Система защиты информации в банковских системах (Угрозы информационной безопасности со стороны персонала банка)

Содержание:

ВВЕДЕНИЕ

Банковская система является одним из основных организаторов экономической жизни страны. Поэтому негативные тенденции в деятельности этой системы, многократно умножаясь, оказывают огромное влияние
на состояние всего процесса функционирования экономики.
От эффективности функционирования банковского бизнеса в значительной степени зависят успех в преодолении экономического кризиса, снижение инфляции и финансовая стабилизация. Таким образом, возникла острая необходимость обобщения, анализа и систематизации накопленного отечественного и зарубежного опыта в банковском деле, особенно с позиций формирования условий устойчивого развития коммерческих банков России. Изучение этих вопросов приобретает в настоящее время исключительно высокую научную и практическую значимость.

Банки – огромное достижение цивилизации. Они представляют собой экономические органы, предназначенные для обслуживания всех рыночных отношений. Банки следует рассматривать как важную составную часть бизнеса, делового мира. Они аккумулируют денежные средства, предоставляют кредиты, проводят денежные расчеты, эмитируют в обращение денежные знаки, обслуживают рынки ценных бумаг, оказывают многообразные экономические услуги. В настоящее время большое внимание уделяется вопросам защиты информации в банковских системах. Комплексное сочетание криптографических, полиграфических и голографических технологий защиты информации позволяет создать многоуровневую систему контроля подлинности документов, удостоверяющих личность гражданина
и обеспечить защиту документа от подделки.

Данные о клиентах банка, их счетах и операциях интересны не только конкурентам, но и преступникам, которые для несанкционированного доступа к ним используют все возможные средства. Поэтому к банковским системам защиты конфиденциальной информации предъявляются особые требования.

Вся коммерческая информация, хранящаяся и обрабатываемая
в кредитных организациях, подвергается самым разным рискам, связанным
с вирусами, выходом из строя аппаратного обеспечения, сбоями операционных систем и т.п. Но эти проблемы не способны нанести сколько-нибудь серьезный ущерб. Ежедневное резервное копирование данных, без которого немыслима работа информационной системы любого предприятия, сводит риск безвозвратной утери информации к минимуму. Кроме того, хорошо разработаны и широко известны способы защиты от перечисленных угроз. Поэтому на первый план выходят риски, связанные
с несанкционированным доступом к конфиденциальной информации.

Актуальность проблемы: Банковская деятельность связана
с обработкой и хранением большого количества конфиденциальных данных. Информация, используемая банками, представляет большой интерес для преступников. Поэтому безопасность банковских систем является важной задачей системы безопасности.

Цель: Изучить систему безопасности банковских систем.

Задачи:

1. Изучить данные нормативных документов и литературных источников о системе защиты информации в банковских системах;
2. Выявить особенности защиты информации в банковских системах;
3. Определить роль человеческого фактора в обеспечении информационной безопасности;
4. Изучить безопасность информации в банковских системах.

Объект исследования: информационная система банков.

Предмет исследования: безопасность информационных систем банков.

Методы исследования: теоретические методы: анализ, синтез.

Практическая значимость исследования состоит в том, что информационная безопасность банков выходит на первый план среди других проблем, решаемых банками.

Работа состоит из введения, трех глав, раскрывающих основное содержание работы, заключения и списка использованной литературы.

Во введении раскрыта актуальность работы, представлены цель, задачи, объект и предмет курсовой работы, методы исследования. Раскрыта практическая значимость курсовой работы.

В первой главе представлены особенности системы безопасности банковской системы и особенности преступлений в сфере банковского дела.

Во второй главе раскрыта роль человеческого фактора в системе безопасности банковской информации. Представлены рекомендации
по приему и увольнению персонала, сбору тщательной информации
о сотрудниках.

В третьей главе представлены безопасность АСОИБ, безопасность электронных платежей, платежей физических лиц.

В заключении представлены основные результаты, полученные в рамках данного исследования.

1. ОСОБЕННОСТИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ БАНКОВ

Стратегия информационной безопасности банков весьма сильно отличается от аналогичных стратегий других компаний и организаций. Это обусловлено прежде всего специфическим характером угроз, а также публичной деятельностью банков, которые вынуждены делать доступ к счетам достаточно легким с целью удобства для клиентов.

Обычная компания строит свою информационную безопасность, исходя лишь из узкого круга потенциальных угроз — главным образом защита информации от конкурентов (в российских реалиях основной задачей является защита информации от налоговых органов и преступного сообщества с целью уменьшения вероятности неконтролируемого роста налоговых выплат
и рэкета). Такая информация интересна лишь узкому кругу заинтересованных лиц и организаций и редко бывает ликвидна, т.е. обращаема в денежную форму.

Информационная безопасность банка должна учитывать следующие специфические факторы:

1. Хранимая и обрабатываемая в банковских системах информация представляет собой реальные деньги. На основании информации компьютера могут производится выплаты, открываться кредиты, переводиться значительные суммы. Вполне понятно, что незаконное манипулирование
с такой информацией может привести к серьезным убыткам. Эта особенность резко расширяет круг преступников, покушающихся именно на банки
(в отличие от, например, промышленных компаний, внутренняя информация которых мало кому интересна).

2. Информация в банковских системах затрагивает интересы большого количества людей и организаций — клиентов банка. Как правило, она конфиденциальна, и банк несет ответственность за обеспечение требуемой степени секретности перед своими клиентами. Естественно, клиенты вправе ожидать, что банк должен заботиться об их интересах, в противном случае он рискует своей репутацией со всеми вытекающими отсюда последствиями.

3. Конкурентоспособность банка зависит от того, насколько клиенту удобно работать с банком, а также насколько широк спектр предоставляемых услуг, включая услуги, связанные с удаленным доступом. Поэтому клиент должен иметь возможность быстро и без утомительных процедур распоряжаться своими деньгами. Но такая легкость доступа к деньгам повышает вероятность преступного проникновения в банковские системы.

4. Информационная безопасность банка (в отличие от большинства компаний) должна обеспечивать высокую надежность работы компьютерных систем даже в случае нештатных ситуаций, поскольку банк несет ответственность не только за свои средства, но и за деньги клиентов.

5. Банк хранит важную информацию о своих клиентах, что расширяет круг потенциальных злоумышленников, заинтересованных в краже или порче такой информации.

Преступления в банковской сфере также имеют свои особенности [2, с.16]: многие преступления, совершенные в финансовой сфере, остаются неизвестными для широкой публики в связи с тем, что руководители банков не хотят тревожить своих акционеров, боятся подвергнуть свою организацию новым атакам, опасаются подпортить свою репутацию надежного хранилища средств и, как следствие, потерять клиентов.

Специфика защиты автоматизированных систем обработки информации банков (АСОИБ) обусловлена особенностями решаемых ими задач:

Как правило АСОИБ обрабатывают большой поток постоянно поступающих запросов в реальном масштабе времени, каждый из которых не требует для обработки многочисленных ресурсов, но все вместе они могут быть обработаны только высокопроизводительной системой;

В АСОИБ хранится и обрабатывается конфиденциальная информация, не предназначенная для широкой публики. Ее подделка или утечка могут привести к серьезным (для банка или его клиентов) последствиям. Поэтому АСОИБ обречены оставаться относительно закрытыми, работать под управлением специфического программного обеспечения и уделять большое внимание обеспечению своей безопасности;

Другой особенностью АСОИБ является повышенные требования
к надежности аппаратного и программного обеспечения. В силу этого многие современные АСОИБ тяготеют к так называемой отказоустойчивой архитектуре компьютеров, позволяющей осуществлять непрерывную обработку информации даже в условиях различных сбоев и отказов.

Можно выделить два типа задач, решаемых АСОИБ:

1. Аналитические. К этому типу относятся задачи планирования, анализа счетов и т.д. Они не являются оперативными и могут требовать для решения длительного времени, а их результаты могут оказать влияние на политику банка в отношении конкретного клиента или проекта. Поэтому подсистема,
с помощью которой решаются аналитические задачи, должна быть надежно изолирована от основной системы обработки информации. Для решения такого рода задач обычно не требуется мощных вычислительных ресурсов, обычно достаточно 10-20% мощности всей системы. Однако ввиду возможной ценности результатов их защита должна быть постоянной.

2. Повседневные. К этому типу относятся задачи, решаемые
в повседневной деятельности, в первую очередь выполнение платежей
и корректировка счетов. Именно они и определяют размер и мощность основной системы банка; для их решения обычно требуется гораздо больше ресурсов, чем для аналитических задач. В то же время ценность информации, обрабатываемой при решении таких задач, имеет временный характер. Постепенно ценность информации, например, о выполнении какого-либо платежа, становиться не актуальной. Естественно, это зависит от многих факторов, как-то: суммы и времени платежа, номера счета, дополнительных характеристик и т.д. Поэтому, обычно бывает достаточным обеспечить защиту платежа именно в момент его осуществления. При этом защита самого процесса обработки и конечных результатов должна быть постоянной.

Каким же мерам защиты систем обработки информации отдают предпочтение зарубежные специалисты? На этот вопрос можно ответить, используя результаты опроса, проведенного Datapro Information Group в 2015 году среди банков и финансовых организаций [2]: Сформулированную политику информационной безопасности имеют 82% опрошенных. Еще 12% опрошенных планируют разработать политику безопасности. Четко выражена следующая тенденция: организации с большим числом персонала предпочитают иметь разработанную политику безопасности в большей степени, чем организации с небольшим количеством персонала. Например,
по данным этого опроса, всего лишь 66% организаций, с числом сотрудников менее 100 человек имеют политику безопасности, тогда как для организаций
с числом сотрудников более 5000 человек доля таких организаций составляет 99%.

В 88% организаций, имеющих политику информационной безопасности, существует специальное подразделение, которое отвечает за ее реализацию.
В тех организациях, которые не содержат такое подразделение, эти функции, в основном, возложены на администратора системы (29%), на менеджера информационной системы (27%) или на службу физической безопасности (25%). Это означает, что существует тенденция выделения сотрудников, отвечающих за компьютерную безопасность, в специальное подразделение.

В плане защиты особое внимание уделяется защите компьютерных сетей (90%), больших ЭВМ (82%), восстановлению информации после аварий
и катастроф (73%), защите от компьютерных вирусов (72%), защите персональных ЭВМ (69%).

Можно сделать следующие выводы об особенностях защиты информации в зарубежных финансовых системах [2, с.21]:

Главное в защите финансовых организаций — оперативное
и по возможности полное восстановление информации после аварий и сбоев. Около 60% опрошенных финансовых организаций имеют план такого восстановления, который ежегодно пересматривается в более чем 80% из них. В основном, защита информации от разрушения достигается созданием резервных копий и их внешним хранением, использованием средств бесперебойного электропитания и организацией «горячего» резерва аппаратных средств.

Следующая по важности для финансовых организаций проблема — это управление доступом пользователей к хранимой и обрабатываемой информации. Здесь широко используются различные программные системы управления доступом, которые иногда могут заменять и антивирусные программные средства. В основном используются приобретенные программные средства управления доступом. Причем в финансовых организациях особое внимание уделяют такому управлению пользователей именно в сети. Однако сертифицированные средства управления доступом встречаются крайне редко (3%). Это можно объяснить тем, что
с сертифицированными программными средствами трудно работать и они крайне дороги в эксплуатации. Это объясняется тем, что параметры сертификации разрабатывались с учетом требований, предъявляемым
к военным системам.

К отличиям организации защиты сетей ЭВМ в финансовых организациях можно отнести широкое использование стандартного (т.е. адаптированного, но не специально разработанного для конкретной организации) коммерческого программного обеспечения для управления доступом к сети (82%), защита точек подключения к системе через коммутируемые линии связи (69%). Скорее всего это связано с большей распространенностью средств телекоммуникаций в финансовых сферах
и желание защититься от вмешательства извне. Другие способы защиты, такие как применение антивирусных средств, оконечное и канальное шифрование передаваемых данных, аутентификация сообщений применяются примерно одинаково и, в основном (за исключением антивирусных средств), менее чем в 50% опрошенных организаций.

Большое внимание в финансовых организациях уделяется физической защите помещений, в которых расположены компьютеры (около 40%). Это означает, что защита ЭВМ от доступа посторонних лиц решается не только
с помощью программных средств, но и организационно-технических (охрана, кодовые замки и т.д.).

Шифрование локальной информации применяют чуть более 20% финансовых организаций. Причинами этого являются сложность распространения ключей, жесткие требования к быстродействию системы,
а также необходимость оперативного восстановления информации при сбоях и отказах оборудования.

Значительно меньшее внимание в финансовых организациях уделяется защите телефонных линий связи (4%) и использованию ЭВМ, разработанных с учетом требования стандарта Tempest (защита от утечки информации
по каналам электромагнитных излучений и наводок). В государственных организациях решению проблемы противодействия получению информации с использованием электромагнитных излучений и наводок уделяют гораздо большее внимание [9].

Таким образом, защита финансовых организаций (в том числе и банков) строится несколько иначе, чем обычных коммерческих и государственных организаций. Следовательно, для защиты АСОИБ нельзя применять те же самые технические и организационные решения, которые были разработаны для стандартных ситуаций. Нельзя бездумно копировать чужие системы — они разрабатывались для иных условий.

2. ЧЕЛОВЕЧЕСКИЙ ФАКТОР В ОБЕСПЕЧЕНИИ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ

2.1 Угрозы информационной безопасности со стороны персонала банка

Преступления, в том числе в информационной сфере, совершаются людьми. Большинство систем не может нормально функционировать без участия человека. Пользователь системы, с одной стороны, — ее необходимый элемент, а с другой — он же является причиной и движущей силой нарушения или преступления. Вопросы безопасности систем (компьютерных в том числе), таким образом, большей частью есть вопросы человеческих отношений и человеческого поведения. Особенно это актуально в сфере информационной безопасности, т.к. утечка информации в подавляющем большинстве случаев происходит по вине сотрудников банков.

Анализ сообщений средств массовой информации и оперативных сводок правоохранительных органов о криминальных и диверсионно-террористических актах про­тив коммерческих структур в городах России позволяет сделать однозначный вывод о высо­кой степени осведомленности преступников относите­льно режима дня и динамики деятельности предпринимателей: жертв, как правило, неизменно встречали в районе проживания или места работы, либо с пред­ельной точностью по времени
и месту перехватывали на трассе.

Неотъемлемым составляющим элементом любой планируемой преступной акции является сбор инфор­мации. Представляется возможным выделить следу­ющие основные методы, которые используются злоумышленниками в настоящее время для добывания сведений
о коммерческих структурах:

• наблюдение, в том числе с помощью мобильных
  и стационарных оптико-технических средств, скрытое фотографирование, видеозапись; выведывание информации;
• проведение опросов, интервьюирования, анкетиро­вания, «направленных» бесед и т.п.;
• хищение, скрытое копирование, подделка каких-ли­бо внутренних документов лицами, внедренными или приобретенными
  в коммерческих структурах, которые согласились или оказались вынужденными осуществ­лять указанные действия по корыстным побуждениям, в результате угроз, по физическому принуждению либо иным причинам;
• перехват информации на различных частотных ка­налах внутренней и внешней радио- и телевизионной связи коммерческих структур;
• получение информации техническими средствами путем использования различных источников сигналов в помещениях коммерческих структур как связанных с функционирующей аппаратурой (персональные ком­пьютеры), так и через специально внедренную технику негласного съема информации (спецзакладки,
  в том числе дистанционного управления);
• добывание информации о коммерческих структурах посредством применения системы аналитических ме­тодов (структурный анализ, финансовый анализ, ана­лиз себестоимости продукции, анализ научно-техничес­ких образцов, оценка квалификационных особенностей рабочих и служащих, изучение основных материаль­ных фондов и т.п.).

При всем многообразии и несомненных достоинст­вах вышеперечисленных методов в настоящее время все же использование сотрудников коммерческих струк­тур в качестве источников внутренней информации рас­сматривается как наиболее надежный, быстрый
и эффективных способ получения конфиденциальных данных.

Отметим также, что кроме добывания собственно конфиденциальной информации по различным вопро­сам такой внутренний источник из числа сотрудников коммерческих организаций может быть одновременно использован для получения уточняющих сведений, ко­торые бы дополняли данные, добытые техническими средствами и иными методами.

Помимо этого агентурные информационные источ­ники сегодня все более активно и настойчиво использу­ются для оказания выгодного криминальным структу­рам, а также конкурентам влияния на стратегию
и тактику поведения руководителей соответствующих ком­мерческих предприятий, а также для воздействия на позицию лиц, принимающих ответственные решения в сфере налогообложения, таможенной политики, экспортно-импортных квот, землеотвода и т.д. [4, с.268]

При анализе нарушений защиты большое внимание следует уделять
не только самому факту как таковому (то есть объекту нарушения),
но и личности нарушителя, то есть субъекту нарушения. Такое внимание поможет разобраться в побудительных мотивах и, может быть, даст возможность избежать в дальнейшем повторения подобных ситуаций. Ценность такого анализа обуславливается еще и тем, что совершаемые
без причины преступления (если речь не идет о халатности) очень и очень редки. Исследовав причину преступлений или нарушений, можно либо повлиять на саму причину (если это возможно), либо ориентировать систему защиты именно на такие виды преступлений или нарушений.

Прежде всего, кто бы ни был источником нарушения, какое бы оно
не было, все нарушители имеют одну общую черту - доступ к системе. Доступ может быть разным, с разными правами, к разным частям системы, через сеть, но он должен быть.

По данным Datapro Information Services Group 81.7% нарушений совершаются самими служащими организации, имеющими доступ
к ее системе, и только 17.3% нарушений совершаются лицами со стороны
(1% приходится на случайных лиц) [5].

Способы предотвращения нарушений вытекают из природы побудительных мотивов — это соответствующая подготовка пользователей,
а также поддержание здорового рабочего климата в коллективе, подбор персонала, своевременное обнаружение потенциальных злоумышленников
и принятие соответствующих мер. Первая из них - задача администрации системы, вторая — психолога и всего коллектива в целом. Только в случае сочетания этих мер имеется возможность не исправлять нарушения и не расследовать преступления, а предотвращать саму их причину.

При создании модели нарушителя и оценке риска потерь от действий персонала необходимо дифференцировать всех сотрудников по их возможностям доступа к системе и, следовательно, по потенциальному ущербу от каждой категории пользователей. Например, оператор или программист автоматизированной банковской системы может нанести несравненно больший ущерб, чем обычный пользователь, тем более непрофессионал.

Ниже приводится примерный список персонала типичной АСОИБ
и соответствующая степень риска от каждого из них [3].

1. Наибольший риск:

• системный контролер;
• администратор безопасности.

2. Повышенный риск:

• оператор системы;
• оператор ввода и подготовки данных;
• менеджер обработки;
• системный программист.

3. Средний риск:

• инженер системы;
• менеджер программного обеспечения.

4. Ограниченный риск:

• прикладной программист;
• инженер или оператор по связи;
• администратор баз данных;
• инженер по оборудованию;
• оператор периферийного оборудования;
• библиотекарь системных магнитных носителей;
• пользователь-программист;
• пользователь-операционист.

1. Низкий риск:

• инженер по периферийному оборудованию;
• библиотекарь магнитных носителей пользователей;
• пользователь сети.

Каждый из перечисленных выше пользователей в соответствии со своей категорией риска может нанести больший или меньший ущерб системе. Однако пользователи различных категорий различаются не только по степени риска, но и по тому, какому элементу системы они угрожают больше всего. Понятно, что операционист вряд ли сможет вывести из строя АСОИБ, но зато способен послать платеж не по адресу и нанести серьезный финансовый ущерб.

Таким образом, правильный подбор персонала и контроль за ним является важной составной частью системы безопасности банков. Необходимо учитывать наличие мотивов и уровень ущерба, который может быть нанесет тем или иным сотрудником.

2.2 Кадровая политика с точки зрения информационной безопасности

Практика последнего времени свидетельствует о том, что различные по масштабам, последствиям и значимости виды преступлений
и правонарушений так или иначе связаны с конкретными действиями сотрудников коммерческих структур. В связи с этим представляется целесообразным и необходимым в це­лях повышения экономической безопасности этих объектов уделять больше внимания подбору и изуче­ния кадров, проверке любой информации, указыва­ющей на их сомнительное поведение и компромети­рующие связи. При этом необходимо также
в обязательном порядке проводить значительную разъясни­тельно-воспитательную работу, систематические инст­руктажи и учения по правилам и мерам безопасности, регулярные, но неожиданные тестирования различных категорий сотрудников по постоянно обновляемым программам.

В контрактах необходимо четко очерчивать персональ­ные функциональные обязанности всех категорий со­трудников коммерческих предприятий и на основе существующего российского законодательства
во внутрен­них приказах и распоряжениях определять их ответст­венность
за любые виды нарушений, связанных с раз­глашением или утечкой информации, составляющей коммерческую тайну.

Кроме того, в этой связи целесообразно отметить, что ведущие московские коммерческие банки все шире вводят в своих служебных документах гриф «конфиде­нциально» и распространяют различного рода надбав­ки к окладам для соответствующих категорий своего персонала.

Как свидетельствуют многочисленные опросы и проведённые беседы,
в настоящее время многие ру­ководители ведущих московских коммерческих струк­тур все более глубоко осознают роль и место своих сотрудников
в создании и поддержании общей систе­мы экономической безопасности. Такое понимание этой проблемы ведет к настойчивому внедрению про­цедур тщательного подбора и расстановки персонала [7 с. 45].

Так, постепенно приобретают все большую значи­мость рекомендательные письма, научные методы проверки на профпригодность
и различного рода те­стирования, осуществляемые кадровыми подразделе­ниями, сотрудниками служб безопасности и группами психологической поддержки, которые созданы в ряде коммерческих структур либо привлекаются в качестве сторонних экспертов.

Несмотря, однако, на некоторые положительные примеры, в целом приходится, к сожалению, констати­ровать тот факт, что руководители подавляющего бо­льшинства коммерческих организаций все же еще не
в полной мере осознали необходимость организации комплексной защиты своих структур от уголовных и экономических преступлений и в этой связи потреб­ность постоянного совершенствования процесса под­бора и расстановки кадров.

Как свидетельствует современный опыт, безопа­сность экономической деятельности любой коммер­ческой структуры во многом зависит от того,
в какой степени квалификация ее сотрудников, их морально-нравственные качества соответствуют решаемым задачам.

Если объективно оценивать существующие сегодня процедуры отбора кадров, то окажется, что во многих банках и фирмах акцент, к сожалению, делается пре­жде всего на выяснении лишь уровня профессиональ­ной подготовки кандидатов на работу, который опре­деляется зачастую
по традиционно-формальным при­знакам: образование; разряд; стаж работы
по специальности.

При таком подходе очевидно, что кадровые подра­зделения исходят
из все более устаревающей концеп­ции ограниченной материально-финансовой ответст­венности отдельных работников за конечные резуль­таты своей деятельности и сохранность конфиденци­альной информации.

В современных же коммерческих банках при весьма ограниченной численности сотрудников, все более ча­стом совмещении рядовыми исполнителями различ­ных участков работы и стремительно увеличивающих­ся потоках информации и управленческих команд, каж­дый сотрудник во все возрастающей степени становит­ся носителем конфиденциальных сведений, которые могут представлять интерес как для конкурентов, так
и криминальных сообществ.

В таких условиях весьма существенно повышаются и изменяются требования к личным и деловым качест­вам сотрудников и, следовательно,
к кандидатам на работу. Данное обстоятельство побуждает руководи­телей коммерческих структур все чаще обращаться к методам и процедурам научной психологии, с помо­щью которых можно достаточно быстро, надежно
и всесторонне оценивать возможного кандидата и со­ставлять его психологический портрет.

Конечно, было бы ошибкой полагать, что психоло­гический отбор полностью заменяет прежние, достато­чно надежные кадровые процедуры.
В этой связи под­черкнем, что только при умелом сочетании психологи­ческих и традиционных кадровых подходов можно с высокой степенью достоверности прогнозировать по­ведение сотрудников в различных, в том числе экстремальных, ситуациях.

В настоящее время ведущие банковские струк­туры имеют, как правило, строго разработанные и ут­вержденные руководством организационные структу­ры и функции управления для каждого подразделения. Наибольшей популярностью пользуются методики со­ставления организационных схем или организационных чертежей, на которых графически изображается каждое рабочее ме­сто, прописываются должностные обязанности и опре­деляются информационные потоки для отдельного ис­полнителя.

При такой схеме управления и контроля предельно ясно, на каком участке (отдел, служба, управление) требуется специалист соответствующей квалификации и какой информацией он должен располагать для вы­полнения функций на своем рабочем месте. Внутрен­ними распоряжениями также определяются требова­ния к деловым и личным качествам сотрудников
и обусловливаются режимы сохранения или коммерчес­кой тайны.

Кроме того, для большей конкретизации этих про­цедур на каждое рабочее место рекомендуется состав­лять профессиограмму, т.е. перечень личностных ка­честв, которыми в идеале должен обладать потенциаль­ный сотрудник. Содержательная сторона и глубина проработки профессиограмм могут быть различными. Это зависит в первую очередь от того, на какое рабочее место они составляются.

Однако обязательными атрибутами подобных до­кументов являются разделы, отражающие профессио­нально значимые качества (психологические характери­стики, свойства личности, без которых невозможно выполнение основных функциональных обязанностей), а также противопоказания (личностные качества, кото­рые делают невозможным зачисление кандидата на кон­кретную должность). В некоторых случаях необходимо не только указывать профессионально значимые каче­ства, но и оценивать степень их выраженности, т.е. сформированности.

После разработки схем управления и составления профессиограмм можно приступать к собеседованиям и применять разнообразные процедуры отбора кан­дидатов на работу. Как правило, проблема отбора кадров встает перед руководителями банков в двух основных случаях: создание новых подразделений, замещение вакантных должностей. Для первого случая характерно, как правило, изуче­ние значительного числа кандидатур, для которых из набора имеющихся вакансий подбирается соответст­вующая должность. Во втором случае из ограничен­ного числа кандидатов отбирается тот, который по своим личным и профессиональным качествам в на­ибольшей степени соответствует требованиям профессиограммы данного рабочего места [8].

Проблема состоит в том, что даже весьма опыт­ные работники кадровых подразделений не всегда мо­гут правильно, достоверно и быстро оценить подлин­ное психическое состояние лиц, пришедших на собеседо­вание. Этому способствуют повышенное волнение, склонность отдельных кандидатов
к предвзятым оцен­кам характера деятельности некоторых коммерческих структур, но особенно широкое и зачастую бесконт­рольное самолечение различных психосоматических расстройств с использованием в ряде случаев весьма сильных психотропных препаратов. В этой связи веду­щие московские коммерческие банки требуют от кан­дидатов предоставления справок
о состоянии здоровья либо сами выдают направления в определенные поликлиники с рекомендацией прохождения полной диспан­серизации (за счет кандидата).

С точки зрения обеспечения страте­гических интересов коммерческой структуры являются обязательными следующие функции службы безопасности:

- определение степени вероятности формирования у кандидата преступных наклонностей в случаях воз­никновения в его окружении определенных благопри­ятных обстоятельств (персональное распоряжение кре­дитно-финансовыми ресурсами, возможность контро­ля за движением наличных средств и ценных бумаг, доступ к материально-техническим ценностям, работа с конфиденциальной информацией и пр.);

- выявление имевших место ранее преступных на­клонностей, судимостей, связей с криминальной сре­дой (преступное прошлое, наличие конкретных суди­мостей, случаи афер, махинаций, мошенничества, хи­щений на предыдущем месте работы кандидата и уста­новление либо обоснованное суждение о его возмож­ной причастности к этим преступным деяниям).

Для добывания подобной информации использу­ются возможности различных подразделений банковских структур, в первую очередь службы безопасности, отдела кадров, юридического отдела, под­разделений медицинского обеспечения, а также не­которых сторонних организаций, например, детек­тивных агентств, бюро по занятости населения, диспансеров
и пр.

Очевидно также, что представители банковских структур должны быть абсолютно уверены в том, что проводят тесты, собеседования и встречи именно с те­ми лицами, которые выступают в качестве кандидатов на работу. Это подразумевает тщательную проверку паспортных данных, иных документов, а также получе­ние фотографий кандидатов без очков, контактных линз, парика, макияжа.

Рекомендуется настаивать на получении набора цветных фотографий кандидата, которые могут быть использованы в случае необходимости для предъявле­ния жильцам по месту его проживания или коллегам по работе. Использование в кадровой работе цветных фотографий, соответствующих паспортным данным, предпочтительнее также в связи с тем, что они четко
и без искажений передают цвет волос, глаз, кожи, возраст и характерные приметы кандидата.

Необходимо также подчеркнуть следующее важное обстоятельство - лица, принима­емые на ответственные вакантные должности в ком­мерческих структурах (члены правлений, главные бух­галтеры, консультанты, начальники служб безопасно­сти и охраны, руководители компьютерных центров и цехов, помощники и секретари первых лиц) сегодня подвергаются, как правило, следующей стандартной проверке, включающей:

• достаточно продолжительные процедуры сбора
  и верификации установочно-биографических сведений с их последующей аналитической обработкой;
• предоставление рекомендательных писем от извест­ных предпринимательских структур с их последующей проверкой;
• проверки по учетам правоохранительных органов; установки по месту жительства и по предыдущим местам работы;
• серии собеседований и тестов с последующей психоаналитической обработкой результатов.

По мнению экспертов, даже каждый, взятый в от­дельности
из упомянутых методов проверки доста­точно эффективен. В совокупности же достигается весьма высокая степень достоверности информации
о профессиональной пригодности и надежности ка­ндидата, его способностях к творческой работе на конкретном участке в соответствующем коммерческом предприятии.

Серьезное влияние на вопросы безопасности ком­мерческих предприятий оказывают процедуры уволь­нения сотрудников. К сожалению, отдельных руково­дителей порой мало интересуют чувства и пережива­ния персонала, который по тем или иным причинам попадает под сокращение или самостоятельно изъяв­ляет желание покинуть банк или акционерное обще­ство. Как показывает опыт, такой подход приводит, как правило, к серьезным негативным последствиям.

Современные психологические подходы к процессу увольнения позволяют выработать следующую при­нципиальную рекомендацию: каковы бы ни были причи­ны увольнения сотрудника, он должен покидать коммерческую организацию без чувства обиды, раздражения и мести.

Только в этом случае можно надеяться на то, что увольняемый сотрудник не предпримет необдуманных шагов и не проинформирует правоохранительные ор­ганы, налоговую инспекцию, конкурентов, криминаль­ные структуры об известных ему аспектах работы банка. Кроме того, известны случаи мести бывших сотрудников с использованием компьютерного проникновения.

Таким образом, представители кадровых подраз­делений и служб безопасности должны быть четко ориентированы на выяснение истинных мотивов уво­льнения всех категорий сотрудников. Зачастую причи­ны,
на которые ссылается сотрудник при увольнении, и подлинные мотивы, побудившие его к такому шагу, существенно отличаются друг от друга. Обычно лож­ный защитный мотив используется потому, что со­трудник в силу прежних привычек и традиций опасает­ся неправильной интерпретации своих действий со сто­роны руководителей и коллег по работе.

Наряду с этим весьма часто имеют место случаи, когда сотрудник внутренне сам уверен в том, что увольняется по откровенно называемой им причине, хотя его решение сформировано и принято под влия­нием совершенно иных, порой скрытых от него обсто­ятельств. Так, в практике уже известны случаи весьма тонких и тайных комбинаций оказания влияния
на высококвалифицированных специалистов с целью их переманивания
на другое место работы.

В этой связи принципиальная задача состоит в том, чтобы определить истинную причину увольнения со­трудника, попытаться правильно ее оценить и решить, целесообразно ли в данной ситуации предпринимать попытки
к искусственному удержанию данного лица в коллективе либо отработать
и реализовать процеду­ру его спокойного и бесконфликтного увольнения. Решение рекомендуется принимать на основе строго объективных данных
в отношении каждого конкрет­ного сотрудника.

Регулярное изучение всех категорий персонала, по­нимание объективных потребностей сотрудников, их ведущих интересов, подлинных мотивов поведения и выбор соответствующих методов объединения отдельных индивидуумов в работоспособный коллек­тив — все это позволяет руководителям в итоге ре­шать сложные производственные и коммерческо-финансовые задачи, в том числе связанные с обеспечением экономической безопасности.

Обобщая основные рекомендации, представляется, что программа работы с персоналом в банковской структуре могла бы быть сформулирована следующим образом:

• добывание в рамках действующего российского за­конодательства максимального объема сведений о ка­ндидатах на работу, тщательная проверка представ­ленных документов как через официальные, так и опе­ративные возможности, в том числе службы безопас­ности банка или частного детективного агент­ства, системность в анализе информации, собранной
  на соответствующие кандидатуры;
• проведение комплекса проверочных мероприятий в отношении кандидатов на работу, их родственников, бывших сослуживцев, ближайшего окружения в тех случаях, когда рассматривается вопрос об их приеме на руководящие должности или допуске
  к информа­ции, составляющей коммерческую тайну;
• использование современных методов, в частности собеседований и тестирований, для создания психоло­гического портрета кандидатов на работу, который бы позволял уверенно судить
  об основных чертах харак­тера и прогнозировать их вероятные действия в раз­личных экстремальных ситуациях;
• оценка с использованием современных психологи­ческих методов разноплановых и разнопорядковых фа­кторов, возможно препятствующих приему кандида­тов на работу или их использованию на конкретных должностях;
• определение для кандидатов на работу в коммер­ческих структурах некоторого испытательного срока с целью дальнейшей проверки
  и выявления деловых и личных качеств, иных факторов, которые бы могли препятствовать зачислению на должность;
• введение в практику регулярных и неожиданных комплексных проверок персонала, в том числе через возможности служб безопасности;
• обучение сотрудников кадровых подразделений и служб безопасности современным психологическим подходам к работе
  с персоналом, социальным, психо­аналитическим, этико-моральным методам, навыкам использования современных технических средств для фиксирования результатов интервью
  и собеседований, приемам проведения целевых бесед «втемную» и про­цедурам информационно-аналитической работы
  с документами кандидатов;
• выделение из числа первых руководителей ком­мерческих структур куратора кадровой работы для осуществления контроля за деятельностью кадровых подразделений и служб безопасности при работе с пе­рсоналом.

Таким образом, делая выводы по 2 главе, персонал оказывает существенное, а в большинстве случаев даже решающее влияние
на информационную безопасность банка. В этой связи подбор кадров,
их изучение, рас­становка и квалифицированная работа при увольнени­ях
в значительной степени повышают устойчивость коммерческих предприятий к возможному стороннему негативному влиянию и агентурному проникновению противоправных элементов.

3. БЕЗОПАСНОСТЬ ИНФОРМАЦИИ В БАНКОВСКИХ СИСТЕМАХ

3.1 Безопасность автоматизированных систем обработки информации в банках (АСОИБ)

Не будет преувеличением сказать, что проблема умышленных нарушений функционирования АСОИБ различного назначения в настоящее время является одной из самых актуальных. Наиболее справедливо это утверждение для стран с сильно развитой информационной инфраструктурой, о чем убедительно свидетельствуют приводимые ниже цифры.

Известно, что в 1992 году ущерб от компьютерных преступлений составил $555 млн., 930 лет рабочего времени и 15.3 года машинного времени. По другим данным ущерб финансовых организаций составляет от $173 млн. до $41 млрд. в год [2].

Из данного примера, можно сделать вывод, что системы обработки
и защиты информации отражают традиционный подход к вычислительной сети как к потенциально ненадежной среде передачи данных. Существует несколько основных способов обеспечения безопасности программно-технической среды, реализуемых различными методами:

1. Идентификация (аутентификация) и авторизация при помощи паролей.

1.1. Создание профилей пользователей. На каждом из узлов создается база данных пользователей, их паролей и профилей доступа к локальным ресурсам вычислительной системы.

1.2. Создание профилей процессов. Задачу аутентификации выполняет независимый (third-party) сервер, который содержит пароли, как для пользователей, так и для конечных серверов (в случае группы серверов, базу данных паролей также содержит только один (master) сервер аутентификации; остальные - лишь периодически обновляемые копии). Таким образом, использование сетевых услуг требует двух паролей (хотя пользователь должен знать только один - второй предоставляется ему сервером «прозрачным» образом). Очевидно, что сервер становится узким местом всей системы, а его взлом может нарушить безопасность всей вычислительной сети.

2. Инкапсуляция передаваемой информации в специальных протоколах обмена. Использование подобных методов в коммуникациях основано
на алгоритмах шифрования с открытым ключом. На этапе инициализации происходит создание пары ключей - открытого и закрытого, имеющегося только у того, кто публикует открытый ключ. Суть алгоритмов шифрования
с открытым ключом заключается в том, что операции шифрования
и дешифрования производятся разными ключами (открытым и закрытым соответственно).

3. Ограничение информационных потоков. Это известные технические приемы, позволяющие разделить локальную сеть на связанные подсети
и осуществлять контроль и ограничение передачи информации между этими подсетями.

3.1. Firewalls (брандмауэры). Метод подразумевает создание между локальной сетью банка и другими сетями специальных промежуточных серверов, которые инспектируют, анализируют и фильтруют весь проходящий через них поток данных (трафик сетевого/транспортного уровней). Это позволяет резко снизить угрозу несанкционированного доступа извне
в корпоративные сети, но не устраняет эту опасность совсем. Более защищенная разновидность метода — это способ маскарада (masquerading), когда весь исходящий из локальной сети трафик посылается от имени firewall-сервера, делая закрытую локальную сеть практически невидимой.

3.2. Proxy-servers. При данном методе вводятся жесткие ограничения
на правила передачи информации в сети: весь трафик сетевого/транспортного уровней между локальной и глобальной сетями запрещается полностью - попросту отсутствует маршрутизация как таковая, а обращения из локальной сети в глобальную происходят через специальные серверы-посредники. Очевидно, что при этом методе обращения из глобальной сети в локальную становятся невозможными в принципе. Очевидно также, что этот метод
не дает достаточной защиты против атак на более высоких уровнях, например на уровне программного приложения.

4. Создание виртуальных частных сетей (VPN) позволяет эффективно обеспечивать конфиденциальность информации, ее защиту от прослушивания или помех при передаче данных. Они позволяют установить конфиденциальную защищенную связь в открытой сети, которой обычно является интернет, и расширять границы корпоративных сетей до удаленных офисов, мобильных пользователей, домашних пользователей и партнеров
по бизнесу. Технология шифрования устраняет возможность перехвата сообщений, передаваемых по виртуальной частной сети, или их прочтения лицами, отличными от авторизованных получателей, за счет применения передовых математических алгоритмов шифрования сообщений
и приложений к ним. Концентраторы серии Cisco VPN 3000 многими признаются лучшим в своей категории решением удаленного доступа
по виртуальным частным сетям. Концентраторы Cisco VPN 3000, обладающие самыми передовыми возможностями с высокой надежностью и уникальной, целенаправленной архитектурой. Позволяют корпорациям создавать инфраструктуры высокопроизводительных, наращиваемых и мощных виртуальных частных сетей для поддержки ответственных приложений удаленного доступа. Идеальным орудием создания виртуальных частных сетей от одного сетевого объекта к другому служат маршрутизаторы Cisco, оптимизированные для построения виртуальных частных сетей, к которым относятся маршрутизаторы Cisco 800, 1700, 2600, 3600, 7100 и 7200.

5. Системы обнаружения вторжений и сканеры уязвимости создают дополнительный уровень сетевой безопасности. Хотя межсетевые экраны пропускают или задерживают трафик в зависимости от источника, точки назначения, порта или прочих критериев, они фактически не анализируют трафик на атаки и не ведут поиск уязвимых мест в системе. Кроме того, межсетевые экраны обычно не борются с внутренними угрозами, исходящими от "своих". Система обнаружения вторжений Cisco Intrusion Detection System (IDS) может защитить сеть по периметру, сети взаимодействия с бизнес-партнерами и все более уязвимые внутренние сети в режиме реального времени. Система использует агенты, представляющие собой высокопроизводительные сетевые устройства, для анализа отдельных пакетов с целью обнаружения подозрительной активности. Если в потоке данных
в сети проявляется несанкционированная активность или сетевая атака, агенты могут обнаружить нарушение в реальном времени, послать сигналы тревоги администратору и заблокировать доступ нарушителя в сеть. Помимо сетевых средств обнаружения вторжений компания Cisco также предлагает серверные системы обнаружения вторжений, обеспечивающие эффективную защиту конкретных серверов в сети пользователя, в первую очередь серверов WEB
и электронной коммерции. Cisco Secure Scanner представляет собой программный сканер промышленного уровня, позволяющий администратору выявлять и устранять уязвимости в сетевой безопасности прежде, чем их найдут хакеры.

По мере роста и усложнения сетей первостепенное значение приобретает требование наличия централизованных средств управления политикой безопасности, которые могли бы управлять элементами безопасности. Интеллектуальные средства, которые могут обозначать состояние политики безопасности, управлять ею и выполнять аудит, повышают практичность и эффективность решений в области сетевой безопасности. Решения Cisco в этой области предполагают стратегический подход к управлению безопасностью. Cisco Secure Policy Manager (CSPM) поддерживает элементы безопасности Cisco в корпоративных сетях, обеспечивая комплексную и последовательную реализацию политики безопасности. С помощью CSPM клиенты могут определять соответствующую политику безопасности, внедрять ее в действие и проверять принципы безопасности в работе сотен межсетевых экранов Cisco Secure PIX и Cisco IOS Firewall Feature Set и агентов IDS. CSPM также поддерживает стандарт IPsec для построения виртуальных частных сетей VPN. Кроме того, CSPM является составной частью широко распространенной корпоративной системы управления CiscoWorks2000/VMS [6].

Таким образом, разработка информационных систем требует параллельной разработки технологий передачи и защиты информации. Эти технологии должны обеспечивать защиту передаваемой информации, делая сеть «надежной», хотя надежность на современном этапе понимается как надежность не на физическом уровне, а скорее на логическом (информационном уровне).

3.2 Безопасность электронных платежей

Необходимость всегда иметь под рукой нужную информацию заставляет многих руководителей задумываться над проблемой оптимизации бизнеса с помощью компьютерных систем. Но если перевод бухгалтерского учета из бумажной формы в электронную давно осуществлен,
то взаиморасчеты с банком все еще остаются недостаточно автоматизированными: массовый переход на электронный документооборот только предстоит.

Сегодня многие банки имеют те или иные каналы для удаленного осуществления платежных операций. Отправить "платежку" можно прямо
из офиса, воспользовавшись модемным соединением или выделенной линией связи. Стало реальностью выполнение банковских операций через Интернет - для этого достаточно иметь компьютер с доступом в глобальную сеть и ключ электронной цифровой подписи (ЭЦП), которая зарегистрирована в банке.

Удаленное обслуживание в банке позволяет повысить эффективность частного бизнеса при минимальных усилиях со стороны его владельцев.
При этом обеспечиваются: экономия времени (не нужно приходить в банк лично, платеж можно выполнить в любое время); удобство работы (все операции производятся с персонального компьютера в привычной деловой обстановке); высокая скорость обработки платежей (банковский оператор
не перепечатывает данные с бумажного оригинала, что дает возможность исключить ошибки ввода и сократить время обработки платежного документа); мониторинг состояния документа в процессе его обработки; получение сведений о движении средств по счетам.

Однако, несмотря на очевидные преимущества, электронные платежи
в России пока не очень популярны, поскольку клиенты банков не уверены
в их защищенности. Это, прежде всего, связано с распространенным мнением, что компьютерные сети легко может "взломать" какой-нибудь хакер. Этот миф прочно укоренился в сознании человека, а регулярно публикуемые в СМИ новости об атаках на очередной веб-сайт еще сильнее укрепляют это мнение. Но времена меняются, и электронные средства связи рано или поздно заменят личное присутствие плательщика, желающего сделать безналичный банковский перевод с одного счета на другой.

Безопасность электронных банковских операций сегодня можно обеспечить. Гарантией этому служат современные методы криптографии, которые используются для защиты электронных платежных документов.
В первую очередь это ЭЦП, соответствующая ГОСТ 34.10-94. С 1995 г. она успешно применяется в Банке России. Вначале он ввел систему межрегиональных электронных расчетов всего в нескольких регионах. Сейчас она охватывает все регионы Российской Федерации и представить без нее функционирование Банка России практически невозможно. Так стоит
ли сомневаться в надежности ЭЦП, если ее использование проверено временем и уже, так или иначе, касается каждого гражданина нашей страны?

Электронно-цифровая подпись - гарантия безопасности. Согласно типовому договору между банком и клиентом наличие под электронным документом достаточного количества зарегистрированных ЭЦП уполномоченных лиц служит основанием для совершения банковских операций по счетам клиента. В Федеральном законе от 10.01.02 г. № 1 - ФЗ
"Об электронной цифровой подписи" определено, что ЭЦП должна формироваться и проверяться сертифицированным ФАПСИ программным обеспечением. Сертификация ЭЦП является гарантией того, что данная программа выполняет криптографические функции согласно нормативам ГОСТ и не совершает деструктивных действий на компьютере пользователя.

Чтобы проставить на электронный документ ЭЦП, необходимо иметь
ее ключ, который может храниться на каком-нибудь ключевом носителе информации. Современные ключевые носители ("e-Token", "USB-drive", "Touch-Memory") по форме напоминают брелоки, и их можно носить в связке обычных ключей. В качестве носителя ключевой информации можно также использовать дискеты.

Каждый ключ ЭЦП служит аналогом собственноручной подписи уполномоченного лица. Если в организации бумажные "платежки" обычно подписывают директор и главный бухгалтер, то в электронной системе лучше всего сохранить тот же порядок и предусмотреть для уполномоченных лиц разные ключи ЭЦП. Впрочем, можно использовать и одну ЭЦП - данный факт необходимо отразить в договоре между банком и клиентом.

Ключ ЭЦП состоит из двух частей - закрытой и открытой. Открытая часть (открытый ключ) после генерации владельцем представляется
в Удостоверяющий центр, роль которого обычно играет банк. Открытый ключ, сведения о его владельце, назначение ключа и другая информация подписываются ЭЦП Удостоверяющего центра. Таким образом, формируется сертификат ЭЦП, который нужно зарегистрировать в системе электронных расчетов банка.

Закрытая часть ключа ЭЦП (секретный ключ) ни при каких условиях
не должна передаваться владельцем ключа другому лицу. Если секретный ключ был передан даже на короткое время другому лицу или оставлен где-нибудь без присмотра, считается, что ключ "скомпрометирован" (т.е. подразумевается вероятность копирования или нелегального использования ключа). Иначе говоря, в этом случае лицо, не являющееся владельцем ключа, получает возможность подписать несанкционированный руководством организации электронный документ, который банк примет к исполнению
и будет прав, так как проверка ЭЦП покажет ее подлинность.
Вся ответственность в данном случае ложится исключительно на владельца ключа. Действия владельца ЭЦП в этой ситуации должны быть аналогичны тем, которые предпринимаются при утере обычной пластиковой карты: этот человек должен сообщить в банк о "компрометации" (утере) ключа ЭЦП. Тогда банк заблокирует сертификат данной ЭЦП в своей платежной системе, и злоумышленник не сможет воспользоваться своим незаконным приобретением.

Предотвратить нелегальное применение секретного ключа можно
и с помощью пароля, который накладывается как на ключ, так и на некоторые виды ключевых носителей. Это способствует минимизации ущерба при утере, поскольку без пароля ключ становится недействительным и у владельца будет достаточно времени, чтобы сообщить банку о "компрометации" своей ЭЦП.

Удобный способ использования электронных расчетов - визирование платежных документов уполномоченными сотрудниками предприятия, которые находятся на значительном расстоянии друг от друга. Например, главный бухгалтер подготовил и подписал электронный платежный документ. Директор, будучи в данный момент в командировке в другом городе или
в другой стране, может просмотреть этот документ, подписать его и отправить в банк. Все эти действия позволяет выполнить подсистема "Интернет-Клиент", к которой бухгалтер и директор предприятия подключатся через Интернет. Шифрование данных и аутентификация пользователя будут осуществляться одним из стандартных протоколов - SSL или TLS.

Таким образом, применение электронных платежей в банковской системе предоставляет значительные преимущества по сравнению
с традиционным сервисом. Что же касается безопасности, то ее обеспечивают стандарт ЭЦП (ГОСТ 34.10-94), с одной стороны, и ответственность клиента за хранение ключа подписи - с другой. Рекомендации по использованию
и хранению ключей ЭЦП клиент всегда может получить в банке, и если он будет им следовать, то надежность платежей гарантирована.

3.3 Безопасность персональных платежей физических лиц

Большинство систем безопасности в целях избегания потери персональных данных физических лиц требуют от пользователя подтверждения, что он именно тот, за кого себя выдает. Идентификация пользователя может быть проведена на основе того, что:

• он знает некую информацию (секретный код, пароль);
• он имеет некий предмет (карточку, электронный ключ, жетон);
• он обладает набором индивидуальных черт (отпечатки пальцев, форма кисти руки, тембр голоса, рисунок сетчатки глаза и т.п.);
• он знает, где находится или как подключается специализированный ключ.

Первый способ требует набора на клавиатуре определенной кодовой последовательности - персонального идентификационного номера (Personal identification number - PIN). Обычно это последовательность из 4-8 цифр, которую пользователь должен ввести при осуществлении транзакции.

Второй способ предполагает предъявление пользователем неких специфических элементов идентификации - кодов, считываемых
из некопируемого электронного устройства, карточки или жетона.

В третьем способе пропуском служат индивидуальные особенности
и физические характеристики личности человека. Всякому биометрическому продукту сопутствует довольно объемная база данных, хранящая соответствующие изображения или другие данные, применяемые при распознавании.

Четвертый способ предполагает особый принцип включения или коммутирования оборудования, который обеспечит его работу (этот подход используется достаточно редко).

В банковском деле наибольшее распространение получили средства идентификации личности, которые мы отнесли ко второй группе: некий предмет (карточку, электронный ключ, жетон). Естественно использование такого ключа происходит в сочетании со средствами и приемами идентификации, которые мы отнесли к первой группе: использование информации (секретный код, пароль).

Давайте более подробно разберемся со средствами идентификации личности в банковском деле.

Пластиковые карты.

В настоящее время выпущено более миллиарда карточек в различных странах мира. Наиболее известные из них:

- кредитные карточки Visa (более 350 млн. карточек) и MasterCard (200 млн. карточек);

- международные чековые гарантии Eurocheque и Posteheque;

- карточки для оплаты путешествий и развлечений American Express (60 млн. карточек) и Diners Club.

Магнитные карточки

Наиболее известны и давно используются в банковском деле в качестве средств идентификации пластиковые карточки с магнитной полосой (многие системы позволяют использовать обычные кредитные карточки).
Для считывания необходимо провести карточкой (магнитной полосой) через прорезь ридера (считывателя). Обычно ридеры выполнены в виде внешнего устройства и подключаются через последовательный или универсальный порт компьютера. Выпускаются также ридеры, совмещенные с клавиатурой. Однако у таких карт можно выделить преимущества и недостатки
их использования.

Недостатки:

• магнитная карточка может быть легко скопирована на доступном оборудовании;
• загрязнение, небольшое механическое воздействие на магнитный слой, нахождение карты вблизи сильных источников электромагнитных полей приводят к повреждению карты.

Преимущества:

• расходы на выпуск и обслуживание таких карт невелики;
• индустрия магнитных пластиковых карт развивалась в течение нескольких десятилетий и на настоящий момент более 90% карт — это пластиковые карты;
• применение магнитных карточек оправдано при очень большом числе пользователей и частой сменяемости карт (например, для доступа в гостиничный номер).

Proximity-карты

Фактически — это развитие идеи электронных жетонов.
Это бесконтактная карточка (но может быть и брелок или браслет), содержащая чип с уникальным кодом или радиопередатчик. Считыватель оснащен специальной антенной, постоянно излучающей электромагнитную энергию. При попадании карточки в это поле происходит запитывание чипа карточки, и карта посылает считывателю свой уникальный код.
Для большинства считывателей расстояние устойчивого срабатывания составляет от нескольких миллиметров до 5-15 см.

Смарт-карты

В отличие от магнитной карты смарт-карта содержит микропроцессор
и контактные площадки для подачи питания и обмена информацией
со считывателем. Смарт-карта имеет очень высокую степень защищенности. Именно с ней до сих пор связаны основные перспективы развития такого рода ключей и надежды многих разработчиков систем защиты.

Технология смарт-карт существует и развивается уже около двадцати лет, но достаточно широкое распространение получает только последние несколько лет. Очевидно, что смарт-карта, благодаря большому объему памяти и функциональным возможностям, может выступать и в роли ключа,
и в роли пропуска и одновременно являться банковской карточкой. В реальной жизни такое совмещение функций реализуют достаточно редко.

Для работы со смарт-картой компьютер должен быть оснащен специальным устройством: встроенным или внешним картридером. Внешние картридеры могут подключаться к различным портам компьютера (последовательному, параллельному или клавиатурному порту PS/2, PCMCIA-слоту, SCSI или USB).

Многие карты предусматривают различные виды (алгоритмы) аутентификации. В процессе электронного узнавания принимают участие три стороны: пользователь карты, карта, терминальное устройство (устройство считывания карты). Аутентификация необходима для того, чтобы пользователь, терминальное устройство, в которое вставлена карта или программное приложение, которому сообщаются параметры карты, могли выполнять определенные действия с данными, находящимися на карге. Правила доступа назначаются разработчиком приложения при создании структур данных на карте.

Электронные жетоны

Сейчас в различных системах, требующих идентификации пользователя или владельца, в качестве пропусков широко используются электронные жетоны (или так называемые token-устройства). Известный пример такого жетона - электронная "таблетка". "Таблетка" выполнена в круглом корпусе из нержавеющей стали и содержит чип с записанным в него уникальным номером. Аутентификация пользователя осуществляется после прикосновения такой "таблетки" к специальному контактному устройству, обычно подключаемому к последовательному порту компьютера. Таким образом, можно разрешать доступ в помещение, но можно и разрешать работу на компьютере или блокировать работу на компьютере несанкционированных пользователей.

Для удобства "таблетка" может закрепляться на брелоке или запрессовываться в пластиковую оболочку.

В настоящее время эти устройства широко используются
для управления электромеханическими замками (двери помещений, ворота, двери подъездов и т.п.). Однако их "компьютерное" использование также достаточно эффективно.

Все три перечисленных группы ключей являются пассивными по своей сути. Они не выполняют никаких активных действий и не участвуют
в процессе аутентификации, а только отдают хранящийся код. В этом заключается их основная область.

Жетоны обладают несколько лучшей износоустойчивостью, чем магнитные карты.

ЗАКЛЮЧЕНИЕ

Банки играют огромную роль в экономической жизни общества,
их часто называют кровеносной системой экономики. Благодаря своей специфической роли, со времени своего появления они всегда притягивали преступников. К 90-м годам XX века банки перешли к компьютерной обработке информации, что значительно повысило производительность труда, ускорило расчеты и привело к появлению новых услуг. Однако компьютерные системы, без которых в настоящее время не может обойтись ни один банк, являются также источником совершенно новых угроз, неизвестных ранее. Большинство из них обусловлены новыми информационными технологиями
и не являются специфическими исключительно для банков.

Существуют, однако, два аспекта, выделяющих банки из круга остальных коммерческих систем:

1. Информация в банковских системах представляет собой «живые деньги», которые можно получить, передать, истратить, вложить и т.д.
2. Она затрагивает интересы большого количества организаций
   и отдельных лиц.

Поэтому информационная безопасность банка — критически важное условие его существования. В силу этих обстоятельств, к банковским системам предъявляются повышенные требования относительно безопасности хранения и обработки информации.

В США, странах Западной Европы и многих других, столкнувшихся
с этой проблемой довольно давно, в настоящее время создана целая индустрия защиты экономической информации, включающая разработку и производство безопасного аппаратного и программного обеспечения, периферийных устройств, научные изыскания и др.

Сфера информационной безопасности — наиболее динамичная область развития индустрии безопасности в целом. Если обеспечение физической безопасности имеет давнюю традицию и устоявшиеся подходы,
то информационная безопасность постоянно требует новых решений,
т.к. компьютерные и телекоммуникационные технологии постоянно обновляются, на компьютерные системы возлагается все большая ответственность.

Статистика показывает, что подавляющее большинство крупных организаций имеют план с правилами доступа к информации, а также план восстановления после аварий.

Безопасность электронных банковских систем зависит от большого количества факторов, которые необходимо учитывать еще на этапе проектирования этой системы.

При этом для каждого отдельного вида банковских операций
и электронных платежей или других способов обмена конфиденциальной информацией существуют свои специфические особенности защиты. Таким образом, организация защиты банковских систем есть целый комплекс мер, которые должны учитывать как общие концепции, но и специфические особенности.

Основной вывод, который можно сделать из анализа развития банковской отрасли, заключается в том, что автоматизация
и компьютеризация банковской деятельности (и денежного обращения
в целом) продолжает возрастать. Основные изменения в банковской индустрии за последние десятилетия связаны именно с развитием информационных технологий. Можно прогнозировать дальнейшее снижение оборота наличных денег и постепенный переход на безналичные расчеты
с использованием пластиковых карт, сети Интернет и удаленных терминалов управления счетом юридических лиц.

В связи с этим следует ожидать дальнейшее динамичное развитие средств информационной безопасности банков, поскольку их значение постоянно возрастает.

СПИСОК ЛИТЕРАТУРЫ

1. Абрамов А.В. Новое в финансовой индустрии: информатизация банковских технологий. — СПБ: Питер, 2016 г., 358 с.
2. Внуков А.А. Защита информации в банковских системах. – М: Издательство Юрайт, 2017 г., 246 с.
3. Гайкович Ю.В, Першин А.С. Безопасность электронных банковских систем. — М: Единая Европа, 2017 г., 233 с.
4. Демин В.С. и др. Автоматизированные банковские системы. — М: Менатеп-Информ, 2015г., 268 с.
5. Крысин В.А. Безопасность предпринимательской деятельности. — М: Финансы и статистика, 2015г., 356 с.
6. Линьков И.И. и др. Информационные подразделения в коммерческих структурах: как выжить и преуспеть. — М: НИТ, 2016г., 198 с.
7. Титоренко Г.А. и др. Компьютеризация банковской деятельности. — М: Финстатинформ, 2015 г., 234 с.
8. Тушнолобов И.Б., Урусов Д.П., Ярцев В.И. Распределенные сети. — СПБ: Питер, 2016 г., 165 с.
9. Ярочкин В.И. Безопасность информационных систем. - М.: Ось-89, 2016г., 320 с.
10. Novell NetWare. Руководство пользователя, 2010 г., 208 с.
11. Андриянова Т.А., Саломатин С.Б. DLP^ снижение риска утечки конфиденциальной информации банка системный анализ и прикладная информатика, 2017 г. №3.
12. Джонсон Джордж. Распределенные системы в многофилиальной структуре. — PC Magazine/Russian Edition, 2017 г., №10.
13.  Заратуйченко О.В. Концепции построения и реализации информационных систем в банках. — СУБД, 2016г., №4.
14.  Попов С.В., Шамкин В.Н. Методика мониторинга надежностных показателей средств защиты информации в банке по данным их текущей эксплуатации вопросы современной науки и практики, университет им. В.И. Вернадского, 2015 г., №371.
15. Попов С.В., Шамкин В.Н. О влиянии состояний функционирования средств защиты информации на эффективность мониторинга инцидентов информационной безопасности банка вестник тамбовского государственного технического университета, 2011 г., №2.