Информационная безопасность в банках: актуальные вопросы

Состоявшаяся 29 мая 2013 г. в Москве Межбанковская конференция «Актуальные вопросы обеспечения ИБ банков и защиты информации при осуществлении перевода денежных средств в НПС РФ» была посвящена таким ключевым проблемам ИБ как доверенное пространство при совершении платежей и повышению безопасности банковских приложений.

Несмотря на то, что механизмы защиты банковских сервисов развиваются давно и успешно, объем мошенничества в этой сфере растет не замедляющимися темпами. На первом этапе банки основной акцент сделали на укрепление собственной информационной безопасности. Но статистика последнего времени показывает, что основные хищения средств мошенниками стали происходить не в банках, а у их клиентов, что чревато потерей престижа кредитных организаций.

Потому в настоящее время акценты ИБ смещаются на обеспечение безопасности удаленных клиентов, чему призван способствовать и принятый ФЗ-№ 161 «О национальной платежной системе», устанавливающий ответственность банков за хищения мошенниками клиентских средств. Таким образом, приоритетными становятся вопросы обеспечения безопасности клиентов, в первую очередь добросовестных.

Заметим, что ориентация на защищенность клиента должна предусматривать повышение контроля уровня защищенности самим клиентом. В этой связи необходимым является обеспечение более ясного понимания клиентом существующих угроз и уязвимостей систем ДБО, что требует проведения с клиентами соответствующей разъяснительной работы. Новеллой ФЗ-№ 161 стала обязанность платежных систем информировать клиентов о существующих рисках и требованиях к защите информации.

Широкое использование и большое разнообразие систем ДБО делают весьма актуальным развитие работ по их нормативному обеспечению и разработке отраслевого стандарта требований, предъявляемых банками к поставщикам решений ИБ.

Совершенно очевидно, что безопасность работы клиентов теснейшим образом связана с обеспечением доверенной среды при совершении платежей. Целью является на фоне роста киберпреступности создание между клиентами банков и банковскими ИС электронного взаимодействия, гарантирующего передачу аутентичной платежной информации. Создание доверенной среды позволяет клиенту эффективно обеспечивать и контролировать уровень защищенности взаимодействия с сервисами ДБО.

Обработка информации, критичной с точки зрения безопасности, должна происходить в доверенной среде: функционально замкнутой, изолированной вычислительной среде на основе резидентных компонентов безопасности (РКБ). Не только ПО, ОС и данные должны быть проверенными, необходимо также гарантировать «не вредоносность» аппаратных средств, что решается вынесением необходимых операций в изолированную аппаратную среду. (Такое решение и получило название РКБ.). Ясно, что установить РКБ на каждый компьютер клиента дорого и не рационально, поэтому эффективным является установление доверенной вычислительной среды не «навсегда», а только на время связи, т.е. установление доверенного сеанса связи (ДСС). [1].

Основными конкурентными преимуществами ДСС по сравнению с другими вариантами обеспечения защиты информации сегодня являются: возможность использования произвольной ПЭВМ; интервал существования доверенной среды на период ДСС (далее на пользователя ограничения не налагаются); в разы более низкая цена.

В качестве изолированной аппаратной среды предлагается средство обеспечения ДСС (СОДС) «МАРШ!», который представляет собой загрузочный USB-носитель со специальными свойствами памяти и предустановленным ПО, включающим ОС, браузер, собственную криптографическую подсистему, средства организации доверенного канала взаимодействия и функциональное ПО. (СОДС «МАРШ!» является совместной разработкой ЗАО «ОКБ САПР» и ФГУП «КБ полупроводникового машиностроения» ГК «Ростехнологии».)

«МАРШ!» выпускается в ряде вариантов. Один из интереснейших из них — это универсальное устройство «МАРШ!», выполняющее одновременно функции СОДС и средства электронной подписи (СЭП). (В настоящее время разработано для системы ДБО, производимой компанией «Российские финансовые коммуникации».) Без преувеличения можно утверждать, что СОДС СЭП «МАРШ!» является поистине революционным средством обеспечения безопасности ДБО.

«МАРШ!» представляет собой на рынке уникальное средство, которое в то же время характеризуется: приемлемой стоимостью и минимальными затратами в процессе эксплуатации, простотой использования и высокой эффективностью. Сферами его применения, в первую очередь, являются: системы ДБО; ИС в здравоохранении; системы обработки информации, содержащей ПДн граждан; ИС электронного правительства.

«МАРШ!», как и системы ДБО, рассчитан на самый широкий круг пользователей, не обладающих специальными знаниями, поэтому они как нельзя лучше подходят друг другу.

Литература

1. Конявский В. А. Доверенный сеанс связи. Развитие парадигмы доверенных вычислительных систем — на старт, внимание, МАРШ! // Комплексная защита информации. Сборник материалов XV Международной научно-практической конференции (1-4 июня 2010 г., Иркутск (Россия)). М., 2010. С. 166-169.

Автор: Акаткин Ю. М.

Дата публикации: 01.01.2013

Библиографическая ссылка: Акаткин Ю. М. Информационная безопасность в банках: актуальные вопросы // Национальный Банковский Журнал. 2013. № 8. С. 104.

---