На защите денег

10.03.2006
Просмотров: 2186

Общие принципы организации информационной защиты НБД-Банка.

К банкам всегда проявляли и будут проявлять повышенный интерес разнообразные злоумышленники. Когда основной ресурс и инструмент компании — деньги, приходится уделять повышенное внимание безопасности. Причем не только физической защите, но и информационной обороне. В последнее время громкие банковские махинации все чаще происходят с использованием IT-инфраструктуры.

Однако разговаривают на эти темы банкиры, мягко говоря, неохотно. Утечка информации в этой сфере может дорого обойтись кредитной организации и, более того, задеть ее репутацию. Тем не менее, сотрудники НБД-Банка согласились рассказать «Приему!» об общих принципах организации информационной защиты этого банка, не вдаваясь в подробности.

«Защита информационных систем для банка — это фактор выживания. Мы работаем с информацией о движении денег, поэтому угрозы несанкционированного доступа к нашим сетям весьма критичны, — говорит замдиректора департамента информатизации НБД-Банка Сергей Батаев. — Для нас жизненно важны как внутренние угрозы, так и внешние».

«Мы занимаемся вопросами защиты информации давно и серьезно, — подтверждает начальник отдела IT-безопасности НБД-Банка Александр Пылин. — В банке разработано положение об информационной безопасности, которое основано на рекомендациях Центрального Банка. Все детально прописано и стандартизировано».

Ключевой момент в организации IT-обороны в НБД-Банке — это четкое разграничение доступа к ресурсам. Вовсе не вирусы и злобные хакеры представляют наибольшую опасность для кредитной организации, а собственные сотрудники, которые могут допустить утечку информации просто из-за того, что не знали ее ценности. Когда все имеют доступ к любой информации, говорить о безопасности не приходится. Каждый сотрудник должен иметь возможность работать с теми данными, которые необходимы для выполнения его ­обязанностей, и не более того. А если совершаются какие-либо важные операции, то при этом должно присутствовать, как минимум, два человека.

Для того чтобы разграничить доступ к ресурсам, необходимо проводить идентификацию (запрашивается имя человека) и аутентификацию (запрашивается пароль и/или используется устройство, подтверждающее личность сотрудника). Неважно, будет это отпечаток пальца, проксимити-карта или сканирование радужной оболочки глаза, главное, чтобы человек был узнан и допущен к информации.

Защита корпоративной сети — лишь одна из многочисленных задач департамента информатизации банка. С большей сложностью связана организация системы удаленного управления счетами, так называемый интернет-банкинг. Клиент НБД-Банка может со своего рабочего места или любого компьютера, внушающего ему доверие, выйти на специализированный сайт банка и получить информацию по своему расчетному счету, подготовить и отправить документы, совершить транзакции. Конечно, ценность такой информации сложно переоценить: если доступ к счету получит посторонний человек, то он сможет перевести средства куда угодно. А Интернет — это, безусловно, рискованный открытый канал.
Поэтому банк использует систему безопасности с применением механизма открытых и закрытых ключей. Клиент, получив специализированный программный модуль, формирует два ключа — открытый и закрытый. Затем передает на каком-либо носителе в банк открытый ключ. Важный момент, что ключ не пересылается по электронной почте, а именно физически доставляется в банк. Сертификационный центр банка получает открытый ключ, удостоверяет его и возвращает клиенту. Теперь банк и компания-клиент могут обмениваться зашифрованной информацией. «Если клиент выполняет правила хранения информации, то шансы взломать систему минимальны», — говорит Сергей Батаев. Безусловно, некоторая вероятность перехвата и расшифровки ключа возможна, но на доступных средствах автоматизации взлом и подбор ключа займет несколько лет. Для исключения вероятности взлома ключей клиенты обязаны ежегодно осуществлять замену ключей. Более того, для дополнительной безопасности транзакций каждый документ подписывается электронной подписью. Даже если злоумышленники смогут что-то поменять в платежке, банк ее не примет.

Несмотря на сложную систему информационной защиты, нельзя забывать о том, что со стороны банка и со стороны клиента работают люди. Если дискета с ключами интернет-банкинга лежит в свободном доступе на столе, а пароль знают все, гарантировать безопасность невозможно. Поэтому наши собеседники указывают на то, что главное в информационной безопасности не техника, а люди. Они должны четко понимать, какая информация не подлежит разглашению и какие правила необходимо соблюдать для обеспечения безопасности.

«Проблема многих отечественных организаций зачастую связана с незнанием или нежеланием выполнять правила безопасности. В нашей стране количество нормативных документов, призванных обеспечивать безопасность информации, минимально, — сетует Александр Пылин. — Руководители компаний считают эту задачу далеко не главной и выделяют соответствующее финансирование. А, между тем, техническая реализация защиты вполне доступна. Основная беда — это иллюзии в головах людей».

Николай Гришин, Прием!

Источник: Архив: Прием
Нашли ошибку? Выделите текст с ошибкой и
нажмите Ctrl+Enter, чтобы сообщить нам о ней.
Нет комментариев.