26.07.2005

"Первая примерка" под стандарт информационной безопасности

PC Week, №27/2005, Наталья Шестопалова

В конце прошлого года Банк России разработал и ввел в действие отраслевой стандарт "Обеспечение информационной безопасности организаций банковской системы Российской Федерации", который носит в основном рекомендательный характер. Это первый шаг к государственному регулированию информационной безопасности (ИБ) в финансовой сфере. Он направлен на снижение ущерба от инцидентов, повышение стабильности банковской системы страны и, в конечном счете, доверия к банкам.

Согласно этому документу, вопрос обеспечения ИБ следует рассматривать для каждого из уровней информационной инфраструктуры, включая физические средства (линии связи, аппаратные средства и пр.), сетевое оборудование, сетевые приложения и сервисы, ОС и СУБД, банковские технологические процессы и приложения. Просчет в реализации политики безопасности на любом из представленных уровней может нанести существенный вред как кредитному учреждению, так и его клиентам.

Рост интереса со стороны банков, предприятий и частных лиц к дистанционному банковскому обслуживанию (ДБО) и его динамичное развитие предъявляют особые требования к уровню ИБ технологических процессов, поскольку использование публичных сетей и Интернета составляет реальную угрозу информационным банковским активам.

Учитывая важность задачи обеспечения ИБ при оказании дистанционных финансовых услуг, компания — разработчик систем ДБО "Банк'с Софт Системс" (БСС, ), поставщик средств криптографической защиты информации "Сигнал-КОМ" () и производитель продуктов для аутентификации и разграничения доступа к корпоративным ресурсам "Аладдин" () представили на совместном семинаре решения для организации ДБО в свете требований Банка России.

Система ДБО BS-Client — комплексное интегрированное решение компании БСС, включающее в себя весь спектр банковских услуг, предоставляемых за пределами офиса. Для обеспечения ИБ платежного технологического процесса в ней реализован ряд мер по защите информации от искажения (фальсификации, переадресации, несанкционированного уничтожения), разграничению прав доступа сотрудников кредитно-финансовой организации к ресурсам, контролю исполнения установленной технологии подготовки, обработки, передачи и хранения данных, аутентификации обрабатываемых документов. В подсистеме классического "банк-клиента" ответственность за искажение информации на клиентской стороне возлагается непосредственно на клиента, который обеспечивает контроль точки входа и целостность передаваемой в банк информации. Внутри банка система разграничения прав пользователей и ведение журнала аудита позволяют оценить правильность действия сотрудников.

При передаче информации по внутренним каналам банковской сети (между компонентами ДБО) используются стандартный протокол межсетевого взаимодействия TCP/IP и его надстройки — DCOM и протоколы взаимодействия с СУБД. В общем случае информация передается в открытом виде в форматах, установленных техническими требованиями к правилам обмена информацией между компонентами системы. В отдельных — обеспечивается шифрование передаваемых по внутренним каналам данных. Так, СУБД MS SQL поддерживает защиту трафика взаимодействия с данными базы. Протокол DCOM также можно настроить на передачу с шифрацией трафика. Учитывая, что применение этих средств может привести к падению мощности системы, банк выбирает необходимое соотношение между производительностью и степенью безопасности. Для защиты трафика между клиентами и банком передаваемые между ними данные принято шифровать. Причем если раньше не было жестких требований по сертификации средств криптозащиты, сейчас банки все больше предпочитают сертифицированные продукты. Каждый документ оснащается электронной подписью. В случае пакетной передачи документ также сопровождается электронной подписью.

ИБ и защита от несанкционированного доступа в подсистеме "Интернет-клиент" обеспечивается комплексным применением криптографии ("Крипто-ПРО CSP", "Сигнал-Ком", "Верба-OW" и др.), аутентификации, авторизации, протоколирования; организационно-административных мероприятий; штатных средств защиты ОС и СУБД. Для криптографической защиты трафика в подсистеме "Интернет-клиент" использовался BS-Defender, что требовало установки специальной библиотеки на стороне клиента. С целью получения более "тонкого" клиента в последних реализациях для защиты трафика служат стандартные протоколы SSL, TLS.

Комплексность, регулярный мониторинг и аудит системы ИБ — главные принципы БСС при построении и поддержке необходимого уровня ее эффективности.

Компания "Сигнал-КОМ" представила инструментальные средства разработки криптосистем, приложения и библиотеки, которые встраиваются в системы ДБО и электронного документооборота, частные сети и другие комплексы, требующие криптографической защиты информации.

Среди средств криптографической защиты информации (СКЗИ) — "Крип-то-КОМ 3.1", базисный продукт, сертифицированный ФАПСИ по уровню безопасности КС1, КС2. Он предназначен для выработки ключей шифрования и ЭЦП и используется в высокоуровневых библиотеках и приложениях компании.

Библиотека высокого уровня Message PRO, построенная на базе "Крипто-КОМ 3.1", служит для криптографической защиты файлов, блоков данных, хранимых на компьютерах или передаваемых по открытым каналам связи. Основные функции ее включают возможность формирования нескольких ЭЦП под одним документом, поддержку российских и иностранных криптографических алгоритмов, функцию многоадресного шифрования данных. В Message PRO встроена процедура генерации ключей, т. е. разработчики могут самостоятельно в своих приложениях генерировать секретные ключи с хранением ключевой информации на различных носителях, включая Touch Memory, USB Flash Hard Drive и eToken. Размер библиотеки не превышает 1 Мб, что позволяет создавать решения, которые можно переносить, в том числе и на дискете.

Новая разработка компании — библиотека Message PRO для Pocket PC, мобильных ПК под управлением Windows Mobile.

Криптопровайдер Signal-COM CSP реализует российские криптографические алгоритмы и обеспечивает к ним доступ из пользовательских приложений через стандартный криптографический интерфейс компании Microsoft CryptoAPI 2.0.

Комплекс Inter PRO предназначен для криптографической защиты Web-приложений. Прокси-технология, реализованная в нем, обеспечивает его независимость от применяемых типов Web-браузеров и Web-серверов. Inter PRO производит аутентификацию клиента и сервера на основе цифровых сертификатов Х.509, конфиденциальность передаваемой информации по протоколу HTTP, формирование и проверку цифровых подписей, фильтрацию трафика и разграничение прав доступа к ресурсам Web-сервера. Новинка компании — Inter PRO Mobile — клиентская часть для устройств Pocket PC.

Основная продукция компании Aladdin — смарт-карты и USB-ключи еТоken, предназначенные для двухфакторной аутентификации пользователей при доступе к защищенным ресурсам. В сочетании с другими средствами они реализуют ряд сервисов по обеспечению ИБ (шифрование данных, генерация ЭЦП). Третье назначение — хранение криптографических ключей, профилей пользователей и других данных. Ключ eToken используется в продуктах "Сигнал -КОМ" в качестве средства хранения ключевой информации клиента. Решение eToken PRO (в форматах USB-ключа и смарт-карты) сертифицировано Гостехкомиссией на право применения при проектировании систем защиты конфиденциальной информации.

Новый продукт компании — специализированный ключ eToken NG-OTP с генератором одноразовых паролей, включающий все функции USB-ключа eToken PRO. Он может использоваться в разнообразных решениях по обеспечению ИБ, например для доступа к компьютерам, которые не имеют возможности подключения внешних средств аутентификации или при работе в сторонней организации.

Председатель комитета по информационной безопасности Ассоциации российских банков Александр Велигура, выступивший на конференции от лица ассоциации, отметил, что выпуском вышеупомянутого стандарта по ИБ процесс регулирования этой сферы со стороны Банка России не ограничится. В дальнейшем возможно появление более детализированного документа, касающегося в том числе и систем ДБО. В связи с этим он обратился к организаторам с призывом принять активное участие в работе ассоциации по формированию государственных нормативов ИБ для финансовых организаций. "Если вы не поможете нам в подготовке и написании соответствующих требований, то мы получим их "сверху". Тогда и будем думать, как их удовлетворять, говорить, а почему нас не спросили?" — заключил он.