журналы подразделения новости подписка контакты home

архив
2001 год
2002 год
2003 год
2004 год
2005 год
2006 год
2007 год
2008 год
2009 год
2010 год
рубрики
ИТОГИ И ТЕНДЕНЦИИ

БАНКОВСКИЕ СТРАТЕГИИ

БАНКОВСКИЕ СИСТЕМЫ

БАНКОВСКИЙ СЕРВИС

АЛЬТЕРНАТИВНЫЕ БАНКИ

БАНКОВСКИЙ МАРКЕТИНГ

ПЛАТЕЖНЫЕ КАРТОЧКИ

Банковское оборудование

БАНКОВСКАЯ БЕЗОПАСНОСТЬ

БАНКОВСКИЕ РЕЙТИНГИ

гостям
Агентство "Стандарт" предлагает вам подписаться на экномические журналы – лидеры в своей области.
























"Банковская практика за рубежом" – №12, 2005

БАНКОВСКАЯ БЕЗОПАСНОСТЬ

Средства контроля содержания и целостности данных

С каждым годом крепнет понимание необходимости создания
или модернизации существующих систем безопасности в финансовых учреждениях

Сегодня один из наиболее актуальных вопросов в банковском бизнесе западных стран – защита информации, так что средства контроля ее целостности могут помочь финансовым институтам защитить свои базы данных. Контроль информации – это процесс, благодаря которому финансовые институты могут отслеживать любые действия с данными компании со стороны пользователей. Такие решения могут помочь и в определении неавторизованного доступа или внутреннего злоупотребления по отношению к накапливаемым и хранимым сведениям.

Прежде всего, следует выделить первые пять шагов реализации такой задачи: определение риска; обозначение целей для контроля информации; сравнение преимуществ покупки готового коммерческого решения по сравнению с разработкой собственного; оценка существующих подходов и предложений на рынке; обретение эффективного решения корпоративного класса.

Сейчас, во времена повышенных требований клиентов к безопасности корпоративной информации, существует большая потребность в тщательной проверке использования базы данных. Например, усилившееся государственное регулирование ужесточило требования к финансовым организациям в области управления рисками, связанными с информацией. Регуляторные государственные органы, акционеры, члены правления и рядовые клиенты – все настаивают на том, чтобы компании всегда были в курсе того, что происходит с их базой данных: кто и когда имел к ней доступ, какие проводились в ней изменения.

Комплексная программа, контролирующая базу данных, такую информацию предоставить может. Процесс контроля информации можно определить как возможность постоянного отслеживания и наблюдения, записи, анализа и отчета о деятельности пользователей всех уровней, имеющих доступ к базе данных. Такая программа обеспечивает периметровую защиту и гарантирует, что база данных организаций защищена от несанкционированного доступа и ее изменений не только для «внешних» злоумышленников, но и для внутренних пользователей.

Такой автоматизированный и непрерывный процесс контроля базы данных лишь недавно начали внедрять финансовые институты. До этого компании либо вообще не имели защищенного процесса доступа к базе данных внутри организации, либо использовали так называемые триггеры базы данных – внутренний код, который был эффективным решением проблем лишь отчасти. До 2004 года любая программа контроля сведений внутри компании управлялась командой из специалистов для внутренних целей, таких как, например, определение внезапных или случайных изменений в программном обеспечении. К тому же, большинство таких программ не отвечают всем требованиям сегодняшнего дня.

Шаг 1-й: Определение риска

Неконтролируемое и неотслеживаемое использование базы данных чревато большим риском для компании: мошенничество, несоответствие требованиям надзорных органов, потеря клиентов, а также испорченные репутация и «доброе имя» компании. Банки прекрасно понимают, насколько непросто в наше время завоевать клиента и построить с ним долгосрочные отношения, поэтому они осознают, что их бренд и репутация ценятся очень и очень дорого. Аналитики рынка определили, что до 6% рыночной стоимости компаний приходится на долю значимости ее бренда. Соответственно, рисковать репутацией организации из-за плохой защищенности информации крайне не выгодно и накладно.

Такие потери могут быть минимальными, если инцидент был быстро отслежен и устранен, но в большинстве случаев все происходит в точности до наоборот. Не исключено, что брешь в безопасности базы данных обернется потерей миллионов долларов – стоимость обнаружения инцидента, последствия инцидента на фондовой бирже (негативное влияние на рынок акций) и ограничения операционной деятельности организации.

В качестве примера того, что может произойти, следует привести случай с одним американским региональным коммерческим банком. В 2005 году он не смог организовать внутренний аудит и вынужден был закрыть доступ своему администратору базы данных к особо важным информационно-технологическим системам компании. Администратор базы данных согласно инструкции обратился к группе службы безопасности и получил код доступа, после чего в сопровождении группы безопасности и под их наблюдением сделал соответствующие обновления базы. После того как администратор завершил свою работу, код доступа был уничтожен.

Окончательным результатом этого инцидента было то, что банк тратил тысячи долларов еженедельно на дополнительную безопасность и оплату лишних часов сотрудникам отдела IT, а так как постоянные работники были отвлечены от своей ежедневной работы, то тем самым замедлились деловые операции этого банка.

Также получил известность другой случай, происшедший в одном банке в Нью-Йорке. Данный институт пострадал от мошеннической деятельности одной из своих сотрудниц, чей доступ к базе данных не был обнаружен в течение нескольких месяцев. Сотрудница банка украла несколько сот тысяч долларов. Если бы данная компания не внедрила у себя решение по контролю базы данных, то мошенница еще бы долгое время продолжала действовать безнаказанно, а потери компании были бы намного большими.

Такие ситуации происходят благодаря тому, что многие финансовые организации все еще не на должном уровне защищают свою информацию от несанкционированного использования.

Перед тем как внедрить у себя в компании программу, следящую за сохранностью информации, следует определить потенциальные потери, которые могут произойти при нарушении целостности данных в вашей компании. Однако даже навскидку можно сказать, что последствия такого делового риска будут весьма существенными.

В США покупка или внедрение такого решения по надзору за данными стоит, примерно, от $10 тыс. до $50 тыс. для небольших организаций, для крупных корпораций цена может составить $500 тыс.

Контроль информации – это, скорее, превентивная мера безопасности, а не программа, которая будет приносить доход, поэтому довольно трудно высчитать традиционную прибыль на инвестированный капитал. Наибольшая ценность и прибыль, которую могут принести такие программы, – предотвращение неприятных событий, которые могут случиться с банком. В 2005 году ФБР совместно с институтом Computer Security Institute провело исследование под названием «Computer Crime and Security Survey», касающееся преступного использования компьютеров и брешей в системах информационной безопасности. В итоге было определено, что инвестиции в сферу защиты информации следует считать обязательными проектами, оттого по отношению к ним не следует руководствоваться стандартными средствами измерения прибыли на инвестированный капитал.

Зачастую решение о внедрении программы контроля данных включает в себя анализ того, что лучше сделать – внедрить собственное решение или купить уже готовую программу. В большинстве случаев выбор делается в пользу покупки. Одна американская брокерская фирма средних размеров подсчитала прибыль на инвестированный в такое приобретение капитал в размере 16:1 только за счет снижения расходов на оплату труда сотрудников отдела IT, ибо внедренное автоматизированное решение по контролю базы данных экономило сотни человеко-часов, которые и были посвящены ручной проверке базы данных или изменению приложений в IT-системе.

Поняв всю ценность таких решений, банку следует определить источники риска. Что касается корпоративных баз данных, то обычно существует три степени риска: посторонние люди, непривилегированные клиенты и привилегированные пользователи.

Проведенные исследования показывают, что работники компаний считаются даже большим источником риска для корпоративных систем, чем посторонние люди. Так, совместное исследование учреждений U.S. Secret Service и CERT Coordination Center в 2004 году под названием «Insider Threat Study», касающееся угрозы внутри компаний, утверждает, что в большинстве случаев махинаций работников организации, кражи или любых иных диверсий по отношению к информации сотрудники организаций использовали «простые и вполне допустимые команды пользователей для осуществления инцидентов». Более глубокие технические знания в области безопасности сетей требовались лишь в небольшом количестве случаев. Как указано в данном исследовании, в 78% нарушений «сотрудники организаций были пользователями с санкционированным доступом и обладали активной учетной записью в компьютере во время совершения акта», а 17% работников организаций обладали статусом «системного администратора или имели доступ со всеми правами в системе организации».

В то время как компании инвестируют крупные суммы в обеспечение защиты, направленной на предотвращение атак извне, они мало внимания уделяют безопасности внутри компании. А такие сотрудники, как, например, администраторы базы данных и др., имея доступ, способны изменять данные безо всякого контроля. А что случится, если администратор базы данных допустит ошибку или специально изменит информацию в базе данных компании? Как организация сможет обнаружить такие инциденты без мощных, исключающих любой несанкционированный доступ механизмов контроля? Вывод один: организации должны проводить контрольный анализ, который бы детально показывал любую связанную с базой данных деятельность служащих.

Шаг 2-й: Постановка целей для контроля информации

Контроль данных может помочь компании более эффективно управлять рисками и обеспечивать соблюдение всех требований регламентирующих органов с помощью записи случаев доступа к базе данных и ее использования. Комплексный контрольный анализ гарантирует, что средства защиты информации действительно эффективно работают, а также поможет компании определить и быстро отреагировать в случаях мошенничества или ошибок пользователей.

Предприятия с эффективными решениями в части контроля информации преследуют две цели: возможность учета и возможность визуального контроля. Такие организации не только разработали удобные механизмы обеспечения секретности информации. Понимая, что без должной проверки самих механизмов это даст минимальный эффект, организации внедрили решения по контролю целостности информации, для того чтобы понять, что же реально происходит с их базой данных.

Комплексное решение по контролю информации должно для организации обеспечить следующее:

1. Соответствие внутренней корпоративной политике и улучшение коммерческой деятельности компании.

2. Определение и анализ несанкционированного доступа пользователя или нарушения правильного поведения компьютерного приложения (было это сделано умышленно или непреднамеренно?).

3. Проведение анализа для определения злоупотребления, мошенничества, внешнего вторжения или неправомерного поведения работника.

4. Быстрое реагирование на нарушения и незащищенность системы.

5. Способность отвечать на специально подобранные бизнес-вопросы.

6. Предоставление в виде доказательства контрольного журнала для обоснования вследствие судебного иска (контрольный журнал – это книга для фиксирования обращения к защищенным данным; его просмотр помогает выявить попытки несанкционированного доступа и идентифицировать лиц, предпринявших их).

Шаг 3-й: Подумайте дважды, прежде чем разрабатывать собственную систему контроля

Некоторые организации разрабатывают собственное программное обеспечение для контроля данных и лишь по прошествии нескольких месяцев обнаруживают, что данный продукт не отвечает их требованиям, поскольку система, производящая контроль за деятельностью пользователей, не должна администрироваться или управляться лицами, которые сами стали объектами мониторинговой системы. Однако аудитные решения, разработанные внутри компании, используют защитные меры базы данных, которые могут быть довольно легко отключены привилегированными пользователями.

Более того, такое программное обеспечение имеет и другие недостатки: оно не может фиксировать нужную информацию, снижает роль приложений, жизненно важных для деятельности предприятия, либо занимает много времени персонала организации, для того чтобы управлять им. Контроль за данными – это больше, чем просто сбор информации о случившемся с базой данных. Эффективные средства контроля информации должны также предлагать сигнальное оповещение об инциденте, архивацию информации, развернутую отчетность и др. Поэтому задача создания надежного решения по контролю данных вряд ли по силам банковскому отделу IT.

Апробированное и доказавшее свою пригодность коммерческое решение предоставит исключающий несанкционированный доступ контрольный журнал, возможность проверки соответствия принятой стратегии требованиям эксплуатации, а также выработки требуемых рекомендаций и т.д.

Шаг 4-й: Оценка всех современных подходов в области контроля информации

Если банк уже определился с необходимостью установки системы контроля за данными, то следует очень ответственно подойти к выбору решения, которое должно удовлетворять всем определенным целям. Некоторые технологические методы реализации контроля информации имеют слабые места, что может привести к возникновению риска или увеличению стоимости такого решения. Руководству следует работать совместно с отделом информационных технологий, чтобы убедиться, что выбранное аудитное решение фиксирует всю соответствующую деятельность, отслеживает привилегированных пользователей, хорошо вписывается в уже существующую IT-инфраструктуру, просто в инсталляции и эффективно для управления.

Один из методов, который называется «изменение приложения», влечет за собой изменение исходного кода каждого приложения компьютера, которое может быть использовано для доступа к данным в корыстных целях. Такой подход требует, чтобы каждое приложение было изменено или заменено. Планирование, внедрение и тестирование таких изменений – довольно дорогостоящие процессы, к тому же, они занимают много времени. Помимо этого, доступ к данным через иные средства, а не через измененные приложения, например, такие как административная консоль базы данных, не фиксируется, что влечет за собой не полную защиту с помощью данного решения.

Второй проблематичный подход использует устройство, которое мониторит сеть и фиксирует сетевые пакеты, передаваемые между приложениями и базой данных. Разработанная для отслеживания несанкционированного проникновения в сеть такая схема не отвечает главному требованию целостности и сохранности данных – установление прямого доступа к базе данных внутренних пользователей. Она не может выявлять такую важную информацию как история того, какие значения и параметры были изменены.

А эффективное решение должно уметь фиксировать некоторые эталонные характеристики файлов, пакетов, системных объектов или других единиц информации, которые после передачи или хранения данных соотносятся с текущими характеристиками; на основе их сравнения делается вывод о целостности и подлинности информации. В качестве эталонных характеристик должны использоваться электронные цифровые подписи, вырабатываемые из текста сообщения на основе кэш-функций, контрольные суммы, временные метки, даты создания файлов, их размеры и т.п.

Еще одна существующая опция – это улавливание источника информации на основе триггеров. Триггеры – это инструкции, хранящиеся в системах базы данных и автоматически выполняемые, когда случаются определенные системные события, такие как запуск и остановка базы данных, попытки входа и выхода, создание, изменение и удаление объектов схемы. С помощью автономных трансакций можно записывать в журнал упомянутые системные события. Однако большинство IT-экспертов опасаются использовать триггеры с базами данных, из-за того что их довольно тяжело правильно написать, поэтому существенно увеличивается время, которое нужно для запуска такого приложения. Страх перед дополнительными затратами приводит к тому, что администратор базы данных сводит к минимуму использование триггеров и оставляет базу данных уязвленной и незащищенной от необнаруженного вторжения.

Еще одно слабое место триггеров заключается в том, что они не могут фиксировать многие вещи, которые необходимо отражать в контрольном журнале базы данных. Например, когда администратор базы данных дает другому пользователю исключительные неограниченные права доступа, что приводит к неполной записи в журнале. К тому же, администратор базы данных в любой момент может выключить триггеры, тем самым делая совершенно бесполезными все принятые меры предосторожности.

Простой набор основных действий аудита должен быть активен все время. Необходимый минимум включает в себя отслеживание доступа пользователей, использование системных привилегий и изменение в структуре базы данных. К сожалению, этот основной набор не покажет неудавшихся попыток доступа к специфическим данным, которые не должны быть доступны; тем не менее, он дает достаточно простой обзор «некорректного» доступа или использования привилегий. Если служащий подозревается в недозволенных действиях или ожидается атака, тогда может быть применен более детализированный аудит для специфических таблиц. С точки зрения управления базой данных, аудит изменения данных для всех таблиц не так уж практичен и может повлиять на производительность системы в целом. Аудит доступа для изменения данных следует использовать для таблиц, лишь имеющих особо важное значение (например, заработная плата сотрудников в базе данных HR).

Шаг 5-й: Нахождение эффективного решения корпоративного класса

Рекомендуемое аудитное решение должно мониторить базу данных; в ней самая важная информация, связанная с деятельностью базы данных, должна храниться на сервере базы данных. Это помогает фиксировать всю соотвествующую активность независимо от того, какое приложение используется, учитывая и прямой доступ привилегированных пользователей. С таким подходом нет необходимости в изменении приложений и вмешательстве триггеров, со своевременным исполнением трансакций.

Выбрав решение по контролю данных, важно посмотреть на выходную информацию, для того чтобы убедиться, что процесс контроля функционирует безошибочно и корректно. Комплексное решение по контролю информации должно также предоставлять полный набор (спектр) контрольных отчетов, предусмотренных графиком и планом и создаваемых лишь в определенном случае, рассматриваемых IT-отделом, отделом безопасности и финансовым персоналом. Регулярный просмотр таких отчетов обеспечит полное соответствие данного решения всем техническим требованиям и корпоративной политике безопасности организации.

Следует отметить, что наиболее эффективные методы контроля целостности информации основаны на криптографических алгоритмах. Они дают возможность обнаруживать любые изменения и обеспечивают надежную защиту эталонных характеристик от попыток подделки.

Средства контроля целостности обеспечивают эффективный мониторинг информационных ресурсов в системах, для которых критичной становится целостность сообщений, например, в платежных системах.

Ответственность

персонала финансовых организаций

Руководителям финансовых организаций следует донести до своих сотрудников всю важность ответственного подхода к работе с базой данных и секретной информацией компании. Ведь чем больше институт, тем труднее обеспечить доступ только для авторизованных пользователей.

Проблемы, связанные с хранением секретной информации в ограниченной группе сотрудников, нарастают с увеличением числа пользователей. Зачастую причиной этих проблем будет не отсутствие доверия к сотрудникам, а небрежность или невнимательность пользователей.

Из-за большого числа паролей и идентификаторов пользователя, которые необходимо помнить, служащие нередко записывают их и оставляют на столе, возле компьютера или упрощают пароли, облегчая тем самым неавторизованным лицам доступ к защищенным данным. Неправильный выход из системы и отказ от завершения работы компьютера могут нанести банку существенный ущерб, если незанятым рабочим местом воспользуются злоумышленники. Здесь от пользователей требуются повышенная дисциплина и чувство ответственности.

Также пользователям могут помочь недавно появившиеся профессиональные базы данных для платформы ПК, которые независимо кодируют свои данные. Это выполняется автоматически без предварительной активации системы шифрования. Таким образом, сотрудник банка больше не должен думать о кодировании.

В заключение хочется отметить, что после выбора базы данных, которая предоставляет средства защиты, отвечающие требованиям финансового института, самая важная задача, о которой нередко забывают, кроется во включении и использовании расширенных средств защиты, предлагаемых почти всеми производителями баз данных.

Александр Скороходов,
по материалам
Banking Strategies

 
© агенство "Стандарт"