Размещено на http://www.allbest.ru/

Негосударственное образовательное учреждение

высшего профессионального образования

«Челябинский институт экономики и права им. М. В. Ладошина»

Факультет Предпринимательства и права

Направление 080100.62 Экономика

Исследовательская работа по предмету

Банковское дело

Информационная безопасность банка

Выполнил студент гр. Э-353

Осеян Р.В.

Проверил: Суслова.О.В.

Челябинск 2015



Оглавление

• безопасность компьютерный банковский информационный
• Введение
• 1. Особенности информационной безопасности банков
• 2. Влияние достижений в сфере компьютерной обработки информации на развитие банковских технологий
• 3. Человеческий фактор в обеспечении информационной безопасности
• 4. Безопасность персональных платежей физических лиц
• Заключение
• Библиографический список


Введение

Со времени своего появления банки неизменно вызывали преступный интерес. И этот интерес был связан не только с хранением в кредитных организациях денежных средств, но и с тем, что в банках сосредотачивалась важная и зачастую секретная информация о финансовой и хозяйственной деятельности многих людей, компаний, организаций и даже целых государств.

В наши дни в связи со всеобщей информатизацией и компьютеризацией банковской деятельности значение информационной безопасности банков многократно возросло. Еще 30 лет назад объектом информационных атак были данные о клиентах банков или о деятельности самого банка. Такие атаки были редкими, круг их заказчиков был очень узок, а ущерб мог быть значительным лишь в особых случаях. В настоящее время в результате повсеместного распространения электронных платежей, пластиковых карт, компьютерных сетей объектом информационных атак стали непосредственно денежные средства как банков, так и их клиентов. Совершить попытку хищения может любой -- необходимо лишь наличие компьютера, подключенного к сети Интернет. Причем для этого не требуется физически проникать в банк, можно «работать» и за тысячи километров от него.

Компьютеризация банковской деятельности позволила значительно повысить производительность труда сотрудников банка, внедрить новые финансовые продукты и технологии. Однако прогресс в технике преступлений шел не менее быстрыми темпами, чем развитие банковских технологий. В настоящее время свыше 90% всех преступлений связана с использованием автоматизированных систем обработки информации банка (АСОИБ) [6, с.17]. Следовательно, при создании и модернизации АСОИБ банкам необходимо уделять пристальное внимание обеспечению ее безопасности. Именно этой проблеме посвящена большая часть дипломной работы.

Организация защиты АСОИБ -- это единый комплекс мер, которые должны учитывать все особенности процесса обработки информации. Несмотря на неудобства, причиняемые пользователю во время работы, во многих случаях средства защиты могут оказаться совершенно необходимыми для нормального функционирования системы. К основным из упомянутых неудобств следует отнести:

Компьютерные системы, без которых не может обойтись ни один современный банк, -- источник совершенно новых, ранее неизвестных угроз. Большинство из них обусловлено использованием в банковском деле новых информационных технологий и характерны не только для банков. При этом следует помнить, что во многих странах, несмотря на все увеличивающуюся роль электронных систем обработки, объем операций с бумажными документами в 3-4 раза выше, чем с их электронными аналогами.

Уровень оснащенности средствами автоматизации играет немаловажную роль в деятельности банка и, следовательно, напрямую отражается на его положении и доходах. Усиление конкуренции между банками приводит к необходимости сокращения времени на производство расчетов, увеличения номенклатуры и повышения качества предоставляемых услуг.

Чем меньше времени будут занимать расчеты между банком и клиентами, тем выше станет оборот банка и, следовательно, прибыль. Кроме того, банк более оперативно сможет реагировать на изменение финансовой ситуации. Разнообразие услуг банка (в первую очередь это относится к возможности безналичных расчетов между банком и его клиентами с использованием пластиковых карт) может существенно увеличить число его клиентов и, как следствие, повысить прибыль.



1. Особенности информационной безопасности банков

Стратегия информационной безопасности банков весьма сильно отличается от аналогичных стратегий других компаний и организаций. Это обусловлено прежде всего специфическим характером угроз, а также публичной деятельностью банков, которые вынуждены делать доступ к счетам достаточно легким с целью удобства для клиентов.

Обычная компания строит свою информационную безопасность, исходя лишь из узкого круга потенциальных угроз -- главным образом защита информации от конкурентов (в российских реалиях основной задачей является защита информации от налоговых органов и преступного сообщества с целью уменьшения вероятности неконтролируемого роста налоговых выплат и рэкета). Такая информация интересна лишь узкому кругу заинтересованных лиц и организаций и редко бывает ликвидна, т.е. обращаема в денежную форму.

Информационная безопасность банка должна учитывать следующие специфические факторы:

1. Хранимая и обрабатываемая в банковских системах информация представляет собой реальные деньги. На основании информации компьютера могут производится выплаты, открываться кредиты, переводиться значительные суммы. Вполне понятно, что незаконное манипулирование с такой информацией может привести к серьезным убыткам. Эта особенность резко расширяет круг преступников, покушающихся именно на банки (в отличие от, например, промышленных компаний, внутренняя информация которых мало кому интересна).

2. Информация в банковских системах затрагивает интересы большого количества людей и организаций -- клиентов банка. Как правило, она конфиденциальна, и банк несет ответственность за обеспечение требуемой степени секретности перед своими клиентами. Естественно, клиенты вправе ожидать, что банк должен заботиться об их интересах, в противном случае он рискует своей репутацией со всеми вытекающими отсюда последствиями.

3. Конкурентоспособность банка зависит от того, насколько клиенту удобно работать с банком, а также насколько широк спектр предоставляемых услуг, включая услуги, связанные с удаленным доступом. Поэтому клиент должен иметь возможность быстро и без утомительных процедур распоряжаться своими деньгами. Но такая легкость доступа к деньгам повышает вероятность преступного проникновения в банковские системы.

4. Информационная безопасность банка (в отличие от большинства компаний) должна обеспечивать высокую надежность работы компьютерных систем даже в случае нештатных ситуаций, поскольку банк несет ответственность не только за свои средства, но и за деньги клиентов.

5. Банк хранит важную информацию о своих клиентах, что расширяет круг потенциальных злоумышленников, заинтересованных в краже или порче такой информации.

Преступления в банковской сфере также имеют свои особенности [2, с.16]:

ѕ Многие преступления, совершенные в финансовой сфере остаются неизвестными для широкой публики в связи с тем, что руководители банков не хотят тревожить своих акционеров, боятся подвергнуть свою организацию новым атакам, опасаются подпортить свою репутацию надежного хранилища средств и, как следствие, потерять клиентов.

ѕ Как правило, злоумышленники обычно используют свои собственные счета, на который переводятся похищенные суммы. Большинство преступников не знают, как «отмыть» украденные деньги. Умение совершить преступление и умение получить деньги -- это не одно и то же.

ѕ Большинство компьютерных преступлений -- мелкие. Ущерб от них лежит в интервале от $10.000 до $50.000.

ѕ Успешные компьютерные преступления, как правило, требуют большого количества банковских операций (до нескольких сотен).

Однако крупные суммы могут пересылаться и всего за несколько транзакций.

ѕ Большинство злоумышленников -- клерки. Хотя высший персонал банка также может совершать преступления и нанести банку гораздо больший ущерб -- такого рода случаи единичны.

ѕ Компьютерные преступления не всегда высокотехнологичны. Достаточно подделки данных, изменения параметров среды АСОИБ и т.д., а эти действия доступны и обслуживающему персоналу.

ѕ Многие злоумышленники объясняют свои действия тем, что они всего лишь берут в долг у банка с последующим возвратом.

Специфика защиты автоматизированных систем обработки информации банков (АСОИБ) обусловлена особенностями решаемых ими задач:

ѕ Как правило АСОИБ обрабатывают большой поток постоянно поступающих запросов в реальном масштабе времени, каждый из которых не требует для обработки многочисленных ресурсов, но все вместе они могут быть обработаны только высокопроизводительной системой;

ѕ В АСОИБ хранится и обрабатывается конфиденциальная информация, не предназначенная для широкой публики. Ее подделка или утечка могут привести к серьезным (для банка или его клиентов) последствиям. Поэтому АСОИБ обречены оставаться относительно закрытыми, работать под управлением специфического программного обеспечения и уделять большое внимание обеспечению своей безопасности;

ѕ Другой особенностью АСОИБ является повышенные требования к надежности аппаратного и программного обеспечения. В силу этого многие современные АСОИБ тяготеют к так называемой отказоустойчивой архитектуре компьютеров, позволяющей осуществлять непрерывную обработку информации даже в условиях различных сбоев и отказов.

2. Влияние достижений в сфере компьютерной обработки информации на развитие банковских технологий

Мировая банковская индустрия вошла в период перемен. Появление новых информационных технологий начинает оказывать влияние на выработку стратегической политики банка.

Нынешние изменения в банковской сфере связаны с влиянием ряда факторов, в числе которых международная тенденция глобализации рынка банковских услуг, изменение законодательства, а также развитие информационных технологий. Все это заставляет банки изменять способы обслуживания клиента.

Для того, чтобы остаться конкурентоспособными в XXI веке банки должны оценивать внешние факторы и адекватно реагировать на них. К тому же на деятельность банков влияют и внутренние факторы, такие как изменение запросов клиентов, необходимость уменьшения времени обслуживания, расширение использования высоких технологий.

Современные технологии предлагают альтернативы традиционным банковским продуктам и услугам. Изменения, которые привели к уменьшению объема локальных операций, оказываются в центре внимания.

Идя навстречу требованиям клиентов, и в соответствии с другими факторами конкурентной борьбы, банки должны будут выбрать один из следующих путей развития:

1. Оказывать все виды услуг в большинстве своих отделений, включая, возможно, и небанковские услуги -- универсальный банк;

2. Предоставлять узкому кругу клиентов небольшой, но специфичный перечень услуг в определенном регионе -- специализированный банк.



3. Человеческий фактор в обеспечении информационной безопасности

Угрозы информационной безопасности банка со стороны персонала.

Преступления, в том числе в информационной сфере, совершаются людьми. Большинство систем не может нормально функционировать без участия человека. Пользователь системы, с одной стороны, -- ее необходимый элемент, а с другой -- он же является причиной и движущей силой нарушения или преступления. Вопросы безопасности систем (компьютерных в том числе), таким образом, большей частью есть вопросы человеческих отношений и человеческого поведения. Особенно это актуально в сфере информационной безопасности, т.к. утечка информации в подавляющем большинстве случаев происходит по вине сотрудников банков.

Анализ сообщений средств массовой информации и оперативных сводок правоохранительных органов о криминальных и диверсионно-террористических актах против коммерческих структур в Москве и других городах России позволяет сделать однозначный вывод о высокой степени осведомленности преступников относительно режима дня и динамики деятельности предпринимателей: жертв, как правило, неизменно встречали в районе проживания или места работы, либо с предельной точностью по времени и месту перехватывали на трассе.

Заблаговременно были изучены основные и запасные маршруты перемещения коммерсантов. Преступники располагали подробными сведениями о составе семьи и родственниках будущих жертв, марках и номерных знаках личных и служебных автомашин, соседях и т.п.

Неотъемлемым составляющим элементом любой планируемой преступной акции является сбор информации. Представляется возможным выделить следующие основные методы, которые используются злоумышленниками в настоящее время для добывания сведений о коммерческих структурах:

ѕ наблюдение, в том числе с помощью мобильных и стационарных оптико-технических средств, скрытое фотографирование, видеозапись; выведывание информации;

ѕ проведение опросов, интервьюирования, анкетирования, «направленных» бесед и т.п.;

ѕ хищение, скрытое копирование, подделка каких-либо внутренних документов лицами, внедренными или приобретенными в коммерческих структурах, которые согласились или оказались вынужденными осуществлять указанные действия по корыстным побуждениям, в результате угроз, по физическому принуждению либо иным причинам;

ѕ перехват информации на различных частотных каналах внутренней и внешней радио- и телевизионной связи коммерческих структур;

ѕ получение информации техническими средствами путем использования различных источников сигналов в помещениях коммерческих структур как связанных с функционирующей аппаратурой (персональные компьютеры), так и через специально внедренную технику негласного съема информации (спецзакладки, в том числе дистанционного управления);

ѕ добывание информации о коммерческих структурах посредством применения системы аналитических методов (структурный анализ, финансовый анализ, анализ себестоимости продукции, анализ научно-технических образцов, оценка квалификационных особенностей рабочих и служащих, изучение основных материальных фондов и т.п.).

При всем многообразии и несомненных достоинствах вышеперечисленных методов в настоящее время все же использование сотрудников коммерческих структур в качестве источников внутренней информации рассматривается как наиболее надежный, быстрый и эффективных способ получения конфиденциальных данных.

Отметим также, что кроме добывания собственно конфиденциальной информации по различным вопросам такой внутренний источник из числа сотрудников коммерческих организаций может быть одновременно использован для получения уточняющих сведений, которые бы дополняли данные, добытые техническими средствами и иными методами.

Помимо этого агентурные информационные источники сегодня все более активно и настойчиво используются для оказания выгодного криминальным структурам, а также конкурентам влияния на стратегию и тактику поведения руководителей соответствующих коммерческих предприятий, а также для воздействия на позицию лиц, принимающих ответственные решения в сфере налогообложения, таможенной политики, экспортно-импортных квот, землеотвода и т.д. [4, с.268]

Ниже приводится примерный список персонала типичной АСОИБ и соответствующая степень риска от каждого из них [3].

1. Наибольший риск: системный контролер; администратор безопасности.

2. Повышенный риск: оператор системы; оператор ввода и подготовки данных; менеджер обработки; системный программист.

3. Средний риск: инженер системы; менеджер программного обеспечения.

4. Ограниченный риск: прикладной программист; инженер или оператор по связи; администратор баз данных; инженер по оборудованию; оператор периферийного оборудования; библиотекарь системных магнитных носителей; пользователь-программист; пользователь-операционист.

5. Низкий риск: инженер по периферийному оборудованию; библиотекарь магнитных носителей пользователей; пользователь сети.

Каждый из перечисленных выше пользователей в соответствии со своей категорией риска может нанести больший или меньший ущерб системе. Однако пользователи различных категорий различаются не только по степени риска, но и по тому, какому элементу системы они угрожают больше всего. Понятно, что операционист вряд ли сможет вывести из строя АСОИБ, но зато способен послать платеж не по адресу и нанести серьезный финансовый ущерб.

4. Безопасность персональных платежей физических лиц

Основные формы удаленного банковского обслуживания физических лиц.

Выделяют три вида персональных платежей:

- домашнее (телефонное) обслуживание,

- расчет с автоматическим кассовым аппаратом (банкоматом),

- расчет в точке продажи.

В настоящее время появился четвертый вид -- финансовый сервис с использованием всемирной сети Интернет.

Домашнее банковское обслуживание позволяет клиентам получить доступ к банковским и информационным услугам не выходя из дома.

Достоинства этого вида обслуживания:

- для клиента - большая доступность данных и управление своими финансовыми делами;

- для банка - уменьшение стоимости обслуживания.

Ввод данных для платежа при голосовой связи (идентификатор, номер счета, размер платежа) производится клиентом либо с клавиатуры телефона либо голосом (что менее надежно с точки зрения безопасности, но более технически доступно).

Проблемы идентификации клиента при удаленном обслуживании.

Персональный номер (идентификатор) (Personal Identification Number, PIN) - это последовательность цифр, используемая для идентификации клиента. Для ввода PIN как в АКА, так и в терминалах систем POS предусмотрена цифровая клавиатура, аналогичная телефонной. По способу назначения можно выделить следующие типы PIN:

- назначаемые выведенные PIN;

- назначаемые случайные PIN;

- PIN, выбираемые пользователем.

Клиент различает только два типа PIN: PIN, который назначен ему банком, выдавшим карточку, и PIN, который пользователь может выбирать себе самостоятельно.

В связи с тем, что PIN предназначен для идентификации и аутентификации клиента, его значение должно быть известно только клиенту. Однако на практике PIN трудно удержать в памяти и поэтому клиент банка куда-нибудь его запишет (иногда - на саму карточку). В результате задача злоумышленника бывает сильно облегчена.

Использование PIN, назначенных банком, неудобно даже при небольшом их количестве. Много цифр не удержишь в памяти и их придется записывать. Для большего удобства клиента используются PIN, выбираемые им самим. Такой способ определения PIN, во-первых, позволяет клиенту использовать один и тот же PIN для различных целей, и, во-вторых, позволяет задавать PIN как совокупность букв и цифр.

PIN обычно состоит из 4-6 цифр. Следовательно, для его перебора в наихудшем (для защиты естественно) случае необходимо осуществить 10.000 комбинаций (4-х символьный PIN). Такой перебор возможен за короткое время. Поэтому в системах, использующих такой PIN, должны быть предусмотрены меры защиты от подбора PIN.

Безопасность при использовании пластиковых карт.

Использование систем POS и АКА потребовало появления некоторого носителя информации, который мог бы идентифицировать пользователя и хранить некоторые учетные данные. В качестве такого носителя стали выступать пластиковые карточки.

- кредитные карточки Visa (более 350 млн. карточек) и MasterCard (200 млн. карточек);

- международные чековые гарантии Eurocheque и Posteheque;

- карточки для оплаты путешествий и развлечений American Express (60 млн. карточек) и Diners Club.

По принципу действия можно выделить пассивные и активные пластиковые карточки. Пассивные всего лишь хранят информацию на том или ином носителе. Отличительной особенностью активных карточек является наличие встроенной в него микросхемы. Карточка с микропроцессором называется «интеллектуальной» (smart card).



Заключение

Банки играют огромную роль в экономической жизни общества, их часто называют кровеносной системой экономики. Благодаря своей специфической роли, со времени своего появления они всегда притягивали преступников. К 90-м годам XX века банки перешли к компьютерной обработке информации, что значительно повысило производительность труда, ускорило расчеты и привело к появлению новых услуг. Однако компьютерные системы, без которых в настоящее время не может обойтись ни один банк, являются также источником совершенно новых угроз, неизвестных ранее. Большинство из них обусловлены новыми информационными технологиями и не являются специфическими исключительно для банков.

Существуют однако два аспекта, выделяющих банки из круга остальных коммерческих систем:

1. Информация в банковских системах представляет собой «живые деньги», которые можно получить, передать, истратить, вложить и т.д.

2. Она затрагивает интересы большого количества организаций и отдельных лиц.

Поэтому информационная безопасность банка -- критически важное условие его существования.

В силу этих обстоятельств, к банковским системам предъявляются повышенные требования относительно безопасности хранения и обработки информации. Отечественные банки также не смогут избежать участи тотальной автоматизации по следующим причинам:

- усиления конкуренции между банками;

- необходимости сокращения времени на производство расчетов;

- необходимости улучшать сервис.

В США, странах Западной Европы и многих других, столкнувшихся с этой проблемой довольно давно, в настоящее время создана целая индустрия защиты экономической информации, включающая разработку и производство безопасного аппаратного и программного обеспечения, периферийных устройств, научные изыскания и др.

Сфера информационной безопасности -- наиболее динамичная область развития индустрии безопасности в целом. Если обеспечение физической безопасности имеет давнюю традицию и устоявшиеся подходы, то информационная безопасность постоянно требует новых решений, т.к. компьютерные и телекоммуникационные технологии постоянно обновляются, на компьютерные системы возлагается все большая ответственность.

Статистика показывает, что подавляющее большинство крупных организаций имеют план с правилами доступа к информации, а также план восстановления после аварий.

Безопасность электронных банковских систем зависит от большого количества факторов, которые необходимо учитывать еще на этапе проектирования этой системы.

При этом для каждого отдельного вида банковских операций и электронных платежей или других способов обмена конфиденциальной информацией существуют свои специфические особенности защиты. Таким образом, организация защиты банковских систем есть целый комплекс мер, которые должны учитывать как общие концепции, но и специфические особенности.



Библиографический список

1. Абрамов А.В. Новое в финансовой индустрии: информатизация банковских технологий. СПБ: Питер, 2010 г.

2. Гайкович Ю.В, Першин А.С. Безопасность электронных банковских систем. М: Единая Европа, 2009 г.

3. Крысин В.А. Безопасность предпринимательской деятельности. М: Финансы и статистика, 2011 г.

4. Линьков И.И. и др. Информационные подразделения в коммерческих структурах: как выжить и преуспеть. М: НИТ, 2012 г.

5. Титоренко Г.А. и др. Компьютеризация банковской деятельности. М: Финстатинформ, 1997 г.

6. Тушнолобов И.Б., Урусов Д.П., Ярцев В.И. Распределенные сети. СПБ: Питер, 1998 г.

7. Аглицкий И. Состояние и перспективы информационного обеспечения российских банков. Банковские технологии, 2009 г. №1.

8. Аджиев В. Мифы о безопасности программного обеспечения: уроки знаменитых катастроф. Открытые системы, 2014 г., №6.

9. Джонсон Джордж, Распределенные системы в многофилиальной структуре. PC Magazine/Russian Edition, 2013 г., №10.

10. Заратуйченко О.В. Концепции построения и реализации информационных систем в банках. СУБД, 2011 г., №4.

11. Кузнецов В.Е. Измерение финансовых рисков. Банковские технологии, 1997, №9.

12. Мур Г. Глобальный информационный рынок. Материалы агентства VDM-News, мониторинг иностранной прессы, 14.01.99 г.

13. Тарасов П.И. Диасофт предлагает комплексные решения для банков. Мир ПК, 2011 г.

Размещено на Allbest.ru

...