Файл: Система защиты информации в банковских системах (Информационная безопасность банков: меры, принципы, угрозы).pdf
Добавлен: 29.03.2023
Просмотров: 143
Скачиваний: 2
СОДЕРЖАНИЕ
ГЛАВА 1. СРЕДСТВА ЗАЩИТЫ ИНФОРМАЦИИ В БАНКОВСКИХ СИСТЕМАХ
ГЛАВА 2. БЕЗОПАСНОСТЬ ИНТЕРНЕТ-БАНКИНГА: ОСНОВНЫЕ СРЕДСТВА ЗАЩИТЫ ЛИЧНОГО СЧЕТА
Какие существуют средства защиты счетов от мошенников?
Дополнительные способы обеспечения безопасности пользования интернет-банкингом
ГЛАВА 3. ИНФОРМАЦИОННЯ БЕЗОПАСНОСТ БАНКОВ
Информационная безопасность банков: меры, принципы, угрозы
Меры по обеспечению защиты информации в банке
Принципы информационной безопасности банка
Угрозы информационной безопасности банка
ГЛАВА 4. ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ В БАНКАХ
ГЛАВА 5. ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ НАЦИОНАЛЬНОЙ ПЛАТЕЖНОЙ СИСТЕМЫ
Что представляет собой электронная цифровая подпись?
Вышеперечисленные способы обеспечения защиты счетов пользователей являются самыми распространенными, однако существуют и другие методы идентификации клиентов. Особое внимание стоит обратить на электронную цифровую подпись, которая применяется чаще всего для компаний, но иногда предлагается и индивидуальным пользователям. ЭЦП предоставляет возможность однозначно идентифицировать личность, но не стоит исключать опасности завладения ключом от цифровой подписи мошенниками, которые могут заразить ПК вирусными файлами специального предназначения.
Известно, что существует целый ряд троянских программ, направленных на обнаружение индивидуальных паролей, ключей ЭЦП и других аутентификационных данных. Поэтому необходимо устанавливать антивирусные программы и регулярно проверять ПК на наличие вирусов. Также стоит выключать программу ЭЦП, если она не используется.
Дополнительные способы обеспечения безопасности пользования интернет-банкингом
Клиентам банка предлагается приобрести (купить или взять в аренду) генератор паролей для одноразового пользования. Прибор подсоединяется посредством USB-порта к компьютеру, и для него не нужно устанавливать специальное ПО. Также возможна вероятность использования электронного ключа, генерирующегося при первом подключении механизма. Среди дополнительных способов защиты электронных счетов следует выделить:
- Ограничение применения индивидуального сертификата, то есть воспользоваться электронным ключом для входа в учетную запись можно только с одного компьютера;
- Виртуальную клавиатуру. Она предназначена для защиты от вирусов, которые могут считывать информацию при наборе данных на обычной клавиатуре;
- Ограничение продолжительности сессии. Если пользователь в течение 10 – 15 минут не производит никаких операций, то система автоматически блокируется, и для входа в нее нужно заново ввести данные;
- Историю защиты. С помощью данной функции пользователь может проверить, подключался ли кто-нибудь к его учетной записи, а также проведение несанкционированных операций.
Что делать в случае взлома учетной записи интернет-банкинга?
Если все-таки мошенники смогли добраться до учетной записи онлайн-банкинга, то рекомендуется предпринять следующие меры:
- В первую очередь следует отключить ПК от интернета;
- Заблокировать личную учетную запись, обратившись в банк либо контактный центр;
- Сменить пароль и логин для входа в интернет-банкинг;
- Работу возобновлять следует, убедившись, что угроза устранена.
По мнению экспертов, жертвой мошенников становятся клиенты, не соблюдающие осторожность при пользовании интернет-банкингом. Клиентам банка рекомендуется с периодичностью раз в месяц менять постоянный пароль доступа в систему, а также не входить в онлайн-банкинг с чужих компьютеров, особенно из интернет-кафе. Известно, что мошенники могут воспользоваться доверчивостью пользователей и заразить вирусами компьютер посредством электронной почты и через различные социальные сети. В случае кражи денег со счета, нужно отправить заявку в банк и правоохранительные органы для разбирательства.
ГЛАВА 3. ИНФОРМАЦИОННЯ БЕЗОПАСНОСТ БАНКОВ
Информационная безопасность банка – это состояние защищенности всех его информационных активов.
От информационной безопасности банка зависят его репутация и конкурентоспособность. Высокий уровень обеспечения информационной безопасности кредитной организации позволяет минимизировать следующие риски:
- риск утечки информации, составляющей служебную / коммерческую / банковскую тайну
- риск разрушения и потери ценных данных
- риск использования в деятельности банка, в том числе при принятии управленческих решений, неполной или искаженной информации
- риск распространения во внешней среде информации, угрожающей репутации банка.
Особенности банковских информационных систем заключаются в том, что они:
- хранят и обрабатывают большое количество данных о финансовом состоянии и деятельности физических и юридических лиц
- имеют инструменты совершения транзакций, ведущих к финансовым последствиям
- не могут быть полностью закрытыми, поскольку должны отвечать современным требованиям к уровню обслуживания (иметь систему онлайн-банкинга, сеть банкоматов, подключенных к публичным каналам связи и т.д.).
Указанные особенности приводят к тому, что информационные активы кредитных организаций являются желанной целью злоумышленников и нуждаются в серьезной защите.
Источниками угроз информационной безопасности банков являются:
- внешние злонамеренные и незлонамеренные нарушители ИБ
- внутренние злонамеренные и незлонамеренные нарушители информационной безопасности
- сбои и отказы программных и аппаратных компонентов информационных систем
- природные и техногенные катастрофы, нарушающие нормальный режим работы информационных систем.
Главная задача злоумышленников (внешних нарушителей и инсайдеров), атакующих информационные системы банков, – получение контроля над информационными активами кредитной организации для последующего совершения неправомерных транзакций или компрометации банка по заказу недобросовестных конкурентов.
Система обеспечения информационной безопасности банка должна:
- быть адекватной внутренним и внешним угрозам
- реализовывать комплексный подход к защите – включать все необходимые организационные меры и технические решения и защищать все компоненты ИС (системы электронных платежей, электронного документооборота и обслуживания платежных карт, банковские программные и программно-технические комплексы, системы удаленного обслуживания, сети связи и т.д.).
- обеспечивать высокую производительность – обрабатывать значительные объемы информации без снижения быстродействия
- быть надежной и отказоустойчивой благодаря применению технологий кластеризации, виртуализации, балансировки нагрузки и проч.
- иметь инструменты сбора, анализа данных об инцидентах и реагирования на события безопасности.
Постройте современную и эффективную систему защиты банковской информации вместе с ARinteg! Компания ARinteg имеет все необходимые компетенции и огромный опыт реализации проектов в ведущих российских кредитных организациях. Наши специалисты учтут все Ваши пожелания, специфику бизнеса, а также требования отраслевых и государственных стандартов информационной безопасности.
Заказчики ARinteg имеют возможность выполнить в рамках одного проекта требования сразу нескольких стандартов информационной безопасности, актуальных для российских кредитных организаций:
- Стандарта Банка России СТО БР ИББС;
- Федерального закона «О персональных данных» №152-ФЗ;
- Стандарта защиты информации в индустрии платёжных карт PCI DSS.
Выполнение требований сразу нескольких стандартов ИБ в рамках одного проекта позволяет заказчику:
- создать целостную и легко управляемую систему информационной безопасности
- не дублировать технические средства и организационные меры, направленные на выполнение требований стандартов
- сократить затраты на проектные работы.
Информационная безопасность банков: меры, принципы, угрозы
В современном мире хранение банковской информации, ее стоимость и значимость многократно возросли, что, в свою очередь, не могло не привлечь рост преступного интереса к ней.
Необходимость обеспечивать безопасность хранения данных, регулярная смена и проверка паролей и контроль вероятности утечки информации стали неотъемлемой частью работы каждого банка.
Для совершения кражи и взлома банковской системы злоумышленнику вовсе не обязательно врываться в банк. Осуществить взлом пользователь сети может со своего персонального компьютера, поэтому проблема вопроса информационной безопасности в банках стоит достаточно остро.
Меры по обеспечению защиты информации в банке
Банковские информационные системы и базы данных содержат конфиденциальную информацию о клиентах банка, состоянии их счетов и проведении различных финансовых операций.
Необходимость сохранять информационную безопасность этих данных очевидна, но без быстрого и своевременного обмена и обработки информации банковская система даст сбой. Поэтому необходима целая структура, которая сможет обеспечить защиту банковской информации и конфиденциальность клиентской базы.
Последовательность мер по защите этих данных можно представить таким образом:
- оценка и разработка конфиденциальной информации;
- оборудование объекта для осуществления защиты;
- контроль эффективности принятых мер.
Банк может полноценно осуществлять свою деятельность лишь в случае налаженного обмена внутренними данными и надежной системой защиты. Оборудование информационной защиты банковских объектов может иметь различные формы.
Специалисты в области обеспечения информационной безопасности банка могут создавать как локальные системы, так и централизованные программы защиты.
Выбирая конкретную форму защиты, необходимо учитывать все возможные способы взлома и утечки данных. Грамотный и профессиональный подход к обеспечению безопасности подразумевает слаженную работу всех отделений банка и беспрерывное функционирование финансовых систем.
- Разработка комплекса защитных мер по предотвращению нарушения конфиденциальности данных включает в себя ряд определенных действий.
- контроль обмена данных и строгая их регламентация;
- подготовка сотрудников банка и соблюдение ими требований безопасности;
- строгий учет каналов и серверов;
- анализ эффективности.
Каждое направление включает в себя несколько этапов работы. К примеру, контроль обмена данных подразумевает не только обработку скорости передачи информации, но и своевременное уничтожение остаточных сведений. Эта мера также предполагает строгий контроль обработки данных и их криптографическую защиту.
Доступ к данным банка защищается с помощью системы идентификации, то есть паролями или электронными ключам. Работа с персоналом, использующим банковскую систему, включает в себя проведение инструктажей и контроль выполнения необходимых требований.
Строгий учет каналов и серверов, а также меры, обеспечивающие техническую защиту информации и безопасность банка подразумевают защиту резервных копий, обеспечение бесперебойного питания оборудования, содержащего ценную информацию, ограниченный доступ к сейфам и защиту от утечки информации акустическим способом.
Для анализа эффективности принятых мер необходимо вести учет или запись, которые будут отмечать работоспособность и действенность примененных средств защиты информации в банке.
Принципы информационной безопасности банка
Несмотря на множество возможностей взлома и утечки информации, безопасность банковских данных и их конфиденциальность обеспечить вполне возможно.
Современные методы позволили усовершенствовать систему криптографии, а также реализовать такую меру, как электронная цифровая подпись (ЭЦП). Она служит аналогом собственноручной подписи и имеет непосредственную привязку к электронному ключу, который хранится у владельца подписи. Ключ состоит из двух частей: открытой и закрытой, и защищен специальным кодом.
Система безопасности в целом – это непрерывный процесс идентификации, анализа и контроля. Существует ряд основных принципов, согласно которым осуществляется обеспечение информационной безопасности банка:
- своевременное установление и обнаружение проблем;
- возможность прогнозирования развития;
- актуальность и эффективность предпринятых мер.