Файл: Система защиты информации в банковских системах (Понятие и значение информационной безопасности в банковской деятельности ).pdf
Добавлен: 23.05.2023
Просмотров: 95
Скачиваний: 3
СОДЕРЖАНИЕ
1. ОСНОВЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В БАНКОВСКОЙ СИСТЕМЕ
1.1 Понятие и значение информационной безопасности в банковской деятельности
1.3 Проблемы безопасности расчетов пластиковыми картами
2. СИСТЕМА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОАО «БАНК «ОТКРЫТИЕ»
2.1 Краткая характеристика ОАО «БАНК «ОТКРЫТИЕ»
2.2 Порядок проведения работа по обеспечению информационной безопасности в ОАО «БАНК «ОТКРЫТИЕ»
2.3 Защита информации в автоматизированных системах и сетях ОАО «БАНК «ОТКРЫТИЕ»
ВВЕДЕНИЕ
Современные коммерческие банки всё чаще сталкиваются с проблемой нарушения параметров защиты информационного и программного обеспечения банка, связанной с несанкционированными действиями легальных пользователей – сотрудников банка. Ведущие коммерческие банки страны ставят задачи усовершенствования механизмов и технологий контроля работы с информационным и программным обеспечением. В настоящее время банки используют интегрированные информационные среды, технологии классов CALS, ERP, MRP, SCADA, CAD/CAM/CAE, применение которых предполагает наличие высокого уровня защиты информационного и программного обеспечения. Существует ряд систем предотвращения несанкционированного использования информационного и программного обеспечения, но ни одна из них не обеспечивает комплексной защиты ресурсов банка.
Необходимость обеспечения комплексной защиты информационных и программных ресурсов требует разработки единой, интегрированной в основную информационную среду банка, системы, основной задачей которой является предотвращение максимального количества видов «инсайдерских» атак. Сложность структуры информационного и программного обеспечения коммерческого банка определяет сложность структуры разрабатываемой автоматизированной системы разграничения доступа к информационному и программному обеспечению (АСРДкИПО).
Цель настоящей работы – рассмотреть систему защиты информации в банковских системах
Для достижения поставленной цели в ходе работы решены следующие задачи:
- изучены основные положения по информационной безопасности банковских систем;
- рассмотрена система информационной безопасности ОАО «БАНК «ОТКРЫТИЕ».
1. ОСНОВЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В БАНКОВСКОЙ СИСТЕМЕ
1.1 Понятие и значение информационной безопасности в
банковской деятельности
Развитие информационных технологий и внедрение их во все сферы деятельности влечет за собой не только повышение качества жизни и ведения бизнеса, но и порождает новые проблемы – проблемы информационной безопасности. С каждым годом увеличивается количество компьютерных преступлений, в том числе трансграничных, возрастают их корыстная направленность, наносимый ими материальный ущерб. Информационные технологии все чаще используются для совершения традиционных преступлений – хищений, вымогательств, мошенничества и террористической деятельности.
Важнейшей частью информационной безопасности любого государства является информационная безопасность в банковской деятельности. Вопросы обеспечения информационной безопасности каждого банка являются жизненно важными в силу ряда причин:
- с точки зрения информационной безопасности банк как сосредоточение «живых» денег – организация повышенного риска, незаконное манипулирование с информацией из автоматизированной системы которой может привести к серьезным убыткам;
- современный банк предоставляет большое число сервисов, связанных с удаленным доступом к его информационной системе (персональный интернет-банкинг, интернет-доступ к финансовым рынкам, электронный документооборот и многое другое). С этих позиций банк – «точка пересечения» публичных сетей (Интернет) и коммерческих финансовых сетей;
- банки обладают сложными информационными системами, которые включают большой набор «бэк-офисных» и «фронт-офисных» приложений, нередко гетерогенных, а управление ими осложняется территориальной распределенностью, наличием у банков филиалов и дополнительных офисов. При этом информационная система современного банка является основой функционирования почти всех его основных бизнес-процессов;
- банк хранит персональные данные граждан и конфиденциальную информацию своих клиентов – юридических лиц;
- банки выполняют особую роль посредников при расчетах экономических субъектов. Негативные последствия сбоев в работе даже отдельных кредитных организаций в принципе могут привести к развитию кризиса платежной системы страны.
Указанные причины заставляют предъявлять жесткие требования к защите информационной системы современного банка. Основными из этих требований являются комплексность, интегрируемость, адекватность финансовым затратам, легитимность, управляемость, масштабность и отказоустойчивость. Следует отметить, что многие банковские информационные системы, как и большинство информационных систем, не обрабатывающих государственную секретную информацию, создавались стихийно. Соответственно, сложился разный уровень состояния информационной защищенности кредитных организаций.
Проблема защиты банковской информации и формирования систем информационной безопасности – одна из самых актуальных в настоящее время. Активное участие в развитии указанного направления принимает Банк России, регулярно публикуя стандарты в области информационной безопасности: Стандарт Банка России СТО БР ИББС–1.1–2007 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации; Аудит информационной безопасности»; Стандарт Банка России СТО БР ИББС–1.2–2010 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям стандарта СТО БР ИББС–1.0–2010»; Стандарт Банка России СТО БР ИББС–1.0–2010 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения». Большинство кредитных организаций сейчас находится на этапе внедрения требований Банка России и, по прогнозам, на рекомендуемый уровень соответствия требованиям выйдут через 1–3 года[1].
Построение надежной системы информационной безопасности, адекватной вложенным в нее средствам, непростая задача. Эффективная защита невозможна без комплекса организационных мер. Прежде всего должны быть определены цели, задачи, приоритеты и риски в области информационной безопасности, и с учетом этих факторов сформулированы требования к системе информационной безопасности, разработана политика информационной безопасности, ее регламенты, процедуры. Обеспечение информационной безопасности в банках должно быть постоянным и непрерывным процессом, а применяемые меры должны носить комплексный и преимущественно превентивный характер.
Информационная безопасность банка – состояние защищенности интересов организации в условиях наличия угроз в информационной сфере, обеспечивающее формирование, использование и дальнейшее развитие информационной среды банка. Соответственно, защита информации представляет собой деятельность, направленную, в частности, на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на нее, и другие действия, т. е. деятельность, направленную на достижение и поддержание состояния защищенности нуждающейся в этом информации. Защита конфиденциальности, целостности и доступности информации банка является частью процесса обеспечения его информационной безопасности.
Проблемы защиты информации в банке связаны прежде всего с обширностью и емкостью информации, с разнообразием и техническими характеристиками используемого аппаратного обеспечения и территориальной удаленностью информационных каналов для пользователей информации.
Проанализировав возможные угрозы надлежащему хранению информации в банке, авторы составили рейтинг (на основе мнения специалистов) значительности угроз:
- преднамеренное хищение информации внутри организации;
- халатность сотрудников, допустивших утечку информации;
- аппаратные и программные сбои;
- вредоносные программы;
- внешнее финансовое мошенничество;
- хакерские атаки;
- стихийные бедствия и катаклизмы.
Угрозы банковским информационным системам, их конкретные проявления и причины возникновения представлены в таблице 1.
Таблица 1
Угрозы банковским информационным системам
Угрозы банковским информационным системам |
Проявления угроз |
Причина возникновения угроз банковским информационным |
Преднамеренное хищение / изменение информации внутри организации |
несанкционированный доступ к секретной или конфиденциальной информации как банка, так и клиента и ее хищение или искажение преднамеренная порча электронных данных и их носителей при их хранении в банке, в ходе записи или перевозки |
мошенничество сотрудников и низкий уровень внутреннего контроля |
Халатность сотрудников, допустивших утечку информации |
внедрение в линию связи между другими участниками расчетов в системе интернет-банкинга в качестве активного тайного ретранслятора осуществлением платежей по счетам клиентов на основании сфальсифицированных поручений |
низкая квалификация персонала и низкий уровень внутреннего контроля |
Аппаратные и программные сбои |
изменение функций программного обеспечения поломка аппаратуры |
устаревание и износ программно- технических средств использование некачественного программного обеспечения |
Вредоносные программы |
DDoS-атаки («зомби»-сеть) рассылка вирусов по электронной почте фишинговые атаки |
устаревание и износ программно- технических средств использование некачественного программного обеспечения |
Внешнее финансовое мошенничество |
представление себя в качестве другого лица с целью уклонения от ответственности, либо отказа от обязательств, либо использования прав третьего лица для: отправки фальсифицированного электронного сообщения на проведение банковской операции; фальсификации или кражи идентификационных данных или их носителей; фальсификации авторизации трансакций или их подтверждения считывающие информацию на банковских картах устройства в банкоматах (скимминговые устройства) |
высокий уровень преступности в обществе и низкий уровень информационной безопасности банков |
Хакерские атаки |
провоцирование других участников взаимодействия в системе интернет-банкинга на нарушение правил обмена электронными сообщениями фальсификация или кража данных |
высокий уровень преступности в обществе и низкий уровень информационной безопасности банков |
Стихийные бедствия и катаклизмы, вандализм пользователей |
поломка, выход из рабочего состояния оборудования банка преднамеренная порча оборудования банка |
недостаточная пожарная и техническая безопасность помещений банка низкий культурный уровень в обществе |
Анализ структуры приведенных выше возможных информационных угроз показывает, что наибольший вред могут принести внутренние, а не внешние угрозы. Таким образом, информационная безопасность – не только техническая сфера, не только сфера информационных технологий, но также и область корпоративного управления и эффективной организации бизнеса.
1.2 Анализ автоматизированных методов построения управления
доступом к информационному и программному обеспечению банка
На сегодняшний день существует множество систем защиты информационного и программного обеспечения от внутренних угроз. Одной из наиболее популярных технологий является технология IPC (Information Protection and Control). Основные функции, выполняемые технологией IPC:
- предотвращение различных видов утечек информационных ресурсов;
- защита информационных и программных ресурсов от внутренних угроз;
- предупреждение промышленного шпионажа.
К информационным ресурсам банка относятся:
- данные банка о разработках, проектах;
- персональные данные сотрудников банка.
К данным банка о проектах можно отнести:
- технические задания;
- программные коды разработок;
- проектно-конструкторскую документацию;
- сопровождающую документацию;
- экономические характеристики проектов.
К персональным данным сотрудников банка относятся:
- номера паспортов;
- номера документов, заверяющих личность;
- номера страховок;
- номера кредитных и дебетовых банковских карт.
Информация в коммерческом банке может существовать в различных формах:
- в бумажной форме;
- в электронном виде;
- устно.
В электронном виде информация может передаваться как в локально-вычислительной сети (ЛВС), так и в глобальной вычислительной сети (ГВС). Безотносительно формы выражения информационных ресурсов, средств их распространения или хранения они должны всегда быть защищены. В банке большая часть информационных ресурсов хранится в электронном виде. Это, в первую очередь, связано с повсеместным внедрением:
- электронного документооборота;
- интеграционных средств поддержки;
- единых сред обработки большого количества информации;
- технологии непрерывной информационной поддержки поставок и жизненного цикла изделий CALS;
- технологии планирования ресурсов банка ERP;
- технологии управления и сбора данных систем реального времени SCADA;
- технологии проектирования CAD/CAM/CAE;
- применение дополнительных вспомогательных программных модулей и комплексов.
При проектировании специального программного обеспечения (ПО), используемого сотрудниками банка при выполнении своих должностных обязанностей, должны учитываться требования методики защиты ПО банка. Примером такого специального ПО являются среды программирования:
- Oracle JDevelope;
- Microsoft Visual Studio;
- Embarcadero RAD Studio;
и среды проектирования:
- AutoCAD;
- ProEngineer;
- T-Flex;
редакторы-верификаторы G-кода:
- NCManager;
- CIMCO Edit;
- cgtech VERICUT;
текстовые редакторы:
- Microsoft Word;
- TEX.
Технология Information Protection and Control (IPC) является технологией защиты информационных ресурсов от внутренних угроз. Решения класса IPC предназначены для защиты информационных ресурсов от внутренних угроз, предотвращения различных видов утечек информационных ресурсов, промышленного шпионажа и разведки.
Задача технологии IPC – предотвращение передачи информационных ресурсов за пределы периметра основной информационной системы.
Технология IPC соединяет в себе три основных принципа:
- мониторинг технических каналов связи с помощью технологии Data Loss Prevention (DLP);
- контроль доступа к сети, приложениям и данным;
- шифрование носителей информации.
В ходе работы систем IPC широко используется детектирование информационного контента. Детектирование информационного контента может происходить с помощью следующих методов:
- метод ручного детектирования («Карантин»);
- метод «цифровых отпечатков»;
- метод сигнатур;
- метод, основанных на проставлении меток;
- метод лингвистического анализа;
- метод, основанный на «регулярных выражениях».
Метод ручного детектирования («Карантин») основан на применении ручной проверки. При обращении сотрудника к файлам, содержащим конфиденциальные данные, производится информирования сотрудников отдела информационной безопасности банка, которые принимают решение о дальнейших действиях: предоставлении сотруднику запрашиваемых данных или отказе в доступе.