Файл: Система защиты информации в банковских системах ( ПОДХОДЫ К ХРАНЕНИЮ И ЗАЩИТЕ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ В БАНКОВСКИХ СИСТЕМАХ).pdf
Добавлен: 29.06.2023
Просмотров: 46
Скачиваний: 2
СОДЕРЖАНИЕ
ГЛАВА 1. ОСОБЕННОСТИ СИСТЕМЫ ЗАЩИТЫ В БАНКОВСКИХ СИСТЕМАХ
1.1 ПОДХОДЫ К ХРАНЕНИЮ И ЗАЩИТЕ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ В БАНКОВСКИХ СИСТЕМАХ
1.2. МОДЕЛЬ ОЦЕНКИ ЗАЩИЩЕННОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ
ГЛАВА 2. ПРОБЛЕМЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В БАНКОВСКОЙ СИСТЕМЕ
2.2. ОСОБЕННОСТИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ БАНКОВСКИХ СИСТЕМ И МЕРЫ ПО ЕЕ ОБЕСПЕЧЕНИЮ
ВВЕДЕНИЕ
Отрасль информационных и телекоммуникационных технологий в России развивается высокими темпами, ежегодно прирастая примерно на 25%, что существенно выше среднегодовых темпов роста ВВП и темпов роста отдельных отраслей. Информационные технологии (ИТ) и информационные услуги стали достаточно существенной статьей российского несырьевого экспорта.
По ряду параметров в этой сфере Россия не сильно отличается от некоторых европейских стран, где доля сектора ИТ составляет около 5% ВВП, около 30% населения никогда не пользовались Интернетом и только 38% граждан использовали эту сеть при получении государственных услуг (в основном для получения формы заявления). Однако сводные индексы и межстрановые сопоставления до сих пор характеризуют Россию в рассматриваемом здесь плане не лучшим образом, что говорит о недостаточном уровне развития в стране данной отрасли, об ее отставании от мировых лидеров в этой сфере, а также о нереализованности потенциала уже существующих инфраструктур и технологий.
Становится очевидным, что для дальнейшего развития информационных технологий в России необходимо устранить целый ряд существующих барьеров:
— одним из факторов, негативно влияющих на уровень распространения ИТ, является недостаточно высокий уровень социально-экономического развития многих субъектов РФ;
— препятствующим фактором является недостаточный уровень распространения в обществе базовых навыков пользования информационными технологиями;
— следует отметить также критически высокий уровень зависимости российского рынка от зарубежной продукции в сфере ИТ. В подавляющем большинстве создаваемых информационных систем в России сегодня используются в основном зарубежные разработки. Остается низким уровень развития отечественного производства в сфере информационных и телекоммуникационных технологий, доля России на мировом рынке электроники составляет 0,5%;
— барьером, препятствующим успешному развитию отечественной промышленности в сфере ИТ, является низкий уровень правовой защиты интеллектуальной собственности;
- уровень конкуренции на российском рынке ИТ остается низким, в том числе за счет наличия существенных административных барьеров в экономике и государственном управлении.
При решении указанных проблем общество также должно быть готово к возникновению проблем иного характера. Следует отметить, что развитие и внедрение во все сферы деятельности информационных технологий влечет за собой не только повышение качества жизни и ведения бизнеса, но и порождает новые проблемы - проблемы информационной безопасности. С каждым годом увеличивается количество компьютерных преступлений, в том числе трансграничных, возросла их корыстная направленность, наносимый ими материальный ущерб. ИТ все чаще используются для совершения традиционных преступлений - хищений, вымогательств, мошенничества и террористической деятельности.
Цель: рассмотреть систему защиты информации в банковских системах
Задачи:
Изучить особенности системы защиты информации в банковских системах
Выявить проблемы защиты информации в банковских системах
Объектом исследования является система защиты информации в банковских системах
Предметом исследования является выбор средств системы защиты информации в банковских системах
Теоретической и методологической основой исследования стали книги и статьи следующих авторов работают Волков Д.И., Вахрушева М.Ю., Геращенко С.С. и др.
Структура данной работы включает в себя: введение, двух глав, заключение и список использованной литературы.
Во введении рассмотрены: актуальность темы, определяются предмет, объект, цели и задачи.
В первой главе будут рассмотрены особенности системы защиты информации в банковских системах.
Во второй главе показаны проблемы защиты информации в банковских системах.
В заключении проведены итоги.
ГЛАВА 1. ОСОБЕННОСТИ СИСТЕМЫ ЗАЩИТЫ В БАНКОВСКИХ СИСТЕМАХ
1.1 ПОДХОДЫ К ХРАНЕНИЮ И ЗАЩИТЕ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ В БАНКОВСКИХ СИСТЕМАХ
В настоящий момент, в связи с бурным ростом информационных технологий, доступностью технических и информационных ресурсов и глобальной сети, становится особенно актуальным вопрос защиты информации на стратегических объектах. [1]
Среди объектов, подвергающихся рискам, особое место занимает защита банковской информации. Когда обычный человек слышит слова «безопасность банка», ему представляются тяжелые двери банковских хранилищ, надежные сейфы, многоуровневые посты охраны и контроля.
Но в современном мире значительную часть ценностей представляют собой не материальные ресурсы, а информация. Информационная безопасность в банковских системах, так же, как и физическая, должна строится по многоуровневой схеме с контролем всех "точек входа" и использованием самых надежных технических средств. [2]
На сегодняшний день наиболее распространены три причины утечки конфиденциальной информации:
1. физический доступ к местам ее хранения и обработки;
2. использование резервных копий;
3. наиболее вероятный способ утечки конфиденциальной информации — несанкционированный доступ сотрудниками банка.
При использовании систем разделения прав только стандартных средств операционных систем у пользователей нередко существует возможность целиком скопировать базы данных, с которыми они работают, и вынести их за пределы банка. [3]
Банковская сеть, как сеть любого предприятия или организации, содержит в своем составе вполне стандартный набор объектов: рабочие станции сотрудников, инфраструктурные и специализированные серверы, сетевые шлюзы.
В настоящее время все чаще добавляются ноутбуки, смартфоны и планшеты, с которых осуществляется доступ сотрудников к банковской информационной системе. Кроме того, в банках добавляются банкоматы и платежные терминалы. [4]
Информационная система имеет также доступ для клиентов банка.
Таким образом, задача защиты информации, хотя и близка по схеме и используемым средствам к задачам, решаемым для обычной организации, также должна иметь ярко выраженную банковскую специфику. Исходя из мирового опыта и опыта отечественных специалистов, можно сказать, что для обеспечения безопасности банковской информации необходимо выработать четкую модель и политику безопасности.
Основные черты:
– обеспечить надежную и безопасную работу автоматизированной банковской системы;
– обеспечить безопасный доступ сотрудников и клиентов к банковской системе в территориально распределенной сети;
– обеспечить доступ сотрудников к внешним информационным сетям;
– обеспечить защиту банкоматов и терминалов;
– иметь возможность контроля всех процессов в системе и своевременного обнаружения любых нарушений. [5]
Сегодня на рынке имеется большое количество утилит, осуществляющих шифрование данных. Однако особенности их обработки в банках предъявляют к соответствующему ПО дополнительные требования: в системе криптографической защиты должен быть реализован принцип прозрачного шифрования и система защиты информации должна работать не с виртуальными, а с реальными разделами винчестеров, RAID-массивами и прочими серверными носителями информации, например, с хранилищами SAN. [6]
Оба этих обязательных требования существенно сужают круг подходящих для реализации защиты продуктов. Фактически сегодня на российском рынке имеется лишь несколько таких систем.
Так, самой популярной на сегодняшний день считается разработка Диасофт, кроме того, можно выделить продукты R-Style Software Lab, ПрограммБанк, Инверсия, собственные разработки и др. [7]
На сегодняшний день на рынке есть продукты, с помощью которых можно организовать надежную систему защиты информации от несанкционированного доступа и нецелевого использования.
Но, при их выборе нужно быть очень осмотрительным. В идеале этим должны заниматься собственные специалисты соответствующего уровня. Допускается использование услуг посторонних компаний. [8]
Однако в этом случае возможна ситуация, когда банку будет искусно навязано не адекватное программное обеспечение, а то, которое выгодно фирме – поставщику. В идеальном случае система информационной безопасности банка должна быть единой.
1.2. МОДЕЛЬ ОЦЕНКИ ЗАЩИЩЕННОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ
В настоящее время одной из значительных и активно развивающихся отраслей экономики Российской Федерации (РФ) является банковская деятельность. Одной из составляющих успешного развития которой является обеспечение информационной безопасности (ИБ).
И это связано не только с задачами обеспечения успешной коммерческой деятельности, конкурентоспособности и поддержанием хорошей репутацией банка, но и с экономической стабильностью финансо- вой системы РФ в целом.
Поскольку, негативные последствия сбоев в работе отдельных организаций банковской системы (БС) РФ могут привести к быстрому развитию системного кризиса платежной системы РФ, нанести ущерб интересам собственников и клиентов. [9]
Следовательно, для организаций БС РФ угрозы и инциденты, связанные с нарушением ИБ представляют существенную опасность. Для противостояния подобным угрозам и дестабилизирующим факторам и снижению потенциальных рисков, а также для обеспечения эффективности мероприятий по устранению последствий инцидентов ИБ в организациях БС РФ следует обеспечить достаточный уровень защищенности. [10]
При этом объем и виды мероприятий принимаемых организациями БС РФ для защиты информации зависит не только от желания и возможностей собственника, но и определяется рядом обязательных требований регуляторов.
В их числе – постановления и инструкции ЦБ РФ; стандарт СТО БР ИББС-1.0-2010, посвященный системе управления ИБ банка; различные международные стандарты, например, ISO 13569 «Banking and related financial services-Information security guide lines»; требования Basel II; различные требования международных платежных систем, например, стандарт Payment Card Industry Data Security Standard (PCI DSS), и другие.
Сегодня в России помимо крупнейших игроков банковского сектора существует множество небольших банков, которые в силу финансовых ограничений не могут позволить себе вкладывать значительные суммы в информационную безопасность. [11]
Тем не менее, обеспечить безопасность автоматизированных банковских систем и информационных систем банков, является необходимостью для банков любого масштаба. [12]
Следовательно, актуальным направлением является решение задач связанных с оценкой защищенности организаций банковской системы и выбором наиболее рациональных средств защиты, применение которых позволило бы при ограниченном бюджете удовлетворить обязательным требованиям регуляторов и обеспечить необходимую защищенность системы.
Анализ показывает, что БС РФ включает в себя следующие организации:
- Банк России;
- кредитные организации;
- филиалы и представительства иностранных банков.[13]
В процессе осуществления своей деятельности каждая организация из перечисленных выше групп реализует множество бизнес - процессов, которые разделяют на три категории:
- основные процессы, обеспечивающие достижение целей и задач организации БС РФ;
- вспомогательные процессы, обеспечивающие качество, в том числе обеспечение ИБ организации БС РФ;
- процессы управления, направленные на обеспечение поддержки параметров основных и вспомогательных процессов в заданных пределах и их корректировку в случае изменения внешних или внутренних условий. [14]
Для автоматизации бизнес-процессов и обработки больших объемов информации, которыми оперирует любая организация БС РФ, используются автоматизированные банковские и информационные системы, типовая модель которой может быть описана следующим элементами:
- аппаратные средства (сервера, АРМ пользователей и операторов, терминалы и т.п.); линии связи;