«Система защиты информации в банковских системах»
Содержание:
ВВЕДЕНИЕ
За все время существования банков, они всегда были интересны для преступного мира. Их интерес связан не только с хранением денежных средств в банковских организациях, а также, что в банковских системах хранится секретная, важная информация о финансах клиентов банка, организаций, а некоторые банки содержат финансовую информацию целого государства. Сейчас очень распространены электронные платежи и пластиковые карты, они и являются главными объектами для информационных атак. В век цифровых технологий попытаться похитить денежные средства может любой пользователь сети Интернет. Для этого ему даже не придется выходить из дома, все манипуляции можно сделать через персональный компьютер. И чтобы исключить факт мошенничества банк должен хорошо защищать свои системы от различных угроз.
Таким образом, данная проблема является наиболее актуальной на сегодняшний день. Банки уже давно научились обеспечивать физическую безопасность, но мир развивается, и каждый день появляются новые технологии, которые несовершенны и требуют новые методы и средства безопасности автоматизированных систем обработки информации банка (АСОИБ). Из-за того, что банковская система всегда обновляется, появляются новые ошибки, поэтому происходит постоянная угроза системы безопасности.
Я думаю, что любой клиент банка заинтересован в защите своих финансов и конфиденциальности персональных данных. Поэтому, изучение данной проблемы является не только актуальной, но и полезной для меня.
Целью данной работы является изучение систем защиты информации в банковских системах.
В соответствии с поставленной целью в курсовой работе решаются следующие задачи:
- изучение информационной безопасности банковских систем;
- проведение анализа возможных угроз;
- исследование системы защиты информации в банковских системах.
Данная работа содержит две главы. В первой главе рассмотрены особенности информационной безопасности, раскрыты методы и средства защиты информации. Во второй главе проведено исследование систем защиты информации, а также проведен анализ систем безопасности.
В данной курсовой работе были использованы теоретические и методологические источники российских и зарубежных авторов, а также материалы научно-практических конференций и учебных пособий.
Глава 1 Особенности информационной безопасности банковских систем
1.1 Информационная безопасность банков
Информация, хранившаяся в банках, всегда была интересна для преступников. Все мы знаем, что любое преступление такого рода начинается с кражи информации. Каналами для кражи информации являются автоматизированные банковские системы, они и являются объектами мошенников.
Приведем пример из прошлого, в 1995 г. в Петербурге математик В. Левин проник в банковскую систему американского банка при помощи своего компьютера, после чего он попытался снять крупные суммы с его счетов, но это быстро обнаружили и заблокировали счета. Украсть получилось около 500 тысяч долларов, вместо 3 млн. После чего он был арестован в Великобритании, ему было 24 года. По сведениям американского банка, до тех пор подобная кража еще никому не удавалась [12, с.126].
Ежегодно американские банки теряют до 5 млрд долларов от незаконного использования банковской информации. Утечка информации является главной проблемой и требует обеспечения информационной безопасности банковских систем.
Таким образом, стратегия информационной безопасности банков строится иначе, чем у обычных организаций. Из-за публичности банков, банки вынуждены делать доступ к счетам клиентов легким, чтобы им было удобно при управлении и использовании своих счетов.
Обычная организация защищает свою информацию, придерживаясь определенных потенциальных угроз, например, защита информации от налоговых органов или преступного мира, чтобы не было роста налоговых выплат или рэкета и т.п.
Информационная безопасность банков должна включать следующие факторы:
1. Банк должен предоставить защиту личных данных клиентов, и он должен нести ответственность за обеспечение степени секретности данных, иначе он рискует своей репутацией.
2. Хранимая в банковских системах информация представляет собой реальные деньги. Незаконное использование такой информации может привести к убыткам банка. Данная особенность вызывает наибольший интерес для мошенников.
3. Конкурентоспособность банка зависит от предоставляемых услуг банка, поэтому они предоставляют для клиентов и пользователей легкий доступ к своим счетам. Но эта легкость повышает вероятность угроз для банковских систем.
4. Банк хранит конфиденциальную информацию о своих клиентах, что также привлекает мошенников.
5. У информационной безопасности банка должна быть высокая надежность работы компьютерных систем, так как банк несет ответственность не только за свою информацию и деньги, но также и за денежные средства клиентов.
Банки уже давно научились обеспечивать физическую безопасность, но мир развивается, и каждый день появляются новые технологии, которые несовершенны и требуют новые методы и средства безопасности автоматизированных систем обработки информации банка (АСОИБ).
Из-за того, что банковская система всегда обновляется, появляются новые ошибки, поэтому происходит постоянная угроза системы безопасности.
Для защиты АСОИБ нельзя применять те же самые организационные и технические решения, которые разрабатываются для стандартных ситуаций. У нее свои особенности, рассмотрим некоторые из них.
Специфика защиты системы обусловлена особенностями решаемых ими задач [16, с.256]:
- в этой системе обрабатывается и хранится конфиденциальная информация и ее утечка могут привезти к негативным последствиям. Поэтому автоматизированные системы банка имеют закрытый характер, они работают под управлением специального программного обеспечения и уделяют наибольшее внимание обеспечению собственной безопасности;
- АСОИБ обрабатывают много поступающей информации, которая не требует для обработки множества ресурсов, но такое количество информации может быть обработана только высокопроизводительной системой;
- банковской системе защиты требуется надежное аппаратное и программное обеспечение. Поэтому современным АСОИБ необходимы компьютеры, которые при разных сбоях и отказов ведут непрерывную обработку информации.
Мы можем сделать некоторые выводы об особенностях информационной безопасности банковских систем:
- для защиты банковских систем требуется быстрое и полное восстановление информации после аварий и сбоев, например, создание резервных копий и их внешнее хранение;
- полный доступ пользователей к хранимой информации. Использование антивирусных программ;
- использование стандартного коммерческого программного обеспечения для управления доступом к сети, предоставление защиты точек подключения к системе;
- необходима физическая защита помещений, где находятся компьютеры.
Таким образом, в связи с быстрым развитием технологий банки не успевают защитить свою информацию от ее утечки. Поэтому для защиты информации требуется системный подход, какой-то единый комплекс взаимодействующих и взаимосвязанных мер. Этот комплекс необходим для защиты от несанкционированного доступа, а также для предотвращения случайного изменения или уничтожения банковской информации.
Банковские организации должны лучше подходить к защите своих данных. Потому что информация является главной в системе и ее утеря может принести большой ущерб организации и пользователям.
1.2 Методы и средства защиты информации
Чтобы обеспечить безопасность информации в домашних компьютерах или в компьютерных сетях на предприятии проводятся разного рода мероприятия, которые называются «системой защиты информации».
Системой защиты информации называется совокупность технологических и административных мер, морально-этических норм и программно-технических средств, которые направленны на противодействие угрозам правонарушителей, чтобы снизить возможный ущерб владельцам и пользователям системы [24, с.83].
Архитектура безопасности разрабатывается в несколько этапов:
- разработка банковской системы безопасности;
- анализ возможных угроз автоматизированных систем;
- сопровождение системы безопасности;
- реализация системы безопасности.
Для разработки систем защиты банковской информации необходимы разные мероприятия технического, технологического характера и др. Рассмотрим некоторые из них.
Электронная подпись и криптография. Криптография способствует шифрованию сообщений в банковской системе, а также содержат ключи для расшифровки.
Ключом называется секретное состояние параметров алгоритма преобразования данных, возможен выбор только одного варианта.
Аутентификация — это доказательство, что ты, это тот, кто ты есть, а не тот, кто хочет выдать себя за тебя. Ее используют для запрещения или разрешения доступа к информации, например, цифровые подписи, пароли, цифровые сертификаты.
Электронная цифровая подпись заменяет рукописную подпись и печать. Она защищает электронный документ от подделки, с помощью криптографического преобразования информации.
Рассмотрим современные средства защиты.
Разработка аппаратных и программных средств защиты банковской информации быстро развивается. У банков растет интерес к более совершенным средствам криптозащиты и средствам защиты, они заинтересованы в качественных продуктах [1, с.154].
- Банк защищается от клерков.
Сейчас банки уже практически не используют парольную защиту, а используют идентификатор для доступа ко всем приложениям, например, смарт-карты.
Внутренние угрозы в банке представляют большую опасность, чем внешние, поэтому внутренней защите банк уделяет наибольшее внимание. Для этого используют единые средства идентификации, например, смарт-карты и Token TMS.
- Использование системы «свой-чужой».
В связи с использованием сети Интернет банковская защита расширяется. Так как информационных преступлений становится все больше. Одним из таких преступлений называется «фишинг».
Фишинг — это вид информационного мошенничества, при котором создаются поддельные Интернет-ресурсы, например, поддельные письма, с помощью которых злоумышленники получают личные данные клиентов и пользователей банка. Для защиты от фишинга используют двустороннюю аутентификацию.
- Использование криптографии.
Криптография — это программа-шпион, которую злоумышленники встраивают в личный компьютер пользователя при посещении какого-либо сайта, после чего скачивают интересующую информацию.
Для защиты от таких атак банк использует комплексную защиту, он защищает не только информационные ресурсы, но и внутренние информационные потоки.
- Использование биометрии.
Биометрическая идентификация требуется для защиты от террористов. Использование биометрии продиктовано странами-лидерами. Также развитие данных систем в бизнес сообществах повлияло на использование банками данных систем защиты.
- Использование шифрования.
Банки создают криптографические системы, которые, практически, невозможно взломать, потому что у них хорошая защита. Создаются шифровальный алгоритм и ключ к нему. Длину ключа придумывают длиннее, чтобы было тяжелее вскрыть его.
Давайте рассмотрим основные цели информационной безопасности [14, с.284]:
- предотвращение незаконного вмешательства в информационные данные пользователей;
- сохранение информации и предоставление доступа пользователей к ней;
- соблюдение конфиденциальности личных данных;
- предотвращение незаконного использования информационных данных пользователей;
- сохранение конфиденциальной информации и государственной тайны.
Для защиты информации в сети Интернет выполняются следующие мероприятия:
- создать информационную систему безопасности;
- создать узлы защиты сетей по передаче данных;
- создать экспертную группу для проведения экспертиз проектов на выявление соответствия требованиям обеспечения безопасности;
- разработать средства криптографической защиты информации;
- внедрить средства защиты информации при передаче данных в сети Интернет;
- создать в системе центр выдачи сертификатов и электронно-цифровой подписи;
- обеспечить устойчивость и безопасность работы сетей;
- внедрить систему подготовки специалистов по защите информационной безопасности;
- создать систему сертификации средств, необходимых для обеспечения информационной безопасности.
Таким образом, банки уделяют больше внимания для защиты внутренних ресурсов. Для этого они используют разные средства, которые предотвращают атаки на систему, проводят разные мероприятия. Так как прогресс не стоит на месте, банку приходится ежедневно придумывать новые способы защиты. Если этого не делать, то банковская система будет уязвима для мошенников, что привлечет к плачевным последствиям.
Информационные ресурсы должны быть защищены основательно, ведь без них безопасность системы невозможна. Получив доступ к системе, злоумышленники могут не только навредить, но и уничтожить все данные, что для банковских систем недопустимо.
1.3 Особенности защиты банковской информации
Вся документированная информация банка подлежит защите, так как при утечке информации злоумышленники могут принести банку большой ущерб.
Рассмотрим некоторые виды такой информации:
- акты проверок;
- сроки выдачи заработной платы;
- операции по счетам;
- документация с коммерческой тайной;
- персональные данные сотрудников;
- система защиты информации и др.
Рассмотрим возможные угрозы для информационных ресурсов [19, с.187]:
- сбои в работе электрооборудования, вычислительной техники, которые ведут к потере информации;
- нелегальное использование информации;
- несанкционированный доступ к информации;
- скачивание информации или ее изменение по каналам связи.
Для защиты информации необходимо:
- создать систему защиты информации от несанкционированного доступа, которая состоит из комплекса организационных решений и программно-технических средств;
- обеспечить охрану объектов от злоумышленников;
- организовать хранение и учет ключей, паролей, ключей и других программных средств;
- выбрать определенный класс защищенности информации, исходя из уровня ее конфиденциальности.
Также банковской системе необходима защита от вирусов.
Рассмотрим общие требования к антивирусной системе:
- система защиты формируется с учетом роста защищенных объектов;
- система должна быть надежной и должна иметь возможность восстанавливаться после отказа;
- система должна формироваться с помощью обновления состава и функций;
- система защиты должна формироваться с помощью роста числа защищенных объектов;
- система должна взаимодействовать с другими системами;
- необходимо регулярное обновление системы.
Антивирусная защита банковских информационных систем является главной функцией системы экономической безопасности банка. Главными требованиями к антивирусным системам является безопасность и надежность. Если произойдет сбой программного обеспечения, то это может открыть вход в систему для злоумышленников и это принесет большой ущерб банку. Поэтому банку необходимо защищать систему тщательнее, особенно общедоступные сети, такие как банк-клиент, интернет-клиент и т.п.
У доступа к сервисам через открытые сети имеются множество информационных угроз. Рассмотрим некоторые распространенные угрозы [8, с.341]:
- подмена трафика;
- незаконный доступ к данным системы;
- подмена сетевых адресов;
- атака приложений банка;
- отказ в обслуживании;
- сканирование сетей.
Также банковские системы используют передачу сообщений, в которых указана информация о финансах.
Угрозой для таких сообщений являются:
- предоставление документов от другого пользователя;
- раскрытие содержимого сообщения;
- переадресация переданного сообщения;
- несанкционированная модификация.
Чтобы предотвратить данные угрозы банки используют разные средства защиты, например, контролируют целостность документов, шифрует документы, обеспечивают сохранность ключей др.
Также банк защищает Интернет-ресурсы с помощью комплекса технических средств защиты:
- установка антивирусных средств;
- разработка протоколов безопасности;
- шифрование документов;
- обнаружения атак на сетевом уровне.
Таким образом, сейчас уже не встретишь банк, у которого в информационной сети не установлены какие-то антивирусные программы. Потому что они просто необходимы для защиты компьютерных систем. В наше время без них никуда, они установлены почти на каждом персональном компьютере.
Современное общество не может обойтись без информационных технологий. Они воздействуют на все стороны современного общества, а также определяют развитие бытовой, материально-производственной и духовной сфер, сильно изменяют общественную систему информации и коммуникации, также воздействуют на общественную и личную жизнь людей, изменяя весь их образ жизни. А для банковской системы безопасность данных важнее всего.
Глава 2 Исследование системы защиты информации в банковских системах
2.1 Угрозы безопасности автоматизированных систем
В наше время проблема умышленных нарушений функционирования АСОИБ различного характера является одной из основных.
Например, в 1992 году ущерб от разного рода компьютерных преступлений составил примерно 600 млн. долларов, а также почти 950 лет рабочего времени и 16 лет машинного времени.
Современная АСОИБ представляет собой сложный механизм, который состоит из огромного количества компонентов разной степени автономности, которые связанны между собой и могут обмениваться данными. В любое время любой из них может подвергнуться какому-либо внешнему воздействию или выйти из строя.
Угроза безопасности — это какое-то возможное воздействие на АСОИ, которое может нанести какой-нибудь вред владельцам АСОИБ или пользователям системы [2, с.65].
Рассмотрим некоторые допустимые угрозы безопасности АСОИБ, такие как сбои или отказы оборудования и другие стихийные бедствия. В дальнейшем, реализацию угрозы будем называть атакой.
Классификация угроз безопасности АСОИБ по следующим признакам:
1. По принципу воздействия на систему:
- получение доступа пользователя системы к файлу данных или каналу связи;
- использование пользователем скрытых каналов связи.
Доступом является взаимодействие между пользователем и файлами, которое приводит к возникновению информационного потока от файла к пользователю.
Скрытым каналом является расстояние передачи информации, которое позволяет нескольким процессам обмениваться информацией так, что при этом нарушается системная политика безопасности.
Скрытые каналы делятся на следующие виды:
- временные каналы, при которых один процесс может получать информацию о действиях другого, при этом он использует интервалы между разными событиями;
- каналы с памятью, которые позволяют считывать или записывать информации других процессов с помощью временной памяти.
Главное различие в получении информации при помощи доступа и при помощи скрытых каналов заключается в взаимодействии субъекта и объекта АСОИБ, при этом меняется состояние информации. В другом случае используют только побочные эффекты от взаимодействия двух субъектов АСОИБ, и они не оказывают влияния на состояние системы.
Таким образом, воздействие, которое основано на первом принципе информативнее и проще, у него простая защита. Воздействие, основанное на основе второго принципа уже с более трудной организацией, у него меньшая информативность и сложная защита.
2. По цели реализации угрозы:
- нарушение целостности информации. Потеря ценной информации из-за несанкционированного доступа может принести ущерб намного больше, чем при нарушении ее конфиденциальности;
- нарушение конфиденциальности информации наносит значительный ущерб интересам пользователям;
- нарушение работоспособности или доступности системы. Выход из строя системы может существенно повлиять на работу пользователя.
3. По характеру воздействия систем. Различают активное и пассивное воздействие.
Активное воздействие связано с выполнением разных действий пользователем, которые выходят за рамки его обязанностей и нарушают текущую политику безопасности системы и изменению состояния системы.
Пассивное воздействие связано с появлением каких-либо побочных эффектов, которые наблюдает пользователь. Например, пассивным воздействием может быть прослушивание линии связи между двумя узлами сети. Такое воздействие не ведет к изменениям состояний системы.
4. По способу воздействия на объект атаки:
- прямое воздействие на объект атаки;
- воздействие на систему разрешений;
- воздействие через других пользователей, например, пользователь может присвоить себе полномочия другого пользователя, выдавая себя за него, или другой пользователь может заставить пользователя выполнить определенные действия;
Для предотвращения таких действий необходим постоянный контроль со стороны операторов за работой системы и контроль со стороны пользователей за личными данными.
5. По причине появления ошибки защиты:
Осуществление любых угроз будет, если в местной системе есть какая-то ошибка или брешь защиты.
Данная ошибка может быть обусловлена по следующим причинам [20, с.65]:
1. Ошибка административного управления, какая-то некорректная работа системы. На исправление данной ошибки необходимо мало времени, так же, как и на ее обнаружение, при этом ущерб она может огромный.
2. Неадекватность политики безопасности реальной системы, она не отражает реальную политику безопасности АСОИБ.
3. Ошибки в алгоритмах программы, например, ошибка в программе аутентификации пользователя системой VAX/VMS, в данной системе пользователь мог войти в систему без пароля. Данные ошибки очень опасны и их трудно обнаружить, чтобы их устранить, необходимо менять множество программ.
4. Ошибки кодирования, они появляются на этапе отладки или реализации, они служат источником недокументированных свойств. Данные ошибки обнаружить труднее всего.
5. По способу воздействия на систему:
- в пакетном режиме;
- в интерактивном режиме.
6. По средствам, использованным для атаки. Злоумышленники используют специальные программы для взлома или стандартное программное обеспечение.
7. По объекту атаки. Происходит воздействие со стороны злоумышленника на какой-либо объект.
8. По состоянию объекта атаки.
Объект атаки может находиться в следующих состояний:
а. Передача, например, перехват пакетов в сети, или прослушивание с использованием скрытых каналов;
б. Хранение в любом месте системы в пассивном состоянии;
в. Обработка информации.
Данная классификация показывает всю сложность распознавания угроз и способов их устранения. Нет какого-то универсального способа защиты, который мог бы предотвратить любую угрозу. Значит необходимо объединить разные меры защиты для обеспечения безопасности всей АСОИБ.
Рассмотрим описания угроз, с которыми наиболее часто приходится сталкиваться в системе [13, с.225]:
- незаконное использование привилегий (незаконный захват привилегий возможен только при наличии ошибок в самой системе безопасности);
- несанкционированный доступ (это получение пользователем доступа к системе, на которую у него нет разрешения от организации);
- атаки салями – они характерны для систем, которые обрабатывают денежные счета, актуальны в основном для банков. Принцип атак «салями» основан на обработке счетов, при которых используются целые единицы, такие атаки очень трудно распознаются, предотвратить данные атаки можно при обеспечении целостности и правильности прикладных программ, которые обрабатывают счета и постоянный контроль счетов;
- маскарад - это выполнение различных действий одним пользователем системы от имени другого пользователя, но действия другому пользователю при этом могут быть разрешены. Нарушение заключается лишь в присвоении привилегий и прав;
- скрытые каналы - это пути передачи данных между процессами системы, которые нарушают системную политику безопасности;
- сборка мусора - это активное, непосредственное воздействие на объекты системы с использованием доступа. Такое воздействие может привести к нарушению конфиденциальности информации;
- люки - это скрытая, недокументированная точка входа в программный модуль. Он относится к категории угроз, которые возникают вследствие ошибок реализации различных объектов;
- взлом системы - это умышленное несанкционированное проникновение в систему под чужим паролем;
- вредоносные программы - это программы, которые изменяют процесс обработки информации или способствуют искажению информации или ее утечке. Примером таких угроз являются: троянский конь, вирус, червь или захватчики паролей.
Таким образом, АСОИБ необходимо хорошо защищать от возможных внешних и внутренних угроз безопасности, а также нужно постоянно искать новые пути решения проблем и внедрять новые технологии защиты. Рассмотренные выше угрозы составляют основную классификацию угроз безопасности АСОИБ, это угрозы, с которыми наиболее часто приходится сталкиваться администраторам безопасности систем.
2.2. Анализ системы безопасности банковских систем
Безопасность АСОИБ — это свойство системы, которое выражает способность противостоять попыткам нанесения ущерба пользователям и владельцам системы при разных воздействиях на систему. Другими словами, безопасность системы — это защищенность системы от случайного или специального вмешательства в текущий процесс ее работы, а также защита от разрушения и утечки информации.
Безопасность системы требует обеспечение конфиденциальности информации, а также доступности и сохранности ресурсов и компонентов системы.
Конфиденциальность информации — это когда определенная информации может быть известна только определенным пользователям системы, для остальных пользователей данная информация недоступна.
Целостность ресурса системы — это когда ресурс неизменен при функционировании системы.
Доступность ресурса системы — ресурс доступен для использования авторизованными пользователями системы в любое время. [7, с.512]
Для обеспечения безопасности АСОИБ требуется применение разных мер защиты системы.
Обеспечение безопасности системы в основном подразумевает создание препятствий для любого незаконного вмешательства в систему, а также попыток модификации, скачивания информации и разрушения или уничтожения компонентов системы.
Различают внутреннюю и внешнюю безопасность системы. При внутренней безопасности происходит обеспечение корректной, надежной работы системы, а также сохранность ее данных и программ. Внешняя безопасность заключается в защите АСОИБ от каких-либо стихийных бедствий и от проникновения в систему с целью получения доступа к информации, хищения.
Основой системы защиты АСОИБ являются организационные мероприятия, главной целью является разработка и реализация плана защиты. При выборе средств защиты необходимо акцентировать не только на надежности, но и на то, как средства защиты будут поддерживать разработанные организационные мероприятия.
Нужно использовать анализ риска для выбора наиболее актуальных угроз АСОИБ и необходимых способов защиты от них.
Рассмотрим, для чего нужен анализ рисков для данной системы?
1. Для увеличения осведомленности сотрудников;
2. Для принятия решения по выбору средств и мер защиты системы;
3. Для определения слабых и сильных сторон предполагаемых и существующих мер защиты системы;
4. Для определения затрат на защиту системы.
Анализом риска является процесс получения качественной или количественной оценки ущерба, данный процесс может произойти в результате реализации угрозы безопасности АСОИБ.
Рассмотрим основные этапы, которые проводятся при анализе риска безопасности системы [18, с.37]:
1. Нахождение уязвимых мест системы;
2. Описание компонентов системы;
3. Расчет вероятности появления угроз безопасности системы;
4. Изучение возможных методов защиты АСОИБ;
5. Оценка возможных размеров потерь;
6. Оценка выгоды использования новых мер для устранения угроз.
Компоненты АСОИБ можно разбить на разные категории:
- программное обеспечение — например, системные программы и другие разные приобретенные программы, а также собственные разработки сотрудников;
- оборудование — например, мониторы, процессоры, принтеры, линии связи и т.д.;
- сотрудники — обслуживающий персонал и пользователи банковской системы;
- данные (постоянные, временные, архивы, любые печатные, системные журналы и т.д.).
При планировании системы безопасности, кроме компонентов системы еще необходимо описать технологию обработки информации в защищаемой АСОИБ. Также нужно зафиксировать состояние системы как совокупность технологии обработки информации.
Ниже рассмотрим примерные воздействия, приводящие к нарушению конфиденциальности и доступности определенных ресурсов и компонентов системы [15, с.69]:
1. Внешние воздействия, например, воздействие хакеров, отключение или подключение к сети и др.;
2. Стихийные бедствия;
3. Непреднамеренные ошибки, например, использование неисправных носителей, не выполнение правил безопасности, а также ввод ошибочных данных;
4. Преднамеренные нарушения, например, какие-либо действия служащих, конкурентов, посетителей и т.д.
Рассмотрим несколько методов оценки вероятности проявления угроз.
1. Регистрация событий. Данный метод применяется при попытке входа в систему или при получении доступа к объектам системы и др.
2. Эмпирическая оценка количества появления угроз. Данный метод применяется для оценки вероятности появления разных стихийных бедствий.
3. Метод «Дельфийский оракул». При данном методе определенный коэффициент выводится из частоты появления определенного события. Данные частоты преобразуются в коэффициенты, их можно изменить на основе полученных новых данных.
4. Оценка частоты появления угроз по таблице, выбирая один из коэффициентов. Чистота анализа зависит от качества метода вычисления коэффициентов.
Защита от появления разных угроз может быть исполнена различными способами. Например, защитить информацию на жестком диске можно следующими способами:
- назначение ответственных сотрудников за использование информации;
- организация контроля над доступом в помещение, где установлена информация на жестком диске;
- использование системы разграничения доступа для сотрудников банка;
- шифрование информации на диске;
- применение средств оповещения сотрудников о вскрытии корпуса жесткого диска;
- закрытие доступа или вскрытие дисковода, или вскрытие портов ввода-вывода.
Для данных способов определяются характеристики, такие как эффективность и стоимость. Эффективность метода — это способность противостоять различным угрозам. Стоимость метода защиты имеет абсолютное значение, которое выраженно в денежной единице, которые затрачены на его сопровождение и реализацию.
Анализ риска может позволить экспериментировать с некоторыми моделями системы, это делается, чтобы выяснить наиболее эффективные методы защиты для конфиденциальности информации и сохранения работоспособности системы.
Анализ риска — это широко используемый в практике инструмент, используемый при планировании и управлении. Рассмотрим аргументы против использования анализа рисков [9, с.214]:
1. Быстрая изменяемость. Анализ риска может быть актуален лишь некоторое время, после могут измениться внешние условия, состав системы и придется проводить новый анализ. Анализ риска для собственной АСОИБ рекомендуют проводить каждый год.
2. Неточность. Некоторые значения, которые получили в процессе анализа, не сильно отличаются высокой точностью. Все же существуют разные методы для получения более точных значений.
3. Отсутствие научной базы. Большинство методик проведения анализа риска основывается на положениях математической статистики и теории вероятностей, таким образом, их применение не всегда правдиво.
При проведении анализа риска должна быть сформирована основа для определения необходимых мер защиты. После необходимо составить список возможных способов реализации угроз в работе системы.
Также необходимо предусмотреть, как существующая система защиты может адаптироваться к возникающим новым ситуациям.
Таким образом, составление плана защиты является сложным и трудоемким процессом, который требует постоянных исследований и затрат. При этом большое увлечение анализом и сбором данных об АСОИБ и ее неформальных спецификаций может усложнить или отложить практическую реализацию мер по защите системе.
Поэтому план должен строиться на постоянном анализе ситуации, при этом он должен оставаться в рамках здравого смысла и не погружаться в излишнюю бюрократизацию и формализацию.
2.3 Человеческий фактор в обеспечении информационной безопасности
Большинство информационных систем не могут работать без участия человека. Пользователи системы являются движущей силой и причиной преступлений или нарушений. Вопросы безопасности информационных и компьютерных систем, большей частью являются вопросы человеческого поведения и человеческих отношений. В основном это актуально в сфере информационной безопасности, потому что утечка информации в основном происходит по вине сотрудников банков.
Основным элементом любой планируемой преступной атаки является сбор информации. Рассмотрим некоторые методы, используемые преступниками для добывания сведений о банках [5, с.62]:
- проведение определенных бесед, каких-либо опросов, анкетирование и т.п.;
- наблюдение с помощью стационарных или мобильных средств, видеозапись, фотографирование и др.;
- перехват информации на разных частотах внешней и внутренней связи банков;
- кража, подделка или копирование внутренних документов внедренными лицами в банковских структурах;
- получение коммерческой информации с помощью применения системы аналитических методов;
- получение коммерческой информации техническими средствами с помощью разных источников сигналов в помещениях банка через специальную аппаратуру или внедренную технику.
При анализе нарушений защиты системы основное внимание уделяется не только самому факту нарушения, но и личности нарушителя. Данное внимание может разобраться в мотивах, побудивших на преступление, и в дальнейшем не даст повторить подобные ситуации. Если найти причину нарушений или преступлений, то в дальнейшем можно повлиять на саму причину или ориентировать систему защиты системы на данные виды нарушений или преступлений.
Результаты разных исследований показывают, что главным источником нарушений является сама АСОИБ. Поэтому неважно есть ли у АСОИБ связь с внешним миром или имеется какая-то внешняя защита, но внутренняя защита системы быть обязана.
Выделяют несколько основных причин нарушений: самоутверждение, безответственность, корыстный интерес и месть персонала АСОИБ [10, с.301].
При нарушениях, которые были вызваны безответственностью, пользователь случайно или целенаправленно производит какие-либо противоправные действия. В основном это следствие небрежности или некомпетентности сотрудников.
Пользователи думают, что получение доступа к системе большим успехом, хотя их намерения могут быть безвредными, но такая эксплуатация данных системы считается нарушением политики безопасности. Если у пользователя более серьезные намерения, например они, могут попытаться уничтожить или испортить данные, такой вид нарушений называется зондированием системы. В таком случае администраторы защиты использует их постоянно или временно.
Нарушение безопасности системы еще может быть вызвано корыстным интересом сотрудника. В данном случае он будет специально пытаться преодолевать систему защиты, чтобы получить доступ к информации системы. Даже если у системы есть защита информации, но полностью защитить ее от проникновения она не может.
Проникновение — это опасный вид нарушений, но он встречается очень редко, потому что требуют большого упорства и мастерства. Отличительной чертой проникновения является какая-то цель: влияние на работоспособность системы, доступ к информации, слежение за действиями других пользователей и др. [21, с.163].
Поэтому, для организации хорошей защиты необходимо избавляться от
разных нарушений, например, для защиты от зондирования системы нужна хорошая защита с постоянным контролем от проникновения, для защиты от халатности нужна минимальная защита. Главной целью такой защиты должно быть обеспечение работоспособности системы и ее защиты от внешних угроз.
Причины могут быть разными, которые побудили пользователя совершить данные нарушения или преступления. Примерно 90% нарушений составляют неумышленные ошибки, которые вызваны небрежностью персонала, безответственностью или недостаточной компетентностью. Ущерб, который нанесен в результате умышленного воздействия, неудовлетворенности своим материальным или служебным положением может быть значительным.
При оценке риска потерь от действий сотрудников необходимо дифференцировать работников по их возможностям доступа к системе и по потенциальному ущербу от каждой категории пользователей, для уточнения степени риска.
Рассмотрим примерный список сотрудников типичной системы и соответствующая степень риска от каждого из них [17, с. 220]:
1. Наибольший риск будет от администратора безопасности и системного контролера;
2. Повышенный риск исходит от оператора ввода данных, системного программиста, оператора системы;
3. Средний риск от менеджера ПО и инженера системы;
4. Ограниченный риск будет от администратора базы данных, программиста, инженера по оборудованию, оператора;
5. Низкий риск от пользователя сети.
Каждый из вышеперечисленных пользователей может нанести меньший или больший ущерб системе. Также пользователей разных категорий различают не только по степени риска, но и по элементам системы, где они угрожают больше всего.
Таким образом, банковские структуры в большей степени должны менять свое отношение к «человеческому фактору», необходимо ставить на вооружение своих служб безопасности и кадровых подразделений современные методы работы с сотрудниками. Поэтому дальнейшее развитие в данной области связано с активным использованием большого потенциала методов психологии, и этики управления, и более полного интегрирования соответствующих специалистов в коммерческие предприятия.
ЗАКЛЮЧЕНИЕ
Банки играют большую роль в экономической жизни общества, без них экономика стояла бы на месте. Но после их появления увеличилось и число преступлений. Время идет, и банковские системы развиваются, банки перешли к компьютерной обработке информации, после чего в разы повысилась производительность труда, и появились новые услуги и новые рабочие места. Также с компьютерными технологиями появились информационные преступления, которые были неизвестны ранее. Но большинство из информационных угроз не относятся конкретно к банкам, многие преступления совершаются в сферах, связанных с информационными технологиями.
Существуют аспекты, которые выделяют банковскую сферу из круга остальных коммерческих систем:
- банковская сфера затрагивает интересы большинства пользователей и организаций;
- живые деньги представляют собой банковскую информацию, их можно передать, получить, вложить и т.п.
Таким образом, банковская система должна быть хорошо защищена от возможных внешних и внутренних угроз безопасности, а также нужно постоянно искать новые пути решения проблем и внедрять новые технологии защиты. Поэтому к банковским системам предъявляют повышенные требования по безопасности обработки и хранения информации.
В данной работе были изучены системы защиты информации в банковских системах. В первой главе были рассмотрены особенности информационной безопасности, раскрыты методы и средства защиты информации. Во второй главе проведено исследование систем защиты информации, а также проведен анализ систем безопасности.
Данный анализ исследования банковской системы, проведенный в рамках данной работы, позволяет сделать следующий вывод: компьютеризация и автоматизация банковской деятельности, в том числе и денежное обращение, продолжает увеличиваться и преступления в данной сфере тоже увеличиваются, поэтому требуется постоянно защищать систему и искать новые средства защиты.
Основные изменения в банковской сфере связаны с развитием информационных технологий. Сейчас происходит снижение оборота наличных средств и осуществляется переход на безналичные расчеты, например, покупки через сеть Интернет, использование пластиковых карт и терминалов. В связи с этим необходимо увеличивать развитие средств информационной безопасности банков.
СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ
1. Аверченков В. И., Аудит информационной безопасности: учебное пособие для вузов, 2015, 154 с.
2. Алексенцев А.И., Понятие и назначение комплексной системы защиты информации. Вопросы защиты информации, 2016, 65 с.
3. Вихорев С.В. Информационная безопасность предприятий, 2016, 87 с.
4. Гайкович Ю.В., Першин А.С. Безопасность электронных банковских систем, 2015, 174 с.
5. Груздев С. М., Электронные ключи, 2014, 62 с.
6. Демин В.С., Автоматизированные банковские системы, 2016, 67 с.
7. Деднев М.А., Дыльнов Д.В., Защита информации в банковском деле и электронном бизнесе, 2014, 512 с.
8. Заратуйченко О.В., Концепции построения и реализации информационных систем в банках, 2016, 341 с.
9. Карасик И.В., Программные и аппаратные средства защиты информации для персональных компьютеров, 2014, 214 с.
10. Крысин В.А., Безопасность предпринимательской деятельности, 2017, 305 с.
11. Кузнецов В.Е., Измерение финансовых рисков. Банковские технологии, 2015, 42 с.
12. Линьков И.И., Информационные подразделения в коммерческих структурах: как выжить и преуспеть, 2015, 126 с.
13. Мафтик С.П., Механизмы защиты в сетях ЭВМ, 2017, 225 с.
14. Мельников Ю.Н., Иванов Д.Ю., Многоуровневая безопасность в
корпоративных сетях, 2016, 284 с.
15. Петров В.А., Пискарев С.А., Информационная безопасность. Защита информации от несанкционированного доступа в автоматизированных системах, 2017, 69 с.
16. Романец Ю. В., Тимофеев П.А. Защита информации в компьютерных системах и сетях, 2016, 256 с.
17. Романова, Ю.Д., Информатика и информационные технологии, 2017, 220 c.
18. Семеновых В.А., Некоторые вопросы информационно-аналитической работы в банке, 2016, 37 с.
19. Стрельцов А.А., Обеспечение информационной безопасности. Теоретические и методические основы, 2016, 187 с.
20. Спесивцев А.В., Защита информации в персональных ЭВМ 2016, 65 с.
21. Торокин А.А., Основы инженерно-технической защиты информации, 2016, 163 с.
22. Титоренко Г.А., Компьютеризация банковской деятельности, 2015, 89 с.
23. Тушнолобов И.Б., Урусов Д.П., Распределенные сети, 2017, 112 с.
24. Мур Г. С., Глобальный информационный рынок, 2017, 83 с.
- Формы и виды ответственности лица принимающего решения.
- Управление банком: цели, принципы, содержание, методы.
- Организация кассовой работы в банке (Понятие и основы организации кассовой работы в банке)
- Материально-техническая база предприятий питания, эффективность её использования.
- «Бренд как конкурентное преимущество компании» (Практические аспекты бренда компании как работодателя )
- Анализ движения денежных средств. структура движения денежных средств. Взаимосвязь чистой прибыли и движения денежных средств.
- Нотариат в РФ ( Общие положения о нотариате в Российской Федерации )
- Сроки в гражданском праве. (Общая характеристика сроков в гражданском праве)
- Ответственность за нарушение законодательства о рекламе ( Гражданская ответственность за нарушение законодательства в сфере рекламы )
- Понятие и виды наследования ( Понятие наследования )
- Влияние информационных сетей на становление современного общества ( Происхождение информационного общества )
- Проектирование реализации операций бизнес-процесса