Файл: Система защиты информации в банковских системах (Общее понятие банковской деятельности).pdf

ВВЕДЕНИЕ

В современном мире в условиях постоянно ускоряющихся темпов развития науки и информационных технологий, с переходом документов, кошельков и прочей важной информации в электронный носитель важно уметь защитить эту информацию. Информационная безопасность имеет огромное значение для крупных организаций, владеющих широкой клиентской базой.

К таким организациям относятся банки. Изначально управление информационной безопасностью банков регламентировалось внутренними нормативными документами каждого банка, но и с появлением отечественных отраслевых стандартов обеспечения информационной безопасности в 2002 году осталось много проблем по защите информации.

Одним из основных моментов, прописанных в положении, является закрепление контроля конфиденциальной информации внутри корпорации, а также требование к банкам иметь антивирусную защиту с постоянно обновляющимися базами.

Также в пунктах, ориентированных на защиту от внешних угроз, учитывались средства защиты от спама, использование шифрования, для максимальной защиты информации от несанкционированного доступа, а также управление доступом к информации клиента.

В новой редакции Банк России актуализировал методику оценки соответствия информационной безопасности. Основные изменения коснулись подхода к оценке. Стало больше внимания уделяться документированию процедур безопасности во внутренних нормативных документах банков. Возросло количество частных показателей, а так же изменились весовые значения оценок.

Актуальность темы исследования заключается в необходимости повышения систем информационной безопасности кредитных организаций, оказывающих услуги посредством интернет-банкинга. Онлайн-обслуживание становится достаточно популярным сегодня в условиях современного информационного общества, но проблемы такой деятельности заключаются в наличии и росте уровня кибер-преступности и интернет-мошенничества. К сожалению, современные существующие механизмы защиты клиентских счетов не в состоянии обеспечить полную защиту от несанкционированных доступов мошенников. Наличие такой угрозы заставляет людей отказываться от онлайн-кабинетов и интернет-облуживания, что создает большое неудобство и существенно снижает скорость финансовых операций. Кроме того, постоянное обращение в банк требует больших затрат времени, отвлекает банковских работников от обработки массивов данных, повышает вероятность сбоев в операционных системах банка.

В связи с этим предметом данного исследования выступают экономические отношения, формирующиеся в процессе онлайн-обслуживания, и обеспечение их защиты

Банковская деятельность всегда была связана с обработкой и хранением большого количества конфиденциальных данных. К ним можно отнести персональные данные о клиентах, об их вкладах и обо всех осуществляемых операциях.

Цель работы рассмотреть систему защиты информации в банковских системах

Объектом разработки является исследование и усовершенствование информационной безопасности в банке.

Предметом разработки является создание средств и способов защиты от несанкционированного доступа к секретной информации

Задачи работы:

дать общее понятие банковской деятельности;

Рассмотреть информационную безопасность банковских систем;

Перечислить меры по защите информации в банковских системах;

Провести исследование возможности применения технологии «БЛОКЧЕЙН» для защит банковских транзакций;

Охарактеризовать механизмы повышения информационной безопасности систем маркетинг-банкинга.

Методологической основой исследования являются труды отечественных ученых и специалистов по проблемам национальной, экономической и информационной безопасности, денежно-кредитным отношениям, банкам, законодательные акты Российской Федерации, нормативные документы Банка России, энциклопедическая и справочная литература, материалы периодической печати, а также опыт организации работы по обеспечению безопасности банковских учреждений

ГЛАВА 1. ОСНОВНЫЕ АСПЕКТЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В БАНКОВСКОЙ СФЕРЕ

1.1 Общее понятие банковской деятельности

Учитывая всеобщую информатизацию и компьютеризацию банковской деятельности, значение информационной безопасности осуществляемых удаленно банковских транзакций весьма возросло. Банковская транзакция представляет последовательность операций, сопровождающих удаленное взаимодействие покупателя и платежной системы. К основным данным, обрабатываемым в момент проведения транзакций и подлежащим защите, можно отнести [1]:

• имя отправителя;

• имя получателя;

• реквизиты карты отправителя;

• реквизиты карты получателя;

• сумма перевода;

• информационное сообщение. Именно эта информация представляет собой содержимое банковских транзакций и очевидно подлежит защите, поэтому наибольший интерес с точки зрения безопасности представляет вопрос хранения данных о совершенных транзакциях.

Сейчас вся информация о картах и транзакциях хранится на банковских серверах в их централизованных базах данных. Если злоумышленнику удастся получить доступ к этим базам, он сможет ознакомиться со всеми защищаемыми данными или внести в них изменения. Реализация данной угрозы весьма вероятна для внутреннего нарушителя [2].

Применяя различные виды сетевых атак (например, «человек посередине» или «отказ в обслуживании»), можно перехватить передаваемую информацию или нарушить функционирование самих серверов при отсутствии должного уровня защиты. Также аппаратное обеспечение баз со временем может приходить в непригодность, что в свою очередь может привести к потере защищаемых данных. В связи со всем, указанным выше, защищенности этих баз необходимо уделять серьезное внимание и вкладывать в это огромное число ресурсов, что весьма трудоемко и невыгодно.

Системы, реализующие проведение банковских транзакций, должны выполнять следующие функции [3]:

• обеспечение непрерывного функционирования сети и оперативной диагностики сбоев в случае их появления;

• гибкость по отношению к потенциальным изменениям характеристик сети (топологии, числа клиентов, объемов трафика, оборудования, видов доступа и т.п.);

• возможность безболезненного изменения применяемых типов аппаратного и программного обеспечения;

• подготовка и своевременное поддержание необходимого функционала рабочего места оператора;

• обеспечение защиты от ошибок;

• поддержка служб резервного копирования и восстановления данных после критических ситуаций. В целях обеспечения защиты информации на рабочих узлах сети на прикладном уровне необходима реализация следующих механизмов:

• обеспечение конфиденциальности транзакции или очереди транзакций;

• корректная аутентификация клиентов; невозможность отказа от участия в транзакции;

• регистрация транзакций;

• контроль целостности самой транзакции или последовательности транзакций. Еще одним из ключевых требований к защите банковских транзакций следует считать корректный выбор системы криптографической защиты данных или, другими словами, системы шифрования [4]. Выбранная система должна быть способна выполнять следующие функции:

• сокрытие содержания транзакции от третьих лиц путем шифрования ее данных;

• обеспечение совместной обработки данных транзакции группой операторов системы с применением криптографического разделения информации и распределения ключей.

• обеспечение невозможности обработки данных транзакции пользователями, не имеющими доступ к этой операции;

• контроль целостности данных путем заблаговременного обнаружения возможных искажений благодаря применению криптографического контрольного признака (например, цифровой подписи);

• аутентификация инициатора транзакции.

Для предотвращения проникновения в систему безопасности используются различные механизмы защиты.

К основным из них можно отнести:

• шифрование содержимого транзакции;

• достоверная идентификация участников транзакции;

• контроль целостности данных транзакции;

• индексация транзакций;

• применение сессий при доступе и обработке данных;

• надежное и защищенное хранение секретных ключей;

• достоверная процедура аутентификации клиента при регистрации в системе;

• обработка электронного сертификата клиента;

• создание защищенного туннелированного соединения клиента с сервером.

1.2 Информационная безопасность банковских систем

Национальная платежная система (НПС) становится все более приоритетным направлением во внутренней политике государства. Был принят закон о создании в России национальной системы платежных карт (НСПК) и обеспечении бесперебойности работы международных платежных систем. Для обеспечения безопасности НПС был выпущен целый рад подзаконных актов, серди которых «Положение о защите информации в платежной системе» от 13.06.2012 №584, «Положение о требованиях к обеспечению защиты информации при осуществлении переводов денежных средств…» от 09.06.2012 N 382-П).

С обновлением П-382 тенденции обеспечения защиты теперь смещены в сторону: применением банкоматов и платежных терминалов; применения пластиковых платежных карт; использования сети Интернет; требований к порядку разработки и распространения специализированного ПО, предназначенного для использования клиентом при переводе денежных средств; расширение требований по повышению осведомленности клиентов о возможных рисках получения несанкционированного доступа к защищаемой информации и рекомендуемых мерах по их снижению; требований о необходимости проведения классификации банкоматов и платежных терминалов; процедур приостановления проведения платежа оператором по переводу денежных средств в случае обнаружения признаков мошеннических действий; предусмотрены процедуры защиты от современных угроз безопасности.

В мировом сообществе признанным стандартом безопасности считается Payment Card Industry Data Security Standard (PCI DSS), который был разработан советом PCI SSC. В него вошли такие карточные брэнды, как Visa, MasterCard, American Express, JCB и Discovery. Однако сертификация российских банков по зарубежному PCI DSS стандарту шла довольно медленно, а отечественного аналога на сегодняшний день нет. В отличие от всех зарубежных стандартов, российский призван стимулировать отечественных разработчиков и производителей средств защиты информации.

При этом разрешено применение решений иностранного производства. Банк России усиливает свой контроль за соблюдением установленных правил. Существуют и другие международных стандарты безопасности падежных систем. Один из них стандарт PCI PA-DSS (Payment Card Industry Payment Application Data Security Standard) определяющий требования к приложениям, обрабатывающим данные о держателях карт и процессу их разработки. И, второй стандарт Payment Card Industry PIN Transaction Security (PCI PTS), ранее PCI PED, касаются производителей, которые задают и реализуют технические параметры и систему управления для устройств, поддерживающих набор ПИН-кода и использующихся для проведения платежных операций по картам. Таким образом, защита информации в банковской системе представляет собой первостепенную задачу руководства каждого банка во всем мире.

ГЛАВА 2. ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ИНФОРМАЦИИ В БАНКОВСКИХ СИСТЕМАХ

2.1 Меры по защите информации в банковских системах

Использование новых технологий в банковских организациях их автоматизация, безусловно, облегчает и ускоряет их работу, но вместе с тем приводит к ряду проблем, связанных с информационной безопасностью (ИБ).

Вопросы о защите персональных данных клиентов, о защите информации, связанной с кредитно-финансовыми операциями, о защите данных самого банка (банковская тайна) выходят на первый план, так как несанкционированный доступ к этой информации со стороны злоумышленников может нанести значительный ущерб банку и существенно подорвать его репутацию.

Обеспечение информационной безопасности следует начинать с назначения и распределения ролей между сотрудниками в соответствии с принципом предоставления минимальных прав, требующихся для выполнения служебных обязанностей. При приеме на работу в финансовую организацию, сотрудник должен пройти определенные испытания: проверку подлинности предоставленных документов, профессиональных навыков, точности и полноты биографических фактов.