Файл: Система защиты информации в банковских системах(Особенности информационной безопасности банковских и платежных системах).pdf
Добавлен: 17.06.2023
Просмотров: 107
Скачиваний: 4
СОДЕРЖАНИЕ
ГЛАВА 1. ОСОБЕННОСТИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ БАНКОВСКИХ И ПЛАТЕЖНЫХ СИСТЕМАХ
ГЛАВА 2. БЕЗОПАСНОСТЬ ЭЛЕКТРОННЫХ ПЛАТЕЖЕЙ
2.1.Электронные платежи в банке
2.2. Безналичные электронные клиентские расчеты с использованием «Клиент-Банк»
2.3. Система телефонного банкинга
2.4. Безналичные электронные расчеты с использованием банковских карт
ГЛАВА 3. БЕЗОПАСНОСТЬ ЭЛЕКТРОННЫХ ПЛАТЕЖЕЙ
ГЛАВА 4. ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ БАНКОВ: МЕРЫ, ПРИНЦИПЫ, УГРОЗЫ
4.1. Угрозы информационной безопасности банка
Рисунок 2 кредитная карта
Дебетовая карта. В странах бывшего Советского Союза платежные пластиковые карты развивались иначе: в первую очередь появились зарплатные (т.е. дебетовые карты), а затем отечественные банки начали развивать кредитные карты. Из-за низкой популярности их обычно предлагают вместе с какой-либо услугой или продуктом. Дебетовые карты используются исключительно как инструмент доступа к собственному счету в банке и не предусматривают кредита. В последнее время появляются универсальные карты – дебетовые карты с овердрафтом, т.е. с возможностью перерасхода денег на счету.
Рисунок 3 дебетовая карта
С разрешенным овердрафтом. Банковская карта с разрешенным овердрафтом – это усовершенствованная дебетовая карта, особенностью которой является возможность превышения имеющихся на счете собственных средств. Превышение средств осуществляется за счёт кредита, который автоматически открывается на карте, когда сумма совершаемой операции превосходит положительный остаток.
Размер овердрафта является фиксированным и оговаривается в договоре на открытие карты. Карты с разрешенным овердрафтом часто бывают привязан к счетам зарплатных проектов, в связи с чем выданный кредит погашается автоматически при перечислении заработной платы. Также, по счёту могут производиться автоматические платежи, несмотря на отсутствие средств, что будет также приравниваться к кредиту.
Комиссия за кредит начинает начисляться с момента превышения лимита собственных средств до зачисления на счёт суммы необходимой суммы с учётом комиссии. Как правило, процентные ставки за операции овердрафта выше, чем по обычным кредитам.
Рисунок 4 карта с разрешенным овердрафтом
Предоплаченные. Предоплаченная банковская карта – это карта, на которой в момент её покупки имеется определенная сумма, а расчеты производятся от лица банка-эмитента. Предоплаченная карта позволяет совершать покупки или оплачивать услуги, по такому же принципу, что и обычная дебетовая карта.
Банк, выпустивший карту, может внести ограничения по использованию карты, например: короткий срок действия карты, по истечении которого нельзя будет воспользоваться ей или её заменить; невозможность вернуть средства в случае утраты карты или после окончания её срока действия отсутствие возможность обналичивать средства; невозможность пополнить счёт карты. Если сумма на предоплаченной карте не превышает 15 000 рублей, то банк не требует идентификации клиента.
Предвыпущенные. Предвыпущенная банковская карта – это карта, которая выпускается ещё до написания клиентом заявления на получение карты. Такая карта изначально не содержит информацию о её владельце, на ней не указаны ФИО. Карта прикрепляется к счёту, который открывается на конкретного клиента. Такая карта дает возможность совершать все те же операции, что и обычная дебетовая, в том числе пользоваться онлайн-банком, получать проценты на остаток средств. Однако в целях безопасности не рекомендуется использовать такие карты как основные и хранить на них большие суммы, так как проведение оплаты по ним не требует предъявления документов. Кроме того, карты могут не приниматься для бронирования отелей, аренды автомобилей и оплаты в некоторых интернет-магазинах.
Предвыпущенные карты очень удобны, когда необходимо срочно оформить карту, ведь в этом случае процедура займёт несколько минут. Также их часто используют банки для выплаты процентов или для пополнения кредитного счёта.
Существует несколько признаков, по которым можно проводить классификацию пластиковых карт. Так, например, все карточки можно классифицировать по материалу, используемому для их изготовления. В этом случае карточки могут быть:
- бумажными – обычно применяются в виде пропусков, удостоверений, телефонных карт, карт для метрополитена;
- пластиковыми – эти карты получили наибольшее распространение среди банковских карточек; они более долговечны, нежели бумажные карты, и легко поддаются машинной обработке;
- металлическими – в настоящее время такие карты практически не используются.
ГЛАВА 3. БЕЗОПАСНОСТЬ ЭЛЕКТРОННЫХ ПЛАТЕЖЕЙ
В последние годы электронные технологии активно внедряются в бизнес-процессы. Необходимость всегда иметь под рукой нужную информацию заставляет многих руководителей задумываться над проблемой оптимизации бизнеса с помощью компьютерных систем. Но если перевод бухгалтерского учета из бумажной формы в электронную давно осуществлен, то взаиморасчеты с банком все еще остаются недостаточно автоматизированными: массовый переход на электронный документооборот только предстоит.
Сегодня многие банки имеют те или иные каналы для удаленного осуществления платежных операций. Отправить "платежку" можно прямо из офиса, воспользовавшись модемным соединением или выделенной линией связи. Стало реальностью выполнение банковских операций через Интернет - для этого достаточно иметь компьютер с доступом в глобальную сеть и ключ электронной цифровой подписи (ЭЦП), которая зарегистрирована в банке.
Удаленное обслуживание в банке позволяет повысить эффективность частного бизнеса при минимальных усилиях со стороны его владельцев. При этом обеспечиваются: экономия времени (не нужно приходить в банк лично, платеж можно выполнить в любое время); удобство работы (все операции производятся с персонального компьютера в привычной деловой обстановке); высокая скорость обработки платежей (банковский оператор не перепечатывает данные с бумажного оригинала, что дает возможность исключить ошибки ввода и сократить время обработки платежного документа); мониторинг состояния документа в процессе его обработки; получение сведений о движении средств по счетам.
Однако, несмотря на очевидные преимущества, электронные платежи в России пока не очень популярны, поскольку клиенты банков не уверены в их защищенности. Это прежде всего связано с распространенным мнением, что компьютерные сети легко может "взломать" какой-нибудь хакер. Этот миф прочно укоренился в сознании человека, а регулярно публикуемые в СМИ новости об атаках на очередной веб-сайт еще сильнее укрепляют это мнение. Но времена меняются, и электронные средства связи рано или поздно заменят личное присутствие плательщика, желающего сделать безналичный банковский перевод с одного счета на другой.
На мой взгляд, безопасность электронных банковских операций на сегодняшний день можно обеспечить. Гарантией этому служат современные методы криптографии, которые используются для защиты электронных платежных документов. В первую очередь это ЭЦП, соответствующая ГОСТ 34.10-94. С 1995 г. она успешно применяется в Банке России. Вначале он ввел систему межрегиональных электронных расчетов всего в нескольких регионах. Сейчас она охватывает все регионы Российской Федерации и представить без нее функционирование Банка России практически невозможно.
Электронно-цифровая подпись - гарантия безопасности. Согласно типовому договору между банком и клиентом наличие под электронным документом достаточного количества зарегистрированных ЭЦП уполномоченных лиц служит основанием для совершения банковских операций по счетам клиента. В Федеральном законе от 10.01.02 г. N 1-ФЗ "Об электронной цифровой подписи" определено, что ЭЦП должна формироваться и проверяться сертифицированным ФАПСИ программным обеспечением. Сертификация ЭЦП является гарантией того, что данная программа выполняет криптографические функции согласно нормативам ГОСТ и не совершает деструктивных действий на компьютере пользователя.
Чтобы проставить на электронный документ ЭЦП, необходимо иметь ее ключ, который может храниться на каком-нибудь ключевом носителе информации. Современные ключевые носители ("e-Token", "USB-drive", "Touch-Memory") по форме напоминают брелоки, и их можно носить в связке обычных ключей. В качестве носителя ключевой информации можно также использовать дискеты.
Рисунок 5 электронная цифровая подпись
Каждый ключ электронной цифровой подписи служит аналогом собственноручной подписи уполномоченного лица. Если в организации бумажные "платежки" обычно подписывают директор и главный бухгалтер, то в электронной системе лучше всего сохранить тот же порядок и предусмотреть для уполномоченных лиц разные ключи электронной цифровой подписи. Впрочем, можно использовать и одну электронную цифровую подпись - данный факт необходимо отразить в договоре между банком и клиентом.
Техническую основу обеспечения безопасности современных автоматизированных информационных систем, в том числе и систем электронной коммерции и автоматизированных банковских систем составляют методы, носящие название криптографических[2]. Использование криптографических технологий позволяет обеспечивать выполнение, например, таких требований безопасности, как конфиденциальность, целостность и аутентичность данных, анонимность клиентов и многие другие.
Криптография означает тайнопись или науку о разработке методов защиты сообщений. Методы защиты сообщений называются криптографическими алгоритмами или иногда просто шифрами. Входными данными для начала работы криптографического алгоритма являются исходный текст сообщений и ключ зашифровывания. Ключом может является некоторое слово, число или просто произвольный набор символов. Главное, чтобы значение ключа хранилось в секрете, и его было бы невозможно угадать случайным образом или подобрать. Процесс выполнения криптографического алгоритма также называют процессом зашифровывания сообщения. В результаты на выходе алгоритма получается зашифрованный текст, или как его еще называют, криптограмма. Текст криптограммы является абсолютно нечитаемым обычными людьми. Внешне такой текст выглядит как беспорядочный набор букв, не имеющий ни какого смысла. Чтобы извлечь информацию из криптограммы, необходимо выполнить обратный процесс ее преобразования в исходное сообщение. Такой процесс называется расшифровыванием. Расшифровать криптограмму, то есть прочесть секретное сообщение, может только тот человек, который знает секретный ключ расшифровывания.
ГЛАВА 4. ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ БАНКОВ: МЕРЫ, ПРИНЦИПЫ, УГРОЗЫ
В нынешнем мире хранение банковской информации, многократно выросли, что, в свою очередь, не может не привлечь внимание рост преступного интереса к ней.
Необходимость обеспечивать безопасность хранения данных, регулярная смена и проверка паролей и контроль вероятности утечки информации стали неотъемлемой частью работы каждого банка.
Для совершения взлома и кражи банковской системы злоумышленнику вовсе не обязательно быть в банке. Осуществить взлом банка пользователь сети может со своего персонально компьютера.
Банковские системы и базы данных содержат конфиденциальную информацию о клиентах банка, состоянии их счета и проведение различных операций.
Очевидно необходимо сохранять информационную безопасность этих данных, но без быстрого и своевременного обмена и обработки информации банковская система даст сбой. Необходима целая структура, которая сможет обеспечить защиту информации и конфиденциальность клиентской базы.
Последовательность мер по защите информации:
- разработка и оценка конфиденциальной информации;
- оборудовать объект для осуществления защиты;
- контроль эффективности принятых мер.
Банк так же может полноценно осуществлять свою деятельность лишь в случае налаженного обмена внутренними данными и надеждой системой защиты.
Специалисты в области обеспечения информации безопасности банка могут создавать как локальные системы, так и централизованные программы защиты.
Выбирая форму защиты, нужно учитывать все возможные способы взлома и утечки информации. Профессиональный и грамотный подход к обеспечению безопасности подразумевает слаженную работу всех отделений банка.
Каждое направление включает в себя несколько этапов работы. Рассмотрим пример, контроль обмена данных подразумевает не только обработку скорости передачи нужной информации, но и своевременное уничтожение сведений. Такая мера предполагает строгий контроль обработки данных и их защиту.
Доступ к данным банка защищается с помощью паролей или электронными ключами. Работа с персоналом которые используют банковскую систему включает в себя проведение инструктажей и строгого контроля выполнения всех необходимых мер и требований.