Информационная безопасность банка - это состояние защищенности всех его информационных активов от внешних и внутренних информационных угроз.

От информационной безопасности банка зависят его репутация и конкурентоспособность. Высокий уровень обеспечения информационной безопасности банка позволяет минимизировать риски (табл. 8.4.1).

Риски информационной безопасности

Таблица 8.4.1

1 См.: Банкиры разоблачили новую схему мошенничества по выводу средств со счетов // RT News (на русском). 2016.25 янв. URL: https://russian.rt.com/article/144011 (дата обращения: 07.06.2016).

Особенности банковских информационных систем: хранят и обрабатывают большое количество данных о финансовом состоянии и деятельности физических и юридических лиц; имеют инструменты совершения трансакций, ведущих к финансовым последствиям. Информационные системы не могут быть полностью закрытыми, поскольку должны отвечать современным требованиям к уровню обслуживания (иметь систему онлайн-банкинга, сеть банкоматов, подключенных к публичным каналам связи, и т. д.). Указанные особенности приводят к тому, что информационные активы кредитных организаций являются желанной целью злоумышленников и нуждаются в серьезной защите.

Главная задача злоумышленников (внешних нарушителей и инсайдеров), атакующих информационные системы банков, - получение контроля над информационными активами кредитной организации для последующего совершения неправомерных транзакций или компрометации банка по заказу недобросовестных конкурентов.

Основные требования к системе обеспечения информационной безопасности банков изложены а табл. 8.4.2.

Таблица 8.4.2

Требования к системе обеспечения информационной безопасности банков

Наименование требований	Характеристика требований
Адекватность	Быть адекватной внутренним и внешним угрозам
Комплексный подход	Реализовывать комплексный подход к защите - включать все необходимые организационные меры и технические решения и защищать все компоненты ИС (системы электронных платежей, электронного документооборота и обслуживания платежных карт, банковские программные и программно- технические комплексы, системы удаленного обслуживания, сети связи и т. д.)
производительность	Обеспечивать высокую производительность - обрабатывать значительные объемы информации без снижения быстродействия
Надежность и отказоустойчивость	Быть надежной и отказоустойчивой благодаря применению технологий кластеризации,виртуализации, балансировки нагрузки и проч.
Иметь инструменты	Иметь инструменты сбора, анализа данных об инцидентах и реагирования на события безопасности

В настоящее время существуют стандарты информационной безопасности, актуальные для российских кредитных организаций: Стандарт Банка России ; Федеральный закон «О персональных данных» ; Стандарт защиты информации в индустрии платежных карт .

Выполнение требований сразу нескольких стандартов ИБ в рамках одного проекта позволяет заказчику: создать целостную и легко управляемую систему информационной безопасности, не дублировать технические средства и организационные меры, направленные на выполнение требований стандартов, сократить затраты на проектные работы.

Существует концепция безопасности коммерческого банка, одобренная Советом Ассоциации российских банков (АРБ).

Объектами информационной безопасности являются: информационные ресурсы (информация с ограниченным доступом, составляющая коммерческую тайну, иная конфиденциальная информация, предоставленная в виде документов и массивов независимо от формы и вида их предоставления). Субъектами правоотношений при решении проблемы информационной безопасности являются: государство (Российская Федерация) как собственник информационных ресурсов, отнесенных к категории государственной тайны; Центральный банк Российской Федерации, осуществляющий денежно-кредитную политику страны; коммерческий банк как юридическое лицо, являющееся собственником информационных ресурсов, составляющих служебную, коммерческую и банковскую тайну.

Главной целью системы информационной безопасности является обеспечение устойчивого функционирования банка и предотвращение угроз его безопасности, защита от разглашения, утраты, утечки, искажения и уничтожения служебной информации, нарушения работы технических средств, обеспечения производственной деятельности, включая и средства информатизации. Задачами информационной безопасности являются:

- отнесение информации к категории ограниченного доступа (государственной, служебной, банковской и коммерческой тайнам, иной конфиденциальной информации, подлежащей защите от неправомерного использования;
- создание механизма и условий оперативного реагирования на угрозы безопасности и проявление негативных тенденций в функционировании банка.

Принципы организации и функционирования системы информационной безопасности.

- обеспечение безопасности информационных ресурсов в течение всего их жизненного цикла, на всех технологических этапах их обработки и использования во всех режимах функционирования;
- способность системы к развитию и совершенствованию в соответствии с изменениями условий функционирования банка.

Принцип законности предполагает разработку системы безопасности на основе федерального законодательства в области банковской деятельности, информатизации и защиты информации, частной охранной деятельности и других нормативных актов по безопасности. Объекты защиты информационной безопасности".

- информационные ресурсы с ограниченным доступом, составляющие служебную и коммерческую тайну, а также иная конфиденциальная информация на бумажной, магнитной, оптической основе, информационные массивы и базы данных, программное обеспечение;
- средства и системы информатизации (автоматизированные системы и вычислительные сети различного уровня и назначения, линии телеграфной, телефонной, факсимильной, радио- и космической связи, технические средства передачи информации, средства размножения и отображения информации);
- технические средства и системы охраны и защиты материальных и информационных ресурсов.

Угрозы информационным ресурсам проявляются в виде:

- разглашения конфиденциальной информации;
- утечки конфиденциальной информации через технические средства обеспечения производственной деятельности различного характера;
- несанкционированного доступа к охраняемым сведениям со стороны конкурентных организаций и преступных формирований (табл. 8.4.3).

Таблица 8.4.3

Пути осуществления угроз информационным ресурсам банков

Наименование путей угроз	Характеристика путей осуществления угроз
Неофициальный доступ	путем неофициального доступа и съема конфиденциальной информации
Подкуп лиц	путем подкупа лиц, работающих в банке или структурах, непосредственно связанных с его деятельностью
Перехват информации	путем перехвата информации, циркулирующей в средствах и системах связи и вычислительной техники с помощью технических средств разведки и съема информации, несанкционированного доступа к информации и преднамеренных программно-математических воздействий на нее в процессе обработки и хранения
Подслушивание разговоров	путем подслушивания конфиденциальных переговоров, ведущихся в служебных помещениях, служебном и личном автотранспорте, на квартирах и дачах

Окончание табл. 8.4.3

Основными составляющими обеспечения информационной безопасности ресурсов коммерческих банков являются: система безопасности информационных ресурсов; система мер (режима) сохранности и контроль вероятных каналов утечки информации.

Система обеспечения безопасности информационных ресурсов должна предусматривать комплекс организационных, технических, программных и криптографических средств и мер по защите информации в процессе традиционного документооборота при работе исполнителей с конфиденциальными документами и сведениями, при обработке информации в автоматизированных системах различного уровня и назначения, при передаче по каналам связи, при ведении конфиденциальных переговоров.

При этом основными направлениями реализации технической политики обеспечения информационной безопасности в этих сферах деятельности являются:

- защита информационных ресурсов от хищения, утраты, уничтожения, разглашения, утечки, искажения и подделки за счет несанкционированного доступа (НСД) и специальных воздействий;
- защита информации от утечки вследствие наличия физических полей за счет акустических и побочных электромагнитных излучений и наводок (ПЭМИН) на электрические цели, трубопроводы и конструкции зданий (табл. 8.4.4).

Таблица 8.4.4

Мероприятия проведения технической политики информационной безопасности коммерческого банка

Окончание табл. 8.4.4

Наименование мероприятий	Характеристика мероприятий
Разграничение доступа исполнителей	разграничение доступа пользователей к данным автоматизированных систем различного уровня и назначения
Учет документов	учет документов, информационных массивов, регистрация действий пользователей информационных систем, контроль несанкционированного доступа и действиями пользователей
Криптографическое преобразование информации	криптографическое преобразование информации, обрабатываемой и передаваемой средствами вычислительной техники и связи
Снижение уровня информативности	снижение уровня и информативности ПЭМИН (побочных электромагнитных излучений и наводок), создаваемых различными элементами технических средств обеспечения производственной деятельности и автоматизированных информационных систем
Снижение уровня акустики	снижение уровня акустических излучений
Электрическая развязка цепей питания	электрическая развязка цепей питания, заземления и других цепей технических средств, выходящих за пределы контролируемой территории
Зашумление	активное зашумление в различных диапазонах
Противодействие оптическим средствам	противодействие оптическим и лазерным средствам наблюдения
Проверка закладок	проверка технических средств и объектов информатизации на предмет выявления включенных в них закладных устройств
Противодействие вирусам	предотвращение внедрения в автоматизированные информационные системы программ вирусного характера

Защита информационных ресурсов от несанкционированного доступа должна предусматривать следующие меры (табл. 8.4.5).

Таблица 8.4.5

Пути защиты от угроз информационным ресурсам банков

Окончание табл. 8.4.5

Наименование мер защиты	Характеристика мер защиты
надежность хранения	когда документы (носители информации, информационные массивы) хранятся в условиях, исключающих несанкционированное ознакомление с ними, их уничтожение, подделку или искажение
разграничение информации	по уровню конфиденциальности, заключающееся в предупреждении показания сведений более высокого уровня конфиденциальности в документах (носителях информации, информационных массивах) с более низким уровнем конфиденциальности, а также предупреждение передачи конфиденциальной информации по незащищенным линиям связи
Контроль исполнителей	контроль действий исполнителей (пользователей) с документацией и сведениями, а также в автоматизированных системах и системах связи
Очистка информации	очистка (обнуление, исключение информативности) оперативной памяти, буферов при освобождении пользователем до перераспределения этих ресурсов между другими пользователями
Целостность среды	целостность технической и программной среды, информации и средств защиты, заключающаяся в физической сохранности средств информатизации, программной среды, определяемой предусмотренной технологией обработки информации, выполнении средствами защиты предусмотренных функций, изолированности средств защиты от пользователей

Положение о персональной ответственности реализуется с помощью: росписи исполнителей в журналах, карточках учета, других разрешительных документах, а также на самих документах; индивидуальной идентификации пользователей и инициированных ими процессов в автоматизированных системах; проверки подлинности (аутентификации) исполнителей (пользователей) на основе использования паролей, ключей, магнитных карт, цифровой подписи, а также биометрических характеристик личности как при доступе в автоматизированные системы, так и в выделенные помещения (зоны).

Система контроля действий исполнителей реализуется с помощью: организационных мер контроля при работе исполнителей с конфиденциальными документами и сведениями; регистрации действий пользователей с информационными и программными ресурсами автоматизированных систем с указанием даты и времени; идентификаторов запрашивающего и запрашиваемых ресурсов;

вида взаимодействия и его результата, включая запрещенные попытки доступа; сигнализации о несанкционированных действиях пользователей.

Защита информации от утечки за счет побочных электромагнитных излучений и наводок (ПЭМИН). Основным направлением защиты информации от утечки за счет ПЭМИН является уменьшение отношения информативного сигнала к помехе до предела, определяемого «Нормами эффективности защиты АСУ и ЭВМ от утечки информации за счет ПЭМИН», при котором восстановление сообщений становится принципиально невозможным. Решение этой задачи достигается как снижением уровня излучений информационных сигналов, так и увеличением уровня помех в соответствующих частотных диапазонах.

Обеспечение качества в системе безопасности. Необходимой составляющей системы безопасности должно быть обеспечение качества работ и используемых средств и мер защиты, нормативной базой которого является система стандартов и других руководящих нормативно-технических и методических документов (НТД) по безопасности.

В совокупности с системой стандартизации единую систему обеспечения качества продукции и услуг по требованиям безопасности информации составляют:

- сертификация средств и систем вычислительной техники и связи по требованиям безопасности информации;
- лицензирование деятельности по оказанию услуг в области защиты информации;
- аттестация объектов информатики по требованиям безопасности информации.

В соответствии с требованиями этих систем право оказывать услуги сторонним организациям в области защиты информации предоставлено только организациям, имеющим на этот вид деятельности разрешение (лицензию).

Для обеспечения информационной безопасности используются методы борьбы с такими видами интернет-мошенничества как фишинг и способ хищения денег с помощью бесконтактных технологий.

Борьба с фишингом предусматривает разные методы, включая законодательные и специальные, созданные для защиты от фишинга:

- обучение пользователей - научить людей различать фишинг и бороться с ним, например, связаться с компанией, от имени которой отправлено сообщение, для проверки его подлинности. Эксперты рекомендуют самостоятельно вводить веб-адрес организации в адресную строку браузера вместо использования любых гиперссылок в подозрительном сообщении;
- технические методы; браузеры, предупреждающие об угрозе фишинга; усложнение процедуры авторизации, когда сайт предлагает пользователям выбрать личное изображение и показывает его с каждой формой ввода пароля. И пользователям банковских услуг следует вводить пароль лишь тогда, когда они видят выбранное изображение;
- борьба с фишингом в почтовых сообщениях предусматривает уменьшение числа фишинговых электронных сообщений, получаемых пользователями;
- услуги мониторинга: некоторые компании предлагают банкам, потенциально подверженным фишинговым атакам, услуги круглосуточного контроля, анализа и помощи в закрытии фишинговых сайтов. Физические лица могут помогать подобным группам, сообщая о случаях фишинга;
- юридические меры, однако, эксперты считают, что в России самое лояльное законодательство по отношению к киберпреступности.

В России появился новый вид мошенничества - кража денег с карт,

оснащенных специальными технологиями бесконтактной оплаты товаров (карта прикладывается к PoS-терминалу, сумма покупки списывается с «пластика»). По данным компании Zecurion, в 2015 году мошенники украли с карт россиян с помощью своих самодельных терминалов (RFID-ридеров) 2 млн рублей. Компании, специализирующиеся на IT-безопасности, отметили, что мошенники научились воровать с карт с помощью смартфонов, оснащенных чипами NFC (NFC - разновидность RFID).

Технологии бесконтактной оплаты товаров разработаны американскими платежными системами Visa (PayWave) и Mastercard (PayPass) для ускорения и упрощения безналичной оплаты покупок. Карты с технологией PayPass выпускают 43 крупных российских банка, карты с Pay Wave - 16. Технологии PayPass и Pay Wave применяются на картах с чипом и магнитной полосой. При расчетах такой картой не нужно вводить PIN-код, а также ставить подпись на чеке, если сумма покупки небольшая (до 1 тыс. рублей). В России больше 30 тыс. точек приема PayPass: предприятия транспорта, торговли, сферы услуг.

Суть схемы похожа на перехват сигналов электрозамков угонщиками автомобилей. Как сообщили в Zecurion, средства с карт PayPass и PayWave списываются мошенниками с помощью самодельных считывателей, способных сканировать банковские карты с чипами RFID. По большому счету это аналоги легальных бесконтактных PoS- терминалов: RFID-ридеров, посылающие электромагнитные сигналы С пластиковых карт начали угонять деньги «по воздуху». pravda-tv.ru>2016/01/25/203507/s-plastikovyh-kart

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

Размещено на http://www.allbest.ru/

Министерство общего и профессионального образования Ростовской области

ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ СРЕДНЕГО ПРОФЕССИОНАЛЬНОГО ОБРАЗОВАНИЯ РОСТОВСКОЙ ОБЛАСТИ

«Ростовский-на-Дону колледж связи и информатики»

По дисциплине: «Информационная безопасность»

Тема: Информационная защита банков

Выполнил: студент

Кладовиков В.С.

Группа ПО-44

Специальность 23010551 Программное обеспечение

вычислительной техники и автоматизированных систем

Руководитель: Семергей С.В.

201 3

Введение

1. Особенности информационной безопасности банков

2. Безопасность автоматизированных систем обработки информации в банках (АСОИБ)

3. Безопасность электронных платежей

4. Безопасность персональных платежей физических лиц

Заключение

Приложения

Введение

Со времени своего появления банки неизменно вызывали преступный интерес. И этот интерес был связан не только с хранением в кредитных организациях денежных средств, но и с тем, что в банках сосредотачивалась важная и зачастую секретная информация о финансовой и хозяйственной деятельности многих людей, компаний, организаций и даже целых государств. В настоящее время в результате повсеместного распространения электронных платежей, пластиковых карт, компьютерных сетей объектом информационных атак стали непосредственно денежные средства как банков, так и их клиентов. Совершить попытку хищения может любой - необходимо лишь наличие компьютера, подключенного к сети Интернет. Причем для этого не требуется физически проникать в банк, можно «работать» и за тысячи километров от него.

Именно эта проблема является сейчас наиболее актуальной и наименее исследованной. Если в обеспечении физической и классической информационной безопасности давно уже выработаны устоявшиеся подходы (хотя развитие происходит и здесь), то в связи с частыми радикальными изменениями в компьютерных технологиях методы безопасности автоматизированных систем обработки информации банка (АСОИБ) требуют постоянного обновления. Как показывает практика, не существует сложных компьютерных систем, не содержащих ошибок. А поскольку идеология построения крупных АСОИБ регулярно меняется, то исправления найденных ошибок и «дыр» в системах безопасности хватает ненадолго, так как новая компьютерная система приносит новые проблемы и новые ошибки, заставляет по-новому перестраивать систему безопасности.

На мой взгляд, каждый заинтересован в конфиденциальности своих персональных данных, предоставляемых банкам. Исходя из этого, написание данного реферата и изучение данной проблемы, на мой взгляд, представляется не только интересным, но и крайне полезным.

1. Особенности информационной безопасности банков

Банковская информация всегда была объектом пристального интереса всякого рода злоумышленников. Любое банковское преступление начинается с утечки информации. Автоматизированные банковские системы являются каналами для таких утечек. С самого начала внедрения автоматизированных банковских систем (АБС) они стали объектом преступных посягательств.

Так, известно, что в августе 1995 г. в Великобритании был арестован 24-летний российский математик Владимир Левин, который при помощи своего домашнего компьютера в Петербурге сумел проникнуть в банковскую систему одного из крупнейших американских банков Citibank и попытался снять с его счетов крупные суммы. По сведениям московского представительства Citibank, до тех пор подобное никому не удавалось. Служба безопасности Citibank выяснила, что у банка пытались похитить $2,8 млн., но контролирующие системы вовремя это обнаружили и заблокировали счета. Украсть же удалось лишь $400 тысяч.

В США сумма ежегодных убытков банковских учреждений от незаконного использования компьютерной информации составляет, по оценкам экспертов, от 0,3 до 5 млрд. долларов. Информация - это аспект общей проблемы обеспечения безопасности банковской деятельности.

В связи с этим, стратегия информационной безопасности банков весьма сильно отличается от аналогичных стратегий других компаний и организаций. Это обусловлено, прежде всего, специфическим характером угроз, а также публичной деятельностью банков, которые вынуждены делать доступ к счетам достаточно легким с целью удобства для клиентов.

Обычная компания строит свою информационную безопасность, исходя лишь из узкого круга потенциальных угроз - главным образом защита информации от конкурентов (в российских реалиях основной задачей является защита информации от налоговых органов и преступного сообщества с целью уменьшения вероятности неконтролируемого роста налоговых выплат и рэкета). Такая информация интересна лишь узкому кругу заинтересованных лиц и организаций и редко бывает ликвидна, т.е. обращаема в денежную форму.

Информационная безопасность банка должна учитывать следующие специфические факторы:

1. Хранимая и обрабатываемая в банковских системах информация представляет собой реальные деньги. На основании информации компьютера могут производиться выплаты, открываться кредиты, переводиться значительные суммы. Вполне понятно, что незаконное манипулирование с такой информацией может привести к серьезным убыткам. Эта особенность резко расширяет круг преступников, покушающихся именно на банки (в отличие от, например, промышленных компаний, внутренняя информация которых мало кому интересна).

2. Информация в банковских системах затрагивает интересы большого количества людей и организаций - клиентов банка. Как правило, она конфиденциальна, и банк несет ответственность за обеспечение требуемой степени секретности перед своими клиентами. Естественно, клиенты вправе ожидать, что банк должен заботиться об их интересах, в противном случае он рискует своей репутацией со всеми вытекающими отсюда последствиями.

3. Конкурентоспособность банка зависит от того, насколько клиенту удобно работать с банком, а также насколько широк спектр предоставляемых услуг, включая услуги, связанные с удаленным доступом. Поэтому клиент должен иметь возможность быстро и без утомительных процедур распоряжаться своими деньгами. Но такая легкость доступа к деньгам повышает вероятность преступного проникновения в банковские системы.

4. Информационная безопасность банка (в отличие от большинства компаний) должна обеспечивать высокую надежность работы компьютерных систем даже в случае нештатных ситуаций, поскольку банк несет ответственность не только за свои средства, но и за деньги клиентов.

5. Банк хранит важную информацию о своих клиентах, что расширяет круг потенциальных злоумышленников, заинтересованных в краже или порче такой информации.

К сожалению, в наши дни, в связи с высоким развитием технологий, даже предельно жесткие организационные меры по упорядочению работы с конфиденциальной информацией не защитят от ее утечки по физическим каналам. Поэтому системный подход к защите информации требует, чтобы средства и действия, используемые банком для обеспечения информационной безопасности (организационные, физические и программно-технические), рассматривались как единый комплекс взаимосвязанных, взаимодополняющих и взаимодействующих мер. Такой комплекс должен быть нацелен не только на защиту информации от несанкционированного доступа, но и на предотвращение случайного уничтожения, изменения или разглашения информации.

2. Безопасность автоматизированных систем обработки информации в банках (АСОИБ)

Не будет преувеличением сказать, что проблема умышленных нарушений функционирования АСОИБ различного назначения в настоящее время является одной из самых актуальных. Наиболее справедливо это утверждение для стран с сильно развитой информационной инфраструктурой, о чем убедительно свидетельствуют приводимые ниже цифры.

Известно, что в 1992 году ущерб от компьютерных преступлений составил $555 млн., 930 лет рабочего времени и 15.3 года машинного времени. По другим данным ущерб финансовых организаций составляет от $173 млн. до $41 млрд. в год.

Из данного примера, можно сделать вывод, что системы обработки и защиты информации отражают традиционный подход к вычислительной сети как к потенциально ненадежной среде передачи данных. Существует несколько основных способов обеспечения безопасности программно-технической среды, реализуемых различными методами:

1.1. Создание профилей пользователей. На каждом из узлов создается база данных пользователей, их паролей и профилей доступа к локальным ресурсам вычислительной системы.

1.2. Создание профилей процессов. Задачу аутентификации выполняет независимый (third-party) сервер, который содержит пароли, как для пользователей, так и для конечных серверов (в случае группы серверов, базу данных паролей также содержит только один (master) сервер аутентификации; остальные - лишь периодически обновляемые копии). Таким образом, использование сетевых услуг требует двух паролей (хотя пользователь должен знать только один - второй предоставляется ему сервером «прозрачным» образом). Очевидно, что сервер становится узким местом всей системы, а его взлом может нарушить безопасность всей вычислительной сети.

2. Инкапсуляция передаваемой информации в специальных протоколах обмена. Использование подобных методов в коммуникациях основано на алгоритмах шифрования с открытым ключом. На этапе инициализации происходит создание пары ключей - открытого и закрытого, имеющегося только у того, кто публикует открытый ключ. Суть алгоритмов шифрования с открытым ключом заключается в том, что операции шифрования и дешифрования производятся разными ключами (открытым и закрытым соответственно).

3. Ограничение информационных потоков. Это известные технические приемы, позволяющие разделить локальную сеть на связанные подсети и осуществлять контроль и ограничение передачи информации между этими подсетями.

3.1. Firewalls (брандмауэры). Метод подразумевает создание между локальной сетью банка и другими сетями специальных промежуточных серверов, которые инспектируют, анализируют и фильтруют весь проходящий через них поток данных (трафик сетевого/транспортного уровней). Это позволяет резко снизить угрозу несанкционированного доступа извне в корпоративные сети, но не устраняет эту опасность совсем. Более защищенная разновидность метода - это способ маскарада (masquerading), когда весь исходящий из локальной сети трафик посылается от имени firewall-сервера, делая закрытую локальную сеть практически невидимой.

3.2. Proxy-servers. При данном методе вводятся жесткие ограничения на правила передачи информации в сети: весь трафик сетевого/транспортного уровней между локальной и глобальной сетями запрещается полностью - попросту отсутствует маршрутизация как таковая, а обращения из локальной сети в глобальную происходят через специальные серверы-посредники. Очевидно, что при этом методе обращения из глобальной сети в локальную становятся невозможными в принципе. Очевидно также, что этот метод не дает достаточной защиты против атак на более высоких уровнях, например на уровне программного приложения.

4. Создание виртуальных частных сетей (VPN) позволяет эффективно обеспечивать конфиденциальность информации, ее защиту от прослушивания или помех при передаче данных. Они позволяют установить конфиденциальную защищенную связь в открытой сети, которой обычно является интернет, и расширять границы корпоративных сетей до удаленных офисов, мобильных пользователей, домашних пользователей и партнеров по бизнесу. Технология шифрования устраняет возможность перехвата сообщений, передаваемых по виртуальной частной сети, или их прочтения лицами, отличными от авторизованных получателей, за счет применения передовых математических алгоритмов шифрования сообщений и приложений к ним. Концентраторы серии Cisco VPN 3000 многими признаются лучшим в своей категории решением удаленного доступа по виртуальным частным сетям. Концентраторы Cisco VPN 3000, обладающие самыми передовыми возможностями с высокой надежностью и уникальной, целенаправленной архитектурой. Позволяют корпорациям создавать инфраструктуры высокопроизводительных, наращиваемых и мощных виртуальных частных сетей для поддержки ответственных приложений удаленного доступа. Идеальным орудием создания виртуальных частных сетей от одного сетевого объекта к другому служат маршрутизаторы Cisco, оптимизированные для построения виртуальных частных сетей, к которым относятся маршрутизаторы Cisco 800, 1700, 2600, 3600, 7100 и 7200.

5.Системы обнаружения вторжений и сканеры уязвимости создают дополнительный уровень сетевой безопасности. Хотя межсетевые экраны пропускают или задерживают трафик в зависимости от источника, точки назначения, порта или прочих критериев, они фактически не анализируют трафик на атаки и не ведут поиск уязвимых мест в системе. Кроме того, межсетевые экраны обычно не борются с внутренними угрозами, исходящими от "своих". Система обнаружения вторжений Cisco Intrusion Detection System (IDS) может защитить сеть по периметру, сети взаимодействия с бизнес-партнерами и все более уязвимые внутренние сети в режиме реального времени. Система использует агенты, представляющие собой высокопроизводительные сетевые устройства, для анализа отдельных пакетов с целью обнаружения подозрительной активности. Если в потоке данных в сети проявляется несанкционированная активность или сетевая атака, агенты могут обнаружить нарушение в реальном времени, послать сигналы тревоги администратору и заблокировать доступ нарушителя в сеть. Помимо сетевых средств обнаружения вторжений компания Cisco также предлагает серверные системы обнаружения вторжений, обеспечивающие эффективную защиту конкретных серверов в сети пользователя, в первую очередь серверов WEB и электронной коммерции. Cisco Secure Scanner представляет собой программный сканер промышленного уровня, позволяющий администратору выявлять и устранять уязвимости в сетевой безопасности прежде, чем их найдут хакеры.

По мере роста и усложнения сетей первостепенное значение приобретает требование наличия централизованных средств управления политикой безопасности, которые могли бы управлять элементами безопасности. Интеллектуальные средства, которые могут обозначать состояние политики безопасности, управлять ею и выполнять аудит, повышают практичность и эффективность решений в области сетевой безопасности. Решения Cisco в этой области предполагают стратегический подход к управлению безопасностью. Cisco Secure Policy Manager (CSPM) поддерживает элементы безопасности Cisco в корпоративных сетях, обеспечивая комплексную и последовательную реализацию политики безопасности. С помощью CSPM клиенты могут определять соответствующую политику безопасности, внедрять ее в действие и проверять принципы безопасности в работе сотен межсетевых экранов Cisco Secure PIX и Cisco IOS Firewall Feature Set и агентов IDS. CSPM также поддерживает стандарт IPsec для построения виртуальных частных сетей VPN. Кроме того, CSPM является составной частью широко распространенной корпоративной системы управления CiscoWorks2000/VMS.

Суммируя приведенные способы, можно сказать, что разработка информационных систем требует параллельной разработки технологий передачи и защиты информации. Эти технологии должны обеспечивать защиту передаваемой информации, делая сеть «надежной», хотя надежность на современном этапе понимается как надежность не на физическом уровне, а скорее на логическом (информационном уровне).

Существует также ряд дополнительных мероприятий, реализующих следующие принципы:

1. Мониторинг процессов. Метод мониторинга процессов заключается в создании специального расширения системы, которое бы постоянно осуществляло некоторые типы проверок. Очевидно, что некоторая система становится внешне уязвимой только в том случае, когда она предоставляет возможность доступа извне к своим информационным ресурсам. При создании средств такого доступа (серверных процессов), как правило, имеется достаточное количество априорной информации, относящейся к поведению клиентских процессов. К сожалению, в большинстве случаев эта информация попросту игнорируется. После аутентификации внешнего процесса в системе он в течение всего своего жизненного цикла считается авторизованным для доступа к некоторому количеству информационных ресурсов без каких-либо дополнительных проверок.

Хотя указать все правила поведения внешнего процесса в большинстве случаев не представляется возможным, вполне реально определить их через отрицание или, иначе говоря, указать, что внешний процесс не может делать ни при каких условиях. На основании этих проверок можно осуществлять мониторинг опасных или подозрительных событий. Например, на приведенном рисунке показаны элементы мониторинга и выявленные события: DOS-атака; ошибка набора пароля пользователем; перегрузки в канале связи.

2. Дублирование технологий передачи. Существует риск взлома и компрометации любой технологии передачи информации, как в силу ее внутренних недостатков, так и вследствие воздействия извне. Защита от подобной ситуации заключается в параллельном применении нескольких отличных друг от друга технологий передачи. Очевидно, что дублирование приведет к резкому увеличению сетевого трафика. Тем не менее, такой способ может быть эффективным, когда стоимость рисков от возможных потерь оказывается выше накладных расходов по дублированию.

3.Децентрализация. Во многих случаях использование стандартизованных технологий обмена информацией вызвано не стремлением к стандартизации, а недостаточной вычислительной мощностью систем, обеспечивающих процедуры связи. Реализацией децентрализованного подхода может считаться и широко распространенная в сети Internet практика «зеркал». Создание нескольких идентичных копий ресурсов может быть полезным в системах реального времени, даже кратковременный сбой которых может иметь достаточно серьезные последствия.

3 . Безопасность электронных платежей

информация банк криптографический защита

Необходимость всегда иметь под рукой нужную информацию заставляет многих руководителей задумываться над проблемой оптимизации бизнеса с помощью компьютерных систем. Но если перевод бухгалтерского учета из бумажной формы в электронную давно осуществлен, то взаиморасчеты с банком все еще остаются недостаточно автоматизированными: массовый переход на электронный документооборот только предстоит.

Сегодня многие банки имеют те или иные каналы для удаленного осуществления платежных операций. Отправить "платежку" можно прямо из офиса, воспользовавшись модемным соединением или выделенной линией связи. Стало реальностью выполнение банковских операций через Интернет - для этого достаточно иметь компьютер с доступом в глобальную сеть и ключ электронной цифровой подписи (ЭЦП), которая зарегистрирована в банке.

Удаленное обслуживание в банке позволяет повысить эффективность частного бизнеса при минимальных усилиях со стороны его владельцев. При этом обеспечиваются: экономия времени (не нужно приходить в банк лично, платеж можно выполнить в любое время); удобство работы (все операции производятся с персонального компьютера в привычной деловой обстановке); высокая скорость обработки платежей (банковский оператор не перепечатывает данные с бумажного оригинала, что дает возможность исключить ошибки ввода и сократить время обработки платежного документа); мониторинг состояния документа в процессе его обработки; получение сведений о движении средств по счетам.

Однако, несмотря на очевидные преимущества, электронные платежи в России пока не очень популярны, поскольку клиенты банков не уверены в их защищенности. Это, прежде всего, связано с распространенным мнением, что компьютерные сети легко может "взломать" какой-нибудь хакер. Этот миф прочно укоренился в сознании человека, а регулярно публикуемые в СМИ новости об атаках на очередной веб-сайт еще сильнее укрепляют это мнение. Но времена меняются, и электронные средства связи рано или поздно заменят личное присутствие плательщика, желающего сделать безналичный банковский перевод с одного счета на другой.

На мой взгляд, безопасность электронных банковских операций сегодня можно обеспечить. Гарантией этому служат современные методы криптографии, которые используются для защиты электронных платежных документов. В первую очередь это ЭЦП, соответствующая ГОСТ 34.10-94. С 1995 г. она успешно применяется в Банке России. Вначале он ввел систему межрегиональных электронных расчетов всего в нескольких регионах. Сейчас она охватывает все регионы Российской Федерации и представить без нее функционирование Банка России практически невозможно. Так стоит ли сомневаться в надежности ЭЦП, если ее использование проверено временем и уже, так или иначе, касается каждого гражданина нашей страны?

Электронно-цифровая подпись - гарантия безопасности. Согласно типовому договору между банком и клиентом наличие под электронным документом достаточного количества зарегистрированных ЭЦП уполномоченных лиц служит основанием для совершения банковских операций по счетам клиента. В Федеральном законе от 10.01.02 г. N 1-ФЗ "Об электронной цифровой подписи" определено, что ЭЦП должна формироваться и проверяться сертифицированным ФАПСИ программным обеспечением. Сертификация ЭЦП является гарантией того, что данная программа выполняет криптографические функции согласно нормативам ГОСТ и не совершает деструктивных действий на компьютере пользователя.

Чтобы проставить на электронный документ ЭЦП, необходимо иметь ее ключ, который может храниться на каком-нибудь ключевом носителе информации. Современные ключевые носители ("e-Token", "USB-drive", "Touch-Memory") по форме напоминают брелоки, и их можно носить в связке обычных ключей. В качестве носителя ключевой информации можно также использовать дискеты.

Каждый ключ ЭЦП служит аналогом собственноручной подписи уполномоченного лица. Если в организации бумажные "платежки" обычно подписывают директор и главный бухгалтер, то в электронной системе лучше всего сохранить тот же порядок и предусмотреть для уполномоченных лиц разные ключи ЭЦП. Впрочем, можно использовать и одну ЭЦП - данный факт необходимо отразить в договоре между банком и клиентом.

Ключ ЭЦП состоит из двух частей - закрытой и открытой. Открытая часть (открытый ключ) после генерации владельцем представляется в Удостоверяющий центр, роль которого обычно играет банк. Открытый ключ, сведения о его владельце, назначение ключа и другая информация подписываются ЭЦП Удостоверяющего центра. Таким образом, формируется сертификат ЭЦП, который нужно зарегистрировать в системе электронных расчетов банка.

Закрытая часть ключа ЭЦП (секретный ключ) ни при каких условиях не должна передаваться владельцем ключа другому лицу. Если секретный ключ был передан даже на короткое время другому лицу или оставлен где-нибудь без присмотра, считается, что ключ "скомпрометирован" (т.е. подразумевается вероятность копирования или нелегального использования ключа). Иначе говоря, в этом случае лицо, не являющееся владельцем ключа, получает возможность подписать несанкционированный руководством организации электронный документ, который банк примет к исполнению и будет прав, так как проверка ЭЦП покажет ее подлинность. Вся ответственность в данном случае ложится исключительно на владельца ключа. Действия владельца ЭЦП в этой ситуации должны быть аналогичны тем, которые предпринимаются при утере обычной пластиковой карты: этот человек должен сообщить в банк о "компрометации" (утере) ключа ЭЦП. Тогда банк заблокирует сертификат данной ЭЦП в своей платежной системе и злоумышленник не сможет воспользоваться своим незаконным приобретением.

Предотвратить нелегальное применение секретного ключа можно и с помощью пароля, который накладывается как на ключ, так и на некоторые виды ключевых носителей. Это способствует минимизации ущерба при утере, поскольку без пароля ключ становится недействительным и у владельца будет достаточно времени, чтобы сообщить банку о "компрометации" своей ЭЦП.

Рассмотрим, как клиент может воспользоваться услугами электронных платежей при условии, что в банке установлена система комплексной реализации электронных банковских услуг InterBank. Если клиент является частным предпринимателем либо руководит небольшой коммерческой фирмой и имеет доступ в Интернет, ему достаточно будет выбрать систему криптографической защиты (ЭЦП и шифрование), которую он хочет использовать. Клиент может установить сертифицированное программное обеспечение "КриптоПро CSP" либо ограничиться встроенной в Microsoft Windows системой Microsoft Base CSP.

Если клиент - крупная фирма с большим финансовым оборотом, то ему можно рекомендовать другую подсистему из состава InterBank - "Клиент Windows". С ее помощью клиент самостоятельно ведет базу данных по электронным документам и может подготавливать платежные поручения на своем компьютере, не используя сеанс связи с банком. Когда все нужные документы будут сформированы, клиент соединяется с банком по телефону или выделенной линии для обмена данными.

Еще один вид услуг, предоставляемый комплексом InterBank, - информирование клиента о состоянии его банковских счетов, курсах валют и передача других справочных данных через голосовую связь, факс или экран сотового телефона.

Удобный способ использования электронных расчетов - визирование платежных документов уполномоченными сотрудниками предприятия, которые находятся на значительном расстоянии друг от друга. Например, главный бухгалтер подготовил и подписал электронный платежный документ. Директор, будучи в данный момент в командировке в другом городе или в другой стране, может просмотреть этот документ, подписать его и отправить в банк. Все эти действия позволяет выполнить подсистема "Интернет-Клиент", к которой бухгалтер и директор предприятия подключатся через Интернет. Шифрование данных и аутентификация пользователя будут осуществляться одним из стандартных протоколов - SSL или TLS.

Итак, применение электронных платежей в бизнесе предоставляет значительные преимущества по сравнению с традиционным сервисом. Что же касается безопасности, то ее обеспечивают стандарт ЭЦП (ГОСТ 34.10-94), с одной стороны, и ответственность клиента за хранение ключа подписи - с другой. Рекомендации по использованию и хранению ключей ЭЦП клиент всегда может получить в банке, и если он будет им следовать, то надежность платежей гарантирована.

4. Безопасность персо нальных платежей физических лиц

Большинство систем безопасности в целях избегания потери персональных данных физических лиц требуют от пользователя подтверждения, что он именно тот, за кого себя выдает. Идентификация пользователя может быть проведена на основе того, что:

* он знает некую информацию (секретный код, пароль);

* он имеет некий предмет (карточку, электронный ключ, жетон);

* он обладает набором индивидуальных черт (отпечатки пальцев, форма кисти руки, тембр голоса, рисунок сетчатки глаза и т.п.);

* он знает, где находится или как подключается специализированный ключ.

Первый способ требует набора на клавиатуре определенной кодовой последовательности - персонального идентификационного номера (Personal identification number - PIN). Обычно это последовательность из 4-8 цифр, которую пользователь должен ввести при осуществлении транзакции.

Второй способ предполагает предъявление пользователем неких специфических элементов идентификации - кодов, считываемых из некопируемого электронного устройства, карточки или жетона.

В третьем способе пропуском служат индивидуальные особенности и физические характеристики личности человека. Всякому биометрическому продукту сопутствует довольно объемная база данных, хранящая соответствующие изображения или другие данные, применяемые при распознавании.

Четвертый способ предполагает особый принцип включения или коммутирования оборудования, который обеспечит его работу (этот подход используется достаточно редко).

В банковском деле наибольшее распространение получили средства идентификации личности, которые мы отнесли ко второй группе: некий предмет (карточку, электронный ключ, жетон). Естественно использование такого ключа происходит в сочетании со средствами и приемами идентификации, которые мы отнесли к первой группе: использование информации (секретный код, пароль).

Давайте более подробно разберемся со средствами идентификации личности в банковском деле.

Пластиковые карты.

В настоящее время выпущено более миллиарда карточек в различных странах мира . Наиболее известные из них:

Кредитные карточки Visa (более 350 млн. карточек) и MasterCard (200 млн. карточек);

Международные чековые гарантии Eurocheque и Posteheque;

Карточки для оплаты путешествий и развлечений American Express (60 млн. карточек) и Diners Club.

Магнитные карточки

Наиболее известны и давно используются в банковском деле в качестве средств идентификации пластиковые карточки с магнитной полосой (многие системы позволяют использовать обычные кредитные карточки). Для считывания необходимо провести карточкой (магнитной полосой) через прорезь ридера (считывателя). Обычно ридеры выполнены в виде внешнего устройства и подключаются через последовательный или универсальный порт компьютера. Выпускаются также ридеры, совмещенные с клавиатурой. Однако у таких карт можно выделить преимущества и недостатки их использования.

* магнитная карточка может быть легко скопирована на доступном оборудовании;

* загрязнение, небольшое механическое воздействие на магнитный слой, нахождение карты вблизи сильных источников электромагнитных полей приводят к повреждению карты.

Преимущества:

* расходы на выпуск и обслуживание таких карт невелики;

* индустрия магнитных пластиковых карт развивалась в течение нескольких десятилетий и на настоящий момент более 90% карт - это пластиковые карты;

* применение магнитных карточек оправдано при очень большом числе пользователей и частой сменяемости карт (например, для доступа в гостиничный номер).

Proximity-карты

Фактически - это развитие идеи электронных жетонов. Это бесконтактная карточка (но может быть и брелок или браслет), содержащая чип с уникальным кодом или радиопередатчик. Считыватель оснащен специальной антенной, постоянно излучающей электромагнитную энергию. При попадании карточки в это поле происходит запитывание чипа карточки, и карта посылает считывателю свой уникальный код. Для большинства считывателей расстояние устойчивого срабатывания составляет от нескольких миллиметров до 5-15 см.

Смарт-карты

В отличие от магнитной карты смарт-карта содержит микропроцессор и контактные площадки для подачи питания и обмена информацией со считывателем. Смарт-карта имеет очень высокую степень защищенности. Именно с ней до сих пор связаны основные перспективы развития такого рода ключей и надежды многих разработчиков систем защиты.

Технология смарт-карт существует и развивается уже около двадцати лет, но достаточно широкое распространение получает только последние несколько лет. Очевидно, что смарт-карта, благодаря большому объему памяти и функциональным возможностям, может выступать и в роли ключа, и в роли пропуска и одновременно являться банковской карточкой. В реальной жизни такое совмещение функций реализуют достаточно редко.

Для работы со смарт-картой компьютер должен быть оснащен специальным устройством: встроенным или внешним картридером. Внешние картридеры могут подключаться к различным портам компьютера (последовательному, параллельному или клавиатурному порту PS/2, PCMCIA-слоту, SCSI или USB).

Многие карты предусматривают различные виды (алгоритмы) аутентификации. В процессе электронного узнавания принимают участие три стороны: пользователь карты, карта, терминальное устройство (устройство считывания карты). Аутентификация необходима для того, чтобы пользователь, терминальное устройство, в которое вставлена карта или программное приложение, которому сообщаются параметры карты, могли выполнять определенные действия с данными, находящимися на карге. Правила доступа назначаются разработчиком приложения при создании структур данных на карте.

Электронные жетоны

Сейчас в различных системах, требующих идентификации пользователя или владельца, в качестве пропусков широко используются электронные жетоны (или так называемые token-устройства). Известный пример такого жетона - электронная "таблетка" (рис. 8.4). "Таблетка" выполнена в круглом корпусе из нержавеющей стали и содержит чип с записанным в него уникальным номером. Аутентификация пользователя осуществляется после прикосновения такой "таблетки" к специальному контактному устройству, обычно подключаемому к последовательному порту компьютера. Таким образом, можно разрешать доступ в помещение, но можно и разрешать работу на компьютере или блокировать работу на компьютере несанкционированных пользователей.

Для удобства "таблетка" может закрепляться на брелоке или запрессовываться в пластиковую оболочку.

В настоящее время эти устройства широко используются для управления электромеханическими замками (двери помещений, ворота, двери подъездов и т.п.). Однако их "компьютерное" использование также достаточно эффективно.

Все три перечисленных группы ключей являются пассивными по своей сути. Они не выполняют никаких активных действий и не участвуют в процессе аутентификации, а только отдают хранящийся код. В этом заключается их основная область.

Жетоны обладают несколько лучшей износоустойчивостью, чем магнитные карты.

Заключение

Таким образом, проблема защиты банковской информации слишком серьезна, чтобы банк мог пренебречь ею. В последнее время в отечественных банках наблюдается большое число случаев нарушения уровня секретности. Примером является появление в свободном доступе различных баз данных на компакт-дисках о коммерческих компаниях и частных лицах. Теоретически, законодательная база для обеспечения защиты банковской информации существует в нашей стране, однако ее применение далеко от совершенства. Пока не было случаев, когда банк был наказан за разглашение информации, когда какая-либо компания была наказана за осуществление попытки получения конфиденциальной информации.

Защита информации в банке - это задача комплексная, которая не может решаться только в рамках банковских программ. Эффективная реализация защиты начинается с выбора и конфигурирования операционных систем и сетевых системных средств, поддерживающих функционирование банковских программ. Среди дисциплинарных средств обеспечения защиты следует выделить два направления: с одной стороны - это минимально достаточная осведомленность пользователей системы об особенностях построения системы; с другой - наличие многоуровневых средств идентификации пользователей и контроля их прав.

В разные моменты своего развития АБС имели различные составляющие защиты. В российских условиях большинство банковских систем по уровню защиты следует отнести к системам первого и второго уровня сложности защиты:

1-й уровень - использование программных средств, предоставляемых стандартными средствами операционных систем и сетевых программ;

2-й уровень - использование программных средств обеспечения безопасности, кодирования информации, кодирования доступа.

Обобщая все вышесказанное, я пришла к выводу, что работая в банковской сфере, необходимо быть уверенным в том, что корпоративная и коммерческая информация останутся закрытыми. Однако следует заботиться о защите не только документации и иной производственной информации, но и сетевых настроек и параметров функционирования сети на машине.

Задача защиты информации в банке ставится значительно жестче, нежели в других организациях. Решение такой задачи предполагает планирование организационных, системных мероприятий, обеспечивающих защиту. При этом, планируя защиту, следует соблюдать меру между необходимым уровнем защиты и тем ее уровнем, когда защита начинает мешать нормальной работе персонала.

Приложение 1

Список персонала типичной АСОИБ и соответствующая степень риска от каждого из них:

1. Наибольший риск: системный контролер и администратор безопасности.

2. Повышенный риск: оператор системы, оператор ввода и подготовки данных, менеджер обработки, системный программист.

3. Средний риск: инженер системы, менеджер программного обеспечения.

4. Ограниченный риск: прикладной программист, инженер или оператор по связи, администратор баз данных, инженер по оборудованию, оператор периферийного оборудования, библиотекарь системных магнитных носителей, пользователь-программист, пользователь-операционист.

5. Низкий риск: инженер по периферийному оборудованию, библиотекарь магнитных носителей пользователей, пользователь сети.

Рис. 1 Магнитная карточка

Рис. 2 Proximity-карта

Рис. 4 Электронные жетоны

Приложение 2

Статистика потерь для Visa и MasterCard
	Доля в общих потерях, %
Мошенничество продавца
Украденные карты
Подделка карт
Изменение рельефа карты
Потерянные карты
Неправильное применение
Мошенничество по телефону
Мошенничество при пересылке почтой
Почтовое мошенничество
Кражи при производстве пересылке
Сговор с владельцем карточки

Размещено на Allbest.ru

Подобные документы

Виды умышленных угроз безопасности информации. Методы и средства защиты информации. Методы и средства обеспечения безопасности информации. Криптографические методы защиты информации. Комплексные средства защиты.

реферат , добавлен 17.01.2004

Проблема защиты информации. Особенности защиты информации в компьютерных сетях. Угрозы, атаки и каналы утечки информации. Классификация методов и средств обеспечения безопасности. Архитектура сети и ее защита. Методы обеспечения безопасности сетей.

дипломная работа , добавлен 16.06.2012

Методы и средства защиты информационных данных. Защита от несанкционированного доступа к информации. Особенности защиты компьютерных систем методами криптографии. Критерии оценки безопасности информационных компьютерных технологий в европейских странах.

контрольная работа , добавлен 06.08.2010

Принципы безопасности электронных и персональных платежей физических лиц в банках. Реализация технологий передачи и защиты информации; системный подход к разработке программно-технической среды: кодирование информации и доступа; шифрование, криптография.

реферат , добавлен 18.05.2013

Информационная безопасность телекоммуникационных систем. Проблемы, связанных с информационной безопасностью. Технология анализа защищённости, обнаружения воздействия нарушителя, защиты информации от НСД, антивирусной защиты. Формирование банка данных.

реферат , добавлен 27.02.2009

Важнейшие стороны обеспечения информационной безопасности. Технические средства обработки информации, ее документационные носители. Типовые пути несанкционированного получения информации. Понятие об электронной подписи. Защита информации от разрушения.

реферат , добавлен 14.07.2015

Способы и средства защиты информации от несанкционированного доступа. Особенности защиты информации в компьютерных сетях. Криптографическая защита и электронная цифровая подпись. Методы защиты информации от компьютерных вирусов и от хакерских атак.

реферат , добавлен 23.10.2011

Безопасность информации, компоненты системы защиты. Дестабилизирующие факторы. Классификация угрозы безопасности информации по источнику появления, по характеру целей. Способы их реализации. Уровни защиты информации. Этапы создания систем защиты.

презентация , добавлен 22.12.2015

Развитие новых информационных технологий и всеобщая компьютеризация. Информационная безопасность. Классификация умышленных угроз безопасности информации. Методы и средства защиты информации. Криптографические методы защиты информации.

курсовая работа , добавлен 17.03.2004

Основные понятия защиты информации и информационной безопасности. Классификация и содержание, источники и предпосылки появления возможных угроз информации. Основные направления защиты от информационного оружия (воздействия), сервисы сетевой безопасности.

Банк данных является частью любой автоматизированной системы такой как САПР, АСУП, АСУТП и т.д. Задачей банка данных является поддержание информационной модели в крайне важно м состоянии и обеспечении запросов пользователей. Это требует, чтобы в банке данных выполнялись три операции: включить, удалить, изменить. Эти операции обеспечивают хранение и модификацию данных.

С развитие автоматизированной системы изменяется состав объектов предметной области, изменяются связи между ними. Все это должно находить отражение в информационной системе. Т.о., организация банка данных должна быть гибкой. Покажем место банка данных в составе автоматизированной системы.

При проектировании банка данных крайне важно учитывать два аспекта обеспечения запросов пользователя.

1) Определение границ конкретной предметной области и выработка информационной модели. Отметим, что банк данных должен обеспечивать информацией всю систему как в настоящем, так и в будущем с учетом ее развития.

2) Разработка банка данных должна ориентироваться на эффективное обслуживание запросов пользователей. В связи с этим крайне важно анализировать типы и виды запросов пользователей. Также крайне важно анализировать функциональные задачи автоматизированной системы, для которой данный банк будет являться источником информации.

Пользователи банка данных различаются по следующим признакам:

· по признаку постоянства общения с банком.

Пользователи : постоянные и разовые ;

· по уровню допуска. Часть данных должна быть защищена;

· по форме представления запросов. Запросы могут давать программисты, непрограммисты, пользователи задачи.

В связи с большой разнородностью пользователей в банке данных предусматривается специальное средство, позволяющее привести все запросы к единой терминологии. Это средство принято называть словарь данных.

Выделим основные требования , которым должен отвечать банк данных со стороны внешних пользователей . Банк данных должен:

1. Обеспечивать возможность хранения и модификации больших объёмов многоаспектной информации. Удовлетворять сегодняшним и вновь возникающим требованиям со стороны пользователя.

Обеспечивать заданные уровни достоверности и непротиворечивости хранимой информации.

3. Обеспечивать доступ к данным только тех пользователей, которые имеют соответствующие полномочия.

4. Обеспечивать возможность поиска информации по произвольной группе признаков.

5. Удовлетворять заданным требованиям производительности при обработке запросов.

6. Иметь возможность реорганизации и расширения при изменении границ предметной области.

7. Обеспечивать выдачу информации пользователю в различной форме.

8. Обеспечивать возможность одновременного обслуживания большого числа внешних пользователей.

Для удовлетворения этих требований крайне важно вводить централизованное управление данными.

Выделим основные преимущества централизованного управления данными по сравнению с ранее используемым обеспечением.

1) Сокращение избыточности хранимых данных. Данные, которые используются несколькими приложениями структурируются (интегрируются) и хранятся в единственном экземпляре.

2) Устранение противоречивости хранимых данных. В связи с безизбыточностью данных устраняется ситуация, когда при фактическом изменении данного оно кажется измененным не во всех записях.

3) Многоаспектное использование данных при однократном их вводе.

4) Комплексная оптимизация на базе анализа требований пользователя. Выбираются такие структуры данных, которые обеспечивают наилучшее обслуживание.

5) Обеспечение возможности стандартизации. При этом облегчается обмен данными с другими автоматизированными системами, а также процедуры контроля и восстановления данными.

6) Обеспечение возможности санкционированного доступа к данным, ᴛ.ᴇ. наличие механизмов защиты данных.

Следует подчеркнуть, что основной проблемой централизованного управления данными является обеспечение независимости прикладных программ от данных. Это объясняется тем, что интеграция данных, оптимизация структур данных требуют изменения хранимого представления данных и метода доступа к данным.

Вывод : Главной отличительной чертой банка данных является наличие централизованного управления данными.

Глава 1. Особенности информационной безопасности банков.

Приказ Росстандарта от 28 марта 2018 года № 156-ст «Об утверждении национального стандарта Российской Федерации»

Приказ Росстандарта от 8 августа 2017 года № 822-ст «Об утверждении национального стандарта Российской Федерации»

Основные цели внедрения Стандарта «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» СТО БР ИББС-1.0 (далее — Стандарт):

повышение доверия к банковской системе Российской Федерации;
повышение стабильности функционирования организаций банковской системы Российской Федерации и на этой основе — стабильности функционирования банковской системы Российской Федерации в целом;
достижение адекватности мер по защите от реальных угроз информационной безопасности;
предотвращение и(или) снижение ущерба от инцидентов информационной безопасности.

Основные задачи Стандарта:

установление единых требований по обеспечению информационной безопасности организаций банковской системы Российской Федерации;
повышение эффективности мероприятий по обеспечению и поддержанию информационной безопасности организаций банковской системы Российской Федерации.

Защита информации в электронных платежных Internet-системах

Платежная Internet-система – это система проведения расчетов между финансовыми, бизнес-организациями и Internet-пользователями в процессе покупки/продажи товаров и услуг через Internet. Именно платежная система позволяет превратить службу по обработке заказов или электронную витрину в полноценный магазин со всеми стандартными атрибутами: выбрав товар или услугу на сайте продавца, покупатель может осуществить платеж, не отходя от компьютера.

В системе электронной коммерции платежи совершаются при соблюдении ряда условий:

1. Соблюдение конфиденциальности. При проведении платежей через Internet покупатель хочет, чтобы его данные (например, номер кредитной карты) были известны только организациям, имеющим на это законное право.

2. Сохранение целостности информации. Информация о покупке никем не может быть изменена.

3. Аутентификация. Покупатели и продавцы должны быть уверены, что все стороны, участвующие в сделке, являются теми, за кого они себя выдают.

4. Средства оплаты. Возможность оплаты любыми доступными покупателю платежными средствами.

6. Гарантии рисков продавца. Осуществляя торговлю в Internet, продавец подвержен множеству рисков, связанных с отказами от товара и недобросовестностью покупателя. Величина рисков должна быть согласована с провайдером платежной системы и другими организациями, включенными в торговые цепочки, посредством специальных соглашений.

7. Минимизация платы за транзакцию. Плата за обработку транзакций заказа и оплаты товаров, естественно, входит в их стоимость, поэтому снижение цены транзакции увеличивает конкурентоспособность. Важно отметить, что транзакция должна быть оплачена в любом случае, даже при отказе покупателя от товара.

Все указанные условия должны быть реализованы в платежной Internet‑системе, которая, в сущности, представляют собой электронные версии традиционных платежных систем.

Таким образом, все платежные системы делятся на:

Дебетовые (работающие с электронными чеками и цифровой наличностью);

Кредитные (работающие с кредитными карточками).

Дебетовые системы

Дебетовые схемы платежей построены аналогично их оффлайновым прототипам: чековым и обычным денежным. В схему вовлечены две независимые стороны: эмитенты и пользователи. Под эмитентом понимается субъект, управляющий платежной системой. Он выпускает некие электронные единицы, представляющие платежи (например, деньги на счетах в банках).

Информационная безопасность организаций банковской системы Российской Федерации

Пользователи систем выполняют две главные функции. Они производят и принимают платежи в Internet, используя выпущенные электронные единицы.

Электронные чеки являются аналогом обычных бумажных чеков. Это предписания плательщика своему банку перечислить деньги со своего счета на счет получателя платежа. Операция происходит при предъявлении получателем чека в банке. Основных отличий здесь два. Во-первых, выписывая бумажный чек, плательщик ставит свою настоящую подпись, а в онлайновом варианте — подпись электронная. Во-вторых, сами чеки выдаются в электронном виде.

Проведение платежей проходит в несколько этапов:

1. Плательщик выписывает электронный чек, подписывает электронной подписью и пересылает его получателю. В целях обеспечения большей надежности и безопасности номер чекового счета можно закодировать открытым ключом банка.

2. Чек предъявляется к оплате платежной системе. Далее, (либо здесь, либо в банке, обслуживающем получателя) происходит проверка электронной подписи.

3. В случае подтверждения ее подлинности поставляется товар или оказывается услуга. Со счета плательщика деньги перечисляются на счет получателя.

Простота схемы проведения платежей (рис. 43), к сожалению, компенсируется сложностями ее внедрения из-за того, что чековые схемы пока не получили распространения и не имеется сертификационных центров для реализации электронной подписи.

В электронной цифровой подписи (ЭЦП) используют систему шифрования с открытым ключом. При этом создается личный ключ для подписи и открытый ключ для проверки. Личный ключ хранится у пользователя, а открытый может быть доступен всем. Самый удобный способ распространения открытых ключей — использование сертификационных центров. Там хранятся цифровые сертификаты, содержащие открытый ключ и информацию о владельце. Это освобождает пользователя от обязанности самому рассылать свой открытый ключ. Кроме того, сертификационные центры обеспечивают аутентификацию, гарантирующую, что никто не сможет сгенерировать ключи от лица другого человека.

Электронные деньги полностью моделируют реальные деньги. При этом, эмиссионная организация — эмитент — выпускает их электронные аналоги, называемые в разных системах по-разному (например, купоны). Далее, они покупаются пользователями, которые с их помощью оплачивают покупки, а затем продавец погашает их у эмитента. При эмиссии каждая денежная единица заверяется электронной печатью, которая проверяется выпускающей структурой перед погашением.

Одна из особенностей физических денег — их анонимность, то есть на них не указано, кто и когда их использовал. Некоторые системы, по аналогии, позволяют покупателю получать электронную наличность так, чтобы нельзя было определить связь между ним и деньгами. Это осуществляется с помощью схемы слепых подписей.

Стоит еще отметить, что при использовании электронных денег отпадает необходимость в аутентификации, поскольку система основана на выпуске денег в обращение перед их использованием.

На рисунке 44 приведена схема платежа с помощью электронных денег.

Механизм осуществления платежа следующий:

1. Покупатель заранее обменивает реальные деньги на электронные. Хранение наличности у клиента может осуществляться двумя способами, что определяется используемой системой:

На жестком диске компьютера;

На смарт-картах.

Разные системы предлагают разные схемы обмена. Некоторые открывают специальные счета, на которые перечисляются средства со счета покупателя в обмен на электронные купюры. Некоторые банки могут сами эмитировать электронную наличность. При этом она эмитируется только по запросу клиента с последующим ее перечислением на компьютер или карту этого клиента и снятием денежного эквивалента с его счета. При реализации же слепой подписи покупатель сам создает электронные купюры, пересылает их в банк, где при поступлении реальных денег на счет они заверяются печатью и отправляются обратно клиенту.

Наряду с удобствами такого хранения, у него имеются и недостатки. Порча диска или смарт-карты оборачивается невозвратимой потерей электронных денег.

2. Покупатель перечисляет на сервер продавца электронные деньги за покупку.

3. Деньги предъявляются эмитенту, который проверяет их подлинность.

4. В случае подлинности электронных купюр счет продавца увеличивается на сумму покупки, а покупателю отгружается товар или оказывается услуга.

Одной из важных отличительных черт электронных денег является возможность осуществлять микроплатежи. Это связано с тем, что номинал купюр может не соответствовать реальным монетам (например, 37 копеек).

Эмитировать электронные наличные могут как банки, так и небанковские организации. Однако до сих пор не выработана единая система конвертирования разных видов электронных денег. Поэтому только сами эмитенты могут гасить выпущенную ими электронную наличность. Кроме того, использование подобных денег от нефинансовых структур не обеспечено гарантиями со стороны государства. Однако, малая стоимость транзакции делает электронную наличность привлекательным инструментом платежей в Интернет.

Кредитные системы

Internet-кредитные системы являются аналогами обычных систем, работающих с кредитными картами. Отличие состоит в проведении всех транзакций через Internet, и как следствие, в необходимости дополнительных средств безопасности и аутентификации.

В проведении платежей через Internet с помощью кредитных карт участвуют:

1. Покупатель. Клиент, имеющий компьютер с Web-браузером и доступом в Internet.

2. Банк-эмитент. Здесь находится расчетный счет покупателя. Банк-эмитент выпускает карточки и является гарантом выполнения финансовых обязательств клиента.

3. Продавцы. Под продавцами понимаются сервера Электронной Коммерции, на которых ведутся каталоги товаров и услуг и принимаются заказы клиентов на покупку.

4. Банки-эквайеры. Банки, обслуживающие продавцов. Каждый продавец имеет единственный банк, в котором он держит свой расчетный счет.

5. Платежная система Internet. Электронные компоненты, являющиеся посредниками между остальными участниками.

6. Традиционная платежная система. Комплекс финансовых и технологических средств для обслуживания карт данного типа. Среди основных задач, решаемых платежной системой, — обеспечение использования карт как средства платежа за товары и услуги, пользование банковскими услугами, проведение взаимозачетов и т.д. Участниками платежной системы являются физические и юридические лица, объединенные отношениями по использованию кредитных карт.

7. Процессинговый центр платежной системы. Организация, обеспечивающая информационное и технологическое взаимодействие между участниками традиционной платежной системы.

8. Расчетный банк платежной системы. Кредитная организация, осуществляющая взаиморасчеты между участниками платежной системы по поручению процессингового центра.

Общая схема платежей в такой системе приведена на рисунке 45.

1. Покупатель в электронном магазине формирует корзину товаров и выбирает способ оплаты "кредитная карта".

Через магазин, то есть параметры карты вводятся непосредственно на сайте магазина, после чего они передаются платежной системе Internet (2а);

На сервере платежной системы (2б).

Очевидны преимущества второго пути.

В этом случае сведения о картах не остаются в магазине, и, соответственно, снижается риск получения их третьими лицами или обмана продавцом. И в том, и в другом случае при передаче реквизитов кредитной карты, все же существует возможность их перехвата злоумышленниками в сети. Для предотвращения этого данные при передаче шифруются.

Шифрование, естественно, снижает возможности перехвата данных в сети, поэтому связи покупатель/продавец, продавец/платежная система Internet, покупатель/платежная система Internet желательно осуществлять с помощью защищенных протоколов. Наиболее распространенными из них на сегодняшний день является протокол SSL (Secure Sockets Layer), а также стандарт защищенных электронных транзакций SET (Secure Electronic Transaction), призванный со временем заменить SSL при обработке транзакций, связанных с расчетами за покупки по кредитным картам в Internet.

3. Платежная система Internet передает запрос на авторизацию традиционной платежной системе.

4. Последующий шаг зависит от того, ведет ли банк-эмитент онлайновую базу данных (БД) счетов. При наличии БД процессинговый центр передает банку-эмитенту запрос на авторизацию карты (см. введение или словарь) (4а) и затем, (4б) получает ее результат. Если же такой базы нет, то процессинговый центр сам хранит сведения о состоянии счетов держателей карт, стоп-листы и выполняет запросы на авторизацию. Эти сведения регулярно обновляются банками-эмитентами.

Магазин оказывает услугу, или отгружает товар (8а);

Процессинговый центр передает в расчетный банк сведения о совершенной транзакции (8б). Деньги со счета покупателя в банке-эмитенте перечисляются через расчетный банк на счет магазина в банке-эквайере.

Для проведения подобных платежей в большинстве случаев необходимо специальное программное обеспечение.

Оно может поставляться покупателю, (называемое электронным кошельком), продавцу и его обслуживающему банку.

Предыдущая25262728293031323334353637383940Следующая

ПОСМОТРЕТЬ ЕЩЕ:

В нашей жизни Интернет — это не только средство для общения, развлечения и отдыха, но и работы, а также осуществления электронных платежей. Многие из нас пользуются услугами интернет-банкинга и делают покупки в онлайн-магазинах

Основные угрозы для онлайн-операций

Несмотря на защищенность систем интернет-банкингов и онлайн-магазинов — используются такие методы защиты, как двойная аутентификация, системы одноразовых динамических SMS-паролей, дополнительные список одноразовых паролей или аппаратные ключи, защищенное протоколом SSL-соединение и так далее — современные методы атак позволяют обходить даже самые надежные защитные механизмы.

На сегодня у злоумышленников можно выделить три наиболее распространенных подхода для атаки на финансовые данные интернет-пользователей:

— заражение компьютера жертвы троянским программами (кейлоггеры, скринлоггеры и т.д.), использующими для перехвата вводимых данных;
— использование методов социальной инженерии — фишинговые атаки через электронную почту, веб-сайты, социальные сети и т.д;
— технологические атаки (сниффинг, подмена DNS/Proxy-серверов, подмена сертификатов и т.д.).

Как защитить интернет-банкинг?

Пользователь не должен надеяться только на банк, а использовать защитные программы для усиления безопасности электронных платежей в Интернете.

Современные решения Internet Security помимо функций антивируса предлагают инструменты безопасных платежей (изолированные виртуальные среды для онлайн-операций), а также сканер уязвимостей, веб-защиту с проверкой ссылок, блокировку вредоносных скриптов и всплывающих окон, защиту данных от перехвата (антикейлоггеры), виртуальную клавиатуру.

Среди комплексных решений с отдельной функцией защиты онлайн-платежей можно выделить Kaspersky Internet Security и компонент «Безопасные платежи», avast!

Информационная безопасность в банковской сфере

Internet Security с avast! SafeZone и Bitdefender Internet Security с Bitdefender Safepay. Данные продукты позволяют не беспокоиться о дополнительной защите.

Если у вас другой антивирус, можно присмотреться к средствам дополнительной защиты. Среди них: Bitdefender Safepay (изолированный веб-браузер), Trusteer Rapport и HitmanPro.Alert для защиты браузера от атак, плагины и приложения Netcraft Extension, McAfee SiteAdvisor, Adguard для защиты от фишинга.

Не стоит забывать о фаерволе и VPN-клиенте, если приходится выполнять финансовые операции при подключении к открытым беспроводным Wi-Fi сетям в общественных местах. Например, CyberGhost VPN использует шифрование трафика AES 256-bit, что исключает использование данных злоумышленником, даже в случае перехвата.

А какие методы защиты онлайн-платежей используете вы? Поделитесь своим опытом в комментариях.

Стратегия информационной безопасности банков весьма сильно отличается от аналогичных стратегий других компаний и организаций. Это обусловлено прежде всего специфическим характером угроз, а также публичной деятельностью банков, которые вынуждены делать доступ к счетам достаточно легким с целью удобства для клиентов.

Информационная безопасность банка должна учитывать следующие специфические факторы:

1. Хранимая и обрабатываемая в банковских системах информация представляет собой реальные деньги. На основании информации компьютера могут производится выплаты, открываться кредиты, переводиться значительные суммы. Вполне понятно, что незаконное манипулирование с такой информацией может привести к серьезным убыткам. Эта особенность резко расширяет круг преступников, покушающихся именно на банки (в отличие от, например, промышленных компаний, внутренняя информация которых мало кому интересна).

Преступления в банковской сфере также имеют свои особенности :

Многие преступления, совершенные в финансовой сфере остаются неизвестными для широкой публики в связи с тем, что руководители банков не хотят тревожить своих акционеров, боятся подвергнуть свою организацию новым атакам, опасаются подпортить свою репутацию надежного хранилища средств и, как следствие, потерять клиентов.

Как правило, злоумышленники обычно используют свои собственные счета, на который переводятся похищенные суммы. Большинство преступников не знают, как «отмыть» украденные деньги. Умение совершить преступление и умение получить деньги - это не одно и то же.

Большинство компьютерных преступлений - мелкие. Ущерб от них лежит в интервале от $10.000 до $50.000.

Успешные компьютерные преступления, как правило, требуют большого количества банковских операций (до нескольких сотен). Однако крупные суммы могут пересылаться и всего за несколько транзакций.

Большинство злоумышленников - клерки. Хотя высший персонал банка также может совершать преступления и нанести банку гораздо больший ущерб - такого рода случаи единичны.

Компьютерные преступления не всегда высокотехнологичны. Достаточно подделки данных, изменения параметров среды АСОИБ и т.д., а эти действия доступны и обслуживающему персоналу.

Многие злоумышленники объясняют свои действия тем, что они всего лишь берут в долг у банка с последующим возвратом. Впрочем «возврата», как правило, не происходит.

Специфика защиты автоматизированных систем обработки информации банков (АСОИБ) обусловлена особенностями решаемых ими задач:

Как правило АСОИБ обрабатывают большой поток постоянно поступающих запросов в реальном масштабе времени, каждый из которых не требует для обработки многочисленных ресурсов, но все вместе они могут быть обработаны только высокопроизводительной системой;

В АСОИБ хранится и обрабатывается конфиденциальная информация, не предназначенная для широкой публики. Ее подделка или утечка могут привести к серьезным (для банка или его клиентов) последствиям. Поэтому АСОИБ обречены оставаться относительно закрытыми, работать под управлением специфического программного обеспечения и уделять большое внимание обеспечению своей безопасности;

Другой особенностью АСОИБ является повышенные требования к надежности аппаратного и программного обеспечения. В силу этого многие современные АСОИБ тяготеют к так называемой отказоустойчивой архитектуре компьютеров, позволяющей осуществлять непрерывную обработку информации даже в условиях различных сбоев и отказов.

Можно выделить два типа задач, решаемых АСОИБ:

1. Аналитические. К этому типу относятся задачи планирования, анализа счетов и т.д. Они не являются оперативными и могут требовать для решения длительного времени, а их результаты могут оказать влияние на политику банка в отношении конкретного клиента или проекта. Поэтому подсистема, с помощью которой решаются аналитические задачи, должна быть надежно изолирована от основной системы обработки информации. Для решения такого рода задач обычно не требуется мощных вычислительных ресурсов, обычно достаточно 10-20% мощности всей системы. Однако ввиду возможной ценности результатов их защита должна быть постоянной.

2. Повседневные. К этому типу относятся задачи, решаемые в повседневной деятельности, в первую очередь выполнение платежей и корректировка счетов. Именно они и определяют размер и мощность основной системы банка; для их решения обычно требуется гораздо больше ресурсов, чем для аналитических задач. В то же время ценность информации, обрабатываемой при решении таких задач, имеет временный характер. Постепенно ценность информации, например, о выполнении какого-либо платежа, становиться не актуальной. Естественно, это зависит от многих факторов, как-то: суммы и времени платежа, номера счета, дополнительных характеристик и т.д. Поэтому, обычно бывает достаточным обеспечить защиту платежа именно в момент его осуществления. При этом защита самого процесса обработки и конечных результатов должна быть постоянной.

Каким же мерам защиты систем обработки информации отдают предпочтение зарубежные специалисты? На этот вопрос можно ответить, используя результаты опроса, проведенного Datapro Information Group в 1994 году среди банков и финансовых организаций :

Сформулированную политику информационной безопасности имеют 82% опрошенных. По сравнению с 1991 годом процент организаций, имеющих политику безопасности, увеличился на 13%.

Еще 12% опрошенных планируют разработать политику безопасности. Четко выражена следующая тенденция: организации с большим числом персонала предпочитают иметь разработанную политику безопасности в большей степени, чем организации с небольшим количеством персонала. Например, по данным этого опроса, всего лишь 66% организаций, с числом сотрудников менее 100 человек имеют политику безопасности, тогда как для организаций с числом сотрудников более 5000 человек доля таких организаций составляет 99%.

В 88% организаций, имеющих политику информационной безопасности, существует специальное подразделение, которое отвечает за ее реализацию. В тех организациях, которые не содержат такое подразделение, эти функции, в основном, возложены на администратора системы (29%), на менеджера информационной системы (27%) или на службу физической безопасности (25%). Это означает, что существует тенденция выделения сотрудников, отвечающих за компьютерную безопасность, в специальное подразделение.

В плане защиты особое внимание уделяется защите компьютерных сетей (90%), больших ЭВМ (82%), восстановлению информации после аварий и катастроф (73%), защите от компьютерных вирусов (72%), защите персональных ЭВМ (69%).

Можно сделать следующие выводы об особенностях защиты информации в зарубежных финансовых системах :

Главное в защите финансовых организаций - оперативное и по возможности полное восстановление информации после аварий и сбоев. Около 60% опрошенных финансовых организаций имеют план такого восстановления, который ежегодно пересматривается в более чем 80% из них. В основном, защита информации от разрушения достигается созданием резервных копий и их внешним хранением, использованием средств бесперебойного электропитания и организацией «горячего» резерва аппаратных средств.

Следующая по важности для финансовых организаций проблема - это управление доступом пользователей к хранимой и обрабатываемой информации. Здесь широко используются различные программные системы управления доступом, которые иногда могут заменять и антивирусные программные средства. В основном используются приобретенные программные средства управления доступом. Причем в финансовых организациях особое внимание уделяют такому управлению пользователей именно в сети. Однако сертифицированные средства управления доступом встречаются крайне редко (3%). Это можно объяснить тем, что с сертифицированными программными средствами трудно работать и они крайне дороги в эксплуатации. Это объясняется тем, что параметры сертификации разрабатывались с учетом требований, предъявляемым к военным системам.

К отличиям организации защиты сетей ЭВМ в финансовых организациях можно отнести широкое использование стандартного (т.е. адаптированного, но не специально разработанного для конкретной организации) коммерческого программного обеспечения для управления доступом к сети (82%), защита точек подключения к системе через коммутируемые линии связи (69%). Скорее всего это связано с большей распространенностью средств телекоммуникаций в финансовых сферах и желание защититься от вмешательства извне. Другие способы защиты, такие как применение антивирусных средств, оконечное и канальное шифрование передаваемых данных, аутентификация сообщений применяются примерно одинаково и, в основном (за исключением антивирусных средств), менее чем в 50% опрошенных организаций.

Большое внимание в финансовых организациях уделяется физической защите помещений, в которых расположены компьютеры (около 40%). Это означает, что защита ЭВМ от доступа посторонних лиц решается не только с помощью программных средств, но и организационно-технических (охрана, кодовые замки и т.д.).

Шифрование локальной информации применяют чуть более 20% финансовых организаций. Причинами этого являются сложность распространения ключей, жесткие требования к быстродействию системы, а также необходимость оперативного восстановления информации при сбоях и отказах оборудования.

Значительно меньшее внимание в финансовых организациях уделяется защите телефонных линий связи (4%) и использованию ЭВМ, разработанных с учетом требования стандарта Tempest (защита от утечки информации по каналам электромагнитных излучений и наводок). В государственных организациях решению проблемы противодействия получению информации с использованием электромагнитных излучений и наводок уделяют гораздо большее внимание.

Анализ статистики позволяет сделать важный вывод: защита финансовых организаций (в том числе и банков) строится несколько иначе, чем обычных коммерческих и государственных организаций. Следовательно для защиты АСОИБ нельзя применять те же самые технические и организационные решения, которые были разработаны для стандартных ситуаций. Нельзя бездумно копировать чужие системы - они разрабатывались для иных условий.

Какие основные проблемы в области обеспечения безопасности вы выделяете на настоящий момент как в аспекте информационной безопасности, так и с точки зрения обеспечения безопасности бизнеса?
Андрей Богословских, директор Дирекции информационных технологий Росбанка: Нацеленность хакерского сообщества на создание вредоносного кода, адаптированного к технологиям систем дистанционного банковского обслуживания. Кража паролей и ключевой информации с зараженных компьютеров клиентов.
Константин Меденцев, вице-президент по информационным технологиям Московского Банка Реконструкции и Развития: Основной задачей информационной безопасности является обеспечение и совершенствование защиты информационной инфраструктуры. Информационные технологии все шире используются и в криминальных целях. Технологии становятся более доступными, и стоимость атак на информационные системы снижается, тогда как защита электронных информационных ресурсов обходится все дороже. С помощью информационных систем кредитным организациям удается существенно снизить издержки на обслуживание клиентов, что, в свою очередь, ведет к увеличению прибыли. Однако механизмы исполнения установленных регуляторами требований ведут к значительному удорожанию банковского обслуживания. Чем выше уровень защиты данных, тем, разумеется, труднее их получить, так как усложняется архитектура соответствующих автоматизированных систем. В этой связи важно найти интегрированный подход или алгоритм действий, реализация которого позволит выполнить законные требования, но при этом не скажется отрицательно на деятельности банка и не приведет к удорожанию продуктов и услуг для потребителя.
Владилен Новоселецкий, начальник Управления информационной безопасности БИНБАНКа: Главная проблема - ограниченность финансирования ИБ. Она во многом определяет все остальные проблемы.

Вторая проблема - выбор для бизнеса той степени свободы, которая, с одной стороны, не позволит злоумышленникам разорить бизнес, с другой - не задушит бизнес. Очевидно, что инцидентов ИБ не будет, если все запретить. Но тогда и бизнес развиваться не будет. Поэтому нужно найти баланс между необходимой для бизнеса свободой действий и необходимой для обеспечения ИБ системой ограничений.

Третья проблема - проблема выбора СЗИ с требуемым функционалом, не оказывающих заметного негативного влияния на защищаемые средства (проблема функциональности и совместимости). СЗИ на рынке предлагается много, но... гладко было на бумаге.

Четвертая проблема - правовая - лицензирование деятельности с использованием СКЗИ, сертификация СЗИ и аттестация объектов автоматизации. Среди сертифицированных ФСТЭК России (ФСБ России) СЗИ большинство устарели. Поэтому при выборе СЗИ возникает дилемма: выполнить требования ФЗ, приобретя сертифицированное, но устаревшее СЗИ. Либо приобрести СЗИ новейшей разработки и, соответственно, более эффективное, но несертифицированное. Если выбран и уже приобретен несертифицированный вариант СЗИ, то его последующая сертификация превращается просто в кормушку для занимающихся этим организаций. В ходе сертификации СЗИ лучше не станет, но станет гораздо дороже. А если результат сертификации окажется отрицательным, то что делать с этим СЗИ? Вернуть продавцу?

Олег Подкопаев, директор по информационным технологиям Русфинанс Банка: Как всегда, основной угрозой информационной безопасности организации и бизнеса является инсайдер. И хотя последствия инсайдерских действий, как правило, менее заметны в явном виде, а иногда даже просто не видны - именно в этом заключается их основная опасность. Компрометация клиентской базы, например, помимо прямых юридических рисков в дальнейшем приводит к снижению бизнеса и потере доли на рынке, причем последствия становятся видны только тогда, когда делать что-либо уже поздно. Соответственно, основные усилия должны быть направлены на превентивные мероприятия, позволяющие не допустить подобной утечки либо вовремя ее выявить.

Александр Туркин, руководитель Центра верификации и информационного обеспечения БИНБАНКа: С аттестацией объектов информатизации картина такая: при любом изменении объект нужно переаттестовывать. Но в банке изменения происходят непрерывно! Меняется как компьютерное оборудование, так и программное обеспечение, технология работ. Таким образом, формально аттестация/переаттестация превращается в непрерывный бесконечный процесс с бесконечными расходами.

Как известно, для использования СКЗИ, подпадающих под постановление Правительства РФ от 29.12.2007 № 957, утвердившее Положения о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами, необходимы лицензии ФСБ России. Но тогда они нужны не только для банка, но и для всех клиентов системы Клиент-Банк. Аналогично для всех клиентов систем электронного обмена с ФНС, Пенсионным фондом и т. п. Получается, что лицензии ФСБ России нужны для большинства организаций страны.

Евгений Шевцов, вице-президент ЗАО АКБ «НОВИКОМБАНК»: Кредитно-финансовые организации сегодня все чаще сталкиваются с широким спектром существующих угроз, таких как компьютерное мошенничество, компьютерные вирусы, взлом компьютерных систем, отказ в обслуживании и т. д. Высокая зависимость этих организаций, нашего банка в частности, от информационных ресурсов, объединение корпоративных сетей и сетей общего доступа, совместное использование информационных ресурсов повышают уязвимость от подобных угроз. Поскольку существующие в банке информационные системы изначально не проектировались с необходимым уровнем защищенности, то в большинстве случаев возможности обеспечения информационной безопасности ограничены.

Важнейшей проблемой, стоящей перед руководством и службой безопасности, является проблема внутренних угроз информационной безопасности, или, иными словами, проблема защиты информации от инсайдеров.

Поэтому сегодня, как в аспекте информационной безопасности, так и с точки зрения обеспечения безопасности бизнеса, жизненно необходима комплексная система информационной безопасности, которая задействует не только технические, но и организационные ресурсы, создание которой может обойтись банку значительно дешевле, чем ликвидация последствий угроз ИБ.

Изменился ли в результате кризиса характер взаимоотношений между IT-подразделением банка и службой безопасности? Произошло ли перераспределение обязанностей и функций? Каким образом?

Андрей Богословских: Кризис не изменил взаимоотношения между IT и безопасностью.

Константин Меденцев: Финансово-экономический кризис оказал существенное влияние на характер ведения бизнеса, что в ряде случаев повлекло за собой заметные изменения в структуре кредитных организаций, связанные либо с сокращением, либо с перераспределением задач между подразделениями. В части информационной безопасности с основными смежными подразделениями, а именно - с подразделениями информационных технологий. Наблюдения показывают, что в ряде случаев имеет место передача функций, связанных с эксплуатацией систем обеспечения информационной безопасности, в подразделения информационных технологий. Однако негативное влияние данного перераспределения на ведение бизнеса в целом в основе своей может быть проявиться только в случае отсутствия оперативной корректировки процедур взаимодействия смежных подразделений. В случае грамотного описания процедур взаимодействия негативного влияния данное перераспределение не оказывает.

Владилен Новоселецкий: В связи со вступлением в действие Закона «О персональных данных» характер взаимоотношений должен был бы измениться в сторону ИБ. Но он не изменился. Возможно, что основной вклад в это внес кризис.

Олег Подкопаев: Кризис как таковой, конечно, на такие взаимоотношения не повлиял, поскольку его сущность была иной. Но с точки зрения взаимодействия подразделений банка действия стали слаженнее. В большей мере повлияли требования регуляторов, реализация которых требует более четкого взаимодействия служб IT и безопасности. При этом распределение функций не меняется: подразделения информационной безопасности являются регулирующими и контролирующими органами внутри банка, IT призвано реализовывать и обеспечивать информационную безопасность.

Евгений Шевцов: Характер взаимодействия не изменился. Обязанности и функции подразделений остались прежними, определяемыми нормативными документами банка.

Как вы оцениваете роль регулятора в области информационной безопасности банка? Насколько полезны, в частности, те шаги, которые ЦБ РФ предпринимает в законодательной сфере?

Андрей Богословских: Банк России разрабатывает стандарты ИБ, они носят рекомендательный характер (не являются законодательной сферой). Оценка двоякая. С одной стороны, стандарты ИБ ЦБ РФ полезны, так как они базируются на современных международных стандартах по ИБ. С другой стороны, в них много спорного, так как они базируются еще и на устаревших методиках и инструкциях Гостехкомиссии (ФСТЭК).

Константин Меденцев: Усилия Центрального банка не могут оставаться незамеченными. Важной вехой в становлении нормативно-методической базы Центрального банка в области информационной безопасности стал выпуск ряда регламентирующих документов. Таких как «Методика оценки соответствия информационной безопасности требованиям СТО БР ИБСС-1.0-2008» и «Методика оценки рисков нарушения информационной безопасности».

Олег Подкопаев: Я полагаю, ЦБ РФ поступает абсолютно правильно, приучая банки к мысли о возможной регуляции в области информационной безопасности. Причем это делается очень разумно, посредством выпуска сначала рекомендаций и методик самооценки, проведением пилотов по аудиту информационной безопасности, и лишь потом - а это вопрос времени - введением обязательных требований.

Александр Туркин: Регуляторов в области ИБ у нас три: ЦБ РФ, ФСТЭК России, ФСБ России. Шаги ЦБ в законодательной сфере предпринимаются в интересах банков, поэтому они, безусловно, для банков полезны, а вот насколько они окажутся эффективны - время покажет. Пока похоже, что какой-то эффект будет, хотя может и меньше, чем хотелось бы. Получили отсрочку на год, и ФСТЭК России снял гриф ДСП с четырех своих документов - уже хорошо. Вместе с тем хотелось бы подчеркнуть, что роль Банка России в этом вопросе, несомненно, позитивная. По приглашению Андрея Петровича Курило мы вошли в Рабочую группу АРБ по Закону № 152-ФЗ. Предложения и замечания по совершенствованию законодательства в сфере персональных данных, родившиеся в процессе совещаний Рабочей группы, я думаю, внесли значительный вклад в общую копилку.

Евгений Шевцов: Основным документом, которым руководствуется в своей деятельности служба информационной безопасности банка, является Стандарт Банка России: «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» (СТО БР ИББС-1.0-2008). Ожидаем, что новая редакция документа станет отраслевым стандартом для кредитно-финансовых организаций РФ.

Вступление в силу требований Закона № 152-ФЗ в полном объеме. Насколько сегодня банки готовы к этому? Что дает годичная отсрочка, которой удалось добиться?

Андрей Богословских: Банки не готовы. Годовая отсрочка мало что дает. Защищать ПД сильнее, чем банковскую и коммерческую тайну, - это нонсенс.

Константин Меденцев: Несмотря на то что Федеральный закон «О персональных данных» был принят еще в 2006 г., нормативно-методические документы, регламентирующие процессы построения систем защиты персональных данных, вышли в свет существенно позже. Учитывая немалые объемы финансовых затрат на реализацию систем защиты, у операторов обработки персональных данных на их реализацию осталось слишком мало времени. В этой связи годичная отсрочка пришлась очень кстати.

Олег Подкопаев: Естественно, никто, в том числе и банки, к введению Закона № 152-ФЗ в полном объеме не готов. Более того, не готовы регуляторы, что в общем-то и определило возможность переноса сроков. Причем годичная отсрочка здесь нужна не столько операторам, сколько законодателям, чтобы внести необходимые поправки, сформулированные в процессе попыток практической реализации требований Закона и соответствующих нормативных актов. Я думаю, это будет сделано в течение 2010 г. Будет также понятнее, что и как делать, требования станут больше соответствовать реалиям, и, наконец, у консультантов поднакопится опыт реализации на «пилотных» проектах.

Александр Туркин: Тут одна из проблем - толкование этого ФЗ и подзаконных актов. Если подходить формально и строго, то банки не готовы, и год отсрочки ситуацию кардинально не изменит. Если ряд требований будут скорректированы в сторону их ослабления, то степень готовности повысится.

Евгений Шевцов: Годичная отсрочка дает возможность сэкономить денежные средства при выполнении этих требований.

В связи с развитием дистанционного банковского обслуживания и планами активного развития банков в этом направлении насколько серьезной представляется проблема DDOS-атак на сайты банков, фишинга и прочих угроз для каналов ДБО?

Андрей Богословских: Угроза DDoS серьезна, но не сама по себе, а как средство сокрытия мошеннических транзакций с использованием украденных реквизитов клиентов.

Константин Меденцев: Как уже говорилось, развитие информационных технологий оказывает влияние и на криминальную сферу. Однако системы дистанционного банковского обслуживания при грамотном построении могут вполне уверенно противостоять некоторым видам угроз. Существующие в настоящее время средства мониторинга сетевой активности позволяют выявить источник DDOS-атаки достаточно быстро и наряду с этим позволяют предотвратить нанесение ущерба техническим средствам самой системы дистанционного банковского обслуживания. Однако проблемы, связанные с несанкционированным использованием ключевой информации, мало кого обошли стороной. Исключить данное явление возможно только совместными усилиями как со стороны кредитных организаций - путем внедрения более совершенных механизмов реализации криптографических процедур, так и со стороны самих клиентов - путем неукоснительного соблюдения рекомендаций по обеспечению информационной безопасности.

Александр Туркин: Проблема одна из самых серьезных. В некоторых банках накоплено много информации об источниках таких угроз. Ее консолидация, вероятно, могла бы существенно повысить раскрываемость в данной сфере. Но заинтересованного в такой информации консолидирующего правоохранительного органа не видно. И это при том, что в Доктрине информационной безопасности РФ эта угроза рассматривается как серьезная для экономики страны.

Евгений Шевцов: Считаю данную проблему серьезной. Банку необходимы инструменты, позволяющие предотвращать такие атаки на начальном этапе их действия. И не просто предотвращать, а защищать.

Какие основные проблемы/угрозы для своей деятельности с точки зрения ИБ вы видите на ближайшее будущее - 2010 г.?

Андрей Богословских: Соблюдение требований методических рекомендаций ФСБ и ФСТЭК по защите ПД. Развитие направления мошенничества с использованием каналов ДБО.

Константин Меденцев: Технический прогресс неуклонно идет вперед. Как уже отмечалось ранее, проникновение информационных технологий в криминальную сферу происходит ускоренными темпами. В этой связи представляется, что количество угроз информационной безопасности деятельности кредитных организаций может только возрастать. Однако более детальную оценку их характера и последствий сможет дать только время.

Владилен Новоселецкий: Основная проблема - приведение банка в соответствие с Законом «О персональных данных», а основная угроза - недопонимание или неверное понимание этой проблемы со стороны всех тех лиц, от которых зависит ее решение.

Евгений Шевцов: В рамках создания системы защиты персональных данных рассмотреть вопрос организации комплексной системы безопасности информационных ресурсов банка.

Оценить:

Банки Москвы