Журнал "Системы Безопасности" № 5‘2018

S E C U R I T Y A N D I T M A N A G E M E N T n w w w . a l l - o v e r - i p . r u 62 В 1950-х гг. каждому пользователю казалось, что только он один работает на банковском мейнфрейме, а на самом деле процессорное время компьютера равномерно делилось между всеми операторами терминалов. в таком режиме идентификация пользователя (обес- печение того, что за терминалом сидит нужный сотрудник, а не посторонний человек), а также его аутентификация (определение его прав и объема доступа к информации и услугам) особой проблемы не представляли. Эти права были жестко "зашиты" в рабочем терминале, а служащему достаточно было только ввести уникальный пароль. такой режим работы стал прообразом будущих облачных услуг, а такой мейнфрейм – прародителем частного облака. Мейнфрейм и комната, где он располагался, в 1970-х гг. превратились в серверную – част- ный дата-центр, где серверы банка находились под присмотром команды Ит-специалистов. Идентификация и аутентификация клиентов в эру облачных вычислений (Cloud Computing), когда для снижения затрат стало возможным арендовать серверы в общем облаке, задача идентификации и аутентификации пользовате- лей существенно усложнилась. Но зато расши- рились и функциональные возможности. стало возможным предоставлять клиентам банка услуги через Интернет с использованием вирту- альной частной сети VPN, ранжировать их в зависимости от статуса клиента и объема зака- занных им услуг. однако переезд банковских систем в облако потребовал особого внимания к системам безопасности и, в частности, к иден- тификации и аутентификации пользователей. Идентификация – это присвоение объекту уни- кального имени (идентификатора) и сравнение данного уникального имени со множеством других подобных имен для установления лич- ности и прав объекта. Идентификация напря- мую связана с аутентификацией – проверкой подлинности, соответствия предъявляемого идентификатора. Чтобы подтвердить свою под- линность, объекту необходимо предъявить нечто, что может показать только обладающий данным идентификатором и никто другой. Без этих двух понятий невозможно говорить о конт- роле доступа – системе, устанавливающей раз- решающие или запрещающие правила для доступа к определенным ресурсам. Двойной контроль важность ограничения доступа к информации о частной жизни ни у кого не вызывает сомне- ний. Что касается банковской сферы, то здесь вопросы информационной безопасности еще более острые, поскольку инциденты могут при- вести к серьезным финансовым потерям. сей- час большинство банков предоставляет свои услуги через облако. Для клиента это действи- тельно удобно – не нужно приходить в офис для совершения какой-либо транзакции: полу- чения кредита, покупки или продажи ценных бумаг и др. Это значительно повышает доход- ность банковского бизнеса. Но банку каждый раз приходится убеждаться, что человек по ту сторону сети за терминалом – именно его кли- ент, а не злоумышленник. Для этого чаще всего используется так называемая двухфакторная идентификация: во-первых, нужно знать уни- кальный пароль, во-вторых, ввести в специ- альное поле высланный банком одноразовый код, например через SMS. USB-токены Для корпоративных клиентов могут использо- ваться так называемые USB-токены, представ- ляющие собой USB-флешку с записанной на ней идентификационной информацией, либо обеспечивающие автоматическое взаимодей- ствие с облачной системой идентификации, а также специальные чиповые карты. такие устройства используют для многофактор- ной идентификации и аутентификации клиен- тов при постановке электронной подписи на документы и для шифрования данных, переда- ваемых по каналам связи. сферы их примене- ния: l системы электронного документооборота; l электронные торговые площадки; l системы дистанционного банковского обслу- живания; l системы таможенного декларирования. они также могут использоваться для передачи отчетности в Пенсионный фонд, еГаИс и т.д. USB-токены могут применяться и в промышлен- ном Интернете вещей (IoT), и при работе с кор- поративными порталами, и в промышленном оборудовании и различных устройствах (систе- мах управления теплоснабжением и освещени- ем, видеонаблюдением и др.). Меры информационной безопасности только комплексное применение различных систем может обеспечить контроль доступа и достаточную защиту банковской системы. Защита информации в облаке в банковских системах, использующих облач- ные решения, безопасность данных должна подкрепляться системами защиты информации (SecretNet, модуль доверенной загрузки "соболь" и др.) на стороне облачного провай- дера, куда банк или финансовая организация выносит свои Ит-системы на аутсорсинг. Перспективы внедрения и развития облачного сервиса велики. однако на территории россии на развитие этого направления в банковской сфере накладываются некоторые ограничения, в частности требования регуляторов по обес- печению информационной безопасности пер- сональных данных, обрабатываемых в банков- ских информационных системах, а также тре- бования международных платежных систем. Работа с персоналом стоит помнить и о других мерах безопасности и уделять больше внимания работе с персона- лом. так, по данным Forbes, 76% инцидентов происходит из-за внутреннего "инсайда", иначе говоря, подкупа сотрудников, в первую очередь системных администраторов. от внутренних утечек уберегают использование жестких поли- тик и процедур предоставления доступа, пол- ностью изолированные друг от друга сети и множество технических решений по инфор- мационной безопасности, например системы по контролю за действиями администраторов (Balabit и др.), SIEM-системы ("комрад", ArcSight и др.), внедрение в компании IPS/IDS (FortiGate и др.). Информационная гигиена Не следует пренебрегать и элементарными мерами информационной гигиены. Джон саф- фолк, бывший CIO правительства великобрита- нии, приводил пример, когда для государствен- ных служащих был составлен список из нескольких десятков пунктов, которые нужно соблюдать для защиты информации. выясни- лось, что следование семи–восьми первым пунктам (запрет на использование сторонних флешек, обновление вирусной базы и проверка компьютеров на наличие вирусов) позволило предотвратить до 90% инцидентов. n октябрь – ноябрь 2018 www.secuteck.ru отраслевой фокус БаНкИ Ваше мнение и вопросы по статье направляйте на ss @groteck.ru Мурад Мустафьев Руководитель службы информационной безопасности компании "ОНЛАНТА" (группа ЛАНИТ) Контроль доступа к облачным сервисам в отрасли финансовых услуг До середины XX века все услуги в банках и финансовых компаниях предоставлялись вручную. В 1950-х гг. для упрощения и ускорения ручных операций в банках стали использовать большие компьютеры (мэйнфреймы), занимавшие несколько комнат. Служащие банка подключались к ним со своих терминалов в режиме "разделение времени"…