Содержание:

Введение

Современные тенденции развития банковских систем всё чаще указывают на то, что традиционные системы защиты от мошенничества становятся слабы в работе с рисками. Многочисленные попытки банков усилить меры защиты приводят к обратному эффекту — мошенники придумывают всё более сложные схемы атак. Всё чаще используются средства, которые дают возможность проводить банковские операции от имени реального клиента, используя данные, полученные нелегальным путём. Для этого используются трояны через подложные сайты или осуществляются атаки типа Man-in-the-Middle, Man-in-the-Browser. Эти виды действий воспринимаются традиционными средствами защиты как «легальные». К примеру, мошенники могут использовать реальные данные клиентов с целью обналичивания денежных средств. Система аутентификации расценит вход в систему без каких-либо противоречий. Мошенник может работать с другого оборудования, из другой точки и выводить, как правило, все деньги небольшими порциями через различные каналы (интернет-магазины, банкоматы и т.п.). При этом традиционные средства защиты не могут интерпретировать факт нелегальных действий по этой совокупности признаков. В связи с этим основными способами защиты в банковской среде остаются традиционными методы, такие как антивирусы, средства авторизации, межсетевые экраны, DLP, ADS, криптографические средства, все чаще используются методы защиты, выстроенные на анализе логики финансовых операций.

В настоящее время контроль поведения пользователя является основным направлением системы, для обеспечения защиты от мошеннических действий. Всё чаще на рынке появляются продукты, которые нацелены на решение этой задачи.

Целью данной курсовой работы является необходимость изучить основной спектр угроз безопасности банковской системы и рассмотреть системы защиты информации в данной области.

Объектом курсовой работы является информационная безопасность в банковской сфере.

Предметом выступают основные меры обеспечения безопасности.

Целью данной курсовой работы является всесторонний анализ причин возникновения и угроз информационной безопасности в банковской системе, а также рассмотрение задач и способов их урегулирования

Поставленные цели обуславливают решение следующих задач:

1. Изучить банковскую систему России, понять её основные принципы.
2. Выявить основные риски и угрозы в банковской сфере.
3. Проанализировать основные способы борьбы с угрозами для финансово-кредитных учреждений.

1 Банковская система

1.1 Понятие банковской системы

Банковская система Российской Федерации включает в себя Банк России, кредитные организации, а также представительства иностранных банков.

Правовое регулирование банковской деятельности осуществляется Конституцией Российской Федерации, настоящим Федеральным законом, Федеральным законом "О Центральном банке Российской Федерации (Банке России)", другими федеральными законами, нормативными актами Банка России^[1].

Банковская система в целом представляет собой совокупность банков, небанковских учреждений, банковской инфраструктуры, которые находятся в тесном взаимодействии между собой и обеспечивают ее устойчивое развитие.

Ключевую роль в рыночной экономике играют кредитная система и её важная составляющая — коммерческие банки. Через них проходит основной объём расчётов и платежей юридических и физических лиц, также система мобилизует и превращает в активно действующий капитал временно свободные денежные средства, выполняет кредитные, расчётные, гарантийные, инвестиционные и иные операции.

Кредитная система состоит из отношений в этой сфере, а также её форм и методов кредитования. Она также представляет собой совокупность институтов, которые организуют кредитные отношения. Система состоит из звеньев:

• центральный банк;
• коммерческие банки;
• специализированные кредитно-финансовые институты.

Банковская система представляет собой форму организации функционирования специализированных кредитных учреждений в государстве, которая сложилась исторически и закреплена на законодательном уровне. Как денежная и финансовая системы, банковская система имеет национальные черты, она формируется и преобразуется под влиянием целого комплекса факторов, характерных для данного региона: природные и географические условия, климат, национальный состав населения, его занятия и промыслы, контакты с соседями, торговые пути и др.^[2]

Основную нормативно-правовую базу банковской системы представляют собой законы и соответствующие подзаконные акты. Среди источников правового регулирования банковской системы главное место занимает Конституция Российской Федерации (ст.15, ст.75 Конституции РФ). Центральный банк является органом государственной власти и соответственно занимает определенное место в ее механизме и в системе разделения властей (ст.10, ст.71, ст.75 Конституции РФ). Деятельность банковской системы затрагивает права и свободы личности, связана с реализацией некоторых из них, закрепленных в Конституции (ст.8, ст.17, ст.18, ст.35, ст.55 Конституции РФ). Также банковская структура призвана решать некоторые важные общественные задачи.

При рассмотрении совокупности банков как системы важно учитывать ряд базовых условий понятия «система»:

• наполненность — наличие ряда элементов, образующих совокупность;
• структурированность — группирование отдельных элементов в сегменты;
• целостность — наличие элементов, причём необходимое для стабильного и эффективного функционирования всех сегментов, а также уровней и элементов системы;
• взаимосвязанность — взаимодействие между отдельными элементами.

Банковская система отражает сложное понятие, при этом она может быть рассмотрена и структурирована с ряда позиций, и в первую очередь как организационная и как институциональная схема, кроме того, особое значение имеют подходы, структурирующие систему по функциям, взаимосвязям, иерархии, а также по специализации (ориентации), комплексности, сферам реализации и т.д^[3].

Институциональная схема состоит из отдельных элементов — организационных структур (учреждений и организаций). Они прямо или косвенно участвуют в банковской деятельности. А их состав, задачи, функции и операции представляют собой форму взаимосвязи и иерархию.

Организационная схема объединяет виды и формы кредитов, в которых участвуют учреждения банковского типа конкретного государства. Схема структурируется по формам кредита и характеру участия банков.

Признаки и свойства банковской системы

Банковская, как и любая другая системы, обладает характерными признаками и свойствами. Например, она не является хаотичным многообразием или случайной совокупностью элементов. Её порядок строго структурирован. В банковскую систему нельзя механически включать субъекты, также действующие на рынке, но подчиненные другим целям.

Банковская система имеет определенную специфику, она выражает свойства, которые характерны только для неё, это определяется составными элементами и их взаимодействием.

Отдельные части банковской системы, например, различные банки, связаны таким образом, что могут при необходимости взаимозаменяться. Это явно проявляется в критических ситуациях, когда ликвидируется один банк, вся система в целом продолжает работать. А на месте недееспособного появляется другой банк, который может взять в себя все те опции, которые были в предыдущем. При этом, в банковскую систему могут попадать и новые части, восполняющие и улучшающие специфику системы. В теории системы может лишиться даже ядра — центрально банка — оставаясь при этом дееспособной. Пока не появится новый элемент, замещающий исчезнувший, более мелкие элементы способны проводить банковские и небанковские операции.

Банковская система динамична. Во-первых, дополняется новыми компонентами и совершенствуется. А во-вторых, внутри системы постоянно возникают новые связи. Взаимодействие происходил как между основным ядром — центральным банком — и более мелкими элементами, так и между самими банками. Например, они являются участниками на рынке межбанковских кредитов, покупают денежные ресурсы друг у друга или оказывают иные услуги, участвуют в совместных проектах по финансированию предприятий, образовывают коалиции.

Тип банковской системы закрытий. Но так назвать её нельзя, поскольку существует взаимодействие с внешней средой, а также с другими системами. Тем не менее её относят к такому типу, поскольку существует банковская тайна. Это законодательно закрепленный принцип, в соответствие с которым банки не могут разглашать информацию о клиентах, а также об остатках на их счетах, операциях и прочем.

Банковская система выступает как управляема. Центральный банк подотчетен исполнительной ветви власти, несмотря на относительно независимую денежно-кредитную политику. Деятельность коммерческих банков регулируется общим и специальным банковским законодательством, а также нормативами, которые устанавливает центральный банк. Последний также осуществляет контроль над кредитными институтами.

Банковские системы можно разделить на два типа: одноуровневые и двухуровневые. Первому типу характерно отсутствие разделение на эмиссионные и не эмиссионные банки. Этот тип присущ системам на раннем этапе развития или для тех, которые базируются на плановой экономике.

Двухуровневая система предусматривает деление банков на:

• центральный банк
• коммерческие банки и другие финансово-кредитные институты, осуществляющие отдельные банковские операции.

Этот тип характерен рыночной экономике. В этом случае государство выстраивает общие ориентиры для банковской системы. А центральный банк не проводит напрямую операций с населением и действующими предпринимателями. Обслуживание клиентов и проведение их операций происходит на втором уровне, где сосредоточены коммерческие банки и прочие кредитные институты.

Также банковские системы можно разделить на две группы:

• сегментированная банковская система (американский тип);
• универсальная банковская система (европейский тип).

Для американского типа характерно следующее:

• обилие мелких и средних банков, позволяющее распределить денежные потоки в пользу мелкого и среднего бизнеса;
• разделение между традиционными банковскими операциями, такими как расчёты, депозиты, кредиты и прочее и фондовыми операциями. Второе разрешено только специализированным инвестиционным банкам и смешивание этих видов деятельности в одном учреждении строго запрещено.

Банковская система европейского типа имеет следующие особенности:

• превалируют крупные коммерческие банки со значительным капиталом и большим количеством филиалов;
• универсальность — банки имеют право осуществлять широкий спектр операций, нет разделения по спецификации.

На общее состояние банковской системы в России оказывают воздействие следующие факторы:

• уровень капитализации банков, участие различных юридических лиц в их уставных капиталах, рыночная стоимость активов банков;
• ресурсная база, как внешняя, характеризующаяся общим предложением денег и кредита в экономике и их доступностью на рынках капитала. Так и внутренняя, зависящая от возможности привлечения средств на банковские счета, депозиты, на межбанковском кредитном рынке и у центрального банка;
• использование производственного кредита в реальном секторе экономики, обеспечивающего создание новой стоимости;
• зависимость коммерческих банков от финансового состояния клиентов. Повышение реального уровня доходов обеспечивает прирост средств в банках на счетах и в депозитах;
• управление банками, направленное на эффективный менеджмент в сфере кредитных ресурсов, минимизацию рисков, контроль и своевременный аудит, обеспечивающее надежность банков;
• наличие системы страхования вкладов, что повышает степень доверия вкладчиков, поскольку является обязательным условием. Тем самым увеличивается приток средств на счета и депозиты как физических, так и юридических лиц;
• система реструктуризации банков, которая позволяется вовремя избавить банковскую систему от недееспособных банков, провести санацию для оздоровления ресурсов финансово неустойчивых банков;
• система государственного надзора, направленная на контроль деятельности банков с целью недопущения нарушений банковского законодательства, искажения отчётности, проведения незаконных банковских операций и спекулятивных сделок;
• состояние международных кредитных рынков и их воздействие на состояние внутреннего рынка и банковской системы. Это необходимое условие, поскольку банки обслуживают экспорт и импорт, осуществляя валютные операции.

Из вышеперечисленного можно сделать вывод о том, что банковская система представляет собой совокупность коммерческих и национальных банковских учреждений всех типов, которые придерживаются единого денежно-кредитного механизма. Современная банковская система России представлена центральным банком, который выступает ее главным регулятором, а также коммерческими банка и другими кредитно-расчетными учреждениями. Были рассмотрены основные признаки и свойства банковской системы. Данный анализ необходим для того, чтобы определить какие угрозы могут возникнуть в данной системе и какие средства защиты необходимо использовать не только для борьбы с ними, но и для профилактики предотвращения рисков.

2. Характеристика угроз безопасности банка

2.1 Понятие безопасности банка

Одной из наиболее острых экономических проблем Российской Федерации выступает рост угроз экономической и финансовой безопасности государства.

Безопасность в широком смысле — состояние защищенности жизненно важных интересов личности, общества и государства от внутренних и внешних угроз политического, экономического, социального, военного, техногенного, экологического, информационного и иного характера, предполагающее установление политической, экономической и социальной стабильности в государстве, безусловное исполнение законов и поддержание правопорядка, развитие международного сотрудничества на основе партнерства^[4].

В центре экономической системы находится банковская сфера, которая в данный момент, находится в не лучшем состоянии. Данное утверждение связано с процессом филиализации Центрального банка России по отношению к Федеральной резервной системе, что прикрепляет национальную экономику к доллару и ослабляет рубль.

К тому же в настоящее время стала намечаться тенденция роста мошенничества в банковской сфере, что негативно сказывается на экономической жизни государства. Для того, чтобы уменьшить негативные последствия подобных действий, используется такая совокупность мер, как банковская безопасность. Это необходимый комплекс мероприятий и средств для обеспечения защиты деятельности финансово-кредитной организации. Эта система подразумевает не только обеспечение безопасности при совершении финансовых операций, но и сохранность территории и здания банка, финансовых и материальных ресурсов, сотрудников, информации, клиентов, проводимых операций.

Основная целевая направленность обеспечения банковской безопасности состоит в предупреждении и уменьшении рисков, которым может подвергнуться банк. Например, это может быть потенциальный ущерб инфраструктуре банка или его имуществу, которое может препятствовать стабильной работе банка.

В целом банковский риск — это мера допустимо-опасных условий деятельности банка, неблагоприятные последствия которых реализуются в связи с ошибочными решениями, действиями или бездействием руководства и персонала банка.

В РФ регулятором рисков с законодательно-правовой стороны выступает Гражданский кодекс.

2.2 Классификация угроз безопасности банка

Банковская, как и любая другая деятельность подвержена угрозам безопасности. Это меры опасности деятельности банка, которые связаны с противоправными действиями лиц, как правило, посторонних по отношению к финансовому. Правовые отношения, связанные с угрозами, регулирует Уголовный кодекс Российской Федерации.

Угрозы безопасности деятельности банков — нелегальное деяние (или бездействие), посягающее на имущественные и приравненные к ним права, и интересы банка или влияющее на порядок его функционирования.

Угрозы безопасности могут классифицироваться следующим образом:

1. По признаку целевой направленности:

• Угрозы разглашения банковской тайны. Могут причинить банку ущерб его имиджа, конкурентных позиций, ухудшение отношений с клиентами, а также санкции с государственной стороны.
• Угрозы имуществу банка. Могут выступать в роли умышленного повреждения или хищения, в том числе могут проявляться в сознательном провоцировании заведомо убыточных финансовых операций.
• Угрозы банковскому персоналу. Могут проявляться в потере ценных кадров или возникновения трудовых конфликтов.

1. По признаку источника угрозы (субъекта агрессии):

• Со стороны конкурентов. Выделяются российские и зарубежные банки, которые стремятся усилить собственные позиции за счет понижения позиций конкурента. В применении этого метода часто используются промышленный шпионаж, переманивание ценных кадров, дискредитация имиджа конкурента.
• Со стороны криминальных структур или отдельных злоумышленников. Стремление к достижению собственных целей, противоречащих интересам конкретного банка. Здесь используются незаконные действия, например, захват контроля над банком, хищение имущества, незаконные сделки.
• Со стороны нелояльных сотрудников банка. Осознанное нанесение ущерба банковской безопасности в целях достижения собственных интересов. Такими могут выступать улучшения материального положения, карьерный рост, умышленная месть работодателю и прочее.

1. По экономическому характеру:

• Угрозы имущественного характера — действия, которые наносят банку прямой финансовый ущерб. К ним можно отнести похищение денежных средств, материальных ценностей, а также сорванные сделки, потенциально наносящие урон финансовому благосостоянию банка.
• Угрозы неимущественного характера — действия, точный размер ущерба от реализации которых обычно невозможно точно определить. Такими могут выступать ухудшение имиджа, сокращение штата, потери высококвалифицированных кадров и прочее.

1. По вероятности практической реализации угрозы:

• Потенциальные угрозы, которые имеют вероятностный характе. В этом случае у банка есть время для их профилактики или противодействия.
• Реализуемые угрозы, которые в настоящий момент находятся в процессе реализации в то или иной степени. У банка есть время на оперативное отражение и минимизации ущерба.
• Реализованные угрозы, в результате которых нанесен ущерб, а негативное воздействие не предотвращено. В данном случае банк может оценить убытки, выявить проблему и подготовить профилактический меры для того, чтобы в будущем такая ситуация не повторилась.

Благодаря данной классификации появляется возможность сформулировать основные направления мер безопасности, необходимые для успешной работы современных финансово-кредитных организаций:

1) Информационная безопасность банка, которая предполагает защищенность организации от угроз разглашения конфиденциальной информации, а также её потери.

2) Безопасность персонала банка — защищенность банковских работников от предполагаемых угроз. Особое внимание здесь требуется направлять на высококвалифицированные кадры.

3) Имущественная безопасность банка, которая предполагает защищенность материальных ценностей от любых угроз и рисков.

2.3 Безопасность банковской системы России

Современная банковская система подвержена множественным угрозам и рискам, как изнутри, так и с внешней стороны. Современные формы и виды криминальной деятельности в российской кредитно-финансовой сфере во многом схожи с теми, которые были присущи банковской системе в конце ХΙХ – начале ХХ в. К основным правонарушениям можно отнести следующие:

• злоупотребления в сфере кредитов и векселей;
• совмещение государственной службы и участия в акционерных компаниях;
• ложные банкротства.

Развитие преступной деятельности в современной России можно условно разделить на четыре основных этапа. Первый, начавшийся 1992-1993 годах, можно охарактеризовать крупными хищениями денежных средств финансово-кредитных организаций при помощи поддельных платежных документов. Обналичивание происходило в других банках или на предприятиях.

Следующий этап (1993-1994 гг.) характерен преступлениями с использованием трастовых и финансовых компаний — «финансовых пирамид» типа МММ. В данном случае в незаконных действиях использовали невыполнимые договоры займа, а также продавали акции и другие ценные бумаги без достаточного финансового обеспечения.

На третьем этапе, приблизительно в 1994-1996 годах, наиболее распространенным преступлением стала кража кредитных ресурсов коммерческих банков.

На современном этапе основное распространение в преступной практике получил так называемый кардинг — использование электронных средств доступа. Также высока компьютерная преступность и использование в криминальных целях интернет-ресурсов.

Помимо этого, заметен рост незаконных действий в сфере вексельного обращения и страхования.

Банковский сектор является это сектором повышенного риска. Количество угроз не только растет, меняется также и их содержание. Риски подвержены модернизации изменениям, относительно современных реалий и развития технологий.

2.4 Организованная преступность как основной источник угрозы безопасности банков

Банковская система — ключевая часть финансовой и экономической сфер государства. В ней сосредоточен основной поток денежных средств, высокая норма прибыли и финансовые отношения как государства с гражданами, так и между отдельными элементами. Этим вызван высокий интерес к данной системе у криминогенных структур.

Как отмечалось выше, банковская сфера показывает актуальное состояние финансовой системы государства, а также уровень нормализации и распределения денежных потоков физических и юридических лиц и их взаимоотношений с сфере расчетов, защищенность активов и пассивов вкладчиков, поддержание необходимых условий для реализации инвестиций.

В современном мире преступления в банковской сфере всё чаще приобретают такие черты, как организованность и профессионализм, повышается уровень интеллектуальной вовлеченности злоумышленников и использование ими современных технологий. Криминальная среда и её представители подвергают угрозам в основном рынок ценных бумаг, подделывая их, а также платежные средства. Основное направление — подделка пластиковых карт или использование данных карт и клиентов. Также высоко распространено мошенничество в интернете и по телефону. Например, создаются поддельные сайты, идентичные настоящим, с целью кражи данных карты, а также мошенники находят базы данных банков и обзванивают клиентов для того, чтобы узнать данные карты, необходимые для проведения операций.

Чаще всего преступления в отношении банков совершаются не отдельными личностями, а целыми организованными группировками. Организованная преступность — это деятельность устойчивых преступных сообществ (организаций), отличающихся иерархическим организационным построением, сплоченностью на конкретной преступной платформе, отработанной системой конспирации и защиты от правоохранительных органов, коррумпированностью, масштабностью преступной деятельности, включая выход за рубеж и связь с международной мафией^[5].

2.5 Наиболее характерные приемы и способы совершения преступлений в банковской сфере

Можно выделить две основные группы преступлений в банковской сфере:

1. Насильственные преступления (убийства, налеты, грабежи и т.д.);

2. Финансовые преступления (финансовые хищения и махинации).

Для первой группы характерны такие противоправные действия как:

1.1. Покушения высший менеджмент и персонал банков, где наиболее высокую угрозу представляют противоправные действия, направленные на угрозу руководящему звену. Наиболее распространены здесь заказные убийства, однако в современном мире они встречаются всё реже.

1.2. Хищения, вымогательства, кражи. Данные преступления имеют низкую раскрываемость, поэтому пользуются популярностью в криминальной среде.

1.3. Грабежи и налеты на банки. Чаще всего объектами данных преступлений становятся небольшие филиалы банков, так как они имеют меньшую защищённость.

Вторая группа преступлений преобладает как количественно, так и по объемам похищенных средств — это финансовые преступления. Среди них можно выделить:

2.1. Махинации с государственными и бюджетными средствами — это нецелевое использование выделенных средств. В этом случае банковскими работниками совершается перевод государственных или бюджетных средств в частные финансово-кредитные организации или иные структуры.

2.2. Мошенничество с деньгами вкладчиков, ставшее социальной проблемой России конца девяностых-начала двухтысячных годов. Было создано большое количество компаний, активно рекламирующихся, а после исчезавших в один день.

2.3. Невозвращение средств в иностранной валюте из-за рубежа после операций с экспортом. В данном случае используются лжеэкспортные поставки, в которых фигурируют таможни и банки, а также некоторые производства.

2.4. Лжекредитование — присвоение кредитов по фиктивным банковским гарантиям подставными фирмами в коммерческих банках. Сразу после получения кредита такие фирмы прекращают свое существование.

2.5. Мошенничество с кредитом под залог — использование для получения кредита многократно заложенного имущества. Также возможно предоставление заведомо ложных сведений о материальном состоянии субъекта и его имуществе.

2.6. Взаимное кредитование банков по сговору. Например, похищение средств с незаконным использование генеральных доверенностей крупных банков, неоднократное получение кредитов в различных банках, использование поддельных договоров и контрактов, незаконное использование аккредитивов под поставку товаров и другие.

2.7. Мошенничество от имени авторитетных государственных структур, таких как Управление Центральным банком, Пенсионный Фонд и т.п. Услуги по списанию средств из Фонда обязательных резервов. Поддельные приказы арбитражного суда.

2.8. Обман банков с использованием поддельных удостоверений администрации Президента, например незаконные действия от имени мэрии, фальшивые авизо, подложные мемориальные ордера.

2.9. Мошенничества с применением компьютерной техники и телекоммуникаций, такие как махинации и чеками и ценными бумагами, финансовые преступления как внутри страны, так и на международном уровне.

2.10. Мошенничества с платежными средствами. Например, незаконное использование данных карт, которые были утеряны владельцем или украдены у него, подделка карт и их использование.

Во второй главе проанализированы и изучены понятие безопасности банка, выявлены основные риски и угрозы, характерные для этой сферы, такие как разглашение банковской тайны, угрозы имущественного характера и прочие. Охарактеризованы основные этапы развития противоправных действий по отношению к банкам в России, что позволяет понять, как развивались типы преступлений и технологии, помогающие их осуществить. А также приведены основные приёмы и способы, которые характерны для преступлений в банковской сфере. Всё это помогает понять, какие меры по противодействию рискам и угрозам необходимо принимать банкам для успешной деятельности и выполнения своих обязательств как перед государством, так и перед вкладчиками. В следующей главе будет рассмотрена информационная безопасность, как одна из самых приоритетных областей защиты данных в банковской сфере.

3. Системы защиты информации в банковских системах

3.1 Меры защиты компьютерной информации

Информация в компьютерных системах подвержена многочисленным рискам утраты из-за неисправностей или уничтожения оборудования, также возможны хищения. Способы и средства защиты данных включают использование аппаратных средств и устройств, а также внедрение специализированных технических средств и программного обеспечения.

Необходима тщательная разработка, а также реализация мер защиты информационных баз данных. Она должна включать в себя следующие ключевые действия:

1) организацию специальной системы допуска лиц к работе с базами данных, документами и сведениями различного уровня доступа;

2) установление персональной ответственности исполнителей за разглашение конфиденциальной информации, неправомерные действия в информационной среде, которые повлекли или могли повлечь за собой доступ третьих лиц к данным, а также к их неправомерному использованию или уничтожению;

3) разработка должностной инструкции, которая определяет задачи, права и обязанности, функции и ответственность администратора системы защиты информации или лица, заменяющего его;

4) установка специальных порядков и организация хранения документации и средств защиты информации (пароли, ключи, изменение списка субъектов, имеющих право на доступ), включая учёт их выдачи исполнителям;

5) контроль безопасности ПО и технического обеспечения, а также процесса обработки данных;

6) постоянный контроль систем защиты информации с целью выявления изменений в сетевых компонентах, произошедших в нерабочее время;

7) контроль действий пользователей баз данных банка;

8) организация физической защиты помещений, в которых производится автоматизированная обработка конфиденциальной информации;

9) обучение исполнителей правилам безопасной работы с конфиденциальной информацией и выявлене признаков неправомерных действий с данными.

3.2 Защита информации путем применения программных и технических средств

Защита информации путем применения программных и технических средств включает в себя следующие необходимые действия:

1) внедрение в банковскую информационную систему специальных программ и механизмов, позволяющих ограничить доступ посторонних лиц, включая использование паролей, методов шифрования или других способов, позволяющих получать доступ к просмотру, изменению или созданию данных только у уполномоченных исполнителей. Что позволит обеспечить защиту правового статуса электронных документов при их обработке, хранении или передаче. Например, платежных поручение или других финансовых документов. Средством защиты в данном случае может выступить цифровая подпись. Это специальный реквизит электронного документа, который с помощью криптографического ключа, позволяет выступать гарантом идентификации владельца.

2) оснащение баз данных банка механизмами идентификации и аутентификации с использованием паролей, ключей, электронной цифровой подписи, включая биометрические характеристики личности лиц, имеющих доступ к конфиденциальной информации;

3) разграничение доступов к объектам конфиденциальной информации на мандатной основе. То есть доступ должен быть только у тех пользователей, у которых есть официальное разрешение на работу с этими данными;

4) внедрение системы автоматического протоколирования информационной системой событий, имеющих отношение к использованию конфиденциальной информации.

3.3 Криптографическая защита информации

Использование информационных технологий в банковской системе имеет множественные преимущества, что определяет их широкое распространение и использование. Однако при этом возникают новые способы распространения рисков и угроз безопасности финансово-кредитных организаций. Для того, чтобы защитить информацию используются такие средства защиты, как методы шифрования, по-другому их можно назвать криптосистемами. Они представляют собой алгоритмы и ключи к шифрам.

С формальной точки зрения, криптография — это наука, обеспечивающая секретность сообщения. Её основателем считается Эней Тактик, который написал первый научный труд о криптографии. Такой способ защиты информации использовался с древних времен чаще всего в военных целях. Своё развитие наука получила в Средневековье, когда её использовали дипломаты. А катализатором распространения послужила Вторая мировая война. В это время начали использоваться специальные шифровальные машины — немецкая «Энигма», английская «Бомба Тьюринга».

В современном мире криптография вышла на новый уровень благодаря развитию интернета и стала использоваться в целях защиты информации в различных системах, например, банковской.

Главный элемент криптосистемы — метод распространения ключей. Он направлен на предотвращения доступа к информации у посторонних лиц. Чаще всего используются следующие методы:

- метод базовых ключей, который предполагает особую иерархию их распределения между исполнителями или пользователями, имеющими доступ к информации: главный ключ, ключ шифрования ключей, ключ шифрования данных;

- метод открытых ключей — используется несколько частей ключа, одна из которых остаётся открытой и может передаваться по незащищенным каналам связи;

- метод выведенного ключа, сложная система, предполагающая использование ключа шифрования для каждой последующей операции путём преобразования предыдущего ключа и его параметров. Используется при операциях с платежными средствами — банковскими картами;

- метод ключа транзакции, который отличается от предыдущего тем, что параметры не меняются.

Банк в своей деятельности может выбрать любой предложенный метод, всё зависит от параметров, необходимых для успешной деятельности, а также готовности решить приоритетную задачу: большие затраты для снижения рисков или наоборот.

3.4 Аутентификация электронных данных

Аутентификация — это процесс проверки принадлежности субъекту прав доступа к информационным ресурсам системы или веб-сайта в соответствии с предъявленным им идентификатором; подтверждение (установление) подлинности субъекта^[6].

Это промежуточная стадия предоставления доступа пользователю. Она происходит после идентификации и перед авторизацией.

Основные способы применения:

- текстовый ввод логина и пароля;

- электронные сертификаты;

- пластиковые карты;

- биометрические устройства, например, сканер радужной оболочки глаза или отпечатков пальцев, ладоней.

Двухфакторная аутентификация — это дополнительный уровень безопасности, который гарантирует, что доступ к учетной записи сможет получить только конкретный пользователь, даже если ваш пароль стал известен кому-то еще. Он особенно необходим для работы в банковской сфере. Двухфакторная аутентификация (ДФА) является типом многофакторной аутентификации. ДФА — представляет собой технологию, обеспечивающую идентификацию пользователей с помощью комбинации двух различных компонентов. Примером двухфакторной аутентификации является авторизация Google и Microsoft. Когда пользователь заходит с нового устройства, помимо аутентификации по имени-паролю, его просят ввести шестизначный (Google) или восьмизначный (Microsoft) код подтверждения. Абонент может получить его по SMS, с помощью голосового звонка на его телефон, код подтверждения может быть взят из заранее составленного реестра разовых кодов или новый одноразовый пароль может быть сгенерирован приложением-аутентификатором за короткие промежутки времени. Выбор метода осуществляется в настройках аккаунта Google или Microsoft соответственно.

У двухфакторной идентификации через мобильные устройства есть важные плюсы:

• Не нужны дополнительные токены;

• Код подтверждения постоянно меняется, а это безопаснее, чем однофакторный логин-пароль.

3.5 Электронная подпись

Электронная подпись — особый реквизит электронного документа, необходимый для защиты от нелегальных изменений. Он появляется полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи. Данный реквизит даёт возможность идентифицировать владельцев ключа и сертификата, а также установить подлинность документа.

Этот вид защиты предназначен для идентификации и аутентификации лица, подписавшего электронный документ. Кроме этого, ЭЦП позволяет:

− Подтвердить подлинное авторство документа. Данной подписью могут быть отмечены поля автора, задекларированы изменения, указано время создания документа.

− Проконтроливать целостность полученного документа. При изменении подпись документа меняется, что делает её недействительной.

− Защитить документ от подделки, так как подпись зашифрована.

− Защитить от отказа от авторства. Ключ уникальный и принадлежит владельцу документа.

3.6 Защита от угроз, связанных с использованием электронных банковских карт

С развитием платежных систем резко увеличился рост использования банковских карт. В большинстве стран с развитой экономикой происходит отказ от наличных денежных средств. Карты могут классифицироваться разными способами: платежная система, эмитент (банк, выпустивший карту), наличию чипа, наличию средств бесконтактной оплаты и многим другим. Сейчас это одна из самых уязвимых частей банковской системы. Наиболее частыми махинациями в этой сфере являются:

- мошенничество в торговых точках. Продавцы снимают сумму больше, чем требуется для оплаты;

- кража оригинальной карты для последующего использования её данных;

- подделка карт;

- кража данных карт.

Помимо прямых финансовых потерь в случае совершения махинаций, возможны также имиджевые риски. Например, если выпущенные банком карты были недостаточно защищены, а необходимые меры по исправлению этой проблемы оперативно не приняты.

Все банковские карты должны соответствовать основным требования — уникальность и необратимость. Первое заключается в том, что карта существует только в единственном экземпляре и данные, размещенные на ней, нигде более не повторяются. Основания второго требования в том, что изначальная информация не может быть восстановлена, например, переводы по номеру карты нельзя отменить, а баланс восстановить.

Основные методы обеспечения безопасности в данном сегменте:

- уникальные методы защиты пластиковых карт, например, голограммы;

- переход от обычных карт к интеллектуальным, их уровень защищенности которых выше;

- защита банкоматов, например их размещение в безопасных местах под наблюдением сотрудников банка или охраны, размещение камер;

- защита кассовых аппаратов, работающих с картами.

3.7 Организация системы антивирусной защиты банковских информационных систем

Одним из важных средств защиты компьютерной безопасности является антивирусная система, которая помогает избегать атак на базы данных. Её программно-технические компоненты должны соответствовать следующим принципам:

• Надежность. Заключается в том, что система должна функционировать даже при условии, что некоторые их её компонентов утратили работоспособность. А также необходимо иметь способы восстановления после сбоев.
• Масштабируемость, то есть она формируется исходя из числа объектов и увеличивается при их росте.
• Открытость. Основа принципа в том, что у системы должна быть возможность увеличения и обновления функций. При этом процесс не должен влиять на её работоспособность.
• Совместимость — состоит в том, что система должна поддерживаться максимально возможным числом сетевых ресурсов.
• Унифицированность (однородность). Все компоненты системы должны быть стандартными, иметь широкую сферу применения, а также быть проверенными.

Также антивирусная система должна поддерживать регулярные обновления базы. Кроме того, содержать специальные уникальные механизмы для поиска вирусов, которые не были известны ранее или модифицированы, поскольку именно они являются наиболее распространенными и трудновычесляемыми.

Надежность функционирования антивирусной системы имеет необходимый набор требований:

• она не должна мешать работе остальных приложений, используемых пользователями;
• необходима возможность вернуться к использованию предыдущей версии, если в новой произошёл какой-то сбой;
• функционирвание системы должно происходить в том же режиме, как и объект, на котором она установлена;
• обеспечение мгновенного уведомления при сбоях или обнаружении вируса;

На приложенном рисунке рассматривается общая схема решений для антивирусной защиты в банковской среде. Защита идёт через Интернет, Proxy сервис и Mail сервис, поскольку именно оттуда поступает подавляющее большинство вирусов, по статистике это около 80%. Далее происходит защита на уровне серверов банка и рабочих станций, в том числе компьютеров персонала. Необходимо отметить, что заранее возможно обнаружить лишь порядка 30% всех вирусов, остальные получится найти только в процессе работы антивирусной системы. Однако фаза предварительного мониторинга очень важна, зачастую именно она позволяет выявить ранее неизвестные вирусы.

Рис 1. Общая структура антивирусной защиты.

В настоящее время антивирусы для межсетевых экранов применяются для контроля над доступами к интернет ресурсам и проверке входящего трафика. Такой тип проверок сильно замедляет работу, к тому же имеет невысокий уровень обнаружения вирусов. Поэтому при отсутствии необходимости он является нецелесообразным.

Чаще всего для защиты информации основные меры направляют на файл-сервера и хранилища. Дело в том, что именно они содержат необходимые базы данных. Стоит отметить, что антивирусная система не выступает альтернативой резервному копированию и другим средствам обеспечения безопасности информации, но без него может возникнуть ситуация использования зараженных резервных данных, в то время как вирус в основном документе активируется только спустя некоторое время.

Также защищают рабочие станции и компьютеры персонала, даже если они не хранят конфиденциальную информацию или другие важные данные. Поскольку антивирус может снизить время аварийного восстановления машины.

Защите от вирусов подлежат все компоненты банковской информационной системы, связанные с передачей данных и/или их хранением:

• Файл-серверы;
• Рабочие станции;
• Рабочие станции мобильных пользователей;
• Сервера резервного копирования;
• Сервера электронной почты;

Защита рабочих компьютеров (в т.ч. мобильных пользователей) должна осуществляться антивирусными системами и методами сетевого экранирования рабочих мест.

Данные методы обеспечивают защиту пользователя при работе с данными с использованием сети интернет, а также защиту рабочих станций ЛВС компании от внутренних нарушений политики безопасности.

Особенности сетевых экранов для рабочих станций:

• Контролируют подключения в обе стороны
• Позволяют известным приложениям получить доступ в Интернет без вмешательства пользователя (autoconfig)
• Мастер конфигурирования на каждое приложение (только установленные приложения могут проявлять сетевую активность)
• Делают ПК невидимым в Интернет (прячет порты)
• Предотвращают известные хакерские атаки и троянские кони
• Извещают пользователя о попытках взлома
• Записывают информацию о подключениях в лог файл
• Предотвращают отправку данных, определённых как конфиденциальные от отправки без предварительного уведомления
• Не дают серверам получать информацию без ведома пользователя (cookies).

Работу антивирусной системы для банка можно рассмотреть на примере «Лаборатории Касперского». В данной системе используется метод AVP, который обеспечивает антивирусный контроль на платформах DOS, Windows и другх популярных. Также поддерживаются основные программы, используемые для работы: Microsoft Exchange, Microsoft Office, Checkpoint Firewall, а также почтовые сервисы. Компания предоставляет возможность ежедневного обновления пакета через интернет.

Система является оптимальным решением на уровне почтовых шлюзов, а также для платформы HP-UX.

Другим примером является Symantec Antivirus (Symantec Corp.) — это набор антивирусных продуктов компании Symantec, который предлагается корпоративным пользователям. Он объединяет все антивирусные продукты компании для серверов Windows NT и Novell, рабочих станций, коммуникационных пакетов Lortus Notes и MS Exchange, SMTP почтовых серверов и брандмауеров, а также включает управляющую консоль Symantec System Center. Отличительными особенностями данного пакета являются:

• иерархическая модель управления;
• наличие механизма реакции на возникновение новых вирусов.

3.8 Антифрод

Антифрод — система, направленная на оценку финансовых транзакций в сети интернет на предмет подозрительности с точки зрения мошенничества, которая предлагает рекомендации по их дальнейшей обработке. Как правило, сервис антифрода состоит из стандартных и уникальных правил, фильтров и списков, по которым и проверяется каждая операция.

Фрод-мониторинг транзакций осуществляют департаменты банков, связанные с безопасностью и оценкой рисков. Собственные технологии фрод-мониторинга есть у международных платежных систем (VISА, MasterCard и другие). Так же как дополнительную услугу к интернет-эквайрингу, фрод-мониторинг предлагают процессинговые центры и платежные шлюзы.

На государственном уровне данные фрод-мониторинга использует специальное управление для пресечения противоправных действий в сфере информационных технологий.

Банки используют системы фрод-мониторинга для обнаружения и блокирования следующих операций:

1. Незаконных списаний с помощью:

• карточных транзакций (банкоматы, POS-терминалы, карточные интернет покупки),
• интернет-банка, мобильных приложений, киосков самообслуживания,
• снятий по сговору в депозитных операциях, с неактивных счетов и прочее.

2. Мошеннических кредитов:

• в кредитных заявках (аппликационный),
• накопительных (bustoutfraud).

3. Нелегальных фондовых операций, казначейских, рыночных.

4. Операций по обналичиванию денежных средств.

Основные принципы антифрода:

1. Настраиваются алгоритмы обнаружения подозрительности

Производится настройка фильтров, моделей аномального или злоумышленного поведения, моделей построения связей, баллов присваиваемых при срабатывании тех или иных алгоритмов, общего балла отсечения подозрительной активности.

2. Организуется подключение к источникам данных

Производится подключение к источникам данных для сбора аналитической информации

3. Осуществляется подключение к системам ожидающим результатов проверки

Например, системы исполнения расчетов, выдачи кредитов, контроля операций и т.д. могут ожидать блокирующих, разрешающих или уведомительных сигналов. Например, расчетные транзакции могут останавливаться и «ждать» разрешительного или запретительного сигнала от Анти-фродсистемы. Если результат проверки Анти-фрод будет в серой зоне (нечетко расшифруемыми), то такие сигналы попадают предварительно в группу верификации, которая принимает окончательное решение.

4. Организуется последующее совершенствование алгоритмов обнаружения подозрительности, актуализация и расширение источников данных

Изменения способов злоумышленных действий требует изменения алгоритмов их детектирования и источников этой информации.

Существует множество способов и методов защиты данных в банковской сфере. Выше рассмотрены и проанализированы основные из них. Можно сделать вывод о том, что подходить к решению данной проблемы необходимо комплексно. В первую очередь необходима защита конфиденциальной информации. Здесь подходят как и общие меры, например, использование антивирусных систем, так и прикладные: своды правил работы с данными для сотрудников, проведение тренингов и тестов. Более узконаправленные средства также необходимы, ими могут выступать сетевые экраны, криптография, специализированное программное обеспечение и многие другие. Помимо документов должны быть защищены и сами операции, например, электронной подписью. Все доступы также необходимо защищать — использовать средства аутентификации. Совокупность таких мер помогает банкам избежать таких угроз, как хищение денежных средств, конфиденциальной информации, а также имиджевых рисков.

Заключение

Одной из наиболее острых экономических проблем Российской Федерации выступает рост угроз экономической и финансовой безопасности государства. В центре экономической системы находится банковская сфера, которая в данный момент, находится в не лучшем состоянии. Данное утверждение связано с процессом филиализации Центрального банка России по отношению к Федеральной резервной системе, что прикрепляет национальную экономику к доллару и ослабляет рубль.

К тому же в настоящее время стала намечаться тенденция роста мошенничества в банковской сфере, что негативно сказывается на экономической жизни государства. Поэтому в каждом банке оганизован отдел информационной безопасности, который занимается защитой данных от утечки и разглашения третьим лицам при помощи следующих инструментов:

1. Специализируемое и контролируемое программное обеспечение, которое должно отличаться особой надежностью.
2. Разработка должностной инструкции, которая определяет задачи, права и обязанности, функции и ответственность администратора системы защиты информации или лица, заменяющего его.
3. Установка специальных порядков и организация хранения документации и средств защиты информации (пароли, ключи, изменение списка субъектов, имеющих право на доступ), включая учёт их выдачи исполнителям.
4. Тщательный отбор и текущий контроль персонала, имеющего доступ к информации. Наличие разных уровней доступа.
5. Системы идентификации, аутентификации и авторизации.
6. Шифрование информации.
7. Защита от физического грабежа.

Несмотря на возросший уровень информационных технологий, позволяющих несанкционированно получить доступ к секретной информации, современный рынок способен предложить эффективные и надежные способы защиты банковской информации, которые совершенствуются с не меньшей скоростью, чем инструменты взлома. Обеспечение информационной безопасности — это одна из наиболее актуальных проблем для каждого банка, в которое вкладывается достаточно большое количество ресурсов.

Список используемой литературы

1. Андрианов И.В. Применение интеллектуального анализа данных для выявления мошеннических транзакций по платежным картам / Безопасность информационных технологий. 2012. № 1. С. 78-79.

2. Артамонов И.В. Программный комплекс анализа надежности бизнес-транзакций / Информационные системы и технологии. 2014. № 5 (85). С. 5-13.

3. Артамонов И.В. Внутренне-надежная бизнес-транзакция / Инновации на основе информационных и коммуникационных технологий. 2013. Т. 1. С. 510-512.

4. Долгов В.И., Ищенко Ю.М. Дополнительные свойства безопасности электронных транзакций в системах, использующих сервисы комбинированной инфраструктуры открытых ключей / Информационное противодействие угрозам терроризма. 2010. № 14. С. 79-83.

5. Зайченко И.А. Скоринг как метод оценки кредитного риска / Вестник Северо-Кавказского гуманитарного института. 2012. № 3. С. 45-54.

6. Иванов Э.А., Иванова И.В. Понятие, сущность и правовое регулирование российской банковской системы. — 2012. С. 38-45.

6. Карпычев В.Ю. Информационные технологии в экономических исследованиях / Экономический анализ: теория и практика. 2013. № 20 (323). С. 2-11.

7. Коноваленко С.А. Скоринг как метод обеспечения финансовой безопасности кредитора. оценка и учет / В сб.: Роль бухгалтерского учета, контроля и аудита в обеспечении экономической безопасности России. Сб. науч. тр. Москва, 2015. С. 125-132.

8. Логинов Е.Л., Шкрабляк Н.С. Методологические подходы к разработке механизма мониторинга электронных финансовых транзакций / Инженерная физика. 2010. № 9. С. 41-46.

9. Махутов Н.А., Прелов В.В. Анализ процессов и критериев финансовой безопасности / Проблемы безопасности и чрезвычайных ситуаций. 2014. № 3. С. 19-26.

10. Целых А.А. Методы интеллектуального анализа связей для задач противодействия легализации незаконных доходов / Известия ЮФУ. Технические науки. 2010. № 10 (87). С. 196-200.

Электронные ресурсы:

1. Библиотекарь — [Электронный ресурс] — Режим доступа: http://www.bibliotekar.ru/ugolovnoe-pravo-3/225.htm
2. Консультант — [Электронный ресурс]. — Режим доступа: http://www.consultant.ru/document/cons_doc_LAW_5842/5891ab781e0db379cd369d8ee13e4a2c5f3430e3
3. ПромоПульт — [Электронный источник] — Режим доступа: https://promopult.ru/library

1. См: Консультант [Электронный ресурс] URL: http://www.consultant.ru/document/cons_doc_LAW_5842/5891ab781e0db379cd369d8ee13e4a2c5f3430e3 (дата обращения 27.09.2019) ↑

2. См: Иванов Э.А., Иванова И.В. Понятие, сущность и правовое регулирование российской банковской системы. — М. 2012.

   ↑

3. См: Андрианов И.В. Применение интеллектуального анализа данных для выявления мошеннических транзакций по платежным картам / Безопасность информационных технологий. 2012. № 1. С. 78-79. ↑

4. См: Гревцов, Ю.И.; Козлихин, И.Ю. Энциклопедия права: учебное пособие. — Сбп.: 2008.

   ↑

5. См: Библиотекарь [Электронный ресурс] URL: http://www.bibliotekar.ru/ugolovnoe-pravo-3/225.htm (дата обращения 30.09.2019). ↑

6. См: ПромоПульт [Электронный источник] URL: https://promopult.ru/library (дата обращения 1.10.2019). ↑