11.1. Поняття безпеки банківських інформаційних систем

Автоматизовані економічні системи, відкриваючи нові можливості в організації всієї банківської діяльності, підвищенні якості і надійності, у той же час стають однієї з найбільш уразливих сторін безпеки сучас­ного банку, притягуючи до себе зловмисників як із числа персоналу бан­ку, так і зі сторони.

Гострота проблеми безпеки автоматизованих економічних систем, особливо банківських, зростає в зв'язку з рядом об'єктивних причин. Основна з них — високий рівень довіри до цих систем. їм довіряють найвідповідальнішу роботу (виконання фінансових операцій), від якості якої з&тежить життя і добробут багатьох людей. Збережена та опрацьо­вана в банківських системах інформація є реальними грошима. На під­ставі інформації комп'ютера можуть проводитися виплати, відкриватися кредити, пересилатися значні суми. Цілком зрозуміло, що незаконне ма­ніпулювання такою інформацією може привести до серйозних збитків. Банківська інформація торкається інтересів великої кількості людей і ор­ганізацій — клієнтів банку. Як правило, вона конфіденційна і банк від­повідає за забезпечення необхідної таємності перед своїми клієнтами. Природно, клієнти вправі очікувати, що банк буде піклуватися про їхні інтереси, у противному випадку він ризикує своєю рещтацією з усіма наслідками, які з цього випливають.

410

Розділ 11 БЕЗПЕКА ЕКОНОМІЧНИХ ІНФОРМАЦІЙНИХ СИСТЕМ

Проблема безпеки економічної інформації ускладнюється в зв'язку з розвитком і поширенням мереж ЕОМ. Розподілені системи і системи з віддаленим доступом висунули на перший план питання захисту опра­цьовуваної та переданої інформації.

Доступність засобів обчислювальної техніки, насамперед персо­нальних ЕОМ, привела до поширення комп'ютерної писемності в ши­роких прошарках населення. Це викликало численні спроби втручання в роботу державних і комерційних систем, як зі злим наміром, так і з суто «спортивного» інтересу. Чимало таких спроб мали успіх і завдали значну шкоду власникам інформації. Тому зрозуміла необхідність унебезпечити інформаційні технології в економічних структурах, де зберігається цінна (у грошовому вимірі) інформація.

Оцінки втрат від злочинів, зв'язаних із втручанням у діяльність ав­томатизованих економічних систем, різноманітні (позначається розмаї­тість методик підрахунку). За даними одного з літературних джерел, в автоматизованих бангівських системах у 1988 р. збиток від комп'ютер­них злочинів склав 555 млн дол., 930 років робочого часу і 15,3 року ма­шинного часу. За іншими даними, збиток фінансових організацій скла­дає від 173 млн до 41 млрд долл у рік. Середня банківська крадіжка із застосуванням електронних засобів складає біля 9000 дол., а один із най-гучніших скандалів зв'язаний із спробою вкрасти 700 млн дол. із Пер­шого національного банку в Чикаго.

Під безпекою економічної інформаційної системи розумієть­ся її захищеність від випадкового або навмисного втручання в нор­мальний процес її функціонування, а також від намагань розкрадання, модифікації чи руйнації її компонентів. Інакше кажучи, це спромож­ність протидіяти різноманітним небажаним впливам на цю систему. Захист — це свого роду змагання оборони і нападу: хто більше знає, передбачає дійові заходи, той і виграє.

Безпека економічної інформаційної системи досягається забез­печенням конфіденційності опрацьовуваної нею інформації, а також цілісності і доступності компонентів і ресурсів системи.

Конфіденційніст ь інформації—це властивість інформації бути відо­мою тільки допущеним і перевіреним суб'єктам системи (користувачам,

411

Зацеркляний М. М., Мельников О. Ф. пт**ЙКяі

ІНФОРМАЦІЙНІ СИСТЕМИ І ТЕХНОЛОГІЇ У ФІНАНСОВО-КРЕДИТНИХ УСТАНОВАХ РШЩ

програмам, процесам і т. д.). Такі суб'єкти називаються авторизованими. Для інших об'єктів системи ця інформація начебто не існує.

Цілісність компонента (ресурсу) — це властивість компонента бути незмінним (у семантичному, змістовному розумінні) при функціонуван­ні системи.

Доступність компонента (ресурсу) системи — властивість ком­понента бути доступним для використання авторизованими суб'єктами в будь-який час.

Метою будь-яких заходів безпеки економічної інформаційної систе­ми є захист власника і законних користувачів цієї системи від нанесення їм матеріального чи морального збитку в результаті випадкових або на­вмисних впливів на систему.

Розрізняють зовнішню і внутрішню безпеку. Зовнішня безпека охоплює як захист від випадкових зовнішніх чинників (наприклад, природних — повінь, пожежа і т. д.), так і захист від несанкціоновано­го доступу до інформації і будь-яких несанкціонованих дій. Внутрішня безпека пов'язана з регламентацією діяльності користувачів економіч­ної інформаційної системи і обслуговуючого персоналу, з організацією дисципліни прямого або опосередкованого доступу до ресурсів сис­теми і до інформації. Серед усіх виникаючих проблем центральною є саме захист інформації.

Один із підходів до організації економічної інформаційної систе­ми — шлях створення інтегрованих систем опрацювання даних. Цей шлях часто забезпечує мінімальну вартість створення і функціонуван­ня такої системи, оскільки для всіх її користувачів використовуються колективні ресурси, які охоплюють апаратні і програмні засоби опра­цювання інформації, засоби її збереження і т. д. Вдало вибрані орга­нізація і можливості колективного ресурсу (обсяг пам'яті, швидкодія центральної ЕОМ і т. д.) значно знижують вартість створення та екс­плуатації системи.

Проте використання можливостей колективного ресурсу не озна­чає, що ресурси повинні бути доступними кожному користувачу. До­ступ повинний бути санкціонованим (особливо в банківській справі). Доступність визначається правилами (вимогами), які формулюються

412

Розділ 11 БЕЗПЕКА ЕКОНОМІЧНИХ ІНФОРМАЦІЙНИХ СИСТЕМ

при створенні економічної інформаційної системи. Реалізація усіх вимог санкціонованого доступу приводить до деякого збільшення вартості створення і реалізації систем.

Використання персональних ЕОМ, ввімкнення їх у склад локаль­них обчислювальних мереж, а тим більше ввімкнення в глобальні ме­режі ускладнюють постановку і реалізацію безпеки економічної інфор­маційної системи. Труднощі зв'язані:

• із забезпеченням цілісності інформації як у пам'яті ЕОМ, так і на носіях, які зберігаються окремо від ЕОМ;

• із забезпеченням достовірності інформації при передаванні її ка­налами зв'язку;

• із забезпеченням ідентифікації прийнятої інформації і т. д.

При будь-якому підході до організації економічної інформаційної сис­теми заходи безпеки викликають деякі незручності. Головні з них такі:

• додаткові труднощі роботи з більшістю захищених систем;

• збільшення вартості захищеної системи;

• додаткове навантаження на системні ресурси, що потребує збіль­шення робочого часу на виконання завдання у зв'язку з уповіль­ненням доступ^' до даних і виконанням операцій у цілому;

• необхідність залучення додаткового персоналу, відповідального за підтримку працездатності системи захисту.