Преподаватель который помогает студентам и школьникам в учёбе.

Система защиты информации в банковских системах, история развития средств и методов защиты информации

Содержание:

ВВЕДЕНИЕ

Новейшие информационные технологии и ресурсы постепенно стали необходимостью для успеха в современном мире – как для отдельных людей, так и для крупных организаций. В частности, для компаний использование автоматизированных систем может стать определяющим в успешности их деятельности – такие системы значительно повышают оперативность обработки информации, снижая трудозатраты и время выполнения рутинных операций. Кроме того, автоматизированная обработка информации повышает достоверность таких операций, позволяет во многом избежать ошибок, которые может допустить персонал. В то же время, использование информационных технологий подразумевает и совсем иной уровень ответственности – теперь система защита информации должна включать и защиту всего аппаратного и программного обеспечения компании, иначе оно может стать не только бесполезным, но и опасным.

Так, с развитием информационных технологий и с появлением различных технологических новшеств одновременно развиваются и появляются новые угрозы информационной безопасности. Причем такие угрозы могут быть как намеренные, так и случайные – здесь и ошибки персонала, и обрывы соединений, и, конечно же, киберпреступления.

Особую роль вопросы защиты корпоративной информации принимают тогда, когда речь заходит о клиентах и их средствах. Одной из сфер, которые нуждаются в 100% надежной системе защиты информации являются банковские системы. Они являются желанной мишенью для атак кибепреступников, так как содержат конфиденциальную информацию и банковские данные клиентов и организации в целом. Сегодня даже стоимость банковской информации кратно увеличилась, так что рост преступного интереса к ней не удивителен.

В связи с этим возникла особая необходимость обеспечения сохранности достоверности, целостности и общей безопасности банковской информации. Таким образом, цель данного исследования – изучение системы защиты информации в банковских системах.

Для того чтобы изучить систему защиты информации в банковских системах необходимо выполнить следующие задачи:

кратко охарактеризовать основные понятия систем защиты информации;
рассмотреть историю развития средств и методов защиты информации;
проанализировать информационные угрозы в банковских системах;
охарактеризовать особенности системы защиты информации в банковских системах;
сделать вывод по результатам исследования.

Объект исследования – банковские системы.

Предмет исследования – система защиты информации в банковских системах.

Теоретическая база исследования – труды известных авторов, изучавших и изучающих вопросы обеспечения информационной безопасности, в частности – в банковских системах. Это такие авторы как Мельников В. В., Сергеева Ю. С., Гришина Н. В. и др.

Структура работы – две главы, четыре параграфа, содержание, введение, заключение, список использованной литературы. Общий объем работы – 29 страниц.

1. Понятие защиты информации

1.1 Системы защиты информации

Термин «информация» происходит от латинского слова «informatio», что означает сведения, разъяснения, изложение. Несмотря на широкое распространение этого термина, понятие информации является одним из самых дискуссионных в науке. В настоящее время наука пытается найти общие свойства и закономерности, присущие многогранному понятию информация, но пока это понятие во многом остается интуитивным и получает различные смысловые наполнения в различных отраслях человеческой деятельности:

в обиходе информацией называют любые данные или сведения, которые кого–либо интересуют. Например, сообщение о каких–либо событиях, о чьей–либо деятельности и т.п. «Информировать» в этом смысле означает «сообщить нечто, неизвестное раньше»;
в технике под информацией понимают сообщения, передаваемые в форме знаков или сигналов;
в кибернетике под информацией понимает ту часть знаний, которая используется для ориентирования, активного действия, управления, т.е. в целях сохранения, совершенствования, развития системы [12].

В общем виде под информацией понимаются сведения об объектах и явлениях окружающей среды, их параметрах, свойствах и состоянии, которые уменьшают имеющуюся о них степень неопределенности, неполноты знаний [6].

Защита информации – это совокупность мероприятий, направленных на обеспечение конфиденциальности и целостности обрабатываемой информации, а также доступности информации для пользователей.

Под безопасностью информации понимается такое ее состояние, при котором исключается возможность просмотра, изменения или уничтожения информации лицами, не имеющими на это права, а также утечки информации за счет побочных электромагнитных излучений и наводок, специальных устройств перехвата (уничтожения) при передаче между объектами вычислительной техники [8].

Информационная безопасность – это защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, чреватых нанесением ущерба владельцам или пользователям информации и поддерживающей инфраструктуры. Информационная безопасность не сводится исключительно к защите информации. Субъект информационных отношений может пострадать (понести убытки) не только от несанкционированного доступа, но и от поломки системы, вызвавшей перерыв в обслуживании клиентов. Более того, для многих открытых организаций (например, учебных) собственно защита информации не стоит на первом месте [6].

Средства защиты (далее – СЗ) программного обеспечения (далее – ПО) можно классифицировать по ряду признаков:

По используемому механизму защиты. Возможно два подхода решения проблемы защиты ПО. Один – это решение проблемы с помощью технических средств защиты. Включать СЗ в состав ПО. Другой – использование юридической защиты. ПО не содержит технические СЗ, а сопровождается информацией об управлении правами.

По методу установки. Для производителей ПО удобней всего использовать защиту, устанавливаемую на скомпилированные модули. Но такая защита наименее стойка к атакам. Системы с внедрением СЗ в исходный код неудобны для производителей, так как им приходится обучать персонал работе с СЗ и ряд других неудобств. Лучшим решением является использование СЗ комбинированного типа. Другой подход – это использование сложных логических механизмов. Применяются следующие методы: алгоритмы запутывания, алгоритмы мутации, наложение локальных переменных на код программы, компрессия данных, вычисление сложных математических выражений в процессе отработки механизма защиты, методы затруднение дизассемблирования, метода затруднения отладки, эмуляции процессоров и операционных систем, нестандартные методы работы с аппаратным обеспечением [7]. Самыми стойкими к атакам являются комбинированные системы.

По методу реализации. Методы защиты можно разделить на программные и аппаратные. К программным относятся методы, реализуемые с использованием только программных средств. К аппаратным относятся методы, использующие специальное оборудование (электронные ключи) или физические особенности носителей информации.

По типу вредоносного воздействия. Для противодействия обратной инженерии используются упаковщики/шифраторы и сложные логические механизмы [3].

Несанкционированный доступ предотвращается путем использования парольных защит, систем привязки ПО, использованием электронных ключей и ключевых дисков. Использование электронных ключей с памятью и микропроцессором в настоящий момент являются одними из самых стойких систем защиты ПО от НСД.

Защита от несанкционированного копирования осуществляется путем «привязки» ПО к дистрибутивному носителю. Это реализуется следующим способом: диск каким–либо способом уникально идентифицируется (физическая метка), затем создается модуль, который идентифицирует носитель информации. Другим способом является нанесение на диск специальных меток, которые не копируются обычными методами. Данный способ не надёжен, уже существуют программы «продвинутого» копирования. Нанесение физических меток на диск является достаточно эффективным способом защиты ПО от НСР.

По типу средства анализа злоумышленника. Динамическое исследование программ (основной принцип борьбы – все средства анализа оставляют «следы»): борьба с отладчиками, программами–мониторами, эмуляторами.

От статического исследования программ: затруднение дизассемблирования, шифрование, компрессия и т.д.

От снятия дампа в ОП: постоянное перемещение программы в ОП, затирание, шифрование, пометка физической страницы памяти как недоступной [3].

Как правило, системы защиты информации проектируются или, по меньшей мере, предусматриваются в преддверии либо в рамках рассмотрения вопроса о проектировании сети или ИТ–инфраструктуры. Такой подход позволяет заранее выявить риски, угрозы, определить структуру, компоненты, механизмы, технологии и другие составляющие будущей системы защиты. Тем не менее, формирование системы защиты информации возможно и позже, например, в рамках модернизации существующей ИТ–инфраструктуры либо при необходимости замены системы защиты на более современную и эффективную [12].

В качестве средств защиты информации (СЗИ) используются:

Антивирусное программное обеспечение. Такое программное обеспечение представляет собой семейство продуктов, которые специально спроектированы для обнаружения разнообразных компьютерных вирусов, потенциально вредоносного программного обеспечения (иначе – нежелательного программного обеспечения), а также для восстановления уже пораженных вирусами данных и для профилактики подобных заражений. (зараженных, измененных), а также профилактики такого поражения. Антивирусное программное обеспечение различают по различным показателям – это могут быть методы и технологии защиты, функциональность, целевые платформы и многие другие показатели. Антивирусное программное обеспечение может быть как универсальным – таким, которое выпускается для массового использования рядовыми пользователям персональных компьютеров, так и продуктом индивидуального проектирования. Так, создаются специализированные программные продукты для различных сайтов, автоматизированных информационных систем крупных предприятий и др.

Межсетевые экраны – программно–аппаратные комплексы компьютерной сети, обеспечивающие в соответствии с заложенными в них алгоритмами контроль и фильтрацию сетевых пакетов, не отвечающих заданным критериям. В зависимости от особенностей сетевого экрана, он может выполнять и другие функции, как правило, ориентированные на создание дополнительной, более совершенной безопасности [5].

Системы защиты о несанкционированного доступа (НСД) – комплекс мер, правил, инструкций, аппаратных и программных средств, направленных на предотвращение доступа к информации лиц, которые не обладают таким правом или которым доступ запрещен. В данном случае не имеет значения, с какой целью осуществляется попытка доступа и несет ли она потенциальный вред. Система защиты может предусматривать использование различных решений, продуктов и технологий: от простого физического ограничения доступа до внедрения сложных криптографических алгоритмов обеспечения защиты и безопасности. Современные технологии позволяют не просто ограничивать, блокировать доступ, но и отслеживать подозрительную, аномальную активность, даже среди тех сотрудников, которые, в принципе, имеют доступ, но по характеру их действий можно судить о попытках обойти, нарушить установленные правила.

DLP–системы – защита от утечек информации конфиденциального характера. Такие системы, как правило, представляют собой распределённый программно–аппаратный комплекс, включающий большое количество модулей различного функционального, управленческого, аналитического и иного назначения. Современные возможности DLP–систем очень широки, при этом обычно допускается интеграция системы со смежными продуктами и решениями, даже конкурирующими [11].

1.2 История развития средств и методов защиты информации

В настоящее время в научной литературе сформировалось два методологических направления, изучающих возникновение феномена информационная безопасность. Одна группа специалистов тесно связывает развитие информационной безопасности с информационными революциями в истории человеческой цивилизации[8]. Данный подход подразумевает, что уровень безопасности общества определен качеством и объемом информации, доступной социуму, а так же альтернативой ее непосредственного приложения.

Второй подход, предложенный в свое время В. Н. Лопатиным, предполагает, что в истории человеческой цивилизации появление категории «информационная безопасность» связано с возникновением средств информационных коммуникаций и осознанием человеком возможности нанесения ущерба собственным интересам или интересам социальной системы посредством информационного обмена. В рамках этого подхода, становление информационной безопасности с точки зрения развития технологий защиты разделяют на несколько этапов.

Первый этап определяется периодом до 1816 года, он связан с естественным стремлением человека и общества защитить информацию о каких–либо данных, обладающих уникальным значением. Второй этап применения информационно–коммуникационных технологий в процессе обеспечения информационной безопасности начинается с 1816 года, он характеризуется движением от физической защиты информации к созданию технических средств. Третий этап в создании технических методов информационной безопасности начинается с 1935 года, он связан с применением радиолокационных и гидроакустических средств. С 1946 года начинается четвертый этап решения задач информационной безопасности с помощью электронно–вычислительных машин. Пятый шаг в развитии технических средств информационной безопасности связан с созданием локальных информационных сетей в период с 1965 года. Следующий этап развития информационной безопасности (с 1973 года) характеризуется применением сверхмобильных коммуникационных механизмов, решающих высокотехнологичные задачи. Седьмой этап начинается с 1985 года прошлого столетия, он связан с развитием глобальных информационных сетей и космических разработок. Очередной этап информационной безопасности, как показывает практика, будет протекать на базе новейших информационно–коммуникационных технологий с широким спектром возможностей, осуществляемым посредством глобальной сети и космических систем[10]. Можно предположить, что данный этап потребует формирования глобальной системы информационной безопасности для решения задач человечества под эгидой международного взаимодействия.

Возникает впечатление, что описываемый подход к изучению проблемы развития информационной безопасности наиболее глубоко и точно передает историю ее становления. Представленная классификация детально отражает процесс совершенствования информационных воздействий, угроз потенциального и реального характера, который вызвал в человеческом обществе трансформацию идей информационной безопасности, развитие методов и средств обеспечения информационной защиты от возникающих опасностей.

При функционировании мирового информационного пространства информационная безопасность в полной мере может быть обеспечена только усилиями всех стран мирового сообщества, поэтому возникает потребность в формировании общемировой информационной безопасности. Система глобальной информационной безопасности отражает важный фактор перехода к устойчивому развитию [14].

На мой взгляд, необходимо определить основные направления развития информационной безопасности глобального масштаба:

обеспечение состояния защиты глобальной информационной среды от угроз и опасностей реального и потенциального характера;
развитие в безопасном направлении для общества, человека и биосферы информационного пространства;
справедливое распределение благ и ресурсов глобальной информационной среды между народами и всеми мировыми государствами;
содействие процессу перехода к устойчивому развитию формирующейся общемировой информационной среды [7].

Итак, на рубеже XX и XI века человечество шагнуло на ступень кардинальных технологических преобразований, связанных с возникновением нового ряда значительных опасностей и угроз. Пройти путь по восходящей лестнице к новой информационной цивилизации, основанной на колоссальных возможностях технологий, не сорваться вниз, способно общество с высокими нравственными идеалами и ясным пониманием всей глубины ответственности за каждый свой шаг. Сегодня информационные технологии, рассматриваемые как фактор, оказывающий огромное влияние на глобальное развитие социума и формирование информационной реальности, повлияли на сознание человека и его возможности, изменили жизнь общества, трансформировали приоритеты и ценности. Как эти высокие технологии, являясь средством осуществления жизнедеятельности человека, будут применены в будущем, зависит от общества и его выбора.

В свое время основатели концепции информационного общества справедливо отмечали, что информация и знания станут ключевым фактором развития, превосходящим по значимости все виды материального производства, энергии и услуг. В этой теории информационные технологии и телекоммуникации представлены основным агентом экономических, социальных и политических изменений в современном мире. Вместе с тем, прогнозы ближайшего будущего социального строя в сравнении с нынешними реалиями оказываются несколько утопическими. Концептуальный анализ позволил выявить относительно невысокую степень критичности исследователей к феномену информационного общества, в силу чего оказывались слабо принятыми в расчет возникающие в современном социуме новые виды опасностей и угроз [9].

В первой главе были рассмотрены основные составляющие систем защиты информации – что представляют собой категории «информация», «информационная безопасность», «система защиты информации» и др. Кроме того, была кратко охарактеризована история создания и развития средств защиты информации, а также их наиболее распространенная классификация. Данные, рассмотренные в первой главе, являются отличным материалом для дальнейшего исследования – рассмотрения информационных угроз в банковских системах и мерах, которые эти угрозы минимизируют.

2. Система защиты информации в банковских системах

2.1 Информационные угрозы в банковских системах

Отраслевая специфика банка как посредника на финансовых рынках и доверенного лица своей клиентуры определяет более обширный, чем в других отраслях, перечень возможных угроз его информационной безопасности. Их объектом могут выступать любые конфиденциальные сведения, применяемые в процессе предоставления банковских услуг. Однако приоритетным объектом всегда является информация, составляющая банковскую тайну.

Субъектами угроз информационной безопасности банка могут выступать:

конкуренты как самого банка, так и его клиентов, пытающиеся улучшить собственные рыночные позиции путем либо опережения, либо компрометации своих противников;
криминальные структуры, пытающиеся получить сведения о самом банке или его клиентах для решения разнообразных задач (от подготовки примитивного ограбления, до определения размеров неформальных пошлин с рэкетируемых ими предприятий – клиентов банка);
индивидуальные злоумышленники (в современных условиях – чаще всего наемные хакеры), выполняющие либо заказ соответствующего нанимателя (например, конкурента), либо действующие в собственных целях;
собственные нелояльные сотрудники банка, пытающиеся получить конфиденциальные сведения для их последующей передачи (по различным мотивам) сторонним структурам или шантажа своего работодателя;
государство в лице фискальных или правоохранительных органов, использующих специальные методы сбора информации для выполнения установленных им контрольных или оперативных функций [2].

Угрозы информационной безопасности банка могут проявляться в следующих формах:

перехват конфиденциальной информации, в результате которого у субъекта угрозы оказывается ее дубликат (особая опасность этой формы угрозы для пострадавшего банка заключается в том, что о самом факте утечки он, чаще всего, узнает лишь после того, когда конечная цель перехвата уже достигнута);
хищение конфиденциальной информации, в результате которого субъект угрозы одновременно решает две задачи – приобретает соответ ствующие сведения и лишает их пострадавший банк;
повреждение или уничтожение информации, в результате кото рого субъектом угрозы достигается лишь задача нанесения ущерба атакуемому банку.

Методы реализации угроз информационной безопасности банка дифференцируются в зависимости:

от вида данных, являющихся объектом угрозы;
от субъекта угрозы [10].

Производя классификацию методов реализации угроз информационной безопасности банковских систем по первому приведенному признаку, можно отметить, что наиболее существенной угрозой здесь выделяют несанкционированных доступ к данным, хранящемся в автоматизированных системах. Такие данные, которые хранятся в электронном виде, в отличие от данных, хранящихся любым другим способом, могут стать субъектами самого большого числа угроз информационной безопасности – сюда входят и перехват, и хищение, и уничтожение, и мн.др.

Также примечательно, что реализация такой угрозы отличается дороговизной ввиду необходимости применения сложных технических и технологических средств, так что объекты таких атак – зачастую крупные банковские системы, которым точно есть, что терять. Сторонние для банка структуры и индивидуальные злоумышленники используют специальные компьютерные программы, позволяющие преодолеть существующие у любого банка системы защиты баз данных, локальных сетей и иных компьютерных коммуникаций. Другим методом является использование специальных сканеров, позволяющих со значительно расстояния перехватывать (снимать) информацию с работающих ком пьютеров, факсов, модемов. Возможности субъектов угроз по достижению поставленных целей резко возрастают при использовании услуг сотрудников самого банка, особенно из числа лиц, имеющих доступ к защищаемой информации или компьютерным системам защиты.

Для реализации угроз в отношении информации на бумажных носителях субъекты используют такие методы, как копирование (фотографирование), прямое хищение, а при необходимости уничтожения сведений – включение систем самоуничтожения содержимого соответствующих сейфов. Учитывая, что проникновение посторонних лиц в банк всегда достаточно затруднительно, сторонние для него субъекты угроз так же стремятся использовать в этих целях собственный персонал кредитно–финансовых организаций.

Наконец, для перехвата информации в устном виде используют разнообразные технические устройства – скрытые магнитофоны, видеокамеры, специальные дальнодействующие сканеры и направленные микрофоны. Они позволяют со значительного расстояния прослушивать устные и телефонные разговоры (включая аппараты сотовой связи), в том числе – в изолированных, но не оборудованных дополнительными средствами защиты помещениях. Основным ограничением выступают здесь финансовые возможности субъекта угрозы и атакуемого банка в части приобретения необходимых технических средств перехвата ин формации и защиты от него (по некоторым видам устройств цена может достигать нескольких сотен тысяч долларов США) [14].

Классификация по второму признаку позволяет выделить следующие наиболее распространенные методы. Наиболее широкую их номенклатуру потенциально могут использовать конкуренты как самого банка, так и его клиентов. Чаще всего ими применяются:

вербовка сотрудников территориальных налоговых органов и учреждений Центрального банка, по долгу службы располагающих конфиденциальными для конкурентов, но не для государства сведениями (что доступно любому конкурирующему банку и особенно распространено в современных отечественных условиях);
внедрение своих агентов в атакуемый банк, что доступно лишь для наиболее крупных конкурирующих банков и корпораций, располагающих мощными службами безопасности и специально подготовленными сотрудниками;
вербовка сотрудников атакуемого банка с использованием методов подкупа и реже шантажа;
использование услуг собственных (в составе специального подразделения службы безопасности) или наемных хакеров;
использование разнообразных технических средств перехвата конфиденциальной информации в разовом, регулярном или постоянном режимах [8].

Криминальные структуры для обеспечения доступа к конфиденциальной информации обычно используют сотрудников атакуемого банка, применяя для этого прямые угрозы, шантаж и, реже, подкуп. Наиболее крупные преступные группировки могут использовать и более сложные методы.

Индивидуальные злоумышленники (в современных условиях чаще всего наемные хакеры) применяют специальные компьютерные программы собственной или чужой разработки.

Нелояльные сотрудники банка могут действовать в собственных целях (месть, корыстные интересы) или по поручению сторонних для банка структур. Чаще всего, при реализации рассматриваемых угроз они используют собственное служебное положение, обеспечивающее им доступ к соответствующим конфиденциальным данным. В отдельных случаях они могут выполнять роль резидентов нанявших их сторонних для банка структур. В этом случае, сотрудники могут использовать самые разнообразные методы агентурной работы, например, вербовка информаторов из числа своих коллег, выведывание нужных сведений, установку технических средств перехвата информации, прямое хищение или уничтожение конфиденциальных данных.

Фискальные или правоохранительные органы государство в отличие от конкурентов, чаще используют метод внедрения в контролируемый ими банк собственных сотрудников. Уровень их подготовки обычно очень высок, поскольку осуществляется силами специализированных учебных структур государственных спецслужб. В отношении небольших банков функции этих агентов обычно ограничиваются выполнением конкретного задания (например, получение документальных подтверждений факта сокрытия доходов от налогообложения или сведений о конкретном клиенте из числа представителей теневой экономики). В крупнейшие банки агенты государственных органов могут внедряться на длительный срок, выполняя функции резидентов [12].

2.2 Особенности системы защиты информации в банковских системах

Системы защиты информации в банковских системах сложны и многогранны, и для обеспечения их эффективного функционирования необходимо подходить к их построению максимально грамотно и ответственно. Так, в целях построения наиболее эффективной системы защиты информации в банковских системах, можно следовать последовательности мероприятий, предложенных ниже.

Первым этапом является формирование ранжированного перечня конфиденциальных сведений банка как объекта защиты и присвоение им соответствующего грифа секретности. Можно рекомендовать следующий типовой укрупненный перечень (исходя из условий конкретного банка нуждающийся в последующей конкретизации и детализации).

Абсолютно конфиденциальные сведения включают в себя:

информацию, составляющую банковскую тайну, разглашение которой способно нанести стратегический ущерб интересам клиентов банка (стратегия маркетинга, новые научные и технологические разработки, финансовые резервы и места их хранения, используемые схемы налогового планирования и т.п.);
закрытую информацию о собственниках, принадлежащих им активах, механизмах коммерческого партнерства с банком, формах участия в прибылях;
информацию о стратегических планах банка по коммерческому и финансовому направлениям деятельности, вопросам перспективного регионального развития, слияния с другими кредитно–финансовыми организациями или поглощения их, о дружественных банках и иных финансовых институтах (особый характер отношений с которыми необходимо на время скрыть);
любую информацию о деятельности службы безопасности, реализуемой в рамках стратегий упреждающего противодействия и, частично, адекватного ответа;
прикладные методы защиты информации банка (коды, пароли, программы) [12].

Строго конфиденциальные сведения (гриф ХХ) включают в себя:

все прочие конфиденциальные сведения о клиентах банка;
информацию маркетингового, финансового и технологического характера, составляющую коммерческую тайну;
информацию о сотрудниках банка, содержащуюся в индивидуальных досье.

Конфиденциальные сведения (гриф Х) включают в себя:

базы данных по направлениям деятельности кредитно–финансовой организации, созданные и поддерживаемые в качестве элементов обеспечения соответствующих систем управления;
сведения о заработной плате и индивидуальных социальных па кетах сотрудников банка, а также составе резерва на выдвижение;
внутренние регламенты (положения, инструкции, приказы и т.п.) используемые в системе внутрибанковского менеджмента [7].

Наконец, к информации для служебного пользования относятся любые другие сведения, не подлежащие публикации в открытых источниках.

Результатом этой работы является внутренний (строго конфиденциальный) документ – Перечень сведений, составляющих банковскую и коммерческую тайну. Наряду с определением общего состава защищаемой информации он должен содержать порядок понижения уровня ее секретности и последующего полного рассекречивания. Это является отражением процессов естественного устаревания любых конфиденциальных сведений. По прошествии определенного времени или при изменении ситуации (например, ликвидации фирмы – клиента банка) они перестают нести угрозу информационной безопасности банка, поэтому дальнейшая их защита становится нецелесообразной.

Вторым этапом является оценка возможных каналов утечки (перехвата) конфиденциальной информации банка. При этом выделяются следующие группы каналов:

Каналы утечки через внешние и локальные компьютерные сети банка, целью определения которых является выявление (для последующей организации их особой защиты) терминалов:

объединенных в закрытые локальные сети;
используемых работниками банка – носителями особо секретных сведений;
подключенных к локальным сетям и доступных для использования клиентами банка, а также другими лицами, не являющимися его сотрудниками [4].

Каналы утечки с использованием технических средств перехвата информации, целью определения которых является выявление помещений, нуждающихся в особой защите:

зал заседания Правления и Совета директоров;
кабинеты высших руководителей и ведущих экспертов;
хранилище банка;
офисы службы программного обеспечения;
офисы службы безопасности;
помещения, в которых обычно осуществляется неформальное общение сотрудников банка (туалетные и курительные комнаты, буфеты, столовая);
комнаты для переговоров и т.п. [12]

Каналы утечки по вине нелояльных или безответственных сотрудников банка, целью определения которых является составление перечня рабочих мест (должностей), ранжированных по принципу доступа к раз личным группам защищаемой информации и нуждающихся в специальном обучении, защите или особом контроле:

носители абсолютно конфиденциальной информации (допуск А);
носители строго конфиденциальной информации (допуск В);
носители конфиденциальной информации (допуск С);
группа повышенного риска (молодые специалисты и недавно на нятые сотрудники) [4].

Основной целью работы по второму этапу выступает выявление наиболее вероятных угроз в отношении каждой из позиций указанного выше Перечня, следовательно – обеспечение возможности выбора наиболее целесообразных методов и форм защиты.

Третьим этапом является определение перечня прикладных методов защиты информации. Они делятся на следующие группы: К методам программно–математического характера относятся:

программы, ограничивающие доступ в компьютерные сети и отдельные компьютеры банка;
программы, защищающие информацию от повреждения умышленно или случайно занесенными вирусами (автоматическое тестирование при включении компьютера, при использовании СД – дисков или дискет);
программы, автоматически кодирующие (шифрующие) информацию;
программы, препятствующие перезаписи информации, находящейся в памяти компьютера, на внешние носители или через сеть;
программы, автоматически стирающие определенные данные с ограниченным для конкретного пользователя временем доступа [5].

К методам технического характера относятся:

использование экранированных помещений для проведения конфиденциальных переговоров;
использование специальных хранилищ и сейфов для хранения информации на бумажных носителях (при необходимости с устройства ми автоматического уничтожения ее при попытке несанкционированного проникновения);
использование детекторов и иной аппаратуры для выявления устройств перехвата информации;
использование защищенных каналов телефонной связи;
использование средств подавления устройств перехвата информации;
использование средств автоматического кодирования (шифровки) устной и письменной информации [5].

К методам организационного характера относятся:

мероприятия по ограничению доступа к конфиденциальной информации (общережимные мероприятия, системы индивидуальных допусков, запрет на вынос документов из соответствующих помещений, возможность работы с соответствующей компьютерной информацией лишь с определенных терминалов и т.п.);
мероприятия по снижению возможности случайного или умышленного разглашения информации или других форм ее утечки (правила работы с конфиденциальными документами и закрытыми базами компьютерных данных, проведения переговоров, поведения сотрудников банка на службе и вне ее );
мероприятия по дроблению конфиденциальной информации, не позволяющие сосредоточить в одном источнике (у сотрудника, в документе, файле и т.п.) все сведения по вопросу, интересующему потенциального субъекта угроз;
мероприятия по контролю над соблюдением установленных правил информационной безопасности;
мероприятия при выявлении фактов утечки той или иной конфиденциальной информации [11].

Четвертым этапом является непосредственное формирование и внедрение подсистемы информационной безопасности банка, предполагающее:

Разработку общей концепции информационной безопасности, как элемента общей стратегии безопасности банка, определяющей:

принципы ранжирования конфиденциальной информации по степени ее важности для банка, следовательно, по требованиям к эффективности защиты;
подходы к обеспечению специальными программными продуктами (самостоятельная разработка или заказ у специализированных под рядчиков);
подходы к распределению ответственности за обеспечение информационной безопасности между уполномоченными штабными службами (безопасности, персонала, маркетинга, информационных технологий) и линейными подразделениями;
подходы к выбору методов пресечения выявленных угроз;
подходы к выделению ресурсов, необходимых для профилактики и пресечения возможных угроз (фиксированный процент от общей суммы собственных расходов банка, выделение средств под представленные сметы и целевые программы и т.п.);
критерии оценки эффективности защиты конфиденциальной информации [13].

Разработку внутренней нормативной базы в составе:

общих для всего банка регламентов (например, Положение о правилах обеспечения информационной безопасности, Правила проведения конфиденциальных переговоров, Правила работы с закрытыми базами данных, Перечень сведений, составляющих банковскую и коммерческую тайну и т.п.),
внутренних регламентов службы безопасности банка, включая должностные инструкции ее сотрудников, специализирующихся в этой области; правил обеспечения информационной безопасности, фиксируемых в регламентах конкретных структурных подразделений банка и должностных инструкциях его сотрудников.

Расчет и выделение финансовых ресурсов необходимых:

для приобретения (самостоятельной разработки), эксплуатации и обновления программных средств и средств инженерно–технической защиты;
для проведения соответствующих организационных мероприятий;
службе безопасности для осуществления специальных профилактических и контрольных мероприятий [7].

Обучение персонала банка и специалистов самой службы безопасности правилам обеспечения информационной безопасности

Формирование и последующее развитие формализованных процедур контроля над соблюдением установленных в рамках данной подсистемы правил силами:

службы безопасности банка;
руководства структурных подразделений [9].

Во второй главе работы были рассмотрены основные виды информационных угроз, а также план мероприятий, которые смогут противостоять таким угрозам. К обеспечению защиты информации в банковских системах необходимо подходить комплексно и с максимальным вниманием, так как от качественной организации такой системы зависит не только успех и безопасность самой организации, но и конфиденциальность и сохранность данных всех ее клиентов.

ЗАКЛЮЧЕНИЕ

В ходе выполнения работы была достигнута цель исследования: изучена система защиты информации в банковских системах.

Для изучения системы защиты информации в банковских системах, были выполнены следующие задачи:

кратко охарактеризованы основные понятия систем защиты информации;
рассмотрена история развития средств и методов защиты информации;
проанализированы информационные угрозы в банковских системах;
охарактеризованы особенности системы защиты информации в банковских системах

Определено, что для полноценного обеспечения защиты информации в банковских системах действительно необходимо формирование сложной и многофункциональной системы, которая будет охватывать все стороны такой сложной структуры. Определено также, что система защиты информации в банковских системах обладает действительно судьбоносным значением – не только для самих банковских систем, но и для большинства клиентов банков, использующих их.

Тем не менее, время, как и технологии, не стоит на месте, и с улучшением и усложнением существующих автоматизированных систем, а также появлением новых, развиваются и новые средства обхождения самых лучших средств защиты информации. Соответственно, улучшаются и системы защиты информации. Таким образом, данное исследование может быть продолжено в рамках дальнейших совершенствований как систем защиты информации, так и информационных угроз.

СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ

Аглицкий, И. Состояние и перспективы информационного обеспечения российских банков / И. Аглицкий. – Банковские технологии, 2015
Алексеев, В. М. Нормативное обеспечение защиты информации от несанкционированного доступа / В. М. Алексеев. – Пенза: Изд–во Пенз. гос. ун–та, 2017
Алешин, Л. И. Защита информации и информационная безопасность: Курс лекций / Л. И. Алешин; Моск. гос. ун–т культуры. – М.: Моск. гос. ун–т культуры, 2014
Быков, В. А. Электронный бизнес и безопасность / В. А. Быков. – М.: Радио и связь, 2016
Васильков, А. В. Информационные системы и их безопасность / А. В. Васильков, А. А. Васильков, И. А. Васильков. – М.: Форум, 2011. – 528 c
Гафнер, В. В. Информационная безопасность / В. В. Гафнер. – М.: Феникс, 2017. – 336 c.
Гришина, Н. В. Информационная безопасность предприятия. Учебное пособие / Н. В. Гришина. – М.: Форум, 2015. – 240 c.
Ищейнов, В. Я. Защита конфиденциальной информации / В.Я. Ищейнов, М. В. Мецатунян. – М.: Форум, 2016. – 256 c.
Кудряев, В. А. Защита информационных ресурсов в негосударственной сфере / В. А. Кудряев, Е. А. Степанов. – М.: Огни, 2015. – 440 c.
Мельников, В. В. Безопасность информации в автоматизированных системах / В. В. Мельников. – М.: Финансы и Статистика, 2014. – 368 c.
Романов, А. Н. Информационные системы в экономике (лекции, упражнения и задачи) / А. Н. Романов, Б. Е. Одинцов. – М.: Вузовский учебник, 2016. – 300 c.
Сергеева, Ю. С. Защита информации. Конспект лекций / Ю. С. Сергеева. – М.: А–Приор, 2015. – 128 c.
Тютюнник, А. В. Информационные технологии в банке: моногр. / А. В. Тютюнник, А. С. Шевелев. – М.: Высшая школа, 2014. – 368 c.
Шаньгин, В. Ф. Информационная безопасность и защита информации / В. Ф. Шаньгин. – М.: ДМК Пресс, 2014. – 702 c.