Организация информационной безопасности учреждений кредитно-финансовой сферы

* Выполнение банковских кредитных и платежных операций. К достоинствам ОЭД следует отнести:

* Уменьшение стоимости операций за счет перехода на безбумажную технологию. Эксперты оценивают стоимость обработки и ведения бумажной документации в 3-8% от общей стоимости коммерческих операций и доставки товаров.

Частным случаем ОЭД являются электронные платежи - обмен финансовыми документами между клиентами и банками, между банками и другими финансовыми и коммерческими организациями.

Суть концепции электронных платежей заключается в том, что пересылаемые по линиям связи сообщения, должным образом оформленные и переданные, являются основанием для выполнения одной или нескольких банковских операций. Никаких бумажных документов для выполнения этих операций в принципе не требуется (хотя они могут быть выданы). Другими словами, пересылаемое по линиям связи сообщение несет информацию о том, что отправитель выполнил некоторые операции над своим счетом, в частности над корреспондентским счетом банка-получателя (в роли которого может выступать клиринговый центр), и что получатель должен выполнить определенные в сообщении операции. На основании такого сообщения можно переслать или получить деньги, открыть кредит, оплатить покупку или услугу и выполнить любую другую банковскую операцию. Такие сообщения называются электронными деньгами, а выполнение банковских операций на основании посылки или получения таких сообщений - электронными платежами. Естественно, весь процесс осуществления электронных платежей нуждается в надежной защите. Иначе банк и его клиентов ожидают серьезные неприятности.

Электронные платежи применяются при межбанковских, торговых и персональных расчетах.

Межбанковские и торговые расчеты производятся между организациями (юридическими лицами), поэтому их иногда называют корпоративными. Расчеты с участием физических лиц-клиентов получили название персональных.

Большинство крупных хищений в банковских системах прямо или косвенно связано именно с системами электронных платежей.

На пути создания систем электронных платежей, особенно глобальных, охватывающих большое число финансовых институтов и их клиентов в различных странах, встречается множество препятствий. Основными из них являются:

1. Отсутствие единых стандартов на операции и услуги, что существенно затрудняет создание объединенных банковских систем. Каждый крупный банк стремится создать свою сеть ОЭД, что увеличивает расходы на ее эксплуатацию и содержание. Дублирующие друг друга системы затрудняют пользование ими, создавая взаимные помехи и ограничивая возможности клиентов.

2. Возрастание мобильности денежных масс, что ведет к увеличению возможности финансовых спекуляций, расширяет потоки “блуждающих капиталов”. Эти деньги способны за короткое время менять ситуацию на рынке, дестабилизировать ее.

3. Сбои и отказы технических и ошибки программных средств при осуществлении финансовых расчетов, что может привести к серьезным осложнениям для дальнейших расчетов и потере доверия к банку со стороны клиентов, особенно в силу тесного переплетения банковских связей (своего рода “размножение ошибки”). При этом существенно возрастает роль и ответственность операторов и администрации системы, которые непосредственно управляют обработкой информации.

Пересылка денег с помощью системы электронных платежей включает следующие этапы (в зависимости от конкретных условий и самой системы порядок может меняться):

1. Определенный счет в системе первого банка уменьшается на требуемую сумму.

2. Корреспондентский счет второго банка в первом увеличивается на ту же сумму.

3. От первого банка второму посылается сообщение, содержащее информацию о выполняемых действиях (идентификаторы счетов, сумма, дата, условия и т.д.); при этом пересылаемое сообщение должно быть соответствующим образом защищено от подделки: зашифровано, снабжено цифровой подписью и контрольными полями и т.д.

4. С корреспондентского счета первого банка во втором списывается требуемая сумма.

5. Определенный счет во втором банке увеличивается на требуемую сумму.

6. Второй банк посылает первому уведомление о произведенных корректировках счета; это сообщение также должно быть защищено от подделки способом, аналогичным защите платежного сообщения.

7. Протокол обмена фиксируется у обоих абонентов и, возможно, у третьего лица (в центре управления сетью) для предотвращения конфликтов.

На пути передачи сообщений могут быть посредники - клиринговые центры, банки-посредники в передаче информации и т.п. Основная сложность таких расчетов - уверенность в своем партнере, то есть каждый из абонентов должен быть уверен, что его корреспондент выполнит все необходимые действия.

Защита ОЭД.

Для определения общих проблем защиты систем ОЭД рассмотрим в прохождение документа при ОЭД. Можно выделить три основных этапа:

- подготовка документа к отправке;

- передача документа по каналу связи;

- прием документа и его обратное преобразование.

С точки зрения защиты в системах ОЭД существуют следующие уязвимые места:

1. Пересылка платежных и других сообщений между банками или между банком и клиентом;

2. Обработка информации внутри организаций отправителя и получателя;

3. Доступ клиента к средствам, аккумулированным на счете.

Одно из наиболее уязвимых мест в системе ОЭД - пересылка платежных и других сообщений между банками, или между банком и банкоматом, или между банком и клиентом. При пересылке платежных и других сообщений возникают следующие проблемы:

- внутренние системы организаций Получателя и Отправителя должны быть приспособлены к получению/отправке электронных документов и обеспечивать необходимую защиту при их обработке внутри организации (защита оконечных систем);

- взаимодействие Получателя и Отправителя документа осуществляется опосредованно - через канал связи. Это порождает три типа проблем: 1) взаимного опознавания абонентов (проблема установления аутентификации при установлении соединения); 2) защиты документов, передаваемых по каналам связи (обеспечение целостности и конфиденциальности документов); 3) защиты самого процесса обмена документами (проблема доказательства отправления/доставки документа);

- в общем случае Отправитель и Получатель документа принадлежат к различным организациям и друг от друга независимы. Этот факт порождает проблему недоверия - будут ли предприняты необходимые меры по данному документу (обеспечение исполнения документа).

С технической точки зрения эти проблемы решаются с помощью нескольких механизмов, отвечающих за обеспечение адекватной безопасности электронных банковских систем. Работа большинства этих механизмов обеспечивается службами сети с расширенным набором услуг (Value-Added Network, VAN). Службы, реализующие ОЭД, должны выполнять следующие функции:

- обеспечить защиту от случайных и умышленных ошибок;

- обеспечить адаптацию к частым изменениям количества пользователей, типов оборудования, способов доступа, объемов трафика, топологии;

- поддерживать различные типы аппаратного и программного обеспечения, поставляемого различными производителями;

- осуществлять управление и поддержку сети для обеспечения непрерывности работы и быстрой диагностики нарушений;

- реализовывать полный спектр прикладных задач ОЭД, включая электронную почту;

- реализовывать максимально возможное число требований партнеров;

- включать службы резервного копирования и восстановления после аварий.

В системах ОЭД должны быть реализованы следующие механизмы, обеспечивающие реализацию функций защиты на отдельных узлах системы ОЭД и на уровне протоколов высокого уровня:

- равноправная аутентификацию абонентов;

- невозможность отказа от авторства сообщения/приема сообщения;

- контроль целостности сообщения;

- обеспечение конфиденциальности сообщения;

- управление доступом на оконечных системах;

- гарантии доставки сообщения;

- невозможность отказа or принятия мер по сообщению;

- регистрация последовательности сообщений;

- контроль целостности последовательности сообщений;

- обеспечение конфиденциальности потока сообщений.

Полнота решения рассмотренных выше проблем сильно зависит от правильного выбора системы шифрования. Система шифрования (или криптосистема) представляет собой совокупность алгоритмов шифрования и методов распространения ключей. Правильный выбор системы шифрования помогает:

- скрыть содержание документа от посторонних лиц (обеспечение конфиденциальности документа) путем шифрования его содержимого;

- обеспечить совместное использование документа группой пользователей системы ОЭД путем криптографического разделения информации и соответствующего протокола распределения ключей. При этом для лиц, не входящих в группу, документ недоступен;

- своевременно обнаружить искажение, подделку документа (обеспечение целостности документа) путем введения криптографического контрольного признака (имитовставки);

- удостовериться в том, что абонент, с которым происходит взаимодействие в сети является именно тем, за кого он себя выдает (аутентификация абонента/источника данных).

Следует отметить, что при защите систем ОЭД большую роль играет не столько шифрование документа, сколько обеспечение его целостности и аутентификация абонентов (источника данных) при проведении сеанса связи. Поэтому механизмы шифрования в таких системах играют обычно вспомогательную роль.

ЗАКЛЮЧЕНИЕ

Банки играют огромную роль в экономической жизни общества, их часто называют кровеносной системой экономики. Благодаря своей специфической роли, со времени своего появления они всегда притягивали преступников. К 90-м годам XX века банки перешли к компьютерной обработке информации, что значительно повысило производительность труда, ускорило расчеты и привело к появлению новых услуг. Однако компьютерные системы, без которых в настоящее время не может обойтись ни один банк, являются также источником совершенно новых угроз, неизвестных ранее. Большинство из них обусловлены новыми информационными технологиями и не являются специфическими исключительно для банков.

Однако существует аспект, выделяющих банки из круга остальных коммерческих систем: информация в банковских системах представляет собой “живые деньги”, которые можно получить, передать, истратить, вложить и т.д.

Поэтому информационная безопасность банка -- критически важное условие его существования.

В силу этих обстоятельств, к банковским системам предъявляются повышенные требования относительно безопасности хранения и обработки информации. Отечественные банки также не смогут избежать участи тотальной автоматизации по следующим причинам:

- усиления конкуренции между банками;

- необходимости сокращения времени на производство расчетов;

- необходимости улучшать сервис.

Безопасность электронных банковских систем зависит от большого количества факторов, которые необходимо учитывать еще на этапе проектирования этой системы.

При этом для каждого отдельного вида банковских операций и электронных платежей или других способов обмена конфиденциальной информацией существуют свои специфические особенности защиты. Таким образом, организация защиты банковских систем есть целый комплекс мер, которые должны учитывать как общие концепции, но и специфические особенности.

В результате исследования информационной безопасности банковских учреждений были получены следующие результаты:

1. При организации информационной безопасности банков необходимо учитывать следующие специфические требования:

- хранимая и обрабатываемая в банковских системах информация представляет собой реальные деньги;

- информация в банковских системах затрагивает интересы большого количества людей и организаций -- клиентов банка;

- конкурентоспособность банка зависит от того, насколько клиенту удобно работать с банком, а также насколько широк спектр предоставляемых услуг, включая услуги, связанные с удаленным доступом;

- информационная безопасность банка должна обеспечивать высокую надежность работы компьютерных систем даже в случае нештатных ситуаций, поскольку банк несет ответственность не только за свои средства, но и за деньги клиентов;

- банк хранит важную информацию о своих клиентах, что расширяет круг потенциальных злоумышленников, заинтересованных в краже или порче такой информации.

2. Исходя из анализа возможных правонарушений в области информационной безопасности учреждений кредитно-финансовой сферы, можно выделить четыре основные причины: безответственность, самоутверждение, месть и корыстный интерес.

3. Можно утверждать, что учитывая следующие особенности построения системы защиты информации в банковских учреждениях, мы сможем минимизировать риски реализации потенциальных угроз:

организационную структуру банка;

объем и характер информационных потоков (внутри банка в целом, внутри отделов, между отделами, внешних);

количество и характер выполняемых операций: аналитических и повседневных (один из ключевых показателей активности банка -- число банковских операций в день, является основой для определения параметров системы);

количество и функциональные обязанности персонала;

количество и характер клиентов;

график суточной нагрузки.

Основной вывод, который можно сделать из анализа развития банковской отрасли, заключается в том, что автоматизация и компьютеризация банковской деятельности (и денежного обращения в целом) продолжает возрастать. Основные изменения в банковской индустрии за последние десятилетия связаны именно с развитием информационных технологий. Можно прогнозировать дальнейшее снижение оборота наличных денег и постепенный переход на безналичные расчеты с использованием пластиковых карт, сети Интернет и удаленных терминалов управления счетом юридических лиц. В связи с этим следует ожидать дальнейшее динамичное развитие средств информационной безопасности банков, поскольку их значение постоянно возрастает.

СПИСОК ИСПОЛЬЗУЕМОЙ ЛИТЕРАТУРЫ

Шиверский А.А. Защита информации : проблемы теории и практики.- М.1996-с.8.

Линьков И.И. и др. Информационные подразделения в коммерческих структурах: как выжить и преуспеть. -- М: НИТ, 1998 г.

Титоренко Г.А. и др. Компьютеризация банковской деятельности. -- М: Финстатинформ, 1997 г.

Тушнолобов И.Б., Урусов Д.П., Ярцев В.И. Распределенные сети. -- СПБ: Питер, 1998 г.

Novell NetWare. Руководство пользователя, 1998 г.

Аглицкий И. Состояние и перспективы информационного обеспечения российских банков. -- Банковские технологии, 1997 г. №1.

Аджиев В. Мифы о безопасности программного обеспечения: уроки знаменитых катастроф. -- Открытые системы, 1998 г., №6.

Джонсон Джордж, Распределенные системы в многофилиальной структуре. -- PC Magazine/Russian Edition, 1998 г., №10.

Абрамов А.В. Новое в финансовой индустрии: информатизация банковских технологий. -- СПБ: Питер, 1997 г.

Крысин В.А. Безопасность предпринимательской деятельности. -- М:Финансы и статистика, 1996 г.

Заратуйченко О.В. Концепции построения и реализации информационных систем в банках. -- СУБД, 1996 г., №4.

Кузнецов В.Е. Измерение финансовых рисков. -- Банковские технологии, 1997, №9.

Мур Г. Глобальный информационный рынок. -- Материалы агентства VDM-News, мониторинг иностранной прессы, 14.01.99 г.

Гайкович Ю.В, Першин А.С. Безопасность электронных банковских систем. -- М: Единая Европа, 1994 г.

Демин В.С. и др. Автоматизированные банковские системы. -- М: Менатеп-Информ, 1997 г.

Семеновых В.А. Некоторые вопросы информационно-аналитической работы в банке Материалы Семинара “Практические вопросы информационно-аналитической работы в коммерческом банке”, 24-26.03.98 г.

Тарасов П.И. Диасофт предлагает комплексные решения для банков. -- Мир ПК, 1998 г., №5.

Материалы агентства “Интерфакс”. 1995-99 гг.

Размещено на Allbest.ur