Fizička zaštita informacija u banci. Zaštita bankovnih podataka. Standardi i tehnički propisi

V moderni svijet skladištenje bankovne informacije, njegova vrijednost i značaj višestruko su porasli, što, pak, nije moglo ne privući porast kriminalnog interesa za njega.

Potreba osiguranja sigurnosti pohrane podataka, redovita promjena i provjera lozinki te kontrola vjerojatnosti curenja informacija postali su sastavni dio rada svake banke.

Napadač ne mora provaliti u banku da bi počinio krađu i hakiranje bankovnog sustava. Korisnik mreže može hakirati sa svog osobnog računala, tako da je problem informacijske sigurnosti u bankama prilično akutan.

Bankovni informacijski sustavi i baze podataka sadrže povjerljive podatke o klijentima banke, stanju njihovih računa i raznim financijskim transakcijama.

Potreba za očuvanjem informacijske sigurnosti ovih podataka je očita, no bez brze i pravovremene razmjene i obrade informacija bankovni sustav će propasti. Stoga je potrebna cjelina koja može osigurati zaštitu bankovnih podataka i povjerljivost baze klijenata.

Slijed mjera za zaštitu ovih podataka može se prikazati na sljedeći način:

• procjena i razvoj povjerljivih informacija;
• opremanje objekta za provedbu zaštite;
• praćenje učinkovitosti poduzetih mjera.

Banka može u potpunosti obavljati svoje aktivnosti samo u slučaju uspostavljene razmjene internih podataka i pouzdan sustav zaštita. Oprema za informacijsku sigurnost za bankovne objekte može imati različite oblike.

Pristup bankovnim podacima zaštićen je identifikacijskim sustavom, odnosno lozinkom ili elektroničkim ključevima. Rad s osobljem putem bankarskog sustava uključuje provođenje brifinga i praćenje ispunjavanja potrebnih zahtjeva.

Strogo računovodstvo kanala i poslužitelja, kao i mjere za osiguranje tehničke zaštite informacija i sigurnosti banke podrazumijevaju zaštitu sigurnosnih kopija, osiguravanje nesmetanog napajanja opreme koja sadrži vrijedne informacije, ograničen pristup sefovima i zaštitu od curenja informacija od strane akustična sredstva.

Za analizu učinkovitosti poduzetih mjera potrebno je voditi evidenciju ili evidenciju u kojoj će se zabilježiti učinkovitost i djelotvornost mjera koje se primjenjuju u banci.

Načela sigurnosti informacija o bankama

Unatoč brojnim prilikama za hakiranje i curenje informacija, sasvim je moguće osigurati sigurnost bankovnih podataka i njihovu povjerljivost.

Suvremene metode omogućile su poboljšanje kriptografskog sustava, kao i implementaciju takve mjere kao što je elektronički digitalni potpis (EDS). Služi kao analog svojeručnog potpisa i izravno je povezan s elektroničkim ključem koji čuva vlasnik potpisa. Ključ se sastoji od dva dijela: otvorenog i zatvorenog, a zaštićen je posebnom šifrom.

Sigurnosni sustav u cjelini je kontinuirani proces identifikacije, analize i kontrole. Postoji niz osnovnih načela prema kojima se osigurava informacijska sigurnost banke:

• pravodobno prepoznavanje i otkrivanje problema;
• sposobnost predviđanja razvoja;
• relevantnost i učinkovitost poduzetih mjera.

Također je potrebno naglasiti važnost pažljivog i redovitog rada s osobljem, jer osiguranje sigurnosti informacija uvelike ovisi o kvalitetnom i točnom ispunjavanju zahtjeva koje postavlja sigurnosna služba.

Prijetnje sigurnosti bankovnih informacija

Ljudski faktor je glavna i glavna prijetnja informacijskoj sigurnosti, koja izravno ovisi o ljudskim odnosima. Većina curenja informacija pripisuje se nemaru osoblja banke.

Prema statistikama, oko 80% prekršaja čine zaposlenici banaka, odnosno oni koji su izravno imali ili imaju pristup podacima.

Međutim, osiguranje interne informacijske sigurnosti banke iznimno je nužna mjera ne samo za zaštitu povjerljivosti podataka od profesionalne nepažnje i nemara, već i od namjernog hakiranja baze podataka.

osim unutarnji faktor, postoji i tehnička prijetnja informacijskoj sigurnosti obje banke i. Tehničke prijetnje uključuju hakiranje informacijskih sustava od strane osoba koje nemaju izravan pristup sustavu, kriminalnih ili konkurentskih organizacija.

Uklanjanje i primanje informacija u ovom slučaju provodi se pomoću posebne audio ili video opreme. Jedan od suvremenih oblika hakiranja je korištenje električnog i elektromagnetskog zračenja, koje napadačima pruža mogućnost dobivanja povjerljivih informacija i predstavlja tehničku prijetnju od curenja.

Računalni sustavi su neophodan alat za rad banke, ali je ujedno i jedna od najranjivijih točaka navodnog tehničkog curenja.

Opasnost i prijetnju softveru mogu predstavljati i razni računalni virusi, softverske oznake koje su štetne za medij za pohranu, a koje su u stanju uništiti unesene kodove.

Najpoznatiji način rješavanja problema virusnog softvera su licencirani antivirusni programi koji se uspješno nose s ovim problemom.

Kompetentni stručnjak u ovom području i softver koji vam omogućuje praćenje i blokiranje prijenosa informacija na prijenosne medije (na primjer, flash pogone) pomoći će u zaštiti bankovnih podataka od unutarnjih i vanjskih curenja.

Važno područje zaštite je i pravovremeno prepoznavanje i ograničavanje propuštanja raznih vrsta.

Zaključno se može primijetiti da zbog ekonomske važnosti bankarski sustavi, osiguravajući njihovu informacijsku sigurnost je preduvjet... Budući da su podaci u bazi podataka banaka stvarna materijalna vrijednost, zahtjevi za pohranjivanjem i obradom tih podataka uvijek će se povećavati.

Specifičnosti i značajke sigurnosnog sustava su, naravno, individualne za svaku pojedinu banku, stoga je cjelovito i stručno osiguranje sigurnosnih sustava preduvjet za rad cjelokupnog bankarskog sustava.

Baza podataka je dio bilo kojeg automatizirani sustav kao što su CAD, CAM, CAM, itd. Zadaća baze podataka je održavati informacijski model u iznimno važnom stanju i osigurati zahtjeve korisnika. Za to je potrebno izvršiti tri operacije u bazi podataka: omogućivanje, brisanje, promjena. Ove operacije omogućuju pohranu i izmjenu podataka.

Razvojem automatiziranog sustava mijenja se sastav objekata predmetnog područja, mijenjaju se veze među njima. Sve se to treba odraziti u informacijskom sustavu. Stoga bi organizacija banke podataka trebala biti fleksibilna. Pokažimo mjesto banke podataka kao dijela automatiziranog sustava.

Prilikom projektiranja banke podataka iznimno je važno razmotriti dva aspekta osiguravanja zahtjeva korisnika.

1) Određivanje granica određenog predmetnog područja i izrada informacijskog modela. Napominjemo da bi banka podataka trebala pružati informacije za cijeli sustav kako u sadašnjosti tako iu budućnosti, uzimajući u obzir njegov razvoj.

2) Razvoj baze podataka treba biti usmjeren na učinkovito servisiranje zahtjeva korisnika. U tom smislu iznimno je važno analizirati vrste i vrste zahtjeva korisnika. Također je iznimno važno analizirati funkcionalne zadatke automatiziranog sustava, za koje ovu banku bit će izvor informacija.

Korisnici banke podataka razlikuju se po sljedećim značajkama:

· Na temelju postojanosti komunikacije s bankom.

Korisnici : trajna i jednokratni ;

· Po stupnju prijema. Neki od podataka moraju biti zaštićeni;

· Oblikom podnošenja zahtjeva. Zahtjeve mogu dati programeri, ne-programeri, korisnici zadataka.

Zbog velike heterogenosti korisnika u bazi podataka, specijalni alat, što vam omogućuje da sve upite dovedete u jednu terminologiju. Ovaj alat se obično naziva rječnik podataka.

Istaknimo primarni zahtjevi koji mora odgovoriti banka podataka od strane vanjskih korisnika ... Banka podataka mora:

1. Omogućite pohranjivanje i modificiranje velikih količina višestrukih informacija. Ispunite današnje i nove zahtjeve korisnika.

Omogućite određene razine pouzdanosti i dosljednosti pohranjenih informacija.

3. Osigurati pristup podacima samo onim korisnicima koji imaju odgovarajuća ovlaštenja.

4. Omogućiti traženje informacija o proizvoljnoj skupini atributa.

5. Zadovoljiti specificirane zahtjeve izvedbe prilikom obrade upita.

6. Biti sposoban reorganizirati i proširiti pri promjeni granica predmetnog područja.

7. Omogućiti izdavanje informacija korisniku u različitim oblicima.

8. Osigurati mogućnost istovremenog servisiranja velikog broja vanjskih korisnika.

Kako bi se ispunili ovi zahtjevi, neophodno je uvesti centralizirano upravljanje podacima.

Istaknimo ključne prednosti centraliziranog upravljanja podatke u usporedbi s prethodno korištenim kolateralom.

1) Smanjenje redundancije pohranjenih podataka. Podaci koje koristi nekoliko aplikacija strukturirani su (integrirani) i pohranjeni u jednoj kopiji.

2) Otklanjanje nedosljednosti pohranjenih podataka. Zbog redundantnosti podataka otklanja se situacija kada se, kada se podaci stvarno mijenjaju, čini da se nisu promijenili u svim evidencijama.

3) Višedimenzionalna upotreba podataka s jednim ulazom.

4) Sveobuhvatna optimizacija temeljena na analizi zahtjeva korisnika. Odabrane su strukture podataka koje pružaju najbolju moguću uslugu.

5) Pružanje mogućnosti standardizacije. To olakšava razmjenu podataka s drugim automatiziranim sustavima, kao i postupke za praćenje i vraćanje podataka.

6) Osiguravanje mogućnosti ovlaštenog pristupa podacima, ᴛ.ᴇ. dostupnost mehanizama zaštite podataka.

Treba naglasiti da je glavni problem centraliziranog upravljanja podacima osigurati neovisnost aplikacija od podataka. To je zbog činjenice da integracija podataka, optimizacija struktura podataka zahtijeva promjenu prikaza pohranjenih podataka i metode pristupa podacima.

Izlaz: Glavna razlikovna značajka banke podataka je prisutnost centraliziranog upravljanja podacima.

Poglavlje 1. Značajke informacijske sigurnosti banaka.

Naredba Rosstandarta od 28. ožujka 2018. br. 156-st "O odobrenju nacionalnog standarda Ruska Federacija»

Naredba Rosstandarta od 8. kolovoza 2017. br. 822-st "O odobravanju nacionalnog standarda Ruske Federacije"

Glavni ciljevi implementacije Standarda „Osiguravanje informacijske sigurnosti organizacija u bankarskom sustavu Ruske Federacije. Opće odredbe»STO BR IBBS-1.0 (u daljnjem tekstu - Standard):

• povećanje povjerenja u bankarski sustav Ruske Federacije;
• povećanje stabilnosti funkcioniranja organizacija bankarskog sustava Ruske Federacije i, na temelju toga, stabilnost funkcioniranja bankovnog sustava Ruske Federacije u cjelini;
• postizanje primjerenosti mjera zaštite od stvarnih prijetnji informacijskoj sigurnosti;
• sprječavanje i (ili) smanjenje štete od incidenata informacijske sigurnosti.

Glavni ciljevi standarda:

• uspostavljanje jedinstvenih zahtjeva za osiguranje informacijske sigurnosti organizacija u bankarskom sustavu Ruske Federacije;
• povećanje učinkovitosti mjera za osiguranje i održavanje informacijske sigurnosti organizacija u bankarskom sustavu Ruske Federacije.

Zaštita informacija u internetskim sustavima elektroničkog plaćanja

Internetski sustav plaćanja Sustav je obračuna između financijskih, poslovnih organizacija i korisnika interneta u procesu kupnje/prodaje roba i usluga putem interneta. To je sustav plaćanja koji vam omogućuje da pretvorite uslugu obrade narudžbi ili elektronički izlog u punopravnu trgovinu sa svim standardnim atributima: odabirom proizvoda ili usluge na web stranici prodavatelja, kupac može izvršiti plaćanje bez napuštanja Računalo.

U sustavu e-trgovine plaćanja se vrše pod određenim uvjetima:

1. Poštivanje povjerljivosti. Prilikom plaćanja putem interneta, kupac želi da njegovi podaci (na primjer, broj kreditne kartice) budu poznati samo organizacijama koje na to imaju zakonsko pravo.

2. Održavanje integriteta informacija. Podatke o kupnji nitko ne može mijenjati.

3. Autentifikacija. Kupci i prodavači moraju biti sigurni da su sve strane u transakciji one za koje kažu da jesu.

4. Sredstva plaćanja. Mogućnost plaćanja bilo kojim načinom plaćanja koji je dostupan kupcu.

6. Prodavateljeva jamstva za rizik. Prilikom obavljanja trgovine na Internetu, prodavatelj je izložen brojnim rizicima povezanim s odbijanjem robe i nepoštenjem kupca. Veličinu rizika potrebno je dogovoriti s pružateljem platnog prometa i drugim organizacijama uključenim u trgovačke lance posebnim ugovorima.

7. Minimiziranje transakcijskih naknada. Naknade za obradu transakcije za narudžbu i plaćanje robe prirodno su uključene u njihov trošak, pa snižavanje cijene transakcije povećava konkurentnost. Važno je napomenuti da se transakcija u svakom slučaju mora platiti, čak i ako kupac odbije proizvod.

Svi ovi uvjeti moraju se implementirati u sustav internetskog plaćanja, koji je u biti elektronička verzija tradicionalnih platnih sustava.

Dakle, svi platni sustavi su podijeljeni na:

Debitna (rad s elektroničkim čekovima i digitalnom gotovinom);

Kredit (rad s kreditnim karticama).

Debitni sustavi

Sheme debitnog plaćanja izgrađene su slično njihovim izvanmrežnim prototipovima: ček i obična gotovina. Shema uključuje dvije neovisne strane: izdavatelje i korisnike. Izdavatelj znači subjekt koji upravlja platnim sustavom. Izdaje neke elektroničke jedinice koje predstavljaju plaćanja (na primjer, novac na bankovnim računima).

Informacijska sigurnost organizacija bankarskog sustava Ruske Federacije

Korisnici sustava imaju dvije glavne funkcije. Plaćaju i prihvaćaju putem interneta putem izdanih elektroničkih jedinica.

Elektroničke provjere analogne su redovitim papirnatim provjerama. Ovo su upute platitelja svojoj banci da prenese novac sa svog računa na račun primatelja. Operacija se odvija nakon predočenja čeka od strane primatelja u banci. Dvije su glavne razlike. Prvo, prilikom pisanja papirnatog čeka, platitelj stavlja svoj pravi potpis, au online verziji - elektronički potpis. Drugo, sami čekovi se izdaju elektroničkim putem.

Uplate se obrađuju u nekoliko faza:

1. Uplatitelj izdaje elektronički ček, potpisuje ga elektroničkim potpisom i šalje primatelju. Kako bi se osigurala veća pouzdanost i sigurnost, broj tekućeg računa može se kodirati javnim ključem banke.

2. Ček se predočava za plaćanje platnom sustavu. Nadalje, (bilo ovdje, ili u banci koja uslužuje primatelja), elektronički potpis se provjerava.

3. U slučaju potvrde njezine autentičnosti, roba je isporučena ili usluga. Novac se prenosi s računa platitelja na račun korisnika.

Jednostavnost sheme plaćanja (slika 43.), nažalost, kompenzirana je poteškoćama u njezinoj provedbi zbog činjenice da sheme provjere još nisu postale raširene i ne postoje centri za certifikaciju za implementaciju elektroničkih potpisa.

Elektronički digitalni potpisi (EDS) koriste sustav šifriranja javnog ključa. Time se stvara privatni ključ za potpisivanje i javni ključ za provjeru. Privatni ključ čuva korisnik, dok javnom ključu može pristupiti svatko. Najprikladniji način za distribuciju javnih ključeva je putem CA-ova. Postoje pohranjeni digitalni certifikati koji sadrže javni ključ i podatke o vlasniku. Ovo oslobađa korisnika od obveze distribucije vlastitog javnog ključa. Osim toga, CA osiguravaju autentifikaciju kako bi se osiguralo da nitko ne može generirati ključeve u ime druge osobe.

Elektronički novac u potpunosti simulira pravi novac. Istodobno, izdavateljska organizacija - izdavatelj - proizvodi svoje elektroničke kolege, pozvane različitim sustavima na različite načine (poput kupona). Zatim ih kupuju korisnici koji ih koriste za plaćanje kupnje, a zatim ih prodavatelj otkupljuje od izdavatelja. Prilikom izdavanja, svaki valutna jedinica ovjeren elektroničkim pečatom, koji prije otkupa provjerava izdavateljska struktura.

Jedna od značajki fizičkog novca je njegova anonimnost, odnosno ne označava tko ga je i kada koristio. Neki sustavi, po analogiji, omogućuju kupcu primanje elektroničke gotovine na način da se ne može utvrditi odnos između njega i novca. To se radi pomoću sheme slijepog potpisa.

Također je vrijedno napomenuti da pri korištenju elektroničkog novca nema potrebe za autentifikacijom, budući da se sustav temelji na puštanju novca u optjecaj prije njegovog korištenja.

Slika 44 prikazuje shemu plaćanja elektroničkim novcem.

Mehanizam plaćanja je sljedeći:

1. Kupac unaprijed mijenja pravi novac za elektronički novac. Pohrana gotovine kod klijenta može se provesti na dva načina, što je određeno sustavom koji se koristi:

Na tvrdom disku vašeg računala;

Na pametnim karticama.

Različiti sustavi nude različite sheme razmjene. Neki otvaraju posebne račune na koje se sredstva prenose s računa kupca u zamjenu za elektroničke račune. Neke banke mogu same izdati elektroničku gotovinu. Istodobno, izdaje se samo na zahtjev klijenta s njegovim naknadnim prijenosom na računalo ili karticu ovog klijenta i podizanjem gotovinskog ekvivalenta s njegovog računa. Prilikom realizacije slijepog potpisa kupac sam kreira elektroničke račune, šalje ih u banku, gdje se, kada stvarni novac stigne na račun, zapečaćuju i vraćaju klijentu.

Uz praktičnost takvog skladištenja, ima i nedostatke. Oštećenje diska ili pametne kartice pretvara se u nepovratan gubitak elektroničkog novca.

2. Kupac prenosi elektronički novac za kupnju na poslužitelj prodavatelja.

3. Novac se predočava izdavatelju, koji provjerava njihovu autentičnost.

4. U slučaju vjerodostojnosti elektroničkih računa, račun prodavatelja se uvećava za iznos kupnje, a roba se šalje kupcu ili se pruža usluga.

Jedan od važnih karakteristične značajke elektronički novac je mogućnost obavljanja mikroplaćanja. To je zbog činjenice da denominacija novčanica možda ne odgovara stvarnim kovanicama (na primjer, 37 kopejki).

I banke i nebankarske organizacije mogu izdavati elektroničku gotovinu. Međutim, jedinstveni sustav pretvorbe još nije razvijen. različiti tipovi elektronički novac. Stoga samo sami izdavatelji mogu otkupiti elektroničku gotovinu koju izdaju. Osim toga, korištenje takvog novca iz nefinancijskih struktura ne jamči država. Ali, niska cijena transakcije čini e-gotovinu atraktivnim alatom za plaćanja na internetu.

Kreditni sustavi

Internetski kreditni sustavi analogni su konvencionalnim sustavima kreditnih kartica. Razlika je u provođenju svih transakcija putem interneta, a kao rezultat toga, u potrebi za dodatnim alatima za sigurnost i autentifikaciju.

Sljedeći su uključeni u plaćanje putem interneta kreditnim karticama:

1. Kupac. Klijent s računalom s web preglednikom i pristupom internetu.

2. Banka izdavateljica. Ovdje se nalazi tekući račun kupca. Banka izdavatelj izdaje kartice i jamac je za ispunjenje financijskih obveza klijenta.

3. Prodavači. Prodavatelji su poslužitelji e-trgovine koji održavaju kataloge roba i usluga i prihvaćaju narudžbe kupaca za kupnju.

4. Banke preuzimatelji. Banke koje služe prodavačima. Svaki prodavač ima jedina banka u kojem vodi svoj tekući račun.

5. Sustav plaćanja Internet. Elektroničke komponente koje su posrednici između ostalih sudionika.

6. Tradicionalni sustav plaćanja. Kompleks financijskih i tehnoloških sredstava za servisiranje kartica ove vrste. Među glavnim zadaćama koje rješava platni sustav su osiguranje korištenja kartica kao sredstva plaćanja za robu i usluge, korištenje bankarskih usluga, obavljanje međusobnih obračuna itd. Sudionici platnog prometa su fizičke i pravne osobe, ujedinjene odnosima o korištenju kreditnih kartica.

7. Procesni centar platnog sustava. Organizacija koja pruža informacijsku i tehnološku interakciju između sudionika u tradicionalnom platnom sustavu.

8. Banka namire platnog sustava. Kreditna institucija koja u ime procesnog centra obavlja međusobne namire između sudionika u platnom sustavu.

Opća shema plaćanja u takvom sustavu prikazana je na slici 45.

1. Kupac u e-trgovini formira košaricu robe i odabire način plaćanja "kreditnom karticom".

Preko trgovine, odnosno parametri kartice se unose izravno na web stranicu trgovine, nakon čega se prenose u sustav internetskog plaćanja (2a);

Na poslužitelju platnog sustava (2b).

Prednosti drugog puta su očite.

U tom slučaju podaci o karticama ne ostaju u trgovini, te se, sukladno tome, smanjuje rizik od njihovog primanja od strane trećih osoba ili prevare od strane prodavatelja. U oba slučaja, prilikom prijenosa podataka o kreditnoj kartici, i dalje postoji mogućnost njihovog presretanja od strane kibernetičkih kriminalaca na mreži. Kako bi se to spriječilo, podaci se šifriraju tijekom prijenosa.

Šifriranje, naravno, smanjuje mogućnost presretanja podataka u mreži, stoga je preporučljivo komunicirati između kupca/prodavača, prodavatelja/internetskog sustava plaćanja, kupca/internetskog platnog sustava korištenjem sigurnih protokola. Najčešći od njih danas je protokol Secure Sockets Layer (SSL), kao i Secure Electronic Transaction (SET) standard za sigurne elektroničke transakcije, osmišljen da na kraju zamijeni SSL u obradi transakcija povezanih s plaćanjem za kupnju kreditnom karticom na Internetu. .

3. Internetski platni sustav šalje zahtjev za autorizaciju tradicionalnom platnom sustavu.

4. Sljedeći korak ovisi o tome održava li banka izdavatelj online bazu podataka računa (DB). Ako postoji baza podataka, procesni centar šalje banci izdavatelju zahtjev za autorizaciju kartice (vidi uvod ili rječnik) (4a) i zatim (4b) prima njezin rezultat. Ako takve baze podataka nema, procesni centar sam pohranjuje podatke o statusu računa vlasnika kartica, stop liste i izvršava zahtjeve za autorizaciju. Te informacije redovito ažuriraju banke izdavateljice.

Trgovina pruža uslugu ili otprema robu (8a);

Procesni centar šalje informaciju o dovršenoj transakciji u banku namire (8b). Novac s računa kupca kod banke izdavatelja prenosi se preko banke za namirenje na račun trgovine kod banke preuzimatelja.

Da biste izvršili takva plaćanja, u većini slučajeva potreban vam je poseban softver.

Može se dostaviti kupcu (koji se naziva e-novčanik), trgovcu i njegovoj/njezinoj banci.

Prethodno25262728293031323334353637383940Sljedeće

VIDI VIŠE:

U našem životu Internet nije samo sredstvo za komunikaciju, zabavu i rekreaciju, već i za rad i elektroničko plaćanje. Mnogi od nas koriste usluge internetskog bankarstva i kupuju online.

Najveće prijetnje mrežnim operacijama

Unatoč sigurnosti sustava internetskog bankarstva i internetskih trgovina - takve se metode zaštite koriste kao dvostruka autentifikacija, sustavi jednokratnih dinamičkih SMS lozinki, dodatni popis jednokratnih lozinki ili hardverskih ključeva, veza zaštićena SSL-om i tako dalje - moderne metode napada omogućuju vam da zaobiđete čak i najpouzdanije obrambene mehanizme.

Danas kibernetički kriminalci imaju tri najčešća pristupa za napad na financijske podatke korisnika interneta:

- Inficiranje računala žrtve trojancima (keyloggeri, screenloggeri, itd.) koji presreću ulazne podatke;
- korištenje metoda društvenog inženjeringa - phishing napadi putem e-pošte, web stranica, društvenih mreža itd.
- tehnološki napadi (njuškanje, zamjena DNS/Proxy poslužitelja, zamjena certifikata, itd.).

Kako zaštititi internet bankarstvo?

Korisnik se ne bi trebao oslanjati samo na banku, već koristiti sigurnosne programe za poboljšanje sigurnosti elektroničkog plaćanja na internetu.

Moderna Internet Security rješenja, osim antivirusnih funkcija, nude sigurne alate za plaćanje (izolirana virtualna okruženja za online operacije), kao i skener ranjivosti, web zaštitu s provjerom linkova, blokiranje zlonamjernih skripti i skočnih prozora, zaštitu podataka od presretanja (anti-keyloggeri), virtualna tipkovnica ...

Među sveobuhvatnim rješenjima s zasebnom funkcijom za zaštitu online plaćanja, možemo istaknuti Kaspersky Internet Security i komponentu Safe Money, avast!

Sigurnost informacija u bankarskom sektoru

Internet Security s avast! SafeZone i Bitdefender Internet Security uz Bitdefender Safepay. Ovi proizvodi omogućuju vam da ne brinete o dodatnoj zaštiti.

Ako imate drugačiji antivirusni program, možete pobliže pogledati dodatne alate za zaštitu. Među njima: Bitdefender Safepay (izolirani web preglednik), Trusteer Rapport i HitmanPro.Alert za zaštitu preglednika od napada, Netcraft Extension dodaci i aplikacije, McAfee SiteAdvisor, Adguard za zaštitu od krađe identiteta.

Ne zaboravite na vatrozid i VPN klijent ako morate obavljati financijske transakcije dok se povezujete na otvorene bežične Wi-Fi mreže na javnim mjestima. Na primjer, CyberGhost VPN koristi AES 256-bitnu enkripciju prometa, što sprječava napadaču da koristi podatke, čak i ako su presretnuti.

Koje metode zaštite online plaćanja koristite? Podijelite svoje iskustvo u komentarima.

Sigurnost bankovnih informacija- ovo je stanje zaštite svih njegovih informacijskih sredstava od vanjskih i internih informacijskih prijetnji.

Njezin ugled i konkurentnost ovise o informacijskoj sigurnosti banke. Visoka razina informacijske sigurnosti banke omogućuje minimiziranje rizika (tablica 8.4.1.).

Rizici informacijske sigurnosti

Tablica 8.4.1

1 Vidi: Bankari razotkriveni nova shema prijevare za povlačenje sredstava s računa // RT News (na ruskom). 2016., 25. siječnja. URL: https://russian.rt.com/article/144011 (datum pristupa: 07.06.2016.).

Značajke bankovnih informacijskih sustava: pohranjuju i obrađuju veliku količinu podataka o financijskom stanju i aktivnostima fizičkih i pravnih osoba; imati alate za obavljanje transakcija koje dovode do financijskih posljedica. Informacijski sustavi se ne mogu u potpunosti zatvoriti, jer moraju ispunjavati suvremene zahtjeve za razinu usluge (imati sustav online bankarstva, mrežu bankomata povezanih na javne komunikacijske kanale i sl.). Ove značajke dovode do činjenice da je informacijska imovina kreditnih institucija željena meta kibernetičkih kriminalaca i zahtijeva ozbiljnu zaštitu.

Glavni zadatak napadača(vanjski prekršitelji i insajderi) napadi na informacijske sustave banaka - stjecanje kontrole nad informacijskom imovinom kreditne institucije radi naknadnog izvršenja nezakonitih transakcija ili kompromitiranja banke po nalogu nesavjesnih konkurenata.

Glavni zahtjevi za sustav informacijske sigurnosti banaka navedeni su u tablici. 8.4.2.

Tablica 8.4.2

Zahtjevi za informacijski sigurnosni sustav banaka

Trenutno postoje standardi informacijske sigurnosti koji su relevantni za ruske kreditne institucije: Standard Banke Rusije; Savezni zakon "O osobnim podacima"; Standard informacijske sigurnosti u industriji platnih kartica.

Ispunjavanje zahtjeva nekoliko IS standarda odjednom u okviru jednog projekta omogućuje kupcu: stvoriti cjelovit i lako upravljiv sustav informacijske sigurnosti, ne duplicirati tehnička sredstva i organizacijske mjere usmjerene na ispunjavanje zahtjeva standarda, smanjiti trošak projektantskih radova.

Postoji koncept sigurnosti poslovne banke, odobrilo Vijeće Udruženja ruskih banaka (ARB).

Objekti informacijska sigurnost su: informacijski resursi (podaci s ograničenim pristupom, koji predstavljaju poslovnu tajnu, drugi povjerljivi podaci dani u obliku dokumenata i nizova, bez obzira na oblik i vrstu njihova pružanja). Predmeti pravni odnosi u rješavanju problema informacijske sigurnosti su: država (Ruska Federacija) kao vlasnik informacijskih resursa klasificiranih kao državne tajne; Centralna banka Ruska Federacija, koja provodi monetarnu politiku zemlje; Komercijalna banka kao pravna osoba koja posjeduje informacijske resurse koji čine službenu, poslovnu i bankovnu tajnu.

Glavni cilj sustava informacijske sigurnosti je osigurati stabilno funkcioniranje banke i spriječiti prijetnje njezinoj sigurnosti, zaštitu od otkrivanja, gubitka, curenja, iskrivljavanja i uništavanja službenih informacija, poremećaja tehničke opreme, osiguravanje proizvodnih aktivnosti, uključujući informacijsku tehnologiju. Zadaci informacijske sigurnosti su:

• - svrstavanje informacija u kategoriju ograničenog pristupa (državne, službene, bankovne i poslovne tajne, druge povjerljive informacije koje su zaštićene od protupravne uporabe;
• - stvaranje mehanizma i uvjeta za brzo reagiranje na sigurnosne prijetnje i ispoljavanje negativnih trendova u funkcioniranju banke.

Načela organizacije i funkcioniranja sustava informacijske sigurnosti.

• - osiguranje sigurnosti informacijskih resursa tijekom cijelog njihovog životnog ciklusa, u svim tehnološkim fazama njihove obrade i korištenja u svim načinima rada;
• - sposobnost sustava da se razvija i poboljšava u skladu s promjenama uvjeta funkcioniranja banke.

Načelo zakonitosti uključuje razvoj sigurnosnog sustava na temelju savezno zakonodavstvo u području bankarstva, informatizacije i zaštite informacija, privatne zaštitarske djelatnosti i drugih sigurnosnih propisa. Objekti zaštite informacijske sigurnosti“.

• - informacijski resursi s ograničenim pristupom, koji predstavljaju službenu i poslovnu tajnu, kao i drugi povjerljivi podaci na papirnoj, magnetskoj, optičkoj osnovi, informacijski nizovi i baze podataka, softver;
• - sredstva i sustavi informatizacije (automatizirani sustavi i računalne mreže na raznim razinama i odredište, telegrafske, telefonske, faksimilne, radijske i svemirske komunikacije, tehnička sredstva za prijenos informacija, sredstva za reprodukciju i prikaz informacija);
• - tehnička sredstva i sustavi zaštite i zaštite materijalnih i informacijskih resursa.

Prijetnje informacijskim resursima pojavljuju se u obliku:

• - otkrivanje povjerljivih informacija;
• - curenje povjerljivih informacija putem tehničkih sredstava za osiguravanje proizvodnih aktivnosti drugačije prirode;
• - neovlašteni pristup zaštićenim informacijama od strane konkurentskih organizacija i kriminalnih skupina (tablica 8.4.3).

Tablica 8.4.3

Načini implementacije prijetnji informacijskim resursima banaka

Kraj stola. 8.4.3

Glavne komponente osiguranja informacijske sigurnosti resursa poslovnih banaka su: sigurnosni sustav za informacijske resurse; sustav mjera (režim) sigurnosti i kontrole vjerojatnih kanala curenja informacija.

Sustav sigurnosti informacijskih resursa treba predvidjeti skup organizacijskih, tehničkih, softverskih i kriptografskih sredstava i mjera za zaštitu informacija u procesu tradicionalnog toka dokumenata kada izvršitelji rade s povjerljivim dokumentima i informacijama, pri obradi informacija u automatiziranim sustavima različitih razina i namjena, pri prijenosu putem komunikacijskih kanala, prilikom vođenja povjerljivih pregovora...

Pri čemu glavni pravci provedbe tehničke politike za informacijsku sigurnost u ovim područjima djelovanja su:

• - zaštita informacijskih resursa od krađe, gubitka, uništenja, otkrivanja, curenja, izobličenja i krivotvorenja uslijed neovlaštenog pristupa (NSD) i posebnih utjecaja;
• - zaštita informacija od curenja zbog prisutnosti fizičkih polja zbog akustičkog i sekundarnog elektromagnetskog zračenja i smetnji (PEMIN) na električnim namjenama, cjevovodima i građevinskim konstrukcijama (tablica 8.4.4.).

Tablica 8.4.4

Mjere tehničke politike informacijske sigurnosti poslovne banke

Kraj stola. 8.4.4

Zaštita informacijskih resursa od neovlaštenog pristupa trebala bi uključivati ​​sljedeće mjere (tablica 8.4.5).

Tablica 8.4.5

Načini zaštite od prijetnji informacijskim resursima banaka

Kraj stola. 8.4.5

Uredba o osobna odgovornost ostvaruje se uz pomoć: slikanja izvođača u časopisima, knjigovodstvenim karticama, drugim dozvolama, kao i na samim dokumentima; individualna identifikacija korisnika i procesa koje oni iniciraju u automatiziranim sustavima; autentifikacija (autentifikacija) izvođača (korisnika) na temelju korištenja lozinki, ključeva, magnetskih kartica, digitalnih potpisa, kao i biometrijskih karakteristika osobe kako pri pristupu automatiziranim sustavima tako i u namjenskim prostorijama (zonama).

Kontrolni sustav za radnje izvođača provodi se uz pomoć: mjera organizacijske kontrole tijekom rada izvođača s povjerljivim dokumentima i informacijama; registraciju radnji korisnika s informacijskim i softverskim resursima automatiziranih sustava, s naznakom datuma i vremena; identifikatore podnositelja zahtjeva i traženih resursa;

vrstu interakcije i njezin rezultat, uključujući zabranjene pokušaje pristupa; signaliziranje neovlaštenih radnji korisnika.

Zaštita informacija od curenja zbog lažnog elektromagnetskog zračenja i smetnji (PEMIN). Glavni smjer zaštite informacija od curenja zbog PEMIN-a je smanjenje omjera informativnog signala i smetnji na granicu utvrđenu "Standardi za učinkovitost zaštite ACS-a i računala od curenja informacija zbog PEMIN-a", u kojima se oporavak poruka postaje u osnovi nemoguć. Rješenje ovog problema postiže se kako smanjenjem razine zračenja informacijskih signala, tako i povećanjem razine smetnji u odgovarajućim frekvencijskim rasponima.

Osiguranje kvalitete u sigurnosnom sustavu. Nužna komponenta sigurnosnog sustava trebala bi biti osiguranje kvalitete rada te korištenih sredstava i mjera zaštite, čiji je regulatorni okvir sustav normi i drugih propisanih regulatornih, tehničkih i metodoloških dokumenata (NTD) o sigurnosti.

Zajedno sa sustavom standardizacije jedinstveni sustav osiguravanje kvalitete proizvoda i usluga prema zahtjevima informacijske sigurnosti su:

• - certificiranje sredstava i sustava računalne tehnologije i komunikacija u skladu sa zahtjevima informacijske sigurnosti;
• - licenciranje djelatnosti pružanja usluga u području informacijske sigurnosti;
• - certificiranje objekata informatike prema zahtjevima informacijske sigurnosti.

U skladu sa zahtjevima ovih sustava, pravo na pružanje usluga vanjske organizacije u području zaštite informacija pruža se samo organizacijama koje imaju dozvolu (licencu) za ovu vrstu djelatnosti.

Kako bi se osigurala sigurnost informacija, koriste se metode za borbu protiv takvih vrsta online prijevara kao što su phishing i metoda krađe novca pomoću beskontaktnih tehnologija.

Borba protiv krađe identiteta uključuje različite metode, uključujući zakonodavne i posebne, osmišljene za zaštitu od krađe identiteta:

• - Obuka korisnika - kako bi naučili ljude razlikovati phishing i boriti se protiv njega, na primjer, kontaktirajte tvrtku u čije je ime poruka poslana kako biste provjerili njezinu autentičnost. Stručnjaci preporučuju da samostalno unesete web adresu organizacije u adresnu traku svog preglednika umjesto da koristite hiperveze u sumnjivoj poruci;
• - tehničke metode; preglednici koji upozoravaju na prijetnju krađe identiteta; kompliciranje postupka autorizacije, kada stranica traži od korisnika da odaberu osobnu sliku i prikazuje je uz svaki obrazac za unos lozinke. I korisnici bankarske usluge trebali bi unijeti lozinku samo kada vide odabranu sliku;
• - borba protiv phishinga u e-mail porukama predviđa smanjenje broja phishing poruka e-pošte koje primaju korisnici;
• - usluge praćenja: neke tvrtke nude bankama potencijalno osjetljivim na phishing napade danonoćno praćenje, analizu i pomoć pri zatvaranju phishing stranica. Pojedinci mogu pomoći takvim grupama prijavom incidenata krađe identiteta;
• - pravne mjere, međutim, stručnjaci smatraju da Rusija ima najlojalnije zakonodavstvo u vezi s kibernetičkim kriminalom.

V Pojavila se Rusija nova vrsta prijevara - krađa novca s kartica,

opremljen posebnim tehnologijama beskontaktno plaćanje roba (kartica je priključena na PoS terminal, iznos kupnje se tereti s "plastike"). Prema Zecurionu, 2015. su prevaranti ukrali 2 milijuna rubalja s kartica Rusa koristeći njihove domaće terminale (RFID čitače). Tvrtke specijalizirane za IT sigurnost primijetile su da su prevaranti naučili krasti s kartica koristeći pametne telefone opremljene NFC čipovima (NFC je vrsta RFID-a).

Tehnologiju beskontaktnog plaćanja razvili su američki sustavi plaćanja Visa (PayWave) i Mastercard (PayPass) kako bi ubrzali i pojednostavili bezgotovinsko plaćanje shopping. Kartice s PayPass tehnologijom izdaju 43 majora ruske banke, kartice s Pay Wave - 16. PayPass i Pay Wave tehnologije se koriste na karticama s čipom i magnetskom trakom. Prilikom plaćanja takvom karticom ne morate unositi PIN-kod, kao ni staviti potpis na ček ako je iznos kupnje mali (do 1000 rubalja). U Rusiji postoji više od 30 tisuća PayPass točaka za prihvaćanje: transportna, trgovinska i uslužna poduzeća.

Bit sheme slična je presretanju signala iz električnih brava od strane lopova automobila. Prema Zecurionu, prevaranti terete sredstva s PayPass i PayWave kartica koristeći čitače koje su sami izradili koji mogu skenirati bankovne kartice s RFID čipovima. Uglavnom, ovo su analozi legalnih beskontaktnih PoS terminala: RFID čitači koji šalju elektromagnetske signale S plastičnih kartica počeli su krasti novac "preko zraka". pravda-tv.ru> 2016/01/25/203507 / s-plastikovyh-kart

Pošaljite svoj dobar rad u bazu znanja je jednostavno. Upotrijebite obrazac u nastavku

Studenti, diplomanti, mladi znanstvenici koji koriste bazu znanja u svom studiju i radu bit će vam jako zahvalni.

Objavljeno na http://www.allbest.ru/

Ministarstvo opće i strukovno obrazovanje Rostov regija

DRŽAVNA PRORAČUNSKA OBRAZOVNA USTANOVA SREDNJEG STRUKOVNOG OBRAZOVANJA ROSTOVSKOG REGIJA

"Koledž za komunikacije i informatiku Rostov na Donu"

Po disciplini: "Informacijska sigurnost"

Tema: Zaštita informacija banaka

Radi učenik

V.S. Kladovikov

Grupa PO-44

Specijalnost 23010551 Softver

računala i automatizirani sustavi

Voditelj: S.V. Semergey

201 3

Uvod

1. Značajke informacijske sigurnosti banaka

2. Sigurnost sustava automatizirane obrade informacija u bankama (ASOIB)

3. Sigurnost elektroničkih plaćanja

4. Sigurnost osobnih plaćanja pojedinci

Zaključak

Prijave

Uvod

Banke su od svog nastanka uvijek izazivale kriminalni interes. I ovaj interes bio je povezan ne samo sa skladištenjem u kreditne institucije sredstava, ali i činjenicom da su banke koncentrirale važne i često tajne podatke o financijskim i gospodarskim aktivnostima mnogih ljudi, tvrtki, organizacija, pa i cijelih država. Trenutačno, kao rezultat sveprisutnog širenja elektroničkih plaćanja, plastičnih kartica, računalnih mreža, predmet informacijskih napada postao je izravno unovčiti kako banke tako i njihove klijente. Svatko može pokušati ukrasti - potrebno je samo računalo spojeno na Internet. Štoviše, to ne zahtijeva fizički ulazak u banku, možete "raditi" i tisućama kilometara od nje.

Upravo je ovaj problem sada najhitniji i najmanje proučavan. Ako se u osiguravanju fizičke i klasične informacijske sigurnosti već dugo razvijaju uhodani pristupi (iako se i ovdje razvija), onda su u vezi s čestim radikalnim promjenama računalnih tehnologija, sigurnosne metode bankovnih sustava automatizirane obrade informacija ( ASOIB) zahtijevaju stalno ažuriranje. Kao što pokazuje praksa, ne postoje složeni računalni sustavi koji ne sadrže pogreške. A kako se ideologija izgradnje velikih ASOIB-a redovito mijenja, ispravljanje pronađenih grešaka i "rupa" u sigurnosnim sustavima nije dovoljno za dugo, budući da novi računalni sustav donosi nove probleme i nove pogreške, čini nužnim ponovnu izgradnju sigurnosti. sustav na nov način.

Po mom mišljenju, svi su zainteresirani za povjerljivost svojih osobnih podataka koji se daju bankama. Na temelju toga pisanje ovog eseja i proučavanje ovog problema, po mom mišljenju, nije samo zanimljivo, već i iznimno korisno.

1. Značajke informacijske sigurnosti banaka

Bankovne informacije oduvijek su bile predmet bliskog zanimanja svih vrsta uljeza. Svaki bankarski kriminal počinje curenjem informacija. Automatizirani bankarski sustavi su kanali za takva curenja. Od samog početka uvođenja automatiziranih bankarskih sustava (ABS) postali su predmet kriminalnih zahvata.

Primjerice, poznato je da je u kolovozu 1995. u Velikoj Britaniji uhićen 24-godišnji ruski matematičar Vladimir Levin, koji je pomoću svog kućnog računala u St. Petersburgu uspio prodrijeti u bankarski sustav jedne od najvećih američkih banaka , Citibank, te pokušao podići velike iznose s svojih računa. Prema moskovskom uredu Citibanka, do tada nitko nije uspio. Sigurnosna služba Citibanka doznala je da su banci pokušali ukrasti 2,8 milijuna dolara, ali su kontrolni sustavi to na vrijeme otkrili i blokirali račune. Uspjeli su ukrasti samo 400 tisuća dolara.

U Sjedinjenim Američkim Državama iznos godišnjih gubitaka bankarskih institucija od nezakonitog korištenja računalnih informacija iznosi, prema procjenama stručnjaka, od 0,3 do 5 milijardi dolara. Informacija je aspekt čest problem osiguravanje sigurnosti bankarskih aktivnosti.

U tom smislu, strategija informacijske sigurnosti banaka uvelike se razlikuje od sličnih strategija drugih tvrtki i organizacija. To je prvenstveno zbog specifičnosti prijetnji, kao i javnih aktivnosti banaka, koje su prisiljene učiniti pristup računima dovoljno lakim za udobnost klijenata.

Obična tvrtka svoju informacijsku sigurnost gradi samo na uskom rasponu potencijalnih prijetnji - uglavnom na zaštiti informacija od konkurencije (u ruskim stvarnostima, glavni zadatak je zaštititi informacije od Porezna uprava te kriminalne zajednice kako bi se smanjila vjerojatnost nekontroliranog povećanja plaćanja poreza i reketa). Takve informacije zanimaju samo uski krug zainteresiranih osoba i organizacija i rijetko su likvidne, tj. pretvoriti u novčani oblik.

Sigurnost bankovnih informacija treba uzeti u obzir sljedeće specifične čimbenike:

1. Informacije koje se pohranjuju i obrađuju u bankarskim sustavima pravi su novac. Na temelju podataka računala mogu se vršiti plaćanja, otvarati krediti, prenositi značajni iznosi. Sasvim je jasno da nezakonita manipulacija takvim informacijama može dovesti do ozbiljnih gubitaka. Ova značajka dramatično proširuje krug kriminalaca koji zadiru u banke (za razliku od, primjerice, industrijskih tvrtki, čije interne informacije nikoga ne zanimaju).

2. Informacije u bankarskim sustavima utječu na interese velikog broja ljudi i organizacija – klijenata banke. Općenito je povjerljivo i banka je odgovorna za održavanje potrebnog stupnja tajnosti prema svojim klijentima. Naravno, klijenti imaju pravo očekivati ​​da se banka brine o njihovim interesima, inače riskira svoj ugled sa svim posljedicama koje iz toga proizlaze.

3. Konkurentnost banke ovisi o tome koliko je klijentu zgodno raditi s bankom, kao io tome koliko je širok raspon usluga koje se pružaju, uključujući usluge vezane uz daljinski pristup. Stoga bi klijent trebao moći upravljati svojim novcem brzo i bez zamornih procedura. Ali ova lakoća pristupa novcu povećava vjerojatnost infiltracije kriminala u bankarske sustave.

4. Informacijska sigurnost banke (za razliku od većine tvrtki) trebala bi osigurati visoku pouzdanost računalnih sustava čak iu slučaju izvanrednih situacija, budući da je banka odgovorna ne samo za svoja sredstva, već i za novac klijenata.

5. Banka pohranjuje važne podatke o svojim klijentima, što proširuje krug potencijalnih uljeza zainteresiranih za krađu ili oštećenje takvih podataka.

Nažalost, ovih dana, zbog visokog razvoja tehnologije, čak i iznimno teške organizacijske mjere za racionalizaciju rada povjerljive informacije neće zaštititi od fizičkog curenja. Stoga sustavni pristup zaštiti informacija zahtijeva da se sredstva i radnje koje banka koristi za osiguravanje informacijske sigurnosti (organizacijske, fizičke i softverske i hardverske) promatraju kao jedan skup međusobno povezanih, komplementarnih i međusobno povezanih mjera. Takav kompleks trebao bi biti usmjeren ne samo na zaštitu informacija od neovlaštenog pristupa, već i na sprječavanje slučajnog uništenja, izmjene ili otkrivanja informacija.

2. Sigurnost sustava automatizirane obrade informacija u bankama (ASOIB)

Neće biti pretjerano reći da je problem namjernih poremećaja u funkcioniranju ASOIB-a za različite namjene trenutno jedan od najurgentnijih. Ova izjava najviše vrijedi za zemlje s visoko razvijenom informacijskom infrastrukturom, o čemu svjedoče brojke u nastavku.

Poznato je da je 1992. šteta od računalnih kriminala iznosila 555 milijuna dolara, 930 godina radnog vremena i 15,3 godine rada na računalu. Prema drugim izvorima, šteta financijske institucije kreće se od 173 milijuna dolara do 41 milijarde dolara godišnje.

Iz ovog primjera možemo zaključiti da sustavi obrade i zaštite informacija odražavaju tradicionalni pristup računalne mreže kao potencijalno nepouzdanog medija za prijenos podataka. Postoji nekoliko glavnih načina da se osigura sigurnost softverskog i hardverskog okruženja, implementiranih na različite načine:

1.1. Izrada korisničkih profila. Na svakom od čvorova kreira se baza podataka korisnika, njihovih lozinki i profila pristupa lokalnim resursima računalnog sustava.

1.2. Izrada profila procesa. Zadatak provjere autentičnosti obavlja neovisni poslužitelj (treće strane) koji sadrži lozinke za korisnike i ciljne poslužitelje (u slučaju grupe poslužitelja, baza podataka lozinki također sadrži samo jedan (glavni) poslužitelj za provjeru autentičnosti; ostali su samo povremeno ažurirane kopije) ... Dakle, za korištenje mrežnih usluga potrebne su dvije lozinke (iako korisnik treba znati samo jednu - drugu mu server daje na "transparentan" način). Očito, poslužitelj postaje usko grlo cijelog sustava, a hakiranje može ugroziti sigurnost cijele računalne mreže.

2. Inkapsulacija prenesenih informacija u posebne protokole razmjene. Korištenje takvih metoda u komunikacijama temelji se na algoritmima šifriranja javnog ključa. U fazi inicijalizacije stvara se par ključeva - javni i privatni, dostupni samo osobi koja objavi javni ključ. Bit algoritama šifriranja s javnim ključem je da se operacije šifriranja i dešifriranja izvode s različitim ključevima (otvorenim i privatnim).

3. Ograničenje protoka informacija. To su poznate tehnike za podjelu lokalne mreže na povezane podmreže i kontrolu i ograničavanje prijenosa informacija između tih podmreža.

3.1. Vatrozidi Metoda podrazumijeva stvaranje posebnih posredničkih poslužitelja između lokalne mreže banke i drugih mreža, koji pregledavaju, analiziraju i filtriraju sav protok podataka koji kroz njih prolazi (promet mrežnog/transportnog sloja). To može dramatično smanjiti prijetnju neovlaštenog pristupa izvana korporativnim mrežama, ali uopće ne otklanja ovu opasnost. Sigurnija verzija metode je maskiranje, kada se sav promet koji potječe iz lokalne mreže šalje u ime poslužitelja vatrozida, što zatvorenu lokalnu mrežu čini praktički nevidljivom.

3.2. Proxy-poslužitelji. Ovom metodom uvode se stroga ograničenja na pravila za prijenos informacija u mreži: sav promet mreže/transportnog sloja između lokalne i globalne mreže potpuno je zabranjen - jednostavno nema usmjeravanja kao takvog, a pozivi iz lokalne mreže prema globalni se odvijaju putem posebnih posredničkih poslužitelja. Očito, ovom metodom pozivi iz globalne mreže u lokalnu postaju u principu nemogući. Također je očito da ova metoda ne pruža dovoljnu zaštitu od napada na višim razinama, na primjer, na razini softverske aplikacije.

4. Stvaranje virtualnih privatnih mreža (VPN) omogućuje učinkovito osiguranje povjerljivosti informacija, njihovu zaštitu od prisluškivanja ili smetnji tijekom prijenosa podataka. Omogućuju vam uspostavljanje povjerljive, sigurne komunikacije preko otvorene mreže, koja je obično Internet, i širenje granica korporativnih mreža na udaljene urede, mobilne korisnike, kućne korisnike i poslovne partnere. Tehnologija šifriranja eliminira mogućnost prisluškivanja ili čitanja od strane osoba koje nisu ovlašteni primatelji poruka koje se prenose putem VPN-a primjenom naprednih matematičkih algoritama za šifriranje poruka i njihovih priloga. Koncentratori Cisco VPN serije 3000 nadaleko su priznati kao najbolje VPN rješenje za daljinski pristup u klasi. Cisco VPN 3000 koncentratori s najnaprednijim mogućnostima s visokom pouzdanošću i jedinstvenom, svrhovitom arhitekturom. Korporacijama omogućuje izgradnju visokoučinkovitih, skalabilnih i moćnih VPN infrastrukture za podršku aplikacijama za daljinski pristup kritične za misiju. Cisco usmjerivači, koji su optimizirani za VPN-ove, kao što su Cisco 800, 1700, 2600, 3600, 7100 i 7200 usmjerivači, idealni su alati za izgradnju VPN-ova od lokacije do stranice.

5. Sustavi za otkrivanje upada i skeneri ranjivosti stvaraju dodatni sloj mrežne sigurnosti. Iako vatrozidi dopuštaju ili odgađaju promet na temelju izvora, odredišta, porta ili drugih kriterija, oni zapravo ne analiziraju promet na napade i ne traže ranjivosti u sustavu. Osim toga, vatrozidi se obično ne bave unutarnjim prijetnjama od strane "insajdera". Cisco sustav za otkrivanje upada (IDS) može zaštititi perimetarsku mrežu, mreže poslovnih partnera i sve ranjivije interne mreže u stvarnom vremenu. Sustav koristi agente, koji su mrežni uređaji visokih performansi, za analizu pojedinačnih paketa kako bi otkrio sumnjivu aktivnost. Ako postoji neovlaštena aktivnost ili mrežni napad u toku podataka na mreži, agenti mogu otkriti kršenje u stvarnom vremenu, poslati alarme administratoru i blokirati uljezu pristup mreži. Uz detekciju upada u mrežu, Cisco također nudi sustave za otkrivanje upada temeljene na poslužitelju koji učinkovito štite određene poslužitelje na mreži korisnika, prvenstveno web i poslužitelje e-trgovine. Cisco Secure Scanner je softverski skener industrijske razine koji administratoru omogućuje da identificira i popravi sigurnosne propuste mreže prije nego ih hakeri pronađu.

Kako mreže rastu i postaju složenije, postaje najvažnije zahtijevati centralizirane kontrole sigurnosne politike za upravljanje sigurnosnim elementima. Inteligentni alati koji mogu naznačiti, upravljati i revidirati sigurnosna pravila čine vaša mrežna sigurnosna rješenja praktičnijima i učinkovitijima. Ciscova rješenja u ovom području imaju strateški pristup upravljanju sigurnošću. Cisco Secure Policy Manager (CSPM) podržava Cisco sigurnosne elemente korporativnih mreža pružajući sveobuhvatnu i dosljednu provedbu sigurnosnih politika. Uz CSPM, korisnici mogu definirati, provoditi i potvrditi sigurnosna pravila u stotinama vatrozida i IDS agenata Cisco Secure PIX i Cisco IOS Firewall Seta značajki. CSPM također podržava IPsec standard za izgradnju virtualnih privatnih VPN-ova. Osim toga, CSPM je dioširoko korišten sustav korporativnog upravljanja CiscoWorks2000 / VMS.

Rezimirajući navedene metode, možemo reći da razvoj informacijskih sustava zahtijeva paralelni razvoj tehnologija za prijenos i zaštitu informacija. Ove tehnologije trebale bi osigurati zaštitu prenesenih informacija, čineći mrežu "pouzdanom", iako se pouzdanost u sadašnjoj fazi podrazumijeva kao pouzdanost ne na fizičkoj razini, nego na logičkoj (informativnoj razini).

Postoji i niz dodatnih aktivnosti koje provode sljedeća načela:

1. Praćenje procesa. Način praćenja procesa je stvaranje posebnog proširenja sustava koji bi stalno provodio neke vrste provjera. Očito je da određeni sustav postaje eksterno ranjiv tek kada pruži mogućnost vanjskog pristupa svojim informacijskim resursima. Prilikom kreiranja sredstava takvog pristupa (poslužiteljskih procesa) u pravilu postoji dovoljna količina apriornih informacija vezanih za ponašanje klijentskih procesa. Nažalost, u većini slučajeva ove se informacije jednostavno ignoriraju. Nakon što je vanjski proces autentificiran u sustavu, smatra se ovlaštenim tijekom svog životnog ciklusa za pristup određenoj količini informacijskih resursa bez ikakvih dodatnih provjera.

Iako u većini slučajeva nije moguće naznačiti sva pravila ponašanja vanjskog procesa, sasvim je realno definirati ih kroz negaciju, odnosno, drugim riječima, naznačiti što vanjski proces ne može učiniti ni pod kojim uvjetima. Na temelju tih provjera mogu se pratiti opasni ili sumnjivi događaji. Na primjer, sljedeća slika prikazuje elemente nadzora i otkrivene događaje: DOS napad; pogreška u unosu lozinke od strane korisnika; preopterećenja u komunikacijskom kanalu.

2. Umnožavanje tehnologija prijenosa. Postoji opasnost od hakiranja i kompromitiranja bilo koje tehnologije prijenosa informacija, kako zbog njezinih unutarnjih nedostataka, tako i zbog vanjskih utjecaja. Zaštita od takve situacije leži u paralelnoj primjeni nekoliko različitih tehnologija prijenosa. Očito će dupliciranje dovesti do dramatičnog povećanja mrežnog prometa. Međutim, ova metoda može biti učinkovita kada je trošak rizika od potencijalnih gubitaka veći od režijskih troškova dupliciranja.

3. Decentralizacija. U mnogim slučajevima korištenje standardiziranih tehnologija razmjene informacija nije uzrokovano željom za standardizacijom, već nedovoljnom računalnom snagom sustava koji podržavaju komunikacijske postupke. Široko rasprostranjena praksa "zrcala" na internetu također se može smatrati decentraliziranim pristupom. Izrada nekoliko identičnih kopija resursa može biti korisna u sustavima u stvarnom vremenu, čak i kratkotrajni kvar može imati ozbiljne posljedice.

3 . Sigurnost elektroničkog plaćanja

kriptografska zaštita banke informacija

Potreba da uvijek imaju potrebne informacije pri ruci mnoge menadžere tjera na razmišljanje o problemu optimizacije poslovanja pomoću računalnih sustava. No, ako je prijenos računovodstva iz papirnog u elektronički oblik izvršen davno, tada međusobna poravnanja s bankom i dalje ostaju nedovoljno automatizirana: masivan prijelaz na elektroničko upravljanje dokumentima samo da dođem.

Danas mnoge banke imaju neku vrstu kanala za daljinsko plaćanje. Možete poslati "nalog za plaćanje" izravno iz ureda koristeći modemsku vezu ili namjensku komunikacijsku liniju. Obavljanje bankarskih poslova putem interneta postalo je stvarnost - za to je dovoljno imati računalo s pristupom globalnoj mreži i ključ za elektronički digitalni potpis (EDS) koji je registriran u banci.

Daljinske bankarske usluge omogućuju povećanje učinkovitosti privatnog poslovanja uz minimalan napor njegovih vlasnika. Time se osigurava: ušteda vremena (nema potrebe osobno dolaziti u banku, plaćanje se može izvršiti u bilo kojem trenutku); praktičnost rada (sve se operacije izvode s osobnog računala u poznatom poslovnom okruženju); velika brzina obrade plaćanja (operator banke ne ispisuje podatke s papirnatog izvornika, što omogućuje otklanjanje pogrešaka u unosu i smanjenje vremena obrade platnog dokumenta); praćenje stanja dokumenta u procesu njegove obrade; dobivanje informacija o kretanju sredstava po računima.

Međutim, unatoč očitim prednostima, elektronička plaćanja u Rusiji još nisu jako popularna, budući da klijenti banaka nisu sigurni u njihovu sigurnost. To je prvenstveno zbog raširenog mišljenja da računalne mreže može lako "hakirati" haker. Taj je mit čvrsto ukorijenjen u svijesti osobe, a vijesti o napadima na drugu web stranicu koje se redovito objavljuju u medijima još više učvršćuju to mišljenje. No vremena se mijenjaju i prije ili kasnije elektronička sredstva komunikacije zamijenit će osobnu prisutnost uplatitelja koji želi izvršiti bezgotovinsku bankovni prijenos s jednog računa na drugi.

Po mom mišljenju, sigurnost poslovanja elektroničkog bankarstva danas se može osigurati. To jamče suvremene kriptografske metode koje se koriste za zaštitu elektroničkih platnih dokumenata. Prije svega, ovo je EDS koji odgovara GOST 34.10-94. Od 1995. uspješno se primjenjuje u Banci Rusije. U početku je uveo sustav međuregionalnih elektroničkih naselja u samo nekoliko regija. Sada pokriva sve regije Ruske Federacije i praktički je nemoguće zamisliti funkcioniranje Banke Rusije bez nje. Dakle, ima li razloga sumnjati u pouzdanost digitalnog potpisa, ako je njegova upotreba provjerena vremenom i već se, na ovaj ili onaj način, tiče svakog građanina naše zemlje?

Elektronički digitalni potpis jamstvo je sigurnosti. Prema standardni ugovor Između banke i klijenta, prisutnost dovoljnog broja ovlaštenih osoba registriranih u EDS-u pod elektroničkim dokumentom je osnova za obavljanje bankarskih poslova na računima klijenta. Federalni zakon br. 1-FZ od 10.01.2002. "O elektroničkim digitalnim potpisima" propisuje da EDS mora biti generiran i provjeren softverom koji je certificirao FAPSI. EDS certifikat je jamstvo da ovaj program obavlja kriptografske funkcije u skladu s GOST standardima i ne čini destruktivne radnje na računalu korisnika.

Za postavljanje EDS-a na elektronički dokument morate imati njegov ključ, koji se može pohraniti na neki ključ podataka. Moderni nosači ključeva ("e-Token", "USB-drive", "Touch-Memory") oblikom nalikuju privjescima za ključeve, a mogu se nositi u hrpi običnih ključeva. Diskete se također mogu koristiti kao nositelj ključnih informacija.

Svaki EDS ključ služi kao analog vlastitog potpisa ovlaštene osobe. Ako u organizaciji papirnate "isplate" obično potpisuju direktor i glavni računovođa, onda je u elektroničkom sustavu najbolje zadržati isti postupak i predvidjeti ovlaštene osobe s različitim EDS ključevima. No, može se koristiti i jedan EDS - ta se činjenica mora odraziti u ugovoru između banke i klijenta.

EDS ključ se sastoji od dva dijela - zatvorenog i otvorenog. Javni dio (javni ključ), nakon generiranja od strane vlasnika, dostavlja se Certifikacijskom centru, čiju ulogu obično ima banka. Javni ključ, podatke o njegovom vlasniku, namjenu ključa i druge podatke potpisuje EDS Centra za certificiranje. Tako se generira EDS certifikat koji se mora registrirati u elektroničkom sustavu namire banke.

Vlasnik ključa ni u kojem slučaju ne smije prenijeti privatni dio EDS ključa (tajni ključ) na drugu osobu. Ako je tajni ključ čak i nakratko prebačen drugoj osobi ili je negdje ostavljen bez nadzora, ključ se smatra "ugroženim" (tj. podrazumijeva se vjerojatnost kopiranja ili nezakonite upotrebe ključa). Drugim riječima, u ovom slučaju osoba koja nije vlasnik ključa dobiva priliku potpisati elektronički dokument neovlašten od strane uprave organizacije, koji će banka prihvatiti na izvršenje i bit će u pravu, budući da je provjera EDS će pokazati svoju autentičnost. Svu odgovornost u ovom slučaju snosi isključivo vlasnik ključa. Radnje vlasnika EDS-a u ovoj situaciji trebale bi biti slične onima koje se poduzimaju u slučaju gubitka obične plastične kartice: ta osoba mora obavijestiti banku o "kompromisu" (gubitku) EDS ključa. Tada će banka blokirati certifikat ovog EDS-a u svom platnom sustavu i napadač neće moći koristiti svoju nezakonitu akviziciju.

Također je moguće spriječiti nezakonitu upotrebu tajnog ključa uz pomoć lozinke, koja se postavlja i na ključ i na neke vrste nosača ključeva. To pomaže da se šteta u slučaju gubitka svede na najmanju moguću mjeru, jer bez lozinke ključ postaje nevažeći i vlasnik će imati dovoljno vremena da obavijesti banku o "kompromitaciji" svog EDS-a.

Razmotrimo kako klijent može koristiti usluge elektroničkog plaćanja, pod uvjetom da je banka instalirala sustav za integriranu implementaciju usluga elektroničkog bankarstva InterBank. Ako je klijent privatni poduzetnik ili vodi malu trgovačku tvrtku i ima pristup internetu, bit će mu dovoljno da odabere sustav kriptografske zaštite (EDS i enkripcija) koji želi koristiti. Klijent može instalirati certificirani softver "CryptoPro CSP" ili koristiti Microsoft Base CSP sustav ugrađen u Microsoft Windows.

Ako je klijent velika tvrtka s velikim financijskim prometom, onda mu se može preporučiti još jedan podsustav iz InterBank strukture - "Windows Client". Uz njegovu pomoć klijent samostalno održava bazu elektroničkih dokumenata i može pripremati naloge za plaćanje na svom računalu bez korištenja komunikacijske sesije s bankom. Kad sve potrebni dokumentiće se formirati, klijent se povezuje s bankom putem telefona ili namjenske linije za razmjenu podataka.

Druga vrsta usluge koju pruža InterBank kompleks je informiranje klijenta o njegovom stanju bankovni računi, tečajeve i prijenos ostalih referentnih podataka putem glasovne komunikacije, faksa ili zaslona mobitela.

Prikladan način korištenja elektroničkih nagodbi je potpisivanje platnih dokumenata od strane ovlaštenih djelatnika tvrtke, koji su međusobno na znatnoj udaljenosti. Na primjer, glavni računovođa je pripremio i potpisao dokument o elektroničkom plaćanju. Direktor, koji je trenutno na službenom putu u drugom gradu ili u drugoj državi, može pogledati ovaj dokument, potpisati ga i poslati u banku. Sve ove radnje može obavljati podsustav "Internet-klijent", na koji će računovođa i direktor poduzeća biti povezani putem interneta. Šifriranje podataka i autentifikacija korisnika provodit će se jednim od standardnih protokola - SSL ili TLS.

Dakle, korištenje elektroničkog plaćanja u poslovanju pruža značajne prednosti u odnosu na tradicionalnu uslugu. Što se tiče sigurnosti, ona je predviđena standardom EDS (GOST 34.10-94), s jedne strane, i odgovornost klijenta za pohranu ključa potpisa, s druge strane. Preporuke o korištenju i čuvanju EDS ključeva klijent uvijek može dobiti u banci, a ako ih se pridržava, pouzdanost plaćanja je zajamčena.

4. Sigurnost osobagotovinska plaćanja fizičkih lica

Većina sigurnosnih sustava, kako bi se izbjegao gubitak osobnih podataka pojedinaca, zahtijeva od korisnika potvrdu da je ono za što se predstavlja. Identifikacija korisnika može se provesti na temelju:

* zna neke podatke (tajni kod, lozinka);

* ima određeni predmet (karticu, elektronički ključ, žeton);

* ima skup individualnih osobina (otisci prstiju, oblik šake, ton glasa, crtež mrežnice itd.);

* zna gdje i kako je specijalizirani ključ povezan.

Prva metoda zahtijeva upisivanje određenog kodnog niza na tipkovnici – osobnog identifikacijskog broja (PIN). Obično je to niz od 4-8 znamenki koji korisnik mora unijeti prilikom obavljanja transakcije.

Druga metoda uključuje predstavljanje od strane korisnika određenih specifičnih identifikacijskih elemenata – kodova očitanih s elektroničkog uređaja, kartice ili tokena koji se ne može kopirati.

U trećoj metodi prolaz je individualne karakteristike i fizičke karakteristike osobnost osobe. Svaki biometrijski proizvod prati prilično opsežna baza podataka koja pohranjuje odgovarajuće slike ili druge podatke koji se koriste za prepoznavanje.

Četvrta metoda pretpostavlja poseban princip uključivanja ili prebacivanja opreme, što će osigurati njezin rad (ovaj pristup se koristi prilično rijetko).

U bankarstvu je najčešće sredstvo osobne identifikacije, koje smo pripisali drugoj skupini: određeni predmet (kartica, elektronički ključ, token). Naravno, korištenje takvog ključa događa se u kombinaciji sa sredstvima i metodama identifikacije, koje smo pripisali prvoj skupini: korištenje informacija (tajni kod, lozinka).

Pogledajmo pobliže osobnu identifikaciju u bankarstvu.

Plastične kartice.

Više od milijardu kartica izdano je u raznim zemljama svijeta.... Najpoznatiji od njih:

Kreditne kartice Visa (preko 350 milijuna kartica) i MasterCard (200 milijuna kartica);

Međunarodni ček jamči Eurocheque i Posteheque;

Karte za putovanja i zabavu American Express(60 milijuna kartica) i Diners Club.

Magnetne kartice

Plastične kartice s magnetskom trakom su najpoznatije i dugo se koriste u bankarstvu kao sredstvo identifikacije (mnogi sustavi dopuštaju korištenje konvencionalnih kreditnih kartica). Za čitanje je potrebno provući karticu (magnetska traka) kroz utor čitača (čitača). Obično su čitači izrađeni u obliku vanjskog uređaja i povezani su putem serijskog ili univerzalnog porta na računalu. Proizvode se i čitači u kombinaciji s tipkovnicom. Međutim, takve kartice imaju prednosti i nedostatke u korištenju.

* magnetska kartica se može jednostavno kopirati na dostupnu opremu;

* onečišćenje, blagi mehanički utjecaj na magnetski sloj, položaj kartice u blizini jakih izvora elektromagnetskih polja oštetit će karticu.

prednosti:

* troškovi izdavanja i održavanja takvih kartica su niski;

* industrija magnetskih plastičnih kartica razvija se nekoliko desetljeća i trenutno više od 90% kartica čine plastične kartice;

* korištenje magnetskih kartica opravdano je kada postoji vrlo velik broj korisnika i česte promjene kartica (npr. za pristup hotelskoj sobi).

Proximity kartice

Zapravo, ovo je razvoj ideje o elektroničkim tokenima. Ovo je beskontaktna kartica (ali može biti i privjesak za ključeve ili narukvica) koja sadrži čip s jedinstvenim kodom ili radio odašiljač. Čitač je opremljen posebnom antenom koja neprestano emitira elektromagnetsku energiju. Kada kartica uđe u ovo polje, čip kartice se aktivira, a kartica čitaču šalje svoj jedinstveni kod. Za većinu čitatelja stabilna udaljenost odziva kreće se od nekoliko milimetara do 5-15 cm.

Pametne kartice

Za razliku od magnetske kartice, pametna kartica sadrži mikroprocesor i kontaktne jastučiće za napajanje i razmjenu informacija s čitačem. Pametna kartica ima vrlo visoku razinu sigurnosti. S njom su još uvijek povezani glavni izgledi za razvoj takvih ključeva i nade mnogih programera sigurnosnih sustava.

Tehnologija pametnih kartica postoji i razvija se dvadesetak godina, ali je tek u posljednjih nekoliko godina postala široko rasprostranjena. Očito, pametna kartica, zbog velike količine memorije i funkcionalnosti, može djelovati i kao ključ i kao propusnica i istovremeno biti bankovna kartica... U stvarnom životu takva kombinacija funkcija rijetko se provodi.

Za rad sa pametnom karticom računalo mora biti opremljeno posebnim uređajem: ugrađenim ili vanjskim čitačem kartica. Vanjski čitači kartica mogu se spojiti na različite portove na vašem računalu (PS/2 serijski, paralelni ili tipkovnicski port, PCMCIA utor, SCSI ili USB).

Mnoge kartice pružaju različite vrste(algoritmi) autentikacija. Tri su strane uključene u proces elektroničkog prepoznavanja: korisnik kartice, kartica i terminalni uređaj (čitač kartica). Autentifikacija je neophodna kako bi korisnik, terminalni uređaj u koji je kartica umetnuta, ili softverska aplikacija kojoj se komuniciraju parametri kartice, mogli izvršiti određene radnje s podacima na kartici. Pravila pristupa dodjeljuje programer aplikacije prilikom izrade struktura podataka na karti.

Elektronički žetoni

Sada se u raznim sustavima koji zahtijevaju identifikaciju korisnika ili vlasnika, elektronički tokeni (ili tzv. token uređaji) naširoko koriste kao propusnice. Dobro poznati primjer takvog tokena je elektronska pilula (slika 8.4). “Tablet” je izrađen u okruglom kućištu od nehrđajućeg čelika i sadrži čip s upisanim jedinstvenim brojem. Provjera autentičnosti korisnika provodi se nakon dodirivanja takvog "tableta" s posebnim kontaktnim uređajem, obično spojenim na serijski port računala. Dakle, možete dopustiti pristup prostorijama, ali također možete dopustiti rad na računalu ili blokirati neovlaštene korisnike da rade na računalu.

Radi praktičnosti, "tableta" se može pričvrstiti na privjesak za ključeve ili utisnuti u plastičnu školjku.

Trenutno se ovi uređaji naširoko koriste za upravljanje elektromehaničkim bravama (sobna vrata, kapije, vrata stubišta, itd.). Međutim, njihova je “računalna” uporaba također prilično učinkovita.

Sve tri navedene skupine ključeva su pasivne prirode. Ne izvode nikakve aktivne radnje i ne sudjeluju u procesu provjere autentičnosti, već samo vraćaju pohranjeni kod. Ovo je njihovo glavno područje.

Žetoni su nešto izdržljiviji od magnetskih kartica.

Zaključak

Stoga je problem zaštite bankovnih podataka preozbiljan da bi ga banka zanemarila. U posljednje vrijeme u domaćim bankama uočen je veliki broj slučajeva kršenja razine tajnosti. Primjer je besplatan pristup raznim bazama podataka na CD-ovima o trgovačka društva i pojedinci. Teoretski, pravni okvir za osiguranje zaštite bankovnih podataka u našoj zemlji postoji, ali njegova primjena je daleko od savršene. Do sada nije bilo slučajeva da je banka kažnjena zbog odavanja informacija, da je bilo koja tvrtka kažnjena zbog pokušaja pribavljanja povjerljivih informacija.

Zaštita informacija u banci složen je zadatak koji se ne može riješiti samo u okviru bankarski programi... Učinkovita implementacija zaštite počinje odabirom i konfiguracijom operacijskih sustava i alata mrežnog sustava koji podržavaju funkcioniranje bankarskih programa. Među disciplinskim sredstvima osiguravanja zaštite treba razlikovati dva područja: s jedne strane, to je minimalna dovoljna svijest korisnika sustava o značajkama konstrukcije sustava; s druge strane, prisutnost višerazinskih sredstava identifikacije korisnika i kontrole njihovih prava.

U različitim fazama svog razvoja, ABS je imao različite komponente zaštite. U ruskim uvjetima većinu bankarskih sustava u smislu razine zaštite treba klasificirati kao sustave prve i druge razine složenosti zaštite:

1. razina - korištenje softverskih alata koje osiguravaju standardni alati operacijskih sustava i mrežnih programa;

2. razina - korištenje sigurnosnog softvera, kodiranje informacija, kodiranje pristupa.

Rezimirajući sve navedeno, došao sam do zaključka da kada radite u bankarskom sektoru morate biti sigurni da korporativni i komercijalni podaci ostaju privatni. Međutim, treba paziti da zaštitite ne samo dokumentaciju i druge informacije o proizvodnji, već i mrežne postavke i mrežne parametre na stroju.

Zadatak zaštite podataka u banci je postavljen mnogo strože nego u drugim organizacijama. Rješenje takvog problema podrazumijeva planiranje organizacijskih, sustavnih mjera za osiguranje zaštite. Istodobno, prilikom planiranja zaštite treba se pridržavati mjere između potrebne razine zaštite i one razine kada zaštita počinje ometati normalan rad osoblja.

Prilog 1

Popis tipičnog osoblja ASOIB-a i odgovarajući stupanj rizika svakog od njih:

1. Najveći rizik: kontrolor sustava i sigurnosni administrator.

2. Povećan rizik: operator sustava, operater unosa i pripreme podataka, voditelj obrade, programer sustava.

3. Prosječni rizik: sistem inženjer, softver menadžer.

4. Ograničeni rizik: aplikacijski programer, inženjer ili komunikacijski operater, administrator baze podataka, inženjer opreme, operater periferne opreme, knjižničar magnetskih medija sustava, korisnik programera, blagajnik.

5. Niski rizik: inženjer periferne opreme, korisnici knjižnice magnetskih medija, korisnik mreže.

Riža. 1 magnetna kartica

Riža. 2 Proximity kartica

Riža. 4 Elektronički žetoni

Dodatak 2

Objavljeno na Allbest.ru

Slični dokumenti

Vrste namjernih prijetnji informacijskoj sigurnosti. Metode i sredstva zaštite informacija. Metode i sredstva informacijske sigurnosti. Kriptografske metode zaštite informacija. Složena sredstva zaštite.

sažetak, dodan 17.01.2004


Problem informacijske sigurnosti. Značajke zaštite informacija u računalnim mrežama. Prijetnje, napadi i kanali curenja informacija. Klasifikacija metoda i sredstava osiguranja sigurnosti. Arhitektura i zaštita mreže. Metode za osiguranje mreža.

rad, dodan 16.06.2012


Metode i sredstva zaštite informacijskih podataka. Zaštita od neovlaštenog pristupa informacijama. Značajke zaštite računalnih sustava metodama kriptografije. Kriteriji za ocjenu sigurnosti informacijskih računalnih tehnologija u europskim zemljama.

test, dodano 06.08.2010


Načela sigurnosti za elektronička i osobna plaćanja pojedinaca u bankama. Implementacija tehnologija prijenosa i zaštite informacija; sustavni pristup razvoju softverskog i hardverskog okruženja: kodiranje informacija i pristup; šifriranje, kriptografija.

sažetak dodan 18.05.2013


Informacijska sigurnost telekomunikacijskih sustava. Problemi sa informacijskom sigurnošću. Tehnologija sigurnosne analize, otkrivanje izloženosti uljeza, zaštita informacija od neovlaštenog pristupa, antivirusna zaštita. Formiranje banke podataka.

sažetak, dodan 27.02.2009


Najvažniji aspekti informacijske sigurnosti. Tehnička sredstva obrada informacija, njezini nositelji dokumentacije. Tipični načini neovlaštenog dobivanja informacija. Koncept elektroničkog potpisa. Zaštita informacija od uništenja.

sažetak dodan 14.07.2015


Metode i sredstva zaštite informacija od neovlaštenog pristupa. Značajke zaštite informacija u računalnim mrežama. Kriptografska zaštita i elektronički digitalni potpis. Metode zaštite informacija od računalnih virusa i hakerskih napada.

sažetak, dodan 23.10.2011


Informacijska sigurnost, komponente sustava zaštite. Destabilizirajući čimbenici. Klasifikacija prijetnji sigurnosti informacija prema izvoru nastanka, prirodi ciljeva. Metode za njihovu provedbu. Razine zaštite informacija. Faze stvaranja sustava zaštite.

prezentacija dodana 22.12.2015


Razvoj novih informacijskih tehnologija i opća informatizacija. Sigurnost informacija. Klasifikacija namjernih prijetnji informacijskoj sigurnosti. Metode i sredstva zaštite informacija. Kriptografske metode zaštite informacija.

seminarski rad, dodan 17.03.2004


Osnovni pojmovi informacijske sigurnosti i informacijske sigurnosti. Klasifikacija i sadržaj, izvori i preduvjeti za nastanak mogućih prijetnji informacijama. Glavni pravci zaštite od informacijskog oružja (udara), usluge mrežne sigurnosti.

INFORMACIJSKA SIGURNOST BANKE

S.S. MYTENKOV

Kao što znate, od trenutka kada su se pojavile, banke su uvijek izazivale kriminalni interes. I taj interes bio je povezan ne samo sa skladištenjem sredstava u kreditnim institucijama, već i s činjenicom da su važne i često tajne informacije o financijskim i gospodarskim aktivnostima mnogih ljudi, tvrtki, organizacija, pa čak i država bile koncentrirane u bankama.

U današnje vrijeme, u svezi s općom informatizacijom i informatizacijom bankarske djelatnosti, značaj informacijske sigurnosti banaka višestruko je povećan. Još prije 30 godina meta informacijskih napada bili su podaci o klijentima banke ili o aktivnostima same banke. Tada su takvi napadi bili rijetki, krug njihovih kupaca bio je vrlo uzak, a šteta je mogla biti značajna samo u posebnim slučajevima... Trenutačno, kao rezultat široke distribucije elektroničkog plaćanja, plastičnih kartica, računalnih mreža, brzorastuće popularnosti usluga koje se korisnicima pružaju putem internetskih tehnologija, sredstva i banaka i njihovih klijenata postali su predmet informacijskih napada. Svatko može pokušati ukrasti - potrebno je samo računalo spojeno na Internet. Štoviše, to ne zahtijeva fizički ulazak u banku, možete "raditi" i tisućama kilometara od nje.

Primjerice, u kolovozu 1995. u Velikoj Britaniji uhićen je 24-godišnji ruski matematičar Vladimir Levin koji je koristeći svoje kućno računalo u St. Petersburgu uspio pronaći ključeve sustava zaštita banke jedne od najvećih američkih banaka Citibank i pokušao podići velike iznose sa svojih računa. Prema moskovskom uredu Citibanka, do tada nitko nije uspio. Sigurnosna služba Citibanka doznala je da su banci pokušali ukrasti 2,8 milijuna dolara, ali su kontrolni sustavi to na vrijeme otkrili i blokirali račune. Vladimir Levin uspio je samo ukrasti

400 tisuća dolara zbog čega je otišao u Englesku, gdje je i uhićen.

Informatizacija bankarskih aktivnosti omogućila je značajno povećanje produktivnosti zaposlenika banke i uvođenje novih financijskih proizvoda i tehnologija. Međutim, napredak u tehnologiji kriminala nije bio ništa manje brz od razvoja bankarske tehnologije.

Trenutno je preko 90% svih kaznenih djela na ovom području povezano s korištenjem automatiziranih sustava za obradu informacija banke (ASOIB). Slijedom toga, pri stvaranju i modernizaciji ASOIB-a banke trebaju posvetiti veliku pozornost osiguravanju njegove sigurnosti.

Upravo je taj problem sada najhitniji i, nažalost, najmanje proučavan. Ako su u osiguravanju fizičke i klasične informacijske1 sigurnosti već dugo razvijeni uhodani pristupi (iako se i ovdje razvija), onda u vezi s čestim radikalnim promjenama računalnih tehnologija ASOIB sigurnosne metode zahtijevaju stalno usavršavanje i ažuriranje. Kao što pokazuje praksa, ne postoje složeni računalni sustavi koji ne sadrže pogreške. A kako se ideologija izgradnje velikih ASOIB-a redovito mijenja, otklanjanje pronađenih grešaka i "rupa" u sigurnosnim sustavima nije dovoljno za dugo, budući da novi računalni sustav donosi nove probleme i nove greške, potrebno je adekvatno restrukturiranje sigurnosnog sustava. .

Ovaj problem je posebno aktualan u Rusiji. V zapadne banke softver (SW) se razvija posebno za svaku banku, a ASOIB uređaj uvelike je poslovna tajna. U Rusiji su primili

1 Klasična informacijska sigurnost podrazumijeva se kao sustav razdvajanja prava pristupa informacijama, mjera zaštite od prisluškivanja, sprječavanja curenja od strane osoblja i drugih mjera koje nisu izravno povezane s ASOIB-om.

prostor "standardnih" bankarskih paketa, informacije o kojima su nadaleko poznate, što olakšava neovlašteni pristup bankovnim računalnim sustavima. Štoviše, prvo, pouzdanost "standardnog" softvera je niža zbog činjenice da programer nema uvijek dobru ideju o specifičnim uvjetima u kojima će ovaj softver morati raditi, i drugo, neki ruski bankarski paketi nije ispunjavao sigurnosne uvjete. Na primjer, rane verzije (koje još uvijek rade u malim bankama) najpopularnijeg ruskog bankarskog paketa zahtijevale su da osobno računalo ima disketni pogon i koristile su disketu s ključem kao sigurnosni alat. Takvo rješenje je, prvo, tehnički nepouzdano, a drugo, jedan od sigurnosnih zahtjeva ASOIB-a je zatvaranje pogona i ulazno-izlaznih portova u računalima zaposlenika koji ne rade s vanjskim podacima.

Za banke (za razliku od drugih tvrtki) sigurnost informacija je kritična. Ne treba zaboraviti ni razvoj bankovnih informacijskih tehnologija (IT), jer upravo te tehnologije u velikoj mjeri određuju informacijski sigurnosni sustav banke.

Razmotrimo nekoliko dijagrama (sl. 1-6) koji ilustriraju glavne trendove u razvoju upravljanja informacijskom tehnologijom u Komercijalna banka na temelju specijaliziranog međunarodnog izvora Forrester Research. Inc. Ove sheme su nasumično odabrane i vrijedne su jer stvarno postoje. Stoga ih se preporuča uzeti u obzir pri odabiru i oblikovanju vlastite IT strategije.

Prvi trend koji želim primijetiti je povećanje vrijednosti ekonomski parametri prilikom donošenja odluka o izboru projekata (slika 1). Prikazani dijagram pokazuje da su u 80% slučajeva formalno opravdanje pokretanja tehnološkog projekta parametri povrata ulaganja ili razdoblja povrata projekta.

Ostali trendovi odnose se na promjenu uloge informatičkog odjela banke (slika 2.). Izneseni podaci pokazuju da većina ispitanika navodi povećanje suradnje s poslovnim jedinicama. Primjećuju se i promjene kao što su povećana centralizacija i kontrola, usmjerenost na poslovne rezultate te uvođenje novih tehnologija i rješenja. Samo oko 10% ispitanika primjećuje izostanak ikakvih promjena.

Koji formalni proces opravdanja koristi vaša banka da odluči hoće li pokrenuti tehnološki projekt?

Razdoblje povrata

Riža. 1. Trendovi u pristupima opravdanosti projekta

NACIONALNI INTERESI: Prioriteti i sigurnost

Rast suradnje s poslovanjem

Jačanje centralizirane kontrole

Povećana usmjerenost na poslovne rezultate

Povećan fokus na nove tehnologije

Bez promjena

Riža. 2. Promjena uloge IT odjela

Sljedeći grafikon (Slika 3) ilustrira sve veću uključenost višeg menadžmenta u bankama u procesu donošenja IT odluka. Prema 40% ispitanika, svaki IT projekt zahtijeva obvezno obrazloženje i odobrenje najvišeg menadžmenta. I potreba za takvim sporazumom za projekte vrijedne više od 100 tisuća dolara. prepoznaje oko 87% ispitanih.

U posljednje vrijeme došlo je do značajnog povećanja udjela usluga trećih strana, organizacije sve više koriste outsourcing. Istodobno, nastoje prenijeti praktički sve neključne poslovne funkcije na vanjske organizacije (slika 4.). Danas u prosjeku 28% sredstava iz IT proračuna odlazi trećim davateljima rješenja i usluga, što ne može ne utjecati na sigurnost općenito. Oko 40% ispitanika napominje da su prenijeli (u cijelosti ili djelomično) takve svoje tehnološke funkcije kako razvijati, održavati i upravljati aplikacijama.

Sljedeći dijagram (slika 5.) prikazuje trendove promjena u strukturi IT usluge i temeljne pokazatelje za ocjenu njezinih aktivnosti. Među glavnim trendovima ističu se: povećanje centralizacije, želja da se bolje odgovara interesima poslovanja, povećanje broja korištenih

□ Koje vrste infrastrukturnih tehnoloških projekata zahtijevaju opravdanje za više rukovodstvo?

Bilo 10 tisuća dolara i 25 tisuća dolara i 50 tisuća dolara i 100 tisuća dolara 250 tisuća dolara 500 tisuća dolara 1 milijun i 3 milijuna dolara i 5 milijuna dolara i 10 milijuna dolara i projekti još više i više i više i više i više više više više

Riža. 3. Uključenost višeg menadžmenta u proces donošenja IT odluka

Koliki je postotak vašeg IT budžeta namijenjen plaćanju vanjskih pružatelja tehnologije?

P U sljedeće 2 godine - prosjek. 34% P Danas - prosjek. 28%

Tehnička opskrba

Razvoj, podrška i rad L ¥ eb-aplikacija

Razvoj, podrška i rad aplikacija

korisnika/radnih stanica

Infrastruktura / back office

Koje tehnološke funkcije pružate vanjskim dobavljačima (barem djelomično)?

Riža. 4. Korištenje usluga treće strane (outsourcing)

Kako će se promijeniti organizacijska struktura Vaša 1T divizija u sljedeće dvije godine?

Koje metrike koristite za mjerenje uspjeha svoje IT aktivnosti i demonstriranje njezine vrijednosti?

Razvoj zajedničkih servisnih centara

Više vladajućih standarda

Nema šanse: više se ne možemo promijeniti

Pogodnije za posao

Ništa: postojeća struktura u potpunosti zadovoljava potrebe

Centralizacija će se povećati

Pokazatelji usmjereni na klijente banke

Smanjenje troškova

Poslovna učinkovitost

Samo taktička statistika

Riža. 5. Trendovi u restrukturiranju i ocjenjivanju IT odjela

standarde za potrebe IT kontrole. U većini banaka obrada podataka se provodi centralizirano kako bi se smanjili troškovi i povećala učinkovitost procesa. Osim toga, postoje i drugi razlozi za takvu odluku: poboljšanje učinkovitosti upravljanja i kontrole, uključujući obuku izvještavanje menadžmenta i otklanjanje dupliciranja informacija

maciju, kao i organizaciju informacijske sigurnosti, smanjenje troškova održavanja opreme; smanjenje osoblja; standardizacija sustava i računovodstvenih postupaka.

Sa stajališta procjene aktivnosti upravljanja informacijskom tehnologijom, korištenje taktičkih pokazatelja većina bilježi kao najčešći pristup,

u blizini poslovnih banaka zabilježeni su pokazatelji učinkovitosti poslovanja i smanjenja troškova.

Drugi značajan trend u upravljanju informacijskom tehnologijom je povećanje brzine donošenja odluka pri kupnji IT odluka: velika većina svih odluka u ovom području donosi se u manje od tri mjeseca (slika 6.).

Kao što možete vidjeti iz navedenog, IT strategija se ne može izraditi bez razumijevanja poslovne strategije i mora se temeljiti na njoj. Preporučljivo je izraditi strateški plan u obliku dva dokumenta – dugoročne strategije i kratkoročne strategije. Dugoročna strategija se izrađuje za 3-5 godina i uključuje odgovarajuće zadatke i ciljeve, kratkoročna - za razdoblje od 1 do 3 godine.

Oba dokumenta trebala bi se redovito ažurirati. Za dugoročni dokument to se može dogoditi na šestomjesečnoj bazi, za kratkoročni dokument na tromjesečnoj bazi. Sva ažuriranja izrađuju se u bliskoj suradnji s poslovnim menadžerima i koordiniraju se s najvišim menadžmentom organizacije.

IT strategiju odobrava više rukovodstvo banke na temelju rezultata zajedničke preliminarne studije čelnika IT i poslovnih jedinica. Takav rad je moguć u

u okviru sastanaka informatičkog (ili tehničkog) odbora banke.

Također, najvažniji element strateškog planiranja je kontrola izvršenja. Strategija ne bi trebala biti deklarativni dokument, a glavni način da se to postigne je kontrola njezine provedbe, uključujući najviše rukovodstvo banke, povjerenstvo za informacijsku tehnologiju.

Prema statistikama, većina kaznenih djela protiv banaka počinjena je korištenjem insajderskih informacija. S tim u vezi, potrebno je platiti stalna pažnja osiguranje informacijske sigurnosti u području rada s kadrovima.

Razvojem i širenjem područja primjene računalne tehnologije sve više raste i aktualnost problema osiguranja sigurnosti računalnih sustava i zaštite informacija koje se u njima pohranjuju i obrađuju od raznih prijetnji. Za to postoji niz objektivnih razloga.

Glavna je povećana razina povjerenja u automatizirane sustave za obradu informacija. Njima se povjerava najodgovorniji posao čija kvaliteta određuje život i dobrobit mnogih ljudi. Računala rade

mrežni hardver

Uređaji za pohranu informacija

■ manje od 1 godine P manje od 6 mjeseci 30% □ manje od 3 mjeseca] 31% □ manje od mjesec dana P manje od tjedan dana

Riža. 6. Brzina informatičkog odlučivanja NACIONALNI INTERESI: prioriteti i sigurnost

tehnološki procesi u poduzećima i nuklearnim elektranama, kretanje zrakoplova i vlakova, obavljanje financijskih transakcija, obrada tajnih podataka.

Danas problem zaštite računalnih sustava postaje sve značajniji u vezi s razvojem i širenjem računalnih mreža. Distribuirani sustavi i sustavi s daljinskim pristupom istaknuli su problem zaštite obrađenih i prenesenih informacija.

Dostupnost računalne tehnologije, a prvenstveno osobnih računala, dovela je do širenja računalne pismenosti među općom populacijom. To je pak uzrokovalo brojne pokušaje uplitanja u rad državnih i komercijalnih, posebice bankarskih sustava, kako iz zlobe, tako i iz čisto "sportskog interesa". Mnogi od tih pokušaja bili su uspješni i nanijeli su značajnu štetu vlasnicima informacijskih i računalnih sustava.

U velikoj mjeri to se odnosi na različite komercijalne strukture i organizacije, posebice one koje po prirodi svoje djelatnosti pohranjuju i obrađuju vrijedne (u novčanom smislu) informacije koje utječu i na interese velikog broja ljudi. U bankama kada su u pitanju elektronička plaćanja i automatizirano održavanje račune, ove informacije su na neki način novac.

Prilično je teško stvoriti cjelovitu sliku svih mogućnosti zaštite jer još uvijek ne postoji jedinstvena teorija zaštite računalnih sustava. Postoji mnogo pristupa i stajališta o metodologiji njegove izgradnje. Ipak, u tom se smjeru ulažu ozbiljni napori, kako u praktičnom tako i u teoretskom smislu, koriste se najnovija dostignuća znanosti, uključene su napredne tehnologije. Štoviše, vodeće tvrtke u proizvodnji računala i softvera, sveučilišta i instituti, kao i velike banke i međunarodne korporacije.

Postoje razne mogućnosti zaštite informacija – od zaštitara na ulazu do matematički provjerenih metoda skrivanja podataka od poznanika. Osim toga, možemo govoriti o globalnoj zaštiti i njezinim pojedinačnim aspektima: zaštiti osobnih računala, mreža, baza podataka itd.

Treba napomenuti da ne postoje potpuno sigurni sustavi. O pouzdanosti sustava možemo govoriti, prvo, samo s određenom vjerojatnošću, a drugo, o zaštiti od određene

kategorije prekršitelja. Ipak, prodor u računalni sustav može se predvidjeti. Obrana je svojevrsno natjecanje između obrane i napada: pobjeđuje onaj tko zna više i pruža učinkovite mjere.

Organizacija ASOIB zaštite jedinstven je skup mjera koje moraju uzeti u obzir sve značajke procesa obrade informacija. Unatoč neugodnostima koje korisniku uzrokuje tijekom rada, u mnogim slučajevima zaštitna oprema može biti apsolutno neophodna za normalno funkcioniranje sustava. Glavni spomenuti nedostaci su:

1) dodatne poteškoće u radu s većinom zaštićenih sustava;

2) povećanje cijene zaštićenog sustava;

3) dodatno opterećenje resursa sustava, što će zahtijevati povećanje radnog vremena za obavljanje istog zadatka zbog usporavanja pristupa podacima i operacija općenito;

4) potrebu za privlačenjem dodatnog osoblja odgovornog za održavanje zdravlja sustava zaštite.

Teško je zamisliti modernu banku bez automatiziranog informacijskog sustava. Računalo na stolu bankovnog zaposlenika odavno je postalo poznat i potreban alat. Komunikacija računala međusobno i sa snažnijim računalima, kao i s računalima drugih banaka također je nužan uvjet za uspješno poslovanje banke: previše je operacija koje je potrebno obaviti u kratkom roku.

Trenutno je u informacijskoj sferi Ruske Federacije zabilježena složena kriminalna situacija. Ranjivost postojećih informacijskih sustava i mreža od raznih oblika nezakonitog utjecaja odredila je širok raspon područja kriminalnog djelovanja. U razdoblju od 2000. do 2004. broj zločina počinjenih korištenjem informacijskih tehnologija registriranih u Rusiji porastao je više od 9 puta i u prošloj godini premašio 13 tisuća. Štoviše, potrebno je uzeti u obzir ne samo iznos izravne štete, ali i vrlo skupe mjere koje se provode nakon uspješnih pokušaja provale u računalne sustave.

Usluge koje banke danas pružaju uglavnom se temelje na korištenju

sredstva elektroničke interakcije između banaka, banaka i njihovih klijenata i trgovinskih partnera. Trenutno je pristup bankovnim uslugama moguć s raznih udaljenih lokacija, uključujući kućne terminale i uredska računala. Ova činjenica odmiče se od koncepta “zaključanih vrata”, koji je bio karakteristični za banke 1960-ih, kada su se računala u većini slučajeva koristila u paketnom načinu rada kao pomoćni alat i nisu imala veze s vanjskim svijetom.

Računalni sustavi, bez kojih ne može niti jedna moderna banka, izvor su potpuno novih, dosad nepoznatih prijetnji. Većina njih posljedica je primjene novih informacijskih tehnologija u bankarstvu i karakteristična su ne samo za banke. Treba imati na umu da je u mnogim zemljama, unatoč sve većoj ulozi sustava elektroničke obrade, obujam transakcija s papirnatim dokumentima 3-4 puta veći nego s njihovim elektroničkim kolegama.

Razina automatizirane opreme igra važnu ulogu u poslovanju banke te stoga izravno utječe na njen položaj i prihode. Jačanje konkurencije među bankama dovodi do potrebe za smanjenjem vremena namirenja, povećanjem asortimana i poboljšanjem kvalitete pruženih usluga.

Što manje vremena traju namirenja između banke i klijenata, to će banka biti veći promet, a time i dobit. Osim toga, banka će moći brže reagirati na promjene financijska situacija... Različite bankarske usluge (prije svega, to se odnosi na mogućnost bezgotovinskog plaćanja između banke i njenih klijenata pomoću plastičnih kartica) mogu značajno povećati broj njenih klijenata i kao rezultat toga povećati dobit.

Može se navesti nekoliko činjenica koje potvrđuju ovu tezu:

Gubici banaka i drugih financijskih organizacija od utjecaja na njihove sustave za obradu informacija iznose oko 3 milijarde dolara. u godini;.

Volumen gubitaka povezanih s korištenjem plastičnih kartica procjenjuje se na 2 milijarde dolara. godišnje, što je 0,03-2% ukupnog volumena plaćanja, ovisno o korištenom sustavu;

27 milijuna dolara ukradene su funte iz londonske podružnice Union Bank of Switzerland;

5 milijuna maraka ukradeno iz Chase banke (Frankfurt); zaposlenik je prebacio novac u banku u Hong Kongu; skinute su s velikog broja računa (napad "salama"), krađa je uspjela;

3 milijuna dolara - Bank of Stockholm, krađa je počinjena korištenjem povlaštenog položaja nekoliko zaposlenika u informacijskom sustavu banke i također je bila uspješna.

Kako bi zaštitile sebe i svoje klijente, većina banaka poduzima potrebne mjere zaštite, među kojima zaštita ASOIB-a nije zadnja. Treba imati na umu da je zaštita ASOIB banke skup i kompliciran pothvat. Na primjer, Barclays banka troši oko 20 milijuna dolara za zaštitu svog automatiziranog sustava. godišnje.

U prvoj polovici 1994. Datapro Information Services Group provela je anketu putem maila nasumično odabranih upravitelja informacijskih sustava. Svrha ankete bila je razjasniti stanje u području obrane. Pristigla su 1.153 upitnika na temelju kojih su dobiveni sljedeći rezultati:

1) oko 25% svih prekršaja su prirodne katastrofe;

2) oko polovice sustava doživjelo je iznenadne prekide napajanja ili komunikacije, čiji su razlozi bili umjetni;

3) oko 3% sustava doživjelo je vanjska kršenja (prodiranje u sustav organizacije);

4) 70-75% - interni prekršaji, od kojih:

10% su počinili uvrijeđeni i nezadovoljni zaposlenici-korisnici ASOIB banke; - deset%

Izrađen iz sebičnih motiva od strane osoblja sustava; - 50-55% - rezultat nenamjernih pogrešaka osoblja i/ili korisnika sustava kao posljedica nemara, nemara ili nekompetentnosti.

Ovi podaci upućuju na to da se najčešće ne događaju kršenja kao što su hakerski napadi ili krađa računala s vrijednim informacijama, već ona najčešća koja proizlaze iz svakodnevnih aktivnosti. Istodobno, namjerni napadi na računalne sustave donose najveću jednokratnu štetu, a mjere zaštite od njih su najsloženije i najskuplje. S tim u vezi, problem optimizacije zaštite ASOIB-a najhitniji je u području informacijske sigurnosti banaka.

Dva su aspekta koja izdvajaju banke od ostalih komercijalnih sustava:

1. Informacije u bankarskim sustavima su "živi novac" koji se može primati, prenositi, trošiti, ulagati itd.

2. Utječe na interese velikog broja organizacija i pojedinaca.

Stoga je informacijska sigurnost banke kritičan uvjet za njezino postojanje. Kao rezultat toga, bankarski su sustavi podložni povećanim zahtjevima u pogledu sigurnosti pohrane i obrade informacija. Domaće banke također neće moći izbjeći sudbinu potpune automatizacije iz sljedećih razloga:

Povećana konkurencija između banaka;

Potreba za smanjenjem vremena za izradu izračuna;

Potreba za poboljšanjem usluge.

U SAD-u, zapadnoeuropskim zemljama i mnogim drugim koji se dugo susreću s ovim problemom, sada je stvorena cijela sigurnosna industrija. ekonomske informacije, uključujući razvoj i proizvodnju sigurnog hardvera i softvera, perifernih uređaja, znanstveno istraživanje itd.

Područje informacijske sigurnosti najdinamičnije je područje razvoja sigurnosne industrije u cjelini. Dok osiguravanje fizičke sigurnosti ima dugu tradiciju i uhodane pristupe, informacijska sigurnost stalno zahtijeva nova rješenja, jer računalne i telekomunikacijske tehnologije neprestano se ažuriraju, a sve se više odgovornosti stavlja na računalne sustave.

Statistike pokazuju da je velika većina velike organizacije imati plan s pravilima pristupa informacijama, kao i plan

oporavak od katastrofe. Sigurnost sustava elektroničkog bankarstva ovisi o velikom broju čimbenika koji se moraju uzeti u obzir u fazi projektiranja ovog sustava. Štoviše, za svakoga zasebna vrsta bankovne transakcije i elektronička plaćanja ili druge metode razmjene povjerljivih informacija imaju svoje specifične sigurnosne značajke. Dakle, organizacija zaštite bankovnih sustava je čitav kompleks mjera koje treba uzeti u obzir kako opće pojmove, tako i specifične značajke.

Očito je da automatizacija i informatizacija bankarstva (i optjecaj novca ukupno) nastavljaju rasti. Glavne promjene u bankarskoj industriji tijekom posljednjih desetljeća povezane su upravo s razvojem informacijske tehnologije. Moguće je predvidjeti daljnji pad gotovinskog prometa i postupni prijelaz na bezgotovinsko plaćanje plastičnim karticama, internetom i daljinskim terminalima za vođenje računa pravnih osoba.

Polazeći od činjenice da čimbenici koji određuju trendove razvoja kriminala u području informacijske tehnologije, u bliskoj budućnosti možda neće doživjeti značajne promjene, očito ne treba očekivati ​​radikalne promjene kriminogene situacije u informacijskoj sferi. Ako godišnja stopa rasta broja registriranih kaznenih djela ostane na razini koja ne prelazi 30%, do 2015. njihov broj može premašiti 200 tisuća kaznenih djela godišnje. Međutim, prognoza možda neće biti opravdana ako se poduzmu odgovarajuće mjere uz korištenje stranih iskustava?