Файл: Система защиты информации в банковских системах (Безопасность персональных платежей физических лиц).pdf

Со времени своего появления банки неизменно вызывали преступный интерес. И этот интерес был связан не только с хранением в кредитных организациях денежных средств, но и с тем, что в банках сосредотачивалась важная и зачастую секретная информация о финансовой и хозяйственной деятельности многих людей, компаний, организаций и даже целых государств. В настоящее время в результате повсеместного распространения электронных платежей, пластиковых карт, компьютерных сетей объектом информационных атак стали непосредственно денежные средства как банков, так и их клиентов. Совершить попытку хищения может любой — необходимо лишь наличие компьютера, подключенного к сети Интернет.

Причем для этого не требуется физически проникать в банк, можно "работать" и за тысячи километров от него. Именно эта проблема является сейчас наиболее актуальной и наименее исследованной. Если в обеспечении физической и классической информационной безопасности давно уже выработаны устоявшиеся подходы (хотя развитие происходит и здесь), то в связи с частыми радикальными изменениями в компьютерных технологиях методы безопасности автоматизированных систем обработки информации банка (АСОИБ) требуют постоянного обновления.

Как показывает практика, не существует сложных компьютерных систем, не содержащих ошибок. А поскольку идеология построения крупных АСОИБ регулярно меняется, то исправления найденных ошибок и "дыр" в системах безопасности хватает ненадолго, так как новая компьютерная система приносит новые проблемы и новые ошибки, заставляет по-новому перестраивать систему безопасности.

На мой взгляд, каждый заинтересован в конфиденциальности своих персональных данных, предоставляемых банкам. Исходя из этого, написание данного реферата и изучение данной проблемы, на мой взгляд, представляется не только интересным, но и крайне полезным.

Целью данной курсовой работы является изучение системы защиты информации в банковских системах.

Для реализации поставленной цели необходимо выполнить ряд задач:

- Изучить особенности информационной безопасности банков;

- Рассмотреть человеческий фактор в обеспечении информационной безопасности;

- Изучить угрозы информационной безопасности банка со стороны персонала;

- Рассмотреть кадровую политику с точки зрения информационной безопасности;

- Изучить безопасность автоматизированных систем обработки информации в банках;

- Рассмотреть безопасность электронных платежей;

- Изучить безопасность персональных платежей физических лиц и т.д.

При написании данной работы были использованы современные научные и учебные источники.

Глава 1 Характеристика информационной безопасности банков

1.1 Особенности информационной безопасности банков

Банковская информация всегда была объектом пристального интереса всякого рода злоумышленников. Любое банковское преступление начинается с утечки информации. Автоматизированные банковские системы являются каналами для таких утечек. С самого начала внедрения автоматизированных банковских систем (АБС) они стали объектом преступных посягательств.^[1]

Так, известно, что в августе 1995 г. в Великобритании был арестован 24-летний российский математик Владимир Левин, который при помощи своего домашнего компьютера в Петербурге сумел проникнуть в банковскую систему одного из крупнейших американских банков Citibank и попытался снять с его счетов крупные суммы. По сведениям московского представительства Citibank, до тех пор подобное никому не удавалось. Служба безопасности Citibank выяснила, что у банка пытались похитить $2,8 млн., но контролирующие системы вовремя это обнаружили и заблокировали счета. Украсть же удалось лишь $400 тысяч^[2].

В США сумма ежегодных убытков банковских учреждений от незаконного использования компьютерной информации составляет, по оценкам экспертов, от 0,3 до 5 млрд. долларов. Информация - это аспект общей проблемы обеспечения безопасности банковской деятельности.^[3]

В связи с этим, стратегия информационной безопасности банков весьма сильно отличается от аналогичных стратегий других компаний и организаций. Это обусловлено, прежде всего, специфическим характером угроз, а также публичной деятельностью банков, которые вынуждены делать доступ к счетам достаточно легким с целью удобства для клиентов.

Обычная компания строит свою информационную безопасность, исходя лишь из узкого круга потенциальных угроз — главным образом защита информации от конкурентов (в российских реалиях основной задачей является защита информации от налоговых органов и преступного сообщества с целью уменьшения вероятности неконтролируемого роста налоговых выплат и рэкета).^[4] Такая информация интересна лишь узкому кругу заинтересованных лиц и организаций и редко бывает ликвидна, т.е. обращаема в денежную форму.

Информационная безопасность банка должна учитывать следующие специфические факторы:

1. Хранимая и обрабатываемая в банковских системах информация представляет собой реальные деньги. На основании информации компьютера могут производиться выплаты, открываться кредиты, переводиться значительные суммы.^[5] Вполне понятно, что незаконное манипулирование с такой информацией может привести к серьезным убыткам. Эта особенность резко расширяет круг преступников, покушающихся именно на банки (в отличие от, например, промышленных компаний, внутренняя информация которых мало кому интересна).^[6]

2. Информация в банковских системах затрагивает интересы большого количества людей и организаций — клиентов банка. Как правило, она конфиденциальна, и банк несет ответственность за обеспечение требуемой степени секретности перед своими клиентами. Естественно, клиенты вправе ожидать, что банк должен заботиться об их интересах, в противном случае он рискует своей репутацией со всеми вытекающими отсюда последствиями.

3. Конкурентоспособность банка зависит от того, насколько клиенту удобно работать с банком, а также насколько широк спектр предоставляемых услуг, включая услуги, связанные с удаленным доступом. Поэтому клиент должен иметь возможность быстро и без утомительных процедур распоряжаться своими деньгами. Но такая легкость доступа к деньгам повышает вероятность преступного проникновения в банковские системы.

4. Информационная безопасность банка (в отличие от большинства компаний) должна обеспечивать высокую надежность работы компьютерных систем даже в случае нештатных ситуаций, поскольку банк несет ответственность не только за свои средства, но и за деньги клиентов.

5. Банк хранит важную информацию о своих клиентах, что расширяет круг потенциальных злоумышленников, заинтересованных в краже или порче такой информации.

К сожалению, в наши дни, в связи с высоким развитием технологий, даже предельно жесткие организационные меры по упорядочению работы с конфиденциальной информацией не защитят от ее утечки по физическим каналам. Поэтому системный подход к защите информации требует, чтобы средства и действия, используемые банком для обеспечения информационной безопасности (организационные, физические и программно-технические), рассматривались как единый комплекс взаимосвязанных, взаимодополняющих и взаимодействующих мер.^[7] Такой комплекс должен быть нацелен не только на защиту информации от несанкционированного доступа, но и на предотвращение случайного уничтожения, изменения или разглашения информации^[8].

1.2 Человеческий фактор в обеспечении информационной безопасности

Преступления, в том числе в информационном поле, совершаются людьми. Большинство систем не могут нормально функционировать без участия человека. Система пользователя, с другой стороны, является ее неотъемлемой частью, а с другой стороны, она является причиной и силой преступления или преступления. Проблемы системы безопасности (как у компьютера), поэтому чаще всего возникают вещи, отношения и поведение людей. Это особенно актуально в области информационной безопасности, утечка информации в большинстве случаев происходит по вине сотрудников банка.^[9]

При анализе защиты от нарушений следует уделять большое внимание не только самому факту (т. е. целевому нарушению), но и личности правонарушителя, то есть разве что нарушению. Такое внимание помогает понять мотивы и, возможно, избежать повторения подобных ситуаций.

Ценность такого анализа обусловлена еще и тем, что преступления без причины (если они не являются халатными) очень и очень редки.

Изучив причины преступлений или нарушений, вы можете либо повлиять на причину (если это возможно), либо сосредоточиться на системе защиты от данного вида преступлений или нарушений.

Прежде всего, что послужило источником оскорбления, как бы то ни было, у всех нарушителей есть одна общая черта - доступ к системе. Соединение может быть разным, разные права, разные части системы, через сеть, но оно должно быть.

Глава 2 Внутренняя безопасность банка

2.1 Угрозы информационной безопасности банка со стороны персонала

По данным Datapro Information Services Group 81.7% нарушений совершаются самими служащими организации, имеющими доступ к ее системе, и только 17.3% нарушений совершаются лицами со стороны (1% приходится на случайных лиц). По другим данным, физическое разрушение составляет около 25% нарушений (пожар, наводнение, порча) и только 1-2% составляют нарушения со стороны посторонних лиц. На долю служащих, таким образом, остается 73-74% всех преступлений. Различаясь в цифрах, результаты обоих исследований говорят об одном: главный источник нарушений — внутри самой АСОИБ. И вывод отсюда также однозначен: неважно, есть ли у АСОИБ связи с внешним миром и есть ли внешняя защита, но внутренняя защита должна быть обязательно.^[10]

Можно выделять четыре основные причины нарушений: безответственность, самоутверждение, месть и корыстный интерес пользователей (персонала) АСОИБ.

Если нарушения вызваны безответственностью, то пользователь умышленно или случайно совершает разрушительное действие, не связанное, однако, злонамеренное. В большинстве случаев, это связано с некомпетентностью или халатностью. Вряд ли разработчики системы защиты могут предвидеть все подобные ситуации. Кроме того, во многих случаях система может предотвратить подобные нарушения в принципе (например, случайное уничтожение вашего набора данных). Иногда такие нарушения могут быть вызваны ошибками, связанными с обеспечением надлежащей защиты окружающей среды. Даже самая лучшая защищенная система скомпрометирована, если она неграмотна. Наряду с недостаточной подготовкой пользователей к точному соблюдению защитных мер, данный фактор может сделать систему восприимчивой к данному виду нарушений.

Некоторые пользователи сохраняют доступ к материалам системы, чтобы иметь большой успех, начиная игру в режиме "пользователь против системы" ради самосознания, либо собственными глазами, либо в глазах коллег. Хотя их намерения могут быть и безвредными, эксплуатация природных ресурсов aaib считается нарушением политики безопасности. Пользователи с более серьезными намерениями, чтобы найти конфиденциальные данные, пытаются разрушить или уничтожить их в то же время. Такое злоупотребление называется системой самочувствия. Большинство систем имеют несколько способов борьбы с такого рода "шалости". При необходимости администратор безопасности может использовать их временно или постоянно.^[11]

Нарушения безопасности ASAIB могут быть вызваны тем, что корыстные интересы пользователя системы. В этом случае он намеренно пытается победить систему безопасности, используя сохраненную, отправленную и обработанную aaib информацию. Хотя ASAIB имеет инструменты, которые делают этот вид проникновения очень трудно полностью защитить его от проникновения почти невозможно. Оно, в которое удалось проникнуть - очень квалифицировано и опасно. Проникновение-наиболее опасные виды нарушений, однако, оно встречается очень редко, поскольку требует исключительной ловкости и усидчивости.

Как показывает практика, ущерб от каждого нарушения обратно пропорционален его частоте: в большинстве случаев имеют место нарушения, вызванные халатностью и безответственностью, обычно ущерб от них незначителен и легко компенсируется. Например, можно восстановить случайно уничтоженный набор данных, если вы сразу заметили ошибку. Если данные важные, то необходимо поддерживать регулярно обновляемые резервные копии, поэтому повреждения практически незаметны.