Файл: Система защиты информации в банковских системах (Общее понятие банковской деятельности).pdf
Добавлен: 18.06.2023
Просмотров: 73
Скачиваний: 2
СОДЕРЖАНИЕ
ГЛАВА 1. ОСНОВНЫЕ АСПЕКТЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В БАНКОВСКОЙ СФЕРЕ
1.1 Общее понятие банковской деятельности
1.2 Информационная безопасность банковских систем
ГЛАВА 2. ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ИНФОРМАЦИИ В БАНКОВСКИХ СИСТЕМАХ
2.1 Меры по защите информации в банковских системах
2.2.Исследование возможности применения технологии «БЛОКЧЕЙН» для защит банковских транзакций
2.3 Механизмы повышения информационной безопасности систем маркетинг-банкинга
ВВЕДЕНИЕ
В современном мире в условиях постоянно ускоряющихся темпов развития науки и информационных технологий, с переходом документов, кошельков и прочей важной информации в электронный носитель важно уметь защитить эту информацию. Информационная безопасность имеет огромное значение для крупных организаций, владеющих широкой клиентской базой.
К таким организациям относятся банки. Изначально управление информационной безопасностью банков регламентировалось внутренними нормативными документами каждого банка, но и с появлением отечественных отраслевых стандартов обеспечения информационной безопасности в 2002 году осталось много проблем по защите информации.
Одним из основных моментов, прописанных в положении, является закрепление контроля конфиденциальной информации внутри корпорации, а также требование к банкам иметь антивирусную защиту с постоянно обновляющимися базами.
Также в пунктах, ориентированных на защиту от внешних угроз, учитывались средства защиты от спама, использование шифрования, для максимальной защиты информации от несанкционированного доступа, а также управление доступом к информации клиента.
В новой редакции Банк России актуализировал методику оценки соответствия информационной безопасности. Основные изменения коснулись подхода к оценке. Стало больше внимания уделяться документированию процедур безопасности во внутренних нормативных документах банков. Возросло количество частных показателей, а так же изменились весовые значения оценок.
Актуальность темы исследования заключается в необходимости повышения систем информационной безопасности кредитных организаций, оказывающих услуги посредством интернет-банкинга. Онлайн-обслуживание становится достаточно популярным сегодня в условиях современного информационного общества, но проблемы такой деятельности заключаются в наличии и росте уровня кибер-преступности и интернет-мошенничества. К сожалению, современные существующие механизмы защиты клиентских счетов не в состоянии обеспечить полную защиту от несанкционированных доступов мошенников. Наличие такой угрозы заставляет людей отказываться от онлайн-кабинетов и интернет-облуживания, что создает большое неудобство и существенно снижает скорость финансовых операций. Кроме того, постоянное обращение в банк требует больших затрат времени, отвлекает банковских работников от обработки массивов данных, повышает вероятность сбоев в операционных системах банка.
В связи с этим предметом данного исследования выступают экономические отношения, формирующиеся в процессе онлайн-обслуживания, и обеспечение их защиты
Банковская деятельность всегда была связана с обработкой и хранением большого количества конфиденциальных данных. К ним можно отнести персональные данные о клиентах, об их вкладах и обо всех осуществляемых операциях.
Цель работы рассмотреть систему защиты информации в банковских системах
Объектом разработки является исследование и усовершенствование информационной безопасности в банке.
Предметом разработки является создание средств и способов защиты от несанкционированного доступа к секретной информации
Задачи работы:
дать общее понятие банковской деятельности;
Рассмотреть информационную безопасность банковских систем;
Перечислить меры по защите информации в банковских системах;
Провести исследование возможности применения технологии «БЛОКЧЕЙН» для защит банковских транзакций;
Охарактеризовать механизмы повышения информационной безопасности систем маркетинг-банкинга.
Методологической основой исследования являются труды отечественных ученых и специалистов по проблемам национальной, экономической и информационной безопасности, денежно-кредитным отношениям, банкам, законодательные акты Российской Федерации, нормативные документы Банка России, энциклопедическая и справочная литература, материалы периодической печати, а также опыт организации работы по обеспечению безопасности банковских учреждений
ГЛАВА 1. ОСНОВНЫЕ АСПЕКТЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В БАНКОВСКОЙ СФЕРЕ
1.1 Общее понятие банковской деятельности
Учитывая всеобщую информатизацию и компьютеризацию банковской деятельности, значение информационной безопасности осуществляемых удаленно банковских транзакций весьма возросло. Банковская транзакция представляет последовательность операций, сопровождающих удаленное взаимодействие покупателя и платежной системы. К основным данным, обрабатываемым в момент проведения транзакций и подлежащим защите, можно отнести [1]:
• имя отправителя;
• имя получателя;
• реквизиты карты отправителя;
• реквизиты карты получателя;
• сумма перевода;
• информационное сообщение. Именно эта информация представляет собой содержимое банковских транзакций и очевидно подлежит защите, поэтому наибольший интерес с точки зрения безопасности представляет вопрос хранения данных о совершенных транзакциях.
Сейчас вся информация о картах и транзакциях хранится на банковских серверах в их централизованных базах данных. Если злоумышленнику удастся получить доступ к этим базам, он сможет ознакомиться со всеми защищаемыми данными или внести в них изменения. Реализация данной угрозы весьма вероятна для внутреннего нарушителя [2].
Применяя различные виды сетевых атак (например, «человек посередине» или «отказ в обслуживании»), можно перехватить передаваемую информацию или нарушить функционирование самих серверов при отсутствии должного уровня защиты. Также аппаратное обеспечение баз со временем может приходить в непригодность, что в свою очередь может привести к потере защищаемых данных. В связи со всем, указанным выше, защищенности этих баз необходимо уделять серьезное внимание и вкладывать в это огромное число ресурсов, что весьма трудоемко и невыгодно.
Системы, реализующие проведение банковских транзакций, должны выполнять следующие функции [3]:
• обеспечение непрерывного функционирования сети и оперативной диагностики сбоев в случае их появления;
• гибкость по отношению к потенциальным изменениям характеристик сети (топологии, числа клиентов, объемов трафика, оборудования, видов доступа и т.п.);
• возможность безболезненного изменения применяемых типов аппаратного и программного обеспечения;
• подготовка и своевременное поддержание необходимого функционала рабочего места оператора;
• обеспечение защиты от ошибок;
• поддержка служб резервного копирования и восстановления данных после критических ситуаций. В целях обеспечения защиты информации на рабочих узлах сети на прикладном уровне необходима реализация следующих механизмов:
• обеспечение конфиденциальности транзакции или очереди транзакций;
• корректная аутентификация клиентов; невозможность отказа от участия в транзакции;
• регистрация транзакций;
• контроль целостности самой транзакции или последовательности транзакций. Еще одним из ключевых требований к защите банковских транзакций следует считать корректный выбор системы криптографической защиты данных или, другими словами, системы шифрования [4]. Выбранная система должна быть способна выполнять следующие функции:
• сокрытие содержания транзакции от третьих лиц путем шифрования ее данных;
• обеспечение совместной обработки данных транзакции группой операторов системы с применением криптографического разделения информации и распределения ключей.
• обеспечение невозможности обработки данных транзакции пользователями, не имеющими доступ к этой операции;
• контроль целостности данных путем заблаговременного обнаружения возможных искажений благодаря применению криптографического контрольного признака (например, цифровой подписи);
• аутентификация инициатора транзакции.
Для предотвращения проникновения в систему безопасности используются различные механизмы защиты.
К основным из них можно отнести:
• шифрование содержимого транзакции;
• достоверная идентификация участников транзакции;
• контроль целостности данных транзакции;
• индексация транзакций;
• применение сессий при доступе и обработке данных;
• надежное и защищенное хранение секретных ключей;
• достоверная процедура аутентификации клиента при регистрации в системе;
• обработка электронного сертификата клиента;
• создание защищенного туннелированного соединения клиента с сервером.
1.2 Информационная безопасность банковских систем
Национальная платежная система (НПС) становится все более приоритетным направлением во внутренней политике государства. Был принят закон о создании в России национальной системы платежных карт (НСПК) и обеспечении бесперебойности работы международных платежных систем. Для обеспечения безопасности НПС был выпущен целый рад подзаконных актов, серди которых «Положение о защите информации в платежной системе» от 13.06.2012 №584, «Положение о требованиях к обеспечению защиты информации при осуществлении переводов денежных средств…» от 09.06.2012 N 382-П).
С обновлением П-382 тенденции обеспечения защиты теперь смещены в сторону: применением банкоматов и платежных терминалов; применения пластиковых платежных карт; использования сети Интернет; требований к порядку разработки и распространения специализированного ПО, предназначенного для использования клиентом при переводе денежных средств; расширение требований по повышению осведомленности клиентов о возможных рисках получения несанкционированного доступа к защищаемой информации и рекомендуемых мерах по их снижению; требований о необходимости проведения классификации банкоматов и платежных терминалов; процедур приостановления проведения платежа оператором по переводу денежных средств в случае обнаружения признаков мошеннических действий; предусмотрены процедуры защиты от современных угроз безопасности.
В мировом сообществе признанным стандартом безопасности считается Payment Card Industry Data Security Standard (PCI DSS), который был разработан советом PCI SSC. В него вошли такие карточные брэнды, как Visa, MasterCard, American Express, JCB и Discovery. Однако сертификация российских банков по зарубежному PCI DSS стандарту шла довольно медленно, а отечественного аналога на сегодняшний день нет. В отличие от всех зарубежных стандартов, российский призван стимулировать отечественных разработчиков и производителей средств защиты информации.
При этом разрешено применение решений иностранного производства. Банк России усиливает свой контроль за соблюдением установленных правил. Существуют и другие международных стандарты безопасности падежных систем. Один из них стандарт PCI PA-DSS (Payment Card Industry Payment Application Data Security Standard) определяющий требования к приложениям, обрабатывающим данные о держателях карт и процессу их разработки. И, второй стандарт Payment Card Industry PIN Transaction Security (PCI PTS), ранее PCI PED, касаются производителей, которые задают и реализуют технические параметры и систему управления для устройств, поддерживающих набор ПИН-кода и использующихся для проведения платежных операций по картам. Таким образом, защита информации в банковской системе представляет собой первостепенную задачу руководства каждого банка во всем мире.
ГЛАВА 2. ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ИНФОРМАЦИИ В БАНКОВСКИХ СИСТЕМАХ
2.1 Меры по защите информации в банковских системах
Использование новых технологий в банковских организациях их автоматизация, безусловно, облегчает и ускоряет их работу, но вместе с тем приводит к ряду проблем, связанных с информационной безопасностью (ИБ).
Вопросы о защите персональных данных клиентов, о защите информации, связанной с кредитно-финансовыми операциями, о защите данных самого банка (банковская тайна) выходят на первый план, так как несанкционированный доступ к этой информации со стороны злоумышленников может нанести значительный ущерб банку и существенно подорвать его репутацию.
Обеспечение информационной безопасности следует начинать с назначения и распределения ролей между сотрудниками в соответствии с принципом предоставления минимальных прав, требующихся для выполнения служебных обязанностей. При приеме на работу в финансовую организацию, сотрудник должен пройти определенные испытания: проверку подлинности предоставленных документов, профессиональных навыков, точности и полноты биографических фактов.