Система защиты информации в банковских системах (АК «Собинбанк»)
Содержание:
ВВЕДЕНИЕ
Актуальность проблемы, связанной с обеспечением безопасности информации, возрастает с каждым годом. Наиболее часто потерпевшими от реализации различных угроз безопасности являются финансовые и торговые организации, медицинские и образовательные учреждения. Если посмотреть на ситуацию десятилетней давности, то основной угрозой для организаций были компьютерные вирусы, авторы которых не преследовали каких-то конкретных целей, связанных с обогащением. Современные хакерские атаки стали более изощренными, организованными, профессиональными, разнообразными и, главное, имеющими конкретную цель, например направленными на хищение данных банковских счетов в конкретных банковских системах. Совершенствование сферы информационных услуг, особенно в сфере дистанционного банковского обслуживания, способствует развитию интеллекта киберпреступников.
Статистика подтверждает необходимость комплексной системы защиты информации. В России, как и за рубежом, она обусловлена двумя во многом пересекающимися группами факторов: требованиями бизнеса и законодательства.
Цель курсовой работы является раскрыть систему защиты информации в банковских системах.
Для реализации данной темы необходимо решить следующие задачи:
- раскрыть понятие конфиденциальности информации;
- рассмотреть проблемы защиты информации в банковском секторе.
Объектом работы является АБ «Собинбанк».
Предметом исследования является система защиты информации банка.
В процессе исследования были применены такие научные методы, как структурно-функциональный анализ и синтез, экономико-статистический метод, метод сравнения.
Курсовая работа состоит из введения, двух глав, заключения, списка использованной литературы и приложений.
1. ТЕОРЕТИЧЕСКИЕ ОСНОВЫ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ
1.1 Понятие конфиденциальности информации
Для всякого предприятия, учреждения, организация (далее именуется организация) характерны ситуации, при которых необходимо обмениваться конфиденциальной информацией. В одних случаях этот обмен является обязательным и определен нормами законодательства Российской Федерации, в других случаях -является волеизъявлением собственника конфиденциальных сведений и, как правило, обусловлен необходимостью выполнения совместных работ.
Полученная от владельца информационного ресурса (собственника информации) конфиденциальная информация, сосредоточенная у владельца информационного ресурса (получателя информации), может стать объектом заинтересованности третьих лиц и, как следствие, спровоцировать компьютерную атаку на информационный ресурс получателя.
"Конфиденциальность информации" признак (условие) ограничения доступа к информации.
"Тайна" - конкретный режим ограничения доступа к информации. "Ограничение доступа к информации" - идентично конфиденциальности.
Федеральный закон "Об информации, информационных технологиях и защите информации" определил интересующее нас понятие следующим образом: конфиденциальность информации - обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя (п. 7. ст. 2).
Согласно "Специальных требований и рекомендаций по технической защите конфиденциальной информации" "конфиденциальная информация"- это информация с ограниченным доступом, не содержащая сведений, составляющих государственную тайну, доступ к которой ограничивается в соответствии с законодательством Российской Федерации.
К конфиденциальной информации относятся не только "тайна следствия и судопроизводства", "служебная тайна", а также "коммерческая тайна" и актуальные на сегодняшний день "персональные данные".
Перечислим некоторые методологические подходы к формированию системы конфиденциальности. Первое условие - интерес - определяется характером субъекта, обладающего информацией. Опираясь на привычную триаду, можно выделить три вида субъектов (личность, социальная общность, государство) и связать их интересы с конкретными видами тайн: личность (физическое лицо) безотносительно к ее служебному положению - личная тайна; социальная общность (семья, общественное объединение, хозяйствующий субъект) - семейная тайна, коммерческая тайна, профессиональные тайны; государство (в лице органов государственной власти) - государственная и служебная тайна.
Среди видов тайн можно выделить "первичные" (естественные) тайны, которые непосредственно связаны с жизнедеятельностью субъекта:
- личная - физическое лицо;
- коммерческая - юридическое лицо (субъект предпринимательской деятельности), государственная и служебная (в части внутрисистемной информации) - орган государственной власти.
Остальные тайны - "производные". Это, прежде всего, профессиональные тайны. Такие тайны составляет информация, передаваемая субъекту профессиональной деятельности в режиме личной тайны (врачебная тайна, тайна исповеди, тайна банковских вкладов, налоговая, нотариальная и др.) либо в режиме коммерческой тайны (налоговая, банковская, нотариальная и др.). Служебная тайна, если ее понимать как тайну, охраняемую государственным служащим, имеет особенности, позволяющие ее только условно отнести к профессиональной тайне. Информация, составляющая служебную тайну, включает в себя как конфиденциальную информацию, представляемую в орган государственной власти, так и информацию, создаваемую (генерируемую) в этом органе, доступ к которой временно ограничен в интересах государственного управления по решению руководителя.
Принципиальное различие между этими двумя категориями тайн состоит в следующем. Если в отношении "первичных" тайн у обладателя информации есть права на установление режима ограничения доступа, то в отношении "производных" тайн возникает обязанность устанавливать соответствующий режим лицом, которому доверена такая информация. Исходя из интересов указанных субъектов и выделенных категорий тайн, можно определиться относительно роли государства в регулировании правовых режимов тайн. Очевидно, что максимальный объем регулирования со стороны государства приходится на государственную и служебную тайны. В отношении других видов "первичных" тайн государство должно уступить право основного регулятора тем субъектам, которые образуют (устанавливают) эти режимы. Задача государства - обеспечить защиту их прав и интересов с учетом интересов других субъектов.
Зашита информации в режиме тайны предполагает законодательно установленное право субъекта на введение режима ограниченного доступа;
объем прав на охраняемую информацию;
обязанности по ее охране;
ответственность за нарушение прав и обязанностей субъектов правоотношений.
Можно выделить несколько условий, необходимых и достаточных для установления режимов конфиденциальности:
- заинтересованность субъекта в ограничении доступа к информации, т.е. ценность этой информации (в моральном, материальном или ином аспекте);
- наличие интереса (права) других субъектов на получение или использование этой информации, т.е. обладатель, реализуя свой интерес, не должен нарушать законные права других субъектов на получение информации;
- право ограничивать доступ к информации может распространяться только на информацию, полученную законным путем, в том числе самостоятельно, по договору, в дар и т д.;
- информация, доступ к которой ограничивается, не должна быть общеизвестной;
- обладатель информации, к которой он хочет ограничить доступ, должен обеспечить необходимые меры защиты этой информации - установить режим тайны.
1.2 Защита информации банков и коммерческих организаций
С момента своего появления в конце 80-х годов российские акционерные коммерческие банки (далее «банк») столкнулись с необходимостью обеспечения собственной безопасности от противоправных посягательств [1]. Как показала практика, наиболее опасными для любого банка по экономическим последствиям являются действия, связанные с несанкционированным доступом в банковские компьютерные сети и системы. Это привело к необходимости организовать защиту банковских структур от попыток противоправного получения конфиденциальной информации, накапливаемой и обрабатываемой в средствах информатизации банков в виде информационных ресурсов - отдельных финансовых и иных документов и массивов таких документов, содержащих сведения, относимые к коммерческой или банковской тайне. На практике многие банки продолжали и продолжают в основном совершенствовать «силовые» методы охраны своих материальных ценностей, а также системы инженерно-технической и программной защиты конфиденциальной информации, составляющей коммерческую тайну самого банка и его клиентов - юридических лиц, или персональные данные его клиентов - физических лиц. При этом уделяется мало внимания совершенствованию организационных мер по защите информации, в частности, совершенствованию работы по созданию совокупности организационно-распорядительных документов, организационных методов и мероприятий, регламентирующих как аналитическую работу по выявлению внешних и внутренних угроз информационной безопасности банка, так и работу по созданию комплексной системы защиты информации в банке.
Показано, что для защиты компьютерной конфиденциальной информации в корпоративной сети банка основной организационной мерой является создание административной службы защиты этой информации в составе общей службы безопасности банка и определены требования, предъявляемые к администратору системы защиты компьютерной информации в корпоративной сети банка (администратору безопасности), а также сфера его ответственности. Порядок работы, права и обязанности администратора безопасности изложены в специально разработанной должностной инструкции.
Наряду с интенсивным развитием вычислительных средств и систем передачи информации все более актуальной становится проблема обеспечения ее безопасности. Меры безопасности направлены: на предотвращение несанкционированного получения информации, физического уничтожения или модификации защищаемой информации.
Опираясь на многолетний опыт и экспертизу в области аутентификации, защиты персональный данный, обеспечения конфиденциальности информации и безопасной работы в сети Интернет, компании по средствам защиты информации реализует разработку и поставку средств защиты, отвечающих национальным и международным стандартам в области информационной безопасности. Комплексные решения на их основе востребованы: в различные секторах отечественной экономики, в том числе в государственно-административном, банковском и ряде других.
Решения для банковских и финансовый систем обладают рядом специфических особенностей. Во-первы:х, обеспечение информационной безопасности носит совершенно явный прикладной характер — противодействие мошенничеству и защита финансов. Во-вторых, необходимость строгого соответствия требованиям российского законодательства и отраслевым стандартам. В-третьих, массовое применение этих решений обусловливает требования простоты: и удобства использования, необязательности специальные знаний и умений при обеспечении безопасности работы: с удаленными сервисами.
Банковская сфера является одной из самые динамично развивающихся на российском рынке. Об этом свидетельствуют как темпы: роста отрасли, так и количество сервисов, предлагаемые клиентам.
Современные информационные технологии позволяют предоставлять большинство услуг через системы: дистанционного банковского обслуживания (ДБО). Традиционно встает вопрос о защите такого рода сервисов. Ответом служит использование решений обеспечивающих двухфакторную аутентификацию. [1]
Деятельность банковской отрасли регулируется российским законодательством и международными стандартами. Решения по шифрованию данных с использованием российских алгоритмов и защите баз данных должны соответствовать требованиям регулирующих норм и отраслевых стандартов.
Развитие технологических стандартов отрасли требует от банков обеспечения безопасного (в том числе, удаленного) доступа сотрудников к корпоративной сети и информационным ресурсам, а также разграничения и аудита доступа к базам данных в качестве защиты от возможных действий инсайдеров.
Дистанционное банковское обслуживание (ДБО) — общий термин для технологий предоставления банковских услуг на основании распоряжений, передаваемых клиентом удаленным образом (то есть без его визита в банк), чаще всего с использованием компьютерных и телефонных сетей.
Современный банк немыслим без интернет банка и системы ДБО, т. к. здесь пользователи работают не просто с бумагами, а с реальными деньгами и задача по обеспечению защищенности решения ДБО выходят на первый план.
На сегодняшний день трудно представить работу предприятий и учреждений без компьютерных сетей и баз данных. Государственные, коммерческие и личные секреты доверяются компьютерам, в связи с чем возникает потребность в надежных средствах безопасности для защиты информационных данных.
Наиболее надежным способом является двухфакторная аутентификация - аутентификация, в процессе которой используются аутентификационные факторы нескольких типов. В этом случае злоумышленник не сможет получить доступ к данным, так как ему придется не только подсмотреть пароль, но и предъявить физическое устройство, кража которого, в отличие от кражи пароля, практически всегда быстро обнаруживается.
У любой компании независимо от ее масштаба, вида деятельности и уровня развития рано или поздно возникает вопрос обеспечения сохранности коммерческой информации и ограничения доступа к ней со стороны как недобросовестных сотрудников, так и внешних лиц.
Сегодня угрозы, связанные с несанкционированным доступом к конфиденциальным данным, могут оказать существенное влияние на бизнес компании. Возможный ущерб от раскрытия корпоративных секретов может включать в себя как прямые финансовые потери, так и косвенные - плохая репутация и потери перспективных проектов. Последствия утраты ноутбука с реквизитами для доступа к банковским счетам, финансовыми планами и другими приватными документами трудно недооценить.
Применение средств шифрования данных решает задачу ограничения доступа к конфиденциальной информации - никто посторонний, получив доступ к компьютеру, не сможет прочитать закрытые данные.
Несмотря на неоспоримые удобства всемирной паутины, современные компании сталкиваются с двумя основными проблемами, возникающими при подключении к Интернет. Любой компьютер становится потенциальным объектом для атаки и постоянно находится под угрозой инфицирования злонамеренным кодом. [2]
Основными интересами для злоумышленников является похищение информации, которую можно в том или ином виде продать или использовать для получения денег, а также пополнение ресурса бот-сетей, которые можно сдать в аренду для рассылки спама и т.д.
Кроме того, сотрудник компании, имеющий подключенный к Интернет рабочий компьютер, зачастую использует его не только для выполнения прямых обязанностей. Он отправляется в глобальную сеть по личным интересам, не имеющим никакого отношения к его служебным обязанностям. [3]
Для того, чтобы противостоять угрозам из Интернет и обеспечить более эффективное использование рабочего времени сотрудниками, необходимо комплексное решение - надежное, производительное, масштабируемое, отказоустойчивое и легкое в управлении.
Задача по защите, лицензированию и распространению программного обеспечения стоит перед каждым разработчиком коммерческих приложений.
Пиратство и недобросовестная конкуренция со стороны других производителей, которые могут воспользоваться уникальными наработками и применить их в своих продуктах, до сих пор являются острыми проблемами российского рынка программного обеспечения.
Крайне важно для разработчика грамотно организовать защиту программного обеспечения и его лицензирование. Наиболее актуальна эта задача для многофункционального программного обеспечения, состоящего из нескольких компонентов, каждый из которых может продаваться отдельно. Кроме того, часто программы удобно продавать в рассрочку или по подписке.
Применение технологий строгой аутентификации, шифрования и аудита доступа к данным значительно снижают риски несанкционированного доступа, просмотра и изменения информации со стороны неуполномоченных пользователей и администраторов.
2. СИСТЕМА ЗАЩИТЫ ИНФОРМАЦИИ В БАНКОВСКОМ СЕКТОРЕ
2.1 Краткая характеристика банка АК «Собинбанк»
Собинбанк основан в 1990 году. Полное наименование Банка - Акционерный банк «Содействие общественным инициативам» (открытое акционерное общество) / ОАО «Собинбанк». Сегодня это универсальный банк федерального уровня, предоставляющий широкий спектр услуг корпоративным клиентам и частным лицам. 100% акций ОАО «Собинбанк» принадлежат ОАО «АБ «РОССИЯ».
С декабря 2004 года Собинбанк является участником государственной системы страхования вкладов (рег.№358).
Собинбанк обслуживает важнейшие отрасли российской экономики – энергетическую, топливную, транспортную; агропромышленный комплекс, строительство и недвижимость, городское и муниципальное хозяйство, торговлю, финансовые и инвестиционные компании.
Розничный бизнес – одно из важнейших направлений деятельности Банка. Сегодня Собинбанк активно привлекает вклады населения по выгодным депозитным программам.
Собинбанк имеет широкую филиальную сеть на территории Российской Федерации, один филиал Банка расположен в Казахстане (Байконур). Общее количество городов присутствия – свыше 30, в том числе Москва.
03.09.2013 г. агентство Рус-Рейтинг подтвердило кредитный рейтинг Собинбанка на уровне BB.
Рейтинги имеют прогноз «стабильный».
В рейтингах центральных деловых изданий по основным балансовым показателям Собинбанк стабильно входит в число крупнейших кредитных организаций России.
В частности, по данным журнала «Эксперт» Собинбанк занимает 81 позицию в рейтинге ТОП-100 банков России по активам по состоянию на 01.04.2017 года.
Акционеры и руководство |
Акционеры:
100% акций АО «Собинбанк» принадлежит АО «АБ «РОССИЯ».
Органами управления АО «Собинбанк» являются:
Общее собрание акционеров;
Совет директоров;
Правление - коллегиальный исполнительный орган;
Председатель Правления - единоличный исполнительный орган.
Совет директоров АО «Собинбанк» Председатель Совета директоров Кривощеков Кирилл Юрьевич, с 30.06.2016 года Члены Совета директоров Дружинин Максим Ярославович, с 18.01.2017 года Кривощеков Кирилл Юрьевич, с 18.01.2017 года Кондрусев Кирилл Иванович, с 18.01.2017 года Минаев Олег Александрович, с 18.01.2017 года Гришин Станислав Валентинович, с 18.01.2017 года Поляков Иван Николаевич, с 18.01.2017 года |
К основным перспективным направлениям деятельности Банка относится развитие комплекса предоставляемых услуг, увеличение их объемов и улучшение качества.
В 2014 году Собинбанк в соответствии с полученными лицензиями вел работу по следующим направлениям:
- привлечение денежных средств физических и юридических лиц во вклады (до востребования и на определенный срок);
- размещение привлеченных во вклады денежных средств физических и юридических лиц от имени и за счет Банка;
- кредитование физических и юридических лиц;
- открытие и ведение банковских счетов физических и юридических лиц;
- осуществление расчетов по поручению физических и юридических лиц по их банковским счетам;
- кассовое обслуживание физических и юридических лиц;
- купля-продажа иностранной валюты в наличной и безналичной формах;
- выдача банковских гарантий;
- осуществление переводов денежных средств по поручению физических лиц без открытия банковских счетов (за исключением почтовых переводов) и др.
Активы Банка, по данным публикуемой формы бухгалтерского баланса, по состоянию на 1 января 2017 года составили 37,41 млрд рублей, снизившись на 31% по сравнению с аналогичным показателем на 1 января 2014 года.
Основной составляющей структуры активов Банка являются кредиты, предоставленные негосударственным коммерческим организациям, физическим лицам, денежные средства и средства на счетах в Банке России, вложения в ценные бумаги, оцениваемые по справедливой стоимости через прибыль или убыток, вложения в основные средства, нематериальные активы и материальные запасы.
Пассивы Банка, включающие денежные средства физических и юридических лиц, на 1 января 2017 года составили 33,72 млрд рублей, снизившись на 32% по сравнению с аналогичной датой годом ранее.
Капитал Банка на 1 января 2017 года, рассчитанный в соответствии с требованиями Банка России, составил 5,13 млрд рублей, уменьшившись на 17% по сравнению с данными на 1 января 2016 года.
Чистый убыток Банка по итогам работы в 2016 году составил 756 млн рублей. Размер резервного фонда в 2016 году достиг 229,84 млн рублей, увеличившись по решению единственного акционера за счет прибыли по итогам 2015 года на 7,48 млн рублей.
Снижение основных балансовых показателей Банка вызвано изменением внешней конъюнктуры и негативным макроэкономическим фоном, сложившимся на отечественном финансовом рынке в 2014 году.
2.2 Защита информации в банке ОАО «Собинбанк»
ОАО «Собинбанк» является универсальной кредитной организацией, и его деятельности присущи большинство видов рисков, характерных для банков, ведущих свою деятельность в России. Банк последовательно развивает комплексную систему управления рисками, основной целью которой является оптимизация соотношения между принимаемыми рисками и доходностью операций.
Созданная система управления рисками позволяет идентифицировать и управлять основными видами рисков, которые способны оказать существенное влияние на денежные потоки (прибыль) Банка.
Риск-менеджмент в ОАО «Собинбанк» организован в соответствии с требованиями законодательства РФ и с использованием мирового опыта управления рисками. Он основывается на сформированной нормативной базе, современных методологических подходах, стандартизации и автоматизации процессов управления рисками.
Одним из видов риска является риск со стороны информационных систем.
Риск внутренних процессов контролируется за счет анализа существующих и вновь разрабатываемых процедур, документов, регламентов и т.п. проведения банковских операций, на предмет возможного возникновения операционных рисков; оптимизации организационной структуры, внутренних процедур и правил совершения банковских операций.
Риск со стороны персонала контролируется путем:
- повышения квалификации персонала, проведения тренингов;
- проведения тестирования:
- организации проверок исполнительной дисциплины;
- разработки и принятия мер по мотивации персонала и т.д.
Контроль риска со стороны информационных систем обеспечивается за счет использования систем защиты и дублирования информации; принятия оперативных мер на уровне руководства Банка по устранению причин возникновения и последствий сбоев в информационных системах; разработки альтернативных сценариев действия в случае возникновения непредвиденных ситуаций.
Управление операционными рисками ведется по основным направлениям:
- организация превентивных мер, направленных на предотвращение фактов реализации операционных рисков;
- выявление и устранение источников риска в текущей деятельности;
- оценка достаточности капитала на покрытие убытков по операционным рискам;
- разработка процедур поддержания работоспособности подразделений и устойчивости Банка в случае возникновения чрезвычайных ситуаций.
Риск, связанных в связи с утечкой информации и прочих информационных систем контролируется в Банке службой безопасности, которая входит в штат практически любого банка.
Проблема защиты банковской информации и формирования систем информационной безопасности - одна из самых актуальных в настоящее время. Активное участие в развитии указанного направления принимает Банк России, регулярно публикуя стандарты в области информационной безопасности: Стандарт Банка России СТО БР ИББС- 1.1-2007 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Аудит информационной безопасности»; Стандарт Банка России СТО БР ИББС-1.2-2010 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям стандарта СТО БР ИББС-1.0-2010»; Стандарт Банка России СТО БР ИББС-1.0-2010 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения». Большинство кредитных организаций сейчас находится на этапе внедрения требований Банка России и, по прогнозам, на рекомендуемый уровень соответствия требованиям выйдут через 1-3 года [1].
Проблемы защиты информации в ОАО «Собинбанке» связаны прежде всего с обширностью и емкостью информации, с разнообразием и техническими характеристиками используемого аппаратного обеспечения и территориальной удаленностью информационных каналов для пользователей информации. Проанализировав возможные угрозы надлежащему хранению информации в банке ОАО «Собинбанке» можно составить рейтинг (на основе мнения специалистов[1]) значительности угроз:
- преднамеренное хищение информации внутри организации;
- халатность сотрудников, допустивших утечку информации;
- аппаратные и программные сбои;
- вредоносные программы;
- внешнее финансовое мошенничество;
- хакерские атаки;
- стихийные бедствия и катаклизмы.
Угрозы банковским информационным системам в банке ОАо «Собинбанк», их конкретные проявления и причины возникновения представлены в таблице 1.
Таблица 1 - Угрозы банковским информационным системам в ОАО «Собинбанк»
Угрозы банковским информационным системам |
Проявления угроз банковским информационным системам |
Причина возникновения угроз банковским информационным системам |
Преднамеренное хищение / изменение информации внутри организации |
Несанкционированный доступ к секретной или конфиденциальной информации как банка, так и клиента и ее хищение или искажение преднамеренная порча электронных данных и их носителей при их хранении в банке, в ходе записи или перевозки |
мошенничество сотрудников и низкий уровень внутреннего контроля |
Халатность сотрудников, допустивших утечку информации |
Внедрение в линию связи между другими участниками расчетов в системе интернет-банкинга в качестве активного тайного ретранслятора осуществлением платежей по счетам клиентов на основании сфальсифицированных поручений |
низкая квалификация персонала и низкий уровень внутреннего контроля |
Аппаратные и программные сбои |
изменение функций программного обеспечения поломка аппаратуры |
устаревание и износ программно-технических средств использование некачественного программного обеспечения |
Вредоносные программы |
DDoS- атаки («зомби»-сеть) рассылка вирусов по электронной почте фишинговые атаки |
устаревание и износ программнотехнических средств использование некачественного программного обеспечения |
Внешнее финансовое мошенничество |
представление себя в качестве другого лица с целью уклонения от ответственности, либо отказа от обязательств, либо использования прав третьего лица для:
считывающие информацию на банковских картах устройства в банкоматах (скимминговые устройства) |
высокий уровень преступности в обществе и низкий уровень информационной безопасности банков |
Хакерские атаки |
провоцирование других участников взаимодействия в системе интернет-банкинга на нарушение правил обмена электронными сообщениями фальсификация или кража данных |
высокий уровень преступности в обществе и низкий уровень информационной безопасности банков |
стихийные бедствия и катаклизмы, вандализм пользователей |
поломка, выход из рабочего состояния оборудования банка преднамеренная порча оборудования банка |
недостаточная пожарная и техническая безопасность помещений банка низкий культурный уровень в обществе |
Анализ структуры приведенных выше возможных информационных угроз показывает, что наибольший вред могут принести внутренние, а не внешние угрозы. Таким образом, информационная безопасность - не только техническая сфера, не только сфера информационных технологий, но также и область корпоративного управления и эффективной организации бизнеса.
2.3 Средства защиты информации в банковских системах
Многочисленные попытки взломов и успешные нападения на банковские вычислительные структуры и порталы остро ставят проблему обеспечения информационной безопасности.
Среди компонентов, образующих АБС выделяют следующие, реализуемые путем использования общедоступных сетей:
- Банк - клиент.
- Интернет - клиент.
- Офис - удаленный менеджер.
- Головной офис - региональные офисы/отделения.
- Интернет - трейдинг.
Доступ к сервисам, которые предоставляет данное программное обеспечение, осуществляется через открытые сети, использование которых таит в себе многочисленные информационные угрозы.
Наиболее распространенные из них:
- Несанкционированный доступ к ресурсам и данным системы (подбор пароля, взлом систем защиты и администрирования).
- Перехват и подмена трафика (подделка платежных поручений).
- IP-спуфинг (подмена сетевых адресов).
- Отказ в обслуживании.
- Атака на уровне приложений.
Причины, приводящие к появлению подобных уязвимостей:
- Отсутствие гарантии конфиденциальности и целостности передаваемых данных.
- Недостаточный уровень проверки участников соединения.
- Недостаточная реализация или некорректная разработка политики безопасности.
- Отсутствие или недостаточный уровень защиты от несанкционированного доступа (антивирусы, контроль доступа, системы обнаружения атак).
- Существующие уязвимости используемых операционных систем, программного обеспечения, систем управления баз данных, веб-систем и сетевых протоколов.
- Непрофессиональное и слабое администрирование систем.
- Проблемы при построении межсетевых фильтров.
Наиболее часто информационное пространство банковской системы используется для передачи сообщений, связанных с движением финансов.
Основные виды атак на финансовые сообщения и финансовые транзакции:
- Раскрытие содержимого.
- Представление документа от имени другого участника.
- Несанкционированная модификация.
- Повтор переданной информации.
Для предотвращения этих злоупотреблений используются следующие средства защиты [2].
- Шифрование содержимого документа.
- Контроль авторства документа.
- Контроль целостности документа.
- Нумерация документов.
- Ведение сессий на уровне защиты информации.
- Динамическая аутентификация.
- Обеспечение сохранности секретных ключей.
- Надежная процедура проверки клиента при регистрации в прикладной системе.
- Использование электронного сертификата клиента.
- Создание защищенного соединения клиента с сервером.
В общедоступных сетях распространены нападения хакеров. Это высококвалифицированные специалисты, которые направленным воздействием могут выводить из строя на длительное время серверы АБС (DoS-атака) или проникать в их системы безопасности.
Существенную угрозу несут в себе вредоносные программы - вирусы и трояны. Распространяясь по всемирной Сети, они, используя небезопасные настройки коммуникативных программ, в том числе защищенных протоколов, могут поражать банковские вычислительные системы.
В свободном доступе находится множество программ и утилит, автоматизирующих поиск и использование уязвимостей атакуемой системы.
Интернет позволяет передавать конфиденциальную информацию практически в любую точку мира, но передаваемые данные необходимо защищать как в плане конфиденциальности, так и в плане обеспечения подлинности, иначе они могут быть искажены или перехвачены. Интернетсистему необходимо защищать от подлога, несанкционированного изменения, разрушения, блокирования работы и т. д.
Комплекс технических средств защиты интернет-сервисов [3]:
- Брандмауэр (межсетевой экран) - программная и/или аппаратная реализация.
- Системы обнаружения атак на сетевом уровне.
- Антивирусные средства.
- Защищенные операционные системы, обеспечивающие уровень В2 по классификации защиты компьютерных систем и дополнительные средства контроля целостности программ и данных.
- Защита на уровне приложений: протоколы безопасности, шифрования, цифровые сертификаты, системы контроля целостности.
- Защита средствами системы управления баз данных.
- Защита передаваемых по сети компонентов программного обеспечения.
- Мониторинг безопасности и выявление попыток вторжения, адаптивная защита сетей, активный аудит действий пользователей.
- Обманные системы.
- Корректное управление политикой безопасности.
При проведении электронного документооборота должны выполняться:
- Аутентификация документа при его создании.
- Защита документа при его передаче.
- Аутентификация документа при обработке, хранении и исполнении.
- Защита документа при доступе к нему из внешней среды.
Для обеспечения высокого уровня информационной безопасности вычислительных систем рекомендуется проводить следующие процедуры при организации работы собственного персонала:
- Фиксировать в трудовых и гражданско-правовых договорах обязанности персонала по соблюдению конфиденциальности, в том числе лиц, работающих по совместительству.
- Распределять основные функции между сотрудниками так, чтобы ни одна операция не могла быть выполнена одним человеком от начала до конца.
- Обеспечивать строгий режим пропуска и порядка в служебных помещениях, устанавливать жесткий порядок пользования средствами связи и передачи информации.
- Регулярно проводить оценку всей имеющейся информации и выделять из нее конфиденциальную в целях ее защиты.
- Создать базу данных для фиксирования попыток несанкционированного доступа к конфиденциальной информации.
- Проводить служебные расследования в каждом случае нарушения политики безопасности.
Для защиты вычислительных сетей от злоумышленного воздействия необходимо использовать программные и программно-аппаратные комплексы и системы обеспечения информационной безопасности [4].
Наиболее известными в России разработчиками систем информационной безопасности являются компании «Аладдин Р. Д.», «ЛИССИ», «Информзащита».
«Аладдин Р. Д.» предлагает защиту корпоративных ресурсов на основе ШВ-ключей и смарт-карт «eToken».
В лаборатории испытаний средств и систем информации компании «ЛИССИ» создан программно-аппаратный комплекс «Shield Channel-FW» для обработки конфиденциальной информации в банках.
Проекты по защите информационных систем региональных управлений банка России выполняет научно-инженерное предприятие «Информзащита». Оно устанавливает межсетевые экраны, системы обнаружения атак, средства криптографической защиты.
Криптографическая защита «Крипто про CSP», разработанная компанией «Крипто про», помогает эффективно проверять электронную цифровую подпись.
Финансовую безопасность кредиторов обеспечивает система «AGRUS APPLICATION», созданная компанией «Агрус MGS».
К средствам информационной защиты, доказавшим свою эффективность, относится система «Аккорд». Она позволяет регистрировать все выполняемые с помощью информационных технологий операции, а также с высокой точностью идентифицировать всех участников, пользующихся теми или иными документами, предоставляемыми в электронном виде (например, договорами купли-продажи товаров, или ведущих переговоры по каналам Интернета).
Комплекс «Банк-доступ» обеспечивает централизованное управление, распределяя доступ к информационным ресурсам.
Комплекс «Банк - Активная Защита», разработанный фирмой «Андек», используют для ликвидации последствий атак хакеров, если им все же удалось прорвать информационную защиту. Он позволяет проводить постоянный мониторинг всех критических информационных узлов с периодическим уведомлением об этом пользователей компьютерной сети.
В финансово-кредитных организациях широко используется программа «NetInvestor 5.0 Client», созданная московским межбанковским финансовым домом «ИнфоЦентр». Она обладает широкими возможностями по анализу, графическому отображению и передаче необходимых данных в удобных для пользователей режимах. Она помогает предотвратить взлом сервера, несанкционированный доступ злоумышленников, перехват ими ценной конфиденциальной информации.
Предусмотрено создание протоколов всех действий, которые проводят пользователи с помощью этой информационной системы. Они самостоятельно формируют криптографический ключ, что повышает безопасность работы при использовании информационных технологий. Кроме того, реализованы смена паролей самим пользователем, хранение и передача паролей в шифрованном виде, проверка «качества» пароля при его смене.
Для эффективного использования подобных средств защиты необходимо, чтобы банки создали специальную службу информационной безопасности или хотя бы воспользовались услугами специалиста по компьютерной безопасности. Расходы на его содержание, как показывает зарубежный опыт, будут оправданы.
За рубежом специалисты по компьютерной безопасности есть почти в каждом банке, а новые технологии защиты информационных сетей активно берутся на вооружение. Среди них высокоскоростные беспроводные сети для личного и корпоративного пользования. Помимо этого внедряются так называемые электронные ловушки, которые завлекают хакеров в свои сети, нейтрализуя их разрушительное действие [5].
Перспективна разработка сертификатов, гарантирующих безопасность на основе криптографических алгоритмов, которые обеспечивают секретность коммерческой информации.
Однако, при всём этом, влияния на рост доходов банков информационная безопасность не имеет. Точнее, имеет, но подсчитать в денежном выражении ее пользу весьма сложно. Поэтому, как правило, не следует ожидать мгновенного увеличения прибыли после установки, например, криптографии. Тем не менее, грамотно построенная система защиты информации, несомненно, в недалеком будущем отразится на престиже банка, а значит, и на росте его доходов. Именно поэтому задачи защиты информации в этой области становятся все более актуальными.
Обобщая всё вышесказанное, можно подвести итог: развитие информационных технологий не только даёт новые возможности, но и таит новые угрозы. Банковская информация одна из самых желанных злоумышленниками и потому требует наибольшей степени защищённости. Именно поэтому необходимо создавать новые комплексные системы защиты информации в банковских системах и совершенствовать уже существующие.
ЗАКЛЮЧЕНИЕ
Основная угроза исходит изнутри, а именно со стороны работников самого предприятия. Поэтому необходимо особое внимание уделить системе защиты информации внутри самого предприятия.
Таким образом, можно констатировать, что сеть Интернет предоставляет богатый инструментарий по повышению правовой грамотности населения, а как следствие, и реализации информационной функции права. Однако в силу множества факторов (традиции, неумение работать с виртуальной средой и прочих) эти средства субъектами, в чьи полномочия входит реализация информационной функции права, используются крайне слабо.
В завершение отметим, что осознание всей важности обозначенной проблемы является необходимым не только в банковской сфере, но и во всем обществе. В России стремительными темпами растут потери от мошенничества: по некоторым оценкам, в 2017 г количество случаев хищения денежных средств с банковских карт возросло по сравнению с предыдущим годом в 5 раз, при этом около 60% случаев связано с несанкционированным списанием средств с банковских счетов клиентов [2].
Задача защиты информации в банке ставится значительно жестче, нежели в других организациях. Решение такой задачи предполагает планирование организационных, системных мероприятий, обеспечивающих защиту. При этом, планируя защиту, следует соблюдать меру между необходимым уровнем защиты и тем ее уровнем, когда защита начинает мешать нормальной работе персонала.
Проблема защиты банковской информации слишком серьезна, чтобы банк мог пренебречь ею. В последнее время в отечественных банках наблюдается большое число случаев нарушения уровня секретности. Примером является появление в свободном доступе различных баз данных на компакт-дисках о коммерческих компаниях и частных лицах. Теоретически, законодательная база для обеспечения защиты банковской информации существует в нашей стране, однако ее применение далеко от совершенства.
На мой взгляд, решать проблему необходимо глобально и комплексно, что требует активного участия не только самих банков и платежных систем, но и принятия общегосударственных решений, таких, как ужесточение Уголовного кодекса в части киберпреступности и взлома информационных систем.
СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ
- Белоглазова Г.Н. Банковское дело / Г.Н. Белоглазова, Л.П. Королевицкая. - М.: Финансы и статистика, 2011. - с. 115.
- Букин С.О. Безопасность банковской деятельности / С.О. Букин. - М.:Питер, 2010. - с.25
- В России красть деньги с банковских карт стали в пять раз больше // Аргументы недели. № 20 (312). 13.03.2012.
- Варлатая С. К., Шаханова М. В. Аппаратно-программные средства и методы защиты информации // Компьютера. № 2 (766). 2009. Январь.
- Гамза В.А. Безопасность банковской деятельности / В.А. Гамза, И.Б. Ткачук. - М.: Маркет ДС, 2009. - с. 76.
- Гамза В.А., Ткачук И.Б. Безопасность коммерческого банка: Учебно-практическое пособие. М.: издатель Шумилова И.И., 2000. 216 с.
- Гафнер В.В. Информационная безопасность: Учебное пособие / В.В. Гафнер. - Рн/Д: Феникс, 2010. - с. 187.
- Государственная программа Российской Федерации «Информационное общество (2011-2020 годы)», утвержденная распоряжением Правительства от 20.10.2010 г № 1815-р.
- Даниловский Ф. Информационная безопасность банковских систем. URL: http://www.phreaking.ru (дата обращения: 19.12.2012).
- Зима В. М., Молдовян А. А., Молдовян Н. А. Безопасность глобальных сетевых технологий. СПб. : БХВ-Петербург, 2010. 320 c.
- Концепция информационной безопасности банка АККСБ «КС БАНК».
- Кормишкина Л.А. Экономическая безопасность предприятия (организации) / Л.А. Кормишкина, Е.Д. Кормишкин. - Саранск: Изд-во Мордов. ун-та, 2007. -с.67.
- Леонов К. Информационная безопасность как услуга. 2009. № 10.
- Марченко В.С. Вклад ведущих мировых компаний в сферу защиты информации. VI // Сборник статей Международной научно- практической конференции «Наука - промышленности и сервису». - Тольятти: Изд-во ПВГУС, 2012.
- Марченко, В.С. Анализ систем защиты информации с точки зрения бионики [Текст] // Вестник Поволжского государственного университета сервиса. Серия Экономика. - Тольятти: Изд-во ПВГУС, № 2 (16) 2011.
- Мельников Ю., Теренин А. Возможности нападения на информационные системы банка из Интернета и некоторые способы отражения этих атак // Банковские технологии // URL: Cryptography.Ru (дата обращения: 19.12.2012).
- Партыка Т.Л. Информационная безопасность: Учебное пособие / Т.Л. Партыка, И.И. Попов. - М.: Форум, 2012. - с. 432.
- Петров С.В. Информационная безопасность: Учебное пособие / С.В. Петров, И.П. Слинькова, В.В. Гафнер. - М.: АРТА, 2012. - с. 75.
- Стандарт Банка России СТО БР ИББС-1.0-2010. «Обеспечение информационной безопасности организаций банковской системы РФ. Общие положения».
- Токаренко А. СТО БР ИББС: рекомендовано к обязательному применению // Банковское обозрение. 2010. № 10.
- Тысячникова Н.А., Сандалов И.В., Юденков Ю.Н. Интернет-технологии в банковском бизнесе: перспективы и риск. Учебно-практическое пособие. М.: КНОРУС, 2011
-
Авторами был проведен опрос экспертов - банковских специалистов в области информационных технологий и безопасности. ↑
- Проектирование бизнес-процесса (ОБСЛЕДОВАНИЕ ОБЪЕКТА ИНФОРМАТИЗАЦИИ))
- Анализ внешней и внутренней среды организации(Теоретические основы понятия внешней и внутренней средой организации)
- Демографическое прогнозирование в РФ
- Кадровое обеспечение органов местного самоуправления: состояние и пути оптимизации ( ГО «Город Лесной» )
- Понятие об информации в материальном мире
- Информационная система для повышения эффективности деятельности компании по сервисному обслуживанию вычислительной техники
- Интегрированные среды разработки программ ( Microsoft Visual Studio )
- Аббревиатуры в английском языке (Английские сленговые аббревиатуры)
- Роль мотивации в поведении организации
- Проблема личности в социальной психологии (Социально- психологические теории личности)
- Исследование проблем защиты информации (АК «Собинбанк»)
- Проектирование реализации операций бизнес-процесса «Планирование производства.