Преподаватель который помогает студентам и школьникам в учёбе.

Система защиты информации в банковских системах(Особенности информационной безопасности банковских и платежных системах)

Содержание:

ВВЕДЕНИЕ

Когда человек слышит слова «безопасность банка» ему сразу же представляются перед глазами большие и тяжелые двери банковских хранилищ, прочные сейфы, многоуровневые посты охраны и контроля. Во многих случаях это верно. Но в современном обществе значительную – если не основную часть ценностей представляет собой не что – то материальное, а информация. Она так же нуждается в надежной и прочной защите.

Информационная безопасность в банке, точно так же как и физическая, должна быть выстроенная по многоуровневой схеме с чутким контролем всех точек входа.

Таким образом безопасность информационных систем банков любого масштаба должна строиться с использованием ряда основных принципов.

Защита собственно банковской системы должна использовать мощные средства контроля как внутренних пользователей, так и клиентов. Наиболее надежную защиту могут обеспечить средства электронных ключей (токены) или генераторы паролей. Безопасность данных при хранении требуют использование средств шифрования, которые могут работать либо на уровне хранилищ данных, либо на уровне отдельных компонентов системы.

Электронные расчеты как вид безналичных расчетов появились во второй половине XX века. Они приобрели принципиально новое качество, когда на обоих концах линии связи появились компьютеры. Качественный скачок выражался в том, что скорость осуществления платежей значительно возросла и появилась возможность их автоматической обработки. В дальнейшем появились электронные эквиваленты различных классических платежных средств.

Коммерческая деятельность в электронных сетях снимает многие физические ограничения. Компании, подключая свои компьютерные системы к интернету, способны предоставлять своим клиентам услуги 24 часа в сутки без праздников и выходных. Заказы на продукцию могут приниматься в любое время из любого места. В электронной коммерции все документы создаются в цифровом виде и с помощью различных приложений обрабатываются и передаются в сеть.

К сожалению, компьютерная сеть в качестве посредника между продавцами, покупателями и их банками доступна как для правомерных акций, так и для злоумышленных несанкционированных действий. Сделать «посредника» как можно более надежным – это одна из важнейших и в то же время самая трудная задача разработки. От качества решения задачи обеспечения безопасности совершаемых по сети финансовых транзакций во многом зависят темпы и перспективы развития электронной коммерции.

Вступление России в интернет-бизнес несколько запоздало по сравнению с развитыми зарубежными странами, однако, во-первых, это отставание не столь велико, а во-вторых, у него есть положительные моменты. Это отставание по востребованности интернет-технологий, используемых в электронной коммерции, позволяет не допускать повторения ошибок зарубежных компаний, занимающихся разработкой ПО для электронной коммерции. Имеются в виду в первую очередь ошибки, связанные с информационной безопасностью, следствием которых становятся возможным различного рода мошенничества.

Таким образом, при создании и модернизации автоматизированных систем обработки информации в банковских и платежных системах необходимо уделять пристальное внимание обеспечению ее безопасности. Именно этой проблеме посвящена данная курсовая работа, т. к. эта проблема является сейчас наиболее актуальной и наименее исследованной. Если в обеспечении физической и классической информационной безопасности давно уже выработаны устоявшиеся подходы, то в связи с частыми радикальными изменениями в компьютерных технологиях методы безопасности автоматизированных банковских и платежных систем требуют постоянного обновления.

В работе рассмотрим особенности информационной безопасности коммерческих систем, показывается, что именно для банков (в отличие от других предприятий) информационная безопасность имеет решающее значение. Рассмотрим методы защиты платежных систем. Особое внимание уделено рассмотрению алгоритмов и методов криптографических систем.

ГЛАВА 1. ОСОБЕННОСТИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ БАНКОВСКИХ И ПЛАТЕЖНЫХ СИСТЕМАХ

Стратегия информационной безопасности банковских и платежных систем весьма сильно отличается от аналогичных стратегий других компаний и организаций. Это обусловлено прежде всего специфическим характером угроз, а также публичной деятельностью банков, которые вынуждены делать доступ к счетам достаточно легким с целью удобства для клиентов.

Обычная компания строит свою информационную безопасность, исходя лишь из узкого круга потенциальных угроз — главным образом защита информации от конкурентов. Такая информация интересна лишь узкому кругу заинтересованных лиц и организаций и редко бывает ликвидная, т.е. обращаема в денежную форму.

Информационная безопасность платежных систем должна учитывать следующие специфические факторы:

Хранимая и обрабатываемая в банковских системах информация представляет собой реальные деньги. На основании информации компьютера могут производится выплаты, открываться кредиты, переводиться значительные суммы. Вполне понятно, что незаконное манипулирование с такой информацией может привести к серьезным убыткам. Эта особенность резко расширяет круг преступников, покушающихся именно на банки (в отличие от, например, промышленных компаний, внутренняя информация которых мало кому интересна).
Информация в банковских и платежных системах затрагивает интересы большого количества людей и организаций — клиентов банка. Как правило, она конфиденциальна, и банк несет ответственность за обеспечение требуемой степени секретности перед своими клиентами. Естественно, клиенты вправе ожидать, что банк должен заботиться об их интересах, в противном случае он рискует своей репутацией со всеми вытекающими отсюда последствиями.
Конкурентоспособность банка зависит от того, насколько клиенту удобно работать с банком, а также насколько широк спектр предоставляемых услуг, включая услуги, связанные с удаленным доступом. Поэтому клиент должен иметь возможность быстро и без утомительных процедур распоряжаться своими деньгами. Но такая легкость доступа к деньгам повышает вероятность преступного проникновения в банковские системы.
Информационная безопасность банка (в отличие от большинства компаний) должна обеспечивать высокую надежность работы компьютерных систем даже в случае нештатных ситуаций, поскольку банк несет ответственность не только за свои средства, но и за деньги клиентов.
Банк хранит важную информацию о своих клиентах, что расширяет круг потенциальных злоумышленников, заинтересованных в краже или порче такой информации.

Преступления в банковской сфере также имеют свои особенности:

- многие преступления, совершенные в финансовой сфере остаются неизвестными для широкой публики в связи с тем, что руководители банков не хотят тревожить своих акционеров, боятся подвергнуть свою организацию новым атакам, опасаются подпортить свою репутацию надежного хранилища средств и, как следствие, потерять клиентов.
- как правило, злоумышленники обычно используют свои собственные счета, на который переводятся похищенные суммы. Большинство преступников не знают, как «отмыть» украденные деньги. Умение совершить преступление и умение получить деньги — это не одно и то же.
- большинство компьютерных преступлений — мелкие. Ущерб от них лежит в интервале от $10.000 до $50.000.
- успешные компьютерные преступления, как правило, требуют большого количества банковских операций (до нескольких сотен). Однако крупные суммы могут пересылаться и всего за несколько транзакций.
- большинство злоумышленников — клерки. Хотя высший персонал банка также может совершать преступления и нанести банку гораздо больший ущерб — такого рода случаи единичны.
- многие злоумышленники объясняют свои действия тем, что они всего лишь берут в долг у банка с последующим возвратом. Впрочем «возврата», как правило, не происходит.

Специфика защиты автоматизированных систем обработки информации банков (АСОИБ) обусловлена особенностями решаемых ими задач:

Как правило АСОИБ обрабатывают большой поток постоянно поступающих запросов в реальном масштабе времени, каждый из которых не требует для обработки многочисленных ресурсов, но все вместе они могут быть обработаны только высокопроизводительной системой;
В АСОИБ хранится и обрабатывается конфиденциальная информация, не предназначенная для широкой публики. Ее подделка или утечка могут привести к серьезным (для банка или его клиентов) последствиям. Поэтому АСОИБ обречены оставаться относительно закрытыми, работать под управлением специфического программного обеспечения и уделять большое внимание обеспечению своей безопасности;
Другой особенностью АСОИБ является повышенные требования к надежности аппаратного и программного обеспечения. В силу этого многие современные АСОИБ тяготеют к так называемой отказоустойчивой архитектуре компьютеров, позволяющей осуществлять непрерывную обработку информации даже в условиях различных сбоев и отказов.

Можно выделить два типа задач, решаемых АСОИБ:

1. Аналитические. К этому типу относятся задачи планирования, анализа счетов и т.д. Они не являются оперативными и могут требовать для решения длительного времени, а их результаты могут оказать влияние на политику банка в отношении конкретного клиента или проекта. Поэтому подсистема, с помощью которой решаются аналитические задачи, должна быть надежно изолирована от основной системы обработки информации. Для решения такого рода задач обычно не требуется мощных вычислительных ресурсов, обычно достаточно 10-20% мощности всей системы. Однако ввиду возможной ценности результатов их защита должна быть постоянной.
2. Повседневные. К этому типу относятся задачи, решаемые в повседневной деятельности, в первую очередь выполнение платежей и корректировка счетов. Именно они и определяют размер и мощность основной системы банка; для их решения обычно требуется гораздо больше ресурсов, чем для аналитических задач. В то же время ценность информации, обрабатываемой при решении таких задач, имеет временный характер. Постепенно ценность информации, например, о выполнении какого-либо платежа, становиться не актуальной. Естественно, это зависит от многих факторов, как-то: суммы и времени платежа, номера счета, дополнительных характеристик и т.д. Поэтому, обычно бывает достаточным обеспечить защиту платежа именно в момент его осуществления. При этом защита самого процесса обработки и конечных результатов должна быть постоянной.

Можно сделать следующие выводы об особенностях защиты информации в финансовых системах:

- - Главное в защите финансовых организаций — оперативное и по возможности полное восстановление информации после аварий и сбоев. В основном, защита информации от разрушения достигается созданием резервных копий и их внешним хранением, использованием средств бесперебойного электропитания и организацией «горячего» резерва аппаратных средств.
  - Следующая по важности для финансовых организаций проблема — это управление доступом пользователей к хранимой и обрабатываемой информации. Здесь широко используются различные программные системы управления доступом, которые иногда могут заменять и антивирусные программные средства. В основном используются приобретенные программные средства управления доступом. Причем в финансовых организациях особое внимание уделяют такому управлению пользователей именно в сети.
  - К отличиям организации защиты сетей ЭВМ в финансовых организациях можно отнести широкое использование стандартного (т.е. адаптированного, но не специально разработанного для конкретной организации) коммерческого программного обеспечения для управления доступом к сети, защита точек подключения к системе через коммутируемые линии связи. Скорее всего это связано с большей распространенностью средств телекоммуникаций в финансовых сферах и желание защититься от вмешательства извне. Так же используются другие способы защиты, такие как применение антивирусных средств, оконечное и канальное шифрование передаваемых данных, аутентификация сообщений.
  - Большое внимание в финансовых организациях уделяется физической защите помещений, в которых расположены компьютеры. Это означает, что защита ЭВМ от доступа посторонних лиц решается не только с помощью программных средств, но и организационно-технических (охрана, кодовые замки и т.д.).

Можно сделать важный вывод: защита финансовых организаций строится несколько иначе, чем обычных коммерческих и государственных организаций. Следовательно для защиты АСОИБ нельзя применять те же самые технические и организационные решения, которые были разработаны для стандартных ситуаций. Нельзя бездумно копировать чужие системы — они разрабатывались для иных условий.

ГЛАВА 2. БЕЗОПАСНОСТЬ ЭЛЕКТРОННЫХ ПЛАТЕЖЕЙ

2.1.Электронные платежи в банке

Специфической чертой электронных банковских систем является специальная форма обмена электронными данными - электронных платежей, без которых ни один современный банк не может существовать.

Обмен электронными данными (ОЭД) — это межкомпьютерный обмен деловыми, коммерческими, финансовыми электронными документами. Например, заказами, платежными инструкциями, контрактными предложениями, накладными, квитанциями и т.д.

Рисунок 1 обмен электронными данными (ОБД)

Обмен электронными данными обеспечивает оперативное взаимодействие торговых партнеров (клиентов, поставщиков, торговых посредников и др.) на всех этапах подготовки торговой сделки, заключения контракта и реализации поставки. На этапе оплаты контракта и перевода денежных средств обмен электронными данными может приводить к электронному обмену финансовыми документами. При этом создается эффективная среда для торгово-платежных операций:

возможно ознакомление торговых партнеров с предложениями товаров и услуг, выбор необходимого товара/услуги, уточнение коммерческих условий (стоимости и сроков поставки, торговых скидок, гарантийных и сервисных обязательств) в реальном масштабе времени;
заказ товара/услуг или запрос контрактного предложения в реальном масштабе времени;
оперативный контроль поставки товара, получение по электронной почте сопроводительных документов (накладных, фактур, комплектующих ведомостей и т.д.);
подтверждение завершения поставки товара/услуги, выставление и оплата счетов;
выполнение банковских кредитных и платежных операций.

К достоинствам обмена электронными данными следует отнести:

уменьшение стоимости операций за счет перехода на безбумажную технологию. Эксперты оценивают стоимость обработки и ведения бумажной документации в 3-8% от общей стоимости коммерческих операций и доставки товаров;
повышение скорости расчета и оборота денег;
повышение удобства расчетов.

Банки в США и Западной Европе уже осознали свою ключевую роль в распространении обмена электронными данными и поняли те значительные преимущества, которые дает более тесное взаимодействие с деловыми и личными партнерами. Обмен электронными данными помогает банкам в предоставлении услуг клиентам, особенно мелким, тем, которые ранее не могли позволить себе ими воспользоваться из-за их высокой стоимости.

Частным случаем обменом электронных данных являются электронные платежи - обмен финансовыми документами между клиентами и банками, между банками и другими финансовыми и коммерческими организациями.

Суть концепции электронных платежей заключается в том, что пересылаемые по линиям связи сообщения, должным образом оформленные и переданные, являются основанием для выполнения одной или нескольких банковских операций. Никаких бумажных документов для выполнения этих операций в принципе не требуется (хотя они могут быть выданы). Другими словами, пересылаемое по линиям связи сообщение несет информацию о том, что отправитель выполнил некоторые операции над своим счетом, в частности над корреспондентским счетом банка-получателя (в роли которого может выступать клиринговый центр), и что получатель должен выполнить определенные в сообщении операции. На основании такого сообщения можно переслать или получить деньги, открыть кредит, оплатить покупку или услугу и выполнить любую другую банковскую операцию. Такие сообщения называются электронными деньгами^[1], а выполнение банковских операций на основании посылки или получения таких сообщений - электронными платежами.

Виды электронных денег:

Яндекс.Деньги. Одна из самых популярных систем онлайн – платежа;
Webmoney. Крупнейшая система расчетов;
PayPal. Самая популярная система электронных денег;
Qiwi. Также популярная система.

Естественно, весь процесс осуществления электронных платежей нуждается в надежной защите. Иначе банк и его клиентов ожидают серьезные неприятности и крахи.

Электронные платежи применяются при межбанковских, торговых и персональных расчетах.

Межбанковские и торговые расчеты производятся между организациями (юридическими лицами), поэтому их иногда называют корпоративными. Расчеты с участием физических лиц-клиентов получили название персональных.

Большинство крупных хищений в банковских системах прямо или косвенно связано именно с системами электронных платежей.

Любая организация, которая хочет стать клиентом какой-либо системы электронных платежей, либо организовать собственную систему, должна отдавать себе в этом отчет. Для надежной работы система электронных платежей должна быть хорошо защищена.

Торговые расчеты производятся между различными торговыми организациями. Банки в этих расчетах участвуют как посредники при перечислении денег со счета организации-плательщика на счет организации-получателя. Торговые расчеты чрезвычайно важны для общего успеха программы электронных платежей. Объем финансовых операций различных компаний обычно составляет значительную часть общего объема операций банка.

Виды торговых расчетов сильно различаются для разных организаций, но всегда при их осуществлении обрабатывается два типа информации: платежных сообщений и вспомогательная (статистика, сводки, уведомления). Для финансовых организаций наибольший интерес представляет, конечно, информация платежных сообщений - номера счетов, суммы, баланс и т.д. Для торговых организаций оба вида сведений одинаково важны – первый дает ключ к финансовому состоянию, второй – помогает при принятии решений и выработке политики.

2.2. Безналичные электронные клиентские расчеты с использованием «Клиент-Банк»

Под системой «Клиент–Банк» понимают программный комплекс, используемый клиентами коммерческого банка для удаленного взаимодействия с БИС банка и автоматизации документооборота между банком и его клиентами. Основное назначение систем этого типа – сократить число визитов клиента в офис банка и формализовать процесс обмена документами, а, следовательно, облегчить ведение бухгалтерского учета, как клиенту, так и банку.

С помощью этой системы клиент банка (организация или частное лицо) может управлять своими счетами, открытыми в этом банке, поддерживать документооборот, проводить финансовые операции и получать требуемый набор информации. Фактически процесс взаимодействия банка со своим клиентом частично переносится из офиса банка в офис клиента.

Организация работы с клиентами по технологии «Клиент-Банк» имеет свои преимущества и недостатки. Для коммерческого банка эти преимущества состоят в следующем:

сокращение операционных расходов, так как сотрудник банка больше не тратит время на прием и обработку бумажных клиентских документов;
унификация документооборота, поскольку банк может поставлять клиенту справочники, облегчающие ввод и последующую обработку документов;
получение конкурентных преимуществ за счет предоставления более разнообразного числа услуг клиентам;
получение прибыли за счет предоставления клиентам дополнительной услуги.

Для клиента банка можно выделить следующие преимущества использования системы «Клиент-Банк»:

проведение расчетов и доступ к счетам со своего рабочего места, что приводит к существенной экономии времени;
выбор банка вне зависимости от территориального признака, т.е. главным критерием выбора банка может служить его стабильное положение и/или выгодные тарифы на обслуживание;
оперативное получение различной дополнительной справочной информации из банка;
удобство составления платежных документов, совмещаемое со снижением уровня ошибок в процессе оформления документов.

Для каждого типа документа (платежное поручение, заявка на перевод валюты, платежное требование и т.д.) в системе «Клиент-Банк» должна быть обеспечена логика ввода полей и импорта информации, контроль заполнения документов, контроль приема, защиты и передачи документов, а также их исполнения и уведомления о выполнении.

Каждый документ в системе должен быть подписан и зашифрован. Весь процесс прохождения документа должен быть доступен для контроля и управления со стороны клиента банка. Кроме того, в системе должен поддерживаться полный архив документов, а также существовать четкий механизм обработки ошибок, возникающих при прохождении документов: будь то ошибки при передаче данных по каналам связи или ошибки при заполнении документа, выявленные в результате логического контроля в банке. Желательно предоставить также пользователям системы (банку и его клиентам) возможность введения в систему «Клиент-Банк» новых типов документов.

Система «Клиент-Банк» состоит из двух обязательных частей: банковской или серверной части и клиентской части, т.е. рабочего места клиента. Коммуникационная подсистема (третий необходимый элемент) либо поставляется разработчиком вместе с системой «Клиент-Банк», либо приобретается банком и его клиентами отдельно.

С ростом числа клиентов, работающих по технологии «Клиент-Банк», возникает необходимость учитывать специфику работы каждого клиента банка и его документооборота. В связи с этим перед коммерческим банком возникает вопрос о масштабируемости системы. При этом появляются определенные требования, как к банковской, так и клиентской части системы. Клиентская часть должна быть построена по модульному принципу и настраиваться на любой механизм работы с клиентами. А банковская часть должна поддерживать процессы заведения новых клиентов, а также их модификации.

2.3. Система телефонного банкинга

Отдельным направлением, идущем параллельно системам «Клиент-Банк» можно считать телефонный банкинг, т.е. управление счетом и получение справочной информации с помощью телефона. Гораздо позднее этапа использования обычного телефона стали массовыми мобильные и IP телефоны, и передача человеческой речи из обычной стала переходить в цифровой формат, а у телефонов стали появляться дополнительные возможности – в частности приём и передача коротких текстовых сообщений (SMS).

Все-таки разновидностью телефонного банкинга, можно считать голосовое управление счетом по телефону. В этом случае банк обычно организует отдельное подразделение, которое называется call-центром, которое состоит из операторов, отвечающих по телефону на звонки клиентов и выдающих им справки либо принимающих в устной форме распоряжения по осуществлению платежей со счета. В наши дни call-центры организуются в основном как службы поддержки («горячей линии») и консультирования клиентов по вопросам оказываемых банком услуг что очень удобно.

2.4. Безналичные электронные расчеты с использованием банковских карт

Обилие видов в современном виде пластиковых карточек как машинных носителей информации, а также их невысокая стоимость сделали их весьма распространенными в различных сферах хозяйственной деятельности. Пластиковые карточки стали использоваться в качестве: пропусков (access control); телефонных карточек (phonecard); визитных карточек (business card); удостоверений личности (pass control); водительских удостоверений; студенческих билетов; карточек контроля входа в различные электронные системы (log-on access); карточек хранения данных (например, карты здоровья); карт гарантии и фирменного сопровождения, где отмечаются сведения об обслуживании (осмотры и ремонты какой-либо покупки).

Прежде чем рассмотрим возможности и технологии проведения расчетов с использованием пластиковых карт следует остановиться на том, что собой представляет пластиковая карта и какие вообще бывают карточки.

Банковские платежные карты, которые часто называют «пластиковыми». Пластиковые карты бывают двух видов: кредитные карты и дебетовые карты. В России встречается также «таможенная карта», у которой есть ряд своих особенностей.

Сегодня даже удостоверение личности может быть создано на основе сделанной из пластмассы карты, содержащей информацию о владельце.

Кредитная карта. Эти пластиковые карты предназначены для удобного получения кредита в рамках предоставленной банком кредитной линии. В отличие от обычного кредита, клиент не обязан сообщать банку, зачем ему нужны деньги, кредит по карте ограничен относительно небольшой суммой, а также предусматривает быстрое погашение – в течение шести месяцев. Для банков кредитная карта – универсальный инструмент и первые пластиковые карты, которые появились, были кредитными. Во-первых, по потребительским кредитам проценты выше, во-вторых, суммы займов небольшие, в-третьих, срок кредитования небольшой, в-четвертых, многие процессы автоматизированы. А какие выгоды для клиента? Разница между использованием для повседневных покупок кредитной и дебетовой картой небольшая, но влияющая на финрезультат. Если клиент расплачивается кредитной картой, то затем погашает долг вместе с процентами. Если клиент сначала получает деньги на дебетовую карту, а потом оплачивает свои покупки, то банк, наоборот, выплачивает проценты клиенту (обычно символические) за то время, что он держит деньги в банке.

Рисунок 2 кредитная карта

Дебетовая карта. В странах бывшего Советского Союза платежные пластиковые карты развивались иначе: в первую очередь появились зарплатные (т.е. дебетовые карты), а затем отечественные банки начали развивать кредитные карты. Из-за низкой популярности их обычно предлагают вместе с какой-либо услугой или продуктом. Дебетовые карты используются исключительно как инструмент доступа к собственному счету в банке и не предусматривают кредита. В последнее время появляются универсальные карты – дебетовые карты с овердрафтом, т.е. с возможностью перерасхода денег на счету.

Рисунок 3 дебетовая карта

С разрешенным овердрафтом. Банковская карта с разрешенным овердрафтом – это усовершенствованная дебетовая карта, особенностью которой является возможность превышения имеющихся на счете собственных средств. Превышение средств осуществляется за счёт кредита, который автоматически открывается на карте, когда сумма совершаемой операции превосходит положительный остаток.

Размер овердрафта является фиксированным и оговаривается в договоре на открытие карты. Карты с разрешенным овердрафтом часто бывают привязан к счетам зарплатных проектов, в связи с чем выданный кредит погашается автоматически при перечислении заработной платы. Также, по счёту могут производиться автоматические платежи, несмотря на отсутствие средств, что будет также приравниваться к кредиту.

Комиссия за кредит начинает начисляться с момента превышения лимита собственных средств до зачисления на счёт суммы необходимой суммы с учётом комиссии. Как правило, процентные ставки за операции овердрафта выше, чем по обычным кредитам.

Рисунок 4 карта с разрешенным овердрафтом

Предоплаченные. Предоплаченная банковская карта – это карта, на которой в момент её покупки имеется определенная сумма, а расчеты производятся от лица банка-эмитента. Предоплаченная карта позволяет совершать покупки или оплачивать услуги, по такому же принципу, что и обычная дебетовая карта.

Банк, выпустивший карту, может внести ограничения по использованию карты, например: короткий срок действия карты, по истечении которого нельзя будет воспользоваться ей или её заменить; невозможность вернуть средства в случае утраты карты или после окончания её срока действия отсутствие возможность обналичивать средства; невозможность пополнить счёт карты. Если сумма на предоплаченной карте не превышает 15 000 рублей, то банк не требует идентификации клиента.

Предвыпущенные. Предвыпущенная банковская карта – это карта, которая выпускается ещё до написания клиентом заявления на получение карты. Такая карта изначально не содержит информацию о её владельце, на ней не указаны ФИО. Карта прикрепляется к счёту, который открывается на конкретного клиента. Такая карта дает возможность совершать все те же операции, что и обычная дебетовая, в том числе пользоваться онлайн-банком, получать проценты на остаток средств. Однако в целях безопасности не рекомендуется использовать такие карты как основные и хранить на них большие суммы, так как проведение оплаты по ним не требует предъявления документов. Кроме того, карты могут не приниматься для бронирования отелей, аренды автомобилей и оплаты в некоторых интернет-магазинах.

Предвыпущенные карты очень удобны, когда необходимо срочно оформить карту, ведь в этом случае процедура займёт несколько минут. Также их часто используют банки для выплаты процентов или для пополнения кредитного счёта.

Существует несколько признаков, по которым можно проводить классификацию пластиковых карт. Так, например, все карточки можно классифицировать по материалу, используемому для их изготовления. В этом случае карточки могут быть:

бумажными – обычно применяются в виде пропусков, удостоверений, телефонных карт, карт для метрополитена;
пластиковыми – эти карты получили наибольшее распространение среди банковских карточек; они более долговечны, нежели бумажные карты, и легко поддаются машинной обработке;
металлическими – в настоящее время такие карты практически не используются.

ГЛАВА 3. БЕЗОПАСНОСТЬ ЭЛЕКТРОННЫХ ПЛАТЕЖЕЙ

В последние годы электронные технологии активно внедряются в бизнес-процессы. Необходимость всегда иметь под рукой нужную информацию заставляет многих руководителей задумываться над проблемой оптимизации бизнеса с помощью компьютерных систем. Но если перевод бухгалтерского учета из бумажной формы в электронную давно осуществлен, то взаиморасчеты с банком все еще остаются недостаточно автоматизированными: массовый переход на электронный документооборот только предстоит.

Сегодня многие банки имеют те или иные каналы для удаленного осуществления платежных операций. Отправить "платежку" можно прямо из офиса, воспользовавшись модемным соединением или выделенной линией связи. Стало реальностью выполнение банковских операций через Интернет - для этого достаточно иметь компьютер с доступом в глобальную сеть и ключ электронной цифровой подписи (ЭЦП), которая зарегистрирована в банке.

Удаленное обслуживание в банке позволяет повысить эффективность частного бизнеса при минимальных усилиях со стороны его владельцев. При этом обеспечиваются: экономия времени (не нужно приходить в банк лично, платеж можно выполнить в любое время); удобство работы (все операции производятся с персонального компьютера в привычной деловой обстановке); высокая скорость обработки платежей (банковский оператор не перепечатывает данные с бумажного оригинала, что дает возможность исключить ошибки ввода и сократить время обработки платежного документа); мониторинг состояния документа в процессе его обработки; получение сведений о движении средств по счетам.

Однако, несмотря на очевидные преимущества, электронные платежи в России пока не очень популярны, поскольку клиенты банков не уверены в их защищенности. Это прежде всего связано с распространенным мнением, что компьютерные сети легко может "взломать" какой-нибудь хакер. Этот миф прочно укоренился в сознании человека, а регулярно публикуемые в СМИ новости об атаках на очередной веб-сайт еще сильнее укрепляют это мнение. Но времена меняются, и электронные средства связи рано или поздно заменят личное присутствие плательщика, желающего сделать безналичный банковский перевод с одного счета на другой.

На мой взгляд, безопасность электронных банковских операций на сегодняшний день можно обеспечить. Гарантией этому служат современные методы криптографии, которые используются для защиты электронных платежных документов. В первую очередь это ЭЦП, соответствующая ГОСТ 34.10-94. С 1995 г. она успешно применяется в Банке России. Вначале он ввел систему межрегиональных электронных расчетов всего в нескольких регионах. Сейчас она охватывает все регионы Российской Федерации и представить без нее функционирование Банка России практически невозможно.

Электронно-цифровая подпись - гарантия безопасности. Согласно типовому договору между банком и клиентом наличие под электронным документом достаточного количества зарегистрированных ЭЦП уполномоченных лиц служит основанием для совершения банковских операций по счетам клиента. В Федеральном законе от 10.01.02 г. N 1-ФЗ "Об электронной цифровой подписи" определено, что ЭЦП должна формироваться и проверяться сертифицированным ФАПСИ программным обеспечением. Сертификация ЭЦП является гарантией того, что данная программа выполняет криптографические функции согласно нормативам ГОСТ и не совершает деструктивных действий на компьютере пользователя.

Чтобы проставить на электронный документ ЭЦП, необходимо иметь ее ключ, который может храниться на каком-нибудь ключевом носителе информации. Современные ключевые носители ("e-Token", "USB-drive", "Touch-Memory") по форме напоминают брелоки, и их можно носить в связке обычных ключей. В качестве носителя ключевой информации можно также использовать дискеты.

Рисунок 5 электронная цифровая подпись

Каждый ключ электронной цифровой подписи служит аналогом собственноручной подписи уполномоченного лица. Если в организации бумажные "платежки" обычно подписывают директор и главный бухгалтер, то в электронной системе лучше всего сохранить тот же порядок и предусмотреть для уполномоченных лиц разные ключи электронной цифровой подписи. Впрочем, можно использовать и одну электронную цифровую подпись - данный факт необходимо отразить в договоре между банком и клиентом.

Техническую основу обеспечения безопасности современных автоматизированных информационных систем, в том числе и систем электронной коммерции и автоматизированных банковских систем составляют методы, носящие название криптографических^[2]. Использование криптографических технологий позволяет обеспечивать выполнение, например, таких требований безопасности, как конфиденциальность, целостность и аутентичность данных, анонимность клиентов и многие другие.

Криптография означает тайнопись или науку о разработке методов защиты сообщений. Методы защиты сообщений называются криптографическими алгоритмами или иногда просто шифрами. Входными данными для начала работы криптографического алгоритма являются исходный текст сообщений и ключ зашифровывания. Ключом может является некоторое слово, число или просто произвольный набор символов. Главное, чтобы значение ключа хранилось в секрете, и его было бы невозможно угадать случайным образом или подобрать. Процесс выполнения криптографического алгоритма также называют процессом зашифровывания сообщения. В результаты на выходе алгоритма получается зашифрованный текст, или как его еще называют, криптограмма. Текст криптограммы является абсолютно нечитаемым обычными людьми. Внешне такой текст выглядит как беспорядочный набор букв, не имеющий ни какого смысла. Чтобы извлечь информацию из криптограммы, необходимо выполнить обратный процесс ее преобразования в исходное сообщение. Такой процесс называется расшифровыванием. Расшифровать криптограмму, то есть прочесть секретное сообщение, может только тот человек, который знает секретный ключ расшифровывания.

ГЛАВА 4. ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ БАНКОВ: МЕРЫ, ПРИНЦИПЫ, УГРОЗЫ

В нынешнем мире хранение банковской информации, многократно выросли, что, в свою очередь, не может не привлечь внимание рост преступного интереса к ней.

Необходимость обеспечивать безопасность хранения данных, регулярная смена и проверка паролей и контроль вероятности утечки информации стали неотъемлемой частью работы каждого банка.

Для совершения взлома и кражи банковской системы злоумышленнику вовсе не обязательно быть в банке. Осуществить взлом банка пользователь сети может со своего персонально компьютера.

Банковские системы и базы данных содержат конфиденциальную информацию о клиентах банка, состоянии их счета и проведение различных операций.

Очевидно необходимо сохранять информационную безопасность этих данных, но без быстрого и своевременного обмена и обработки информации банковская система даст сбой. Необходима целая структура, которая сможет обеспечить защиту информации и конфиденциальность клиентской базы.

Последовательность мер по защите информации:

разработка и оценка конфиденциальной информации;
оборудовать объект для осуществления защиты;
контроль эффективности принятых мер.

Банк так же может полноценно осуществлять свою деятельность лишь в случае налаженного обмена внутренними данными и надеждой системой защиты.

Специалисты в области обеспечения информации безопасности банка могут создавать как локальные системы, так и централизованные программы защиты.

Выбирая форму защиты, нужно учитывать все возможные способы взлома и утечки информации. Профессиональный и грамотный подход к обеспечению безопасности подразумевает слаженную работу всех отделений банка.

Каждое направление включает в себя несколько этапов работы. Рассмотрим пример, контроль обмена данных подразумевает не только обработку скорости передачи нужной информации, но и своевременное уничтожение сведений. Такая мера предполагает строгий контроль обработки данных и их защиту.

Доступ к данным банка защищается с помощью паролей или электронными ключами. Работа с персоналом которые используют банковскую систему включает в себя проведение инструктажей и строгого контроля выполнения всех необходимых мер и требований.

Строгие меры которые обеспечивают техническую защиту информации и безопасность банка подразумевает защиту резервных копий, обеспечение беспроводного питания оборудования.

Для контроля эффективности принятых мер необходимо вести записи которые будут отмечать работоспособность и действовать примененных средств защиты информации в банке.

Несмотря на то что множество возможностей взлома и утечки информации банковских данных обеспечить вполне возможно.

Современные методы позволили усовершенствовать систему криптографии, а также сделать такую меру, как электронная цифровая подпись (ЭЦП). Она служит аналогом собственной подписи человека и имеет непосредственную привязку к электронному ключу, который знает и храниться только у владельца подписи. Ключ состоит из двух частей: открытой и закрытой, также защищен специальным кодом.

Существует ряд основных принципов, согласно которым происходит обеспечение информационной безопасности банка:

установление и обнаружение проблем;
возможность прогнозирования развития;
эффективность принятых мер.

Необходимо особо отметить важность тщательной и регулярной работы с персоналом, поскольку обеспечение безопасности информации во многом зависит от качества и выполнения работы, представленных службой безопасности.

4.1. Угрозы информационной безопасности банка

Человеческий фактор является основной и главной угрозой информационной безопасности, напрямую зависящей от человеческих отношений. Большая часть утечки информации объясняет халатность банка.

По статистике около 75% правонарушения приходится на сотрудников банка, то есть на тех, кто непосредственно имел или имеет доступ к данным.

Обеспечение внутренней информации безопасности банка крайне необходимая система мер.

Опасность и угрозу для программного обеспечения могут предоставлять также различные вредоносные для носителя информации компьютерные вирусы, программные закладки, которые способны разрушить введенные коды.

Наиболее известные способы решения вирусных проблем программного обеспечения являются лицензионные антивирусные программы, которые успешно справляются с данной проблемой.

Надежно защитить банковскую информацию от внутренних и внешних утечек поможет специализированный специалист в этой области и программное обеспечение, позволяющие отслеживать и блокировать передачу информации на съемные носители.

Важным направлением защиты также является своевременное распознание и ограничение утечек различного вида.

В силу экономической важности банковских систем, обеспечение их информационной безопасности является обязательным условием. Поскольку информация которая находится в базе данных банков представляет собой реальную материальную стоимость, то требование к хранению и обработке этой информации всегда будут повышенными.

Специфика и особенности системы обеспечения безопасности, безусловно индивидуальны для каждого отдельного банка, поэтому комплексное предоставление систем защиты является необходимым условием всей банковской системы.

4.2. Защита речевой информации

Исходя из возможности перехвата речевой информации при проведении разговоров конфиденциального характера с помощью внедрения специальных электронных устройств, транслирующих эту информацию, наведенной на различные электрические и прочие цепи, выходящие за пределы контролируемой зоны, противодействие этим угрозам безопасности информационных ресурсов должно осуществляться всеми доступными средствами и методами.

Помещения в которых проводится введение конфиденциальных переговоров, должны быть проведены на предмет отсутствия в них закладных устройств, технические средства передачи информации ( телефоны, телефаксы, модемы), а так же различные электрические цепи, трубопроводы, системы вентиляции и кондиционирования.

В таких целях используют проектные решения, обеспечивающие звукоизоляцию помещений, специальные средства обнаружения закладных устройств,

ЗАКЛЮЧЕНИЕ

В современном мире банковская система – это важнейшая сфера национального хозяйства любого развитого или развивающегося государства. Ёе практическая роль определяется тем, что она управляет в нашем государстве системой платежной и системой расчетов; большую часть своих коммерческих сделок осуществляет через вклады, инвестиции и кредитные операции, с другими финансовыми посредниками банки направляют сбережения наделения к фирмам и производственным структурам

В ходе выполнения курсовой работы мною было рассмотрено теоретический материал, содержащий основные характеристики банка и банковской системы, сущность банков, его виды и функции.

Мною было выявлено, что главной целью деятельности Центрального Банка РФ является сдерживание инфляции и обеспечение стабильности национальной валюты. Ежегодно Банк разрабатывает единую государственную денежно – кредитную политику, осуществление которой осуществляет посредством использования специальных инструментов, таких как операции на открытом рынке, изменение нормативов обязательных резервов, рефинансирование кредитных организаций.

СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ

Гайкович В, Першин А. Безопасность электронных банковских систем. - М.,2010.
Герасименко В.А., Малюк А.А., Основы защиты информации, Москва: МИФИ, 2015.- 537 с.
Груздев С. "16 вариантов русской защиты" /КомпьютерПресс №392
Груздев С. Электронные ключи. - М. 2015.
Карасик И. Программные и аппаратные средства защиты информации для персональных компьютеров / /КомпьютерПресс №3, 2015
Кузнецов И. Н., Информация: сбор, защита, аналіз, М., ООО Изд. Яуза, 2011- 88 с.
Мафтик С. Механизмы защиты в сетях ЭВМ. /пер. с англ. М.: МИР, 2013.
Петров В.А., Пискарев С.А., Шеин А.В. Информационная безопасность. Защита информации от несанкционированного доступа в автоматизированных системах. - М., 2016.
Спесивцев А.В. и др. Защита информации в персональных ЭВМ. - М.: Радио и связь, 2013.

Электронные деньги - это средство, которое используют при оплате товаров и услуг в интернете, и оно имеет такую же ценность, как настоящие деньги. ↑
Криптография (от древне-греч. κρυπτος – скрытый и γραϕω – пишу) – наука о методах обеспечения конфиденциальности и аутентичности информации. ↑