Система защиты информации в банковских система (Рекомендации по повышению защиты информации банка АК «Собинбанк»)

Содержание:

ВВЕДЕНИЕ

Актуальность проблемы, связанной с обеспечением безопасности информации, возрастает с каждым годом. Наиболее часто потерпевшими от реализации различных угроз безопасности являются финансовые и торговые организации, медицинские и образовательные учреждения. Если посмотреть на ситуацию десятилетней давности, то основной угрозой для организаций были компьютерные вирусы, авторы которых не преследовали каких-то конкретных целей, связанных с обогащением. Современные хакерские атаки стали более изощренными, организованными, профессиональными, разнообразными и, главное, имеющими конкретную цель, например направленными на хищение данных банковских счетов в конкретных банковских системах. Совершенствование сферы информационных услуг, особенно в сфере дистанционного банковского обслуживания, способствует развитию интеллекта киберпреступников.

Статистика подтверждает необходимость комплексной системы защиты информации. В России, как и за рубежом, она обусловлена двумя во многом пересекающимися группами факторов: требованиями бизнеса и законодательства.

Цель курсовой работы является раскрыть систему защиты информации в банковских системах.

Для реализации данной темы необходимо решить следующие задачи:

- раскрыть понятие конфиденциальности информации;

- рассмотреть проблемы защиты информации в банковском секторе.

Объектом работы является АБ «Собинбанк».

Предметом исследования является система защиты информации банка.

В процессе исследования были применены такие научные методы, как структурно-функциональный анализ и синтез, экономико-статистический метод, метод сравнения.

Курсовая работа состоит из введения, двух глав, заключения, списка использованной литературы и приложений.

1. ТЕОРЕТИЧЕСКИЕ ОСНОВЫ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ

1.1 Понятие конфиденциальности информации

Для всякого предприятия, учреждения, организация (далее именуется организация) характерны ситуации, при которых необходимо обмениваться конфиденциальной информацией. В одних случаях этот обмен является обязательным и определен нормами законодательства Российской Федерации, в других случаях -является волеизъявлением собственника конфиденциальных сведений и, как правило, обусловлен необходимостью выполнения совместных работ.

Полученная от владельца информационного ресурса (собственника информации) конфиденциальная информация, сосредоточенная у владельца информационного ресурса (получателя информации), может стать объектом заинтересованности третьих лиц и, как следствие, спровоцировать компьютерную атаку на информационный ресурс получателя.

"Конфиденциальность информации" признак (условие) ограничения доступа к информации.

"Тайна" - конкретный режим ограничения доступа к информации. "Ограничение доступа к информации" - идентично конфиденциальности.

Федеральный закон "Об информации, информационных технологиях и защите информации" определил интересующее нас понятие следующим образом: конфиденциальность информации - обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя (п. 7. ст. 2).

Согласно "Специальных требований и рекомендаций по технической защите конфиденциальной информации" "конфиденциальная информация"- это информация с ограниченным доступом, не содержащая сведений, составляющих государственную тайну, доступ к которой ограничивается в соответствии с законодательством Российской Федерации.

К конфиденциальной информации относятся не только "тайна следствия и судопроизводства", "служебная тайна", а также "коммерческая тайна" и актуальные на сегодняшний день "персональные данные".

Перечислим некоторые методологические подходы к формированию системы конфиденциальности. Первое условие - интерес - определяется характером субъекта, обладающего информацией. Опираясь на привычную триаду, можно выделить три вида субъектов (личность, социальная общность, государство) и связать их интересы с конкретными видами тайн: личность (физическое лицо) безотносительно к ее служебному положению - личная тайна; социальная общность (семья, общественное объединение, хозяйствующий субъект) - семейная тайна, коммерческая тайна, профессиональные тайны; государство (в лице органов государственной власти) - государственная и служебная тайна.

Среди видов тайн можно выделить "первичные" (естественные) тайны, которые непосредственно связаны с жизнедеятельностью субъекта:

- личная - физическое лицо;

- коммерческая - юридическое лицо (субъект предпринимательской деятельности), государственная и служебная (в части внутрисистемной информации) - орган государственной власти.

Остальные тайны - "производные". Это, прежде всего, профессиональные тайны. Такие тайны составляет информация, передаваемая субъекту профессиональной деятельности в режиме личной тайны (врачебная тайна, тайна исповеди, тайна банковских вкладов, налоговая, нотариальная и др.) либо в режиме коммерческой тайны (налоговая, банковская, нотариальная и др.). Служебная тайна, если ее понимать как тайну, охраняемую государственным служащим, имеет особенности, позволяющие ее только условно отнести к профессиональной тайне. Информация, составляющая служебную тайну, включает в себя как конфиденциальную информацию, представляемую в орган государственной власти, так и информацию, создаваемую (генерируемую) в этом органе, доступ к которой временно ограничен в интересах государственного управления по решению руководителя.

Принципиальное различие между этими двумя категориями тайн состоит в следующем. Если в отношении "первичных" тайн у обладателя информации есть права на установление режима ограничения доступа, то в отношении "производных" тайн возникает обязанность устанавливать соответствующий режим лицом, которому доверена такая информация. Исходя из интересов указанных субъектов и выделенных категорий тайн, можно определиться относительно роли государства в регулировании правовых режимов тайн. Очевидно, что максимальный объем регулирования со стороны государства приходится на государственную и служебную тайны. В отношении других видов "первичных" тайн государство должно уступить право основного регулятора тем субъектам, которые образуют (устанавливают) эти режимы. Задача государства - обеспечить защиту их прав и интересов с учетом интересов других субъектов.

Зашита информации в режиме тайны предполагает законодательно установленное право субъекта на введение режима ограниченного доступа;

объем прав на охраняемую информацию;

обязанности по ее охране;

ответственность за нарушение прав и обязанностей субъектов правоотношений.

Можно выделить несколько условий, необходимых и достаточных для установления режимов конфиденциальности:

- заинтересованность субъекта в ограничении доступа к информации, т.е. ценность этой информации (в моральном, материальном или ином аспекте);

- наличие интереса (права) других субъектов на получение или использование этой информации, т.е. обладатель, реализуя свой интерес, не должен нарушать законные права других субъектов на получение информации;

- право ограничивать доступ к информации может распространяться только на информацию, полученную законным путем, в том числе самостоятельно, по договору, в дар и т д.;

- информация, доступ к которой ограничивается, не должна быть общеизвестной;

- обладатель информации, к которой он хочет ограничить доступ, должен обеспечить необходимые меры защиты этой информации - установить режим тайны.

1.2 Защита информации банков и коммерческих организаций

С момента своего появления в конце 80-х годов российские акционерные коммерческие банки (далее «банк») столкнулись с необходимостью обеспечения собственной безопасности от противоправных посягательств [1]. Как показала практика, наиболее опасными для любого банка по экономическим последствиям являются действия, связанные с несанкционированным доступом в банковские компьютерные сети и системы. Это привело к необходимости организовать защи­ту банковских структур от попыток противоправного получения конфиденциаль­ной информации, накапливаемой и обрабатываемой в средствах информатизации банков в виде информационных ресурсов - отдельных финансовых и иных доку­ментов и массивов таких документов, содержащих сведения, относимые к ком­мерческой или банковской тайне. На практике многие банки продолжали и про­должают в основном совершенствовать «силовые» методы охраны своих матери­альных ценностей, а также системы инженерно-технической и программной защи­ты конфиденциальной информации, составляющей коммерческую тайну самого банка и его клиентов - юридических лиц, или персональные данные его клиентов - физических лиц. При этом уделяется мало внимания совершенствованию орга­низационных мер по защите информации, в частности, совершенствованию рабо­ты по созданию совокупности организационно-распорядительных документов, организационных методов и мероприятий, регламентирующих как аналитическую работу по выявлению внешних и внутренних угроз информационной безопасности банка, так и работу по созданию комплексной системы защиты информации в банке.

Показано, что для защиты компьютерной конфиденциальной информации в корпоративной сети банка основной организационной мерой является создание административной службы защиты этой информации в составе общей службы безопасности банка и определены требования, предъявляемые к администратору системы защиты компьютерной информации в корпоративной сети банка (администратору безопасности), а также сфера его ответственности. Порядок работы, права и обязанности администратора безопасности изложены в специально разработанной должностной инструкции.

Наряду с интенсивным развитием вычислительных средств и систем передачи информации все более актуальной становится проблема обеспечения ее безопасности. Меры безопасности направлены: на предотвращение несанкционированного получения информации, физического уничтожения или мо­дификации защищаемой информации.

Опираясь на многолетний опыт и экспертизу в области аутентификации, защиты персональный данный, обеспечения конфиденциальности информа­ции и безопасной работы в сети Интернет, компании по средствам защиты информации реализует разработку и поставку средств защиты, отвечающих национальным и международным стандартам в области информационной безопасности. Комплексные решения на их основе востребованы: в различные секторах отечественной экономики, в том числе в государственно-административном, банковском и ряде других.

Решения для банковских и финансовый систем обладают рядом специ­фических особенностей. Во-первы:х, обеспечение информационной безопас­ности носит совершенно явный прикладной характер — противодействие мошенничеству и защита финансов. Во-вторых, необходимость строгого со­ответствия требованиям российского законодательства и отраслевым стан­дартам. В-третьих, массовое применение этих решений обусловливает требо­вания простоты: и удобства использования, необязательности специальные знаний и умений при обеспечении безопасности работы: с удаленными серви­сами.

Банковская сфера является одной из самые динамично развивающихся на российском рынке. Об этом свидетельствуют как темпы: роста отрасли, так и количество сервисов, предлагаемые клиентам.

Современные информационные технологии позволяют предоставлять большинство услуг через системы: дистанционного банковского обслужива­ния (ДБО). Традиционно встает вопрос о защите такого рода сервисов. Отве­том служит использование решений обеспечивающих двухфакторную аутен­тификацию. [1]

Деятельность банковской отрасли регулируется российским законода­тельством и международными стандартами. Решения по шифрованию дан­ных с использованием российских алгоритмов и защите баз данных должны соответствовать требованиям регулирующих норм и отраслевых стандартов.

Развитие технологических стандартов отрасли требует от банков обес­печения безопасного (в том числе, удаленного) доступа сотрудников к кор­поративной сети и информационным ресурсам, а также разграничения и аудита доступа к базам данных в качестве защиты от возможных действий инсайдеров.

Дистанционное банковское обслуживание (ДБО) — общий термин для технологий предоставления банковских услуг на основании распоряжений, передаваемых клиентом удаленным образом (то есть без его визита в банк), чаще всего с использованием компьютерных и телефонных сетей.

Современный банк немыслим без интернет банка и системы ДБО, т. к. здесь пользователи работают не просто с бумагами, а с реальными деньгами и задача по обеспечению защищенности решения ДБО выходят на первый план.

На сегодняшний день трудно представить работу предприятий и учре­ждений без компьютерных сетей и баз данных. Государственные, коммерче­ские и личные секреты доверяются компьютерам, в связи с чем возникает потребность в надежных средствах безопасности для защиты информацион­ных данных.

Наиболее надежным способом является двухфакторная аутентификация - аутентификация, в процессе которой используются аутентификационные факторы нескольких типов. В этом случае злоумышленник не сможет полу­чить доступ к данным, так как ему придется не только подсмотреть пароль, но и предъявить физическое устройство, кража которого, в отличие от кражи пароля, практически всегда быстро обнаруживается.

У любой компании независимо от ее масштаба, вида деятельности и уровня развития рано или поздно возникает вопрос обеспечения сохранности коммерческой информации и ограничения доступа к ней со стороны как не­добросовестных сотрудников, так и внешних лиц.

Сегодня угрозы, связанные с несанкционированным доступом к конфи­денциальным данным, могут оказать существенное влияние на бизнес компа­нии. Возможный ущерб от раскрытия корпоративных секретов может вклю­чать в себя как прямые финансовые потери, так и косвенные - плохая репута­ция и потери перспективных проектов. Последствия утраты ноутбука с рек­визитами для доступа к банковским счетам, финансовыми планами и други­ми приватными документами трудно недооценить.

Применение средств шифрования данных решает задачу ограничения доступа к конфиденциальной информации - никто посторонний, получив доступ к компьютеру, не сможет прочитать закрытые данные.

Несмотря на неоспоримые удобства всемирной паутины, современные компании сталкиваются с двумя основными проблемами, возникающими при подключении к Интернет. Любой компьютер становится потенциальным объектом для атаки и постоянно находится под угрозой инфицирования зло­намеренным кодом. [2]

Основными интересами для злоумышленников является похищение ин­формации, которую можно в том или ином виде продать или использовать для получения денег, а также пополнение ресурса бот-сетей, которые можно сдать в аренду для рассылки спама и т.д.

Кроме того, сотрудник компании, имеющий подключенный к Интернет рабочий компьютер, зачастую использует его не только для выполнения пря­мых обязанностей. Он отправляется в глобальную сеть по личным интересам, не имеющим никакого отношения к его служебным обязанностям. [3]

Для того, чтобы противостоять угрозам из Интернет и обеспечить более эффективное использование рабочего времени сотрудниками, необходимо комплексное решение - надежное, производительное, масштабируемое, отка­зоустойчивое и легкое в управлении.

Задача по защите, лицензированию и распространению программного обеспечения стоит перед каждым разработчиком коммерческих приложений.

Пиратство и недобросовестная конкуренция со стороны других произ­водителей, которые могут воспользоваться уникальными наработками и при­менить их в своих продуктах, до сих пор являются острыми проблемами рос­сийского рынка программного обеспечения.

Крайне важно для разработчика грамотно организовать защиту про­граммного обеспечения и его лицензирование. Наиболее актуальна эта задача для многофункционального программного обеспечения, состоящего из не­скольких компонентов, каждый из которых может продаваться отдельно. Кроме того, часто программы удобно продавать в рассрочку или по подписке.

Применение технологий строгой аутентификации, шифрования и аудита доступа к данным значительно снижают риски несанкционированного досту­па, просмотра и изменения информации со стороны неуполномоченных пользователей и администраторов.

2. СИСТЕМА ЗАЩИТЫ ИНФОРМАЦИИ В БАНКОВСКОМ СЕКТОРЕ

2.1 Краткая характеристика банка АК «Собинбанк»

Собинбанк основан в 1990 году. Полное наименование Банка - Акционерный банк «Содействие общественным инициативам» (открытое акционерное общество) / ОАО «Собинбанк». Сегодня это универсальный банк федерального уровня, предоставляющий широкий спектр услуг корпоративным клиентам и частным лицам. 100% акций ОАО «Собинбанк» принадлежат ОАО «АБ «РОССИЯ».

С декабря 2004 года Собинбанк является участником государственной системы страхования вкладов (рег.№358).

Собинбанк обслуживает важнейшие отрасли российской экономики – энергетическую, топливную, транспортную; агропромышленный комплекс, строительство и недвижимость, городское и муниципальное хозяйство, торговлю, финансовые и инвестиционные компании.

Розничный бизнес – одно из важнейших направлений деятельности Банка. Сегодня Собинбанк активно привлекает вклады населения по выгодным депозитным программам.

Собинбанк имеет широкую филиальную сеть на территории Российской Федерации, один филиал Банка расположен в Казахстане (Байконур). Общее количество городов присутствия – свыше 30, в том числе Москва.

03.09.2013 г. агентство Рус-Рейтинг подтвердило кредитный рейтинг Собинбанка на уровне BB.

Рейтинги имеют прогноз «стабильный».

В рейтингах центральных деловых изданий по основным балансовым показателям Собинбанк стабильно входит в число крупнейших кредитных организаций России.

В частности, по данным журнала «Эксперт» Собинбанк занимает 81 позицию в рейтинге ТОП-100 банков России по активам по состоянию на 01.04.2017 года.

Акционеры и руководство

Акционеры:

100% акций АО «Собинбанк» принадлежит АО «АБ «РОССИЯ».

Органами управления АО «Собинбанк» являются:

Общее собрание акционеров;

Совет директоров;

Правление - коллегиальный исполнительный орган;

Председатель Правления - единоличный исполнительный орган.

Совет директоров АО «Собинбанк» Председатель Совета директоров Кривощеков Кирилл Юрьевич, с 30.06.2016 года Члены Совета директоров Дружинин Максим Ярославович, с 18.01.2017 года Кривощеков Кирилл Юрьевич, с 18.01.2017 года Кондрусев Кирилл Иванович, с 18.01.2017 года Минаев Олег Александрович, с 18.01.2017 года Гришин Станислав Валентинович, с 18.01.2017 года Поляков Иван Николаевич, с 18.01.2017 года

К основным перспективным направлениям деятельности Банка относится развитие комплекса предоставляемых услуг, увеличение их объемов и улучшение качества.

В 2014 году Собинбанк в соответствии с полученными лицензиями вел работу по следующим направлениям:

- привлечение денежных средств физических и юридических лиц во вклады (до востребования и на определенный срок);

- размещение привлеченных во вклады денежных средств физических и юридических лиц от имени и за счет Банка;

- кредитование физических и юридических лиц;

- открытие и ведение банковских счетов физических и юридических лиц;

- осуществление расчетов по поручению физических и юридических лиц по их банковским счетам;

- кассовое обслуживание физических и юридических лиц;

- купля-продажа иностранной валюты в наличной и безналичной формах;

- выдача банковских гарантий;

- осуществление переводов денежных средств по поручению физических лиц без открытия банковских счетов (за исключением почтовых переводов) и др.

Активы Банка, по данным публикуемой формы бухгалтерского баланса, по состоянию на 1 января 2015 года  составили 37,41 млрд рублей, снизившись на 31% по сравнению с аналогичным показателем на 1 января 2014 года.

Основной составляющей структуры активов Банка являются кредиты, предоставленные негосударственным коммерческим организациям, физическим лицам, денежные средства и средства на счетах в Банке России, вложения в ценные бумаги, оцениваемые по справедливой стоимости через прибыль или убыток, вложения в основные средства, нематериальные активы и материальные запасы.

Пассивы Банка, включающие денежные средства физических и юридических лиц, на 1 января 2015 года составили 33,72 млрд рублей, снизившись на 32% по сравнению с аналогичной датой годом ранее.

Капитал Банка на 1 января 2015 года, рассчитанный в соответствии с требованиями Банка России, составил 5,13 млрд рублей, уменьшившись на 17% по сравнению с данными на 1 января 2014 года.

Чистый убыток Банка по итогам работы в 2014 году составил 756 млн рублей. Размер резервного фонда в 2014 году достиг 229,84 млн рублей, увеличившись по решению единственного акционера за счет прибыли по итогам 2013 года на 7,48 млн рублей.

Снижение основных балансовых показателей Банка вызвано изменением внешней конъюнктуры и негативным макроэкономическим фоном, сложившимся на отечественном финансовом рынке в 2014 году.

2.2 Защита информации в банке ОАО «Собинбанк»

ОАО «Собинбанк» является универсальной кредитной организацией, и его деятельности присущи большинство видов рисков, характерных для банков, ведущих свою деятельность в России. Банк последовательно развивает комплексную систему управления рисками, основной целью которой является оптимизация соотношения между принимаемыми рисками и доходностью операций.

Созданная система управления рисками позволяет идентифицировать и управлять основными видами рисков, которые способны оказать существенное влияние на денежные потоки (прибыль) Банка.

Риск-менеджмент в ОАО «Собинбанк» организован в соответствии с требованиями законодательства РФ и с использованием мирового опыта управления рисками. Он основывается на сформированной нормативной базе, современных методологических подходах, стандартизации и автоматизации процессов управления рисками.

Одним из видов риска является риск со стороны информационных систем.

Риск внутренних процессов контролируется за счет анализа существующих и вновь разрабатываемых процедур, документов, регламентов и т.п. проведения банковских операций, на предмет возможного возникновения операционных рисков; оптимизации организационной структуры, внутренних процедур и правил совершения банковских операций.

Риск со стороны персонала контролируется путем:

• повышения квалификации персонала, проведения тренингов;
• проведения тестирования:
• организации проверок исполнительной дисциплины;
• разработки и принятия мер по мотивации персонала и т.д.

Контроль риска со стороны информационных систем обеспечивается за счет использования систем защиты и дублирования информации; принятия оперативных мер на уровне руководства Банка по устранению причин возникновения и последствий сбоев в информационных системах; разработки альтернативных сценариев действия в случае возникновения непредвиденных ситуаций.

Управление операционными рисками ведется по основным направлениям:

• организация превентивных мер, направленных на предотвращение фактов реализации операционных рисков;
• выявление и устранение источников риска в текущей деятельности;
• оценка достаточности капитала на покрытие убытков по операционным рискам;
• разработка процедур поддержания работоспособности подразделений и устойчивости Банка в случае возникновения чрезвычайных ситуаций.

Риск, связанных в связи с утечкой информации и прочих информационных систем контролируется в Банке службой безопасности, которая входит в штат практически любого банка.

Проблема защиты банковской информации и форми­рования систем информационной безопасности - одна из самых актуальных в настоящее время. Активное участие в развитии указанного направления принимает Банк России, регулярно публикуя стандарты в области информацион­ной безопасности: Стандарт Банка России СТО БР ИББС- 1.1-2007 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Аудит информационной безопасности»; Стандарт Банка России СТО БР ИББС-1.2-2010 «Обеспечение информа­ционной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям стандарта СТО БР ИББС-1.0-2010»; Стандарт Банка России СТО БР ИББС-1.0-2010 «Обеспечение информационной бе­зопасности организаций банковской системы Российской Федерации. Общие положения». Большинство кредитных организаций сейчас находится на этапе внедрения требова­ний Банка России и, по прогнозам, на рекомендуемый уро­вень соответствия требованиям выйдут через 1-3 года [1].

Проблемы защиты информации в ОАО «Собинбанке» связаны прежде всего с обширностью и емкостью информации, с разнообразием и техническими характеристиками используемого аппаратного обеспечения и территориальной удаленностью информационных каналов для пользователей информации. Проанализировав возможные угрозы надлежащему хране­нию информации в банке ОАО «Собинбанке» можно составить рейтинг (на ос­нове мнения специалистов^[1]) значительности угроз:

• преднамеренное хищение информации внутри организации;
• халатность сотрудников, допустивших утечку информации;
• аппаратные и программные сбои;
• вредоносные программы;
• внешнее финансовое мошенничество;
• хакерские атаки;
• стихийные бедствия и катаклизмы.

Угрозы банковским информационным системам в банке ОАо «Собинбанк», их конкретные проявления и причины возникновения пред­ставлены в таблице 1.

Таблица 1 - Угрозы банковским информационным системам в ОАО «Собинбанк»

Угрозы банковским информационным системам	Проявления угроз банковским информационным системам	Причина возникновения угроз банковским информационным системам
Преднамеренное хищение / изменение информации внутри организации	Несанкционированный доступ к секретной или конфиденци­альной информации как банка, так и клиента и ее хищение или искажение преднамеренная порча электронных данных и их носителей при их хранении в банке, в ходе записи или перевозки	мошенничество сотрудников и низкий уровень внутреннего кон­троля
Халатность сотрудни­ков, допустивших утеч­ку информации	Внедрение в линию связи между другими участниками расче­тов в системе интернет-банкинга в качестве активного тайного ретранслятора осуществлением платежей по счетам клиентов на основании сфальсифицированных поручений	низкая квалификация персонала и низкий уровень внутреннего контроля
Аппаратные и программные сбои	изменение функций программного обеспечения поломка аппаратуры	устаревание и износ программно-технических средств использование некачественного программного обеспечения
Вредоносные программы	DDoS- атаки («зомби»-сеть) рассылка вирусов по электронной почте фишинговые атаки	устаревание и износ программно­технических средств использование некачественного программного обеспечения
Внешнее финансовое мошенничество	представление себя в качестве другого лица с целью уклоне­ния от ответственности, либо отказа от обязательств, либо использования прав третьего лица для: отправки фальсифицированного электронного сообще­ния на проведение банковской операции; фальсификации или кражи идентификационных данных или их носителей; фальсификации авторизации трансакций или их под­тверждения считывающие информацию на банковских картах устройства в банкоматах (скимминговые устройства)	высокий уровень преступности в обществе и низкий уровень инфор­мационной безопасности банков
Хакерские атаки	провоцирование других участников взаимодействия в системе интернет-банкинга на нарушение правил обмена электронны­ми сообщениями фальсификация или кража данных	высокий уровень преступности в обществе и низкий уровень инфор­мационной безопасности банков
стихийные бедствия и катаклизмы, вандализм пользователей	поломка, выход из рабочего состояния оборудования банка преднамеренная порча оборудования банка	недостаточная пожарная и техни­ческая безопасность помещений банка низкий культурный уровень в об­ществе

Анализ структуры приведенных выше возможных информационных угроз показывает, что наибольший вред могут принести внутренние, а не внешние угрозы. Таким образом, информационная безопасность - не только тех­ническая сфера, не только сфера информационных техно­логий, но также и область корпоративного управления и эффективной организации бизнеса.

2.3 Средства защиты информации в банковских системах

Многочисленные попытки взломов и успешные нападения на банков­ские вычислительные структуры и порталы остро ставят проблему обеспе­чения информационной безопасности.

Среди компонентов, образующих АБС выделяют следующие, реали­зуемые путем использования общедоступных сетей:

1. Банк - клиент.
2. Интернет - клиент.
3. Офис - удаленный менеджер.
4. Головной офис - региональные офисы/отделения.
5. Интернет - трейдинг.

Доступ к сервисам, которые предоставляет данное программное обес­печение, осуществляется через открытые сети, использование которых та­ит в себе многочисленные информационные угрозы.

Наиболее распространенные из них:

1. Несанкционированный доступ к ресурсам и данным системы (под­бор пароля, взлом систем защиты и администрирования).
2. Перехват и подмена трафика (подделка платежных поручений).
3. IP-спуфинг (подмена сетевых адресов).
4. Отказ в обслуживании.
5. Атака на уровне приложений.

Причины, приводящие к появлению подобных уязвимостей:

1. Отсутствие гарантии конфиденциальности и целостности переда­ваемых данных.
2. Недостаточный уровень проверки участников соединения.
3. Недостаточная реализация или некорректная разработка политики безопасности.
4. Отсутствие или недостаточный уровень защиты от несанкциониро­ванного доступа (антивирусы, контроль доступа, системы обнаружения атак).
5. Существующие уязвимости используемых операционных систем, программного обеспечения, систем управления баз данных, веб-систем и сетевых протоколов.
6. Непрофессиональное и слабое администрирование систем.
7. Проблемы при построении межсетевых фильтров.

Наиболее часто информационное пространство банковской системы используется для передачи сообщений, связанных с движением финансов.

Основные виды атак на финансовые сообщения и финансовые транзак­ции:

1. Раскрытие содержимого.
2. Представление документа от имени другого участника.
3. Несанкционированная модификация.
4. Повтор переданной информации.

Для предотвращения этих злоупотреблений используются следующие средства защиты [2].

1. Шифрование содержимого документа.
2. Контроль авторства документа.
3. Контроль целостности документа.
4. Нумерация документов.
5. Ведение сессий на уровне защиты информации.
6. Динамическая аутентификация.
7. Обеспечение сохранности секретных ключей.
8. Надежная процедура проверки клиента при регистрации в приклад­ной системе.
9. Использование электронного сертификата клиента.
10. Создание защищенного соединения клиента с сервером.

В общедоступных сетях распространены нападения хакеров. Это высо­коквалифицированные специалисты, которые направленным воздействием могут выводить из строя на длительное время серверы АБС (DoS-атака) или проникать в их системы безопасности.

Существенную угрозу несут в себе вредоносные программы - вирусы и трояны. Распространяясь по всемирной Сети, они, используя небезопасные настройки коммуникативных программ, в том числе защищенных прото­колов, могут поражать банковские вычислительные системы.

В свободном доступе находится множество программ и утилит, авто­матизирующих поиск и использование уязвимостей атакуемой системы.

Интернет позволяет передавать конфиденциальную информацию прак­тически в любую точку мира, но передаваемые данные необходимо защи­щать как в плане конфиденциальности, так и в плане обеспечения подлин­ности, иначе они могут быть искажены или перехвачены. Интернет­систему необходимо защищать от подлога, несанкционированного измене­ния, разрушения, блокирования работы и т. д.

Комплекс технических средств защиты интернет-сервисов [3]:

1. Брандмауэр (межсетевой экран) - программная и/или аппаратная реализация.
2. Системы обнаружения атак на сетевом уровне.
3. Антивирусные средства.
4. Защищенные операционные системы, обеспечивающие уровень В2 по классификации защиты компьютерных систем и дополнительные сред­ства контроля целостности программ и данных.
5. Защита на уровне приложений: протоколы безопасности, шифрова­ния, цифровые сертификаты, системы контроля целостности.
6. Защита средствами системы управления баз данных.
7. Защита передаваемых по сети компонентов программного обеспече­ния.
8. Мониторинг безопасности и выявление попыток вторжения, адап­тивная защита сетей, активный аудит действий пользователей.
9. Обманные системы.
10. Корректное управление политикой безопасности.

При проведении электронного документооборота должны выпол­няться:

1. Аутентификация документа при его создании.
2. Защита документа при его передаче.
3. Аутентификация документа при обработке, хранении и исполнении.
4. Защита документа при доступе к нему из внешней среды.

Для обеспечения высокого уровня информационной безопасности вы­числительных систем рекомендуется проводить следующие процедуры при организации работы собственного персонала:

1. Фиксировать в трудовых и гражданско-правовых договорах обязан­ности персонала по соблюдению конфиденциальности, в том числе лиц, работающих по совместительству.
2. Распределять основные функции между сотрудниками так, чтобы ни одна операция не могла быть выполнена одним человеком от начала до конца.
3. Обеспечивать строгий режим пропуска и порядка в служебных по­мещениях, устанавливать жесткий порядок пользования средствами связи и передачи информации.
4. Регулярно проводить оценку всей имеющейся информации и выде­лять из нее конфиденциальную в целях ее защиты.
5. Создать базу данных для фиксирования попыток несанкциониро­ванного доступа к конфиденциальной информации.
6. Проводить служебные расследования в каждом случае нарушения политики безопасности.

Для защиты вычислительных сетей от злоумышленного воздействия необходимо использовать программные и программно-аппаратные ком­плексы и системы обеспечения информационной безопасности [4].

Наиболее известными в России разработчиками систем информацион­ной безопасности являются компании «Аладдин Р. Д.», «ЛИССИ», «Ин­формзащита».

«Аладдин Р. Д.» предлагает защиту корпоративных ресурсов на основе ШВ-ключей и смарт-карт «eToken».

В лаборатории испытаний средств и систем информации компании «ЛИССИ» создан программно-аппаратный комплекс «Shield Channel-FW» для обработки конфиденциальной информации в банках.

Проекты по защите информационных систем региональных управле­ний банка России выполняет научно-инженерное предприятие «Информ­защита». Оно устанавливает межсетевые экраны, системы обнаружения атак, средства криптографической защиты.

Криптографическая защита «Крипто про CSP», разработанная компа­нией «Крипто про», помогает эффективно проверять электронную цифро­вую подпись.

Финансовую безопасность кредиторов обеспечивает система «AGRUS APPLICATION», созданная компанией «Агрус MGS».

К средствам информационной защиты, доказавшим свою эффектив­ность, относится система «Аккорд». Она позволяет регистрировать все вы­полняемые с помощью информационных технологий операции, а также с высокой точностью идентифицировать всех участников, пользующихся теми или иными документами, предоставляемыми в электронном виде (на­пример, договорами купли-продажи товаров, или ведущих переговоры по каналам Интернета).

Комплекс «Банк-доступ» обеспечивает централизованное управление, распределяя доступ к информационным ресурсам.

Комплекс «Банк - Активная Защита», разработанный фирмой «Андек», используют для ликвидации последствий атак хакеров, если им все же удалось прорвать информационную защиту. Он позволяет проводить по­стоянный мониторинг всех критических информационных узлов с перио­дическим уведомлением об этом пользователей компьютерной сети.

В финансово-кредитных организациях широко используется програм­ма «NetInvestor 5.0 Client», созданная московским межбанковским финан­совым домом «ИнфоЦентр». Она обладает широкими возможностями по анализу, графическому отображению и передаче необходимых данных в удобных для пользователей режимах. Она помогает предотвратить взлом сервера, несанкционированный доступ злоумышленников, перехват ими ценной конфиденциальной информации.

Предусмотрено создание протоколов всех действий, которые проводят пользователи с помощью этой информационной системы. Они самостоя­тельно формируют криптографический ключ, что повышает безопасность работы при использовании информационных технологий. Кроме того, реа­лизованы смена паролей самим пользователем, хранение и передача паро­лей в шифрованном виде, проверка «качества» пароля при его смене.

Для эффективного использования подобных средств защиты необхо­димо, чтобы банки создали специальную службу информационной безо­пасности или хотя бы воспользовались услугами специалиста по компью­терной безопасности. Расходы на его содержание, как показывает зару­бежный опыт, будут оправданы.

За рубежом специалисты по компьютерной безопасности есть почти в каждом банке, а новые технологии защиты информационных сетей ак­тивно берутся на вооружение. Среди них высокоскоростные беспроводные сети для личного и корпоративного пользования. Помимо этого внедряют­ся так называемые электронные ловушки, которые завлекают хакеров в свои сети, нейтрализуя их разрушительное действие [5].

Перспективна разработка сертификатов, гарантирующих безопасность на основе криптографических алгоритмов, которые обеспечивают секрет­ность коммерческой информации.

Однако, при всём этом, влияния на рост доходов банков информацион­ная безопасность не имеет. Точнее, имеет, но подсчитать в денежном вы­ражении ее пользу весьма сложно. Поэтому, как правило, не следует ожи­дать мгновенного увеличения прибыли после установки, например, крип­тографии. Тем не менее, грамотно построенная система защиты информа­ции, несомненно, в недалеком будущем отразится на престиже банка, а значит, и на росте его доходов. Именно поэтому задачи защиты инфор­мации в этой области становятся все более актуальными.

Обобщая всё вышесказанное, можно подвести итог: развитие инфор­мационных технологий не только даёт новые возможности, но и таит новые угрозы. Банковская информация одна из самых желанных зло­умышленниками и потому требует наибольшей степени защищённости. Именно поэтому необходимо создавать новые комплексные системы защиты информации в банковских системах и совершенствовать уже существующие.

ЗАКЛЮЧЕНИЕ

Основная угроза исходит изнутри, а именно со стороны работников самого предприятия. Поэтому необходимо особое внимание уделить системе защиты информации внутри самого предприятия.

Таким образом, можно констатировать, что сеть Интернет предоставляет богатый инструментарий по повышению правовой гра­мотности населения, а как следствие, и реа­лизации информационной функции права. Од­нако в силу множества факторов (традиции, неумение работать с виртуальной средой и прочих) эти средства субъектами, в чьи полномочия входит реализация информацион­ной функции права, используются крайне сла­бо.

В завершение отметим, что осознание всей важности обозначенной проблемы является необходимым не толь­ко в банковской сфере, но и во всем обществе. В России стремительными темпами растут потери от мошенничес­тва: по некоторым оценкам, в 2011 г количество случаев хищения денежных средств с банковских карт возросло по сравнению с предыдущим годом в 5 раз, при этом около 60% случаев связано с несанкционированным списанием средств с банковских счетов клиентов [2]. На наш взгляд, решать проблему необходимо глобально и комплексно, что требует активного участия не только самих банков и пла­тежных систем, но и принятия общегосударственных ре­шений, таких, как ужесточение Уголовного кодекса в части киберпреступности и взлома информационных систем.

СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ

1. Белоглазова Г.Н. Банковское дело / Г.Н. Белоглазова, Л.П. Королевицкая. - М.: Финансы и статистика, 2011. - с. 115.
2. Букин С.О. Безопасность банковской деятельности / С.О. Букин. - М.:Питер, 2010. - с.25
3. В России красть деньги с банковских карт стали в пять раз больше // Аргументы недели. № 20 (312). 13.03.2012.
4. Варлатая С. К., Шаханова М. В. Аппаратно-программные средства и методы защиты информации // Компьютера. № 2 (766). 2009. Январь.
5. Гамза В.А. Безопасность банковской деятельности / В.А. Гамза, И.Б. Ткачук. - М.: Маркет ДС, 2009. - с. 76.
6. Гамза В.А., Ткачук И.Б. Безопасность коммерческого банка: Учебно-практическое пособие. М.: издатель Шумилова И.И., 2000. 216 с.
7. Гафнер В.В. Информационная безопасность: Учебное пособие / В.В. Гафнер. - Рн/Д: Феникс, 2010. - с. 187.
8. Государственная программа Российской Федерации «Информационное общество (2011-2020 годы)», утвержден­ная распоряжением Правительства от 20.10.2010 г № 1815-р.
9. Даниловский Ф. Информационная безопасность банковских систем. URL: http://www.phreaking.ru (дата обращения: 19.12.2012).
10. Зима В. М., Молдовян А. А., Молдовян Н. А. Безопасность глобаль­ных сетевых технологий. СПб. : БХВ-Петербург, 2010. 320 c.
11. Концепция информационной безопасности банка АККСБ «КС БАНК».
12. Кормишкина Л.А. Экономическая безопасность предприятия (организации) / Л.А. Кормишкина, Е.Д. Кормишкин. - Саранск: Изд-во Мордов. ун-та, 2007. -с.67.
13. Леонов К. Информационная безопасность как услуга. 2009. № 10.
14. Марченко В.С. Вклад ведущих мировых компаний в сферу защиты информации. VI // Сборник статей Международной научно- практической конференции «Наука - промышленности и сервису». - Тольятти: Изд-во ПВГУС, 2012.
15. Марченко, В.С. Анализ систем защиты информации с точки зре­ния бионики [Текст] // Вестник Поволжского государственного универ­ситета сервиса. Серия Экономика. - Тольятти: Изд-во ПВГУС, № 2 (16) 2011.
16. Мельников Ю., Теренин А. Возможности нападения на информаци­онные системы банка из Интернета и некоторые способы отражения этих атак // Банковские технологии // URL: Cryptography.Ru (дата обращения: 19.12.2012).
17. Партыка Т.Л. Информационная безопасность: Учебное пособие / Т.Л. Партыка, И.И. Попов. - М.: Форум, 2012. - с. 432.
18. Петров С.В. Информационная безопасность: Учебное пособие / С.В. Петров, И.П. Слинькова, В.В. Гафнер. - М.: АРТА, 2012. - с. 75.
19. Стандарт Банка России СТО БР ИББС-1.0-2010. «Обеспечение информационной безопасности организа­ций банковской системы РФ. Общие положения».
20. Токаренко А. СТО БР ИББС: рекомендовано к обяза­тельному применению // Банковское обозрение. 2010. № 10.
21. Тысячникова Н.А., Сандалов И.В., Юденков Ю.Н. Интернет-технологии в банковском бизнесе: перспективы и риск. Учебно-практическое пособие. М.: КНОРУС, 2011

1. Авторами был проведен опрос экспертов - банков­ских специалистов в области информационных технологий и безопасности. ↑