Добавлен: 25.06.2023
Просмотров: 68
Скачиваний: 3
Введение
Актуальность темы исследования заключается в необходимости повышения систем информационной безопасности кредитных организаций. Онлайн-обслуживание становится достаточно популярным сегодня в условиях современного информационного общества, но проблемы такой деятельности заключаются в наличии и росте уровня киберпреступности и интернет-мошенничества.
К сожалению, современные существующие механизмы защиты клиентских счетов не в состоянии обеспечить полную защиту от несанкционированных доступов мошенников. Наличие такой угрозы заставляет людей отказываться от онлайн-кабинетов и интернет-облуживания, что создает большое неудобство и существенно снижает скорость финансовых операций. Кроме того, постоянное обращение в банк требует больших затрат времени, отвлекает банковских работников от обработки массивов данных, повышает вероятность сбоев в операционных системах банка. В связи с этим предметом данного исследования выступают экономические отношения, формирующиеся в процессе онлайн-обслуживания, и обеспечение их защиты.
Цель работы заключается в теоретическом и практическом обосновании необходимости и поиска эффективных механизмов повышения информационной безопасности банковского обслуживания. В соответствии с поставленной целью в работе сформулированы и последовательно решены следующие задачи:
- исследовать понятийный аппарат и основные угрозы в области обеспечения безопасности информации;
- рассмотреть безопасный режим банка;
- исследовать обеспечение защиты информации при использовании интернет-банкинга;
- изучить механизмы повышения информационной безопасности систем интернет – банкинга.
Предметом исследования – системы защиты информации в банках.
Объектом исследования являются системы защиты информации.
Теоретико-методологическую основу исследования составили научные труды, посвященные анализу системы защиты информации. При разработке и решении поставленных задач использовались методы сравнительного анализа, а также группировки.
Структура работы. Работа включает введение, две главы, заключение и список литературы. В первой главе рассматриваются общие сведения о защите информации, основные угрозы и принципы построения систем защиты информации. Во второй главе рассматривается система защиты информации в банковской системе.
Научно-методической основой работы служат труды отечественных и зарубежных ученых в области IT-индустрии. При выполнении работы использовалась научно-методическая литература, публикации в периодической печати и научных изданиях, материалы Интернет-порталов.
Глава 1. Теоретические основы системы защиты информации
Понятие информационной безопасности
Комплексная система защиты иформации (КСЗИ) – это совокупность организационных и инженерно-технических мероприятий, направленных на обеспечение защиты информации от разглашения, утечки, несанкционированного доступа и модификации[1]. Создание КСЗИ, в соответствии с требованиями системы нормативных документов России в области технической защиты информации, обусловлено необходимостью обработки предприятием информации с ограниченным доступом на компьютерах, не подключенных к сети, и в сетях предприятия[2].
При создании комплексной системы защиты конфиденциальной информации необходимо защищать информацию во всех фазах ее существования - документальной (бумажные документы, микрофильмы и т.п.), электронной, содержащейся и обрабатываемой в автоматизированных системах (АС) и отдельных средствах вычислительной техники (СВТ), включая персонал, который ее обрабатывает - всю информационную инфраструктуру[3].
Система защиты информации – комплекс средств, направленных на повышение уровня защищенности информационной системы. Этот комплекс включает мероприятия организационного и инженерно-технического характера. Организационные средства являются основой системы защиты информации, а инженерно-технические применяются по мере необходимости.
Организационные средства защиты информации – это разработка внутренней документации, которая четко регламентирует все аспекты функционирования системы защиты информации[4].
Инженерно-технические средства защиты информации – совокупность специальных технических средств, которые повышают уровень безопасности информационной системы[5].
К информации с ограниченным доступом относится[6]:
- информация, составляющая государственную тайну;
- служебная информация;
- информация, требования, к защите которой установлены Законами России, в том числе конфиденциальная информация о физических лицах (персональные данные) [7].
Если на предприятии создана КЗИ, то система защиты материальных средств создается автоматически. Главная цель создания КСЗИ – предотвращение нанесения ущерба интересам предприятия или по крайней мере минимизация этого ущерба и в дальнейшем исключения повторения подобных случаев[8].
Комплексная система защиты информации — название внушительное и серьезное, суть такой системы заключается в том, что она является своеобразным «щитом» для компании и сможет предохранить от несанкционированного доступа к информации, от внедрения специальных электронных устройств и вирусных программ, от утечки данных по техническим каналам, а также от многих других рисков и угроз[9].
КСЗИ разрабатывается для каждого конкретного случая, с учетом особенностей и финансовых возможностей заказчика, а перед ее внедрением проводится точнейший анализ того, какие подразделения нуждаются в усиленной защите. Не зря система называется комплексной — ведь она должна охватить целый ряд задач и учесть все особенности конкретного предприятия. В последнее время компании все больше интересуются КСЗИ, причем этот спрос рождается вовсе не предложением, а реальными угрозами и участившимися атаками. Но, к сожалению, многие задумываются об установке КСЗИ слишком поздно[10].
Некоторые компании вообще не уделяют должного внимания информационной безопасности[11]. Стоит ли потом удивляться, откуда конкурент узнал цену, предназначенную для тендера, и предложил более выгодные условия, а контракт буквально ушел из под носа; как «утекла» технология производства, и почему массово переманивают ваших клиентов. Неприятным сюрпризом может стать потеря данных на внезапно отформатированных жестких дисках и неработающий сайт, подвергшийся DoS-атакe[12].
В борьбе с вами соперники в бизнесе или недоброжелатели могут использовать самое высокотехнологичное специальное оборудование — всевозможные бинокли, прослушивающие устройства и маяки, инфракрасные системы и приборы ночного видения, а также — проводить информационно-психологическое воздействие и дезинформацию. Это все напоминает фильм про агента «007». Но, увы, это не выдумки, а реальность борьбы за секретные данные. Когда на чаше весов находится важная информация, от которой зависит успех компании, не стоит дожидаться, пока грянет гром. Потому что в какой-то момент даже служба безопасности может оказаться бессильной, а владельцам придется долго искать виновных и ломать голову, откуда же произошла утечка?
Можно подумать, что КСЗИ нужны только для ИТ-компаний и крупных предприятий. Но это не совсем верно. Например, шеф-повару ресторана вполне может пригодиться система защиты информации — оригинальные рецепты, поставщики продукции, расчеты стоимости блюд также представляют немалую ценность. Это говорит о том, что на каждую профессиональную тайну, если она способна принести прибыль, всегда найдутся желающие ее раскрыть. Не стоит также сбрасывать со счетов и шантаж[13].
Поэтому, к примеру, банковские структуры никогда не экономят на безопасности. Ведь речь идет об огромных денежных операциях и, в случае взлома или утечки данных, потери могут быть слишком высоки. Если же вернуться к компаниям, занимающимся программным обеспечением, то угрозы могут исходить из самых неожиданных мест. Информация буквально идет по проводам, а за территорией предприятия они превращаются в легкодоступный источник утечки. В этом случае лучше изолировать физические выходы, что и будет учтено при проектировании системы безопасности[14].
В век информационных технологий, когда главной ценностью становятся даже не драгоценные металлы или полезные ископаемые, а информация, основной задачей становится ее защита и контроль доступа к ней. Информационная безопасность по этой причине является приоритетным направлением для развития многих сфер деятельности.
С конца 70-х годов прошлого столетия широкое распространение получают системы криптозащиты информации, то есть ее преобразование с возможностью последующей дешифровки с помощью секретного параметра, ключа к шифру. При этом ключом может служить не только пароль, но и специальный код на определенном носителе, и даже биометрические данные индивидуума. От надежности методов криптозащиты напрямую зависит сохранность информации, устойчивость к преступным посягательствам на информацию, и как следствие, стабильность работы всей системы. Появление сети интернет, широкое внедрение компьютерных технологий в повседневную жизнь человека дало толчок для развития и совершенствования систем информационной безопасности, как для бизнеса, так и для частных лиц[15].
Наиболее остро вопрос контроля доступа к личной информации стоит в банковской сфере, где безопасность информации является главным показателем надежности банка. По некоторым оценкам экспертов ежегодно с карточных счетов российских граждан «уплывает» в карманы злоумышленников до 100 тыс. долларов. Поэтому постоянное совершенствование методов обеспечения безопасности транзакций, конфиденциальности обмена данными между банковскими серверами и терминалами, защита информации от различного рода копирования и перехвата, но в то же время надежной идентификацией всех участников процесса, это жизненная необходимость в работе каждого банка[16].
С развитием процесса автоматизации производства направление информационной безопасности и контроля доступа становится стратегически важным даже в отношении тех предприятий, чья деятельность напрямую не связана с компьютерными или интернет-технологиями. Это может относиться как к контролю доступа в помещение, так и доступа к определенной информации. Причем требования к способам контроля доступа на крупном предприятии не менее жесткие, чем для электронной коммерции: помимо высокой точности аутентификации важна скорость обработки данных об объекте.
Выделяют 4 вида автоматизированной идентификации объекта[17]:
- Оптическая
- Магнитная
- Радиочастотная
- Биометрическая
Самый простой и в то же время самый распространенный способ идентификации — оптический. В его основе лежит принцип распознавания видимых символов. Широко применяем в штрих-кодах и похожих системах. Низкая надежность данного способа идентификации не позволяет защищать особо важную информацию, поскольку легко поддается подделке, поэтому используется в торговле для внутреннего учета.
Более прогрессивный способ идентификации — магнитный, основан на считывании нанесенных на магнитную полосу спецсимволов. Карты с магнитной полосой достаточно популярны как в качестве платежного инструмента, так и для контроля доступа в помещение. Однако карты с магнитной полосой в настоящее время не могут полностью защитить пользователя от незаконного копирования информации злоумышленниками. Мошенники, занимающиеся кражей данных с карт, так называемые «кардеры», на данный момент располагают целым арсеналом средств для считывания информации с магнитных полос и подделкой карт. Поэтому помимо магнитных полос карты оснащают дополнительными средствами защиты[18].
Среди современных средств защиты информации от посягательств выделяют радиочастотные RFID и биометрические системы идентификации. Они обладают высокой устойчивостью к взлому и краже информации.
Карты с RFID чипом относятся к бесконтактным смарт-картам, в основу действия которых заложен принцип кодирования карт при помощи нанесения на чип RFID-метки. Такие карты отличаются высокой надежностью, большим объемом записываемой информации, долговечностью. Использование нескольких уровней криптозащиты делают практически невозможным их подделку. Запас прочности самого RFID-чипа огромен, срок эксплуатации RFID карт почти не ограничен, при этом стопроцентная идентификация может производиться даже через грязь, воду, пар, краску, пластмассу, древесину и даже сквозь металл. Уникальность RFID-карт состоит еще и в том, что благодаря высокой скорости считывания меток, RFID-карты могут применяться в системах контроля доступа автотранспорта[19].