КОНТРОЛЬ РАЗРАБОТКИ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ АВТОМАТИЗИРОВАННЫХ БАНКОВСКИХ СИСТЕМ НА ПРЕДМЕТ НАЛИЧИЯ В НЁМ УЯЗВИМОСТЕЙ
В соответствии с СТО БР ИББС 1.0-2010 (подраздел 7.3) на ряде стадий жизненного цикла АБС, прежде всего при разработке и модернизации должны проводиться процедуры контроля функциональности (тестирования) АБС, в том числе и функций защиты информации АБС. В настоящее время уже недостаточным является решение вопросов защиты информации в АБС только от несанкционированного доступа. Безопасность АБС в значительной мере определяется отсутствием в них скрытых дефектов – недокументированных возможностей (НДВ). Наличие НДВ порождает уязвимости, от которых зависит надежность и устойчивость функционирования систем в целом. В отличии от технологии проведения «спецпроверок» аппаратуры, технология проверки программного обеспечения (ПО) на предмет отсутствия или наличия НДВ в практике испытаний еще не нашла должного применения.
Одной из главных задач, решаемых при поиске НДВ, являются достоверность и объективность проведения процесса поиска. Поиск НДВ представляет собой проблему большой сложности, а в условиях отсутствия исходных текстов ПО эта проблема становится почти неразрешимой. Одним из подходов на пути решения этой проблемы является наряду с проведением исследований на НДВ дополнение исследований процедурой паспортизации программного обеспечения. Паспорт реализует функции защиты программного кода от проявления и использования возможных невыявленных дефектов и, таким образом, повышает эффективность контроля.
Опыт компании «Газинформсервис» подтверждает, что для автоматизированных банковских систем построенных на базе технологической платформы SAP NetWeaver Application Server эту задачу эффективно решает Secude Code Profiler. Ряд собственных разработок позволяет проводить контроль целостности команд управления, конфигураций и параметров функционирования сетевого оборудования различных производителей (продукты «ЭФРОС» – контроль сетевого оборудования Cisco Systems, средства программного комплекса «РКСС Inspector» (совместная разработка Российской корпорации средств связи и Газинформсервис) – контроль сетевого оборудования РКСС и других производителей).
Для исследования и тестирования ПО примечательным решением является семейство «Ирида». Продукты этого семейства позволяют проводить исследования ПО на предмет наличия НДВ как на уровне исходных текстов программ, так и при их отсутствии. Дополнительно применение продуктов «Ирида» позволяет создавать паспорт потоков управления защищаемой программы. Паспорт является описанием множества алгоритмов выполнения программы. При этом если в паспорте зафиксированы только доверенные алгоритмы, то любое отклонение от паспорта будет зафиксировано и в ходе выполнения программы с соответствующей реакцией на ее дальнейшее поведение.
ИСПОЛЬЗОВАНИЕ СЕРТИФИЦИРОВАННЫХ ШИФРОВАЛЬНЫХ СРЕДСТВ ПРИ ТРАНСГРАНИЧНОМ ИНФОРМАЦИОННОМ ВЗАИМОДЕЙСТВИИ (ТИВ)
В соответствии с СТО БР ИББС 1.0-2010 (пункт 7.4.2) в составе АБС рекомендуется использовать сертифицированные Средства криптографической защиты информации (СКЗИ). СКЗИ относятся к товарам двойного назначения и их экспорт и импорт имеет ряд существенных ограничений, затрудняющих реализацию защиты ТИВ криптографическими методами путем ввоза-вывоза шифровальных (криптографических) средств.
Кроме того, ряд вопросов, связанных с использованием криптографических средств, требует периодического обслуживания провайдерами сертификационных услуг (например, удостоверяющими центрами), которые функционируют в соответствии с требованиями национальных законодательств и получение таких сервисов не в стране присутствия связано с рядом трудностей. Даже при решении этой задачи для конкретной информационной системы, при ее масштабировании организационные проблемы возникают вновь, так как шифровальные средства требуют поэкземплярного учета и каждый случай вывоза требует оформления экспортной лицензии.
В некоторые страны (Китай, Иран и др.) ввоз шифровальных средств иностранного производства существенно затруднён. Таким образом, этот подход не является технологичным и неприменим для массового использования и для развивающихся информационных систем. Для реализации защищенного ТИВ с использованием криптографических средств целесообразно использовать иные подходы, позволяющие реализовать адекватные уровни криптографической защиты информационных потоков при трансграничной передаче.
ООО «Газинформсервис» является лицензиатом ФСБ по видам деятельности в области шифровальных (криптографических) средств, предоставляет услуги удостоверяющего центра в соответствии с требованиями Федерального закона № 1-ФЗ от 10.01.2002 «Об электронной цифровой подписи». В рамках этих видов своей деятельности ООО «Газинформсервис», совместно со своими зарубежными партнерами, реализует расширенный спектр сервисов доверенной третьей стороны в соответствии с международными рекомендациями X.842 «Information technology – Security techniques – Guidelines for the use and management of trusted third party services».
К числу этих сервисов относятся:
− сервис трансляции защищенной информации в канале, позволяющий обеспечить конфиденциальный документооборот с использованием криптографических алгоритмов, принятых в качестве обязательных (стандартных) в каждой из взаимодействующих стран, что позволяет избегать проблемных вопросов импорта-экспорта криптографии;
− сервис подтверждения подлинности на основе международных рекомендаций RFC 3029, позволяющий обеспечить аутентичность и целостность, а как следствие – достоверность и юридическую силу электронных документов, созданных и подписанных в электронном виде аналогом собственноручной подписи в соответствии с правилами государства, резидентом которого он является.
Оба решения могут использоваться как самостоятельные или как единое комплексное решение.
ПЕРЕПОДГОТОВКА СПЕЦИАЛИСТОВ КФС ПО ВОПРОСАМ БЕЗОПАСНОСТИ
СТО БР ИББС 1.0-2010 (подраздел 8.9) определяет серьезные требования к обучению и повышению осведомленности в области информационной безопасности. «Кадры решают всё», и в современных условиях проблема обеспечения информационной безопасности организаций БС РФ во многом зависит от правильного подбора кадров и эффективной организации системы подготовки, переподготовки и повышения их квалификации.
На сегодняшний день многие организации и предприятия выбирают дистанционную форму обучения. Одним из главных достоинств этой формы обучения является обучение как на своем рабочем месте, выделенном помещении, так и в домашних условиях. Эффективность обучения в дистанционной форме во многом определяется правильной организацией разработки электронных учебников и учебных пособий, системы тестирования (тесты разрабатываются для самотестирования, тестирования по разделам и итогового тестирования), глоссария, учебных планов и программ. Количество часов выделяемых на обучение зависит от вида того, на каких курсах он обучается (подготовки, переподготовки или повышения квалификации).
ООО «Газинформсервис» совместно с учебным центром «Центр предпринимательских рисков» разрабатывают широкий спектр учебно-методических материалов для дистанционного обучения, проводят дистанционное обучение по информационной безопасности и комплексной защите объектов. Отзывы специалистов, прошедших обучение, свидетельствуют об эффективности дистанционного обучения.
Применение дистанционных образовательных технологий при подготовке специалистов КФС и реализации мероприятий по повышению осведомленности позволяет эффективно решать эти задачи по широкому спектру вопросов безопасности.
.jpg)