Файл: «Система защиты информации в банковских системах»(Особенности информационной безопасности банковских и платежных систем).pdf

ВУЗ: Не указан

Категория: Курсовая работа

Дисциплина: Не указана

Добавлен: 17.06.2023

Просмотров: 216

Скачиваний: 7

ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.

Введение

Со времени возникновения в истории человечества платёжных средств, возникла и необходимость в их безопасном хранении. В том или ином виде банки возникли вместе с возникновением товарно-денежных отношений между людьми.

Вместе с возникновением банков возник и преступный интерес к их деятельности. Банки, как хранилища не только большого количества денег, но и информации, предметов искусства и прочего всегда привлекали к себе мошенников самого разного уровня и специализаций.

В наши дни, в связи с бурным развитием информационных технологий, и возникновением системы электронных платежей, появилась и принципиально новая сфера мошенничества. Объектами компьютерных атак стали денежные средства и информация, доступ к которой можно получить через сеть Интернет. Для совершения подобных преступлений нет необходимости непосредственного проникновения в банк, достаточно иметь под рукой компьютер и доступ к Интернету.

Следствием развития компьютерных сетей стало появление во второй половине ХХ столетия электронных безналичных расчётов. В настоящее время эти расчёты перешли на принципиально новый уровень в связи со значительным увеличением скорости перечислений и возможности их компьютерной обработки. Для удобства пользователей, в последствии, возникают и электронные эквиваленты классических денежных средств.

При использовании электронных сетей в сфере бизнеса и банковского дела имеет много достоинств и удобств: услуги могут предоставляться 24 часа в сутки независимо от места нахождения клиента, рекламная информация о производителе услуг очень быстро попадает в Сеть.

Все коммерческие документы создаются в цифровом виде, могут быть обработаны различными приложениями и т.д.

К сожалению, возникновение новых средств посредничества между покупателями и продавцами породило и новый вид преступности. Компьютерная сеть в качестве трафика между покупателем и продавцом доступна не только для правомерных трансакций, но и для преступной деятельности. Важнейшим условием для дальнейшего развития электронных платежей является обеспечение безопасности перемещения потоков информации и денежных средств.

Несмотря на то, что Россия вступила в сферу интернет бизнеса несколько позже западных стран, в настоящий момент трудно говорить о её отставании на этом направлении бизнеса.

Отставание России от лидеров в области информационных технологий не носит катастрофического характера, но позволяет избегать ошибок, совершаемых непосредственно разработчиками программного обеспечения. В частности ошибки, связанные с обеспечением информационной безопасности, благодаря которым появляется возможность различного мошенничества.


Именно поэтому при создании и модернизации электронных платёжных систем особое внимание следует уделять их безопасности. Постоянное обновление электронных платёжных систем требует непрерывного и качественного обновления их безопасности, именно этому вопросу и посвящена данная курсовая работа.

Глава 1. Особенности информационной безопасности банковских и платёжных систем

1.1 Особенности информационной безопасности банковских систем

Особенности стратегии обеспечения безопасности банковских и платёжных систем состоят в том, что должна сочетать в себе высокую надёжность защиты информации и, одновременно, обеспечивать простоту доступа. Это связано с высокой степенью публичности банков, а так же обеспечением простоты доступа для клиентов.

Система информационной безопасности обычной компании строится, главным образом, на обеспечении безопасности коммерческой информации, интересной лишь узкому кругу заинтересованных лиц и, как правило, не связанной непосредственно с денежными средствами, что существенно снижает спектр потенциальных угроз. Система же информационной безопасности банковской или платёжной системы сталкивается с гораздо большим количеством потенциальных угроз в связи со своей высокой ликвидностью.

При проектировании систем банковских и платёжных систем необходимо учитывать следующие факторы:

  1. Прежде всего, необходимо учитывать, что хранимая в этих системах информация представляет собой не что иное, как реальные деньги. На основании этой информации могут производиться денежные расчёты между как физическими, так и юридическими лицами, получение и погашение кредитов, суммы, переводимые через электронные платёжные системы, могут быть весьма крупными. Естественно, что незаконное использование подобной информации может привести к существенным убыткам, а зачастую, и банкротству целых компаний. Эта особенность существенно расширяет круг преступников покушающихся именно на банки и электронные платёжные системы.
  2. Хранящаяся в банковских и платёжных системах информация является конфиденциальной и затрагивает интересы большого количества людей – клиентов банка или платёжной системы. Обеспечение конфиденциальности этой информации является непосредственной задачей банка и неразрывно связано с его репутацией со всеми вытекающими отсюда последствиями
  3. Особые требования к системе безопасности банка предъявляются и в условиях возникновения чрезвычайных ситуаций. Это связано с тем, что банк несёт ответственность не только за свои средства, но и за средства клиентов, то же относится и к платёжным системам.
  4. Широта спектра предоставляемых услуг, в частности услуг удалённого доступа, существенно влияет на конкурентоспособность банка, что так же повышает требования к системе информационной безопасности.
  5. Конфиденциальная информация, хранимая в банках о своих клиентах, также расширяет круг возможных злоумышленников, заинтересованных в хищении и или порче этой информации.

Преступления в банковских системах тоже имеют свои особенности.

Многие преступления, совершаемые в банковской сфере, остаются неизвестными вследствие нежелания банков наносить ущерб своей репутации, что неизбежно повлечёт за собой потерю клиентов. Нежелание банков предавать огласке неприятные инциденты так же усложняет своевременное проведение защитных мероприятий в области информационной безопасности.

Следует отметить, что желание совершить преступление и способность его осуществить не всегда совпадают. Большинство преступлений, связанных с системами безопасности банков, носят мелкий характер и довольно легко подлежат раскрытию. Большинство подобных преступлений совершается либо самими служащими банков, либо лицами, имеющими поверхностные знания о системах безопасности и серьёзного ущерба деятельности банка не приносят.

Наряду с этим существуют и целые преступные группы обладающие достаточным объёмом специальных знаний позволяющих им не только совершать хищения денежных средств, но и полностью парализовать работу банка или платёжной системы

Именно по этой причине система защиты автоматизированных систем обработки информации банков (АСОИБ) является столь многогранной.

В большинстве случаев АСОИБ обрабатывает большое количество запросов, поступающих в реальном времени не требующих по отдельности большого количества системных ресурсов, однако, в совокупности они могут быть обработаны только высокопроизводительной системой.

В АСОИБ хранится и обрабатывается большое количество конфиденциальной информации. Утечка, уничтожение или потеря этой информации может привести к крайне нежелательным последствиям, поэтому АСОИБ должны оставаться относительно закрытыми, автономными и использовать для своей работы специфическое программное обеспечение, не доступное для широкого круга потребителей.

Особое внимание следует уделять автономности и надёжности АСОИБ, поскольку именно стабильность, надёжность и безопасность работы системы защиты является важнейшим критерием оценки её работоспособности.

Можно выделить два типа задач решаемых АСОИБ:

  1. Аналитические, не требующие больших системных ресурсов и занимающие примерно 10-20% мощности всей системы. К этому типу задач относятся задачи планирования, анализа банковских счетов и т.д. Эти задачи могут требовать для решения длительного времени, поэтому подсистема, обеспечивающая их выполнение, должна быть надёжно изолирована от основной системы обработки информации.
  2. Повседневные, непосредственно определяющие размер и мощность системы защиты банка. К этому типу задач относится непосредственная обработка текущих банковских операций, переводы средств, корректировка счетов и т.д. В этом случае напротив имеет ценность оперативность обработки информации, что, однако не должно сказываться на безопасности её передачи. С другой стороны, подобная информация быстро утрачивает актуальность и не нуждается в длительном хранении. Например, при оплате какой-либо услуги через электронную платёжную систему после успешного завершения трансакции ценность этой информации минимальна. Поэтому, зачастую, бывает достаточным обеспечить безопасность платежа в момент его прохождения через платёжную систему. Несмотря на это, защита самого процесса обработки и конечных результатов должна быть постоянной.

Исходя из этого, можно выделить следующие особенности защиты информации в банковских и электронных платёжных системах:

  1. Оперативное и полное восстановление данных в случае непредвиденных обстоятельств. В большинстве случаев защита информации от разрушения осуществляется резервным копированием, хранением на внешних носителях, использованием средств бесперебойного электропитания.
  2. Обеспечение доступа пользователей к хранимой и обрабатываемой информации. Для решения этих задач широко используются различные программные системы управления доступом, которые часто включают в себя и антивирусные средства. Следует отметить, что финансовые организации уделяют большое внимание именно безопасности Сетей.

К отличительным особенностям защиты Сетей в финансовых организациях можно отнести использование защиты портов подключения через коммутируемые линии связи и использование адаптированного программного обеспечения для обеспечения доступа к сетям. Так же можно отметить использование антивирусного программного обеспечения, оконечное и канальное шифрование передаваемых данных, аутентификация сообщений.

Наряду с этим, в финансовых организациях большое внимание уделяется физической защите оборудования и помещений, что, в комплексе, и составляет систему охраны банковской информации.

Из всего выше сказанного следует, что для защиты АСОИБ не достаточно использовать стандартные методы защиты, разработанные для прочих предприятий и учреждений.

Защита информационных ресурсов

Защита информационных ресурсов осуществляется от:

  1. Несанкционированного доступа - путём создания систем защиты информации, представляющих собой комплекс программно-технических средств и организационных решений.

К организационным решениям относятся:

а) обеспечение охраны объекта, на котором расположена защищаемая АС с целью предотвращения хищения СВТ, информационных носителей, а также НСД к СВТ и линиям связи;

б) выбор класса защищенности АС в соответствии с особенностями обработки информации и уровнем ее конфиденциальности;

в) организация учета, хранения и выдачи информационных носителей, паролей, ключей, ведение служебной документации, приемку включаемых вАС новых программных средств, а также контроль за ходом технологического процесса обработки конфиденциальной информации;

г) разработка соответствующей организационно-распорядительной документации.


Для повышения безопасности подключение к глобальным вычислительным сетям следует осуществлять только по необходимости с соблюдением необходимых мер безопасности.

  1. Непреднамеренных и преднамеренных сбоев в работе системы электроснабжения, СВТ и прочих систем, ведущих к потере или искажению информации.

Необходимое для нормального функционирования информационной и телекоммуникационной систем программное обеспечение (ПО) должно быть оформлено в виде перечня и утверждено руководителем предприятия.

Установка любого программного обеспечения на рабочие места должна производиться исключительно специалистами ИТО. Самостоятельная установка программного обеспечения на рабочее место недопустима.

Резервное копирование защищаемой информации должно производиться согласно графику утверждённому администратором ЛСВ. Так же для защиты информации и предотвращения сбоев в работе системы необходимо применять автономные и бесперебойные источники электропитания.

  1. Искажения, повреждения и перехвата информации, передаваемой по каналам связи.

В целях обеспечения безопасности передача конфиденциальной информации с грифом « Для служебного пользования» по открытым каналам связи с использованием факсимильной связи, электронной почты и прочего без использования средств шифрования запрещается.

Часто, для документооборота банка с другими организациями, используется электронная почта. По истечении рабочего дня места размещения коммутационного оборудования должны опечатываться, доступ к этим местам посторонних лиц без сопровождения сотрудника службы безопасности , или другого соответствующего лица запрещён.

Сотрудниками соответствующих отделов должен регулярно проводиться визуальный осмотр телекоммуникационных средств, с целью выявления несанкционированных подключений электронных носителей.

  1. Нелегальное ознакомление с информацией.

Места хранения информации, не предназначенной для общего пользования, должны быть изолированы от общего доступа.

Экран монитора на рабочем месте необходимо устанавливать таким образом, чтобы просмотр информации выводимой на дисплей был затруднён для посторонних лиц.

В случае необходимости покинуть рабочее место, сотрудник обязан заблокировать экран монитора.

Защита от вирусов

Чаще всего антивирусная защита банковской системы строится по иерархическому принципу: