Преподаватель который помогает студентам и школьникам в учёбе.

Система защиты информации в банковских системах (Общее понятие банковской деятельности)

Содержание:

ВВЕДЕНИЕ

В современном мире в условиях постоянно ускоряющихся темпов развития науки и информационных технологий, с переходом документов, кошельков и прочей важной информации в электронный носитель важно уметь защитить эту информацию. Информационная безопасность имеет огромное значение для крупных организаций, владеющих широкой клиентской базой.

К таким организациям относятся банки. Изначально управление информационной безопасностью банков регламентировалось внутренними нормативными документами каждого банка, но и с появлением отечественных отраслевых стандартов обеспечения информационной безопасности в 2002 году осталось много проблем по защите информации.

Одним из основных моментов, прописанных в положении, является закрепление контроля конфиденциальной информации внутри корпорации, а также требование к банкам иметь антивирусную защиту с постоянно обновляющимися базами.

Также в пунктах, ориентированных на защиту от внешних угроз, учитывались средства защиты от спама, использование шифрования, для максимальной защиты информации от несанкционированного доступа, а также управление доступом к информации клиента.

В новой редакции Банк России актуализировал методику оценки соответствия информационной безопасности. Основные изменения коснулись подхода к оценке. Стало больше внимания уделяться документированию процедур безопасности во внутренних нормативных документах банков. Возросло количество частных показателей, а так же изменились весовые значения оценок.

Актуальность темы исследования заключается в необходимости повышения систем информационной безопасности кредитных организаций, оказывающих услуги посредством интернет-банкинга. Онлайн-обслуживание становится достаточно популярным сегодня в условиях современного информационного общества, но проблемы такой деятельности заключаются в наличии и росте уровня кибер-преступности и интернет-мошенничества. К сожалению, современные существующие механизмы защиты клиентских счетов не в состоянии обеспечить полную защиту от несанкционированных доступов мошенников. Наличие такой угрозы заставляет людей отказываться от онлайн-кабинетов и интернет-облуживания, что создает большое неудобство и существенно снижает скорость финансовых операций. Кроме того, постоянное обращение в банк требует больших затрат времени, отвлекает банковских работников от обработки массивов данных, повышает вероятность сбоев в операционных системах банка.

В связи с этим предметом данного исследования выступают экономические отношения, формирующиеся в процессе онлайн-обслуживания, и обеспечение их защиты

Банковская деятельность всегда была связана с обработкой и хранением большого количества конфиденциальных данных. К ним можно отнести персональные данные о клиентах, об их вкладах и обо всех осуществляемых операциях.

Цель работы рассмотреть систему защиты информации в банковских системах

Объектом разработки является исследование и усовершенствование информационной безопасности в банке.

Предметом разработки является создание средств и способов защиты от несанкционированного доступа к секретной информации

Задачи работы:

дать общее понятие банковской деятельности;

Рассмотреть информационную безопасность банковских систем;

Перечислить меры по защите информации в банковских системах;

Провести исследование возможности применения технологии «БЛОКЧЕЙН» для защит банковских транзакций;

Охарактеризовать механизмы повышения информационной безопасности систем маркетинг-банкинга.

Методологической основой исследования являются труды отечественных ученых и специалистов по проблемам национальной, экономической и информационной безопасности, денежно-кредитным отношениям, банкам, законодательные акты Российской Федерации, нормативные документы Банка России, энциклопедическая и справочная литература, материалы периодической печати, а также опыт организации работы по обеспечению безопасности банковских учреждений

ГЛАВА 1. ОСНОВНЫЕ АСПЕКТЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В БАНКОВСКОЙ СФЕРЕ

1.1 Общее понятие банковской деятельности

Учитывая всеобщую информатизацию и компьютеризацию банковской деятельности, значение информационной безопасности осуществляемых удаленно банковских транзакций весьма возросло. Банковская транзакция представляет последовательность операций, сопровождающих удаленное взаимодействие покупателя и платежной системы. К основным данным, обрабатываемым в момент проведения транзакций и подлежащим защите, можно отнести [1]:

• имя отправителя;

• имя получателя;

• реквизиты карты отправителя;

• реквизиты карты получателя;

• сумма перевода;

• информационное сообщение. Именно эта информация представляет собой содержимое банковских транзакций и очевидно подлежит защите, поэтому наибольший интерес с точки зрения безопасности представляет вопрос хранения данных о совершенных транзакциях.

Сейчас вся информация о картах и транзакциях хранится на банковских серверах в их централизованных базах данных. Если злоумышленнику удастся получить доступ к этим базам, он сможет ознакомиться со всеми защищаемыми данными или внести в них изменения. Реализация данной угрозы весьма вероятна для внутреннего нарушителя [2].

Применяя различные виды сетевых атак (например, «человек посередине» или «отказ в обслуживании»), можно перехватить передаваемую информацию или нарушить функционирование самих серверов при отсутствии должного уровня защиты. Также аппаратное обеспечение баз со временем может приходить в непригодность, что в свою очередь может привести к потере защищаемых данных. В связи со всем, указанным выше, защищенности этих баз необходимо уделять серьезное внимание и вкладывать в это огромное число ресурсов, что весьма трудоемко и невыгодно.

Системы, реализующие проведение банковских транзакций, должны выполнять следующие функции [3]:

• обеспечение непрерывного функционирования сети и оперативной диагностики сбоев в случае их появления;

• гибкость по отношению к потенциальным изменениям характеристик сети (топологии, числа клиентов, объемов трафика, оборудования, видов доступа и т.п.);

• возможность безболезненного изменения применяемых типов аппаратного и программного обеспечения;

• подготовка и своевременное поддержание необходимого функционала рабочего места оператора;

• обеспечение защиты от ошибок;

• поддержка служб резервного копирования и восстановления данных после критических ситуаций. В целях обеспечения защиты информации на рабочих узлах сети на прикладном уровне необходима реализация следующих механизмов:

• обеспечение конфиденциальности транзакции или очереди транзакций;

• корректная аутентификация клиентов; невозможность отказа от участия в транзакции;

• регистрация транзакций;

• контроль целостности самой транзакции или последовательности транзакций. Еще одним из ключевых требований к защите банковских транзакций следует считать корректный выбор системы криптографической защиты данных или, другими словами, системы шифрования [4]. Выбранная система должна быть способна выполнять следующие функции:

• сокрытие содержания транзакции от третьих лиц путем шифрования ее данных;

• обеспечение совместной обработки данных транзакции группой операторов системы с применением криптографического разделения информации и распределения ключей.

• обеспечение невозможности обработки данных транзакции пользователями, не имеющими доступ к этой операции;

• контроль целостности данных путем заблаговременного обнаружения возможных искажений благодаря применению криптографического контрольного признака (например, цифровой подписи);

• аутентификация инициатора транзакции.

Для предотвращения проникновения в систему безопасности используются различные механизмы защиты.

К основным из них можно отнести:

• шифрование содержимого транзакции;

• достоверная идентификация участников транзакции;

• контроль целостности данных транзакции;

• индексация транзакций;

• применение сессий при доступе и обработке данных;

• надежное и защищенное хранение секретных ключей;

• достоверная процедура аутентификации клиента при регистрации в системе;

• обработка электронного сертификата клиента;

• создание защищенного туннелированного соединения клиента с сервером.

1.2 Информационная безопасность банковских систем

Национальная платежная система (НПС) становится все более приоритетным направлением во внутренней политике государства. Был принят закон о создании в России национальной системы платежных карт (НСПК) и обеспечении бесперебойности работы международных платежных систем. Для обеспечения безопасности НПС был выпущен целый рад подзаконных актов, серди которых «Положение о защите информации в платежной системе» от 13.06.2012 №584, «Положение о требованиях к обеспечению защиты информации при осуществлении переводов денежных средств…» от 09.06.2012 N 382-П).

С обновлением П-382 тенденции обеспечения защиты теперь смещены в сторону: применением банкоматов и платежных терминалов; применения пластиковых платежных карт; использования сети Интернет; требований к порядку разработки и распространения специализированного ПО, предназначенного для использования клиентом при переводе денежных средств; расширение требований по повышению осведомленности клиентов о возможных рисках получения несанкционированного доступа к защищаемой информации и рекомендуемых мерах по их снижению; требований о необходимости проведения классификации банкоматов и платежных терминалов; процедур приостановления проведения платежа оператором по переводу денежных средств в случае обнаружения признаков мошеннических действий; предусмотрены процедуры защиты от современных угроз безопасности.

В мировом сообществе признанным стандартом безопасности считается Payment Card Industry Data Security Standard (PCI DSS), который был разработан советом PCI SSC. В него вошли такие карточные брэнды, как Visa, MasterCard, American Express, JCB и Discovery. Однако сертификация российских банков по зарубежному PCI DSS стандарту шла довольно медленно, а отечественного аналога на сегодняшний день нет. В отличие от всех зарубежных стандартов, российский призван стимулировать отечественных разработчиков и производителей средств защиты информации.

При этом разрешено применение решений иностранного производства. Банк России усиливает свой контроль за соблюдением установленных правил. Существуют и другие международных стандарты безопасности падежных систем. Один из них стандарт PCI PA-DSS (Payment Card Industry Payment Application Data Security Standard) определяющий требования к приложениям, обрабатывающим данные о держателях карт и процессу их разработки. И, второй стандарт Payment Card Industry PIN Transaction Security (PCI PTS), ранее PCI PED, касаются производителей, которые задают и реализуют технические параметры и систему управления для устройств, поддерживающих набор ПИН-кода и использующихся для проведения платежных операций по картам. Таким образом, защита информации в банковской системе представляет собой первостепенную задачу руководства каждого банка во всем мире.

ГЛАВА 2. ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ИНФОРМАЦИИ В БАНКОВСКИХ СИСТЕМАХ

2.1 Меры по защите информации в банковских системах

Использование новых технологий в банковских организациях их автоматизация, безусловно, облегчает и ускоряет их работу, но вместе с тем приводит к ряду проблем, связанных с информационной безопасностью (ИБ).

Вопросы о защите персональных данных клиентов, о защите информации, связанной с кредитно-финансовыми операциями, о защите данных самого банка (банковская тайна) выходят на первый план, так как несанкционированный доступ к этой информации со стороны злоумышленников может нанести значительный ущерб банку и существенно подорвать его репутацию.

Обеспечение информационной безопасности следует начинать с назначения и распределения ролей между сотрудниками в соответствии с принципом предоставления минимальных прав, требующихся для выполнения служебных обязанностей. При приеме на работу в финансовую организацию, сотрудник должен пройти определенные испытания: проверку подлинности предоставленных документов, профессиональных навыков, точности и полноты биографических фактов.

При этом он письменно обязуется соблюдать правила конфиденциальности и корпоративной этики, прописанные в трудовом договоре. За несоблюдение правил сотрудник несет как минимум дисциплинарную ответственность. Также необходимо проведение инструктаж и обучение не только по технической, но и информационной безопасности [1].

После выявления проблем в автоматизированной банковской системе (АБС), следует предпринять ряд мер, связанных с обеспечением ИБ:

1) установить проверенный комплекс средств антивирусной защиты;

2) обеспечить защиту от несанкционированного доступа; 3) обеспечить ИБ при использовании сети Интернет;

Для обеспечения безопасности необходимо использовать средства криптографической защиты информации (СКЗИ), которые допускают встраивание в технологические процессы обработки электронных сообщений, обеспечивают взаимодействие с прикладным программным обеспечением на уровне обработки запросов на криптографические преобразования и выдачи результатов;

поставляются разработчиками с полным комплектом эксплуатационной документации, включая описание ключевой системы, правила работы с ней, а также обоснование необходимого организационно-штатного обеспечения;

сертифицированы уполномоченным государственным органом либо имеют разрешение ФСБ России.

СКЗИ, применяемые для защиты персональных данных, должны иметь класс не ниже КС2 [1]. К мерам криптографической защиты для дистанционного банковского обслуживания относят: применение электронной цифровой подписи и передача информации только в установленном формате и для конкретной технологии, с использованием криптографических ключей. 160 Состояние ИБ в финансовой организации должно соответствовать международным соглашениям, необходимым стандартам и требованиям регулирующих органов (ФСТЭК, ФСБ, ЦБР) и платежных систем [2].

Рекомендации, предложенные в настоящей статье, могут найти применение в банковских системах для организации работы отдела защиты информации.

2.2.Исследование возможности применения технологии «БЛОКЧЕЙН» для защит банковских транзакций

Для обеспечения безопасности систем электронного обмена информацией более существенную роль играет обеспечение целостности содержимого и аутентификация участников сеанса связи. Функции шифрования используются для обеспечения перечисленных процессов. Наряду с этим применяется комплекс технических средств защиты сервисов на обрабатывающей стороне [5]:

• как программная, так и аппаратная реализация межсетевого экрана;

• системы обнаружения вторжений; • антивирусное программное обеспечение и пр. Технология Блокчейн (Blockchain) — выстроенная по определённым правилам цепочка из формируемых блоков транзакций. В этой схеме реализован децентрализованный принцип управления, а для верификации транзакций используются P2P-сети, кодификации и криптография.

Транзакциями можно управлять при помощи программируемых контрактов или договоров. В такой системе любые транзакции не считаются подтверждёнными, пока информация о них не будет сгруппирована в специальные блоки [6].

По своей структуре Блокчейн представляет цепь блоков, которая содержит в себе распределенную информацию. При этом все блоки цепочки связаны друг с другом. Блок наполнен группой записей, а вновь возникающие блоки всегда добавляются в конец цепи и дублируют информацию, содержащуюся в ранее созданных структурных единицах системы, добавляя к ней новую.

Построение цепочки Блокчейн происходит на базе трех главных принципов — распределенность, открытость и защита. Пользователи системы формируют собой компьютерную сеть, при этом у каждого из них хранится копия каждого из блоков. Такой принцип делает систему весьма надежной. Для того чтобы вывести ее из строя, необходимо одновременно отключить каждого пользователя системы. Каждый новый пользователь сети только укрепляет Блокчейн, делает его еще более стойким к повреждениям. База публично хранит в незашифрованном виде информацию о всех транзакциях, подписываемых с помощью асимметричного шифрования.

Для предотвращения многократной траты одной и той же суммы используются метки времени, реализованные путём разбиения баз данных на цепочку специальных блоков, каждый из которых, в числе прочего, содержит в себе хеш предыдущего блока и свой порядковый номер.

Каждый новый блок осуществляет подтверждение транзакций, информацию о которых содержит и дополнительное подтверждение транзакций во всех предыдущих блоках цепочки. Изменить информацию в блоке, который уже находится в цепи, практически невозможно, так как пришлось бы редактировать информацию во всех последующих блоках.

При корректировке информации возможно изменение его ключа и как следствие, последующих данных. Зная ключи и видя перед собой блоки, проверить правильность информации не составляет труда. Если хотя бы один блок пропущен или изменена последовательность, то это сразу будет заметно.

Кроме этого, ключ блока гарантирует защиту сети, уровень которой усиливается вместе с ростом сети. Цепь Блокчейна надежно зашифрована, для доступа к блокам применяется специальный ключ. Именно от него зависит, будет идентифицирован пользователь системой или нет. Таким образом в технологии Блокчейн обеспечивается конфиденциальность информации.

Если злоумышленник захочет поменять информацию в блоке, для этого ему придется выполнить трудоемкие операции. Каждая транзакция в блоке содержит информацию о предыдущей транзакции (хеш), соответственно, при ее изменении информации об одной транзакции, злоумышленнику придется поменять и всю дальнейшую цепочку. Таким образом в технологии Блокчейн обеспечивается целостность информации. Блокчейн при необходимости позволяет отследить, а также оценить путь изменения информации, проверить корректность данных для тех, кто получает соответствующие права (ключ). Таким образом система позволяет проверять других участников транзакций и обеспечивает доступность информации. Выполнение общих требований по функционированию системы применительно к технологии Блокчейн представлено в таблице 1.

Таблица 1

Выполнение требований по защите информации

Требование	Реализация
Обеспечение конфиденциальности транзакции или очереди транзакций	реализовано - информация в блоках шифруется и доступна только при наличии ключа
Корректная аутентификация клиентов	реализовано - информация в блоках шифруется и доступна только при наличии ключа
Невозможность отказа от участия в транзакции	реализовано - в каждом блоке присутствует информации об участнике транзакции
Регистрация транзакций	реализовано - в каждом блоке присутствует информации о самой совершенной транзакции
Контроль целостности самой транзакции или последовательности транзакций	реализовано - для изменения одного из блоков необходимо изменить все остальные, т.к. в каждом блоке содержится информация о предыдущем

Таблица 2

Выполнение общих требований по функционированию системы

Требование	Реализация
Непрерывное функционирование сети и оперативная диагностика сбоев	реализовано сеть является распределенной, при сбое одного из узлов остальные будут работать
Гибкость по отношению к потенциальным изменениям характеристик сети	реализовано сеть является распределенной, при сбое одного из узлов, остальные будут работать
Возможность безболезненного изменения применяемых типов аппаратного и программного обеспечения	реализовано применимо любое пользовательское оборудование
Подготовка и своевременное поддержание необходимого функционала рабочего места оператора	отпадает нет необходимости в операторе
Обеспечение защиты от ошибок	реализовано сеть является распределенной, при сбое одного из узлов остальные будут работать
Поддержка служб резервного копирования и восстановления данных после критических ситуаций	реализовано сеть является распределенной, при сбое одного из узлов остальные будут работать

Выполнение требований по защите самой информации представлено в таблице 2.

Необходимость в защите сервисов на обрабатывающей стороне отпадает благодаря распределенной структуре сети. Как можно заметить, система, построенная на технологии Блокчейн, ничем не уступает традиционным системам проведения транзакция, так как целиком и полностью выполняет необходимые требования по защите банковских транзакций.

Главное преимущество технологии Блокчейн – распределенность и децентрализованность. Система позволяет избавится от посредников в проведении банковских транзакций, таких, например, как сами банки. Для функционирования сети Блокчейн необходимы серьезные вычислительные возможности.

При увеличении числа пользователей сети, что характерно для банковской деятельности, эта проблема будет постепенно исчезать. Таким образом, технология Блокчейн целиком и полностью выполняет необходимые требования по защите банковских транзакций. К тому же некоторые из предъявляемых требований отпадают вовсе благодаря отсутствию централизованного управления. Данная технология является отличным претендентом для проведения защищенных банковских транзакций в современном мире

2.3 Механизмы повышения информационной безопасности систем маркетинг-банкинга

Интернет-банкинг – один из наиболее динамичных секторов электронной коммерции, при этом возможности использования сети Интернет в сфере банковского дела регулярно расширяются, возникают новые службы и технологические процессы, а совместно с ними – новейшие возможности формирования бизнеса. Экономически важные процессы стали переноситься в электронную форму.

Однако только с развитием «глобальной сети» стало допустимым рассматривать банковские операции, протекающие в ней в электронной форме, в качестве отдельного вида экономической деятельности. Непосредственно с возникновением сети Интернет в его нынешнем варианте электронная банковская работа приобрела сильнейший стимул к формированию.

Дистанционное обслуживание стало частью повседневной жизни граждан Российской Федерации. Темп развития настолько велик, что за столь короткий промежуток времени рынок интернет банкинга насытился. Доля онлайн транзакций в общем объеме платежей увеличивается с каждым днем. И на данный момент фаза массового внедрения дистанционного обслуживания пройдена.

Банкам остается только расширять функционал, совершенствовать работу, упрощать процессы и уделять особое внимание рекламе и безопасности совершения операций. В современной России новое поколение технологически образованно и не хотят совершать операции с помощью обращения в отделении банка.

На сегодняшний день в России интернет-банкинг хорошо внедрен и налажены мгновенные платежи в реальном времени. Интернет-банкинг – перспективный и быстроразвивающийся сегмент банковского обслуживания. Данная услуга популярна не только среди физических лиц, но и среди юридических.

Постепенно организации переходят на такой тип обслуживания из-за удобства и безопасности совершения сделок. Конечно, в России из-за особого сложившегося менталитета людей недоверие к интернет-банкингу все-таки остается. Население более привязано к наличности. Это связано с тем, что они не видят, не могут держать в руках денежные средства, т. к. она в виде электронных денег на счете. Но по истечении времени и с развитием технологий, которые уже плотно вошли в жизнь населения, обстановка меняется.

Новое поколение не представляет свою жизнь без интернет технологий. Это является неотъемлемым атрибутом повседневной жизни. В скором времени наличность станет пережитком прошлого. Зачастую услуга интернет-банкинга сопровождается с предоставлением пластиковых карт. В совокупности это дает максимальный доступ к денежным средствам клиента и онлайн, и в реальной жизни.

Если судить по развитию в России пластиковых банковских карт, то по сравнению с заграничной системой карточного бизнеса США или Европы мы отстаем на несколько позиций. В любом случае у России есть все условия для развития данной дистанционной услуги и перспективы повышения уровня обслуживания в целом.

Связь банковских карт и интернет банкинга дает возможность: выдачи срочного кредита, размещения средств в банке на срочные депозиты, выпуска новых карт и перечисления денежных средств на другой счет. В свободное пользование вошел безналичный расчет – более удобный и надежный вид платежа не только в Интернете, но и в реальной жизни. Тут нет ограничений географических и международных.

Такие возможности дает только дистанционное банковское обслуживание. Целесообразное использование интернет-банкинга возможно только при извлечении конкретной выгоды как банка, так и клиента. Использование дистанционного обслуживания первоначально создано для удовлетворения потребностей клиента, но не стоит забывать о выгоде, которую получает сам банк при внедрении такой услуги.

Руководство коммерческого банка должно четко понимать, что такой сервис сложный по своей структуре подключения и требует соблюдения правил безопасности. Важно подчеркнуть, что интернет-проект банка окупается за счет косвенных факторов: увеличения активов, привлечения новых клиентов, роста оборотов и т. д.

Серьезная проблема на пути разработки и внедрения интернет-проекта банка – это кадровая проблема. Качество и оперативность решения любой задачи напрямую зависят от квалификации специалистов.

Для разработки и сопровождения систем интернет-банкинга необходимы программисты, системные администраторы, веб-дизайнеры, веб-программисты, эксперты по компьютерной и коммуникационной защите, экономисты, маркетологи, юристы. Порой трудно отыскать юриста, который разбирается в электронных коммуникациях. То же самое относится к профессионалам сетевой безопасности.

По факту интернет-банкинг дает коммерческому банку не новых клиентов, а конкурентоспособность. Для выбора банка, в котором обслуживаться в дальнейшем, люди пользуются одновременно нескольким услугами различных банков.

Интернет-банкинг позволяет удержать собственных клиентов и завлечь «посторонних». Развитие розничного банковского обслуживания обеспечивает благоприятное будущее удаленного обслуживания. Корпоративным клиентам превыше всего необычный, неповторимый сервис и индивидуальный подход. В настоящее время трудно представить себе банк, не предоставляющий услуги дистанционного обслуживания. Интернет-банкинг еще относительно новая услуга, но уже успевшая занять свое место среди банковских услуг.

Использование высокопроизводительных линий коммуникаций позволило существенно ускорить проведение взаиморасчетов между участниками платежных систем. С экономической точки зрения интернет-банкинг – это система предоставления, с использованием того или же иного программного обеспечения, разных услуг банка с помощью доступа к счету (счетам) клиента посредством Интернета и исполнению расчетов в режиме реального времени, а кроме того, согласно доступу к сопутствующим банковским услугам, в частности к управлению операциями на фондовом рынке.

Интернет-банкинг в первую очередь нацелен на замещение традиционного обслуживания в коммерческих банках, в которых для совершения какой-либо операции нужно присутствие клиента в самом филиале, поэтому интернет-банкинг максимально расширяет область применения и разновидность услуг [2].

Система удаленного доступа банка имеет ряд факторов, определяющих его конкурентоспособность перед традиционными услугами банка. Во-первых, стоит отметить широкие функциональные возможности, которые доступны клиентам: чем обширнее функционал системы, тем она более популярна и полноценна. Во-вторых, интуитивный интерфейс, которым легко пользуется клиент и делает услугу доступной для любого вида пользователя. Защита интернет-банкинга – одна из основных задач информационной безопасности для современного финансово-кредитного учреждения.

Повышение уровня угроз сопровождается усложнением комплекса предлагаемых решений и обязательно должно вести к повышению зрелости процессов интернет-банкинга в самом банке. Безопасная работа в интернет-банкинге возможна только при одном условии – клиент не разглашает личные данные, такие как логин и пароль от системы.

Некоторые коммерческие банки настолько уверены в безопасности системы, что гарантируют возместить убыток денежных средств в полном объёме, если доказан факт мошенничества, но за это, в свою очередь, идет отдельная плата как за услугу. Б

анк должен стремиться интегрировать отдельные банковские операции и предлагать комплексные решения своим клиентам, позволяющие учитывать весь спектр индивидуальных потребностей. Стимулирование комплексных продаж пакетов банковских продуктов позволит увеличить объемы комиссионных доходов банка. Эволюция системы продаж должна осуществляться посредством постоянного расширения стандартных пакетов банковских продуктов и услуг массового потребления за счет тиражирования новых продуктов и технологий, разработанных в рамках индивидуального обслуживания, наращивания предложения комплексных пакетов продуктов и услуг [3].

Итак, в современном банковском сообществе, в том числе и российском, уже созрело понимание необходимости и неизбежности внедрения интернет технологий. Сегодняшнее состояние рынка финансовых интернет-услуг и некоторые тенденции, отмечаемые на рынке, позволяют говорить о больших перспективах развития этих услуг уже в ближайшее время.

Резкое сокращение издержек и повышение эффективности управления кредитными рисками и самих финансовых операций при помощи Интернета может открыть беспрецедентные возможности для развивающихся и переходных экономик (что, безусловно, особо актуально для России), в частности в плане их доступа к международным финансовым рынкам.

Если международное сообщество поможет сделать Интернет доступным для финансовых посредников и агентов рынка указанных стран, то это сможет сыграть роль мощного толчка в их адаптации к требованиям современной экономической организации и тем самым послужить делу их ускоренного экономического развития.

Будущее коммерческих банков за дистанционным банковским обслуживанием. Это наиболее динамично развивающийся сектор электронной коммерции.

Развитие интернет-нововведений в организациях кредитной сферы является актуальной и значимой для построения кардинально новой формы ведения банковского дела. Очевидно превосходство использования систем интернет-банкинга и его конкурентных преимуществ перед традиционными услугами банковских офисов. В настоящее время главную роль в оказании финансовых онлайн-услуг занимают коммерческие банки. Именно они сосредоточивают огромные денежные потоки и направляют их на формирование государственной экономики и развития рыночных отношений в целом.

Из-за этого большого финансового потока банки подвергаются повышенной угрозе. Обеспечение безопасного совершения финансовых онлайн-услуг – первостепенная задача кредитных организаций. Финансовая онлайн-услуга – это услуга, предоставляемая коммерческим банком посредством использования интернет технологий, доступная каждому клиенту, кто желает самостоятельно удаленно совершать денежные операции и управлять своими денежными средствами [4].

С развитием компьютерных технологий не только повышается популярность совершения операций через системы интернет-банкинга, но и сам уровень угрозы мошенничества в данной сфере.

На данный момент банки заинтересованы проблемой безопасности совершения операций при помощи удаленного доступа к банковским счетам. Кибер преступность – это вид преступности, которая совершается в виртуальном пространстве с помощью или посредством компьютерных систем. Увеличение количества кредитных организаций, которые используют системы интернет-банкинга в качестве эффективного канала продаж, спровоцировали всплеск кибер преступности в данной сфере. Весь потенциал роста функционала дистанционного банковского обслуживания заключен в формировании персонифицированных предложений для клиентов, с последующим онлайн одобрением, оформлении кредитов, удаленном открытии и закрытии вкладов и расчетных счетов.

Основными мишенями кибер преступников остаются системы интернет-банкинга и мобильного банкинга. Единственной существенной опасностью, которая может подстерегать пользователей, является риск противоправного завладения их денежными средствами злоумышленниками с использованием возможностей систем, поэтому коммерческие банки стараются использовать различные системы и механизмы для повышения безопасности использования интернет-банкинга. Банки не могут гарантировать абсолютную безопасность систем интернет-банкинга, т. к. это зависит и от банка, и от клиента – у каждого своя зона ответственности. Есть только возможность снизить уровень угрозы совершения услуг при помощи дистанционного банковского обслуживания.

В последнее время ряд стран вводят на своей территории биометрические паспорта. В мире данное явление восприняли по-разному. Биометрический паспорт нужен обязательно как метод борьбы с преступностью.

Другие считают, что биометрический паспорт – это метод тотального шпионажа за гражданами. Распознавание отпечатков пальцев является исключительно адаптивным способом идентификации и подходит для разностороннего применения, в том числе для объектов, где традиционно используются ключи, карты доступа и пароли.

Эта технология уже используется в оборудовании контроля прохода, в автоматах выдачи инструментов, в складских помещениях, при оказании сетевых услуг и на многих других объектах, почему бы не использовать данный способ в банковском обслуживании для защиты информации. Отпечаток пальца – это уникальный идентификатор личности.

Если сравнивать отпечаток пальца и ключ, то можно сказать, что у каждого человека есть десять ключей, поскольку все отпечатки пальцев отличны друг от друга. Даже если вы порезали палец или вся рука находится в гипсе, у вас остается достаточное количество пальцев для целей идентификации.

Идентификация с помощью отпечатка – весьма надежный способ, т. к. отпечатки пальцев у всех людей уникальны. Даже у однояйцевых близнецов разные отпечатки пальцев [13].

По сравнению с другими методами идентификации, когда используется ключ, карта доступа, цифровой код или пароль, биометрический метод идентификации по отпечатку пальца обеспечивает высокую степень защиты. Отпечаток невозможно потерять, забыть или украсть. Этот способ также отличает высокая практичность, поскольку ничего не нужно носить с собой – в карманах бумаги, одноразовые пароли и другие устройства. Кроме того, это позволяет значительно сократить расходы, связанные с организацией контроля доступа.

Так, можно зарегистрировать отпечатки пальцев посетителей и предоставить им доступ лишь на один день. При распознавании происходит сравнение отпечатка пальца с ранее зарегистрированными данными. Данные могут храниться в базе данных системы идентификации, в чипе паспорта или в памяти карты доступа. Функцию идентификации может выполнять установленный на входе считыватель отпечатков пальцев, подключенный к компьютеру датчик или встроенный сканер смартфона.

Существуют два метода идентификации: идентифицируемый отпечаток пальца сравнивается с различными образами отпечатков, сохраненными в системе, либо с зарегистрированным отпечатком конкретного человека. Примером первого варианта может служить система контроля и управления доступом предприятия, где отпечаток пальца сопоставляется с зарегистрированными образами, чтобы подтвердить право доступа идентифицируемого лица.

Примером второго варианта является система лучевой терапии, где цель проверки – удостовериться в том, что план лечения предназначен именно для этого пациента, пришедшего на сеанс. Идентификация по отпечаткам пальцев основана на распознавании образа, когда папиллярные узоры сравниваются с зарегистрированными данными.

Процесс идентификации выполняется в три этапа [14].

1. Формируется изображение отпечатка пальца. Захват изображения может производиться с помощью встроенной камеры считывателя либо с помощью регистрации разности потенциалов электрического поля между бугорками и впадинами папиллярного узора. Возможно применение комбинаций методов. В результате получается цифровой чернобелый снимок узоров отпечатка пальца.

2. Изображение отпечатка пальца преобразуется в математическую модель, в которой уникальные признаки, такие как дуги, завитки, петли и расстояния между ними, сохраняются в виде цифрового кода. 3. Производится сравнение идентифицируемой цифровой модели с шаблонами в базе данных и выполняется поиск соответствий. Нет единого правильного способа защиты. Защита должна быть комплексной, состоящей из многочисленных уровней.

В безопасности совершения операций с помощью интернет-банкинга заинтересованы не только коммерческие банки, но и сами пользователи данной услуги. Поэтому помимо создания способов защиты совершения финансовых онлайн операций банкам следует уделить особое внимание разработке инструкций и правил пользования данной услуги. Клиенты, которые несерьезно относятся к использованию дистанционного банковского обслуживания, должны также нести ответственность. Из всего выше сказанного можно отметить, что защитные механизмы, как правило, разрабатываются только после нанесенного «удара» по системе и являются, по сути, ответом на действия мошенников.

Технологии защиты всегда отставали от технологий нападения мошенников, только потому, что они являются вторичными. Вопрос не только в том, как сократить данное отставание, но и в опережении будущих действий кибер преступников.

3.Проблемы определения актуальных угроз безопасности персональных данных в банковско-финансовой сфере

В 2015 г. Федеральная служба по техническому и экспортному контролю (ФСТЭК) России опубликовала проект документа — «Методика определения угроз безопасности информации в информационных системах». Он должен был заменить «Методику определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных» от 14.02.2008. В итоге обновленная Методика так и не вступила в силу. В 2017 г. регулятор обещает представить еще один проект.

Тем не менее нам, как компании, осуществляющей услуги по разработке систем защиты персональных данных, хотелось бы придерживаться во всех проектах унифицированного алгоритма определения актуальных угроз безопасности персональных данных, соответствующего развитости информационных технологий сегодняшнего дня [1]. В данной статье рассмотрены наглядные графические модели алгоритмов определения актуальных угроз безопасности персональных данных обеих методик, отмечены их недостатки, а также представлены собственные видения компании по актуализации данных алгоритмов. Общая структура методического документа

Процесс определения угроз безопасности информации проекта Методики, в отличие от действующего руководящего документа, делится на четыре этапа:

1. Область применения процесса определения угроз безопасности информации.

2. Идентификация угроз безопасности информации и их источников.

3. Определение актуальных угроз безопасности информации.

4. Мониторинг и переоценка угроз безопасности информации. Добавлены первый и четвертый этапы, регламентирующие действия, которые необходимо проводить до и после самого процесса определения актуальных угроз безопасности информации.

Таким образом, ФСТЭК России устанавливает для него непрерывный жизненный цикл. В процесс определения области применения входит выявление физических и логических границ ИС, в которых принимаются и контролируются меры защиты информации ответственным оператором, а также определяются объекты защиты и сегменты информационной системы.

Мониторинг и переоценка угроз безопасности информации представляют собой пересмотр логических и физических границ ИС, ее базовых конфигураций и структурно-функциональных характеристик, которые могли быть изменены в результате переопределения целей и задач ИС, и повторную оценку актуальных угроз безопасности информации с последующим анализом этих изменений.

Пересмотр модели угроз рекомендовано проводить не реже одного раза в год. К проекту Методики добавлены три приложения: 1. Приложение № 1 «Рекомендации по формированию экспертной группы и проведению экспертной оценки при определении угроз безопасности информации». 2. Приложение № 2 «Структура модели угроз безопасности информации». 3. Приложение № 3 «Определение потенциала нарушителя, необходимого для реализации угрозы безопасности информации в информационной системе»

Стоит отметить, что темы приложений, не раскрытые в действующем методическом документе, являются актуальными и вносят конкретику, например, в части формирования структуры документа «Частная модель угроз безопасности информации», получаемого на выходе процесса определения угроз безопасности информации в ИС.

Однако есть весомый недостаток в самом процессе определения угроз безопасности информации — для современных информационных систем показатель уровня проектной защищенности в любом случае получается «высокий», что приводит к актуальности большей части угроз безопасности информации, присущих ИС, и сказывается на построении систем защиты. Такая ситуация затрудняет использование методического документа на практике в случае его утверждения в данной редакции. Поэтому ФСТЭК России, учитывая все замечания к проекту Методики, обещала пересмотреть данную версию и выпустить в начале 2017 г. переработанный документ.

ЗАКЛЮЧЕНИЕ

Банковская система является одной из самых важных составляющих любого современного государства. Помимо функций бизнеса, банковская система имеет важную функцию в жизни общества. Важнейшим условием функционирования банков является обеспечение необходимого уровня информационной безопасности их активов. В век информационных технологий ключевую роль играет автоматизация различных процессов, в том числе связанных с оценкой рисков информационной безопасности организаций банковской сферы и выбором программно аппаратных средств защиты информации.

Обеспечение информационной безопасности банковской системы регламентируется стандартом банка России СТО БР ИББС 1.0 2014 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения». В данном документе описаны основные положения, касающиеся защиты информации в банковской системе, описаны модели угроз нарушителей информационной безопасности, а также описаны требования к организации и обеспечению информационной безопасности в организациях банковской сферы. Оценка достаточности принятых мер по защите информации в банковской сфере осуществляется в соответствии со стандартом СТО БР ИББС 1.1 2007 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Аудит информационной безопасности». Документ РС БР ИББС 2.2 2009 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации» носит рекомендательный характер и содержит подробное описание методики оценки рисков нарушения информационной безопасности в организациях банковской сферы. В соответствии с этим стандартом выделяют этапы оценки рисков, представленные на рисунке 1. В ходе определения возможности реализации угроз безопасности информации в организациях банковской сферы анализируются типы информационных активов организации, типы объектов среды, перечень источников угроз безопасности информации, степень возможности реализации угрозы и оценка степени тяжести последствий нарушения свойств безопасности информации. Подробное описание каждого этапа приведено в источнике .

СПИСОК ЛИТЕРАТУРЫ

Бутакова Н.Г., Федоров Н.В. Криптографические методы и средства защиты информации: учебное пособие. – СПб.: ИЦ «Интермедия», 2016, 384 с.
Банковский сектор в 2016 году: «черная полоса» затянулась [Электронный ресурс]. – URL: http://www.klerk.ru/ bank/articles/437809/.
Гамза В., Ткачук И. Концепция банковской безопасности: структура и содержание // Аналитический банковский журнал, 2014., № 5 с.54-59.
Деднев М.А., Дыльнов Д.В. Защита информации в банковском деле и электронном бизнесе: учебное пособие. – М.: КУДИЦ ОБРАЗ, 2004, 512 с.
Дистанционное банковское обслуживание [Электронный ресурс]. – URL: http://www.bankdbo.ru.
Коммерческая деятельность / Березенков В.В., Трубилин А.И., Гайдук В.И., Михайлушкин П.В. – Москва, 2011.
Критерии и показатели оценки уровня экономической безопасности кредитной организации [Электронный ресурс]. – 2016. – URL: http://www.bavari.ru/ stufs-667-3.html
Ларичев В. Предупреждение работниками банка мошенничества и иных злоупотреблений, связанных с выдачей ссуд. // Деньги и кредит. 2015 г. - № 3, с.44-47.
Макоско А., Перемышленников Н. Управление рисками нарушения информационной безопасности в банках «BIS Journal» № 1(8) / 2013 [Электронный ресурс] Режим доступа: http: // www.journal.ib bank.ru / post / 174
Мусатаева М. О. Источники, виды и факторы угроз экономической безопасности, создание службы экономической безопасности // Научно-методический электронный журнал «Концепт». – 2015. – Т. 23. – С. 26–30
Фот, Ю. Д. Модель определения уровня защищенности системы отбора персонала организации [Электронный ресурс] / Ю. Д. Фот, А. С. Боровский // Интеллект. Инновации. Инвестиции,2016. № 2. С. 117 123.
Шпак В. Методологические основы обеспечения информационной безопасности объекта // Конфидент. Защита информации. — 2015 г. — январь-февраль, с.75-86.
Якунина И. А., Федотова Г. В. Кредитование юридических лиц в российской банковской системе в условиях финансового кризиса // Юность и Знания – Гарантия Успеха – 2015: сб. науч. тр. 2-й Междунар. науч.-практ. конф. (1-2 окт. 2015 г.): в 2 т. / редкол.: А. А. Горохов (отв. ред.). – Курск, 2015. – Т. 1. – C. 251–255.
Якунина И. А., Сандрыгайло В. П., Федотова Г. В. Обзор экономических изменений в России в период санкций // Юность и Знания – Гарантия Успеха – 2015: сб. науч. тр. 2-й Междунар. науч.-практ. конф. (1-2 окт. 2015 г.): в 2 т. / редкол.: А. А. Горохов (отв. ред.). – Курск, 2015. – Т. 1. – C. 165–169.
Якунина И. А., Федотова Г. В., Сандрыгайло В. П. Особенности кредитного процесса в коммерческом банке [Электронный ресурс] // Управление, Бизнес и Власть : электрон. науч. журнал. – 2015. – № 1. – URL: http:/ /ubv.esrae.ru/133.
Якунина И. А., Федотова Г. В. Причины отказа кредитования юридических лиц // Молодёжь и XXI век – 2016 : материалы VI Междунар. молодёж. науч. конф. (25-26 февр. 2016 г.): в 4 т. / редкол.: А. А. Горохов (отв. ред.) [и др.]. – Курск, 2016. – Т. 1. – C. 414–417