Файл: Система защиты информации в банковских системах (Безопасность персональных платежей физических лиц).pdf
Добавлен: 26.05.2023
Просмотров: 82
Скачиваний: 4
СОДЕРЖАНИЕ
Глава 1 Характеристика информационной безопасности банков
1.1 Особенности информационной безопасности банков
1.2 Человеческий фактор в обеспечении информационной безопасности
Глава 2 Внутренняя безопасность банка
2.1 Угрозы информационной безопасности банка со стороны персонала
2.2 Кадровая политика с точки зрения информационной безопасности
Глава 3 Организация информационной безопасности
3.1 Безопасность автоматизированных систем обработки информации в банках
3.2 Безопасность электронных платежей
3.3 Безопасность персональных платежей физических лиц
Минусы:
- магнитные карточки можно легко скопировать к имеющимся приборам;
- загрязнение, малое механически влияние на магнитном слое, найденном карточке около сильного электромагнитного поля повредит карточку.
Преимущества:
- стоимость выпуска и обслуживания таких карт низкая;
- индустрия магнитных пластиковых карт развивалась в течение нескольких десятилетий, и в настоящее время более 90% карт являются пластиковыми картами;
- использование магнитной карты оправдано тем, что очень большое количество пользователей и количество изменений карты (например, доступ в гостиничный номер).
Проксимити-карта (см. Приложение 2)
По сути, это развитие идеи электронных маркеров. Это бесконтактная карта (но может быть брелок или браслет), которая содержит чип с уникальным кодом или радиопередатчик. Считыватель оснащен специальной антенной, непрерывно излучающей электромагнитную энергию. Когда карта попадает в это поле, подключается чип карты, и карта отправляет свой уникальный код на считыватель. Для большинств читателей, расстояние стабилизированной деятельности от немного миллиметров до 5 до 15 cм.
Смарт-карта (см. Приложение 2)
В отличие от магнитных карт, смарт-карты содержат микропроцессор и контактных площадок для обмена данными с читателем. Смарт-карта имеет очень высокий уровень безопасности. Это связано с еще самыми важными перспективами развития, такими как ключи, и надеждой многих разработчиков систем защиты.
Технология смарт-карт существует и развивается уже около двадцати лет, но широко используется только в последние годы. Понятно, что смарт-карта, благодаря большому объему памяти и функциям, может управлять ключом, а также передавать и одновременно быть банковской картой. В реальной жизни такое сочетание функций редко применяется.
Работа смарт-карты, ваш компьютер должен быть оснащен специальным устройством: встроенным или внешним кард-ридером. Внешние кард-ридеры могут быть подключены к различным портам компьютера (последовательным, параллельным или клавиатурным портам PS / 2, PCMCIA-slot, SCSI или USB).
Многие карты предлагают другой тип (алгоритм) аутентификации. В процессе электронного обучения участвуют три стороны: держатель карты, Карта, терминальное устройство (ридер-карта). Аутентификация необходима для того, чтобы пользовательское терминальное устройство, куда вставлена карта или программное приложение, в котором сообщаются параметры карты, могло выполнять определенные действия, которые вы сука. Правила доступа настраиваются разработчиком приложения, при создании структур данных на карте.
Электронные токены (ср. Приложение 2)
Сегодня электронные токены (или так называемые. маркерные устройства) широко используются в различных системах, требующих идентификации пользователя или владельца. Хорошо известным примером такого токена является электронный "планшет" (рис. 8.4). "Таблетка" сделана из круглого случая нержавеющей стали и включает обломок при уникально номер написанный на ем. Аутентификация пользователя выполняется после прикосновения, так что" планшет " конкретного контактного устройства, как правило, подключен к последовательному порту компьютера. Таким образом, есть возможность доступа в помещение, но есть возможность, для того чтобы за компьютером или заблокировать компьютер от неавторизованных пользователей.
Для удобства "планшет" можно прикрепить к брелку или выдавить из пластиковой оболочки.
В настоящее время эти устройства широко используются в управлении электромеханическими замками (дверями, воротами, дверями и др.). Однако их" компьютерное " использование также достаточно эффективно.
Все три эти основные группы по своей сути пассивны. Они не выполняют никакой активной работы и не участвуют в процессе аутентификации, а только выдают сохраненный код. Это их основное направление.
Заключение
Таким образом, проблема защиты банковской информации слишком серьезна, чтобы банк мог пренебречь ею. В последнее время в отечественных банках наблюдается большое число случаев нарушения уровня секретности. Примером является появление в свободном доступе различных баз данных на компакт-дисках о коммерческих компаниях и частных лицах. Теоретически, законодательная база для обеспечения защиты банковской информации существует в нашей стране, однако ее применение далеко от совершенства. Пока не было случаев, когда банк был наказан за разглашение информации, когда какая-либо компания была наказана за осуществление попытки получения конфиденциальной информации.
Защита информации в банке - это задача комплексная, которая не может решаться только в рамках банковских программ. Эффективная реализация защиты начинается с выбора и конфигурирования операционных систем и сетевых системных средств, поддерживающих функционирование банковских программ. Среди дисциплинарных средств обеспечения защиты следует выделить два направления: с одной стороны - это минимально достаточная осведомленность пользователей системы об особенностях построения системы; с другой - наличие многоуровневых средств идентификации пользователей и контроля их прав.
В разные моменты своего развития АБС имели различные составляющие защиты. В российских условиях большинство банковских систем по уровню защиты следует отнести к системам первого и второго уровня сложности защиты:
1-й уровень - использование программных средств, предоставляемых стандартными средствами операционных систем и сетевых программ;
2-й уровень - использование программных средств обеспечения безопасности, кодирования информации, кодирования доступа.
Обобщая все вышесказанное, я пришла к выводу, что, работая в банковской сфере, необходимо быть уверенным в том, что корпоративная и коммерческая информация останутся закрытыми. Однако следует заботиться о защите не только документации и иной производственной информации, но и сетевых настроек и параметров функционирования сети на машине.
Задача защиты информации в банке ставится значительно жестче, нежели в других организациях. Решение такой задачи предполагает планирование организационных, системных мероприятий, обеспечивающих защиту. При этом, планируя защиту, следует соблюдать меру между необходимым уровнем защиты и тем ее уровнем, когда защита начинает мешать нормальной работе персонала[25].
Список использованной литературы
- Бузов, Г.А. Защита информации ограниченного доступа от утечки по техническим каналам / Г.А. Бузов. - М.: РиС, 2017. - 586 c.
- Бузов, Г.А. Защита информации ограниченного доступа от утечки по техническим каналам / Г.А. Бузов. - М.: ГЛТ, 2016. - 586 c.
- Бутакова, Н.Г. Криптографическая защита информации / Н.Г. Бутакова, В.А. Семененко, Н.В. Федоров. - М.: МГИУ, 2017. - 316 c.
- Громов, Ю.Ю. Информационная безопасность и защита информации: Учебное пособие / Ю.Ю. Громов, В.О. Драчев, О.Г. Иванова. - Ст. Оскол: ТНТ, 2017. - 384 c.
- Деднев, М.А. Защита информации в банковском деле и электронном бизнесе / М.А. Деднев. - М.: Кудиц-образ, 2014. - 512 c.
- Емельянова, Н.З. Защита информации в персональном компьютере: Учебное пособие / Н.З. Емельянова, Т.Л. Партыка, И.И. Попов. - М.: Форум, 2017. - 368 c.
- Жук, А.П. Защита информации: Учебное пособие / А.П. Жук, Е.П. Жук, О.М. Лепешкин, А.И. Тимошкин. - М.: ИЦ РИОР, НИЦ ИНФРА-М, 2017. - 392 c.
- Игнатьев, В.А. Защита информации в корпоративных информационно-вычислительных сетях: Монография / В.А. Игнатьев. - Ст. Оскол: ТНТ, 2015. - 552 c.
- Ищейнов, В.Я. Защита конфиденциальной информации: Учебное пособие / В.Я. Ищейнов, М.В. Мецатунян. - М.: Форум, 2017. - 256 c.
- Кондратьев, А.В. Организация и содержание работ по выявлению и оценке основных видов ТКУИ, защита информации от утечки: Справочное пособие / А.В. Кондратьев. - М.: МАСКОМ, 2016. - 256 c.
- Максименко, В.Н. Защита информации в сетях сотовой подвижной связи / В.Н. Максименко. - М.: ГЛТ, 2017. - 360 c.
- Максименко, В.Н. Защита информации в сетях сотовой подвижной связи / В.Н. Максименко. - М.: Горячая линия -Телеком, 2017. - 34 c.
- Максименко, В.Н. Защита информации в сетях сотовой подвижной связи. / В.Н. Максименко, В.В. Афанасьев, Н.В. Волков. - М.: Горячая линия -Телеком , 2017. - 34 c.
- Малюк, А.А. Защита информации в информационном обществе: Учебное пособие для вузов / А.А. Малюк. - М.: ГЛТ, 2015. - 230 c.
- Некраха, А.В. Организация конфиденциального делопроизводства и защита информации / А.В. Некраха. - М.: Академический проект, 2017. - 224 c.
- Рагозин, Ю.Н. Инженерно-техническая защита информации / Ю.Н. Рагозин. - М.: МГИУ, 2017. - 60 c.
- Северин, В.А. Комплексная защита информации на предприятии / В.А. Северин. - М.: Городец, 2017. - 368 c.
- Сергеева, Ю.С. Защита информации. Конспект лекций / Ю.С. Сергеева. - М.: А-Приор, 2017. - 128 c.
- Хорев, П.Б. Программно-аппаратная защита информации: Учебное пособие / П.Б. Хорев. - М.: Форум, 2017. - 352 c.
- Чекалин Защита информации в системах мобильной связи / Чекалин и др. - М.: Горячая линия -Телеком, 2015. - 171 c.
- Чекалин, А.А. Защита информации в системах мобильной связи / А.А. Чекалин. - М.: ГЛТ, 2015. - 171 c.
- Черников, В.В. Защита информации в офисе: Учебное пособие для ВУЗов / В.В. Черников. - М.: Проспект, 2017. - 333 c.
- Шаньгин, В.Ф. Защита компьютерной информации. Эффективные методы и средства / В.Ф. Шаньгин. - М.: ДМК, 2016. - 544 c.
- Шаньгин, В.Ф. Защита информации в компьютерных системах и сетях / В.Ф. Шаньгин. - М.: ДМК Пресс, 2017. - 592 c.
- Шаньгин, В.Ф. Комплексная защита информации в корпоративных системах: Учебное пособие / В.Ф. Шаньгин. - М.: ИД ФОРУМ, НИЦ ИНФРА-М, 2017. - 592 c.
- Шаньгин, В.Ф. Информационная безопасность и защита информации / В.Ф. Шаньгин. - М.: ДМК, 2016. - 702 c.
- Шаньгин, В.Ф. Комплексная защита информации в корпоративных системах: Учебное пособие / В.Ф. Шаньгин. - М.: Форум, 2016. - 592 c.
Приложения
Приложение 1
Список персонала типичной АСОИБ и соответствующая степень риска от каждого из них:
1. Наибольший риск: системный контролер и администратор безопасности.
2. Повышенный риск: оператор системы, оператор ввода и подготовки данных, менеджер обработки, системный программист.
3. Средний риск: инженер системы, менеджер программного обеспечения.
4. Ограниченный риск: прикладной программист, инженер или оператор по связи, администратор баз данных, инженер по оборудованию, оператор периферийного оборудования, библиотекарь системных магнитных носителей, пользователь-программист, пользователь-операционист.
5. Низкий риск: инженер по периферийному оборудованию, библиотекарь магнитных носителей пользователей, пользователь сети.
Приложение 2
Рис. 1 Магнитная карточка
Рис. 2 Proximity-карта
Рис. 3 Смарт-карта
Рис. 4 Электронные жетоны
Приложение 3
Статистика потерь для Visa и MasterCard |
|
Причина |
Доля в общих потерях, % |
Мошенничество продавца |
22.6 |
Украденные карты |
17.2 |
Подделка карт |
14.3 |
Изменение рельефа карты |
8.1 |
Потерянные карты |
7.5 |
Неправильное применение |
7.4 |
Мошенничество по телефону |
6.3 |
Мошенничество при пересылке почтой |
4.5 |
Почтовое мошенничество |
3.6 |
Кражи при производстве пересылке |
2.9 |
Сговор с владельцем карточки |
2.1 |
Прочие |
3.5 |
-
Игнатьев, В.А. Защита информации в корпоративных информационно-вычислительных сетях: Монография / В.А. Игнатьев. - Ст. Оскол: ТНТ, 2015. - 552 c. ↑
-
Максименко, В.Н. Защита информации в сетях сотовой подвижной связи / В.Н. Максименко. - М.: Горячая линия -Телеком, 2017. - 34 c. ↑
-
Бузов, Г.А. Защита информации ограниченного доступа от утечки по техническим каналам / Г.А. Бузов. - М.: РиС, 2017. - 586 c. ↑
-
Хорев, П.Б. Программно-аппаратная защита информации: Учебное пособие / П.Б. Хорев. - М.: Форум, 2017. - 352 c. ↑
-
Бузов, Г.А. Защита информации ограниченного доступа от утечки по техническим каналам / Г.А. Бузов. - М.: ГЛТ, 2016. - 586 c. ↑
-
Бутакова, Н.Г. Криптографическая защита информации / Н.Г. Бутакова, В.А. Семененко, Н.В. Федоров. - М.: МГИУ, 2017. - 316 c. ↑
-
Громов, Ю.Ю. Информационная безопасность и защита информации: Учебное пособие / Ю.Ю. Громов, В.О. Драчев, О.Г. Иванова. - Ст. Оскол: ТНТ, 2017. - 384 c. ↑
-
Шаньгин, В.Ф. Комплексная защита информации в корпоративных системах: Учебное пособие / В.Ф. Шаньгин. - М.: Форум, 2016. - 592 c. ↑
-
Чекалин Защита информации в системах мобильной связи / Чекалин и др. - М.: Горячая линия -Телеком, 2015. - 171 c. ↑
-
Шаньгин, В.Ф. Информационная безопасность и защита информации / В.Ф. Шаньгин. - М.: ДМК, 2016. - 702 c. ↑
-
Максименко, В.Н. Защита информации в сетях сотовой подвижной связи / В.Н. Максименко. - М.: ГЛТ, 2017. - 360 c. ↑
-
Некраха, А.В. Организация конфиденциального делопроизводства и защита информации / А.В. Некраха. - М.: Академический проект, 2017. - 224 c ↑
-
Максименко, В.Н. Защита информации в сетях сотовой подвижной связи. / В.Н. Максименко, В.В. Афанасьев, Н.В. Волков. - М.: Горячая линия -Телеком , 2017. - 34 c. ↑
-
Емельянова, Н.З. Защита информации в персональном компьютере: Учебное пособие / Н.З. Емельянова, Т.Л. Партыка, И.И. Попов. - М.: Форум, 2017. - 368 c. ↑
-
Малюк, А.А. Защита информации в информационном обществе: Учебное пособие для вузов / А.А. Малюк. - М.: ГЛТ, 2015. - 230 c. ↑
-
Ищейнов, В.Я. Защита конфиденциальной информации: Учебное пособие / В.Я. Ищейнов, М.В. Мецатунян. - М.: Форум, 2017. - 256 c ↑
-
Шаньгин, В.Ф. Защита информации в компьютерных системах и сетях / В.Ф. Шаньгин. - М.: ДМК Пресс, 2017. - 592 c. ↑
-
Черников, В.В. Защита информации в офисе: Учебное пособие для ВУЗов / В.В. Черников. - М.: Проспект, 2017. - 333 c. ↑
-
Кондратьев, А.В. Организация и содержание работ по выявлению и оценке основных видов ТКУИ, защита информации от утечки: Справочное пособие / А.В. Кондратьев. - М.: МАСКОМ, 2016. - 256 c. ↑
-
Шаньгин, В.Ф. Комплексная защита информации в корпоративных системах: Учебное пособие / В.Ф. Шаньгин. - М.: ИД ФОРУМ, НИЦ ИНФРА-М, 2017. - 592 c. ↑
-
Жук, А.П. Защита информации: Учебное пособие / А.П. Жук, Е.П. Жук, О.М. Лепешкин, А.И. Тимошкин. - М.: ИЦ РИОР, НИЦ ИНФРА-М, 2017. - 392 c. ↑
-
Деднев, М.А. Защита информации в банковском деле и электронном бизнесе / М.А. Деднев. - М.: Кудиц-образ, 2014. - 512 c. ↑
-
Рагозин, Ю.Н. Инженерно-техническая защита информации / Ю.Н. Рагозин. - М.: МГИУ, 2017. - 60 c. ↑
-
Северин, В.А. Комплексная защита информации на предприятии / В.А. Северин. - М.: Городец, 2017. - 368 c. ↑
-
Сергеева, Ю.С. Защита информации. Конспект лекций / Ю.С. Сергеева. - М.: А-Приор, 2017. - 128 c. ↑