Добавлен: 25.06.2023
Просмотров: 74
Скачиваний: 3
Глава 2.Система защиты информации в банковских системах
2.1 Безопасный режим банка
Банковская информация всегда была объектом пристального внимания разного рода злоумышленников, поэтому банки превратились в оборудованные по последнему слову техники «бастионы». Однако действия злоумышленников совершенствуются не менее интенсивно, чем средства их предупреждения, поэтому для защиты информации требуется не просто разработка частных механизмов защиты, а организация целого комплекса мер, т.е. использование специальных средств, методов и мероприятий с целью предотвращения потери информации. Таким образом, сегодня требуется новая современная технология защиты информации в автоматизированных информационных системах и сетях передачи данных.
Несмотря на предпринимаемые дорогостоящие меры, функционирование банковских автоматизированных информационных систем выявило наличие слабых мест в защите информации. Открытый характер систем, их широкое распространение порождает новые формы преступности.
В настоящее время особенно опасными для банка являются компьютерные преступления. Уровень потерь, связанных с несанкционированным доступом к банковской информации, достаточно высок, при этом сохраняется тенденция к росту потерь.
Действия злоумышленников часто достигают цели по следующим причинам:
- в большинстве банков используются однотипные стандартные вычислительные средства — IBM-совместимые персональные компьютеры; локальные вычислительные сети со стандартной техникой и программным обеспечением; программное обеспечение автоматизированных банковских систем написано на стандартных языках программирования;
- возрастает компьютерная грамотность клиентов. Недооценка вопросов безопасности влечет за собой финансовые потери, потерю клиентов и доверия на рынке услуг.
Следовательно, при создании автоматизированных банковских систем необходимо уделять внимание их безопасности, т.е. профессионально обеспечить их защиту.
Безопасность АБС — это защищенность банковской системы от случайного или преднамеренного вмешательства в нормальный процесс ее функционирования, а также от попыток хищения, модификации или разрушения ее компонентов. Безопасность АБС включает безопасность сотрудников, безопасность помещений и ценностей и информационную безопасность.
Различают безопасность:
• внутреннюю, состоящую в обеспечении надежной и корректной работы системы, целостности ее программ и данных;
• внешнюю, состоящую в защите от стихийных бедствий, от проникновения злоумышленников извне с целью хищения информации или вывода системы из строя. Главная цель защиты АБС заключается в том, чтобы эффективно препятствовать хищению, уничтожению и изменению информации, хранящейся в системе.
В 1985 г. Национальным центром компьютерной безопасности США была опубликована «Оранжевая книга». В ней в систематизированном виде приведены: классификация угроз безопасности; рекомендации по анализу рисков; методы и средства защиты от любой группы угроз.
Системные принципы обеспечения безопасности состоят в следующем: − принимать принципиальные решения в области безопасности на основе текущего состояния системы; − прогнозировать возможные угрозы и анализировать связанный с ними риск; − планировать мероприятия по выходу из критических ситуаций; − планировать мероприятия по предотвращению критических ситуаций.
Одним из основных понятий является политика безопасности - совокупность норм, правил и методик, на основе которых строится функционирование информационной системы, т.е. реализуются сие темные принципы, рассмотренные выше. Одним из важнейших видов работ является анализ риска, он состоит из ряда этапов. Анализ риска уведомляет руководство о сильных и слабых сторонах системы защиты, является базой для принятия решений в области безопасности, позволяет оптимизировать затраты на защиту.
Этапы анализа риска:
1) описание автоматизированной банковской системы (технического обеспечения, программного обеспечения, информационного обеспечения, документации персонала);
2) определение уязвимых мест автоматизированной банковской системы, на этом этапе оценивается уязвимость системы по каждому ее элементу с определением возможных угроз;
3) оценка вероятности реализации угроз;
4) оценка ожидаемых размеров потерь, этот этап достаточно сложен, так как не всегда возможна количественная оценка в определенных показателях;
5) анализ возможных методов и средств защиты;
6) оценка выигрыша от предлагаемых мер.
На основе анализа риска составляется план защиты, в котором отражается текущее состояние системы защиты, рекомендации, список сотрудников и зон ответственности, расписание — определение порядка работы, предусмотрена корректировка плана.
При определении меры ответственности сотрудников за безопасность необходимо учитывать следующие положения: − основополагающие решения в области политики безопасности принимаются руководством банка; − только специалисты могут обеспечить правильное функционирование системы безопасности; − никакая внешняя организация не заинтересована в экономической эффективности системы безопасности.
С точки зрения безопасности автоматизированных банковских систем важно рассмотреть классификацию информации по нескольким основаниям:
По конфиденциальности различают: — конфиденциальную информацию, доступ к которой посторонних лиц и части персонала нежелателен и ведет к материальным потерям; — открытую информацию, доступ к ней не связан с потерями. По степени важности выделяют: − важную информацию, которая незаменима и необходима в работе банка; ее потеря или искажение приводит к невосполнимому ущербу; трудно восстанавливается или вообще не подлежит восстановлению; − полезную информацию, которая является желательной; ее потеря или искажение не приносит больших потерь; легко восстанавливается.
Защита информации в автоматизированных банковских системах - это способы и средства по ограничению доступа к информационной системе, направленные на предотвращение всех видов атак, т.е. на обеспечение безопасности автоматизированной банковской системы.
Функции защиты:
1) защита системы от посторонних лиц заключается в создании надежных барьеров на всех возможных путях доступа к системе;
2) защита системы от пользователя исключает доступ к общесистемным данным, к данным других пользователей, возможность изменения программного обеспечения, сбор информации;
3) защита пользователей друг от друга реализуется при совместной работе и при хранении информации; исключает «маскарад»;
4) защита пользователя от самого себя состоит в защите автоматизированной системы от случайных ошибок пользователя; случайные ошибки не должны приводить к потере информации;
5) защита системы от самой себя предусматривает исключение потери или искажения данных при ошибках или сбоях в компонентах системы.
Способы и средства обеспечения безопасности информации показаны на рис. 2.
Рисунок 2. Способы и средства обеспечения безопасности информации (на примере банковской системы)
Сделаем выводы, деятельность любого банка напрямую зависит от того, насколько хорошо построена система безопасности. Если инфраструктура банка дает сбои, то последствия катастрофичны: банк может потерять не только базу клиентов, но и их доверие. Столкновение с этой проблемой привело к созданию новых систем защиты информации.
2.2. Обеспечение безопасности информации при использовании интернет- банкинга
Обеспечение безопасности при использовании услуг интернет-банкинга служит одним из основных вопросов для клиентов, которые предпочитают осуществлять операций с финансами через Интернет. Большая часть потребителей подобных услуг опасаются возможности стать обманутыми, ведь в докладах СМИ часто встречается информация о том, что атаки хакеров происходят в 6 случаях из 10, но фактически именно сами клиенты чаще всего являются виновниками подобных происшествий.
Несмотря на приведѐнные данные, компания Group-IB, которая занимается расследованием киберпреступлений, заявляет о том, что в 2015 г. ущерб от хакерских атак на системы интернет-банкинга в России упал в 3,7 раза до 2,6 млрд. руб. против 9,8 млрд. руб. в прошлом году[28].
Банковские работники предельно ясно осознают, насколько важно обеспечить безопасность предоставляемых услуг, и то, что сообщения о компрометации работы системы интернет-банкинга могут им нанести значительный ущерб. Именно поэтому абсолютно любой банк заинтересован в предотвращении взлома. На сегодняшний день обеспечение информационной безопасности с использованием услуг интернет-банкинга является довольно актуальной проблемой, ведь множество операций с финансовыми средствами происходят именно в сети Интернет. Целью данной статьи является обзор главных способов сохранения безопасного хранения и обработки информации при пользовании сервиса интернет-банкинга, а также анализ наиболее уязвимых процессов и построение рекомендаций для их защиты.
На данный момент в соответствии с Федеральным законом РФ от 27 июля 2006 года № 152-ФЗ «О персональных данных»[29] большинство банков, которые практикуются в представлении услуг интернет-банкинга, применяют SSL-шифрование данных, которое происходит в самой банковской системе от компьютера пользователя и обратно. Банк-клиент получает цифровые сертификаты и электронную цифровая подпись (ЭЦП), позволяющая определить IP пользователя. К сожалению, данных мер для обеспечения полноценной защиты счетов этого не достаточно.
Наиболее инновационно-развитые банки представляют к применению токены – usb-ключи, которые внешне напоминают флеш-карту и позволяют надежно сохранить различную информацию такую, как цифровые сертификаты, ключи ЭПЦ и иные авторизационные данные. Кроме того, с недавнего времени, изобрели ключи, при использовании которых возможно сформировать ЭПЦ аппаратно, т.е. внутри самого токена.
Другим способом защиты информации служит пин-код, благодаря которому сохраняется неприступность лицевого счѐта, в случае потери или хищения токена. При таких обстоятельствах токен является своеобразной защитой, обеспечивающей сохранность клиентского счѐта. Наиболее уязвимым несанкционированных действий мошенников считаются автоматические групповые операции, на которых хранятся счета и сумма, как правило, не поддаются абсолютному контролю и управлению. Опираясь на исследования, можно выделить следующие операции такого рода и возможные меры по их предотвращению (табл. 1)[30].
Таблица 1
Операции, подверженные наибольшему риску и меры предосторожности
|
Операции, подверженные наибольшему риску |
Меры предосторожности |
|
Редактирование внешнего получателя платежа |
Введение запрета на изменение данных после прохождения стадии контроля и до электронной подписи отправляемого рейса |
|
Начисление процентов счѐта до востребования и расчѐтные счета |
Создание службы контроля автоматических операций по закрытым для остальных сотрудников методикам |
|
Хищение денежных средств в системе клиент-банк |
Ограничение максимального ежедневного объема платежей, совершаемых по системе клиент-банк, для каждого клиента |
|
Поражение системы автоматизации или еѐ отдельного модуля |
Обязательное создание резервных копий, введение запрета на доступ бывших сотрудников в информационную систему |
Кроме отмеченных ранее рискованных операций интернет-банкинг не застрахован от других возможных рисков. Например, возникновение разнообразных технических сбоев в течение осуществления операции, однако подобная проблема не в состоянии нанести большой вред владельцу счета. Система интернет-банкинга, подобно другим системам обработки инфор мации, устроена таким образом, что при возникновении программного или технического сбоя во время транзакции данные не будут одобрены банковской системой. Если неверная операция всѐ-таки была осуществлена, необходимо незамедлительно обратиться в банк для того чтобы исправить ошибку. В таком случае банк должен возвратить денежные средства на счет клиента в ближайшие сроки.
Главной целью банка является демонстрация надежности своей системы безопасности интернет-банкинга. Одним из достоинств является наличие стандартов в области информационной безопасности, например PCI DSS, Стандарт Банка России и другие. После прохождения проверки на соответствие требованиям данных стандартов, банк показывает, что он в состоянии обеспечить защиту данных своих клиентов.
К сожалению, на сегодняшний день лишь 62,5 % кредитных учреждений в состоянии заявить о своѐм полном соответствии стандартам, которые касаются безопасного хранения и обработки информации. Ежегодное исследование эффективности российских сервисов интернет-банкинга физических лиц зафиксировало два основных параметра эффективности: функциональность – возможности управления собственными финансами клиента, а также удобство пользования – простота и понятность совершения операций в интернет-банке.