Чтение онлайн

на главную

Жанры

Применение технологий электронного банкинга: риск-ориентированный подход

Лямин Л. В.

Шрифт:

Реализующая эту «политику» процедура (Patch Management) определяется как ОИБ компьютерных систем с целью противодействия атакам на компьютерные системы организации и обеспечения целостности ее АПО. По сути это компонент управления его модернизацией, включающий функции оценки текущей ситуации в отношении устойчивости АПО АС к атакам, приобретения средств, необходимых для коррекции выявленных недостатков, тестирования и включения «заплаток» в состав АПО. В обеспечение надежности описанной процедуры обычно разрабатывается специальное документарное обеспечение, хотя и не столь значительное по объему, как документы, регламентирующие реализацию внутрибанковских процессов (объем зависит от «насыщенности» кредитной организации автоматизированными системами), но предназначенное для охвата всех компонентов вычислительной сети, которые могут потребовать модернизации.

В первую очередь это относится к компьютерным операционным системам и программному обеспечению сетевых экранов (брандмауэров), прокси-серверов, маршрутизаторов и т. п. В зарубежной литературе [145] решению этой задачи уделяется серьезное внимание, поскольку продолжение использования скомпрометированного

программного обеспечения, его устаревших версий или несвоевременная инициация указанной процедуры могут образовать «дыры» в периметре безопасности кредитной организации и привести к реализации многих компонентов банковских рисков. Таким образом, эту процедуру логично утвердить официально, документально оформить, сделать, так сказать, «сторожевой» и довести до должностных инструкций ответственных исполнителей и их менеджеров.

145

Ctvme J. Inside Internet Security; Davis C., Schiller М., Wheeler K. IT Auditing: Using Controls to Protect Information Assets. McGraw Hill Companies, USA, 2007.

Для удобства анализа построения и потенциальной уязвимости вычислительных сетей используется разработанная Международной организацией по стандартам’ так называемая модель «Взаимосвязи открытых систем» [146] . Эту модель, назначение которой заключается преимущественно в облегчении понимания содержания и организации сетевого взаимодействия, можно представить в виде семиуровневого описания следующим образом (табл. 5.3).

Таблица 5.3

146

Open System Interconnection (OSI).

Приведенная классификация удобна помимо прочего и для выбора средств сетевой защиты, достаточно сравнить ее с выдержкой из рекомендательного материала Национального института стандартов и технологий США [147] : «Сетевые брандмауэры представляют собой устройства или системы, которые контролируют прохождение сетевого трафика между вычислительными сетями с разными состояниями информационной безопасности. В большинстве современных приложений брандмауэры и условия их функционирования рассматриваются в контексте „интернет-связности“ и применения протоколов TCP/IP [148] .

147

Wack Cutler K., Pole J. Guidelines on Firewalls and Firewall Policy. National Institute of Standards and Technology. Special Publication 800-41, Gaithersburg, MD, USA, January 2002.

148

Transmission Control Protocol / Internet Protocol (протокол управления передачей / межсетевой протокол).

В то же время брандмауэры применяются и в сетевых архитектурах, которые не связаны с интернет-приложениями. К примеру, в вычислительных сетях многих компаний брандмауэры используются для ограничения связности с внутренними сетями (в обоих направлениях), в которых циркулирует „чувствительная“ к НСД информация: данные бухгалтерского учета или персональные данные. Эти устройства образуют дополнительные уровни информационной безопасности, которые иначе отсутствовали бы».

В настоящее время доступны несколько типов платформ брандмауэров, предлагаемых разными компаниями. Одним из способов сравнения возможностей этих платформ является их анализ с позиций модели OSI и функционирования брандмауэра, использующего возможности разных ее уровней (абстрагирующие описание взаимодействия между компьютерными системами и сетевым оборудованием) [149] . Следует отметить, что данные адресации, по которым определяется конкретный компьютер, относятся к Уровню 2, они присваиваются сетевым интерфейсам и обозначаются аббревиатурой MAC [150] : примером может служить адрес сети Ethernet, присвоенный конкретной сетевой плате. Уровень 3, на котором осуществляется доведение сетевого трафика в ЗВС, — в Ethernet соответствует адресации по IP; такой адрес уникален, если отсутствует так называемая «трансляция сетевых адресов», с помощью которой под одним адресом данного уровня могут работать многие устройства (о значимости этих параметров еще будет сказано в параграфе 5.6 в связи с тем, что сведения о сетевом трафике — ценнейшая информационная основа для проведения расследований противоправной деятельности). Уровень 4 определяет сетевые приложения и сеансы связи. В отличие от адресации любая компьютерная система может иметь произвольное количество сеансов этого уровня с другими устройствами в той же вычислительной сети, в приложении к протоколу TCP/IP здесь используется также понятие «порт», которое интерпретируется как указатель на сеансы взаимодействующих приложений (прикладных программ). Остальные уровни в этом рассмотрении не имеют принципиального значения, поскольку относятся к описанию таких программ и компьютерных систем пользователя.

149

Детали модели OSI здесь не рассматриваются: их описание можно найти во многих книгах и в так называемой «википедии» в Сети.

150

Media Access Control (MAC) — управление доступом к среде (взаимодействия), такиеданные идентифицируют конкретные компоненты компьютерного оборудования.

Наиболее общий вариант предусматривает формирование DMZ (рис. 5.6) в вычислительных сетях с двумя брандмауэрами, разделяющими сетевые сегменты с возможностями внешнего доступа и доступа исключительно «изнутри». Граничный маршрутизатор фильтрует пакеты данных и обеспечивает защиту серверов во внешней зоне, тогда как первый брандмауэр предназначается для контроля доступа и защиты на случай, если эти сервера будут атакованы. Те сервера, которые требуется защищать от НСД и из внешней среды и из внутренней вычислительной сети, логично располагать между двумя брандмауэрами. Обычно DMZ реализуется с помощью сетевых коммутаторов, помещаемых между брандмауэрами или между брандмауэром и граничным маршрутизатором, при этом считается, что сервера удаленного доступа и точки входа в VPN лучше размещать в сетях с DMZ. Это позволяет уменьшить вероятность того, что внешние атаки смогут достичь внутренних сегментов, а с помощью брандмауэров будет усилен контроль доступа пользователей сети. В то же время управление конфигурациями такого рода и настройкой сетевых компонентов желательно документировать и контролировать «четырьмя глазами» в силу их значимости для кредитной организации как упоминавшихся ранее «виртуальных ворот» к ее СЭБ, БАС и информационным активам.

В базовой конфигурации брандмауэры работают с малым числом сетевых уровней, усовершенствованные брандмауэры охватывают большее их число. В терминах функциональности последние более эффективны и предпочтительны. «Охват дополнительного уровня повышает „гранулярность“ конфигурации брандмауэра, т. е. он может осуществлять более детальный контроль и работать с большим числом прикладных программ и сетевых протоколов, а также стать клиент-ориентированным, выполняя проверку аутентичности». Брандмауэры, работающие только на уровнях 2 и 3, обычно для этого не пригодны, но более совершенные брандмауэры — прокси-шлюзы — могут обеспечивать опознавание и реагировать на шаблоны событий, ассоциируемых с клиентом. В кредитной организации целесообразно документально обосновать и установить уровни контроля сетевого трафика, распределив ответственность за настройку сетевых средств контроля и защиты и зафиксировав внутрибанковские документы, регламентирующие такие настройки и порядок их использования. К слову сказать, настройка брандмауэров является достаточно «тонкой» задачей, схожей с программированием, и для этого используются специалисты, обладающие необходимыми знаниями; их работу следует контролировать, поскольку неточности в такой настройке (допущенные случайно или намеренно) образуют «дыры» в сетевой защите кредитной организации, из-за чего ей и ее клиентам может быть нанесен значительный ущерб.

В современных условиях использования сетевых технологий в обеспечение банковской деятельности необходимой процедурой стало тестирование возможностей проникновения [151] в БАС и СЭБ кредитной организации (о чем упоминалось в главе 3 в связи с анализом жизненных циклов внутрибанковских процессов и автоматизированных систем). Такие процедуры целесообразно организовывать на основе официально принятых и документированных решений в кредитной организации, после чего для них специалистами службы ИТ и СБ при участии представителей ВК разрабатываются собственно тесты, контрольные примеры, программы и методики проведения тестирования, а также составляются итоговые документы (протоколы и акты). Для проведения таких тестов целесообразно использовать стендовые средства, аналогичные операционным в кредитной организации, с тем чтобы можно было отлаживать прикладные программы и проводить дополнительные испытания без вмешательства в текущую банковскую деятельность и ее приостановки для проведения очередных функциональных проверок.

151

В зарубежной терминологии — penetration testing.

Также следует отметить, что определение содержания, этапов, методик, средств тестирования и содержания итоговой отчетности по ним не должно оставаться неизменным на протяжении ЖЦ банковских автоматизированных систем и внутрибанковских процессов. Изменения в них обусловлены рядом причин: устареванием и компрометацией АЛО, внедрением новых технологий и систем электронного банкинга, возникновением нетипичных угроз надежности компьютеризованной банковской деятельности и т. д. Ввиду того что такие угрозы могут при неудачном стечении обстоятельств реализоваться в крупномасштабные инциденты информационной безопасности, сопоставимые по ущербу с форс-мажорными обстоятельствами, всей информации, которая имеет отношение к тестированию (особенно к его результатам), целесообразно официально придать статус сведений ограниченного распространения.

В плане контроля условий возникновения источников угроз кредитной организации и ее клиентам при использовании СЭБ необходимо обеспечить внедрение, функционирование и совершенствование внутрибанковского механизма обнаружения и фиксации свидетельств атакующих воздействий, а также сохранения «следов» и «образов» или, иначе, «шаблонов» атак [152] для их последующего анализа (в том числе комплексного). Этот механизм должен работать согласованно с процедурами доведения информации до руководства кредитной организации (например, в форме унифицированного отчета [153] ) и принятия защитных мер. Он должен учитывать и реакции на вторжения, это один из механизмов снижения уровней компонентов банковских рисков, связанных с недостатками в ОИБ кредитной организации. Поэтому актуальными становятся управление, ведение и анализ системных логов.

152

Терминология, используемая в зарубежных материалах по обеспечению информационной безопасности по аналогии со «следами», «отпечатками пальцев» и т. п.

153

В США существует специфическая форма банковской отчетности, называемая «Отчет

о подозрительной деятельности» (Suspicious Activity Report — SAR), которая может быть использована как аналог.

Поделиться:
Популярные книги

Протокол "Наследник"

Лисина Александра
1. Гибрид
Фантастика:
фэнтези
попаданцы
аниме
5.00
рейтинг книги
Протокол Наследник

Последняя Арена 11

Греков Сергей
11. Последняя Арена
Фантастика:
фэнтези
боевая фантастика
рпг
5.00
рейтинг книги
Последняя Арена 11

Воин

Бубела Олег Николаевич
2. Совсем не герой
Фантастика:
фэнтези
попаданцы
9.25
рейтинг книги
Воин

Царь поневоле. Том 2

Распопов Дмитрий Викторович
5. Фараон
Фантастика:
попаданцы
альтернативная история
5.00
рейтинг книги
Царь поневоле. Том 2

Возвышение Меркурия. Книга 12

Кронос Александр
12. Меркурий
Фантастика:
героическая фантастика
попаданцы
аниме
5.00
рейтинг книги
Возвышение Меркурия. Книга 12

Авиатор: назад в СССР 10

Дорин Михаил
10. Покоряя небо
Фантастика:
попаданцы
альтернативная история
5.00
рейтинг книги
Авиатор: назад в СССР 10

Кровь на клинке

Трофимов Ерофей
3. Шатун
Фантастика:
боевая фантастика
попаданцы
альтернативная история
6.40
рейтинг книги
Кровь на клинке

Я тебя не предавал

Бигси Анна
2. Ворон
Любовные романы:
современные любовные романы
5.00
рейтинг книги
Я тебя не предавал

На границе империй. Том 5

INDIGO
5. Фортуна дама переменчивая
Фантастика:
боевая фантастика
попаданцы
7.50
рейтинг книги
На границе империй. Том 5

Аристократ из прошлого тысячелетия

Еслер Андрей
3. Соприкосновение миров
Фантастика:
фэнтези
попаданцы
аниме
5.00
рейтинг книги
Аристократ из прошлого тысячелетия

Para bellum

Ланцов Михаил Алексеевич
4. Фрунзе
Фантастика:
попаданцы
альтернативная история
6.60
рейтинг книги
Para bellum

Кодекс Охотника. Книга IX

Винокуров Юрий
9. Кодекс Охотника
Фантастика:
боевая фантастика
городское фэнтези
попаданцы
5.00
рейтинг книги
Кодекс Охотника. Книга IX

Сердце Дракона. Том 11

Клеванский Кирилл Сергеевич
11. Сердце дракона
Фантастика:
фэнтези
героическая фантастика
боевая фантастика
6.50
рейтинг книги
Сердце Дракона. Том 11

Купеческая дочь замуж не желает

Шах Ольга
Фантастика:
фэнтези
6.89
рейтинг книги
Купеческая дочь замуж не желает