Система защиты информации в банковских системах (Информация)

Содержание:

Введение

Деятельности и процветание любого банка напрямую зависит от того с какой скоростью осуществляется обмен информации внутри него и на сколько хорошо построена система безопасности.

Если инфраструктура банка даёт сбои, то последствия катастрофичны. Банк может потерять не только базу клиентов, но и их доверие. Столкновение с этой проблемой привело к созданию новых систем защиты информации, которые разрабатывались по требованиям кредитных институтов.

Защита информации банка включает в себя проведение целого комплекса мероприятий — от аудита информационной безопасности и до создания систем защиты подразделений банка. Специалисты данной отрасли способны создать как отдельный модуль безопасности, так и полноценную надежную централизованную систему защиты информации.

Актуальность проблемы информационной безопасности в банковских системах состоит:

• в особом характере общественной опасности возможных преступлений;

• в наличии тенденции к росту числа преступлений в информационной сфере;

• в не разработанности ряда теоретических положений, связанных с информационной безопасностью.

Цель исследования – изучение систем защиты информации в банках.

Для достижения данной цели необходимо решение следующих задач:

Дать определение основных понятий в области информационной безопасности;

Описать понятие и модели политики безопасности;

Описать защиту от физического доступа;

Описать как организована защита резервных копий;

Описать процесс защиты от инсайдеров;

Описать систему Swift, архитектуру, выявить ее преимущества и недостатки;

Описать систему CHAPS, архитектуру, выявить ее преимущества и недостатки.

Объектом исследования является информационная безопасность. Предметом исследования являются методы и средства защиты информации в банковской деятельности.

Работа состоит из введения, трех глав, заключения и списка использованной литературы.

Глава 1. Основные понятия и определения

1.1. Информация, информационная безопасность, банковская тайна

В современном обществе информация давно стала чуть ли не самым дорогим товаром, не зря же говорят, что тот, кто ею владеет, владеет миром. Однако, несмотря на популярность этого понятия, нет четкого представления о том, что такое информация - настолько широкую область знаний она охватывает. В общих случаях применяют следующую формулировку: совокупность каких-либо данных, записанных на материальном носителе, хранимых и передаваемых в пространстве и времени. Для определения понятия "информация" в более узком смысле нужно учитывать контекст - очевидно, что журналист или биолог вкладывает в данный термин совсем иной смысл, нежели физик или программист.

Формы представления информации

Несмотря на множество разработанных классификаций, информацию можно разделить на два вида: аналоговую и дискретную, в любом другом состоянии в нашем материальном мире она существовать не может. В чем различие между ними? Аналоговая информация изменяется непрерывно, ее можно представить в виде мелодии, речи, тепловых ощущений и т. д. Дискретная информация (или цифровая), соответственно, меняется скачкообразно. Она, скорее, тяготеет к символьному представлению: музыкальные ноты, буквы, машинный код. Последовательность нулей и единиц - вот что такое информация в представлении компьютерщика.

Роль информации в жизни человека

Окружающий мир люди воспринимают органами чувств, анализируя поступающие извне звуковые, визуальные, вкусовые, тактильные сигналы. Без них человек не смог бы составить реальную картину происходящего. Кроме того, как многие наверняка помнят из школьного курса, в истории человечества было четыре качественных скачка в развитии, каждый из которых кардинально менял облик человечества и его способ мышления и был связан с изобретением определенного способа хранения и передачи информации:

• изобретение письменности;
• изобретение книгопечатания;
• открытие способов применения электричества, что послужило основой для изобретения радио и телеграфа;
• изобретение электронно-вычислительных машин (ЭВМ) и их последующая эволюция.

Информационная безопасность

Актуально высказывание «кто владеет информацией, тот владеет миром». Важно не только владеть информацией, но и сохранить ее сделать недоступной для конкурентов, то есть сделать так что бы информация была защищенной.

Защита информации - комплекс мероприятий, направленных на обеспечение информационной безопасности.^[1]

Самая распространенная модель информационной безопасности базируется на обеспечении трех свойств информации: конфиденциальность, целостность и доступность.

Конфиденциальность информации означает, что с ней может ознакомиться только строго ограниченный круг лиц. определенный ее владельцем. Если доступ к информации получает неуполномоченное лицо, происходит утрата конфиденциальности.

Целостность информации определяется ее способностью сохраняться в неискаженном виде. Неправомочные, и не предусмотренные владельцем изменения информации (в результате ошибки оператора или преднамеренного действия неуполномоченного лица) приводят к потере целостности. Целостность особенно важна для данных, связанных с функционированием объектов критических инфраструктур (например, управления воздушным движением, энергоснабжения и т. д.), финансовых данных.

Доступность информации определяется способностью системы предоставлять своевременный беспрепятственный доступ к информации субъектам, обладающим соответствующими полномочиями. Уничтожение или блокирование информации (в результате ошибки или преднамеренного действия) приводит к потере доступности.^[2]

Банковская тайна

Единственный действующий документ, который дает расшифровку понятия «конфиденциальная информация», является Указ Президента РФ «Об утверждении перечня сведений конфиденциального характера» № 188 от 06 марта 1997 года. ^[3]

В остальных законодательных актах термин «конфиденциальность» используется как свойство информации. Например, Федеральный закон от 27.07.2006 N 149-ФЗ «Об информации, информационных технологиях и о защите информации» в ст. 2 п.7 дает понятие «конфиденциальность информации — обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя»^[4]. Ранее в недействующем федеральном законе № 24 «Об информации информатизации и защите информации» говорилось, что «конфиденциальная информация — документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации».

В банковских кругах под конфиденциальную информацию в основном попадают: Персональные данные, Банковская и Коммерческая тайны. Банки также могут работать с Государственной тайной, но это  бывает редко.

Схематическое представления банковской тайный показано на рисунке 1 (См. Приложение 1).

Российская банковская энциклопедия предлагает следующее определение понятия банковская тайна - это совокупность норм, которые устанавливают перечень сведений, круг субъектов, обязанных обеспечивать сохранность, а также случаи и порядок доступа к сведениям, составляющим такого рода тайну.^[5]

С определенной долей условности можно утверждать, что первое упоминание о банковской тайне в советском законодательстве содержится в Декрете СНК РСФСР от 30.06.1921 «Об отмене ограничений денежного обращения и мерах к развитию вкладной и переводной операций», в пункте 4 которого предусматривается, что справки о состоянии текущих счетов и вкладов и о переводах выдаются только владельцам или судебным и следственным органам.^[6]

Законодатель сформулировал нормы о банковской тайне крайне небрежно. Действующее законодательство не содержит определения понятия «банковская тайна». Содержание банковской тайны вводится как Гражданским кодексом РФ^[7], так и Федеральным законом от 02.12.1990 № 395-1 «О банках и банковской деятельности»^[8].

Проанализировав данные нормативные документы, то можно прийти к томе, что к сведениям, которые составляют банковскую тайну это следующая информация:

• Паспортные данные клиентов банка (для физических лиц);
• Банковские реквизиты организации (для юридических лиц);
• Сведения клиентов о наличии собственности и уровне доходов;
• Факт открытия счета (счетов), его номер и дата открытия, тип счета, валюта счета;
• Факт наличия средств на счету (деньги, обезличенные металлические счета), сумма, проценты по вкладу, срок договора;
• Факт наличия кредита, условий погашения и получения, процентная ставка по кредиту;
• Движение денежных средств на счетах и депозитных вкладах. К такой информации относится пополнение депозита, снятие денег, перевод на собственные счета или счета других лиц.

Сведения, которые представляют собой банковскую тайну, о физических лицах у кредитной организации имеют право запросить следующие службы и госструктуры:

• Суд;
• Росфинмониторинг;
• Служба судебных приставов;
• Центральный банк Российской Федерации;
• Агентство по страхованию вкладов;
• Следственные органы.

Ни одна кредитная организация не имеет право разглашать банковскую тайну о физических лицах вышеозначенным государственным службам и структурам.

Понятие и модели политики безопасности

Понятие «безопасность» появилось только в связи с появлением человека и его деятельностью. Банк создается для выполнения определенного рода деятельности и существует постольку, поскольку эта деятельность осуществляется. Подавляющее большинство опасностей для банка связано именно с его деятельностью, с непосредственным выполнением банковских операций. Прекращение банковских операций (даже при условии сохранности всех других элементов структуры этой организации) приведет к ликвидации банка.

Обеспечение безопасности банка (как и любого иного субъекта) это процесс создания благоприятных условий его деятельности, при которых выполняются интересы субъекта и реализовываются поставленные им цели. Так как термин «деятельность» представляет собой совокупность конкретных действий, вполне правомерно вести речь о безопасности конкретных банковских операций и сделок, о безопасности действий, обеспечивающих банковские операции, и т.д.

Безопасность – представляет собой специфическую совокупность внутренних и внешних условий деятельности, которые позволяют субъекту контролировать процесс собственного существования и достигать намеченных целей указанной деятельности.^[9]

Политика безопасности – представляет собой набор законов, правил и практических рекомендаций, на основе которых строится управление, защита и распределение критичной информации в системе. Она должна охватывать все особенности процесса обработки информации, определяя поведение системы в различных ситуациях.

Другими словами, можно сказать, что политика безопасности – это некоторый набор требований, прошедших соответствующую проверку, выполняемых при помощи организационных мер, программно-технических средств и определяющих архитектуру системы зашиты. Ее реализация для конкретной АБС (автоматизированной банковской сети) реализовывается при помощи средств управления механизмами защиты.

Для конкретного предприятия политика безопасности должна быть индивидуальной, и должна зависеть от конкретной технологии обработки информации, применяемых программных и технических средств, расположения организации и прочих условий которые надо учитывать, при ее разработке.

Под «системой» понимается некоторая совокупность субъектов и объектов и отношений между ними.

Субъект - активный компонент системы, который может явиться причиной появления потока информации от объекта к объекту или изменения состояния системы.

Объект - пассивный компонент системы, который может хранить, принимать или передавать информацию. Доступ к объекту подразумевает доступ к содержащейся в нем информации.

Основу политики безопасности составляет способ управления доступом, определяющий порядок доступа субъектов системы к ее объектам. Название этого способа, как правило, определяет название политики безопасности.

Сегодня для разработки широкое применение получили вида политики безопасности: избирательный и полномочный, которые основаны на избирательном и полномочном способах управления доступом. Особенности каждой из данных политик, а также их отличия друг от друга будут описаны далее.

Кроме того, существует набор требований, которые усиливают действие этих видов политики и предназначенный для управления информационными потоками в системе.

Надо сказать, что средства зашиты, предназначенные для выполнения какого-либо из названных выше способов управления доступом, только предоставляют возможности надежного управления доступом или информационными потоками. Определение прав доступа субъектов к объектам и/или информационным потокам (полномочий субъектов и атрибутов объектов, присвоение меток критичности и т. д.) входит в компетенцию администрации системы.

Избирательная политика безопасности

Основой избирательной политики безопасности является избирательное управление доступом (ИУД - Discretionary Access Control, DAC), суть которой следующий:

• все субъекты и объекты системы должны быть идентифицированы;
• права доступа субъекта к объекту системы определяются на основании некоторого внешнего (по отношению к системе) правила (свойство избирательности).

Данная политика безопасности получила широкое применение в основном в частном коммерческом секторе, потому что ее исполнение на практике отвечает требованиям коммерческих предприятий по разграничению доступа и подотчетности, а также имеет приемлемую стоимость и небольшие накладные расходы.

Полномочная политика безопасности

Основу полномочной политики безопасности составляет полномочное управление доступом (Mandatory Access Control, MAC), пож которым понимается следующее:

- все субъекты и объекты системы должны быть однозначно идентифицированы;

- каждому объекту системы присвоена метка критичности, которая определяет ценность содержащейся в нем информации;

- каждому субъекту системы присвоен уровень прозрачности (security clearance), который определяет наибольшее значение метки критичности объектов, к которым субъект имеет доступ.

Когда значения меток совпадают, тогда говорят, что метки принадлежат к одному уровню безопасности. Метки организованы в иерархической структуре, поэтому в системе можно выполнить иерархически не исходящий (по ценности) поток информации (например от рядовых исполнителей к руководству). Чем важнее объект, тем выше его метка критичности.

Так как используется иерархическая структура организации меток, то следовательно наиболее защищенными становятся объекты с наиболее высокими значениями метки критичности.

Каждый субъект кроме уровня прозрачности имеет текущее значение уровня безопасности, которое может изменяться от некоторого минимального значения до значения его уровня прозрачности.

Для моделирования полномочного управления доступом применяется модель Белла-Лападула (Bell-LaPadulla model).

Вначале полномочная политика безопасности была создана в интересах МО США для обработки информации с разными грифами секретности. Применение данной политики безопасности в коммерческом секторе сдерживается следующими основными причинами:

-отсутствием в коммерческих организациях четкой классификации хранимой и обрабатываемой информации, аналогичной государственной классификации (грифы секретности сведений);

- высокой стоимостью реализации и большими накладными расходами.

Глава 2 Методы защиты информации в банковском секторе

2.1 Защита от физического доступа

В 90% банков автоматизированы все процессы, но не все они внедрили систему защиты информации.

Около 15% кредитных организаций интересует разработка системы защиты индивидуально, а все остальные склоняются к совместным разработкам таких систем.

По статистике, солидные кредитные компании тратят на системы защиты информации около 10% годового бюджета.^[10]

При создании системы защиты банка, специалисты учитывают все возможные ситуации утечки данных.

Остановимся на методах защиты информации в банковском секторе.

В данный момент на рынке представлено большое число программ по шифрованию данных, но особенности их обработки в банках предъявляют к соответствующему ПО дополнительные требования. Во-первых, в системе криптографической защиты должен быть выполнен принцип прозрачного шифрования. При использовании принципа прозрачного шифрования данные в основном хранилище всегда находятся только в закодированном виде. Кроме, того данная технология позволит уменьшить затраты на регулярную работу с данными. Нет надобности ежедневно расшифровывать и зашифровывать данные, а доступ к информации будет выполняться с помощью специального ПО, которое просто установлено на сервер. Это ПО будет автоматически расшифровывать информацию при обращении к ней и зашифровывать перед сохранением на жестком диске. Все операции будут выполняться в оперативной памяти сервера. Во-вторых, банковские базы данных очень объемны. В результате, криптографическая система защиты информации должна работать не с виртуальными, а с реальными разделами винчестеров, RAID-массивами и прочими серверными носителями информации, например, с хранилищами SAN. Но тут есть небольшой нюанс: файлы-контейнеры, которые могут быть подключены к системе в качестве виртуальных дисков, не предназначены для работы с большими объемами данных. И когда виртуальный диск, созданный из такого файла имеет большой размер и к нему обращается одновременно несколько работников, то происходит уменьшение скорости чтения и записи информации. А если обратился к файлу не 1-3 человека, а больше 10, тогда процесс будет выполняться очень медленно. Еще следует иметь в виду и то, что все объекты подвержены риску повреждения из-за вирусов, сбоев файловой системы и т.д. Так как файлы-контейнеры это обычные файлы, но очень большого размера. А небольшое их изменение может привести к невозможности декодирования всей хранящейся в нем информации. Эти обязательные требования сильно сужают круг подходящих для реализации защиты продуктов^[11].

Стоит отметить некоторые особенности систем криптографической защиты информации, наличие которых желательно для банковской системы. Первая особенность состоит, в выше описанной сертификацией применяемого криптографического модуля. Соответствующее программное или аппаратное обеспечение уже есть во многих банках. Поэтому система серверной защиты информации должна предусматривать возможность их подключения и применения. Вторым особым требованием к системе защиты информации является возможность интеграции в систему физической безопасности офиса и/или серверной комнаты. Это даст возможность защитить информацию от несанкционированного доступа, который связан с кражей, взломом и т.п.

В банковской деятельности самое важное – это информация, и ее сохранность, так как она фактически является деньгами клиентов. Поэтому в системе защиты должно быть предусмотрено специальные возможности, которые минимизируют риск утери информации. Система должна иметь определенные функции, обязательно должна быть функция определения испорченных секторов на жестком диске. Кроме того, большую важность имеет возможность приостановки и отмены процессов первоначального зашифровывания диска, его расшифровывания и перешифровки. Данные процедуры являются длинными и любой сбой во время их выполнения грозит потерей всех данных.

Так же, следует учесть риск потери информации, которые может возникнуть в результате вмешательства человеческого фактора. И хорошая система, должна учитывать данный фактор. Осуществляется это с помощью применения надежных средств хранения ключей шифрования — смарт-карт или USB-ключей. Ввод токенов в состав продукта является оптимальным решением, так как токен позволяет не только оптимизировать затраты, но и обеспечит полную совместимость программного и аппаратного обеспечения. Другая функция, которая должна быть в такой системе – это функция, которая позволяет уменьшить влияние человеческого фактора на надежность системы защиты, является кворум ключей. Сущность данной функции состоит в разделении ключа шифрования на несколько частей, каждая из которых отдается в пользование одному ответственному работнику. Что б подключится к закрытому диску - требуется наличие заданного количества частей, причем количество самих ключей может быть меньше общего числа частей ключа. Такой подход позволяет сохранить информацию от нецелевого использования ответственными работниками, а также обеспечивает необходимую гибкость для работы банка.

2.2 Защита резервных копий

Регулярное резервирование всей хранящейся в банке информации — абсолютно необходимая мера. Резервное копирование существенно снижает убытки в случае появления таких проблем, как порча данных вирусами, выход из строя аппаратного обеспечения и т.п. Но, создание резервных копий, увеличивает риски, которые связаны с несанкционированным доступом. Как показывает практика, носители, на которые записываются резервные копии, должны храниться не в серверной комнате, а в другом помещении или лучше здании. Так как при любом серьезном инциденте, к примеру, пожар, утерянными будут не только сами данные, но и их резервные копии (архивы). Защитить копии можно только с помощью криптографии. Тогда при передаче носителей с информацией техническому персоналу можно не волноваться за их сохранность, потому что ключ шифрования будет только у офицера безопасности. Основная сложность в организации криптографической защиты резервных копий состоит в необходимости разделения обязанностей по управлению архивированием данных. Настраивать и осуществлять сам процесс резервного копирования должен системный администратор или другой технический работник. А вот управлять шифрованием должен ответственный работник – офицер безопасности. Причем нужно знать, что процесс резервирования происходит в автоматическом режиме. Решить эту проблему можно только путем «встраивания» системы криптографической защиты между системой управления резервным копированием и устройствами, которые осуществляют запись данных (стримеры, DVD-приводы и т.п.). Таким образом, криптографические продукты для возможности их использования в банках должны также иметь возможность работы с разными устройствами, которые используются для записи резервных копий на носители информации: стримерами, CD- и DVD-приводами, съемными жесткими дисками и т.п.^[12]

Сегодня разработаны три типа продуктов, которые позволяют минимизировать риски, связанные с несанкционированным доступом к резервным копиям. К первому типу относятся специальные устройства. Такие аппаратные решения имеют множество преимуществ, в том числе и надежное шифрование информации, и высокая скорость работы. Но эти устройства имеют три существенные недостатка, которые не позволяют применять их в банковской деятельности. Первый: высокая стоимость. Второй: возможные проблемы c ввозом в Россию (нельзя забывать, что мы говорим о криптографических средствах). Третий минус – невозможность подключать к ним внешние сертифицированные криптопровайдеры. Эти платы работают только с реализованными в них на аппаратном уровне алгоритмами шифрования.

Вторую группу систем защиты криптографической защиты резервных копий составляют модули, которые предлагают своим клиентам разработчики программного и аппаратного обеспечения для резервного копирования. Существуют они для всех наиболее известных в данной области продуктов: ArcServe, Veritas Backup Exec и др. Но они обладают некоторыми особенностями. Основная особенность состоит в том, что они работают только со «своим» ПО или накопителем. А так как система банка постоянно развивается, то впоследствии возможна ситуация, когда замена или расширение системы резервного копирования будет нуждаться в дополнительных денежных тратах. Следует отметить, что во многих программах из данной группы сделаны старые медленные алгоритмы шифрования (например, 3DES), нет средств управления ключами, нет возможность подключения внешних криптопровайдеров.

Из-за выше описанных недостатков и появилась третья группа систем защиты. К данной группе относятся специально разработанные программные, программно-аппаратные и аппаратные продукты, не привязанные к конкретным системам архивирования данных. Эти программные продукты поддерживают широкий спектр устройств записи информации, что позволяет использовать их во всем банке, включая и все его филиалы. Это обеспечивает единообразие применяемых средств защиты и минимизацию эксплуатационных затрат. Правда, не смотря на все их преимущества, на рынке представлено совсем немного продуктов из третьей группы. Все описанные преимущества и объясняют наличие большого спроса к данной группе систем защиты, особенно в области банковской деятельности.

2.3 Защита от инсайдеров

Как правило, воровство конфиденциальной информации выполняется с помощью мобильных носителей: CD и DVD-дисков, ZIP-устройств и, самое главное, всевозможных USB-накопителей. Из-за их процветанию и выросло число инсайдеров по всему миру. Руководители многих банков отлично понимают к чему приведет, например, если их клиентская база попадет в руки криминальных структур. И пытаются бороться с этим при помощи организационных методов. Но организационные методы в данном случае мало эффективны. Потому, что можно переносить информацию с одного компьютера на другой с помощью флешки, обычного телефона, mp3-плеера, цифрового фотоаппарата. Можно попытаться запретить проносить на территорию офиса все эти устройства, но это, во-первых, негативно скажется на отношениях с персоналом банка, а во-вторых, наладить реально действенный контроль над людьми все равно очень сложно — банк не «почтовый ящик». Можно даже отключить все устройства, которые могут применяться для записи информации на внешние носители, и USB-портов, но это не поможет. Так как USB-порты нужны в процессе работы, так же нужны для работы принтер, ксерокс и сканер. Можно разработать оригинальные способы защиты. Например, в одном банке попробовали такой метод решения проблемы: залили место соединения USB-порта и кабеля эпоксидной смолой, намертво «привязав» последний к компьютеру. Но, к счастью, сегодня созданы более современные, надежные и гибкие способы контроля. Самым эффективным средством уменьшения рисков, которые связаны с инсайдерами, есть специальное ПО, которое осуществляет динамическое управление всеми устройствами и портами ПК, которые могут применяться для копирования информации. Принцип их работы следующий. Для каждой группы пользователей или для каждого пользователя в отдельности задаются разрешения на применения разных портов и устройств. Самое большое преимущество такого ПО — гибкость. Можно задавать ограничения для конкретных типов устройств, их моделей и отдельных экземпляров. Такой принцип работы позволяет реализовывать очень сложные политики распределения прав доступа. Например, одни работники могут пользоваться только принтерами и сканерами, подключенные к USB-портам, а вот другие работники этот порт недоступен. Если в банке используется система аутентификации пользователей, которая основаа на токенах, то в настройках можно указать используемую модель ключей. Тогда пользователи смогут пользоваться токенами приобретенными фирмой, а все остальные окажутся бесполезными.

На основании выше описанного механизма работы систем защиты, можно понять, какие моменты важны при выборе программ, реализующих динамическое блокирование устройств записи и портов компьютера. Во-первых - это универсальность. Для уменьшения рисков кражи коммерческой информации нужно что б система защиты охватывала весь спектр возможных портов и устройств ввода – вывода информации. Во-вторых, ПО должно быть гибким и позволять создавать правила с применение большого числа разной информации об устройствах: их типов, производителей моделей, уникальных номеров, которые есть у каждого экземпляра и т.п. А так же, система защиты от инсайдеров должна иметь возможность интеграции с информационной системой банка, в частности с Active Directory. Иначе администратору или офицеру безопасности придется вести по две базы пользователей и компьютеров, что не только неудобно, но и увеличивает риски возникновения ошибок.^[13]

Можно заключить, что на рынке информационных технологий в области информационной безопасности есть продукты, с помощью которых любой банк может создать надежную систему защиты информации от несанкционированного доступа и нецелевого использования. Но, при выборе этих программных продуктов нужно быть очень внимательными. Этими вопросами должны заниматься собственные специалисты соответствующего уровня. Допускается применение услуг посторонних фирм. Однако в этом случае возможна ситуация, когда банку будет искусно навязано не адекватное ПО, а то, которое выгодно компании – поставщику. Между тем сделать правильный выбор совсем несложно. Достаточно вооружиться перечисленными мною критериями и внимательно изучить рынок систем безопасности. Но здесь есть «подводный камень», о котором необходимо помнить. В идеальном случае система информационной безопасности банка должна быть единой. То есть все подсистемы должны интегрироваться в существующую информационную систему и, желательно, иметь общее управление. В противном случае неминуемы повышенные трудозатраты на администрирование защиты и увеличение рисков из-за ошибок в управлении. Поэтому для построения всех трех описанных подсистем защиты лучше выбирать продукты, выпущенные одним разработчиком.

Глава 3 Защищенные платежные системы

3.1 Система Swift

Термин Swift - это аббревиатура, под которой надо понимать Сообщество финансовых межбанковских всемирных телекоммуникаций. Система переводов Swift – представляет собой международную систему для передачи информации, совершения платежей. Данная система была разработана в начале семидесятых годов прошлого века в Бельгии. Штаб-квартира находится в городе Брюсселе. По официальным данным, данная сеть состоит из двухсот двенадцать стран и более десяти тысяч учреждений. Ежедневно через систему проходят более двадцати миллионов различных транзакций. Среди них есть межбанковские платежи, финансовые сообщений, денежные переводы и другие.^[14] Система SWIFT, заменила телетайп, стала первой международной системой такого рода.^[15]

Например, в России сообщество насчитывает более 600 участников, включая Банк России и многие крупнейшие банки. Однако с введением санкций в отношении России все чаще стали слышаться призывы отключить российские банки от системы SWIFT. С целью недопущения такой ситуации Россией были предприняты шаги по предотвращению негативных последствий от таких шагов.^[16]

Преимущества, которые предлагает система SWIFT следующие:

- улучшение эффективности работы банков за счет стандартизации и современных способов передачи информации, которые способствуют развитию автоматизации и рационализации банковских процессов;

- надежный обмен платежными сообщениями;

- уменьшение операционных расходов, если сравнить в телексной связью;

-удобный прямой доступ пользователей SWIFT к своим корреспондентам по всему миру (например, доставка сообщения с обычным приоритетом в любую точку мира составит 20 мин, доставка срочного сообщения - 5 мин);

- применение стандартизованных сообщений SWIFT, которые позволяют преодолеть языковые барьеры и свести к минимуму различия в практике выполнения банковских операций;

- повышение конкурентоспособности банков-членов SWIFT за счет того, что международный и кредитный обороты все более концентрируются на пользователях SWIFT^[17].

Созданы две системы SWIFT – это

• SWIFT I (была внедрена в 1977 г.)
• SWIFT II (была внедряется с 1990 г.).

Хотя по архитектуре версии системы отличаются, на практике пользователь не замечает сообщений, полученных по SWIFT I или SWIFT II. Рассмотрим архитектуру и защиту системы SWIFT II.

Архитектура системы SWIFT II

В архитектуре SWIFT II можно выделить четыре основных уровня иерархии, которые представлены ниже (См. Приложение 2).

-банковский терминал. Он устанавливается в банке и используется для доступа сотрудников банка в сеть. Персональные компьютеры выполняют роль терминалов системы SWIFT. Смонтированное оборудование может сдаваться «под ключ» (на базе мини-ЭВМ компаний Unisys и NCR) или интегрироваться в существующую банковскую систему (например на базе семейства мини-ЭВМ VAX компании DEC);

- региональный процессор (РП). Используется для организация взаимодействия пользователей некоторой ограниченной области (республики, страны, группы стран). Как правило, места расположения РП заранее не определяются. РП снабжаются сдублированными ЭВМ фирмы Unisys (Unisys A Series);

- слайс-процессор (СП), нужен для обмена сообщениями между подключенными к нему РП, краткосрочного или длительного архивирования сообщений и генерации системных отчетов. Система SWIFT позволяет хранить сообщения в течении 14 дней.

Это помогает избегать проблем, связанных с трактовкой текстов сообщений. На сегодняшний день существует два СП, каждый из них которых оснащен тремя машинами А12 фирмы Unisys, одна из которой является резервной.

Один СП может может обработать до 1,5 млн сообщений в день. Допускается включение в сеть дополнительных СП; процессора управления системой (ПУС), выполняющего функции монитора системы, управления системой и сетью. Существует два ПУС, один из которых находится в Голландии, а второй - в США. Каждый ПУС может контролировать состояние и управлять работой СП и РП, работой сетевых программ и оборудования, подключением пользователей и их рабочими сеансами, включая выбираемые пользователем прикладные задачи. ПУС - единственный уровень системы, который не занят обработкой сообщений, а предназначен исключительно для управления системой SWIFT в целом.

Преимущества от использования перевода Swift

Транзакции с примнением вышеописанной системы выгодны, если сумма составляет более ста долларов, потому что выше уже начинается фиксированная комиссия. Если перевод планируется менее чем на сто долларов, то рекомендуется использовать другие варианты мгновенных переводов: MoneyGram или Western Union, например. Основное яркое отличие данной сети от других альтернативных вариантов – это выбор широчайшего спектра валют, адресность перевода. Все это в сумме делает работу с финансами гораздо более безопасной.

Недостатки у системы Swift

Естественно, что любая, даже самая лучшая, система будет иметь свои негативные стороны.

Во-первых, необходимо сказать о повышенных комиссиях в отдельных банках и странах. За перевод денежных средств в определенные государства некоторые банки устанавливают дополнительную комиссию. Цепочка же банков-посредников может и без того повысить стоимость перевода в том случае, если валюта процедуры отличается от той национальной валюты, в которую поступает транзакция. Во-вторых, существуют комиссии, которые взимаются с получателей. Так как средства попадают на счет получателя в его банке, есть определенный платеж за процедуру обналичивания средств. Также хочется добавить, что SWIFT (перевод) занимает гораздо больше времени (вплоть до нескольких дней), чем многие другие виды платежей (которые занимают в среднем от получаса до суток).

Что необходимо для перевода по системе СВИФТ?

Для осуществления перевода денег с помощью данной сети за границу обходимо иметь при себе идентификационный код, паспорт и следующие документы:

1. Код - Swift банка, в который будет осуществлен перевод.
2. Код международного формата банковского счета (IBAN), или номер счета, в пользу которого происходит транзакция.
3. Название фирмы, компании или ФИО получателя, в пользу которых будет осуществлен перевод средств.
4. Название банковского учреждения, в которое поступят деньги.
5. Swift -код и наименование банка-корреспондента, в случае если валюта, в которой осуществляется перевод, отличается от той, которая считается в стране-получателе национальной.

3.2 Система CHAPS

Система CHAPS – это аббревиатура от Clearing House Automated Payment System, котоая переводится как Автоматизированная система межбанков­ских расчетов Лондонской Расчетной палаты.

Система CHAPS осуществляет переводы кредитов, которые переводятся в течение одного дня, с помощью электронных средств, которые связывают банки, входящие в данную систему. До января 92 года прошлого века, минимальная сумма перевода в системе CHAPS равна была 5000 фунтов, но в последствии данное ограничение на сумму перевода было снято, и сегодня можно делать переводы на любую сумму. Клиенты могут поручать своим банкам письменно, по телефону или по телетайпу выполнять переводы через систему CHAPS, а более крупные клиенты, которые представляют организации, имеют компьютерные линии или терминалы, которые применяются для передачи таких поручений. Имеется также линия связи между системами CHAPS и SWIFT.

Архитектура системы CHAPS

В отличие от SWIFT система CHAPS (См. Приложение 3) не имеет своих операционных центров, а применяет общую сеть коммутации пакетов (Packet Switch Stream - PSS). Высокая доступность системы обеспечивается шлюзами, которые реализованы на компьютерах Tandem, которые рассчитаны на работу в непрерывном режиме.

Система CHAPS предоставляет своим пользователям полный комплекс услуг, которые обеспечивают надежное обращение электронных денег.^[18]

Обеспечение безопасности системы CHAPS

В системе CHAPS большое внимание направлено на аутентификацию абонентов системы и поддержанию конфиденциальности передаваемых сообщений.

Аутентификация абонентов в системе CHAPS выполняется с помощью алгоритма DES в режиме сцепления блоков. Шифрование выполнено аппаратно в защищенном от физического воздействия модуле, в котором также хранятся ключи шифрования.

Управление ключами отражает специфику системы CHAPS, которая должна обеспечить конфиденциальность соединения между двумя любыми банками, входящими в ее состав. Существует два ключа шифрования: главный и сеансовый. Главный ключ предназначен для шифрования сеансового ключа.

Сеансовый ключ передается по линии связи между взаимодействующими банками.

Безопасность осуществления платежей в системе CHAPS достигается за счет аутентификации сообщений в точке посылки и их верификации (проверки) в точке приема. Эти функции выполняются участниками расчета.

Для контроля целостности потока сообщений применяется нумерация передаваемых пакетов. Каждому пакету соответствует некоторый номер (authentication sequence number, ASN). Для каждой пары отправитель - получатель нумерация пакетов уникальна. Последовательности номеров различны для платежных и неплатежных сообщений. Последовательность номеров должна быть инициализирована в момент смены сеансового ключа для определенной пары отправитель - получатель. Сама аутентификация и ее проверка осуществляются внутри модуля защиты от подделки CHAPS (CHAPS tamper resistant module; TRM).

В результате проведенного исследования по системам Swift и CHAPS можно сделать следующие выводы:

SWIFT организует пересылку банковских сообщений на двусторонней основе, т.е. между каждыми двумя участниками; система CHAPS регулирует платежные обязательства на многосторонней основе;

Преимущества стандарᴛᴏʙ SWIFT оказались настолько очевидными для банковских учреждений, что другие аналогичные системы, например CHAPS также приняли их на вооружение, или создали систему автоматического перевода стандарᴛᴏʙ SWIFT в собственные.

Заключение

Таким образом, проблема защиты банковской информации слишком серьезна, чтобы банк мог пренебречь ею. В последнее время в отечественных банках наблюдается большое число случаев нарушения уровня секретности.

Примером является появление в свободном доступе различных баз данных на компакт-дисках о коммерческих компаниях и частных лицах. Теоретически, законодательная база для обеспечения защиты банковской информации существует в нашей стране, однако ее применение далеко от совершенства.

Пока не было случаев, когда банк был наказан за разглашение информации, когда какая-либо компания была наказана за осуществление попытки получения конфиденциальной информации.

Защита информации в банке - это задача комплексная, которая не может решаться только в рамках банковских программ. Эффективная реализация защиты начинается с выбора и конфигурирования операционных систем и сетевых системных средств, поддерживающих функционирование банковских программ. Среди дисциплинарных средств обеспечения защиты следует выделить два направления: с одной стороны - это минимально достаточная осведомленность пользователей системы об особенностях построения системы; с другой - наличие многоуровневых средств идентификации пользователей и контроля их прав.

В разные моменты своего развития АБС имели различные составляющие защиты.

Обобщая все вышесказанное, приходим к выводу, что работая в банковской сфере, необходимо быть уверенным в том, что корпоративная и коммерческая информация останутся закрытыми. Однако следует заботиться о защите не только документации и иной производственной информации, но и сетевых настроек и параметров функционирования сети на машине.

Задача защиты информации в банке ставится значительно жестче, нежели в других организациях. Решение такой задачи предполагает планирование организационных, системных мероприятий, обеспечивающих защиту. При этом, планируя защиту, следует соблюдать меру между необходимым уровнем защиты и тем ее уровнем, когда защита начинает мешать нормальной работе персонал.

Библиография

	Указ Президента РФ «Об утверждении перечня сведений конфиденциального характера» № 188 от 06 марта 1997 года.
	Федеральный закон от 27.07.2006 N 149-ФЗ «Об информации, информационных технологиях и о защите информации»
	Амелин R В. Информационная безопасность URL - http://nto.immpu.sgu.ru/system/files/3/__77037.pdf (дата обращения 06.02.2016)
	Бертовский Л. В. Расследование преступлений экономической направленности. М.: Проспект, 2015. -
	Герасименко В.А., Малюк А.А., Основы защиты информации, Москва: МИФИ, 1997.- 537 с.
	Защита информации в банковских технологиях: учебно-метод. пособие / Л. М. Лыньков [и др.]. - Минск : БГУИР, 2009. - 198 с.
	Защита информации. Защита информации банка – URL http://ab-solut.net/ru/articles/zachita_bank/ (дата обращения 01.02.2016)
	Кузнецов И. Н., Информация: сбор, защита, аналіз, М., ООО Изд. Яуза, 2001- 88 с.
	Лыньков, Л.М. Защита информации в банковских технологиях: учебно-метод. пособие / Л. М Лыньков [и др.]. - Минск : БГУИР, 2009. - 198 с.
	Поздеев А.В. Поурочные разработки по обшсствознанию. 7 класс. - М.: ВАКО, 2013.-304 с.
	Российская банковская энциклопедия. Редколлегия: О.И. Лаврушин (гл. ред.) и др. – М.: Энциклопедическая Творческая Ассоциация, 1995. С. 52
	Сипки Дж. Финансовый менеджмент в коммерческом банке и в индустрии финансовых услуг/ Джозеф Синки-мл.; Пер. с англ. — М.: Альпина Бизнес Букс, 2007.— 1018 с.
	Ткачук И.Б. Организация и управление безопасностью в финансово-кредитных организациях (Руководство по изучению дисциплины) [электронный ресурс] – URL - http://www.e-biblio.ru/book/bib/13_UMK_5kurs/yprav_security/Book.html (дата обращения 03.02.2016)
	Шиш, A.M. Информационная безопасность: Учебное пособие. Часгь 1. - СПб.: Изд-во С1ШГУЭФ. 2010. - 96 с.

на Allbest.ru

Приложение 1

             

Рисунок 1- Схематическая интерпретация банковской тайны

Приложение 2

Рисунок 2- Архитектура системы SWIFT II

Приложение 3

Рисунок 3 – Архитектура системы CHAPS

1. Амелин R В. Информационная безопасность URL - http://nto.immpu.sgu.ru/system/files/3/__77037.pdf (дата обращения 06.02.2016) ↑

2. Шиш, A.M. Информационная безопасность: Учебное пособие. Часгь 1. - СПб.: Изд-во С1ШГУЭФ. 2010. - 96 с. ↑

3. Указ Президента РФ «Об утверждении перечня сведений конфиденциального характера» № 188 от 06 марта 1997 года. ↑

4. Федеральный закон от 27.07.2006 N 149-ФЗ «Об информации, информационных технологиях и о защите информации» ↑

5. Российская банковская энциклопедия. Редколлегия: О.И. Лаврушин (гл. ред.) и др. – М.: Энциклопедическая Творческая Ассоциация, 1995. С. 52 ↑

6. СПС «КонсультантПлюс» ↑

7. Ст. 857 ГК РФ ↑

8. Ст. 26 указанного закона. Далее – «Банковский закон» ↑

9. Ткачук И.Б. Организация и управление безопасностью в финансово-кредитных организациях (Руководство по изучению дисциплины) [электронный ресурс] – URL - http://www.e-biblio.ru/book/bib/13_UMK_5kurs/yprav_security/Book.html (дата обращения 03.02.2016) ↑

10. Защита информации. Защита информации банка – URL http://ab-solut.net/ru/articles/zachita_bank/ (дата обращения 01.02.2016) ↑

11. Герасименко В.А., Малюк А.А., Основы защиты информации, Москва: МИФИ, 1997.- 537 с. ↑

12. Герасименко В.А., Малюк А.А., Основы защиты информации, Москва: МИФИ, 1997.- 537 с. ↑

13. Кузнецов И. Н., Информация: сбор, защита, аналіз, М., ООО Изд. Яуза, 2001- 88 с. ↑

14. Сипки Дж. Финансовый менеджмент в коммерческом банке и в индустрии финансовых услуг/ Джозеф Синки-мл.; Пер. с англ. — М.: Альпина Бизнес Букс, 2007.— 1018 с. ↑

15. Поздеев А.В. Поурочные разработки по обшсствознанию. 7 класс. - М.: ВАКО, 2013.-304 с. ↑

16. Бертовский Л. В. Расследование преступлений экономической направленности. м.: Проспект, 2015. - 299 C. ↑

17. Лыньков, Л.М. Защита информации в банковских технологиях: учебно-метод. пособие / Л. М Лыньков [и др.]. - Минск : БГУИР, 2009. - 198 с. ↑

18. Защита информации в банковских технологиях: учебно-метод. пособие / Л. М. Лыньков [и др.]. - Минск : БГУИР, 2009. - 198 с. ↑