действиями.
Подслушивание – способ ведения разведки и промышленного шпионажа, применяемый агентами, наблюдателями, информаторами, специальными постами подслушивания. В интересах подслушивания злоумышленники идут на самые различные ухищре ния, используют для этого специальных людей, сотруд ников, современную технику, различные приемы ее применения.
Наблюдение – способ ведения разведки о состо янии и деятельности противника. Ведется визуально и с помощью оптических приборов. Процесс наблюдения довольно сложен, так как требует значительных затрат сил и средств. Поэтому наблюдение, как правило, ведется целенаправленно, в определенное вре мя и в нужном месте специально подготовленными людьми.
Хищение – умышленное противоправное завладение чужим имуществом, средствами, документами, материалами, информацией. Похищают все, что плохо лежит, включая документы, продукцию, дискеты, клю чи, коды, пароли и шифры.
Копирование. В практике криминальных действий копируют документы, содержащие интересующие зло умышленника сведения; информацию, обрабатывае мую в АСОД (автоматизированные системы обработ ки данных.
Подделка (модификация, фальсификация) в усло виях беззастенчивой конкуренции приобрела большие масштабы. Подделывают доверительные документы, позволяющие получить определенную информацию, письма, счета, бухгалтерскую и финансовую докумен тацию, ключи, пропуска, пароли и т. д.
Уничтожение. В части информации особую опас ность представляет ее уничтожение в АСОД, в кото рой накапливаются на технических носителях огром ные объемы сведений различного характера, причем многие из них весьма трудно изготовить в виде нема шинных аналогов. Уничтожаются и люди, и докумен ты, и средства обработки информации, и продукция.
Перехват. В практике радиоэлектронной развед ки под перехватом понимают получение разведыва тельной информации за счет приема сигналов элект ромагнитной энергии пассивными средствами приема, расположенными, как правило, на достаточном расстоянии от источника конфиденциальной информации.
Негласное ознакомление – способ получения информации, к которой субъект не допущен, но при определенных условиях он может получить возможность что-то узнать (открытый документ на столе во время беседы с посетителем, наблюдение экрана ПЭВМ со значительного расстояния в момент работы с закры той информацией и т. д.).
Фотографирование – способ получения видимо го изображения объектов криминальных интересов на фотоматериале. Особенность способа – документальность, позволяющая при дешифровании фотоснимков по элементам и демаскирующим признакам получить весьма ценные, детальные сведения об объекте наблюдения.
Сбор и аналитическая обработка являются завер шающим этапом изучения и обобщения добытой инфор мации с целью получения достоверных и объемлющих сведений по интересующему злоумышленника аспекту деятельности объекта его интересов. Полный объем сведений о деятельности конкурента не может быть получен каким-нибудь одним способом. Чем больши ми информационными возможностями обладает зло умышленник, тем больших успехов он может добиться в конкурентной борьбе. На успех может рассчитывать тот, кто быстрее и полнее соберет необходимую информацию, переработает ее и примет правильное ре шение.
В общем плане мероприятия по противодействию несанкционированному доступу к источникам конфи денциальной информации с помощью технических средств можно свести к следующим основным направ лениям:
6.3.2. Мошенничество в финансовой сфере
Мошеннические действия на финансовом рынке России совершаются при следующих операциях:
Мошенничество по видам может подразделяться на:
Мошенничество бывает довольно трудно обнаружить, ибо свои действия мошенники не выставляют напоказ.
Кроме того, обнаруженные признаки мошенничества не являются доказательствами преступления, а лишь его симптомами. Поэтому приходится много работать, чтобы убедиться, что эти симптомы действительно свидетельствуют о совершенном преступлении.
Признаки мошенничества со стороны персонала банка можно подразделить на следующие группы.
Признаки мошенничества со стороны руководителей банков можно подразделить на следующие.
6.3.3. Промышленный шпионаж
Развитие предпринимательской деятельности в нашей стране обусловило активизацию деятельности в области экономической разведки и промышленного шпионажа.
Конкурентная борьба в условиях рыночной экономики невозможна без получения своевременной и достоверной информации, а стремление получить эту информацию в условиях закрытого доступа порождает недобросовестные действия, т.е. шпионаж за конкурентом. Чтобы добыть коммерческие секреты за счет использования различных каналов негласного получения конфиденциальной информации промышленными шпионами, разработана разведывательная аппаратура самого различного назначения и технологического исполнения.
В настоящее время промышленный шпионаж стал областью экономики, в которой вращаются миллиарды долларов. Создана своя структура и методология, используются самые современные технические средства и системы.
Целью промышленного шпионажа является получение данных о перспективах деятельности конкурента, производственных процессах, торговой стратегии и результатах научных исследований и промышленных разработок, об организациях, продающих его товар, списков потребителей, расчетных документов.
Экономической основой процветания промышленного шпионажа является конкуренция. Важным условием эффективности конкурентной борьбы является сохранение в тайне сведений, овладение которыми посторонними лицами могло бы ослабить экономические позиции предприятия и нанести ему ущерб. Данные сведения описываются понятием коммерческая или банковская тайна.
Промышленный шпионаж не позволяет реализовать предприятию конкурентные преимущества, обесценивает значительные затраты, связанные с осуществлением исследований, опытно-конструкторских разработок и других мер. В то же время недобросовестный конкурент имеет возможность резко снизить издержки конкурентной борьбы.
6.3.4. Компьютерные преступления
Интенсивное развитие и внедрение в практику современных информационных технологий значительно повысило уязвимость экономически значимой, в первую очередь банковской, информации, циркулирующей в информационно-телекоммуникационных системах кредитно-финансовой сферы.
Наиболее часто проблемы с защитой такого рода информации возникают из-за массового использования средств вычислительной техники с программным обеспечением, позволяющим сравнительно легко модифицировать, уничтожать или копировать обрабатываемую информацию.
Причиной повышения уязвимости этой информации является широкое распространение глобальных открытых компьютерных сетей типа Интернет, построенных на основе телекоммуникационных магистралей общего пользования.
Виды компьютерных преступлений :
Современные информационные телекоммуникационные системы предоставляют преступникам и недобросовестным конкурентам широкий спектр возможностей для совершения различного рода преступлений, ведения промышленного шпионажа, а также реализации иных форм негативного воздействия на деятельность государственных и коммерческих организаций.
В последние годы наметилась устойчивая тенденция объединения лиц, причастных к преступной деятельности в сфере компьютерной информации, для совершения крупномасштабных преступлений. Такие союзы носят ярко выраженные признаки организованных преступных групп, участники которых лично не знакомы и осуществляют конспиративную связь друг с другом через Интернет.
6.4. Виды обеспечения информационной безопасности банковских систем и сетей
6.4.1. Правовое обеспечение безопасности банка
Федеральный закон «Об информации, информатизации и защите информации» от 20 февраля 1995 г. № 24-ФЗ определяет информацию как «сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления». По категориям доступа информация делится на открытую (общедоступную) и закрытую (с ограниченным доступом). К последней относится только три вида информации:
Вся прочая информация является общественно доступной. Некоторые виды информации, доступ к которым ограничивать нельзя, прямо названы законодательством. Среди них: законодательные и другие нормативные акты; документы, содержащие информацию о чрезвычайных ситуациях, экологическую, метеорологическую, демографическую, санитарно-эпидемиологическую и другую информацию, необходимую для обеспечения безопасного функционирования нанесенных пунктов, производственных объектов, безопасности граждан и населения в целом; информация о состоянии экономически и потребностях населения; информация, представляющая общественный интерес или необходимая для реализации прав, свобод и обязанностей граждан. За сокрытие информации об обстоятельствах, создающих опасность для жизни и здоровья людей, установлена уголовная ответственность.
Сведения о фактах, событиях и обстоятельствах жизни гражданина, позволяющие идентифицировать его личность, относятся к персональным данным и являются разновидностью более широкого понятия – конфиденциальная информация. Не допускаются сбор, хранение, использование и распространение информации о частной жизни, а равно информации, нарушающей личную тайну, семейную тайну, тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений физического лица без его согласия, кроме как на основании судебного решения. Незаконное получение и использование персональных данных индивидуального предпринимателя или сотрудников руководящего звена фирмы может нанести ущерб их бизнесу.
Важнейшими задачами в области защиты информации являются:
В настоящее время спектр правового обеспечения в данной сфере довольно широк, начиная от законодательных актов федерального уровня, Указов Президента РФ, правовых нормативных актов субъектов Федерации, постановлений Правительства, заканчивая отраслевыми приказами, инструкциями, положениями.
Важнейшим направлением обеспечения информационной безопасности является правовое регулирование. С учетом этого Советом безопасности была образована комиссия по вопросам совершенствования нормативно–правовой базы в области обеспечения информационной безопасности, одной из основных задач которой стала разработка основных направлений нормативно-правового обеспечения информационной безопасности РФ.
Основные направления нормативно-правового обеспечения информационной безопасности:
6.4.2. Организационное обеспечение банковской безопасности
Любая предпринимательская деятельность по своей сути является весьма разносторонней. Она связана с решением организационных вопросов, правовыми и экономическими проблемами, техническими аспектами, кадровыми и т.д. Особенно усложняется управление крупным предприятием, которое имеет широчайшие деловые связи и значительное количество контрагентов, кредиторов, заемщиков, клиентов. Именно банк является таким крупным предприятием.
Объектом системы обеспечения безопасности выступает стабильное состояние в текущем и перспективном периоде. Именно от объекта защиты во многом зависят основные характеристики системы обеспечения безопасности. Поскольку объект защиты является сложным, многоаспектным, то эффективное обеспечение безопасности должно основываться на комплексном подходе к управлению этим процессом. Комплексный подход предполагает учет в управлении объектом всех основных его аспектов, и все элементы управляемой системы рассматриваются только в совокупности, целостности, единстве. Таким образом, необходимо создание комплексной системы обеспечения банковской безопасности.
Обеспечение безопасности коммерческого банка является неотъемлемой составной частью финансовой деятельности. Состояние безопасности представляет собой умение и способность противостоять любым попыткам различных структур нанести ущерб банку и защиту его интересов от внутренних и внешних угроз.
Зарубежный и отечественный опыт обеспечения безопасности свидетельствует, что для борьбы со всей совокупностью преступных и противоправных действий против банка необходима стройная и целенаправленная организация противодействия злонамеренным и противоправным замыслам.
Целями системы безопасности являются:
Основными задачами системы безопасности являются:
Система безопасности действует на основе следующих организационно-правовых документов:
6.4.4. Инженерно-техническое обеспечение безопасности банка
К основным средствам инженерно-технической защиты информа ции относятся:
Для выполнения этих задач группа инженерно-технической защиты осуществляет организационные, организационно-технические и техни ческие мероприятия.
К организационным мероприятия относятся меры ограничительного характера, сводящиеся в основном к регламентации доступа и ис пользования технических средств обеспечения производственной и трудовой деятельности и обработки конфиденциальной информации в традиционных или автоматизированных режимах. Они, как правило, проводятся силами службы безопасности путем использования про стейших организационных мер и доступных для этого технических средств. Организационные мероприятия предусматривают:
Организационно-технические мероприятия обеспечивают блокиро вание возможных каналов утечки информации через технические средства обеспечения производственной и трудовой деятельности с помощью специальных технических средств, устанавливаемых на эле менты конструкции зданий, помещений и технических средств, потен циально образующих возможные каналы утечки информации.
Для этих целей возможно использование:
Технические мероприятия обеспечивают приобретение, установку и использование в процессе производственной деятельности специаль ных, защищенных от побочных излучений и наводок, технических средств обработки конфиденциальной информации или средств, которых не превышают норм на границе охраняемой тер ритории.
Мероприятия по блокированию несанкционированного получения конфиденциальной информации с помощью технических средств сво дятся к следующим основным направлениям:
Защита от подслушивания реализуется:
Защита от перехвата побочных электромагнитных излучений и нав одок самого различного характера обеспечивается:
Необходимо периодически проводить аттестацию защищенных помещений. Аттестация защищаемых техническими мерами помещений имеет целью установить наличие в этих помещениях технических средств обеспечения производственной и трудовой деятельности и определить соответствие их характеристик требованиям безопасности.
С учетом результатов анализа состава технических средств в за щищаемых помещениях и результатов их специсследований устанав ливается опасность тех или иных устройств как потенциальных источ ников образования каналов утечки охраняемых сведений, и вырабаты ваются целесообразные мероприятия по их локализации.
Существуют различные средства технической защиты информации. Для облегчения и ускорения процесса поиска специальных технических средств негласного съема информации ограниченного доступа были разработаны индикаторы электромагнитного поля. Самый простой из них – это широкополосный приемный тракт и пороговый детектор с индикатором, выполненным на светодиоде. При превышении порога покоя светодиод засвечивается. Чем выше напряженность электромагнитного поля, тем ярче светится светодиод. В момент свечения индикатора невозможно определить, какую частоту в данный момент «захватил» прибор и не сменилась ли она при перемещении индикатора поля в помещении.
Следующая группа технических средств, направленных на выявление радиопередающих устройств негласного съема информации ограниченного доступа, – сканирующие приемники, индикаторы поля-частотомеры и приемники-корреляторы. Есть диапазон частот, которые приемник может принимать, и оператор, задавая границы диапазона сканирования, шаг перестройки, вид демодулятора, просматривает весь диапазон, останавливается на каждой частоте и приводит анализ, больше руководствуясь своим опытом, нежели возможностями технического устройства.
Используя сканирующий приемник для выявления опасных частот, можно определить необходимые для идентификации параметры частоты. Но с помощью сканирующего приемника достаточно сложно локализовать место установки радиопередающего устройства негласного съема информации с передачей по радиоканалу.
Все эти устройства позволяют определить лишь действующие на данный момент радиозакладные устройства. Для поиска устройств, находящихся в режиме накопления, в ждущем режиме или вышедших из строя на момент выявления применяется метод нелинейной локации. Ряд нелинейных локаторов в настоящее время производится в России, они нисколько не уступают импортным аналогам, а по некоторым характеристикам и превосходят их.
Для защиты информации традиционно используется криптография, позволяющая сделать сообщение недоступным для нарушителя. Но для целого ряда задач информационной безопасности требуется не только скрыть содержимое сообщения, но и засекретить сам факт его передачи, что является классической задачей стенографии. К задачам стенографии относятся организация скрытых каналов связи и системы цифровых водяных знаков (ЦВЗ). Цель систем ЦВЗ – внедрение в основное сообщение некоторой дополнительной информации, которая не обязательно должна быть секретной. Часто это идентификационный код собственника сообщения, вложенный с использованием секретного ключа, причем вложение производится таким образом, чтобы сообщение не искажалось значительно, а выделение дополнительной информации оставалось бы возможным после любых преобразований сообщения, которые не искажают основного сообщения. Главное свойство системы должно состоять в том, что без знания ключа никто не в состоянии удалить идентификационную информацию, не испортив основного сообщения.
Основные области применения ЦВЗ:
6.5. Подходы к обеспечению безопасности банковских систем и сетей
Подходы к обеспечению безопасности банковских систем и сетей основаны на следующих принципах. Прежде всего, это принцип комплексности, который означает:
Второй важный принцип – своевременность.
Своевременность предполагает постановку задач по комплексной безопасности на ранних стадиях разработки на основе анализа и прогнозирования экономической обстановки, угроз безопасности, а также разработку эффективных мер предупреждения посягательств на законные интересы банка.
Следующий принцип – непрерывность. Считается, что злоумышленники только и ищут возможность, как бы обойти защитные меры, прибегая для этого к легальным и нелегальным методам. Соответственно, защита должна это учитывать.
Далее следует активность. Защищать интересы банка необходимо с достаточной степенью настойчивости, широко используя маневр силами и средствами обеспечения безопасности и нестандартные меры защиты.
В процессе в ыбора методов и средств обеспечения информационной безопасности банковских систем и сетей предполагается привлечение к разработке и внедрению мер и средств защиты специализированных организаций, наиболее подготовленных к конкретному виду деятельности по обеспечению безопасности, имеющих опыт практической работы и государственную лицензию на право оказания услуг в этой области. Эксплуатация технических средств и реализация мер безопасности должны осуществляться профессионально подготовленными специалистами службы безопасности и функциональных и обслуживающих подразделений.
Важным в данном случае является принцип взаимодействия и координации, что означает осуществление мер обеспечения безопасности на основе четкой взаимосвязи соответствующих подразделений и служб банка, сторонних специализированных организаций в этой области, координации их усилий для достижения поставленных целей, а также сотрудничества с заинтересованными объединениями и взаимодействия с органами государственного управления и правоохранительными органами.
Должно быть предусмотрено совершенствование мер и средств защиты на основе собственного опыта, появления новых технических средств с учетом изменений в методах и средствах разведки и промышленного шпионажа, нормативно-технических требований, достигнутого отечественного и зарубежного опыта. Предполагается самостоятельное функционирование системы безопасности по единым правовым, организационным, функциональным и методологическим принципам и с централизованным управлением деятельностью системы безопасности банка.
В целом рассмотренные подходы к построению системы информационной безопасности банка позволяют:
Использование рассмотренной концепции комплексной защиты информационных банковских систем и сетей служит основой по строения эффективной и надежной системы информационной безопасности, ко торую можно развивать и модифицировать вместе с общим развитием банковской информационной системы.