Защита банковской информации

 
Безопасность компьютерной системы  складывается из обеспечения трех ее свойств: конфиденциальности, целостности и доступности. 
Конфиденциальность состоит в том, что компонент системы доступен только авторизованным субъектам системы (пользователям, программам и т.д.). Для остальных неавторизованных субъектов этот компонент как бы не существует. 
Целостность компонента предполагает, что он может быть модифицирован только авторизованным для этого субъектом. Целостность - гарантия правильности (работоспособности) компонента в любой момент времени. Под модификацией подразумеваются операции записи, обновления, изменения состояния, удаления и создания. 
Доступность предполагает действительную доступность компонента авторизованному субъекту, то есть авторизованный субъект может в любой момент без особых проблем получить доступ к необходимому компоненту. 
Таким образом, проблема безопасности КС сводится главным образом к задаче управления доступом множества субъектов системы ко множеству компонентов системы. Основных видов защищенного доступа два: дискреционный и мандатный доступ (но это уже совсем другая история    
 
НЕСАНКЦИОНИРОВАННЫЙ ДОСТУП К ПРОГРАММАМ 
 
Под "программой" понимают обычные программы пользователей, специальные программы, рассчитанные на нарушение безопасности системы, а также разнообразные системные утилиты и прикладные программы, которые отличаются более высоким профессиональным уровнем разработки и, тем не менее, могут содержать отдельные недоработки, позволяющие злоумышленнику воздействовать на системы. 
Программы могут порождать проблемы двух видов: они, во-первых, могут перехватывать и модифицировать данные в результате действий пользователя, и, во-вторых, используя упущения в защите КС, программы могут или обеспечивать доступ к системе пользователям, не имеющим на это право, или блокировать доступ к системе законным пользователям. 
К сожалению, количество возможных "слабых точек", которые могут содержаться в той или иной программе, значительно превышает число известных технологий устранения последствий воздействий злоумышленника. Это обусловлено двумя причинами: 

во-первых, качество программы всегда не превышает квалификации ее разработчика (очевидные потери и нарушения могут быть выявлены и устранены достаточно легко, однако, чем выше уровень подготовки программиста, тем более неявными, даже для него, становятся допускаемые им ошибки и тем более тщательно и надежно он способен скрыть умышленные механизмы, разработанные для нарушения защищенности системы), 
 
во-вторых, имеет место трудно разрешимый компромисс между эффективностью и удобством КС в работе и степенью обеспечения в ней требований по защищенности. Чем более высокие требования предъявляются к защищенности системы, тем больше ресурсов системы затрачивается на обеспечение этих требований, тем сильнее снижается производительность системы и увеличиваются сроки решения задач, наконец, тем неудобнее работать в данной системе пользователям. С другой стороны, чем больше ресурсов выделяется для решения текущих задач, тем меньше возможностей по обеспечению требуемого уровня безопасности. В основном нарушение безопасности программ состоит в том, что они могут быть использованы как средства получения "критичной" информации (данных), циркулирующей в системе, тем более что данные в КС обычно хранятся в виде, непонятном для большинства людей.

 
Целью НСД могут быть и сами программы. Причины этому: 

Программы могут быть товаром, приносящим прибыль, особенно тому, кто  первым начнет тиражировать программу  в коммерческих целях и оформит  авторские права на нее. 
2. Программы могут становиться также объектом НСД, имеющего целью модифицировать эти программы некоторым образом, что позволило бы в будущем провести воздействия на другие объекты системы.

 

1.1. Государственная политика в сфере защиты банковской информации

 

Принципы правового регулирования  отношений в сфере информации, информационных технологий и защиты информации

Правовое регулирование  отношений, возникающих в сфере  информации, информационных технологий и защиты информации, основывается на следующих принципах:

1) свобода поиска, получения,  передачи, производства и распространения  информации любым законным способом;

2) установление ограничений  доступа к информации только  федеральными законами;

3) открытость информации  о деятельности государственных  органов и органов местного  самоуправления и свободный доступ  к такой информации, кроме случаев,  установленных федеральными законами;

4) равноправие языков  народов Российской Федерации  при создании информационных  систем и их эксплуатации;

5) обеспечение безопасности  Российской Федерации при создании  информационных систем, их эксплуатации  и защите содержащейся в них  информации;

6) достоверность информации  и своевременность ее предоставления;

7) неприкосновенность частной  жизни, недопустимость сбора,  хранения, использования и распространения  информации о частной жизни  лица без его согласия;

8) недопустимость установления  нормативными правовыми актами  каких-либо преимуществ применения  одних информационных технологий  перед другими, если только  обязательность применения определенных  информационных технологий для  создания и эксплуатации государственных  информационных систем не установлена  федеральными законами.

Статья 4. Законодательство Российской Федерации об информации, информационных технологиях и о защите информации

1. Законодательство Российской  Федерации об информации, информационных  технологиях и о защите информации  основывается на Конституции  Российской Федерации, международных  договорах Российской Федерации  и состоит из настоящего Федерального  закона и других регулирующих  отношения по использованию информации  федеральных законов.

2. Правовое регулирование  отношений, связанных с организацией  и деятельностью средств массовой  информации, осуществляется в соответствии  с законодательством Российской  Федерации о средствах массовой  информации.

3. Порядок хранения и  использования включенной в состав  архивных фондов документированной  информации устанавливается законодательством  об архивном деле в Российской  Федерации.

Статья 5. Информация как объект правовых отношений

1. Информация может являться  объектом публичных, гражданских  и иных правовых отношений.  Информация может свободно использоваться  любым лицом и передаваться  одним лицом другому лицу, если  федеральными законами не установлены  ограничения доступа к информации  либо иные требования к порядку  ее предоставления или распространения.

2. Информация в зависимости  от категории доступа к ней  подразделяется на общедоступную  информацию, а также на информацию, доступ к которой ограничен  федеральными законами (информация  ограниченного доступа).

3. Информация в зависимости  от порядка ее предоставления  или распространения подразделяется  на:

1) информацию, свободно распространяемую;

2) информацию, предоставляемую  по соглашению лиц, участвующих  в соответствующих отношениях;

3) информацию, которая в  соответствии с федеральными  законами подлежит предоставлению  или распространению;

4) информацию, распространение  которой в Российской Федерации  ограничивается или запрещается.

4. Законодательством Российской  Федерации могут быть установлены  виды информации в зависимости  от ее содержания или обладателя.

Статья 6. Обладатель информации

1. Обладателем информации  может быть гражданин (физическое  лицо), юридическое лицо, Российская  Федерация, субъект Российской  Федерации, муниципальное образование.

2. От имени Российской  Федерации, субъекта Российской  Федерации, муниципального образования  правомочия обладателя информации  осуществляются соответственно  государственными органами и  органами местного самоуправления  в пределах их полномочий, установленных  соответствующими нормативными  правовыми актами.

3. Обладатель информации, если иное не предусмотрено  федеральными законами, вправе:

1) разрешать или ограничивать  доступ к информации, определять  порядок и условия такого доступа;

2) использовать информацию, в том числе распространять  ее, по своему усмотрению;

3) передавать информацию  другим лицам по договору или  на ином установленном законом  основании;

4) защищать установленными  законом способами свои права  в случае незаконного получения  информации или ее незаконного  использования иными лицами;

5) осуществлять иные действия  с информацией или разрешать  осуществление таких действий.

4. Обладатель информации  при осуществлении своих прав  обязан:

1) соблюдать права и  законные интересы иных лиц;

2) принимать меры по  защите информации;

3) ограничивать доступ  к информации, если такая обязанность  установлена федеральными законами.

Статья 7. Общедоступная информация

1. К общедоступной информации  относятся общеизвестные сведения  и иная информация, доступ к  которой не ограничен.

2. Общедоступная информация  может использоваться любыми  лицами по их усмотрению при  соблюдении установленных федеральными  законами ограничений в отношении  распространения такой информации.

3. Обладатель информации, ставшей общедоступной по его  решению, вправе требовать от  лиц, распространяющих такую информацию, указывать себя в качестве  источника такой информации.

Статья 8. Право на доступ к информации

1. Граждане (физические лица) и организации (юридические лица) (далее - организации) вправе осуществлять  поиск и получение любой информации  в любых формах и из любых  источников при условии соблюдения  требований, установленных настоящим  Федеральным законом и другими  федеральными законами.

2. Гражданин (физическое  лицо) имеет право на получение  от государственных органов, органов  местного самоуправления, их должностных  лиц в порядке, установленном  законодательством Российской Федерации,  информации, непосредственно затрагивающей  его права и свободы.

3. Организация имеет право  на получение от государственных  органов, органов местного самоуправления  информации, непосредственно касающейся  прав и обязанностей этой организации,  а также информации, необходимой  в связи с взаимодействием  с указанными органами при  осуществлении этой организацией  своей уставной деятельности.

4. Не может быть ограничен  доступ к:

1) нормативным правовым  актам, затрагивающим права, свободы  и обязанности человека и гражданина, а также устанавливающим правовое  положение организаций и полномочия  государственных органов, органов  местного самоуправления;

2) информации о состоянии  окружающей среды;

3) информации о деятельности  государственных органов и органов  местного самоуправления, а также  об использовании бюджетных средств  (за исключением сведений, составляющих  государственную или служебную  тайну);

4) информации, накапливаемой  в открытых фондах библиотек,  музеев и архивов, а также  в государственных, муниципальных  и иных информационных системах, созданных или предназначенных  для обеспечения граждан (физических  лиц) и организаций такой информацией;

5) иной информации, недопустимость  ограничения доступа к которой  установлена федеральными законами.

5. Государственные органы  и органы местного самоуправления  обязаны обеспечивать доступ  к информации о своей деятельности  на русском языке и государственном  языке соответствующей республики  в составе Российской Федерации  в соответствии с федеральными  законами, законами субъектов Российской  Федерации и нормативными правовыми  актами органов местного самоуправления. Лицо, желающее получить доступ  к такой информации, не обязано  обосновывать необходимость ее  получения.

6. Решения и действия (бездействие)  государственных органов и органов  местного самоуправления, общественных  объединений, должностных лиц,  нарушающие право на доступ  к информации, могут быть обжалованы  в вышестоящий орган или вышестоящему  должностному лицу либо в суд.

7. В случае, если в результате  неправомерного отказа в доступе  к информации, несвоевременного  ее предоставления, предоставления  заведомо недостоверной или не  соответствующей содержанию запроса  информации были причинены убытки, такие убытки подлежат возмещению  в соответствии с гражданским  законодательством.

8. Предоставляется бесплатно  информация:

1) о деятельности государственных  органов и органов местного  самоуправления, размещенная такими  органами в информационно-телекоммуникационных  сетях;

2) затрагивающая права  и установленные законодательством  Российской Федерации обязанности  заинтересованного лица;

3) иная установленная  законом информация.

9. Установление платы  за предоставление государственным  органом или органом местного  самоуправления информации о  своей деятельности возможно  только в случаях и на условиях, которые установлены федеральными  законами.

Статья 9. Ограничение доступа к информации

1. Ограничение доступа  к информации устанавливается  федеральными законами в целях  защиты основ конституционного  строя, нравственности, здоровья, прав  и законных интересов других  лиц, обеспечения обороны страны  и безопасности государства.

2. Обязательным является  соблюдение конфиденциальности  информации, доступ к которой  ограничен федеральными законами.

3. Защита информации, составляющей  государственную тайну, осуществляется  в соответствии с законодательством  Российской Федерации о государственной  тайне.

4. Федеральными законами  устанавливаются условия отнесения  информации к сведениям, составляющим  коммерческую тайну, служебную  тайну и иную тайну, обязательность  соблюдения конфиденциальности  такой информации, а также ответственность  за ее разглашение.