УДК 004.01

А. В. ЗУБАРЕВ, В. Т. ЕРЕМЕНКО, Р. А. ФИСУН

A. V. ZUBAREV, V. T. EREMENKO, R. A. FISUN

ОСОБЕННОСТИ ФОРМИРОВАНИЯ ПРОФИЛЯ УГРОЗ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ БАНКА

FEATURES OF FORMATION OF THE PROFILE OF THREATS OF INFORMATION SECURITY OF BANK

В статье сформулированы особенности формирования профиля угроз информационной безопасности банка для устранения сложностей при формировании организационно-управленческой структуры безопасности и всей системы защиты в целом.

Ключевые слова: банк, объект защиты, угрозы банка, источники угроз, информационная атака.

The article defines the features of formation of the profile of threats of information security of bank to eliminate difficulties in the formation of organizational and management structure of the safety and protection of the entire system as a whole.

Keywords: a bank, the object of protection, the threat of the bank, the sources of threats, information attack.

ВВЕДЕНИЕ

Стремительное развитие банковской деятельности привело к тому, что особую значимость для банков стали приобретать проблемы обеспечения информационной безопасности и защиты информации.

Усиленное внимание к проблеме ОИБ связано в первую очередь с построением эффективной системы защиты банка. Вместе с тем следует подчеркнуть, что для построения адекватной системы защиты, необходимо сформулировать профиль угроз ИБ банка, т. е. провести анализ защищаемого банковского объекта с точки зрения возможных угроз его деятельности, на основе которого получить конкретные пути решения проблемы.

На основе вышесказанного можно сделать вывод, что существует необходимость в выявлении особенностей формирования профиля угроз ИБ банка, т. к. его качество отразится на формировании как организационно-управленческой структуры СИБ, так и на построении всей системы защиты в целом.

ПРОФИЛЬ БАНКА

Выявление специфических особенностей банка как организации является тем основанием, на котором строятся все остальные аспекты исследования. На базе этого необходимо дать определение кредитной организации и банку в частности, выделить свойства отличающие банковскую организацию от других.

Таким образом, согласно [1], кредитная организация – юридическое лицо, которое для извлечения прибыли как основной цели своей деятельности на основании специального разрешения ЦБ РФ имеет право осуществлять банковские операции.

Отсюда, напрашивается вывод, что основным видом кредитной организации является банк, который в свою очередь имеет исключительное право осуществлять в совокупности следующие банковские операции [1]:

    привлечение во вклады денежных средств физических и юридических лиц, размещение указанных средств от своего имени и за свой счет на условиях возвратности, платности, срочности, открытие и ведение банковских счетов физических и юридических лиц.

В итоге рассмотрения данного вопроса можно сказать, что особенности банковской деятельности (отличающей ее от производственной, торговой и д. р.) следующие:

    Преобладание в ресурсах банков привлеченных и заемных средств, влекущее за собой повышенную ответственность перед кредиторами и вкладчиками. Чрезвычайная подвижность и изменчивость параметров финансовых рынков, вызываемая не только экономическими, но и политическими, социальными и иными причинами. Необходимость постоянной и одновременной работы с клиентами, представляющими различные сферы и отрасли хозяйствования, имеющими противоречивые интересы и цели.

Таким образом, можно сказать, что банк, как и любая организация, несет за собой реализацию определенных функций.

Исторически первой функцией банков было безопасное хранение денег клиентов. Т. к. у банка много клиентов, хранящих свои денежные средства, то встает вопрос в еще одной функции – безналичный расчет, т. е. перевод денежных средств между клиентами, путем внесения изменений в их банковские счета. Безналичные расчеты возможны и между клиентами различных банков. Кроме, того одной из основных функций банка является кредитование.

ОБЪЕКТЫ ЗАЩИТЫ ИНФОРМАЦИИ БАНКА

Особое значение в свете формулировки профиля угроз, приобретает определение объектов защиты банка.

Каждый банк или фирма индивидуальны, так индивидуальна и система их комплексной защиты, а значит индивидуальны и объекты защиты. Однако обязательными направлениями обеспечения безопасности должны быть:

    жизнь, здоровье персонала и посетителей; здание, оборудование, имущество и ценности; информация во всех ее видах.

Итак, согласно [7, 18], банковский объект включает в себя здания и прилегающую к ним территорию, границы которой обозначены физической преградой или просто зафиксированы законодательно. И здесь с точки зрения обеспечения безопасности в банке необходимо защищать [3, 4, 18]:

    персонал банка; клиентов; посетителей; имущество; оборудование; ценности; всю используемую информацию в различных видах.

В дальнейшем банковским объектом будем называть любую территорию - комнату, здание или комплекс зданий, в которых находятся и работают люди, используется оборудование, и хранятся материальные ценности, а также циркулирует разнообразная информация [4, 9, 18].

Здесь следует отметить, что все эти объекты защиты внутри банка могут быть подвержены действиям угроз, источники которых находятся как снаружи банковского объекта, вне здания банка и его территории, так и внутри его.

ОСНОВНЫЕ ВИДЫ ВОЗМОЖНЫХ УГРОЗ ИБ БАНКА И ИХ ИСТОЧНИКИ

Анализируя [17, 18], становиться ясно, что деятельность банка богата на различные ЧП, как крупные, приводящие к остановкам, а иногда и к полному уничтожению объекта (стихийные бедствия, крупные аварии и катастрофы), так и мелкие происшествия, которые по своей совокупности наносят достаточно большой ущерб отдельным участкам объекта, а иногда всей фирме или банку в целом. И согласно [8], угрозы банку можно разделить на три большие группы, как показано на рисунке 1.

Исследуя [4, 17, 18], напрашивается вывод, что в отношение банка по природе возникновения существует два класса угроз: естественные и искусственные. Естественные угрозы вызваны стихийными природными явлениями, не зависящими от человека (землетрясения, наводнения, ураганы и т. п.), а искусственные угрозы вызваны деятельностью человека [2, 3, 18].

Рисунок 1 — Основные виды угроз банку

В свою очередь искусственные угрозы делятся на:

    непреднамеренные, вызванные ошибками персонала или других субъектов преднамеренные, связанные с определенными устремлениями людей, такими как терроризм, забастовки, хищения, кражи, подслушивание, несанкционированный доступ в компьютерные сети и т. п.

Из сказанного становится очевидным то, что неумышленные угрозы могут вызвать на объекте [5, 10, 18]:

    травмы и гибель людей; повреждение оборудования, линий связи, каналов жизнеобеспечения из-за недостаточной квалификации, нарушения должностных инструкций. неумышленное изменение банковского технологического процесса, внедрение и использование нерегламентированных технических средств, документов, компьютерных программ; неосторожные действия, приводящие к разглашению информации различных видов; некомпетентное использование, настройка или неправомерное отключение персоналом банка средств и систем защиты.

Умышленные угрозы могут вызвать на банковском объекте [5, 10, 18]:

    травмы и гибель людей; физическое разрушение объекта или отдельных его элементов как результат терроризма, хулиганства, вандализма; отключение или вывод из строя систем жизнеобеспечения банка вследствие тех же причин; действия по дезорганизации функционирования банка, его отделения - забастовки, саботаж, постановка помех; съем информации путем контроля каналов связи, негласной установки специальных технических средств, анализа и контроля побочных излучений, негласной видео - и фотосъемки, хищения документов, магнитных носителей и бумажных, информационных отходов (распечаток, копировальной бумаги, и т. п.), несанкционированный доступ в банковскую компьютерную сеть; хищение ценностей, продукции, ценных бумаг, имущества, оборудования.

Стоит отметить, что перечисленные выше угрозы не равноценны, но каждое такое преступное посягательство имеет цели [14, 15, 17]: завладение имуществом банка, с целью обращения его в свою собственность; ограничение деятельности банка конкурентом или устранение банка с рынка.

Стремительная компьютеризация банковской деятельности, практически прошедшая и завершившаяся в банковском секторе России немногим более чем за 10 лет, а также быстрое развитие технологий дистанционного банковского обслуживания, поставили вопрос об обеспечение ИБ и формулировке угроз компьютерной безопасности банка. Основные виды таких угроз представлены на рисунке 2 [10, 11, 16].


Рисунок 2 – Компьютерные угрозы банку

В итоге хотелось бы подчеркнуть, что основными угрозами ИБ банка являются:

    разглашения конфиденциальной информации; утечки конфиденциальной информации через технические средства обеспечения производственной деятельности различного характера; несанкционированного доступа к охраняемым сведениям со стороны конкурентных организаций и преступных формирований; разрушения или несанкционированной модификации информации; блокирования или разрушения технических средств приема, передачи, обработки и хранения информации.

В свою очередь, осуществление угроз информационным ресурсам может быть произведено:

    путем неофициального доступа и съема конфиденциальной информации; путем подкупа лиц, работающих в Банке или структурах, непосредственно связанных с его деятельностью; путем перехвата информации, циркулирующей в средствах и системах связи и вычислительной техники с помощью технических средств разведки и съема информации, несанкционированного доступа к информации и преднамеренных программно-математических воздействий на нее в процессе обработки и хранения; путем подслушивания конфиденциальных переговоров, ведущихся в служебных помещениях, служебном и личном автотранспорте, на квартирах и дачах; через переговорные процессы между Банком и иностранными или отечественными фирмами, используя неосторожное обращение с информацией; через отдельных сотрудников Банка, стремящихся заполучить больший, чем их зарплата, доход или имеющих иную корыстную либо личную заинтересованность; случайным или преднамеренным нарушением работоспособности технических средств приема, передачи, хранения и обработки информации бесконтрольным изготовлением, размножением и уничтожением информации, включая копирование на отчуждаемые носители информации (цифровые, оптические, бумажные или любые другие).

ПРАКТИЧЕСКОЕ ПРИМЕНЕНИЕ ПРОФИЛЯ УГРОЗ В ОРГАНИЗАЦИИ СИСТЕМЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ БАНКА

Формулировка профиля угроз ИБ банка несет за собой определенную цель – упрощение разработки и внедрения СИБ.

Таким образом, на основе сформулированного профиля, необходимо строить систему комплексной защиты, в которой основными функциями являются обнаружение угроз и отражение угроз [8, 12, 13].

Итак, прежде всего, для реализации выше перечисленных функций была разработана модель реализации угроз (рисунок 3) [13, 19].

Модель состоит из следующих блоков:

·  список возможных угроз ИБ

·  возможную схему атаки:

o  источники угроз ИБ

o  уязвимости

o  методы реализации угрозы

·  методы защиты

·  последствия реализации угрозы

Рисунок 3 – Модель реализации угроз

Вышеизложенное подчеркивает необходимость в наблюдении за информационными атаками. Последствия той или иной атаки могут различаться в зависимости от ситуации. Для систематизации различных критериев, описывающих последствия атак, была разработана их классификация, которая представлена на рисунке 4 [12, 20]. Последствия атаки классифицируются по типу последствия атаки, по типу ущерба, по потенциальному ущербу, по степени устранимости последствия атаки.

Хотелось бы подчеркнуть, что на основе вышеперечисленного должна базироваться одна из основных функций СИБ – обнаружение информационных атак и угроз.

Рисунок 4 – Классификация последствий информационных атак

Кроме того, хотелось бы подчеркнуть, что на основе вышеперечисленного должна базироваться одна из основных функций СИБ – обнаружение информационных атак и угроз. И в результате проведенных исследований была разработана классификация существующих моделей процесса обнаружения атак [12, 20], которая представлена на рисунке 5. Модели классифицируются по следующим параметрам:

·  класс модели

·  тип модели

·  возможность идентификации процесса принятия решения о выявленной атаке

·  тип математического аппарата, заложенного в модель

·  зависимость от наличия формализованного описания обнаруживаемых атак или штатного процесса функционирования АС


Рисунок 5 – Классификация моделей обнаружения информационных атак

ЗАКЛЮЧЕНИЕ

Таким образом, в данной статье был сформулирован профиль банковской организации, на основе которого были выявлены основные объекты защиты банка, создавшие базу для формулировки основных видов угроз информационной безопасности и их источников, т. е. были выявлены особенности формирования профиля угроз ИБ банка. Это поможет упростить разработку профиля угроз ИБ банка. Профиль угроз ИБ банка, соответственно, применим на практике, например, при разработке модели реализации угроз, классификации информационных атак, разработке моделей обнаружения информационных атак и при построении линии их отражения.

СПИСОК ЛИТЕРАТУРЫ

Федеральный закон от 01.01.2001 (ред. от 01.01.2001) «О банках и банковской деятельности». – Собрание законодательства РФ – 5 февраля 1996 г. – с. 492 Белевская, теоретических основ информатики как методологического базиса подготовки специалистов информационного общества. / , // Математические методы и информационно-технические средства: труды 5 Всероссийской науч.-практ. конф., 19 июня 2009 г.– Краснодар: Краснодарский ун-т МВД России, 2010.– С. 206-209 Белевская, вопросы информационной безопасности личности, общества, государства. / , // Материалы международной НПК 20.03.2009 «Современное развитие экономических и правовых отношений. Образование и образовательная деятельность». С. 522-527. – Димитровград: Технологический институт. Филиал ФГОУ ВПО Ульяновской сельскохозяйственной академии, 2009.– 531 с. Белевская, проблемы обеспечения информационной безопасности личности, как важнейшего института информационного права. / , // Журнал «Современное право». № 8-2009. – М.: «Новый индекс», 2009 Белевская, аспекты формирования законодательства в сфере информационной безопасности. / , // Сборник научных трудов по материалам международной научно-практической конференции «Современные направления теоретических и прикладных исследований – 2009» 16-27 марта 2009 г. Том 23. Юридические и политические науки.– Одесса: Черноморье, 2009. С.29-34 Еременко, профилей обработки данных в системах контроля и диагностики технических объектов на основе их качественного анализа./ , , // Информационные системы и технологии. – 2014. – № 5. – С. 88 –97. Еременко, формирования тестовых комплектов для протоколов безопасности в системах обработки данных./ , // Информационные системы и технологии. – 2014. – № 5. – С. 131 – 137. Еременко, аспекты выбора профилей сбора и обработки данных в системах неразрушающего контроля и диагностики технических объектов. / , // Контроль. Диагностика. – 2013, № 1. – С. 24 – 31. Ерёменко, аспекты синтеза оптимальной древовидной структуры в системах сбора и обработки информации / , , // Вестник компьютерных и информационных технологий. – 2013, № 11. – С.15 – 21. Еременко информационных потоков в сетях передачи данных интегрированных АСУ / , , // Информационные системы и технологии. – 2011, № 6 – С. 35 – 42. Ерёменко, локально-оптимальной структуры классификатора информационных ресурсов по критерию минимума средней длины процедуры поиска. / ., , // Вестник компьютерных и информационных технологий. – 2013, № 7. – С.3 – 8. Фисун, информатика и информационная безопасность социотехнических систем – основа формирования и развития информационного общества. / // Информационные технологии в науке, образовании и производстве. ИТНОП-2010: материалы 4-й Международной научно-технической конференции, г. Орел, 22-23 апреля 2010 г. – в 5-ти т. Т.1 / под общ. ред. д-ра тех наук, проф. . – Орел: ОрелГТУ, 2010. – С. 71-79 Фисун, проблемы обеспечения информационной безопасности. / // Использование современных информационных технологий и проблемы информационной безопасности в деятельности правоохранительных органов; Международный тематический сборник научных трудов.– Калининград: Калининградский юридический институт МВД России, 2009. – 208 с. Фисун, и практические основы человеко-компьютерного взаимодействия: базовые понятия человеко-компьютерных систем в информатике и информационной безопасности: Монография / , , и др. - Орел: Орловский государственный университет, 2004. -169 с. Фисун, модели угроз информационной безопасности визуального взаимодействия человек-компьютер для системы правовых, технических, программных и организационных методов и средств защиты информации. / , , // Международная научно-практическая конференция «Информационные технологии и право (Правовая информатизация -2004)».– Минск: Национальный центр правовой информации Республики Беларусь, 2004. - С. 221-223. Фисун, основы информатики и информационная безопасности. / , , // М.: Радио и связь, 2000. Гамза, и система безопасности банка / , . - М.: Издатель , 2003. – 112 с. Еременко, системы в банковском деле: учебное пособие / , . - Орел: ОГТУ, 2007. – 204 с. Петренко, безопасности Iuranrt / , – М: Академии АиТи: ДМК Пресс, 2002. – 438с. Сердюк и технологии защиты информации: обнаружение и предотвращение информационных атак в автоматизированных систем предприятий. М.: "Высшая Школа Экономики (Государственный Университет)", 2011. – 576 с.

государственный университет – учебно-научно-производственный комплекс, г. Орел

Студент кафедры «Электроника, вычислительная техника и информационная безопасность»

Сот. 8-953-477-80-44

E-mail: *****@***ru

Государственного университета – учебно-научно - производственного комплекса (г. Орел)

Зав. кафедрой «Электроника, вычислительная техника и информационная безопасность»

Доктор технических наук, профессор

E-mail: *****@***ru

Заместитель начальника отдела безопасности и защиты информации Отделения по Смоленской

области Главного управления Центрального Банка России по ЦФО