Безопасность информационных банковских систем

Под безопасностью информационных банковских систем понимается защищенность системы от случайного или преднамеренного вмешательства в нормальный процесс ее функционирования, а также от попыток хищения, модификации или разрушения ее компонентов.

Безопасность любого компонента данной системы достигается обеспечением трех его характеристик: целостности, доступности и конфиденциальности.

1. Целостность компонента системы предполагает, что при функционировании системы информация может быть изменена только теми пользователями, которые имеют на это право;

2. Доступность предусматривает действительную доступность компонента авторизованному (т.е. допущенному) пользователю в любое время;

3. Конфиденциальность состоит в том, что определенная часть информации предоставляется только авторизованным пользователям.

Одними из важнейших аспектов проблемы обеспечения безопасности информационных банковских систем являются определение, анализ и классификация всех возможных угроз безопасности. Различают две основные группы угроз. К первой группе относятся так называемые случайные (непреднамеренные) угрозы, которые по своей сути не зависят от человека (например, стихийные бедствия), а также угрозы, обусловленные ошибками эксплуатации аппаратных и программных средств, сбоями и отказами работы оборудования и средств передачи данных и т.д. Вторую группу составляют преднамеренные угрозы, приводящие к непосредственному раскрытию, изменению, хищению или уничтожению данных. Этот вид угроз исходит и от внутренних участников системы (персонала банка), и от внешних, так называемых «хакеров», и других злоумышленников.

Программными средствами могут поддерживаться следующие механизмы защиты информации:

1) авторизация (присвоение полномочий), идентификация (именование) и аутентификация (опознавание, подтверждение подлинности) субъектов и объектов информационной банковской системы;

2) криптографическое закрытие информации (шифрование и кодирование защищаемых данных);

3) управление доступом к ресурсам системы (механизм разграничения доступа, администрирование работы пользователей, протоколирование всех действий в системе и т.п.);

4) контроль целостности ресурсов системы (обеспечивается внутренними средствами контроля и управления применяемой СУБД).

Широкое распространение при электронных банковских расчетах получила электронно-цифровая подпись (ЭЦП), предназначенная для обеспечения гарантированного подтверждения подлинности и авторства документов, обрабатываемых с помощью вычислительной техники. Электронная цифровая подпись позволяет заменить при безбумажном документообороте традиционные печать и подпись. Ее механизм включает процедуру формирования подписи отправителем и процедуру ее опознавания получателем. При ее построении используются асимметричные алгоритмы шифрования, основывающиеся на использовании общедоступного (открытого) ключа для шифрования и секретного ключа для дешифрования, при этом значение открытого ключа не позволяет определить секретный ключ.

8.5.