Файл: Система защиты информации в банковских системах (Понятие информационной безопасности).pdf

Скачать файл
Заказать решение

ВУЗ: Не указан

Категория: Курсовая работа

Дисциплина: Не указана

Добавлен: 19.06.2023

Просмотров: 199

Скачиваний: 4

ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.

СОДЕРЖАНИЕ

Введение

Глава 1. Теоретические основы системы защиты информации

Понятие информационной безопасности

1.2. Проблемы информационной безопасности банков

Глава 2. Система защиты информации в банковских системах

2.1. Особенности информационной безопасности банковских систем и меры по ее обеспечению

2.2. Обеспечение безопасности информации при использовании интернет- банкинга

2.3. Информационная безопасность банковской деятельности на примере ПАО «СБЕРБАНК РОССИИ»

Заключение

Список литературы

Главной целью банка является демонстрация надежности своей системы безопасности интернет-банкинга. Одним из достоинств является наличие стандартов в области информационной безопасности, например PCI DSS, Стандарт Банка России и другие. После прохождения проверки на соответствие требованиям данных стандартов, банк показывает, что он в состоянии обеспечить защиту данных своих клиентов.

К сожалению, на сегодняшний день лишь 62,5 % кредитных учреждений в состоянии заявить о своѐм полном соответствии стандартам, которые касаются безопасного хранения и обработки информации. Ежегодное исследование эффективности российских сервисов интернет-банкинга физических лиц зафиксировало два основных параметра эффективности: функциональность – возможности управления собственными финансами клиента, а также удобство пользования – простота и понятность совершения операций в интернет-банке.

Рисунок 3. Рейтинг эффективности интернет-банков для частных лиц

На данных момент, ля защиты информационных систем так же используются и новые технологии, такие как средства мониторинга и сбора событий (Symantec Security Infomation Manager, envision), с помощью которых производится сбор информации, ее классификация, осуществляется постоянный мониторинг и управление безопасностью, системы управления уязвимостями и установка обновлений (Max-Patrol, SAFEsulte), которые позволяют получать объективную оценку состояния защищенности как всей информационной системы, так и отдельных подразделений, узлов и приложений, а так же системы управления и контроля конфигурациями (RealSecure), обладающие интеллектуальным анализатором пакетов с расширенной базой сигнатур атак, который позволяет обнаруживать враждебную деятельность и распознавать атаки на узлы сети[41].

В процессе анализа мер по обеспечению конфиденциальности личных данных можно выделить следующие рекомендации:

‒ не сообщать никому свой пароль и пин-код (даже сотрудникам банка, т.к. они ни при каких обстоятельствах не имеют право запрашивать пароли пользователей);

‒ пользоваться одним компьютером (не допускать смены паролей и проведение платежей с малознакомых компьютеров, к которым имеет доступ множество пользователей);

‒ при работе на чужом компьютере, ни в коем случае не сохранять ключ электронноцифровой подписи;

‒ если существуют подозрения о том, что кто-то подсмотрел пароль, обратиться в банк и заблокировать доступ в систему;

‒ в случае хищения личных данных или денежных средств со счетов проинформировать банк о случившемся и подать заявление[42].

Выполняя данные рекомендаций банков можно избежать хищения личной информации и средств клиента, пользующегося услугами интернетбанкинга.

Таким образом, обеспечение достоверности и конфиденциальности информации, передаваемой между банком и клиентом – один из самых важных аспектов дистанционного банковского обслуживания. Кроме того, следует помнить, что безопасное использование услуг интернет-банкинга в большей степени зависит от самих клиентов банка, так как развивая культуру безопасного пользования дистанционными услугами банка можно предотвратить возникновение негативных инцидентов.

2.3. Информационная безопасность банковской деятельности на примере ПАО «СБЕРБАНК РОССИИ»

Банковская деятельность – это банковские функции и другие действия кредитной организации, которые непосредственно направлены на извлечение прибыли из банковских операций и сделок[43].

В связи с развитием научно-технического прогресса, банковская система становится неотъемлемой частью денежного хозяйства, поскольку она непосредственно связана с потребностями воспроизводства. Банки – это не просто хранилище денег, это крупномасштабное явление, обладающее финансовой мощью, значительным денежным капиталом.

Обслуживание огромного количества информации приводит к тому, что в банковском бизнесе возникают проблемы, которые могут быть решены лишь благодаря использованию автоматизированных информационных систем. Они позволяют собирать, надежно хранить и оперативно обрабатывать информацию.

Политика информационной безопасности банков значительно отличается от политик других экономических объектов. Это связано с особыми видами угроз и публичностью банков, вынужденных создавать удобный доступ к счетам с целью упрощения пользования для клиентов. Всю деятельность коммерческих банков контролировал и продолжает контролировать Центральный банк Российской Федерации. В 1990-х годах не наблюдалось его активного вмешательства в дела информационной безопасности банков, однако в последнее время ситуация кардинально изменилась. Это связано, главным образом, с развитием всемирной информационной сети Интернет.

Вместе с тем, за последние двадцать лет существенно поменялось законодательство в сфере информационной безопасности. Появилось множество законов, регулирующих информационную безопасность банковских систем. Среди недавно принятых законов, большую роль в развитии информационной безопасности банковских систем сыграл Федеральный закон от 27 июня 2011 года 161-ФЗ «О национальной платежной системе», вступивший в силу в марте 2015 года, который регламентирует деятельность по переводу денежных средств. Безусловно, к банкам представляется большое количество требований и рекомендаций по обеспечению информационной безопасности.

Например, постановления Центрального банка Российской Федерации, различные стандарты: стандарт СТО БР ИББС-1.0-2006, СТО БР ИББС-1.0-2014, которые посвящены управлению информационной безопасностью банка, международные стандарты, требования Basel II; требования международных платежных систем и т.д. В связи с усилением защиты банковской информации разработан настоящий стандарт по обеспечению информационной безопасности организаций банковской системы Российской Федерации. Разработанный стандарт является основным для развивающей и обеспечивающей его группы документов в области стандартизации по обеспечению информационной безопасности организаций банковской системы России.

Основными целями введения Стандарта «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» СТО БР ИББС-1.0 являются:

  • повышение доверия к банковской системе Российской Федерации;
  • повышение стабильности функционирования организаций банковской системы Российской Федерации и на этой основе – стабильности функционирования банковской системы Российской Федерации в целом;
  • достижение адекватности мер по защите от реальных угроз информационной безопасности;
  • предотвращение и (или) снижение ущерба от инцидентов информационной безопасности.

Среди основных задач Стандарта выделяют следующие:

  • установление единых требований по обеспечению информационной безопасности организаций банковской системы Российской Федерации;
  • повышение эффективности мероприятий по обеспечению и поддержанию информационной безопасности организаций банковской системы Российской Федерации[44].

В настоящее время безопасность российских банков обеспечивается на основе отечественных нормативных требований отраслевых стандартов Центрального банка Российской Федерации СТО БР ИББС -1.0-2014. Данный стандарт принят и введен действие Распоряжением Банка России от 17 мая 2014 года. Согласно данному стандарту выделяются основные требования к гарантированию безопасности, предоставляются определенные списки мер информационной безопасности в связи с назначением и разделением ролей и установлением доверия к сотрудникам банка, при регулировании доступа и регистрации клиентов, при применении источников сети Интернет и средств криптографической безопасности информации, а также при обработке персональных данных и т.д[45].

Основными источниками угроз информационной безопасности являются:

  • неблагоприятные события природного, техногенного и социального характера;
  • террористы и криминальные элементы;
  • зависимость от поставщиков, провайдеров, партнеров, клиентов;
  • сбои, отказы, разрушения или повреждения программных и технических средств;
  • работники организации банковской системы России, которые реализуют угрозы информационной безопасности с применением легально предоставленных им прав и полномочий;
  • работники организации Банковской системы России, которые реализуют угрозы информационной безопасности вне легально предоставленных им прав и полномочий, а также субъекты, не являющиеся работниками организации банковской системы Российской Федерации, но осуществляющие попытки несанкционированного доступа;
  • несоответствие требованиям надзорных и регулирующих органов, действующему законодательству[46].

В настоящее время стало необходимым наличие в каждом банке «Политики информационной безопасности банка», главного документа при формировании системы его информационной безопасности. В данном документе выделяются серьезные угрозы безопасности информации в банке, представляется описание объектов защиты, устанавливаются ключевые задачи информационной безопасности, а также меры по обеспечению информационной безопасности банковской системы.

Главными элементами системы информационной безопасности банка являются:

  • авторизация и аутентификация;
  • защита от несанкционированного доступа к системам, в том числе и внутренняя защита от незаконного доступа сотрудников банка;
  • защита каналов передачи данных, обеспечение целостности и актуальности данных при обмене информацией с клиентами;
  • обеспечение юридической значимости электронных документов;
  • управление инцидентами информационной безопасности;
  • управление непрерывностью ведения бизнеса;
  • внутренний и внешний аудит системы информационной безопасности[47].

При формировании системы информационной безопасности банка следует учесть и такие функциональные требования к системе:

  • получение от должностных лиц в зависимости от их иерархической подчиненности той информации, которая необходима им для решения поставленных задач;
  • возможность использования должностными лицами всего арсенала средств математического и программного обеспечения в интересах принятия решений;
  • обеспечение диалогового взаимодействия участников при работе с системой;
  • соответствие процессов функционирования и применения системы методам и логике деятельности должностных лиц;
  • соответствие особенностей хранения информации свойствам ее источников и потребителей, обеспечение требуемой срочности, периодичности и очередности ее представления;
  • возможность объективного контроля и проверки промежуточных данных и результатов на основе протоколирования[48].

Долгосрочное адекватное функционирование системы информационной безопасности способно обеспечить только систематическое поддержание баланса между всеми составляющими системы и элементами ее окружения. Такое соответствие является основной задачей поддержания информационной безопасности в банковской деятельности[49].

Одним из крупнейших банков Европы и России является российский публичный акционерный банк «Сбербанк России». Он контролируется Центральным банком Российской Федерации и оказывает широкий спектр банковских услуг. С целью обеспечения безопасности информации в ПАО «Сбербанк России» создана система защиты информации, представляющая собой совокупность направлений, требований, средств и мероприятий, сокращающих уязвимость информации и противодействующих незаконному доступу к информации и её утечке.

Для увеличения экономической безопасности ПАО «Сбербанк России» концентрируется на выборе персонала, периодически организовывает инструктажи по безопасности. В контрактах ПАО «Сбербанк России» отчетливо выделены персональные требования, функции к персоналу, а также ответственность за различные нарушения, так как в большинстве случаев именно он существенно влияет на информационную безопасность банка. Также, в деятельности Сбербанка широкое распространение получает введение в служебных документах грифа секретности и назначение увеличения суммы оклада для соответствующих категорий персонала[50].

Так как Сбербанк России отводит много времени на обеспечение информационной защиты, то для наиболее результативной организации ею и увеличения быстроты реагирования на, различного рода, угрозы нужен был инструмент, объединяющий информационную инфраструктуру банка. С данной целью был сформирован центр управления информационной безопасности SOC (Security Operation Center), который основывался на базе решения компании ArcSight ESM – лидера в сфере решений по контролю случаев нарушения безопасности и уровня исполнения норм отраслевого регулирования.

Обычно под определением Security Operation Center (SOC) понимают некоторую систему, которая построена на основе продукции класса SIEM (Security Information and Event Management), предназначенной, в свою очередь, для сбора и хранения лог-файлов устройств и приложений для их дальнейшего анализа и обнаружения инцидентов[51].

В настоящее время SOC на основе SIEM-продуктов помогает компаниям решать некоторые важнейшие задачи:

Смотрите также файлы