Файл: «Система защиты информации в банковских системах»(Особенности информационной безопасности банковских и платежных систем).pdf

ВУЗ: Не указан

Категория: Курсовая работа

Дисциплина: Не указана

Добавлен: 17.06.2023

Просмотров: 215

Скачиваний: 7

ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.

Следует отметить ещё некоторые особенности криптографических систем. Первая связана с тем, что система серверной защиты информации должна предусматривать возможность подключения и использования с уже имеющимися в банке сертифицированными криптографическими модулями.

Второй особенностью является возможность интегрирования системы защиты информации в систему физической защиты банка, офиса или серверной комнаты.

Поскольку информация хранящаяся в банках является , по сути дела, деньгами клиентов, должна быть обеспечена максимальная сохранность этой информации. Для этих целей системой безопасности предусматриваются дополнительные возможности обеспечения сохранности информации. Наиболее известной и эффективной является функция поиска повреждённых секторов на диске и исправление ошибок. Возможность приостановки и отмены процессов первоначального зашифровывания диска, его расшифровывания и перекодирования так же имеют огромное значение, но необходимо помнить , что всё это очень длительные процедуры, а любой сбой в работе системы при их выполнении чреват полной и окончательной потерей данных, перед их проведением следует уделять особое внимание надёжности источников питания и т.д.

Человеческий фактор так же имеет большое влияние на несанкционированный доступ к информации, начиная от намеренного несанкционированного копирования, до случайных действий. Уменьшение таких рисков достигается путём использования надёжных мест хранения ключей шифрования – смарт-карт или USB ключей. Оптимальным является вхождение этих токенов в состав продукта, оно позволяет не только оптимизировать затраты, но и обеспечивает полную совместимость программного и аппаратного обеспечения.

Кворум ключей так же является важной функцией, позволяющей минимизировать влияние человеческого фактора на надёжность системы защиты. Суть его заключается в разделении ключа шифрования на несколько частей, каждая из которых отдается в пользование одному ответственному сотруднику. Для подключения закрытого диска требуется наличие заданного количества частей. Причем оно может быть меньше общего числа частей ключа. Такой подход позволяет обезопасить данные от нецелевого использования ответственными сотрудниками, а также обеспечивает необходимую для работы банка гибкость

Защита резервных копий.

Необходимость резервного копирования так же не вызывает сомнений, оно позволяет свести к минимуму или вовсе избежать убытков в случае порчи или утери информации. Максимальная эффективность резервного копирования достигается при хранении носителей с резервными копиями данных не в серверной комнате, или даже не в офисе банка, а в специально отведённом для хранения месте. Для повышения безопасности резервные копии так же следует защищать при помощи криптографии и метода кворума ключей, в этом случае, храня ключи безопасности в положенном месте либо у себя лично, офицер, обеспечивающий безопасность, может спокойнее передавать резервные копии техническому персоналу.


Основная сложность в организации криптографической защиты резервных копий заключается в необходимости разделения обязанностей по управлению архивированием данных. Настраивать и осуществлять сам процесс резервного копирования должен системный администратор или другой технический сотрудник. Управлять же шифрованием информации должен ответственный сотрудник — офицер безопасности. При этом необходимо понимать, что резервирование в подавляющем большинстве случаев осуществляется в автоматическом режиме. Решить эту проблему можно только путем «встраивания» системы криптографической защиты между системой управления резервным копированием и устройствами, которые осуществляют запись данных (стримеры, DVD-приводы и т.п.).

Из этого следует, что криптографические продукты должны иметь возможность работы с устройствами, использующимися для создания резервных копий.

В настоящее время существует три типа продуктов, уменьшающие возможность НСД. К первому типу относятся специальные устройства. Такие аппаратные решения обеспечивают надёжное шифрование, обеспечивают высокую скорость работы, однако имеют высокую стоимость и ряд других недостатков. В частности, могут возникать сложности сопряжённые с ввозом в Россию (поскольку криптографические системы всегда имели неоднозначное назначение). Ещё один минус заключается в невозможности подключить к ним внешние сертифицированные криптопровайдеры

Вторую группу представляют модули, криптографической защиты резервных копий. Этот продукт предоставляют своим клиентам разработчики программного и аппаратного обеспечения для резервного копирования. Самая главная особенность таких систем состоит в том, что работают они только со «своим» стандартным ПО, или накопителями. Кроме этого, база данных банка постоянно увеличивается, что приводит к замене накопителей и т.д. Соединение с внешними криптопровайдерам так же не возможно, как и в первой группе, помимо этого отсутствуют средства управления ключами.

Учитывая вышеизложенные соображения, следует обратить особое внимание на системы криптографической защиты резервных копий из третьей группы. Эти продукты поддерживают широкий спектр устройств записи информации, что позволяет использовать их не только в самом банке, но и в его филиалах. Это позволяет унифицировать используемые средства защиты и уменьшить эксплуатационные затраты. К этой группе относятся специально разработанные программные, программно-аппаратные и аппаратные продукты, не привязанные к конкретным системам архивирования данных.


Однако, следует отметить, что продуктов третьей группы , в настоящее время на рынке совсем немного, не смотря на все их достоинства. Вероятнее всего, связано это с отсутствием спроса на подобную продукцию, т.к правление банков, видимо , ещё не до конца осознало важность данного вопроса.

Защита от инсайдеров.

Если рассмотреть мировую статистику, можно заметить, что финансовые потери компаний от некоторых факторов риска медленно, но верно снижаются. Но потери от некоторых рисков постоянно возрастают. Преднамеренное воровство конфиденциальной информации при помощи мобильных носителей является одним из этих факторов. Развитие технологий, позволившее создавать носители относительно большого объёма при незначительных габаритах, существенно упростило задачу злоумышленникам. Понимая всю опасность утери конфиденциальной банковской информации, службы безопасности банков пытаются бороться с инсайдерством всеми доступными административными методами, но как правило, этого не достаточною.

Сегодняшние технологии позволяют осуществлять перенос информации между компьютерами посредством огромного количества устройств, кроме этого существует возможность использования электронной почты и другие возможности сети Интернет. Безусловно, ужесточение контроля служащих, отсутствие свободных портов устройств записи CD и DVD дисков может снизить риск утечки информации, но это повысит напряжённость в коллективе и не исключит возможность кражи. Кроме этого USB порты часто необходимы для работы, да и существует масса других возможностей.

Наиболее гибким и эффективным способом борьбы с инсайдерством является специальное программное обеспечение, осуществляющее динамическое управление всеми устройствами и портами компьютера, которые могут использоваться для копирования информации. Принцип их работы таков. Для каждой группы пользователей или для каждого пользователя в отдельности задаются разрешения на использование различных портов и устройств. Самое большое преимущество такого ПО — гибкость. Вводить ограничения можно для конкретных типов устройств, их моделей и отдельных экземпляров. Это позволяет реализовывать очень сложные политики распределения прав доступа.

Проанализировав изложенные выше принципы, можно выделить важнейшие принципы при выборе программ, обеспечивающих динамическое блокирование устройств записи и портов компьютера. Важнейшим фактором является универсальность программы: система должна охватывать весь спектр портов и записывающих устройств компьютера, возможность доступа к одному из портов или устройств, практически, сводит на нет работу всей системы. Кроме этого, программное обеспечение должно быть достаточно гибким для обеспечения наибольшей эффективности динамической блокировки всех портов и устройств компьютера в зависимости от его конфигурации. Ну и система защиты от инсайдеров должна иметь обязательную возможность интеграции с информационной системой банка.


Заключение

Защита конфиденциальной информации вкладчиков и клиентов банков является важнейшей задачей любого банка. В конечном итоге, соблюдение интересов клиента непосредственно сказывается на доходах самого банка.

Однако, последнее время, в России наблюдается регулярная утечка коммерческой информации, доказательством чего является появление в свободном доступе баз данных различных компаний и даже частных лиц. Это является серьёзной проблемой, так как подрывает доверие общества к электронным платёжным системам и банкам, что отрицательно сказывается на развитии государства в целом.

Законодательная база для обеспечения банковской тайны в нашей стране существует. Но на практике, ни один банк или финансовое учреждение ещё не несло серьёзного наказания со стороны государства за нарушение банковской тайны.

Защита конфиденциальной банковской информации это задача комплексная, которая не может быть решена только осуществлением банковских программ. Для эффективного обеспечения безопасности банковской информации необходимы не только усилия службы безопасности банков, но и система нормативных и законодательных актов, обеспечивающих сохранность банковской тайны.

Для ограничения влияния человеческого фактора на безопасность банковской системы следует выделить два направления:

а) минимальна допустимая осведомлённость пользователей системы об особенностях и тонкостях её работы.

б) необходимость тщательной идентификации пользователей системы, строгое соблюдение прав пользователей системами электронных платежей.

Трудно преувеличить значение банковской системы для развития экономики в целом. Помимо взаимоотношений между субъектами бизнеса, крупными финансовыми и промышленными компаниями банки играют большую социально-политическую роль. От степени доверия к банкам зависит отношение к ним рядовых граждан, будут ли они хранить сбережения в банковской системе, обеспечивая экономический рост государства, либо нет. В конечном итоге, от степени надёжности систем безопасности банков зависит их процветание и доходность.

Однако, банки можно выделить из ряда остальных коммерческих систем:

  1. По сути дела, информацию, которая хранится в банковских информационных системах, можно считать деньгами, которые, на сегодняшний день можно истратить, вложить, погасить кредит и т.д.
  2. Информационная безопасность банка, является не только обязательным условием его стабильной и прибыльной работы, но и критическим условием его существования, потому что она затрагивает интересы большого количества предприятий и частных лиц.

Не удивительно, что к банковским платёжным системам, учитывая их значение в жизни отдельных людей и общества в целом, применяются повышенные требования информационной безопасности. Российские банки, так же как и банки всего мира, не смогут избежать тотальной автоматизации обработки информации по следующим причинам:

В США, странах Западной Европы и многих других, столкнувшихся с проблемой защиты банковской тайны и безопасности электронных платежей, в настоящее время создана целая система защиты экономической информации. Огромные средства тратятся на разработку и производство безопасного программного, и аппаратного обеспечения, периферийных устройств, средств физической безопасности, научные изыскания и прочее.

Если обеспечение физической безопасности имеет давние традиции и установившиеся подходы к минимизации возможных рисков, то обеспечение информационной безопасности – наиболее динамичная область развития индустрии безопасности в целом. Обеспечение безопасности компьютерных и телекоммуникационных сетей постоянно сталкивается с новыми угрозами по мере развития информационных технологий и науки в целом. Постоянно требуются новые решения и обновления, поскольку на компьютерные и информационные системы возлагается всё большая и большая ответственность.

Список использованной литературы

  1. Деднев М.А., Дыльнов Д.В., Иванов М.А. Защита информации в банковском деле и электронном бизнесе./ М.А. Деднев, Д.В. Дыльнов, М.А. Иванов – М. : НОУ «ОЦ КУДИЦ-ОБРАЗ», 2004. – 512 с.
  2. Гайкович Ю.В., Першин А.С. Безопасность электронных банковских систем./ Ю.В. Гайкович, А.С. Першин — М. : Единая Европа, 1994. – 354 с
  3. Романец Ю. В., Тимофеев П.А. Защита информации в компьютерных системах и сетях./ Ю. В. Романец, П.А. Тимофеев – М. : Радио и связь, 2001. – 376 с.
  4. Стрельцов А.А. Обеспечение информационной безопасности России. Теоретические и методические основы / Под ред. В.А. Садовничего и В.П. Шерстюка. – М.: МЦНМО, 2002.
  5. Е.Б. Белов, В.П. Лось Основы информационной безопасности. / Москва, Горячая линия – Телеком, 2006
  6. Федеральный закон РФ "О персональных данных"
  7. Вихорев С.В. Информационная Безопасность Предприятий. Москва, 2006.
  8. В.А. Семененко Информационная безопасность. Москва, 2004
  9. Аверченков, В. И. Аудит информационной безопасности: учеб.пособие для вузов / В.И. Аверченков. - Брянск: БГТУ, 2005.
  10. Алексенцев, А.И. Понятие и назначение комплексной системы защиты информации/ А.И.Алексенцев// Вопросы защиты информации.- 2007.- № 2. - С. 2 - 3.
  11. Теория информационной безопасности и методология защиты информации: Конспект лекций.
  12. Мельников Ю.Н., Иванов Д.Ю. Многоуровневая безопасность в корпоративных сетях. Международный форум информатизации – 2011г.