«Система защиты информации в банковских системах»(Особенности информационной безопасности банковских и платежных систем)

Содержание:

Введение

Со времени возникновения в истории человечества платёжных средств, возникла и необходимость в их безопасном хранении. В том или ином виде банки возникли вместе с возникновением товарно-денежных отношений между людьми.

Вместе с возникновением банков возник и преступный интерес к их деятельности. Банки, как хранилища не только большого количества денег, но и информации, предметов искусства и прочего всегда привлекали к себе мошенников самого разного уровня и специализаций.

В наши дни, в связи с бурным развитием информационных технологий, и возникновением системы электронных платежей, появилась и принципиально новая сфера мошенничества. Объектами компьютерных атак стали денежные средства и информация, доступ к которой можно получить через сеть Интернет. Для совершения подобных преступлений нет необходимости непосредственного проникновения в банк, достаточно иметь под рукой компьютер и доступ к Интернету.

Следствием развития компьютерных сетей стало появление во второй половине ХХ столетия электронных безналичных расчётов. В настоящее время эти расчёты перешли на принципиально новый уровень в связи со значительным увеличением скорости перечислений и возможности их компьютерной обработки. Для удобства пользователей, в последствии, возникают и электронные эквиваленты классических денежных средств.

При использовании электронных сетей в сфере бизнеса и банковского дела имеет много достоинств и удобств: услуги могут предоставляться 24 часа в сутки независимо от места нахождения клиента, рекламная информация о производителе услуг очень быстро попадает в Сеть.

Все коммерческие документы создаются в цифровом виде, могут быть обработаны различными приложениями и т.д.

К сожалению, возникновение новых средств посредничества между покупателями и продавцами породило и новый вид преступности. Компьютерная сеть в качестве трафика между покупателем и продавцом доступна не только для правомерных трансакций, но и для преступной деятельности. Важнейшим условием для дальнейшего развития электронных платежей является обеспечение безопасности перемещения потоков информации и денежных средств.

Несмотря на то, что Россия вступила в сферу интернет бизнеса несколько позже западных стран, в настоящий момент трудно говорить о её отставании на этом направлении бизнеса.

Отставание России от лидеров в области информационных технологий не носит катастрофического характера, но позволяет избегать ошибок, совершаемых непосредственно разработчиками программного обеспечения. В частности ошибки, связанные с обеспечением информационной безопасности, благодаря которым появляется возможность различного мошенничества.

Именно поэтому при создании и модернизации электронных платёжных систем особое внимание следует уделять их безопасности. Постоянное обновление электронных платёжных систем требует непрерывного и качественного обновления их безопасности, именно этому вопросу и посвящена данная курсовая работа.

Глава 1. Особенности информационной безопасности банковских и платёжных систем

1.1 Особенности информационной безопасности банковских систем

Особенности стратегии обеспечения безопасности банковских и платёжных систем состоят в том, что должна сочетать в себе высокую надёжность защиты информации и, одновременно, обеспечивать простоту доступа. Это связано с высокой степенью публичности банков, а так же обеспечением простоты доступа для клиентов.

Система информационной безопасности обычной компании строится, главным образом, на обеспечении безопасности коммерческой информации, интересной лишь узкому кругу заинтересованных лиц и, как правило, не связанной непосредственно с денежными средствами, что существенно снижает спектр потенциальных угроз. Система же информационной безопасности банковской или платёжной системы сталкивается с гораздо большим количеством потенциальных угроз в связи со своей высокой ликвидностью.

При проектировании систем банковских и платёжных систем необходимо учитывать следующие факторы:

1. Прежде всего, необходимо учитывать, что хранимая в этих системах информация представляет собой не что иное, как реальные деньги. На основании этой информации могут производиться денежные расчёты между как физическими, так и юридическими лицами, получение и погашение кредитов, суммы, переводимые через электронные платёжные системы, могут быть весьма крупными. Естественно, что незаконное использование подобной информации может привести к существенным убыткам, а зачастую, и банкротству целых компаний. Эта особенность существенно расширяет круг преступников покушающихся именно на банки и электронные платёжные системы.
2. Хранящаяся в банковских и платёжных системах информация является конфиденциальной и затрагивает интересы большого количества людей – клиентов банка или платёжной системы. Обеспечение конфиденциальности этой информации является непосредственной задачей банка и неразрывно связано с его репутацией со всеми вытекающими отсюда последствиями
3. Особые требования к системе безопасности банка предъявляются и в условиях возникновения чрезвычайных ситуаций. Это связано с тем, что банк несёт ответственность не только за свои средства, но и за средства клиентов, то же относится и к платёжным системам.
4. Широта спектра предоставляемых услуг, в частности услуг удалённого доступа, существенно влияет на конкурентоспособность банка, что так же повышает требования к системе информационной безопасности.
5. Конфиденциальная информация, хранимая в банках о своих клиентах, также расширяет круг возможных злоумышленников, заинтересованных в хищении и или порче этой информации.

Преступления в банковских системах тоже имеют свои особенности.

Многие преступления, совершаемые в банковской сфере, остаются неизвестными вследствие нежелания банков наносить ущерб своей репутации, что неизбежно повлечёт за собой потерю клиентов. Нежелание банков предавать огласке неприятные инциденты так же усложняет своевременное проведение защитных мероприятий в области информационной безопасности.

Следует отметить, что желание совершить преступление и способность его осуществить не всегда совпадают. Большинство преступлений, связанных с системами безопасности банков, носят мелкий характер и довольно легко подлежат раскрытию. Большинство подобных преступлений совершается либо самими служащими банков, либо лицами, имеющими поверхностные знания о системах безопасности и серьёзного ущерба деятельности банка не приносят.

Наряду с этим существуют и целые преступные группы обладающие достаточным объёмом специальных знаний позволяющих им не только совершать хищения денежных средств, но и полностью парализовать работу банка или платёжной системы

Именно по этой причине система защиты автоматизированных систем обработки информации банков (АСОИБ) является столь многогранной.

В большинстве случаев АСОИБ обрабатывает большое количество запросов, поступающих в реальном времени не требующих по отдельности большого количества системных ресурсов, однако, в совокупности они могут быть обработаны только высокопроизводительной системой.

В АСОИБ хранится и обрабатывается большое количество конфиденциальной информации. Утечка, уничтожение или потеря этой информации может привести к крайне нежелательным последствиям, поэтому АСОИБ должны оставаться относительно закрытыми, автономными и использовать для своей работы специфическое программное обеспечение, не доступное для широкого круга потребителей.

Особое внимание следует уделять автономности и надёжности АСОИБ, поскольку именно стабильность, надёжность и безопасность работы системы защиты является важнейшим критерием оценки её работоспособности.

Можно выделить два типа задач решаемых АСОИБ:

1. Аналитические, не требующие больших системных ресурсов и занимающие примерно 10-20% мощности всей системы. К этому типу задач относятся задачи планирования, анализа банковских счетов и т.д. Эти задачи могут требовать для решения длительного времени, поэтому подсистема, обеспечивающая их выполнение, должна быть надёжно изолирована от основной системы обработки информации.
2. Повседневные, непосредственно определяющие размер и мощность системы защиты банка. К этому типу задач относится непосредственная обработка текущих банковских операций, переводы средств, корректировка счетов и т.д. В этом случае напротив имеет ценность оперативность обработки информации, что, однако не должно сказываться на безопасности её передачи. С другой стороны, подобная информация быстро утрачивает актуальность и не нуждается в длительном хранении. Например, при оплате какой-либо услуги через электронную платёжную систему после успешного завершения трансакции ценность этой информации минимальна. Поэтому, зачастую, бывает достаточным обеспечить безопасность платежа в момент его прохождения через платёжную систему. Несмотря на это, защита самого процесса обработки и конечных результатов должна быть постоянной.

Исходя из этого, можно выделить следующие особенности защиты информации в банковских и электронных платёжных системах:

1. Оперативное и полное восстановление данных в случае непредвиденных обстоятельств. В большинстве случаев защита информации от разрушения осуществляется резервным копированием, хранением на внешних носителях, использованием средств бесперебойного электропитания.
2. Обеспечение доступа пользователей к хранимой и обрабатываемой информации. Для решения этих задач широко используются различные программные системы управления доступом, которые часто включают в себя и антивирусные средства. Следует отметить, что финансовые организации уделяют большое внимание именно безопасности Сетей.

К отличительным особенностям защиты Сетей в финансовых организациях можно отнести использование защиты портов подключения через коммутируемые линии связи и использование адаптированного программного обеспечения для обеспечения доступа к сетям. Так же можно отметить использование антивирусного программного обеспечения, оконечное и канальное шифрование передаваемых данных, аутентификация сообщений.

Наряду с этим, в финансовых организациях большое внимание уделяется физической защите оборудования и помещений, что, в комплексе, и составляет систему охраны банковской информации.

Из всего выше сказанного следует, что для защиты АСОИБ не достаточно использовать стандартные методы защиты, разработанные для прочих предприятий и учреждений.

Защита информационных ресурсов

Защита информационных ресурсов осуществляется от:

1. Несанкционированного доступа - путём создания систем защиты информации, представляющих собой комплекс программно-технических средств и организационных решений.

К организационным решениям относятся:

а) обеспечение охраны объекта, на котором расположена защищаемая АС с целью предотвращения хищения СВТ, информационных носителей, а также НСД к СВТ и линиям связи;

б) выбор класса защищенности АС в соответствии с особенностями обработки информации и уровнем ее конфиденциальности;

в) организация учета, хранения и выдачи информационных носителей, паролей, ключей, ведение служебной документации, приемку включаемых вАС новых программных средств, а также контроль за ходом технологического процесса обработки конфиденциальной информации;

г) разработка соответствующей организационно-распорядительной документации.

Для повышения безопасности подключение к глобальным вычислительным сетям следует осуществлять только по необходимости с соблюдением необходимых мер безопасности.

1. Непреднамеренных и преднамеренных сбоев в работе системы электроснабжения, СВТ и прочих систем, ведущих к потере или искажению информации.

Необходимое для нормального функционирования информационной и телекоммуникационной систем программное обеспечение (ПО) должно быть оформлено в виде перечня и утверждено руководителем предприятия.

Установка любого программного обеспечения на рабочие места должна производиться исключительно специалистами ИТО. Самостоятельная установка программного обеспечения на рабочее место недопустима.

Резервное копирование защищаемой информации должно производиться согласно графику утверждённому администратором ЛСВ. Так же для защиты информации и предотвращения сбоев в работе системы необходимо применять автономные и бесперебойные источники электропитания.

1. Искажения, повреждения и перехвата информации, передаваемой по каналам связи.

В целях обеспечения безопасности передача конфиденциальной информации с грифом « Для служебного пользования» по открытым каналам связи с использованием факсимильной связи, электронной почты и прочего без использования средств шифрования запрещается.

Часто, для документооборота банка с другими организациями, используется электронная почта. По истечении рабочего дня места размещения коммутационного оборудования должны опечатываться, доступ к этим местам посторонних лиц без сопровождения сотрудника службы безопасности , или другого соответствующего лица запрещён.

Сотрудниками соответствующих отделов должен регулярно проводиться визуальный осмотр телекоммуникационных средств, с целью выявления несанкционированных подключений электронных носителей.

1. Нелегальное ознакомление с информацией.

Места хранения информации, не предназначенной для общего пользования, должны быть изолированы от общего доступа.

Экран монитора на рабочем месте необходимо устанавливать таким образом, чтобы просмотр информации выводимой на дисплей был затруднён для посторонних лиц.

В случае необходимости покинуть рабочее место, сотрудник обязан заблокировать экран монитора.

Защита от вирусов

Чаще всего антивирусная защита банковской системы строится по иерархическому принципу:

1-й уровень - службы общекорпоративного уровня

2-й уровень – службы подразделений или филиалов

3-й уровень – службы конечных пользователей

Все три уровня антивирусной защиты посредством локальной вычислительной сети объединяются в единую инфраструктуру, при этом службы общекорпоративного уровня должны функционировать в непрерывном режиме, а управление всеми уровнями осуществляется специальным персоналом по обеспечению системного администрирования.

На общекорпоративном уровне антивирусная система должна обеспечивать:

• получение обновления программного обеспечения и антивирусных баз;
• управление распространением антивирусного программного обеспечения;
• управление обновлением антивирусных баз;
• контроль за работой системы в целом (получение предупреждений об обнаружении вируса, регулярное получение комплексных отчетов о работе системы в целом);

на уровне подразделений:

обновление антивирусных баз конечных пользователей;

• обновление антивирусного программного обеспечения конечных пользователей, управление локальными группами пользователей;
• на уровне конечных пользователей:
• автоматическая антивирусная защита данных пользователя.

Функциональные требования

• Удаленное управление. Возможность управления всей системой с одного рабочего места (например, с рабочей станции администратора).
• Ведение журналов. Ведение журналов работы в удобной настраиваемой форме.
• Оповещения. В системе защиты должна быть возможность отправки оповещений о происходящих событиях.
• Производительность системы. Необходимо регулировать уровень нагрузки от антивирусной защиты
• Защита от различных типов вирусов. Необходимо обеспечить возможность обнаружения вирусов исполняемых файлов, макросов документов. Кроме этого, должна быть предусмотрены механизмы обнаружения неизвестных программному обеспечению вирусов.
• Постоянная защита рабочих станций. На рабочих станциях должно работать программное обеспечение, обеспечивающее проверку файлов при их открытии и записи на диск.
• Автоматическое обновление антивирусной базы. Должна быть предусмотрена возможность автоматического получения обновлений антивирусной базы и обновления антивирусной базы на клиентах.

Общие требования

• Программно-технические компоненты системы антивирусной защиты должны обеспечивать формирование интегрированной вычислительной среды, удовлетворяющей следующим общим принципам создания автоматизированных систем:
• Надежность - система в целом должна обладать продолжать функционировать независимо от функционирования отдельных узлов системы и должна обладать средствами восстановления после отказа.
• Масштабируемость - система антивирусной защиты должна формироваться с учетом роста числа защищенных объектов.
• Открытость - система должна формироваться с учетом возможности пополнения и обновления ее функций и состава, без нарушения функционирования вычислительной среды в целом.
• Совместимость - поддержка антивирусным программным обеспечением максимально-возможного количества сетевых ресурсов. В структуре и функциональных особенностях компонент должны быть представлены средства взаимодействия с другими системами.
• Унифицированность (однородность) - компоненты должны представлять собой стандартные, промышленные системы и средства, имеющие широкую сферу применения и проверенные многократным использованием.
• Помимо этого, система должна обеспечивать регулярное обновление используемой антивирусной базы, содержать в себе механизмы поиска ранее неизвестных вирусов и макро вирусов, как наиболее распространенных и опасных в настоящее время.

Требования к надежности и функционированию системы

• Система антивирусной защиты не должна нарушать логику работы остальных используемых приложений.
• Система должна обеспечивать возможность вернуться к использованию предыдущей версии антивирусных баз.
• Система должна функционировать в режиме функционирования объекта (рабочая станция/сервер) на котором она установлена.
• Система должна обеспечивать оповещение администратора системы при сбоях или обнаружении вирусов.

Первый уровень защиты обеспечивает безопасность подключения к Интернету или другому поставщику услуг связи (межсетевой экран и почтовые шлюзы), поскольку более 80% вирусов проникает в систему именно этим путём. Число обнаруженных на этом этапе вирусов сравнительно невелико, около 30%, поскольку остальные примерно 70% обнаруживают себя только в процессе работы.

Применение антивирусных программ на этом этапе сводится к фильтрации доступа в Интернет, при одновременной проверке на наличие вирусов проходящего трафика. Существенное замедление работы и относительно низкий уровень фильтрации делает использование этих продуктов нецелесообразным при пользовании проверенными интернет ресурсами.

Важнейшими объектами защитных программ являются файл-сервера, сервера баз данных и сервера коллективной работы, поскольку именно на них содержится наиболее важная информация. Использование резервного копирования никак не отменяет использование антивирусных программ, поскольку работа современных вирусных программ позволяет заражать даже резервные копии.

Для безопасной работы банковской системы антивирусной защите подлежат все компоненты связанные с хранением и транспортировкой информации, а именно:

• Файл-серверы;
• Рабочие станции;
• Рабочие станции мобильных пользователей;
• Сервера резервного копирования;
• Сервера электронной почты;
• Защита рабочих мест должна осуществляться антивирусными средствами и средствами сетевого экранирования рабочих станций.

Защиту мобильных пользователей при работе через сеть Интернет, а так же защиту рабочих станций ЛСВ от внутренних нарушителей политики безопасности должны обеспечивать Средства сетевого экранирования.

Ниже приведены основные возможности сетевых экранов:

• Контролируют подключения в обе стороны
• Позволяют известным приложениям получить доступ в Интернет без вмешательства пользователя (autoconfig)
• Мастер конфигурирования на каждое приложение (только установленные приложения могут проявлять сетевую активность)
• Делают ПК невидимым в Интернет (прячет порты)
• Предотвращают известные хакерские атаки и троянские кони
• Извещают пользователя о попытках взлома
• Записывают информацию о подключениях в лог файл
• Предотвращают отправку конфиденциальных данных, от отправки без предварительного уведомления
• Не дают серверам получать информацию без ведома пользователя (cookies)

Антивирусная защита банковских и электронных платёжных систем является важнейшим элементом системы безопасности в целом. При постоянном появлении новых и новых вирусных и вредоносных программ необходимо крайне ответственно относиться к обновлению антивирусного программного обеспечения, не следует , так же, пренебрегать независимой проверкой системы безопасности банка соответствующими компаниями

Глава 2. Система защиты информации в банковских системах​​​​​​​

2.1 Защита банковской информации.

Деятельность банков всегда была связана с обработкой и хранением большого количества конфиденциальной информации. Разглашение или утрата этой информации ставит под сомнение само существование банка и является для него важнейшей задачей. Кроме этого, сохранность и конфиденциальность этой информации сильно влияет на престиж данного банка, а, следовательно, и на его прибыль.

Высокую степень сохранности банковской информации обеспечивает резервное копирование, современные технические средства вполне в состоянии обеспечить бесперебойное и автономное электропитание системы, антивирусные программы так же постоянно совершенствуются и если не обеспечивают 100% защиты от вирусов, то, по крайней мере постоянно следят за безопасностью системы хранения и транспортировки информации.

Таким образом, в настоящее время, наибольшую опасность для банковских систем хранения и транспортировки безопасности представляет несанкционированный доступ к конфиденциальной информации (НСД).

Наиболее примитивным способом хищения конфиденциальной информации является её физическое похищение, как то: взлом здания банка, кража, вынос электронных носителей сотрудниками банков и т.д.

В большинстве банков система резервного копирования основана на стримерах. Эти системы записывают данные на магнитные ленты, которые в дальнейшем хранятся в специально отведённых для этого местах. Здесь и возникает вторая возможность несанкционированного доступа к банковской информации – резервные копии. Не следует недооценивать риски, связанные с транспортировкой и хранением резервных копий.

Несанкционированный доступ сотрудниками банка также является одним из способов утечки. При использовании электронных носителей и определённого программного обеспечения сотрудники банков зачастую имеют возможность получать в личное пользование информацию, доступ к которой не оговаривается их должностными инструкциями.

Далеко не всегда такие действия являются следствием злого умысла, чаще даже наоборот, однако это является грубейшим нарушением политики безопасности любого уважающего банка и, зачастую, приводит к утечке конфиденциальной информации.

Особо следует отметить системных администраторов, сотрудников, которые в силу своих должностных обязанностей имеют гораздо более широкие возможности доступа к данным системы безопасности.

Но самым опасным и эффективным методом НСД является несанкционированный доступ извне. Опасность его состоит , прежде всего, в том, что идут на подобные преступления люди с незаурядными знаниями, что существенно затрудняет борьбу с такими преступлениями.

В законе «О банках и банковской деятельности», который регламентирует деятельность банков в РФ, вводится понятие «банковская тайна». Ответственность за разглашение банковской тайны, согласно этому закону, возлагается на кредитную организацию или банк, которые в случае утечки конфиденциальной информации обязаны нести материальную ответственность перед клиентом. Однако никаких конкретных требований к системе безопасности банковских информационных систем не предъявляется.

Другими словами это означает, что при организации системы информационной безопасности банки должны руководствоваться исключительно опытом и знаниями своих специалистов. При таком положении вещей крайне важным является кадровая политика банка. Единственной рекомендацией является стандарт ЦБ РФ «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения». При разработке этих рекомендаций учитывалось действующее законодательство РФ и международные стандарты в области информационной безопасности.

В настоящий момент ЦБ РФ может только рекомендовать это постановление банкам, однако не может настаивать на его внедрении в силу ряда объективных причин. В частности из-за отсутствия чётких требований относительно лицензионных и сертифицированных продуктов и средств защиты информации от НСД

Перечислены в стандарте и требования к криптографическим средствам защиты информации в банках. И вот здесь уже есть более-менее четкое определение: «СКЗИ... должны быть реализованы на основе алгоритмов, соответствующих национальным стандартам РФ, условиям договора с контрагентом и(или) стандартам организации». Подтвердить соответствие криптографического модуля ГОСТ 28147—89 можно путем сертификации. Поэтому при использовании в банке систем шифрования желательно применять сертифицированные ФСБ РФ программные или аппаратные криптопровайдеры, то есть внешние модули, подключающиеся к программному обеспечению и реализующие сам процесс шифрования.

Иными словами, в настоящее время обеспечение информационной безопасности банков не является строго регламентированным. В этих условиях выбор системы безопасности является важной и ответственной задачей.

Защита от физического доступа

Обеспечение физической безопасности является важной составляющей системы безопасности в целом и существенно снижает риск несанкционированного доступа путём физического проникновения в офис или отделение банка. Так же способствует защите банковской информации эффективное сотрудничество с государственными и частными охранными структурами и использование криптографических средств защиты информации.

В настоящее время на рынке имеется огромный выбор улитт, осуществляющих шифрование данных, но для работы в системе банковской безопасности , эти улитты должны удовлетворять ряду дополнительных требований:

а) в системе криптографической защиты должен быть реализован принцип прозрачного шифрования. Основной особенностью этого принципа является то, что данные в основном хранилище всегда находятся в зашифрованном виде. Помимо этого такая технология позволяет минимизировать затраты ресурсов системы на регулярную работу с данными. Нет необходимости в ежедневной зашифровке и расшифровке данных, посредством специального ПО, эта технология позволяет автоматически расшифровывать данные при обращении к ним, и зашифровывать при записи на жёсткий диск, производя эти операции непосредственно в оперативной памяти сервера.

б) криптографические системы защиты информации должны работать не с виртуальными, а реальными разделами винчестеров и других носителей. Это связано с тем, что банковские базы данных, как правило, вмещают в себя очень большой объём информации. Дело в том, что файлы-контейнеры, которые могут подключаться к системе в качестве виртуальных дисков, не предназначены для работы с большими объемами данных. В том случае, когда виртуальный диск, созданный из такого файла, имеет большой размер, при обращении к нему одновременно даже нескольких человек можно наблюдать значительное уменьшение скорости чтения и записи информации. Работа же нескольких десятков человек с файлом-контейнером большого объема может превратиться в сущее мучение. Кроме того, нужно учитывать, что эти объекты подвержены риску повреждения из-за вирусов, сбоев файловой системы и т.д. Ведь, по сути, они представляют собой обычные файлы, но довольно большого размера. И даже небольшое их изменение может привести к невозможности декодирования всей содержащейся в нем информации. Оба этих обязательных требования существенно сужают круг подходящих для реализации защиты продуктов. Фактически сегодня на российском рынке имеется лишь несколько таких систем

Следует отметить ещё некоторые особенности криптографических систем. Первая связана с тем, что система серверной защиты информации должна предусматривать возможность подключения и использования с уже имеющимися в банке сертифицированными криптографическими модулями.

Второй особенностью является возможность интегрирования системы защиты информации в систему физической защиты банка, офиса или серверной комнаты.

Поскольку информация хранящаяся в банках является , по сути дела, деньгами клиентов, должна быть обеспечена максимальная сохранность этой информации. Для этих целей системой безопасности предусматриваются дополнительные возможности обеспечения сохранности информации. Наиболее известной и эффективной является функция поиска повреждённых секторов на диске и исправление ошибок. Возможность приостановки и отмены процессов первоначального зашифровывания диска, его расшифровывания и перекодирования так же имеют огромное значение, но необходимо помнить , что всё это очень длительные процедуры, а любой сбой в работе системы при их выполнении чреват полной и окончательной потерей данных, перед их проведением следует уделять особое внимание надёжности источников питания и т.д.

Человеческий фактор так же имеет большое влияние на несанкционированный доступ к информации, начиная от намеренного несанкционированного копирования, до случайных действий. Уменьшение таких рисков достигается путём использования надёжных мест хранения ключей шифрования – смарт-карт или USB ключей. Оптимальным является вхождение этих токенов в состав продукта, оно позволяет не только оптимизировать затраты, но и обеспечивает полную совместимость программного и аппаратного обеспечения.

Кворум ключей так же является важной функцией, позволяющей минимизировать влияние человеческого фактора на надёжность системы защиты. Суть его заключается в разделении ключа шифрования на несколько частей, каждая из которых отдается в пользование одному ответственному сотруднику. Для подключения закрытого диска требуется наличие заданного количества частей. Причем оно может быть меньше общего числа частей ключа. Такой подход позволяет обезопасить данные от нецелевого использования ответственными сотрудниками, а также обеспечивает необходимую для работы банка гибкость

Защита резервных копий.

Необходимость резервного копирования так же не вызывает сомнений, оно позволяет свести к минимуму или вовсе избежать убытков в случае порчи или утери информации. Максимальная эффективность резервного копирования достигается при хранении носителей с резервными копиями данных не в серверной комнате, или даже не в офисе банка, а в специально отведённом для хранения месте. Для повышения безопасности резервные копии так же следует защищать при помощи криптографии и метода кворума ключей, в этом случае, храня ключи безопасности в положенном месте либо у себя лично, офицер, обеспечивающий безопасность, может спокойнее передавать резервные копии техническому персоналу.

Основная сложность в организации криптографической защиты резервных копий заключается в необходимости разделения обязанностей по управлению архивированием данных. Настраивать и осуществлять сам процесс резервного копирования должен системный администратор или другой технический сотрудник. Управлять же шифрованием информации должен ответственный сотрудник — офицер безопасности. При этом необходимо понимать, что резервирование в подавляющем большинстве случаев осуществляется в автоматическом режиме. Решить эту проблему можно только путем «встраивания» системы криптографической защиты между системой управления резервным копированием и устройствами, которые осуществляют запись данных (стримеры, DVD-приводы и т.п.).

Из этого следует, что криптографические продукты должны иметь возможность работы с устройствами, использующимися для создания резервных копий.

В настоящее время существует три типа продуктов, уменьшающие возможность НСД. К первому типу относятся специальные устройства. Такие аппаратные решения обеспечивают надёжное шифрование, обеспечивают высокую скорость работы, однако имеют высокую стоимость и ряд других недостатков. В частности, могут возникать сложности сопряжённые с ввозом в Россию (поскольку криптографические системы всегда имели неоднозначное назначение). Ещё один минус заключается в невозможности подключить к ним внешние сертифицированные криптопровайдеры

Вторую группу представляют модули, криптографической защиты резервных копий. Этот продукт предоставляют своим клиентам разработчики программного и аппаратного обеспечения для резервного копирования. Самая главная особенность таких систем состоит в том, что работают они только со «своим» стандартным ПО, или накопителями. Кроме этого, база данных банка постоянно увеличивается, что приводит к замене накопителей и т.д. Соединение с внешними криптопровайдерам так же не возможно, как и в первой группе, помимо этого отсутствуют средства управления ключами.

Учитывая вышеизложенные соображения, следует обратить особое внимание на системы криптографической защиты резервных копий из третьей группы. Эти продукты поддерживают широкий спектр устройств записи информации, что позволяет использовать их не только в самом банке, но и в его филиалах. Это позволяет унифицировать используемые средства защиты и уменьшить эксплуатационные затраты. К этой группе относятся специально разработанные программные, программно-аппаратные и аппаратные продукты, не привязанные к конкретным системам архивирования данных.

Однако, следует отметить, что продуктов третьей группы , в настоящее время на рынке совсем немного, не смотря на все их достоинства. Вероятнее всего, связано это с отсутствием спроса на подобную продукцию, т.к правление банков, видимо , ещё не до конца осознало важность данного вопроса.

Защита от инсайдеров.

Если рассмотреть мировую статистику, можно заметить, что финансовые потери компаний от некоторых факторов риска медленно, но верно снижаются. Но потери от некоторых рисков постоянно возрастают. Преднамеренное воровство конфиденциальной информации при помощи мобильных носителей является одним из этих факторов. Развитие технологий, позволившее создавать носители относительно большого объёма при незначительных габаритах, существенно упростило задачу злоумышленникам. Понимая всю опасность утери конфиденциальной банковской информации, службы безопасности банков пытаются бороться с инсайдерством всеми доступными административными методами, но как правило, этого не достаточною.

Сегодняшние технологии позволяют осуществлять перенос информации между компьютерами посредством огромного количества устройств, кроме этого существует возможность использования электронной почты и другие возможности сети Интернет. Безусловно, ужесточение контроля служащих, отсутствие свободных портов устройств записи CD и DVD дисков может снизить риск утечки информации, но это повысит напряжённость в коллективе и не исключит возможность кражи. Кроме этого USB порты часто необходимы для работы, да и существует масса других возможностей.

Наиболее гибким и эффективным способом борьбы с инсайдерством является специальное программное обеспечение, осуществляющее динамическое управление всеми устройствами и портами компьютера, которые могут использоваться для копирования информации. Принцип их работы таков. Для каждой группы пользователей или для каждого пользователя в отдельности задаются разрешения на использование различных портов и устройств. Самое большое преимущество такого ПО — гибкость. Вводить ограничения можно для конкретных типов устройств, их моделей и отдельных экземпляров. Это позволяет реализовывать очень сложные политики распределения прав доступа.

Проанализировав изложенные выше принципы, можно выделить важнейшие принципы при выборе программ, обеспечивающих динамическое блокирование устройств записи и портов компьютера. Важнейшим фактором является универсальность программы: система должна охватывать весь спектр портов и записывающих устройств компьютера, возможность доступа к одному из портов или устройств, практически, сводит на нет работу всей системы. Кроме этого, программное обеспечение должно быть достаточно гибким для обеспечения наибольшей эффективности динамической блокировки всех портов и устройств компьютера в зависимости от его конфигурации. Ну и система защиты от инсайдеров должна иметь обязательную возможность интеграции с информационной системой банка.

Заключение

Защита конфиденциальной информации вкладчиков и клиентов банков является важнейшей задачей любого банка. В конечном итоге, соблюдение интересов клиента непосредственно сказывается на доходах самого банка.

Однако, последнее время, в России наблюдается регулярная утечка коммерческой информации, доказательством чего является появление в свободном доступе баз данных различных компаний и даже частных лиц. Это является серьёзной проблемой, так как подрывает доверие общества к электронным платёжным системам и банкам, что отрицательно сказывается на развитии государства в целом.

Законодательная база для обеспечения банковской тайны в нашей стране существует. Но на практике, ни один банк или финансовое учреждение ещё не несло серьёзного наказания со стороны государства за нарушение банковской тайны.

Защита конфиденциальной банковской информации это задача комплексная, которая не может быть решена только осуществлением банковских программ. Для эффективного обеспечения безопасности банковской информации необходимы не только усилия службы безопасности банков, но и система нормативных и законодательных актов, обеспечивающих сохранность банковской тайны.

Для ограничения влияния человеческого фактора на безопасность банковской системы следует выделить два направления:

а) минимальна допустимая осведомлённость пользователей системы об особенностях и тонкостях её работы.

б) необходимость тщательной идентификации пользователей системы, строгое соблюдение прав пользователей системами электронных платежей.

Трудно преувеличить значение банковской системы для развития экономики в целом. Помимо взаимоотношений между субъектами бизнеса, крупными финансовыми и промышленными компаниями банки играют большую социально-политическую роль. От степени доверия к банкам зависит отношение к ним рядовых граждан, будут ли они хранить сбережения в банковской системе, обеспечивая экономический рост государства, либо нет. В конечном итоге, от степени надёжности систем безопасности банков зависит их процветание и доходность.

Однако, банки можно выделить из ряда остальных коммерческих систем:

1. По сути дела, информацию, которая хранится в банковских информационных системах, можно считать деньгами, которые, на сегодняшний день можно истратить, вложить, погасить кредит и т.д.
2. Информационная безопасность банка, является не только обязательным условием его стабильной и прибыльной работы, но и критическим условием его существования, потому что она затрагивает интересы большого количества предприятий и частных лиц.

Не удивительно, что к банковским платёжным системам, учитывая их значение в жизни отдельных людей и общества в целом, применяются повышенные требования информационной безопасности. Российские банки, так же как и банки всего мира, не смогут избежать тотальной автоматизации обработки информации по следующим причинам:

В США, странах Западной Европы и многих других, столкнувшихся с проблемой защиты банковской тайны и безопасности электронных платежей, в настоящее время создана целая система защиты экономической информации. Огромные средства тратятся на разработку и производство безопасного программного, и аппаратного обеспечения, периферийных устройств, средств физической безопасности, научные изыскания и прочее.

Если обеспечение физической безопасности имеет давние традиции и установившиеся подходы к минимизации возможных рисков, то обеспечение информационной безопасности – наиболее динамичная область развития индустрии безопасности в целом. Обеспечение безопасности компьютерных и телекоммуникационных сетей постоянно сталкивается с новыми угрозами по мере развития информационных технологий и науки в целом. Постоянно требуются новые решения и обновления, поскольку на компьютерные и информационные системы возлагается всё большая и большая ответственность.

Список использованной литературы

1. Деднев М.А., Дыльнов Д.В., Иванов М.А. Защита информации в банковском деле и электронном бизнесе./ М.А. Деднев, Д.В. Дыльнов, М.А. Иванов – М. : НОУ «ОЦ КУДИЦ-ОБРАЗ», 2004. – 512 с.
2. Гайкович Ю.В., Першин А.С. Безопасность электронных банковских систем./ Ю.В. Гайкович, А.С. Першин — М. : Единая Европа, 1994. – 354 с
3. Романец Ю. В., Тимофеев П.А. Защита информации в компьютерных системах и сетях./ Ю. В. Романец, П.А. Тимофеев – М. : Радио и связь, 2001. – 376 с.
4. Стрельцов А.А. Обеспечение информационной безопасности России. Теоретические и методические основы / Под ред. В.А. Садовничего и В.П. Шерстюка. – М.: МЦНМО, 2002.
5. Е.Б. Белов, В.П. Лось Основы информационной безопасности. / Москва, Горячая линия – Телеком, 2006
6. Федеральный закон РФ "О персональных данных"
7. Вихорев С.В. Информационная Безопасность Предприятий. Москва, 2006.
8. В.А. Семененко Информационная безопасность. Москва, 2004
9. Аверченков, В. И. Аудит информационной безопасности: учеб.пособие для вузов / В.И. Аверченков. - Брянск: БГТУ, 2005.
10. Алексенцев, А.И. Понятие и назначение комплексной системы защиты информации/ А.И.Алексенцев// Вопросы защиты информации.- 2007.- № 2. - С. 2 - 3.
11. Теория информационной безопасности и методология защиты информации: Конспект лекций.
12. Мельников Ю.Н., Иванов Д.Ю. Многоуровневая безопасность в корпоративных сетях. Международный форум информатизации – 2011г.