Н. И. Лобачевского в. Н. Ясенев автоматизированные информационные системы в экономике учебно-методическое пособие

Вид материала

Учебно-методическое пособие

Содержание 7.4 Безопасность АИС в банках Умышленные атаки на систему Начисление процентов на расчетные счета и счета до востребования. Хищение через систему клиент-банк. Изменение внешнего получателя платежа. Тип угроз Защита системы "Клиент-Банк". Уровни защиты Защита АРМа Клиента. Защита на уровне выполнения операций. Защита на этапе передачи документов между АРМами Банка и Клиента. Шифрация документов. АРМ Банка и АРМ Клиента

Подобный материал:

• Neural Network Wizard 7 учебно-методическое пособие, 702.9kb.
• Учебно-методический комплекс по дисциплине: Информационные системы в экономике для, 266.03kb.
• Н. И. Лобачевского факультет управления и предпринимательства м. Ю. Малкина история, 1006.22kb.
• Н. И. Лобачевского Д. В. Суходоев, А. С. Котихина История таможенного дела и таможенной, 1362.83kb.
• Конспект лекций по дисциплине «Информационные системы в экономике», 1286.5kb.
• Темы контрольных работ в форме рефератов по дисциплине «Информационные системы в экономике», 11.18kb.
• В. Н. Ясенев Программа курса, 64.87kb.
• Учебно-методический комплекс по дисциплине «Информационные системы в экономике» Вторая, 163.77kb.
• Учебно-методическое пособие Рекомендовано методической комиссией финансового факультета, 556.98kb.
• Учебно-методическое пособие "Широкополосные сигналы" составлено в соответствии с программой, 317.01kb.

7.4 Безопасность АИС в банках

Банки играют огромную роль в экономической жизни общества, их часто называют кровеносной системой экономики. Благодаря своей специфической роли, со времени своего появления они всегда притягивали преступников. С тех пор как банки перешли к компьютерной обработке информации, появились источники совершенно новых угроз, неизвестных ранее. Большинство из них обусловлены новыми информационными технологиями и не являются специфическими исключительно для банков.

Банки играют огромную роль в экономической жизни общества» их часто называют кровеносной системой экономики. Благодаря своей специфической роли, со времени своего появления они всегда притягивали преступников. К 90-м годам XX века банки перешли к компьютерной обработке информации, что значительно повысило производительность труда, ускорило расчеты и привело к появлению новых услуг. Однако компьютерные системы, без которых в настоящее время не может обойтись ни один банк, являются также источником совершенно новых угроз, неизвестных ранее. Большинство из них обусловлены новыми информационными технологиями и не являются специфическими исключительно для банков.

Существуют, однако, два аспекта, выделяющих банки из круга остальных коммерческих систем:

1. Информация в банковских системах представляет собой «живые деньги», которые можно получить, передать, истратить, вложить и т.д.
   
2. Она затрагивает интересы большого количества организаций и отдельных лиц.
   

Поэтому информационная безопасность банка – критически важное условие его существования.

В силу этих обстоятельств, к банковским системам предъявляются повышенные требования относительно безопасности хранения и обработки информации. Отечественные банки также не смогут избежать участи тотальной автоматизации по следующим причинам:

• усиления конкуренции между банками;
  
• необходимости сокращения времени на производство расчетов;
  
• необходимости улучшать сервис.
  

В США, странах Западной Европы и многих других, столкнувшихся с этой проблемой довольно давно, в настоящее время создана целая индустрия защиты экономической информации, включающая разработку и производство безопасного аппаратного и программного обеспечения, периферийных устройств, научные изыскания и др.

Сфера информационной безопасности – наиболее динамичная область развития индустрии безопасности в целом. Если обеспечение физической безопасности имеет давнюю традицию и устоявшиеся подходы, то информационная безопасность постоянно требует новых решений, т.к. компьютерные и телекоммуникационные технологии постоянно обновляются, на компьютерные системы возлагается все большая ответственность.

Статистика показывает, что подавляющее большинство крупных организаций имеют план с правилами доступа к информации, а также план восстановления после аварий.

Безопасность электронных банковских систем зависит от большого количества факторов, которые необходимо учитывать еще на этапе проектирования этой системы.

При этом для каждого отдельного вида банковских операций и электронных платежей или других способов обмена конфиденциальной информацией существуют свои специфические особенности защиты. Таким образом, организация защиты банковских систем есть целый комплекс мер, которые должны учитывать как общие концепции, но и специфические особенности.

Основной вывод, который можно сделать из анализа развития банковской отрасли, заключается в том, что автоматизация и компьютеризация банковской деятельности (и денежного обращения в целом) продолжает возрастать. Основные изменения в банковской индустрии за последние десятилетия связаны именно с развитием информационных технологий. Можно прогнозировать дальнейшее снижение оборота наличных денег и постепенный переход на безналичные расчеты с использованием пластиковых карт, сети Интернет и удаленных терминалов управления счетом юридических лиц.

В связи с этим следует ожидать дальнейшее динамичное развитие средств информационной безопасности банков, поскольку их значение постоянно возрастает.

В условиях финансовых кризисов первоочередное внимание в работе банков уделяется вопросам, влияющим на повышение их конкурентоспособности, одним из важнейших аспектов этой проблемы является повышение уровня безопасности операций, выполняемых банком. При современных технологиях автоматизации увеличивается объем информации, обрабатываемой в электронном виде, что ведет к снижению общего уровня безопасности в работе банка. Решение этой проблемы во многом зависит от технологий, используемых конкретным банком, иными словами – от автоматизированной банковской системы.

Компьютеризация банковской деятельности позволила значительно повысить производительность труда сотрудников банка, внедрить новые финансовые продукты и технологии. Однако прогресс в технике преступлений шел не менее быстрыми темпами, чем развитие банковских технологий. В настоящее время свыше 90% всех преступлений связано с использованием автоматизированных систем обработки информации банка. Следовательно, при создании и модернизации АБС необходимо уделять пристальное внимание обеспечению ее безопасности.

Именно эта проблема является сейчас наиболее актуальной и наименее исследованной. Если в обеспечении физической и классической информационной безопасности давно уже выработаны устоявшиеся подходы (хотя развитие происходит и здесь), то в связи с частыми радикальными изменениями в компьютерных технологиях методы безопасности АБС требуют постоянного обновления. Как показывает практика, не существует сложных компьютерных систем, не содержащих ошибок. А поскольку идеология построения крупных АБС регулярно меняется, то исправления найденных ошибок и «дыр» в системах безопасности хватает ненадолго, так как новая компьютерная система приносит новые проблемы и новые ошибки, заставляет по-новому перестраивать систему безопасности.

Во многие банковские системы заложена идеология и схема бизнес-процессов многофилиального банка, имеющего, в том числе, структурные подразделения в различных регионах. Возможность работы в режиме удаленного доступа предъявляет дополнительные требования к защитным механизмам. А высокая степень интегрированности информации в комбинации с уникальными возможностями адаптации системы к самым разным сетевым операционным системам делает проблему информационной безопасности банка чрезвычайно актуальной.

Безопасность информации напрямую влияет на уровень рентабельности, ибо потери, связанные с ее нарушением, могут свести на нет все достижения эффективного управления. При этом, как правило, чем более совершенна система управления банком, тем опаснее утечки информации.

Современные АБС – это сложные, структурированные, территориально распределенные сети. Как правило, они строятся на основе передовых технологий и программных средств, которые в силу своей универсальности не обладают достаточной защищенностью.

Особенно актуальна данная проблема в России. В западных банках программное обеспечение (ПО) разрабатывается конкретно под каждый банк, и устройство АБС во многом является коммерческой тайной. В России получили распространение «стандартные» банковские пакеты, информация о которых широко известна, что облегчает несанкционированный доступ в банковские компьютерные системы.

Чем меньше времени будут занимать расчеты между банком и клиентом, тем выше станет оборот банка и, следовательно, прибыль. Банк более оперативно сможет реагировать на изменение финансовой ситуации. Разнообразие услуг банка (в первую очередь это относится к возможности безналичных расчетов между банком и его клиентами с использованием пластиковых карт) может существенно увеличить число его клиентов и, как следствие, повысит прибыль.

АБС становится одним из наиболее уязвимых мест во всей организации, притягивающим злоумышленников как извне, так и из числа сотрудников самого банка.

Причины нарушений в информационной системе организации - это, как правило, либо ошибочные действия пользователей, либо умышленные атаки на систему. В последнем случае целью злоумышленника может быть получение информации, выполнение каких-либо действий, разрушение системы или её части.

Остановимся подробнее на наиболее распространенных случаях нарушений и сбоев в информационных системах кредитных организаций, а также методах защиты от них.

Случаи ошибочных действий пользователей информационной системы бывают практически во всех информационных системах. Совершаемые ошибки связаны с неверным вводом информации в систему автоматизации. При этом последствия ошибки можно расценивать по-разному ввиду различной ценности вводимых данных.

Наиболее опасным следствием ошибочных действий сотрудника банка может стать совершение операции с неправильными основными реквизитами (счета или сумма). Последствия таких ошибок даже в случае исправления проводки и возврата средств, ухудшают имидж банка и снижают доверие клиентов. Поэтому в большинстве банков вводятся дополнительные системы контроля и достаточно крупные штрафные санкции для сотрудников, совершивших ошибки.

Другая весьма болезненная ошибка пользователя - неправильный запуск какого-либо большого процесса, например, закрытие операционного дня или переоценка валютных средств. Такого рода ошибки обычно вызывают сбои в работе всей организации, задержки в обслуживании клиентов.

Для минимизации потерь от этих ошибок в работе с информационной системой обычно предпринимаются следующие меры. Во-первых, проводится продуманная и задокументированная политика контроля за информационными ресурсами в банке, которая должна определять типы основных документов, условия и вид контроля за их прохождением. Можно выделить следующие принципы, определяющие политику контроля:

- дополнительный визуальный контроль документов на большие суммы (сверх некоторого заранее установленного уровня);

- группировка документов в пачки не более чем по 30-40 штук;

- параллельный независимый ввод ключевых реквизитов всех (или хотя бы внешних) платежных документов.

Во-вторых, система настраивается в соответствии с правами пользователя, т. е. его доступ к проведению операций должен быть ограничен определенными условиями и контролируемыми параметрами.

В-третьих, вводится четкая регламентация действий сотрудников в случае ошибочных операций.

В-четвертых, регулярно проводится повышение квалификации сотрудников, использующих компьютерную технику.

Однако в полном объеме эти меры редко применяются, несмотря на то, что претворение их в жизнь необходимо. Основные причины - высокая трудоемкость и отсутствие соответствующих процедур в программном обеспечении информационной системы банка. Подобными процедурами при построении системы защиты обычно пренебрегают, особенно в небольших банках, где затраты \ на автоматизацию невысоки

Умышленные атаки на систему происходят достаточно редко, но в то же время они наиболее болезненны для банка. При этом злоумышленник может быть как сторонним лицом, так и сотрудником банка.

Труднее всего организовать защиту от несанкционированного получения информации. Это объясняется тем, что для полной защиты часто необходимы не только технические средства, но и комплекс процедур, выполняемых персоналом, поскольку нередко для получения конфиденциальной информации достаточно войти в «контакт» с кем-то из сотрудников банка.

Однако ущерб от утечки информации обычно невелик, что необходимо помнить, принимая решение о выделении денежных средств на разработку подобной защиты. Нанести значительный урон путем хищения информации может только мощная организация (конкурирующая или государственная), которая при достаточных затратах обойдет любую защиту. Необходимо также упомянуть об ограничении доступа в помещение отдела автоматизации и ключевых функцио­нальных служб, что послужит дополнительной защитой.

В отличие от хищений информации осуществление несанкционированных действий часто можно доказать и, следовательно, пресечь. Мотивами несанкционированных действий, как правило, являются попытки хищения средств. Несмотря на наличие параллельного бумажного документооборота, российские банки имеют ряд слабых мест, позволяющих совершать хищения средств. При этом в целом неверно распространенное мнение о том, что подобные преступления совершают профессиональные хакеры, используя сеть Internet. В большинстве российских банков Internet не интегрирован во внутреннею сетевую среду либо защищен с особой тщательностью.

Самым уязвимым для несанкционированных действий звеном информационной системы банка являются автоматические групповые операции, сумма и счета которых обычно не подлежат тщательному контролю. Рассмотрим некоторые из этих операций.

Начисление процентов на расчетные счета и счета до востребования. Обычно известна только общая сумма данной групповой операции, причем приблизительно. Незначительные изменения в каждой проводке с последующим сбросом суммы на счет злоумышленника практически не поддаются визуальному контролю. Для предотвращения подобного рода хищений рекомендуется иметь в рамках службы безопасности специализированную службу для параллельного кон­троля автоматических операций по закрытым для остальных сотрудников методикам.

Хищение через систему клиент-банк. Ввиду особого внимания к защите этой системы и дополнительного контроля проходящих сумм клиентом, попытки такой атаки имеют обычно характер разового хищения крупной суммы.

Исходя из этого в качестве защиты рекомендуется ограничить для каждого клиента максимальные ежедневные объемы платежей, совершаемых по системе клиент-банк и регламентировать обязательный ежедневный контроль выписки клиентом даже при отсутствии платежей.

Изменение внешнего получателя платежа. Данный тип хищения характеризуется изменением реквизита после прохождения стадий контроля. Защита от злоупотребления достаточно сложна и сводится к запрету на редактирование информации после прохождения стадий контроля и до электронной подписи отправляемого рейса.

Еще одним источником потенциальной опасности для информационных систем является разрушение системы автоматизации или ее отдельного модуля. Как ни странно, но одна из возможных причин подобных действий - желание какого-либо сотрудника банка (обычно увольняемого) отомстить руководству и организации в целом. При этом результаты нанесенного ущерба могут проявиться через неопределенное время, что сделает выявление виновного невозможным. Для защиты можно рекомендовать регулярно создавать резервные копии, ввести запрет на доступ сотрудника в информационную систему после уведомления его об увольнении, совершенствовать процедуры увольнения во избежание мести.

Можно привести несколько фактов:

• Потери банков и других финансовых организаций от воздействия на их системы обработки информации составляют около $ 3 млрд. в год.
  
• Объем потерь, связанных с использованием пластиковых карточек, оценивается в $ 2 млрд. в год.
  
• Средняя величина ущерба от банковской кражи с применением электронных средств составляет около $ 9000. [75].
  
• Один из самых громких скандалов связан с попыткой семерых человек украсть $ 700 млн. в первом национальном банке, Чикаго. Она была предотвращена ФБР.
  

Можно привести и другие примеры.

Чтобы обезопасить себя и своих клиентов, большинство банков предпринимают необходимые меры защиты, в числе которых защита АБС занимает не последнее место. При этом необходимо учитывать, что защита АБС – дорогостоящее и сложное мероприятие. Так, например, Barclays Bank тратит на защиту своей автоматизированной системы около $ 20 млн. ежегодно.

Datapro Information Services Group провела почтовый опрос среди случайно выбранных менеджеров информационных систем. Целью опроса явилось выяснение состояния дел в области защиты. Было получено 1153 анкеты, на основе которых получены приводимые ниже результаты [75]:

• около 25% всех нарушений составляют стихийные бедствия;
  
• около половины систем испытывали внезапные перерывы электропитания или связи, причины которых носили искусственный характер;
  
• около 3% систем испытывали внешние нарушения (проникновение в систему организации);
  
• 70-75% – внутренние нарушения, из них:
  

– 10% совершены обиженными и недовольными служащими-пользователями АБС банка;

– 10% – совершены из корыстных побуждений персоналом системы;

– 50-55% – результат неумышленных ошибок персонала и/или пользователей системы в результате небрежности, халатности или некомпетентности.

Эти данные свидетельствуют о том, что чаще всего происходят не такие нарушения, как нападения хакеров или кража компьютеров с ценной информацией, а самые обыкновенные, проистекающие из повседневной деятельности. В то же время именно умышленные атаки на компьютерные системы приносят наибольший единовременный ущерб, а меры защиты о них наиболее сложны и дорогостоящи. В этой связи проблема оптимизации защиты АБС является наиболее актуальной в сфере информационной безопасности банков.

Встроенные механизмы разграничения доступа в сетевых ОС при систематическом администрировании и строгом разграничении доступа к информационным ресурсам (что бывает далеко не всегда) позволяют достаточно надежно защитить данные, хранимые на серверах. Практически все операционные системы содержат минимальный набор защитных механизмов и для локальных рабочих мест.

Классические угрозы безопасности информации в АБС – это вывод системы из строя, отказ в обслуживании и компрометация или подмена данных. И эти угрозы слишком реальны.

По сведениям Национального центра данных о преступности, связанной с ЭВМ (Лос-Анджелес, США), компьютерные правонарушения наиболее часто совершаются программистами, студентами и операторами ввода исходных данных. В табл. указаны основные типы и субъекты угроз для компьютерных систем.


Таблица 7.4

Типы и субъекты угроз

Тип угроз	Оператор	Руководитель	Программист	Инженер (техник)	Пользователь	Конкурент
Изменение кодов	+		+
Копирование файлов	+		+
Уничтожение файлов	+	+	+		+	+
Присвоение программ			+	+		+
Шпионаж	+	+	+			+
Установка подслушивания			+	+		+
Саботаж	+		+	+		+
Продажа данных	+	+	+		+
Воровство		+	+		+	+

Субъектов компьютерных преступлений с точки зрения профессиональной подготовленности принято подразделять на лиц, совершающих преступления:

а) «нетехнические»;

б) «технические», требующие минимума специальных знаний;

в) «высокотехнические», возможные при условии основательного владения вычислительной техникой.

Практика показывает, что большинство преступлений категории «а» совершают малознакомые с вычислительной техникой служащие со средним образованием. Однако этих людей отличают два качества: они имеют доступ к компьютеру и знают, какие функции выполняет он в их организации. «Нетехнические» преступления совершаются главным образом путем кражи пароля доступа к файлам информации, хранящейся в машинной памяти. Владея паролем и определенными навыками, можно войти в засекреченные файлы, изменить их содержание и т.п. Эти преступления довольно просты для расследования, и, усилив защиту системы, их легко предупредить.

«Технические» преступления связаны с манипуляциями программами, которые составлены специалистами. Изменить их могут лишь лица, имеющие соответствующую квалификацию. Наибольшую трудность для правоохранительных органов представляют «высокотехнические» преступления.

Субъекты, совершившие несанкционированный доступ к информации, называются нарушителями. С точки зрения защиты информации несанкционированный доступ может иметь следующие последствия: утечка обрабатываемой конфиденциальной информации, а также ее искажение или разрушение в результате умышленного нарушения работоспособности АБС.

Нарушителем может быть любой человек из следующих категорий сотрудников:

 штатные пользователи АБС;

 сотрудники-программисты, сопровождающие системное, общее и прикладное программное обеспечение системы;

 обслуживающий персонал (инженеры);

 другие сотрудники, имеющие санкционированный доступ к АИТ (в том числе подсобные рабочие, уборщицы и т.д.).

Доступ к АБС других лиц (посторонних, не принадлежащих к указанным категориям) исключается организационно-режимными мерами.

Под каналом несанкционированного доступа к информации понимается последовательность действий лиц и выполняемых ими технологических процедур, которые либо выполняются несанкционированно, либо обрабатываются неправильно в результате ошибок персонала или сбоя оборудования, что приводит в конечном итоге к факту несанкционированного доступа.

Стратегия информационной безопасности банков весьма сильно отличается от аналогичных стратегий других компаний и организаций. Это обусловлено, прежде всего, специфическим характером угроз, а также публичной деятельностью банков, которые вынуждены делать доступ к счетам достаточно легким с целью удобства для клиентов.

Информационная безопасность банка должна учитывать следующие специфические факторы:

• Информация в банковских системах представляет собой «живые деньги», которые можно получить, передать, истратить, вложить и т.д. Вполне понятно, что незаконное манипулирование с такой информацией может привести к серьезным убыткам. Эта особенность резко расширяет круг преступников, покушающихся именно на банки (в отличие от, например, промышленных компаний, внутренняя информация которых мало кому интересна).
  
• Информация в банковских системах затрагивает интересы большого количества физических и юридических лиц – клиентов банка. Как правило, она конфиденциальна, и банк несет ответственность за обеспечение требуемой степени секретности перед своими клиентами. Естественно, клиенты вправе ожидать, что банк должен заботиться об их интересах, в противном случае он рискует своей репутацией со всеми вытекающими отсюда последствиями.
  
• Конкурентоспособность банка зависит от того, насколько клиенту удобно работать с банком, а также насколько широк спектр предоставляемых услуг, включая услуги, связанные с удаленным доступом. Поэтому клиент должен иметь возможность быстро и без томительных процедур распоряжаться своими деньгами. Но такая легкость доступа к деньгам повышает вероятность преступного проникновения в банковские системы.
  
• Информационная безопасность банка (в отличие от большинства компаний) должна обеспечивать высокую надежность работы компьютерных систем даже в случае нештатных ситуаций, поскольку банк несет ответственность не только за свои средства, но и за деньги клиентов.
  
• Банк хранит важную информацию о своих клиентах, что расширяет круг потенциальных злоумышленников, заинтересованных в краже или порче такой информации.
  

В силу этих обстоятельств к банковским системам предъявляются повышенные требования относительно безопасности хранения и обработки информации.

В США, странах Западной Европы и многих других, столкнувшихся с этой проблемой довольно давно, в настоящее время создана целая индустрия защиты экономической информации, включающая разработку и производство безопасного аппаратного и программного обеспечения, периферийных устройств, научные изыскания и др.

Сфера информационной безопасности – наиболее динамичная область развития индустрии безопасности в целом. Если обеспечение физической безопасности имеет давнюю традицию и устоявшиеся подходы, то информационная безопасность постоянно требует новых решений, т.к. компьютерные и телекоммуникационные технологии постоянно обновляются, на компьютерные системы возлагается все большая ответственность.

Под безопасностью АБС будем понимать ее свойство, выражающееся в способности противодействовать попыткам нанесения ущерба владельцам и пользователям системы при различных возмущающих (умышленных и неумышленных) воздействиях на нее. Иными словами под безопасностью системы понимается защищенность от случайного или преднамеренного вмешательства в нормальный процесс ее функционирования, а также от попыток хищения, модификации или разрушения ее компонентов. Следует отметить, что природа воздействия может быть самой различной. Это и попытки проникновения злоумышленника, и ошибки персонала, и стихийные бедствия (ураган, пожар), и выход из строя составных частей АБС.

Безопасность АБС достигается обеспечением конфиденциальности обрабатываемой ею информации, а также целостности и доступности компонентов и ресурсов системы.

Конфиденциальность информации – это свойство информации быть известной только допущенным и прошедшим проверку (авторизованным) субъектам системы. (пользователям, программам, процессам и т.д.). Для остальных субъектов системы эта информация как бы не существует.

Целостность компонента (ресурса) системы – свойство компонента (ресурса) быть неизменным (в семантическом смысле) при функционировании системы.

Доступность компонента (ресурса) системы – свойство компонента (ресурса) быть доступным для использования авторизованными субъектами системы в любое время.

Обеспечение безопасности АБС требует применения различных мер защитного характера. Обычно вопрос о необходимости защиты компьютерной системы не вызывает сомнений. Наиболее трудными бывают ответы на вопросы:

1. От чего надо защищать систему?
   
2. Что надо защищать в самой системе?
   
3. Как надо защищать систему (при помощи каких методов и средств)?
   

При выработке подходов к решению проблемы безопасности следует всегда исходить из того, что конечной целью применения любых мер противодействия угрозам является защиты владельца и законных пользователей АБС от нанесения им материального или морального ущерба в результате случайных ил преднамеренных воздействий на нее.

Помимо обеспечения безопасности работы с персональными компьютерами, необходимо разработать более широкую, комплексную программу компьютерной безопасности, которая должна обеспечить сохранность электронных данных во всех файлах банка. Она может включать следующие основные этапы реализации:

 защита информации от несанкционированного доступа;

 защита информации в системах связи;

 защита юридической значимости электронных документов;

 защита конфиденциальной информации от утечки по каналам побочных электромагнитных излучений и наводок;

 защита информации от компьютерных вирусов и других опасных воздействий по каналам распространения программ;

 защита от несанкционированного копирования и распространения программ и ценной компьютерной информации. Для каждого направления определяются основные цели и задачи.

Под несанкционированным доступом понимается нарушение установленных правил разграничения доступа, последовавшее в результате случайных или преднамеренных действий пользователей или других субъектов системы разграничения, являющейся составной частью системы защиты информации.

Обеспечение безопасности АБС в целом предполагает создание препятствия для любого несанкционированного вмешательства в процесс ее функционирования, а также попыток хищения, модификации, выведения из строя или разрушения ее компонентов. То есть защиту всех компонентов системы: оборудования, программного обеспечения, данных и персонала. В этом смысле защита информации от несанкционированного доступа является только частью общей проблемы обеспечения безопасности АБС, а борьбу следует вести не только с «несанкционированным доступом» (к информации), а шире – с «несанкционированными действиями».

Выявление всего множества каналов несанкционированного доступа проводится в ходе проектирования путем анализа технологии хранения, передачи и обработки информации, определенного порядка проведения работ, разработанной системы защиты информации и выбранной модели нарушителя.

Защита конфиденциальной и ценной информации от несанкционированного доступа и модификации призвана обеспечить решение одной из наиболее важных задач: защиту имущественных прав владельцев и пользователей компьютеров, защиту собственности, воплощенную в обрабатываемой информации, от всевозможных вторжений и хищений, которые могут нанести существенный экономический и другой материальный и нематериальный ущерб.

Центральной в проблеме защиты информации от несанкционированного доступа является задача разграничения функциональных полномочий и доступа к информации, направленная на предотвращение не только возможности потенциального нарушителя «читать» хранящуюся в ПЭВМ информацию, но и возможности нарушителя модифицировать ее штатными и нештатными средствами.

Требования по защите информации от несанкционированного доступа направлены на достижение (в определенном сочетании) трех основных свойств защищаемой информации:

 конфиденциальность (засекреченная информация должна быть доступна только тому, кому она предназначена);

 целостность (информация, на основе которой принимаются важные решения, должна быть достоверной и точной и должна быть защищена от возможных непреднамеренных и злоумышленных искажений);

 готовность (информация и соответствующие информационные службы должны быть доступны, готовы к обслуживанию всегда, когда в них возникает необходимость).

В основе контроля доступа к данным лежит система разграничения доступа между пользователями АБС и информацией, обрабатываемой системой. Для успешного функционирования любой системы разграничения доступа необходимо решение двух задач.

1. Сделать невозможным обход системы разграничения доступа действиями, находящимися в рамках выбранной модели:

2. Гарантировать идентификацию пользователя, осуществляющего доступ к данным (аутентификация пользователя).

Одним из эффективных методов увеличения безопасности АБС является регистрация. Система регистрации и учета, ответственная за ведение регистрационного журнала, позволяет проследить за тем, что происходило в прошлом, и соответственно перекрыть каналы утечки информации. В регистрационном журнале фиксируются все осуществленные или неосуществленные попытки доступа к данным или программам. Содержание регистрационного журнала может анализироваться как периодически, так и непрерывно.

В регистрационном журнале ведется список всех контролируемых запросов, осуществляемых пользователями системы.

Система регистрации и учета осуществляет:

 регистрацию входа (выхода) субъектов доступа в систему (из системы) либо регистрацию загрузки и инициализации операционной системы и ее программного останова (регистрация выхода из системы или останова не проводится в моменты аппаратного отключения АИТ), причем в параметрах регистрации указываются: время и дата входа (выхода) субъекта доступа в систему (из системы) или загрузки (останова) системы; результат попытки входа – успешный или неуспешный (при попытке несанкционированного доступа), идентификатор (код или фамилия) субъекта, предъявляемый при попытке доступа;

 регистрацию и учет выдачи печатных (графических) документов на твердую копию;

 регистрацию запуска (завершения) программ и процессов (заданий, задач), предназначенных для обработки защищаемых файлов;

 регистрацию попыток доступа программных средств (программ, процессов, задач, заданий) к защищаемым файлам;

 учет всех защищаемых носителей информации с помощью их любой маркировки (учет защищаемых носителей должен проводиться в журнале (картотеке) с регистрацией их выдачи / приема, должно проводиться несколько видов учета (дублирующих) защищаемых носителей информации).

Защита информации в системах связи направлена на предотвращение возможности несанкционированного доступа к конфиденциальной и ценной информации, циркулирующей по каналам связи различных видов. В своей основе данный вид защиты преследует достижение тех же целей: обеспечение конфиденциальности и целостности информации. Наиболее эффективным средством защиты информации в неконтролируемых каналах связи является применение криптографии и специальных связных протоколов.

Защита юридической значимости электронных документов оказывается необходимой при использовании систем и сетей для обработки, хранения и передачи информационных объектов, содержащих в себе приказы, платежные поручения, контракты и другие распорядительные, договорные, финансовые документы. Их общая особенность заключается в том, что в случае возникновения споров (в том числе и судебных) должна быть обеспечена возможность доказательства истинности факта того, что автор действительно фиксировал акт своего волеизъявления в отчуждаемом электронном документе. Для решения данной проблемы используются современные криптографические методы проверки подлинности информационных объектов, связанные с применением так называемых «цифровых подписей». На практике вопросы защиты значимости электронных документов решаются совместно с вопросами защиты компьютерных информационных систем.

Защита информации от утечки по каналам побочных электромагнитных излучений и наводок является важным аспектом защиты конфиденциальной и секретной информации в ПЭВМ от несанкционированного доступа со стороны посторонних лиц. Данный вид защиты направлен на предотвращение возможности утечки информативных электромагнитных сигналов за пределы охраняемой территории. При этом предполагается, что внутри охраняемой территории применяются эффективные режимные меры, исключающие возможность бесконтрольного использования специальной аппаратуры перехвата, регистрации и отображения электромагнитных сигналов. Для защиты от побочных электромагнитных излучений и наводок широко применяется экранирование помещений, предназначенных для размещения средств вычислительной техники, а также технические меры, позволяющие снизить интенсивность информативных излучений самого оборудования (ПЭВМ и средств связи).

В некоторых ответственных случаях может быть необходима дополнительная проверка вычислительного оборудования на предмет возможного выявления специальных закладных устройств финансового шпионажа, которые могут быть внедрены с целью регистрации или записи информативных излучений компьютера, а также речевых и других, несущих уязвимую информацию сигналов.

Защита информации от компьютерных вирусов и других опасных воздействий по каналам распространения программ приобрела за последнее время особую актуальность. Масштабы реальных проявлений вирусных эпидемий оцениваются сотнями тысяч случаев заражения персональных компьютеров. Хотя некоторые из вирусных программ оказываются вполне безвредными, многие из них имеют разрушительный характер. Особенно опасны вирусы для компьютеров, входящих в состав однородных локальных вычислительных сетей. Сегодня вроде бы никого не надо убеждать в необходимости построения антивирусной защиты любой более-менее ответственной информационной системы. По оценкам западных аналитиков, ежегодный общемировой ущерб от проникновения вирусов, червей, троянских коней и прочей программной "живности" составляет от 8 до 12 млрд. долларов. Достаточно вспомнить, как в 2001 году весь мир был захвачен вирусом "HoveYou" (ущерб - 2 млрд. долларов, затем "отличилась" Nimda (ущерб – до 1 млрд. долларов) и т.д. И творцы вирусов не сидят, сложа руки: по различным оценкам, ежедневно в мире неизвестные умельцы создают от 2 до 10 новых вирусов! В условиях, когда компьютерные системы становятся основой бизнеса, а базы данных – главным капиталом многих компаний, антивирусная защита прочно встает рядом с вопросами общей экономической безопасности организации. Особенно эта проблема актуальна для банков, по сути дела являющихся хранителями весьма конфиденциальной информации о клиентах и бизнес которых построен на непрерывной обработке электронных данных. Кража, уничтожение, искажение информации, сбой и отказ компьютерных систем - вот те проблемы, которые несут с собой вирусы и вирусоподобные программы.

Сейчас вряд ли встретишь банк, в информационной сети которого не установлены какие-либо антивирусные программы. Администратор сети с готовностью отчитается, что обеспечена защита рабочих мест, серверов, электронной почты и т.д. Но проблема заключается в том, что несмотря на наличие антивирусного программного обеспечения (ПО) угроза вирусных атак по-прежнему присутствует. Это происходит по нескольким причинам:

• Установлено разрозненное антивирусное ПО, нет единой системы центрального управления и сбора информации о вирусных атаках.
  
• Отсутствует техническая поддержка поставленного ПО, библиотека сигнатур (образов вирусов) устарела и антивирусное ПО не выявляет новые вирусы.
  
• Отсутствуют программы действий в экстремальных ситуациях, ликвидация последствий вирусной атаки происходит медленно и некачественно, утерянные данные не восстанавливаются
  

Отсутствует связь с производителем антивирусного ПО при возникновении новых вирусов. Некоторые особенности современных компьютерных информационных систем создают благоприятные условия для распространения вирусов. К ним, в частности, относятся:

 необходимость совместного использования программного обеспечения многими пользователями;

 трудность ограничения в использовании программ;

 ненадежность существующих механизмов защиты;

 разграничения доступа к информации в отношении противодействия вирусу и т.д.

В методах защиты от вирусов существуют два направления:

1. Применение специальных программ-анализаторов, осуществляющих постоянный контроль возникновения отклонений в деятельности прикладных программ, периодическую проверку наличия других возможных следов вирусной активности (например, обнаружение нарушений целостности программного обеспечения), а также входной контроль новых программ перед их использованием (по характерным признакам наличия в их теле вирусных образований).

2. Защита от несанкционированного копирования и распространения программ и ценной компьютерной информации является самостоятельным видом защиты имущественных прав, ориентированных на проблему охраны интеллектуальной собственности, воплощенной в виде программ ПЭВМ и ценных баз данных. Данная защита обычно осуществляется с помощью специальных программных средств, подвергающих защищаемые программы и базы данных предварительной обработке (вставка парольной защиты, проверок по обращению к устройствам хранения ключа и ключевым дискетам, блокировка отладочных прерываний, проверка рабочей ПЭВМ по ее уникальным характеристикам и т.д.), которая приводит исполняемый код защищаемой программы и базы данных в состояние, препятствующее его выполнению на «чужих» машинах. Для повышения защищенности применяются дополнительные аппаратные блоки (ключи), подключаемые к разъему принтера или к системной шине ПЭВМ, а также шифрование файлов, содержащих исполняемый код программы. Общим свойством средств защиты программ от несанкционированного копирования является ограниченная стойкость такой защиты, так как в конечном случае исполняемый код программы поступает на выполнение в центральный процессор в открытом виде и может быть прослежен с помощью аппаратных отладчиков. Однако это обстоятельство не снимает потребительские свойства средств защиты до нуля, так как основной целью их применения является в максимальной степени затруднить, хотя бы временно, возможность несанкционированного копирования ценной информации.

Контроль целостности программного обеспечения проводится с помощью:

– внешних средств (программ контроля целостности);

– внутренних средств (встроенных в саму программу).

Контроль целостности программ внешними средствами выполняется при старте системы и состоит в сравнении контрольных сумм отдельных блоков программ с их эталонными суммами. Контроль можно производить также при каждом запуске программы на выполнение.

Контроль целостности программ внутренними средствами выполняется при каждом запуске программы на выполнение и состоит в сравнении контрольных сумм отдельных блоков программ с их эталонными суммами. Такой контроль используется в программах для внутреннего пользования.

В общем случае, антивирусная защита банковской информационной системы должна строиться по иерархическому принципу:

• службы общекорпоративного уровня – 1-й уровень иерархии;
  
• службы подразделений или филиалов – 2-й уровень иерархии;
  
• службы конечных пользователей – 3-й уровень иерархии.
  

Службы всех уровней объединяются в единую вычислительную сеть (образуют единую инфраструктуру), посредством локальной вычислительной сети.

Службы общекорпоративного уровня должны функционировать в непрерывном режиме.

Управление всех уровней должно осуществляться специальным персоналом, для чего должны быть предусмотрены средства централизованного администрирования.

Антивирусная система должна предоставлять следующие виды сервисов на общекорпоративном уровне:

• получение обновления программного обеспечения и антивирусных баз;
  
• управление распространением антивирусного программного обеспечения;
  
• управление обновлением антивирусных баз;
  
• контроль за работой системы в целом (получение предупреждений об обнаружении вируса, регулярное получение комплексных отчетов о работе системы в целом);
  

на уровне подразделений:

• обновление антивирусных баз конечных пользователей;
  
• обновление антивирусного программного обеспечения конечных пользователей, управление локальными группами пользователей;
  

на уровне конечных пользователей:

• автоматическая антивирусная защита данных пользователя.
  

Функциональные требования

• Удаленное управление. Возможность управления всей системой с одного рабочего места (например, с рабочей станции администратора).
  
• Ведение журналов. Ведение журналов работы в удобной настраиваемой форме.
  
• Оповещения. В системе защиты должна быть возможность отправки оповещений о происходящих событиях.
  
• Производительность системы. Необходимо регулировать уровень нагрузки от антивирусной защиты
  
• Защита от различных типов вирусов. Необходимо обеспечить возможность обнаружения вирусов исполняемых файлов, макросов документов. Кроме этого, должна быть предусмотрены механизмы обнаружения неизвестных программному обеспечению вирусов.
  
• Постоянная защита рабочих станций. На рабочих станциях должно работать программное обеспечение, обеспечивающее проверку файлов при их открытии и записи на диск.
  
• Автоматическое обновление антивирусной базы. Должна быть предусмотрена возможность автоматического получения обновлений антивирусной базы и обновления антивирусной базы на клиентах.
  

На первом уровне защищают подключение в Интернет или сеть поставщика услуг связи - это межсетевой экран и почтовые шлюзы, поскольку по статистике именно оттуда попадает около 80% вирусов. Необходимо отметить что таким образом будет обнаружено не более 30% вирусов, так как оставшиеся 70% будут обнаружены только в процессе выполнения.

Применение антивирусов для межсетевых экранов на сегодняшний день сводится к осуществлению фильтрации доступа в Интернет при одновременной проверке на вирусы проходящего трафика.

Как правило, защищают файл-сервера, сервера баз данных и сервера систем коллективной работы, поскольку именно они содержат наиболее важную информацию. Антивирус не является заменой средствам резервного копирования информации, однако без него можно столкнуться с ситуацией, когда резервные копии заражены, а вирус активизируется спустя полгода с момента заражения.

Ну и напоследок защищают рабочие станции, те хоть и не содержат важной информации, но защита может сильно снизить время аварийного восстановления.

Фактически, антивирусной защите подлежат все компоненты банковской информационной системы, связанные с транспортировкой информации и/или ее хранением:

• Файл-серверы;
  
• Рабочие станции;
  
• Рабочие станции мобильных пользователей;
  
• Сервера резервного копирования;
  
• Сервера электронной почты;
  

Защита рабочих мест (в т.ч. мобильных пользователей) должна осуществляться антивирусными средствами и средствами сетевого экранирования рабочих станций.

Средства сетевого экранирования призваны в первую очередь обеспечивать защиту мобильных пользователей при работе через Интернет, а также обеспечивать защиту рабочих станций ЛВС компании от внутренних нарушителей политики безопасности.

Основные особенности сетевых экранов для рабочих станций:

• Контролируют подключения в обе стороны
  
• Делают ПК невидимым в Интернет (прячет порты)
  
• Предотвращают известные хакерские атаки и троянские кони
  
• Извещают пользователя о попытках взлома
  
• Записывают информацию о подключениях в файл
  
• Предотвращают отправку данных, определённых как конфиденциальные от отправки без предварительного уведомления.
  

Не дают серверам получать информацию без ведома пользователя.

Одним из потенциальных каналов несанкционированного доступа к информации является несанкционированное изменение прикладных и специальных программ нарушителем с целью получения конфиденциальной информации. Эти изменения могут преследовать цель изменения правил разграничения доступа или обхода их (при внедрении в прикладные программы системы защиты) либо организацию незаметного канала получения конфиденциальной информации непосредственно из прикладных программ (при внедрении в прикладные программы). Одним из методов противодействия этому является метод контроля целостности базового программного обеспечения специальными программами. Однако этот метод недостаточен, поскольку предполагает, что программы контроля целостности не могут быть подвергнуты модификации нарушителем.

При защите коммерческой информации, как правило, используются любые существующие средства и системы защиты данных от несанкционированного доступа, однако в каждом случае следует реально оценивать важность защищаемой информации и ущерб, который может нанести ее утрата.

Чем выше уровень защиты, тем она дороже. Сокращение затрат идет в направлении стандартизации технических средств. В ряде случаев, исходя из конкретных целей и условий, рекомендуется применять типовые средства, прошедшие аттестацию, даже если они уступают по некоторым параметрам.

Защита информации может обеспечиваться разными методами, но наибольшей надежностью и эффективностью обладают (а для каналов связи являются единственно целесообразными) системы и средства, построенные на базе криптографических методов. В случае использования некриптографических методов большую сложность составляет доказательство достаточности реализованных мер и обоснование надежности системы защиты от несанкционированного доступа.

Необходимо иметь в виду, что подлежащие защите сведения могут быть получены «противником» не только за счет осуществления «проникновения» к ЭВМ, которые с достаточной степенью надежности могут быть предотвращены (например, все данные хранятся только в зашифрованном виде), но и за счет побочных электромагнитных излучений и наводок на цепи питания и заземления ЭВМ, а также каналы связи. Все без исключения электронные устройства, блоки и узлы ЭВМ излучают подобные сигналы, которые могут быть достаточно мощными и могут распространяться на расстояния от нескольких метров до нескольких километров. При этом наибольшую опасность представляет собой получение «противником» информации о ключах. Восстановив ключ, можно предпринять ряд успешных действий по завладению зашифрованными данными, которые, как правило, охраняются менее тщательно, чем соответствующая открытая информация.

Каждую систему обработки информации защиты следует разрабатывать индивидуально учитывая следующие особенности:

• организационную структуру банка;
  
• объем и характер информационных потоков (внутри банка в целом, внутри отделов, между отделами, внешних);
  
• количество и характер выполняемых операций: аналитических и повседневных (один из ключевых показателей активности банка – число банковских операций в день, является основой для определения параметров системы);
  
• количество и функциональные обязанности персонала;
  
• количество и характер клиентов;
  
• график суточной нагрузки.
  

Защита АБС должна разрабатываться для каждой системы индивидуально, но в соответствии с общими правилами. Построение защиты предполагает следующие этапы:

• анализ риска, заканчивающийся разработкой проекта системы защиты и планов защиты, непрерывной работы и восстановления;
  
• реализация системы защиты на основе результатов анализа риска;
  
• постоянный контроль за работой системы защиты и АБС в целом (программный, системный и административный).
  

На каждом этапе реализуются определенные требования к защите; их точное соблюдение приводит к созданию безопасной системы.

На сегодняшний день защита АБС – это самостоятельное направление исследований. Поэтому легче и дешевле использовать для выполнения работ по защите специалистов, чем дважды учить своих людей (сначала их будут учить преподаватели, а потом они будут учиться на своих ошибках).

Главное при защите АБС специалистами (естественно после уверенности в их компетенции в данном вопросе) – наличие здравого смысла у администрации системы. Обычно, профессионалы склонны преувеличивать реальность угроз безопасности АБС и не обращать внимания на такие «несущественные детали» как удобство ее эксплуатации, гибкость управления системой защиты т.д., без чего применение системы защиты становится трудным делом. Построение системы защиты – это процесс поиска компромисса между уровнем защищенности АБС и сохранением возможности работы в ней. Здравый смысл помогает преодолеть большинство препятствий на этом пути.

Защита системы "Клиент-Банк". Уровни защиты

Перед передачей в банк документов по каналам связи осуществляется кодирование данных. Подготовленные документы «подписываются» лицами, имеющими право первой и второй подписи. Для подписи документов ответственное лицо вводит известный только ему пароль, реализующий функцию «электронной» подписи. После получения докумен­тов в банке «электронная» подпись расшифровывается и сверяется с фамилиями ответственных лиц из карточки клиента. «Электронная»подпись является критерием при разрешении возможных конфликтов клиента с банком: так как пароль, необходимый для формирования электронной подписи известен, только клиенту, ее невозможно под­делать.

Встроенная система электронной подписи позволяет накладывать на каждый документ в отдельности несколько электронных подписей. Банковская часть системы обеспечивает проверку электронных подписей на документе, их количество, а также права подписи всех должностных лиц, подписавших документ и про верки их подписей. Получаемая кли­ентом выписка также персонифицируется электронной подписью, что гарантирует достоверность информации для клиента.

Встроенная система шифрации позволяет полностью исключить запись на жесткий носитель незащищенных файлов обмена - подготовка информации и шифрация происходит в оперативной памяти и лишь затем записывается в файл.

Возможно подключение внешних программ криптозащиты, что позволяет использовать любые средства защиты, имеющиеся на рынке программного обеспечения.

При передаче информации от банка клиентам может быть предусмотрено использование факсимильной связи. При этом система осуществляет автоматическую подготовку и рассылку клиентам информации с использованием факс-модемной платы, встроенной в почтовый компьютер системы.

Защита АРМа Клиента.

Защита базы данных документов.

База данных документов защищена стандартными средствами используемой Системой промышленной СУБД (Oracle, InterBase, MS SQL Server, Progress, Sybase и др.), исключающими возможность просмотра и модификации базы не из АРМа Клиента.

Защита на уровне выполнения операций.

Для работы в АРМе Клиента необходимо знать 5 паролей:

• на доступ в АРМ;
  
• на подпись документов подписью бухгалтера;
  
• на подпись документов подписью директора;
  
• на вызов транспортного модуля для отправки/приема документов;
  
• на выполнение административных функций.
  

Защита АРМа Банка.

Защита базы данных документов.

База данных документов защищена стандартными средствами используемой Системой промышленной СУБД (Oracle, InterBase, MS SQL Server, Progress, Sybase и др.), исключающими возможность просмотра и модификации базы не из АРМа Банка.

Защита на уровне выполнения операций.

Для работы в АРМе Клиента необходимо знать пароля на доступ в АРМ и пароль на выполнение административных функций.

Защита на этапе передачи документов между АРМами Банка и Клиента.

Авторизация АРМа на Сервере Обмена Документами.

При обращении транспортного модуля АРМа Банка или Клиента Сервер Обмена Документами проверяет его имя и пароль. Эти имена берутся из конфигурации АРМа, где они хранятся в зашифрованном виде.

Шифрация документов.

Документы передаются в зашифрованном виде. Механизм шифрации, основанный на паре симметричных ключей реализует функции криптозащиты документов (шифрование по ГОСТ 28147-89) и аутентификации отправителя документа (электронная подпись по ОСТ ЦБ РФ). Кроме того возможно подключение системы защиты Верба-О.

Протоколирование

Все компоненты системы ведут протоколы своей работы, позволяющие, в случае спорных вопросов, восстановить реальную картину действий. Поскольку протоколы работы ведутся в 3 точках, даже уничтожение их злоумышленником, не сможет скрыть истинную картину.

АРМ Клиента ведет следующие протоколы:

• протокол смены ключей шифрации;
  
• протокол работы транспортного модуля;
  
• протокол операций по обмену документами.
  

АРМ Банка ведет следующие протоколы:

• протокол работы транспортного модуля;
  
• протокол операций по обмену документами;
  
• реестр проведенных документов.
  

Сервер Обмена Документами ведет протоколы, включающие в себя все процедуры обмена сообщениями.

АРМ Банка и АРМ Клиента ведут архивы всех документов. Архив документов синхронизируется с протоколами работы всех компонент системы по уникальным идентификаторам документов.

Технология контроля программно-компьютерных комплексов банка включает ряд контрольных процедур, которые должны выполняться на регулярной основе [14]:

1. Процедура администрирования вычислительной сети банка.
   

В рамках указанной процедуры проверяется наличие официально утвержденного администратора сети, топологической схемы вычислительной сети, а также расположение и наличие сетевого оборудования и разграничение прав доступа в вычислительную сеть банка.

2. Процедура контроля за соблюдением порядка предоставления сотрудникам прав доступа и его документальное оформление, а также наличие парольной защиты и соблюдение прав пользователей сети.
   

Указанная процедура заключается в проверке отсутствия в вычислительной системе возможности прямого доступа к различным ее компонентам, наличия необходимых документов, определяющих порядок разрешения доступа и принципы безопасности, наличия реального разграничения прав пользователей вычислительной сетью банка.

3. Процедура контроля обеспечения бесперебойной работы компьютерных и сетевых систем банка.
   

Контроль должен вестись на предмет наличия плана обеспечения бесперебойной работы банка, в том числе с учетом необходимости эвакуации персонала и оборудования в случае возникновения чрезвычайной ситуации.

4. Процедура контроля конфигурации и эксплуатации рабочих станций и серверов банка, а также разграничения доступа к ним сотрудников банка.
   

В рамках указанной процедуры проверяется наличие необходимой документации, невозможность проникновения (в том числе и на физическом уровне) в рабочие станции и серверы, а также оборудование серверных помещений герметичными зонами.

5. Процедура контроля за эксплуатацией автоматизированных банковских систем и обеспечения надежности их функционирования.
   

Контроль предполагает выяснение наличия соответствующей эксплуатационной поддержки со стороны разработчиков данных программных систем, а также полноту использования указанных систем в деятельности банка.

6. Процедура контроля администрирования системы операционного дня банка.
   

В рамках данной процедуры контролируется наличие порядка доступа к системе операционного дня банка и разграничения прав доступа, функционирование системы безопасности данной системы, наличие контрольных программных средств, исключающих ручную корректировку базы данных операционного дня. Должны также проверяться механизмы резервирования и восстановления системы.

7. Процедура контроля модуля парольной защиты и подключения локальной банковской сети к Интернету.
   

В этом случае следует контролировать, как модуль парольной защиты выполняет функции адекватной защиты от несанкционированного доступа к вычислительной сети банка, в том числе через Интернет. Для этого необходимо обследовать организацию рабочих мест, с которых имеется доступ к сети Интернет, а также использование специальных программ, контролирующих доступ из внешних сетей в режиме он-лайн.

8. Процедура контроля администрирования подготовки СВИФТ-сообщений, системы «клиент-банк» и работы в аналогичных системах удаленного обслуживания.
   

Проверяется соблюдение установленного порядка обмена сообщениями, соблюдение прав пользователей в указанных системах, правил обмена ключами, наличие и эффективность средств криптографической защиты.

9. Процедура контроля организации работы с банковскими картами.
   

В рамках данной процедуры исследуется организация электронного документооборота между пользователями карт и банком, механизмы выполнения проводок, порядок работы банкоматов.

10. Процедура контроля работы антивирусных программ, а также соблюдения порядка закупки необходимого оборудования и программного обеспечения.
    

Контроль необходимо вести за наличием необходимого антивирусного программного обеспечения, а также за соблюдением обязательных процедур при покупке аппаратуры и программного обеспечения (порядок выбора контрагента, у которого закупается оборудование, наличие проверки его деловой репутации, проведение тендеров при значительных суммах покупки и т.д.).