Атаки класса «отказ в обслуживании» Хакер отправляет в сеть пакеты определенного вида, в результате чего один или несколько компьютеров сети полностью или частично выходят из строя.
Сетевой уровень АБС обычно наиболее уязвим для атак хакеров. Это обусловлено тем, что канал связи, по которому передаются сетевые пакеты, является открытым – каждый, кто имеет физический доступ к этому каналу, может отправлять в канал пакеты произвольного содержания. Для обеспечения надежной защиты сетевого уровня АБС необходимо добиться максимальной «закрытое™» сетевых каналов связи, другими словами, максимально затруднить несанкционированный информационный обмен в защищаемой сети.
3.1 Меры по предупреждению несанкционированного доступа и безопасного функционирования информационной банковской системы
Подводя итоги вышеизложенному, можно сформулировать перечень основных задач, которые должны решаться по всей банковской системе
• управление доступом (разграничение полномочий) пользователей к ресурсам локальной и корпоративной банковским компьютерным сетям с целью их защиты от неправомерного случайного или умышленного вмешательства в работу системы и несанкционированного (с превышением предоставленных полномочий) доступа к ее информационным, программным и аппаратным ресурсам со стороны посторонних лиц, а также лиц из числа персонала организации и пользователей; должен быть четко определенный порядок получения доступа к ресурсам сети в соответствии с функциональными обязанностями конкретного работника (набор полномочий должен быть минимально необходимый для выполнения им своих прямых обязанностей);
• защита рабочих станций – применение паролей на включение, программ защиты экрана, отключение дисководов, опечатывание корпусов; использование дискет только в случае технологической необходимости; дискеты должны быть промаркированы;
• охрана серверных и обеспечение их бесперебойной работы – ограниченный доступ, средства сигнализации, соблюдение требований НБУ к помещениям, где находится аппаратура СЕП; обязательное использование источников бесперебойного питания, качественных систем пожаротушения;
• защита данных, передаваемых по каналам связи – в первую очередь это касается системы Клиент-банк (всего по системе работает 2877 клиентов), где некоторые дирекции и филиалы (Кировоград, Днепропетровск) продолжают осуществлять клиентские платежи вообще без защиты или с использованием несертифицированных средств защиты; нельзя допускать передачи информации в открытом виде за пределами охраняемых территорий;
• контроль за действиями пользователей в сети – регистрация, сбор, хранение, обработка и выдача сведений обо всех событиях, происходящих в системе и имеющих отношение к ее безопасности; необходимо научиться работать с системными журналами и знать их возможности для восстановления хронологии происшедших в сети событий; оперативное оповещение службы безопасности о попытках несанкционированного доступа к ресурсам системы; недопущение фактов работы в сети под чужим именем или с групповыми паролями;
• резервное копирование – создание архива резервных копии, который будет надежно защищен от уничтожения в случае стихийных бедствий, неумышленных или умышленных действий; использование для хранения несгораемых сейфов;
• использование на рабочих станциях только проверенного программного обеспечения с целью защиты от бесконтрольного внедрения в систему потенциально опасных программ (в которых могут содержаться вредоносные закладки или опасные ошибки) и средств преодоления системы защиты, а также от внедрения и распространения компьютерных вирусов; нельзя допускать самовольной установки на рабочих местах программного обеспечения, в том числе компьютерных игр;
• контроль за подключениями к сети Интернет – разрешение на подключение к сети Интернет должно даваться только в исключительных случаях, если это необходимо для осуществления работником прямых функциональных обязанностей; в общих случаях такие подключения должны быть запрещены; в идеале подключение к Интернет должно осуществляться с отдельно стоящей машины, которая не работает в локальной сети;
• обучение пользователей – пользователи должны знать азы компьютерной безопасности и нести определенную ответственность, как за свои действия (например, работа без пароля или с легко угадываемым паролем) так и за сохранение в тайне своего пароля;
Выполнение этих задач возможно при использовании существующих многочисленных видов защиты информации, которые условно можно объединить в три основные группы;
• средства физической защиты (защита кабельной системы, телекоммуникационной аппаратуры, антенн, средства архивации и т.д.)
Физические меры защиты основаны на применении разного рода механических, электро- или электронно-механических устройств и сооружений, специально предназначенных для создания физических препятствий на возможных путях проникновения и доступа потенциальных нарушителей к компонентам системы и защищаемой информации, а также технических средств визуального наблюдения, связи и охранной сигнализации.
• программные средства защиты (антивирусные программы, системы разграничения полномочий, программные средства контроля доступа, криптографическая защита информации)
Программные (аппаратно-программные) меры защиты основаны на использовании различных электронных устройств и специальных программ, входящих в состав АС и выполняющих (самостоятельно или в комплексе с другими средствами) функции защиты (идентификацию и аутентификацию пользователей, разграничение доступа к ресурсам, регистрацию событий, криптографическое закрытие информации и т.д.).
• административные меры защиты (контроль доступа в помещения, разработка стратегии безопасности, планов действия в чрезвычайных ситуациях, профилактические работы.
Организационные (административные) меры защиты – это меры организационногохарактера,регламентирующие процессы функционирования системы обработки данных, использование ее ресурсов, деятельность персонала, а также порядок взаимодействия пользователей с системой таким образом, чтобы в наибольшей степени затруднить или исключить возможность реализации угроз безопасности. Они включают:
• мероприятия, осуществляемые при проектировании, строительстве и оборудовании серверных и других объектов систем обработки данных;
• мероприятия по разработке правил доступа пользователей к ресурсам системы (разработка политики безопасности);
• мероприятия, осуществляемые при подборе и подготовке персонала системы; в подавляющем случае совершения компьютерного преступления невозможно без участия инсайдера;
• организацию охраны и надежного пропускного режима;
• организацию учета, хранения, использования и уничтожения документов и носителей с информацией;
• распределение реквизитов разграничения доступа (паролей, ключей шифрования и т.п.);
• организацию явного и скрытого контроля за работой пользователей;
мероприятия, осуществляемые при проектировании, разработке, ремонте и модификациях оборудования и программного обеспечения и т.п.
4. Проект технического задания автоматизации функции сбора и обработки информации для центрального офиса банка о деятельности его филиалов
4.1 Назначение построения информационной системы в банке
Главной целью создания информационной системы на уровне Центрального офиса коммерческого банка является объединение в единое информационное пространство всех структурных единиц (филиалов) банка.
Эта информационная система позволит решить следующие задачи:
- автоматизировать учет поступлений платежей клиентов по системе банка;
- вести автоматический учет клиентов;
- учет движений по счетам;
- учет, проводимых работ с другими банками;
- информационный обмен, в том числе обмен электронной почтой, файлами и т.п. между структурными подразделениями банка;
- информационное обеспечение руководящего персонала необходимой информацией для принятия управленческих решений;
- обеспечение сбора, обработки и надежного хранения корпоративной информации;
- автоматизация системы документооборота;
- реализация контролируемого доступа к внутренним ресурсам информационной системы.
Единое информационное пространство предполагает, что все пользователи будут работать с реальными данными, которые могут быть только что созданы, внесены или откорректированы их коллегами из других отделов, даже если эти отделы находятся в разных местах.
Для выполнения вышеперечисленных задач информационная система должна выполнять:
- сбор первичной информации о поступлении платежей в установленном порядке и их автоматическую регистрацию;
- передача информации пользователю системы или ее рассылка по локальной сети;
- хранение и поддержку в рабочем состоянии коллективно используемой информации в центральной базе данных.
4.2 Перечень автоматических рабочих мест и предъявляемых к ним требовании
Уполномоченный сотрудник Центрального офиса банка нуждается в информационной поддержке для выполнения своих служебных обязанностей (к примеру, о состоянии кредитно – инвестиционного портфеля филиала банка, доходов и затрат за отчетный период и т.п.)
Данная информационная система требует создания следующих автоматизированных рабочих мест (АРМ):
1. АРМ руководителей кредитного департамента, бухгалтерского учета и отчетности, планирования и контролинга;
2. АРМ администратора сети;
3. АРМ начальника отдела контроля деятельности филиалов;