ЗАЩИТА ДАННЫХ
В Москве с 1 по 5 февраля проходил V международный форум “Технологии безопасности”. В его рамках 2 февраля состоялся семинар “Проблемы банковской безопасности”, на котором выступили представители Главного управления безопасности и защиты информации (ГУБЗИ) ЦБ РФ, Управления безопасности Сбербанка РФ, Главного оперативного управления ФСНП, Департамента экономической безопасности ФСБ и ГУБЭП МВД РФ, ГУВО МВД РФ и ФАПСИ. Как мне представляется, наибольший интерес вызвали выступления, посвященные подходам ЦБ РФ и Сбербанка РФ к обеспечению информационной безопасности. О них я и расскажу.
По мнению заместителя начальника ГУБЗИ ЦБ РФ Андрея Курило, коренное различие западного и отечественного подходов к обеспечению информационной безопасности заключается в том, что в России банк не может позволить себе, как это делают западные банки, запланировать определенные убытки на случай хищений из-за отсутствия жесткой системы информационной безопасности. “Просто непонятно, - говорит он, - как, скажем, ЦБ РФ оправдываться в Госдуме и перед силовыми структурами за введение бюджетной статьи на покрытие подобных убытков”. Не в состоянии покрыть возможные убытки от хищений, например, в системе оборота пластиковых карточек и отечественные страховые компании, “мощность” которых не сравнима с западными.
Все это требует, казалось бы, наличия жесткой (или даже сверхжесткой) системы информационной безопасности. Тем не менее с недавних пор в области защиты информации ЦБ РФ придерживается весьма прагматического подхода: вопрос о необходимости приобретения новых средств безопасности, стоящих сегодня немалых денег, решается с учетом уровня квалификации людей, которым придется их эксплуатировать, а также возможности получать с помощью этих средств достоверную информацию о штатности режима функционирования информационной системы, отсутствии неконтролируемых входов в нее и правильности настройки серверов доступа. Оценивается также возможность нанесения новыми устройствами прямого вреда (были, например, зафиксированы случаи “обрушивания” средств, работающих в информационных системах, “учебные” атаки на которые совершались с использованием сканеров систем информационной безопасности). И сегодня лозунг, провозглашаемый ГУБЗИ ЦБ РФ, звучит так: “Хватит вкладывать средства во все более новые системы и устройства, поскольку они должны не пылиться на полках, а обеспечивать эффективную работу систем”.
Но это еще не все: в ЦБ РФ наконец поняли, что недостаточно приобрести, например, средство защиты от несанкционированного доступа, настроить и подключить его, необходим постоянный мониторинг уровня безопасности и его соответствия заявленному. И связано это с тем, что указанные средства, как неоднократно устанавливалось в ходе проверок, системные администраторы или администраторы безопасности попросту отключали, поскольку они мешали привычной работе. Помочь решению этой проблемы способен аудит безопасности.
В соответствии с новым стандартом в области безопасности “Общие критерии оценки безопасности информационных технологий” (ISO-15408), известным также под названием Common Criteria (кстати, по заявлению г-на Курило, отношение к нему со стороны ЦБ РФ благоприятное), аудит безопасности “разваливается” на общий и технический. Задачей первого является проверка того, насколько реальный процесс функционирования объекта соответствует предписаниям действующих нормативных документов, регламентирующих алгоритм его работы. Технический аудит предназначен для оценки правильности назначения прав доступа разным категориям лиц, режимов использования паролей и соответствия применяемых механизмов обеспечения безопасности политике руководства конкретного подразделения (в частности, этот аудит должен выявлять, все ли сделано для того, чтобы лишить уволенного системного администратора или ведущего программиста возможности несанкционированного доступа к информации во избежание критических последствий).
Аудиту безопасности уделяют должное внимание и в Сбербанке РФ. Как сообщил заместитель начальника отдела его Управления безопасности Сергей Бондарев, в структуру Контрольно-ревизионного управления банка включена специальная служба компьютерного аудита, и такой аудит в обязательном порядке осуществляется при каждой ревизии деятельности подразделений. Эффективность этих мероприятий, по словам г-на Бондарева, очень высока, так как все выявленные недостатки устраняются немедленно. При этом проверяется выполнение всех действующих нормативных документов и реальное состояние информационной безопасности в соответствии с разработанной Управлением безопасности методикой.
В то же время в Сбербанке заведено, что служба информационной безопасности не имеет к эксплуатации АБС никакого отношения. Сделано это потому, что планирование преступных посягательств, масштабы ущерба от которых в настоящее время могут составлять миллионы долларов, осуществляется на столь высоком уровне, что порой предусматривает даже организацию предварительной компрометации служб безопасности банков с тем, чтобы “вывести их из игры” в тот момент, когда понадобится провести экстренное расследование. “Независимость” же службы информационной безопасности не позволяет усомниться в объективности проводимых ею служебных расследований, сценарии которых должны быть заранее составлены и отрепетированы, и дает ей возможность собирать значимую доказательную базу о компьютерных преступлениях, если они имели место.
В отличие от Сбербанка, в ЦБ РФ рядом с каждым системным администратором работает специальный человек - администратор безопасности, задачей которого является администрирование средств безопасности, а также штатных средств контроля доступа, существующих во всех серверах. При этом, дабы ни один из них не располагал критическими полномочиями и не имел возможности изменять параметры системы и режимы функционирования устройств таким образом, чтобы можно было совершить хищение, каждому вручается только половинка пароля доступа, и злоупотребления становятся возможны только в результате сговора этих лиц. А чтобы свести на нет эффективность реализации такой возможности, все их манипуляции должны дистанционно контролироваться в автоматическом режиме. Задача такого контроля - не пропустить ни одного действия этих людей и сохранить всю доступную информацию об этом, что при необходимости поможет правоохранительным органам в раскрытии преступления. Понятно, что квалификация администратора безопасности не должна быть существенно ниже квалификации системного администратора, поскольку в противном случае он не сможет правильно оценивать действия системного администратора.
Любопытно, что прагматичность ЦБ РФ при решении вопросов информационной безопасности простирается и на избранный им метод защиты информации, циркулирующей в его платежной системе. Главной задачей этой системы признано обеспечение безотказности обслуживания при сохранении целостности информации. Что же касается третьего компонента безопасности - обеспечения конфиденциальности информации, то здесь выбран подход, сходный с подходом к обеспечению защиты денежных купюр (как известно, все они, хотя и находятся в свободном обращении, учтены и имеют множество степеней защиты, а их подделка карается законом). При том, что в платежной системе ЦБ РФ в бумажном виде существует только около 1% документов, такой подход, по словам г-на Курило, обеспечивает необходимый уровень безопасности и позволяет экономить колоссальные средства.
Прагматичный подход ЦБ РФ демонстрирует и в отношении к Закону “Об электронно-цифровой подписи (ЭЦП)”, который в настоящее время находится на рассмотрении правительства. Поначалу банк был противником его появления и настаивал на разработке Закона “Об электронном документообороте”, поскольку вопросы использования ЭЦП в гражданском обороте достаточно хорошо регламентированы ныне действующим Гражданским кодексом РФ и у ЦБ РФ не возникает проблем во взаимоотношениях с клиентами при использовании этой подписи. Однако поняв, что разработчику “не потянуть” такой сложный закон, банк принял активное участие в разработке Закона “Об ЭЦП”. Сегодня ЦБ РФ считает, что закон в его нынешней редакции, вызвавшей большие споры, скорее полезен, чем вреден, поскольку помогает урегулировать вопрос - чего ранее в законодательном порядке сделано не было - об отношениях субъектов гражданского права (в данном случае кредитных организаций) с органами государственного управления. Например, теперь у ЦБ РФ не будет сложностей с Государственным таможенным комитетом (поскольку с ним невозможно установление договорных отношений по закону, систематически возникал вопрос о юридической силе ЭЦП).
Ну и наконец, ЦБ РФ использует Интернет и имеет свой сайт, но при этом считает, что банковскую интрасеть необходимо физически отделить от “стандартного” Интернета и не допускать даже маршрутизации банковского трафика через межсетевые экраны. Если же без частичного объединения информационных потоков обойтись не удается, то поток Интернет-информации должен приходить на специально выделенный несетевой компьютер, а перенос с него необходимых сведений следует осуществлять только на специальных носителях; к тому же эта информация должна подвергаться самому тщательному контролю на наличие вирусов.