Защита на информацията в банковите системи. Информационна сигурност на банката

В банковия сектор първоначално имаше проблем, свързан с поверителността на информацията, нейното съхранение и защита. Сигурността на данните на банковите институции играе важна роля в бизнеса, тъй като конкурентите и престъпниците винаги се интересуват от такава информация и полагат всички усилия, за да я постигнат. За да избегнете този вид проблеми, трябва да се научите как да защитавате банковите данни. За да бъде ефективна защитата на банковата информация, е необходимо преди всичко да се вземат предвид всички възможни начиниизтичане на информация. А именно: внимателно проверете данните на хората при подбора на персонал, проверете техните биографични данни и предишни работни места.

Информационна сигурност на банковите институции

Всички информационни данни, обработвани от банкови и кредитни организации, са изложени на риск. Това са както клиентски данни, така и данни за пряката работа на банките, техните бази данни и т.н. Факт е, че подобна информация може да бъде полезна както за конкуренти, така и за лица, участващи в престъпни дейности. Техните действия, в сравнение с проблемите, които възникват поради вирусна инфекция на оборудване или повреди на операционни системи, нанасят наистина огромни щети на организации от този вид.

Защитата на банковите сървъри и локалните мрежи от натрапници и неоторизиран достъп до фирмени материали е просто необходима в днешното силно конкурентно общество.

Информационната сигурност на системите на банковите институции е важна, тъй като гарантира поверителността на данните за банковите клиенти. Извършването на ежедневно архивиране, което се извършва от организациите, намалява риска от пълна загуба на важна информация. Освен това са разработени методи за защита на данните от заплахи, свързани с неоторизиран достъп. Изтичане на такъв вид информация може да възникне в резултат на работата както на шпионски служби, специално изпратени до организацията, така и на служители, които работят дълго време и са решили да правят пари от кражбата на информационното имущество на банката. Безопасността се осигурява благодарение на работата на професионалисти и специалисти, които познават бизнеса си.

Защитата на клиентите е един от най-важните показатели, влияещи върху репутацията на банката като цяло, включително и върху доходите на организацията. Тъй като само добрите отзиви ще помогнат на банката да достигне високо ниво на обслужване и да надмине конкурентите.

Неоторизиран достъп до информация на банковите системи

Един от най-често срещаните начини за кражба на банкова информация е използването на резервни копия, премахване на данни от носители за съхранение или симулиране на хакване, но не с цел кражба на материални активи, а за получаване на достъп до информация на сървъра. Тъй като резервните копия обикновено се съхраняват на отделни места на лентови устройства, копия могат да се правят, докато се транспортират до местоназначението им. Ето защо служителите, които са наети за такава работа, се проверяват внимателно чрез различни държавни организа съдимост, проблеми със закона в миналото, включително достоверността на предоставената информация за вас. Ето защо не бива да се подценява подобна възможност за кражба на банкова информация, тъй като световната практика е пълна с подобни случаи.

Например през 2005 г. бяха пуснати за продажба бази данни за публикуване Централна банка Руска федерация. Възможно е тази информация да е изтекла извън банковата организация именно поради недостатъчната сигурност на банковите системи. Подобна ситуация се е случвала повече от веднъж в световноизвестните компании в Съединените американски щати, чиято информационна сигурност пострада значително от това.

Интервю с ръководителя на банковата сигурност:

Освен това, друг начин, по който информацията може да бъде изтекла от системите, е чрез банкови служители, желаещи да правят пари от нея. Въпреки факта, че в повечето случаи неоторизиран достъп до информация на банковите системи се извършва само за да може да се работи у дома, те са причината за разпространението на информация, която е поверителна. Освен това това е пряко нарушение на политиката за сигурност на системите на банковите организации.

Трябва също да се има предвид, че във всяка банка има хора, които имат значителни привилегии за достъп до такива данни. Обикновено това са системни администратори. От една страна, това е производствена необходимост, която дава възможност за изпълнение на служебни задължения, а от друга страна, те могат да го използват за собствени цели и в същото време могат професионално да „прикриват следите“.

Начини за намаляване на риска от изтичане на информация

Защитата на банковата информация от неоторизиран достъп обикновено включва поне 3 компонента. Всеки от тези компоненти помага да се гарантира безопасността на банките в района, където се използва. Това включва защита от физически достъп, архивиране и защита от вътрешни лица.

Тъй като банките обръщат специално внимание на физическия достъп и се опитват да изключат фундаментално възможността за неоторизиран достъп, те трябва да използват специални инструменти и методи за криптиране и кодиране на важна информация. Тъй като банките имат подобни системи и инструменти за защита на данни, по-добре е да се използват криптографски защити. Те помагат да се запази търговската информация, както и да се намалят рисковете от подобни ситуации. Най-добре е информацията да се съхранява в криптирана форма, като се използва принципът на прозрачното криптиране, което помага да се намалят разходите за защита на информацията, а също така елиминира необходимостта от постоянно декриптиране и криптиране на данни.

Предвид факта, че всички данни на банковите системи всъщност са парите на клиентите, трябва да се обърне необходимото внимание на тяхната безопасност. Един от начините е да определите дали има лоши сектори на твърдия диск. Функцията за отмяна или пауза на процеса играе важна роля при първоначалното криптиране, криптиране, декриптиране и повторно криптиране на диска. Такава процедура има дълга продължителност и следователно всяка неизправност може да доведе до пълна загуба на информация. Най-сигурният начин за съхраняване на ключове и системи за криптиране е със смарт карти или USB ключове.

Защитата на информационните системи се осъществява по-ефективно поради използването не само на лентови устройства, но и на сменяеми твърди дискове, DVD носители и други неща. Комплексното използване на средства за защита срещу физическо проникване до източници на информация увеличава шансовете за нейната безопасност и неприкосновеност от конкуренти и натрапници.

Гледайте това видео, за да научите за стъпките, които трябва да предприемете:

Методи за защита на информационните системи от вътрешни лица

По принцип кражбата на информация става с помощта на мобилни носители, различни USB устройства, дискови устройства, карти с памет и други мобилни устройства. Ето защо едно от правилните решения е да се забрани използването на подобни устройства на работното място. Всичко, което е необходимо, се съдържа на сървъри и внимателно се следи къде и откъде се предава информацията в банковата среда. Освен това в екстремни случаи е разрешено да се използват само тези медии, закупени от компанията. Можете да зададете специални ограничения, които не позволяват на компютъра да разпознава носители и карти с памет на трети страни.

Защитата на информацията е една от най-важните задачи на банковите организации, необходими за ефективното функциониране. Съвременният пазар има големи възможности за реализиране на тези планове. Блокиране на компютри и портове - съществено условие, което трябва да се спазва, за да се защитят по-надеждно системите.

Не трябва да се забравя, че лицата за кражба на данни също са запознати с набор от системи, които защитават търговската информация и могат да ги заобиколят с помощта на специалисти. За да предотвратите появата на подобни рискове, трябва непрекъснато да работите за подобряване на сигурността и да се опитате да използвате подобрени системи за защита.

Стратегията за информационна сигурност на банките е много различна от подобни стратегии на други компании и организации. Това се дължи преди всичко на специфичния характер на заплахите, както и на публичната дейност на банките, които са принудени да правят достъпа до сметките достатъчно лесен с цел удобство на клиентите.

Една обикновена компания изгражда своята информационна сигурност въз основа само на тесен кръг от потенциални заплахи - главно защитата на информацията от конкуренти (в руските реалности основната задача е да защити информацията от данъчни властии престъпната общност, за да се намали вероятността от неконтролирано увеличаване на данъчните плащания и рекет). Подобна информация представлява интерес само за тесен кръг от заинтересовани лица и организации и рядко е ликвидна, т.е. конвертируеми в пари.

Информационната сигурност на банката трябва да отчита следните специфични фактори:

1. Съхранява се и се обработва в банкови системиинформацията представлява истински пари. Въз основа на компютърна информация могат да се извършват плащания, да се отварят заеми и да се прехвърлят значителни суми. Съвсем ясно е, че незаконното манипулиране на такава информация може да доведе до сериозни загуби. Тази функция рязко разширява кръга от престъпници, които посягат конкретно на банките (за разлика например от индустриалните компании, чиято вътрешна информация не представлява интерес за никого).

2. Информацията в банковите системи засяга интересите на голям брой хора и организации – клиенти на банки. По правило то е поверително и банката е отговорна за осигуряването на необходимата степен на секретност на своите клиенти. Естествено клиентите имат право да очакват, че банката трябва да се грижи за техните интереси, в противен случай рискува репутацията си с всички произтичащи от това последици.

3. Конкурентоспособността на банката зависи от това колко удобно е за клиента да работи с банката, както и от това колко широк спектър от предоставяни услуги, включително услуги, свързани с отдалечен достъп. Следователно клиентът трябва да може да управлява парите си бързо и без досадни процедури. Но този лесен достъп до пари увеличава вероятността от престъпно проникване в банковите системи.

4. Информационната сигурност на банката (за разлика от повечето компании) трябва да гарантира висока надеждност на компютърните системи дори и при извънредни ситуации, тъй като банката отговаря не само за собствените си средства, но и за парите на клиентите.

5. Банката запазва важна информацияза техните клиенти, което разширява кръга от потенциални натрапници, които се интересуват от кражба или повреждане на такава информация.

Престъпленията в банковия сектор също имат свои собствени характеристики:

Много престъпления, извършени във финансовия сектор, остават неизвестни за широката публика поради факта, че банковите мениджъри не искат да смущават своите акционери, страхуват се да изложат организацията си на нови атаки, страхуват се да накърнят репутацията си на надежден магазин средства и в резултат на това губят клиенти.

По правило нападателите обикновено използват собствени акаунти, в които се прехвърлят откраднатите суми. Повечето престъпници не знаят как да перат откраднати пари. Способността да се извърши престъпление и способността да се получат пари не са едно и също нещо.

Повечето компютърни престъпления са дребни. Щетите от тях са в диапазона от $10 000 до $50 000.

Успешните компютърни престъпления обикновено изискват голямо количество банкови операции(до няколкостотин). Въпреки това, големи суми могат да бъдат преведени само с няколко транзакции.

Повечето натрапници са чиновници. Въпреки че висшият банков персонал също може да извърши престъпления и да причини много повече щети на банката, подобни случаи са редки.

Компютърните престъпления не винаги са високотехнологични. Достатъчно е да се фалшифицират данни, да се променят параметрите на средата на ASOIB и т.н., като тези действия са достъпни и за обслужващия персонал.

Много нападатели обясняват действията си с факта, че те просто вземат заем от банката с последващо връщане. Въпреки това, "връщане", като правило, не се случва.

Спецификата на защитата на автоматизираните системи за обработка на информация на банките (ASOIB) се дължи на особеностите на задачите, които решават:

По правило ASOIB обработва голям поток от постоянно пристигащи заявки в реално време, всяка от които не изисква много ресурси за обработка, но всички заедно могат да бъдат обработени само от високопроизводителна система;

ASOIB съхранява и обработва поверителна информация, която не е предназначена за широката публика. Неговото фалшифициране или изтичане може да доведе до сериозни (за банката или нейните клиенти) последици. Следователно ASOIB са обречени да останат относително затворени, да работят под контрола на специфичен софтуер и да обръщат голямо внимание на осигуряването на тяхната сигурност;

Друга особеност на ASOIB са повишените изисквания за надеждност на хардуера и софтуера. Поради това много съвременни ASOIB гравитират към така наречената отказоустойчива компютърна архитектура, която позволява непрекъсната обработка на информация дори при различни повреди и откази.

Има два вида задачи, решавани от ASOIB:

1. Аналитичен. Този тип включва задачи по планиране, анализ на сметки и др. Те не са незабавни и може да отнеме много време за разрешаване, а резултатите от тях могат да повлияят на политиката на банката по отношение на конкретен клиент или проект. Следователно подсистемата, с помощта на която се решават аналитични задачи, трябва да бъде надеждно изолирана от основната система за обработка на информация. Решаването на подобни проблеми обикновено не изисква мощни изчислителни ресурси, обикновено са достатъчни 10-20% от мощността на цялата система. Въпреки това, с оглед на възможната стойност на резултатите, тяхната защита трябва да бъде постоянна.

2. Небрежен. Този тип включва задачи, които се решават в ежедневните дейности, предимно извършване на плащания и коригиране на сметки. Те са тези, които определят размера и мощността на основната система на банката; тяхното решаване обикновено изисква много повече ресурси, отколкото аналитични задачи. В същото време стойността на информацията, която се обработва при решаването на подобни проблеми, е временна. Постепенно стойността на информацията, например за изпълнението на плащане, става неуместна. Естествено това зависи от много фактори, като: сумата и времето на плащане, номер на сметката, допълнителни характеристики и т.н. Следователно обикновено е достатъчно да се осигури защита на плащането в момента на неговото изпълнение. В същото време защитата на самия процес на обработка и крайните резултати трябва да бъде постоянна.

Какви мерки за защита на системите за обработка на информация предпочитат чуждестранните експерти? На този въпрос може да се отговори с помощта на резултатите от проучване, проведено от Datapro Information Group през 1994 г. сред банки и финансови институции:

82% от анкетираните имат формулирана политика за информационна сигурност. В сравнение с 1991 г. процентът на организациите с политика за сигурност се е увеличил с 13%.

Други 12% от анкетираните планират да разработят политика за сигурност. Ясно е изразена следната тенденция: организациите с голям брой персонал предпочитат да имат разработена политика за сигурност в по-голяма степен, отколкото организациите с малък брой персонал. Например, според това проучване, само 66% от организациите с по-малко от 100 служители имат политика за сигурност, докато за организациите с повече от 5000 служители делът на такива организации е 99%.

В 88% от организациите, които имат политика за информационна сигурност, има специално звено, което отговаря за нейното прилагане. В тези организации, които не поддържат такова звено, тези функции се възлагат основно на системния администратор (29%), мениджъра на информационната система (27%) или службата за физическа сигурност (25%). Това означава, че има тенденция служителите, отговорни за компютърната сигурност, да се отделят в специално звено.

По отношение на защитата специално внимание се отделя на защитата на компютърните мрежи (90%), големите компютри (82%), възстановяването на информация след аварии и бедствия (73%), защитата от компютърни вируси (72%), защитата на персоналните компютри (69%). %).

Можем да направим следните изводи за особеностите на защитата на информацията в чужбина финансови системи :

Основното нещо в защитата на финансовите организации е бързото и, ако е възможно, пълно възстановяване на информацията след аварии и повреди. Около 60% от анкетираните финансова институцияимат план за възстановяване, който се преразглежда ежегодно в повече от 80% от тях. По принцип защитата на информацията от унищожаване се постига чрез създаване на резервни копия и тяхното външно съхранение, използване на непрекъсваеми захранвания и организиране на "горещ" резерв от хардуер.

Следващият най-важен проблем за финансовите институции е управлението на потребителския достъп до съхранявана и обработвана информация. Тук широко се използват различни софтуерни системи за контрол на достъпа, които понякога могат да заменят антивирусния софтуер. Използва се предимно закупен софтуер за контрол на достъпа. Освен това във финансовите институции се обръща специално внимание на такова управление на потребителите в мрежата. Сертифицираните контроли за достъп обаче са изключително редки (3%). Това може да се обясни с факта, че сертифициран софтуер е труден за работа и изключително скъп за работа. Това се дължи на факта, че параметрите за сертифициране са разработени, като се вземат предвид изискванията за военните системи.

Разликите в организацията на защита на компютърните мрежи във финансовите организации включват широкото използване на стандартен (т.е. адаптиран, но не специално разработен за конкретна организация) търговски софтуер за контрол на достъпа до мрежата (82%), защита на точките за връзка с система чрез комуникационни линии (69%). Най-вероятно това се дължи на по-голямото разпространение на телекомуникациите във финансовия сектор и желанието да се предпазят от външна намеса. Други методи за защита, като използването на антивирусни инструменти, криптиране от край до край и канал на предаваните данни, удостоверяване на съобщението, се използват приблизително по същия начин и основно (с изключение на антивирусните инструменти) , в по-малко от 50% от анкетираните организации.

Голямо внимание във финансовите институции се отделя на физическата защита на помещенията, в които се намират компютрите (около 40%). Това означава, че защитата на компютрите от достъп на неоторизирани лица се решава не само с помощта на софтуер, но и организационно и технически (сигурност, кодови брави и др.).

Локално криптиране на информация се използва от малко над 20% от финансовите институции. Причините за това са сложността на разпределянето на ключове, строги изисквания за производителност на системата, както и необходимостта от бързо възстановяване на информацията при повреди и повреди на оборудването.

Значително по-малко внимание във финансовите организации се отделя на защитата на телефонните линии (4%) и използването на компютри, проектирани да отговарят на изискванията на стандарта Tempest (защита от изтичане на информация чрез електромагнитно излъчване и канали за смущения). В държавните организации се обръща много повече внимание на решаването на проблема с противодействието на получаването на информация с помощта на електромагнитно излъчване и пикапи.

Анализът на статистиката ни позволява да направим важно заключение: защитата на финансовите организации (включително банките) е изградена малко по-различно от обикновените търговски и държавни организации. Следователно, за да се защити ASOIB, не могат да се прилагат същите технически и организационни решения, които са разработени за стандартни ситуации. Не можете безсмислено да копирате системи на други хора - те са разработени за други условия.

Системата за информационна сигурност на банките е много различна от подобни стратегии на други компании и организации. Това се дължи преди всичко на специфичния характер на заплахите, както и на публичната дейност на банките, които са принудени да правят достъпа до сметките достатъчно лесен за удобство на клиентите.

С развитието и разширяването на обхвата на компютърните технологии нараства остротата на проблема за осигуряване на сигурността на компютърните системи и защита на съхраняваната и обработвана в тях информация от различни заплахи. Има редица обективни причини за това.

Основното е повишеното ниво на доверие в автоматизираните системи за обработка на информация. На тях е поверена най-отговорната работа, от чието качество зависи животът и благополучието на много хора. компютърно управление технологични процесив предприятия и атомни електроцентрали, движенията на самолети и влакове, извършват финансови операции, обработват секретна информация.

Известни са различни варианти за защита на информацията – от охрана на входа до математически проверени методи за скриване на данни от познати. Освен това можем да говорим за глобална защита и нейните отделни аспекти: защита на персонални компютри, мрежи, бази данни и т.н.

Трябва да се отбележи, че няма абсолютно сигурни системи. Можем да говорим за надеждността на системата, първо, само с определена вероятност, и второ, за защита от определена категория нарушители. Въпреки това могат да се предвидят прониквания в компютърна система. Отбраната е вид състезание между защита и атака: който знае повече и предвижда ефективни мерки, печели.

Организацията на защитата на автоматизираната система за обработка на информация на банката е единен набор от мерки, които трябва да отчитат всички характеристики на процеса на обработка на информацията. Въпреки неудобството, причинено на потребителя по време на работа, в много случаи защитните мерки може да са абсолютно необходими за нормалното функциониране на системата. Основните от споменатите неудобства трябва да включват Гайкович Ю.В., Першин А.С. Сигурност на системите за електронно банкиране.-М.: Обединена Европа, 1994.- С..33:

1. Допълнителни трудности при работа с повечето защитени системи.
2. Увеличаване на цената на сигурна система.
3. Допълнително натоварване на системните ресурси, което ще изисква увеличаване на работното време за изпълнение на същата задача поради по-бавния достъп до данни и изпълнение на операции като цяло.
4. Необходимостта от привличане на допълнителен персонал, отговорен за поддържането на здравето на системата за защита.

Трудно е да си представим една съвременна банка без автоматизирана информационна система. Връзката на компютрите помежду си и с по-мощни компютри, както и с компютри на други банки - също необходимо условиеуспехът на банката - броят на операциите, които трябва да се извършат за кратък период от време, е твърде голям.

В същото време информационните системи се превръщат в една от най-уязвимите страни. модерна банка, привличане на натрапници, както от служителите на банката, така и отвън. Оценките на загубите от престъпления, свързани с намеса в дейността на информационната система на банките, варират значително. Има различни методи за тяхното изчисляване. Средната кражба на електронна банка е около 9000 долара, а един от най-известните скандали включва опит за кражба на 700 милиона долара (First National Bank, Чикаго).

Освен това е необходимо да се вземе предвид не само размера на преките щети, но и много скъпи мерки, които се извършват след успешни опити за хакване на компютърни системи. И така, един от най-ярките примери е загубата на данни за работата с тайни сметки на Bank of England през януари 1999 г. Тази загуба принуди банката да промени кодовете на всички кореспондентски сметки. В тази връзка всички налични разузнавателни и контраразузнавателни сили бяха алармирани в Обединеното кралство, за да се предотврати възможно изтичане на информация, което може да причини огромни щети. Правителството взе крайни мерки, така че външни лица да не разберат за сметките и адресите, на които Bank of England изпраща стотици милиарди долари всеки ден. Освен това в Обединеното кралство се страхуваха повече от ситуация, при която данните могат да бъдат на разположение на чуждестранните разузнавателни служби. В този случай цялата финансова кореспондентска мрежа на Bank of England щеше да бъде отворена. Възможността за повреда беше елиминирана в рамките на няколко седмици.

Аджиев В. Митове за софтуерната сигурност: уроци от известни бедствия//Отворени системи.-1999. -- №6.-- C..21-24

Услугите, предоставяни от банките днес, до голяма степен се основават на използването на електронно взаимодействие между банки, банки и техните клиенти и търговски партньори. Понастоящем достъпът до банкови услуги е възможен от различни отдалечени точки, включително домашни терминали и офис компютри. Този факт ни кара да се отдалечим от понятието „заключени врати“, което беше типично за банките през 60-те години, когато компютрите се използваха в повечето случаи в пакетен режим като спомагателен инструмент и нямаха връзка с външния свят.

Нивото на оборудване с инструменти за автоматизация играе важна роля в дейността на банката и следователно пряко влияе върху нейното положение и приходи. Нарастващата конкуренция между банките води до необходимостта от намаляване на времето за извършване на сетълменти, увеличаване на обхвата и подобряване на качеството на предоставяните услуги. Колкото по-малко време ще отнеме разплащанията между банката и клиентите, толкова по-висок ще бъде оборотът на банката и съответно печалбата. Освен това банката ще може да реагира по-бързо на промените във финансовата ситуация. Разнообразие от банкови услуги (на първо място, това се отнася до възможността за безналични плащания между банката и нейните клиенти с помощта на пластмасови карти) могат значително да увеличат броя на нейните клиенти и в резултат на това да увеличат печалбите.

Информационната сигурност на банката трябва да отчита следните специфични фактори:

1. Информацията, съхранявана и обработвана в банковите системи, е истински пари. Въз основа на компютърна информация могат да се извършват плащания, да се отварят заеми и да се прехвърлят значителни суми. Съвсем ясно е, че незаконното манипулиране на такава информация може да доведе до сериозни загуби. Тази функция рязко разширява кръга от престъпници, които посягат конкретно на банките (за разлика например от индустриалните компании, чиято вътрешна информация не представлява интерес за никого).
2. Информацията в банковите системи засяга интересите на голям брой хора и организации – клиенти на банки. По правило то е поверително и банката е отговорна за осигуряването на необходимата степен на секретност на своите клиенти. Естествено клиентите имат право да очакват, че банката трябва да се грижи за техните интереси, в противен случай рискува репутацията си с всички произтичащи от това последици.
3. Конкурентоспособността на банката зависи от това колко удобно е за клиента да работи с банката, както и от това колко широк спектър от предоставяни услуги, включително услуги, свързани с отдалечен достъп. Следователно клиентът трябва да може да управлява парите си бързо и без досадни процедури. Но този лесен достъп до пари увеличава вероятността от престъпно проникване в банковите системи.
4. Информационната сигурност на банката (за разлика от повечето компании) трябва да гарантира висока надеждност на компютърните системи дори и при извънредни ситуации, тъй като банката отговаря не само за собствените си средства, но и за парите на клиентите.
5. Банката съхранява важна информация за своите клиенти, което разширява кръга от потенциални натрапници, заинтересовани от кражба или повреждане на такава информация.

Престъпленията в банковия сектор също имат свои собствени характеристики Gamza V.A. , Ткачук И.Б. Сигурност на търговска банка.- М ..: Обединена Европа, 2000.- C..24:

Повечето компютърни престъпления са дребни. Щетите от тях са в диапазона от $10 000 до $50 000.

Успешните компютърни престъпления обикновено изискват голям брой банкови транзакции (до няколкостотин). Въпреки това, големи суми могат да бъдат преведени само с няколко транзакции.

Спецификата на защитата на системите за автоматизирана обработка на информация на банките се дължи на особеностите на задачите, които решават:

По правило ASOIB обработва голям поток от постоянно пристигащи заявки в реално време, всяка от които не изисква много ресурси за обработка, но заедно те могат да бъдат обработени само от високопроизводителна система;

Друга особеност на ASOIB са повишените изисквания за надеждност на софтуера и хардуера. Поради това много съвременни ASOIB гравитират към така наречената отказоустойчива компютърна архитектура, която позволява непрекъсната обработка на информация дори при различни повреди и откази.

Използването на ASOI от банките е свързано със спецификата на защитата на тези системи, така че банките трябва да обърнат повече внимание на защитата на своите автоматизирани системи.

Заключения по първа глава:

1. АКБ "Глобекс" е голяма финансова организация, поради което представлява голям интерес за технически оборудваните нарушители. Укрепването на организираните престъпни групи, нарастването на тяхната финансова мощ и техническо оборудване дава основание да се смята, че тенденцията към увеличаване на броя на опитите за проникване в автоматизираните системи на банките ще продължи.
2. Като се имат предвид поставените от ръководството задачи за Глобекс АД, може да се заключи, че съответните служби на банката ще трябва да положат много усилия, за да гарантират сигурността на ASIS на банката, предвид спецификата на нейната работа.
3. В АКБ „Глобекс” е необходимо да се определят и прогнозират възможни заплахи за обосновка, избор и изпълнение на защитни мерки за защита на ASOI.
4. От компютъризацията банково делостава все по-разпространена и всички банки взаимодействат помежду си чрез компютри, тогава Службата за сигурност на банката Globex трябва да обърне повече внимание на защитата на компютърната информация в банката.

Банката данни е част от всяка автоматизирана система като CAD, APCS, APCS и др. Целта на базата данни е да поддържа информационен моделв изключително важно състояние и предоставяне на потребителски заявки. Това изисква да се извършат три операции върху банката от данни: активиране, изтриване, модифициране. Тези операции осигуряват съхранение и промяна на данни.

С развитието на автоматизирана система се променя съставът на обектите от предметната област, променят се връзките между тях. Всичко това трябва да бъде отразено в информационната система. Следователно организацията на базата данни трябва да бъде гъвкава. Нека покажем мястото на банката данни в автоматизираната система.

При проектирането на банка от данни е изключително важно да се вземат предвид два аспекта на предоставяне на потребителски заявки.

1) Определяне на границите на конкретна предметна област и разработване на информационен модел. Имайте предвид, че банката с данни трябва да предоставя информация на цялата система както в настоящето, така и в бъдеще, като се вземе предвид нейното развитие.

2) Разработването на банка данни трябва да се фокусира върху ефективното обслужване на заявките на потребителите. В тази връзка е изключително важно да се анализират видовете и видовете потребителски заявки. Изключително важно е също така да се анализират функционалните задачи на автоматизирана система, за които тази банка ще бъде източник на информация.

Потребителите на базата данни се различават по следните начини:

· на базата на постоянство на комуникацията с банката.

Потребители : постоянен И един път ;

Ниво на разрешение. Част от данните трябва да бъдат защитени;

под формата на искания. Заявките могат да се подават от програмисти, непрограмисти, потребители на задачи.

Поради голямата хетерогенност на потребителите, банката с данни предоставя специален инструмент, който ви позволява да сведете всички заявки до една терминология. Този инструмент се нарича речник на данните.

Да откроим първични изисквания на които трябва да се отговори банка данни от външни потребители . Банката данни трябва:

1. Осигурете възможност за съхраняване и модифициране на големи обеми многоизмерна информация. Задоволяване на настоящите и нововъзникващите потребителски изисквания.

Осигурете определени нива на надеждност и последователност на съхраняваната информация.

3. Осигурете достъп до данни само на тези потребители, които имат съответните правомощия.

4. Осигурете възможност за търсене на информация за произволна група характеристики.

5. Удовлетворете определените изисквания за ефективност при обработка на заявки.

6. Имат способността да се реорганизират и разширяват при промяна на границите на предметната област.

7. Предоставяне на информация на потребителя в различни форми.

8. Осигурете възможност за едновременно обслужване на голям брой външни потребители.

За да се изпълнят тези изисквания, е от съществено значение да се въведе централизирано управление на данните.

Да откроим Основните предимства на централизираното управление данни в сравнение с използван преди това софтуер.

1) Намаляване на излишъка на съхраняваните данни. Данните, които се използват от няколко приложения, са структурирани (интегрирани) и се съхраняват в един екземпляр.

2) Елиминиране на несъответствието на съхраняваните данни. Поради липсата на излишък на данните, ситуацията се елиминира, когато, когато дадено действително е променено, изглежда, че е променено не във всички записи.

3) Многоаспектно използване на данни с едно вписване.

4) Цялостна оптимизация на базата на анализ на потребителските изисквания. Избрани са структури от данни, които осигуряват най-доброто обслужване.

5) Осигуряване на възможност за стандартизация. Това улеснява обмена на данни с други автоматизирани системи, както и процедури за наблюдение и възстановяване на данни.

6) Осигуряване на възможност за оторизиран достъп до данни, ᴛ.ᴇ. наличие на механизми за защита на данните.

Трябва да се подчертае, че основният проблем на централизираното управление на данни е да се гарантира независимостта на приложните програми от данните. Това се обяснява с факта, че интегрирането на данни, оптимизирането на структурите от данни изискват промени в съхраняваното представяне на данни и метода за достъп до данни.

Изход: Основната отличителна черта на банката данни е наличието на централизирано управление на данни.

Глава 1. Характеристики на информационната сигурност на банките.

Заповед на Росстандарт от 28 март 2018 г. № 156-та „За одобрение на националния стандарт на Руската федерация“

Заповед на Росстандарт от 8 август 2017 г. № 822-ст "За одобрение на националния стандарт на Руската федерация"

Основните цели на прилагането на стандарта „Осигуряване на информационната сигурност на организациите от банковата система на Руската федерация. Общи положения” STO BR IBBS-1.0 (наричан по-долу Стандарт):

повишаване на доверието в банковата система на Руската федерация;
повишаване на стабилността на функционирането на организациите на банковата система на Руската федерация и на тази основа стабилността на функционирането на банковата система на Руската федерация като цяло;
постигане на адекватност на мерките за защита срещу реални заплахиинформационна сигурност;
предотвратяване и (или) намаляване на щетите от инциденти със сигурността на информацията.

Основните цели на стандарта:

установяване на единни изисквания за осигуряване на информационната сигурност на организациите на банковата система на Руската федерация;
повишаване на ефективността на мерките за осигуряване и поддържане на информационната сигурност на организациите в банковата система на Руската федерация.

Защита на информацията в електронни разплащателни интернет системи

Интернет система за плащанее система за извършване на разплащания между финансови, бизнес организации и интернет потребители в процеса на покупка/продажба на стоки и услуги през Интернет. Това е платежната система, която ви позволява да превърнете услуга за обработка на поръчки или електронна витрина в пълноценен магазин с всички стандартни атрибути: като избере продукт или услуга на уебсайта на продавача, купувачът може да извърши плащане, без да напуска компютър.

В системата за електронна търговия плащанията се извършват при редица условия:

1. Зачитане на поверителността. При извършване на плащания по интернет купувачът иска данните му (например номер на кредитна карта) да бъдат известни само на организации, които имат законовото право за това.

2. Поддържане на целостта на информацията. Информацията за покупка не може да бъде променяна от никого.

3. Удостоверяване. Купувачите и продавачите трябва да са сигурни, че всички страни, участващи в сделката, са тези, за които се представят.

4. Начин на плащане. Възможност за плащане по всеки начин на плащане на разположение на купувача.

6. Гаранции за риск на продавача. При търговия в Интернет продавачът е изложен на много рискове, свързани с отказа на стоки и недобросъвестността на купувача. Размерът на рисковете трябва да бъде съгласуван с доставчика на платежна система и други организации, включени в търговските вериги чрез специални споразумения.

7. Намалете до минимум таксите за транзакции. Таксата за обработка на транзакциите за поръчка и плащане на стоки естествено е включена в цената им, така че понижаването на цената на транзакцията повишава конкурентоспособността. Важно е да се отбележи, че транзакцията трябва да бъде платена във всеки случай, дори ако купувачът откаже стоката.

Всички тези условия трябва да бъдат приложени в системата за разплащане в Интернет, която по същество представлява електронни версии на традиционните платежни системи.

По този начин всички платежни системи са разделени на:

Дебит (работа с електронни чекове и цифрови пари в брой);

Кредит (работа с кредитни карти).

Дебитни системи

Схемите за дебитно плащане са изградени подобно на техните офлайн прототипи: чек и обикновени пари в брой. В схемата участват две независими страни: емитенти и потребители. Емитентът се разбира като субектът, който управлява платежната система. Той издава някои електронни единици, представляващи плащания (например пари в банкови сметки).

Информационна сигурност на организациите на банковата система на Руската федерация

Потребителите на системата изпълняват две основни функции. Те извършват и приемат плащания в Интернет с помощта на издадени електронни артикули.

Електронните проверки са аналогични на обикновените хартиени проверки. Това са инструкции на платеца към неговата банка да преведе пари от сметката си в сметката на получателя. Операцията се извършва, когато получателят представи чек в банката. Тук има две основни разлики. Първо, при изписване на хартиен чек платецът поставя истинския си подпис, а в онлайн версията - електронен подпис. Второ, самите чекове се издават по електронен път.

Плащанията се извършват на няколко етапа:

1. Платецът издава електронен чек, подписва го с електронен подпис и го изпраща на получателя. За да се гарантира по-голяма надеждност и сигурност, номерът на разплащателната сметка може да бъде кодиран с публичния ключ на банката.

2. Чекът се представя за плащане платежна система. Освен това (тук или в банката, обслужваща получателя), електронният подпис се проверява.

3. Ако се потвърди неговата автентичност, се доставя продукт или се предоставя услуга. Парите се превеждат от сметката на платеца към сметката на получателя.

Опростеността на схемата за извършване на плащания (фиг. 43), за съжаление, се компенсира от трудностите при нейното прилагане поради факта, че схемите за проверка все още не са получили широко разпространение и няма центрове за сертифициране за внедряване на електронни подписи.

Електронният цифров подпис (EDS) използва система за криптиране с публичен ключ. Това създава частен ключ за подписване и публичен ключ за проверка. Частният ключ се пази от потребителя, докато публичният ключ може да бъде достъпен за всеки. Повечето удобен начинразпространение на публични ключове - използване на центрове за сертифициране. Той съхранява цифрови сертификати, съдържащи публичния ключ и информация за собственика. Това освобождава потребителя от задължението сам да разпространява своя публичен ключ. Освен това сертифициращите органи предоставят удостоверяване, за да гарантират, че никой не може да генерира ключове от името на друго лице.

Електронните пари напълно симулират истински пари. В същото време емитиращата организация - емитентът - издава своите електронни колеги, наричани по различен начин в различните системи (например купони). Освен това те се купуват от потребители, които ги използват за плащане на покупки, а след това продавачът ги изкупува от издателя. При издаване на всеки валутна единицазаверен с електронен печат, който се проверява от издаващата структура преди обратното изкупуване.

Една от характеристиките на физическите пари е тяхната анонимност, тоест не посочва кой и кога ги е използвал. Някои системи, по аналогия, позволяват на клиента да получава електронни пари в брой по такъв начин, че връзката между него и парите не може да бъде определена. Това се прави с помощта на схема за сляпо подписване.

Трябва също да се отбележи, че при използване електронни париняма нужда от удостоверяване, тъй като системата се основава на пускане на пари в обращение, преди да бъдат използвани.

Фигура 44 показва схемата за плащане с електронни пари.

Механизмът на плащане е както следва:

1. Купувачът разменя реални пари за електронни пари предварително. Поддържането на пари в брой при клиента може да се извърши по два начина, които се определят от използваната система:

На твърдия диск на компютъра;

на смарт карти.

Различните системи предлагат различни схеми за обмен. Някои откриват специални сметки, към които се превеждат средства от сметката на купувача в замяна на електронни банкноти. Някои банки могат сами да издават електронни пари в брой. Същевременно се издава само по искане на клиента, с последващото му прехвърляне към компютъра или картата на този клиент и теглене на паричния еквивалент от неговата сметка. При прилагане на сляп подпис купувачът сам създава електронни банкноти, изпраща ги до банката, където при получаване истински парите се подпечатват върху сметката и се изпращат обратно на клиента.

Наред с удобството на такова съхранение, то има и недостатъци. Повредата на диск или смарт карта води до безвъзвратна загуба на електронни пари.

2. Купувачът прехвърля електронни пари за покупката към сървъра на продавача.

3. Парите се представят на емитента, който проверява автентичността им.

4. Ако електронните банкноти са автентични, сметката на продавача се увеличава със сумата на покупката и стоката се изпраща на купувача или се предоставя услугата.

Една от важните отличителни черти на електронните пари е възможността за извършване на микроплащания. Това се дължи на факта, че деноминацията на банкнотите може да не съответства на истински монети (например 37 копейки).

Както банките, така и небанковите организации могат да издават електронни пари в брой. Той обаче все още не е разработен една системаконвертиране на различни видове електронни пари. Следователно само самите емитенти могат да осребрят издадените от тях електронни пари в брой. Освен това използването на такива пари от нефинансови структури не е гарантирано от държавата. Въпреки това, ниската цена на транзакцията прави електронните пари в брой привлекателен инструмент за плащания в Интернет.

Кредитни системи

Интернет-кредитните системи са аналози на конвенционалните системи, които работят с кредитни карти. Разликата се състои в извършването на всички транзакции през Интернет и в резултат на това необходимостта допълнителни средствасигурност и удостоверяване.

Следните участват в извършването на плащания чрез интернет с кредитни карти:

1. Купувач. Клиент, който има компютър с уеб браузър и достъп до Интернет.

2. Банка издател. Ето сметката на купувача. Банката издател издава карти и е гарант за изпълнението на финансовите задължения на клиента.

3. Продавачи. Продавачите са сървъри за електронна търговия, които поддържат каталози на стоки и услуги и приемат поръчки за покупка на клиенти.

4. Придобиващи банки. Банки, обслужващи търговци. Всеки продавач има една банка, в която държи разплащателната си сметка.

5. Система за интернет плащане. Електронни компоненти, които са посредници между другите участници.

6. Традиционна платежна система. Набор от финансови и технологични средства за обслужване на карти от този тип. Сред основните задачи, решавани от платежната система, са използването на карти като средство за плащане на стоки и услуги, използването на банкови услуги, взаимни разплащания и др. Участници в платежната система са физически лица и юридически лица, обединени от отношения по използването на кредитни карти.

7. Процесинг център на платежната система. Организация, която осигурява информационно и технологично взаимодействие между участниците в традиционна платежна система.

8. Банка за сетълмент на платежната система. Кредитна институция, която извършва взаимни сетълменти между участниците в платежната система от името на центъра за обработка.

Общата схема на плащания в такава система е показана на фигура 45.

1. Купувачът в електронния магазин оформя кошница със стоки и избира метода на плащане "кредитна карта".

Чрез магазина, тоест параметрите на картата се въвеждат директно в сайта на магазина, след което се прехвърлят в системата за интернет плащане (2а);

На сървъра на платежната система (2b).

Предимствата на втория начин са очевидни.

В този случай информацията за картите не остава в магазина и съответно намалява рискът от получаването им от трети страни или измама от продавача. И в двата случая при прехвърляне на данни за кредитна карта все още съществува възможността за тяхното прихващане от натрапници в мрежата. За да се предотврати това, данните се криптират по време на предаване.

Шифроването, разбира се, намалява възможността за прихващане на данни в мрежата, следователно комуникациите купувач/продавач, продавач/система за интернет плащане, купувач/интернет система за плащане за предпочитане се извършват чрез защитени протоколи. Най-разпространеният от тях днес е протоколът SSL (Secure Sockets Layer), както и стандартът за защитени електронни транзакции SET (Secure Electronic Transaction), предназначен в крайна сметка да замени SSL при обработката на транзакции, свързани с плащания за покупки на кредитни картив интернет.

3. Интернет платежната система изпраща заявката за оторизация към традиционната платежна система.

4. Следващата стъпка зависи от това дали банката издател поддържа онлайн база данни (БД) от сметки. Ако базата данни е налична, процесорният център изпраща до банката издател заявка за оторизация на картата (вижте въведението или речника) (4a) и след това (4b) получава нейния резултат. Ако няма такава база, самият процесинг център съхранява информация за състоянието на сметките на картодържателите, стоп списъците и изпълнява заявки за оторизация. Тази информация се актуализира редовно от банките емитенти.

Магазинът предоставя услуга или изпраща продукт (8а);

Центърът за обработка изпраща сетълмент банкаинформация за извършената транзакция (8б). Парите от сметката на купувача в банката издател се превеждат през сетълмент банката по сметката на магазина в банката придобиваща.

За извършване на такива плащания, в повечето случаи, специален софтуер.

Може да се достави на купувача (наречен електронен портфейл), на продавача и на обслужващата му банка.

Предишна25262728293031323334353637383940Следваща

ВИЖ ПОВЕЧЕ:

В нашия живот Интернет е не само средство за комуникация, забавление и отдих, но и за работа, както и за извършване на електронни плащания. Много от нас използват услугите за интернет банкиране и правят покупки в онлайн магазини.

Водещи заплахи за онлайн операции

Въпреки сигурността на системите за интернет банкиране и онлайн магазините, такива методи за защита като двойно удостоверяване, системи за еднократни динамични SMS пароли, допълнителни списъци с еднократни паролиили хардуерни ключове, защитена с SSL връзка и т.н. съвременни методиатаките ви позволяват да заобиколите дори най-надеждните защитни механизми.

Днес нападателите могат да разграничат три най-често срещани подхода за атакуване на финансовите данни на интернет потребителите:

- заразяване на компютъра на жертвата с троянски програми (кейлогъри, скрийн логъри и др.), които използват за прихващане на входните данни;
- използване на методи за социално инженерство - фишинг атаки чрез имейл, уебсайтове, социални мрежи и др.;
— технологични атаки (подушаване, подправяне на DNS/Proxy сървъри, подправяне на сертификати и др.).

Как да защитим интернет банкирането?

Потребителят не трябва да разчита само на банката, а да използва защитни програми за повишаване на сигурността на електронните плащания в Интернет.

Съвременните решения за Internet Security, в допълнение към антивирусните функции, предлагат сигурни инструменти за плащане (изолирани виртуални среди за онлайн операции), както и скенер за уязвимости, уеб защита с проверка на връзки, блокиране на злонамерени скриптове и изскачащи прозорци, защита на данните от прихващане ( anti-keyloggers), виртуална клавиатура.

Сред комплексните решения с отделна функция за защита на онлайн плащанията могат да се откроят Kaspersky Internet Security и компонентът Safe Money, avast!

Информационна сигурност в банковия сектор

Интернет сигурност с avast! SafeZone и Bitdefender Internet Security с Bitdefender Safepay. Тези продукти ви позволяват да не се притеснявате за допълнителна защита.

Ако имате друга антивирусна програма, можете да разгледате средствата за допълнителна защита. Сред тях: Bitdefender Safepay (изолиран уеб браузър), Trusteer Rapport и HitmanPro.Alert за защита на браузъра от атаки, плъгини и приложения Netcraft Extension, McAfee SiteAdvisor, Adguard за защита от фишинг.

Не забравяйте за защитната стена и VPN клиента, ако трябва да извършвате финансови транзакции при свързване към отворени безжични Wi-Fi мрежи на обществени места. Например, CyberGhost VPN използва AES 256-битово криптиране на трафика, което предотвратява използването на данните от нападател, дори ако са прихванати.

Какви методи за защита на онлайн плащанията използвате? Споделете своя опит в коментарите.

Изпратете вашата добра работа в базата от знания е лесно. Използвайте формуляра по-долу

Студенти, специализанти, млади учени, които използват базата от знания в своето обучение и работа, ще Ви бъдат много благодарни.

публикувано на http://www.allbest.ru/

Министерство на общото и професионалното образование на Ростовска област

ДЪРЖАВНА БЮДЖЕТНА УЧЕБНА ИНСТИТУЦИЯ ЗА СРЕДНО ПРОФЕСИОНАЛНО ОБРАЗОВАНИЕ НА РОСТОВСКА ОБЛАСТ

„Колеж по комуникации и информатика Ростов на Дон“

По дисциплина: "Сигурност на информацията"

тема: Информационна защита на банките

Извършва се от ученик

Кладовиков В.С.

Група ПО-44

Специалност 23010551 Софтуер

компютърни технологии и автоматизирани системи

Ръководител: Семергей С.В.

201 3

Въведение

1. Характеристики на информационната сигурност на банките

2. Сигурност на автоматизирани системи за обработка на информация в банки (ASOIB)

3. Сигурност на електронните плащания

4. Сигурност на личните плащания лица

Заключение

Приложения

Въведение

От създаването си банките непрекъснато предизвикват престъпен интерес. И този интерес беше свързан не само със съхранението в кредитни организациипари, но и с факта, че банките съдържаха важна и често секретна информация за финансовата и икономическа дейност на много хора, фирми, организации и дори цели държави. В момента, в резултат на повсеместното разпространение на електронни плащания, пластмасови карти, компютърни мрежи, обектът на информационни атаки стана директно пари в бройкакто банките, така и техните клиенти. Всеки може да опита кражба - всичко, от което се нуждаете, е компютър, свързан с интернет. Освен това, това не изисква физическо влизане в банката, можете да „работите“ на хиляди километри от нея.

Именно този проблем сега е най-актуалният и най-малко проучен. Ако при осигуряването на физическа и класическа информационна сигурност отдавна са разработени утвърдени подходи (въпреки че развитие се извършва и тук), то поради чести радикални промени в компютърните технологии, методите за сигурност на автоматизираните системи за обработка на информация на банката (ASOIB ) изискват постоянно актуализиране. Както показва практиката, няма сложни компютърни системи, които да не съдържат грешки. И тъй като идеологията за изграждане на големи ASOIB се променя редовно, коригирането на грешките и „дупките“, открити в системите за сигурност, не продължава дълго, тъй като новата компютърна система носи нови проблеми и нови грешки и принуждава системата за сигурност да бъде преустроена в нова начин.

Според мен всеки се интересува от поверителността на личните му данни, предоставени на банките. Въз основа на това писането на това есе и изучаването на този проблем според мен е не само интересно, но и изключително полезно.

1. Характеристики на информационната сигурност на банките

Банковата информация винаги е била обект на близък интерес от всякакъв вид натрапници. Всяко банково престъпление започва с изтичане на информация. Автоматизираните банкови системи са канали за такива течове. От самото начало на въвеждането на автоматизирани банкови системи (АБС) те са станали обект на престъпни посегателства.

Така е известно, че през август 1995 г. в Обединеното кралство е арестуван 24-годишният руски математик Владимир Левин, който с помощта на домашния си компютър в Санкт Петербург успява да проникне в банковата система на една от най-големите американски банки, Ситибанк и се опита да изтегли големи суми от сметките си. Според московското представителство на Citibank дотогава никой не е успявал да направи това. Службата за сигурност на Citibank установила, че са се опитали да откраднат 2,8 милиона долара от банката, но контролните системи засекли това навреме и блокирали сметките. Откраднати са само $400 000.

В САЩ размерът на годишните загуби на банковите институции от незаконното използване на компютърна информация според експерти е от 0,3 до 5 милиарда долара. Информацията е аспект от общия проблем за осигуряване на сигурността на банкирането.

В тази връзка стратегията за информационна сигурност на банките е много различна от подобни стратегии на други компании и организации. Това се дължи преди всичко на специфичния характер на заплахите, както и на публичната дейност на банките, които са принудени да правят достъпа до сметките достатъчно лесен с цел удобство на клиентите.

Една обикновена компания изгражда своята информационна сигурност въз основа само на тесен спектър от потенциални заплахи - главно защита на информацията от конкуренти (в руските реалности основната задача е да защити информацията от данъчните власти и престъпната общност, за да намали вероятността от неконтролиран увеличаване на данъчните плащания и рекет). Подобна информация представлява интерес само за тесен кръг от заинтересовани лица и организации и рядко е ликвидна, т.е. конвертируеми в пари.

Информационната сигурност на банката трябва да отчита следните специфични фактори:

1. Информацията, съхранявана и обработвана в банковите системи, е истински пари. Въз основа на компютърна информация могат да се извършват плащания, да се отварят заеми и да се прехвърлят значителни суми. Съвсем ясно е, че незаконното манипулиране на такава информация може да доведе до сериозни загуби. Тази функция рязко разширява кръга от престъпници, които посягат конкретно на банките (за разлика например от индустриалните компании, чиято вътрешна информация не представлява интерес за никого).

5. Банката съхранява важна информация за своите клиенти, което разширява кръга от потенциални натрапници, заинтересовани от кражба или повреждане на такава информация.

За съжаление днес, поради високото развитие на технологиите, дори изключително строги организационни мерки за рационализиране на работата с поверителна информация няма да предпазят от изтичането й по физически канали. Ето защо системен подходза информационна сигурност изисква средствата и действията, използвани от банката за осигуряване на информационната сигурност (организационни, физически и софтуерно-технически), да се разглеждат като единен набор от взаимосвързани, допълващи се и взаимодействащи мерки. Такъв комплекс трябва да бъде насочен не само към защита на информацията от неоторизиран достъп, но и към предотвратяване на случайно унищожаване, модифициране или разкриване на информация.

2. Сигурност на автоматизирани системи за обработка на информация в банки (ASOIB)

Няма да е пресилено да се каже, че проблемът с умишленото нарушаване на функционирането на ASOIB за различни цели в момента е един от най-актуалните. Това твърдение важи най-вече за държави със силно развита информационна инфраструктура, както се вижда от фигурите по-долу.

Известно е, че през 1992 г. щетите от компютърни престъпления възлизат на 555 милиона долара, 930 години работно време и 15,3 години компютърно време. Според други източници щетите за финансовите организации варират от 173 милиона до 41 милиарда долара годишно.

От този пример можем да заключим, че системите за обработка и защита на информация отразяват традиционния подход към компютърната мрежа като потенциално ненадеждна среда за предаване на данни. Има няколко основни начина за гарантиране на сигурността на софтуерната и хардуерната среда, реализирани по различни методи:

1.1. Създаване на потребителски профили. Всеки възел създава база данни с потребители, техните пароли и профили за достъп до локалните ресурси на компютърната система.

1.2. Създайте профили на процеси. Задачата за удостоверяване се изпълнява от независим сървър (на трета страна), който съдържа пароли както за потребители, така и за целеви сървъри (в случай на група сървъри, базата данни с пароли също съдържа само един (главен) сървър за удостоверяване; останалите са само периодично актуализирани копия). По този начин използването на мрежови услуги изисква две пароли (въпреки че потребителят трябва да знае само една - втората му се предоставя от сървъра по "прозрачен" начин). Очевидно сървърът се превръща в тесното място на цялата система и хакването му може да компрометира сигурността на цялата компютърна мрежа.

2. Капсулиране на предаваната информация в специални протоколи за обмен. Използването на такива методи в комуникациите се основава на алгоритми за криптиране с публичен ключ. На етапа на инициализация се създава двойка ключове - публичен и частен, достъпни само за този, който публикува публичния ключ. Същността на алгоритмите за криптиране с публичен ключ е, че операциите по криптиране и декриптиране се извършват от различни ключове (съответно публичен и частен).

3. Ограничаване на информационните потоци. Това са добре познати техники, които ви позволяват да разделите локална мрежа на свързани подмрежи и да контролирате и ограничавате трансфера на информация между тези подмрежи.

3.1. Защитни стени (защитни стени). Методът предполага създаване на специални междинни сървъри между локалната мрежа на банката и други мрежи, които проверяват, анализират и филтрират целия поток от данни, преминаващ през тях (трафик на мрежата/транспортни нива). Това ви позволява да намалите драстично заплахата от неоторизиран достъп отвън до корпоративните мрежи, но не премахва напълно тази опасност. По-сигурна версия на метода е методът на маскиране, когато целият изходящ трафик от локалната мрежа се изпраща от името на сървъра на защитната стена, което прави затворената локална мрежа почти невидима.

3.2. прокси сървъри. С този метод се въвеждат сериозни ограничения за правилата за предаване на информация в мрежата: целият трафик на мрежата / нивата на транспорт между локалната и глобалната мрежа е напълно забранен - просто няма маршрутизиране като такова и повиквания от локалната мрежа към глобалната мрежа се осъществяват чрез специални посреднически сървъри. Очевидно с този метод достъпът от глобалната мрежа до локалната мрежа става невъзможен по принцип. Очевидно е също, че този метод не осигурява достатъчна защита срещу атаки на по-високи нива, например на ниво софтуерно приложение.

4. Създаването на виртуални частни мрежи (VPN) ви позволява ефективно да гарантирате поверителността на информацията, нейната защита от подслушване или намеса в предаването на данни. Те ви позволяват да установите поверителни, сигурни комуникации през отворена мрежа, обикновено интернет, и да разширите границите на корпоративните мрежи до отдалечени офиси, мобилни потребители, домашни потребители и бизнес партньори. Технологията за криптиране елиминира възможността VPN съобщенията да бъдат прихванати или прочетени от лица, различни от упълномощените получатели, чрез използване на усъвършенствани математически алгоритми за криптиране на съобщения и техните приложения. Концентраторите от серия Cisco VPN 3000 се считат от мнозина за най-доброто решение за отдалечен достъп през VPN в своята категория. Cisco VPN 3000 концентратори, включващи най-модерните функции с висока надеждност и уникална, целенасочена архитектура. Позволете на корпорациите да изграждат високопроизводителни, мащабируеми и мощни VPN инфраструктури, за да поддържат критични приложения за отдалечен достъп. Cisco VPN-оптимизирани рутери, като маршрутизаторите Cisco 800, 1700, 2600, 3600, 7100 и 7200, са идеални инструменти за създаване на виртуални частни мрежи от един мрежов обект към друг.

5. Системите за откриване на проникване и скенери за уязвимости създават допълнителен слой мрежова сигурност. Въпреки че защитните стени позволяват или блокират трафик въз основа на източник, дестинация, порт или други критерии, те всъщност не анализират трафика за атаки или не търсят уязвимости в системата. Освен това защитните стени обикновено не се справят с вътрешни заплахи, идващи от „своите“. Системата за откриване на проникване на Cisco (IDS) може да защити периметърната мрежа, мрежите на бизнес партньорите и все по-уязвимите вътрешни мрежи в реално време. Системата използва агенти, които са високопроизводителни мрежови устройства, за да анализират отделни пакети с цел откриване на подозрителна активност. Ако има неоторизирана активност или мрежова атака в трафика в мрежата, агентите могат да открият нарушение в реално време, да изпращат сигнали до администратора и да блокират достъпа на натрапника до мрежата. В допълнение към откриването на проникване в мрежата, Cisco предлага и системи за откриване на проникване в сървъри, които осигуряват ефективна защита за специфични сървъри в мрежата на потребителя, предимно WEB и сървъри за електронна търговия. Cisco Secure Scanner е софтуерен скенер от промишлен клас, който позволява на администратора да идентифицира и коригира уязвимостите в мрежовата сигурност, преди хакерите да ги открият.

Тъй като мрежите се разрастват и стават по-сложни, изискването за централизиран контрол на политиката за сигурност, който може да управлява елементите за сигурност, става от първостепенно значение. Интелигентността, която може да показва, управлява и одитира състоянието на политиката за сигурност, подобрява използваемостта и ефективността на решенията за мрежова сигурност. Решенията на Cisco в тази област използват стратегически подход към управлението на сигурността. Cisco Secure Policy Manager (CSPM) поддържа елементи за сигурност на Cisco в корпоративни мрежи, за да гарантира цялостно и последователно прилагане на политиката за сигурност. С CSPM клиентите могат да дефинират подходяща политика за сигурност, да я наложат и да валидират принципите на сигурност на стотици защитни стени на Cisco Secure PIX и Cisco IOS Firewall Feature Set и IDS агенти. CSPM също така поддържа стандарта IPsec за изграждане на VPN. В допълнение, CSPM е интегрална частшироко разпространена система за корпоративно управление CiscoWorks2000/VMS.

Обобщавайки горните методи, можем да кажем, че развитието на информационните системи изисква паралелно развитие на технологиите за трансфер на информация и защита. Тези технологии трябва да гарантират защитата на предаваната информация, което прави мрежата "надеждна", въпреки че надеждността на сегашен етапсе разбира като надеждност не на физическо ниво, а по-скоро на логическо (информационно) ниво.

Съществуват и редица допълнителни мерки, които прилагат следните принципи:

1. Мониторинг на процеса. Методът за наблюдение на процесите е да се създаде специално разширение на системата, което постоянно да извършва определени видове проверки. Очевидно е, че дадена система става външно уязвима само когато предоставя възможност за външен достъп до своите информационни ресурси. При създаване на средства за такъв достъп (сървърни процеси), като правило, има достатъчно количество априорна информация, свързана с поведението на клиентските процеси. За съжаление, в повечето случаи тази информация просто се игнорира. След като външен процес бъде удостоверен в системата, той се счита за оторизиран през целия си жизнен цикъл за достъп до определено количество информационни ресурси без допълнителни проверки.

Въпреки че в повечето случаи не е възможно да се посочат всички правила за поведението на външен процес, е напълно възможно да се дефинират чрез отрицание или, с други думи, да се посочи какво външният процес не може да направи при никакви условия. Въз основа на тези проверки могат да бъдат наблюдавани опасни или подозрителни събития. Например, фигурата по-долу показва елементите за наблюдение и открити събития: DOS атака; грешка при въвеждане на потребителска парола; претоварване в комуникационния канал.

2. Дублиране на предавателни технологии. Съществува риск от хакване и компрометиране на всяка технология за пренос на информация, както поради вътрешните й недостатъци, така и в резултат на външни влияния. Защитата срещу такава ситуация се крие в паралелното прилагане на няколко различни технологии за предаване. Очевидно дублирането ще доведе до рязко увеличаване на мрежовия трафик. Този метод обаче може да бъде ефективен, когато цената на рисковете от възможни загубисе оказва по-висока от режийните разходи за дублиране.

3. Децентрализация. В много случаи използването на стандартизирани технологии за обмен на информация не е причинено от желанието за стандартизация, а от недостатъчната изчислителна мощност на системите, които осигуряват комуникационни процедури. Широко разпространената практика на „огледала“ в Интернет също може да се счита за прилагане на децентрализиран подход. Създаването на множество идентични копия на ресурси може да бъде полезно в системи в реално време, където дори кратка повреда може да има доста сериозни последици.

3 . Сигурност на електронните плащания

криптографска защита на информационната банка

Необходимостта винаги да разполагате с правилната информация под ръка кара много мениджъри да се замислят за проблема с оптимизирането на бизнеса с помощта на компютърни системи. Но ако преводът счетоводствоОт хартиен формуляр към електронен формуляр отдавна се извършва, взаимните разплащания с банката все още са недостатъчно автоматизирани: масовият преход към електронно управление на документи тепърва предстои.

Днес много банки имат определени канали за дистанционни платежни транзакции. Можете да изпратите "плащане" директно от офиса, като използвате модемна връзка или специална комуникационна линия. Стана реалност извършването на банкови транзакции през Интернет - за това е достатъчно да имате компютър с достъп до глобалната мрежа и ключ за електронен цифров подпис (ЕЦП), който е регистриран в банката.

Дистанционното банкиране ви позволява да повишите ефективността на частния бизнес с минимални усилия от страна на собствениците му. Това гарантира: спестяване на време (няма нужда да идвате лично в банката, плащането може да се извърши по всяко време); удобство на работа (всички операции се извършват от персонален компютър в позната бизнес среда); висока скорост на обработка на плащанията (банковият оператор не препечатва данни от хартиен оригинал, което позволява да се елиминират грешки при въвеждане и да се намали времето за обработка на платежен документ); наблюдение на състоянието на документа в процеса на неговата обработка; получаване на информация за движението на средства по сметки.

Въпреки очевидните предимства обаче, електронните плащания в Русия все още не са много популярни, тъй като клиентите на банките не са сигурни в тяхната сигурност. Това се дължи преди всичко на широко разпространеното схващане, че компютърните мрежи могат лесно да бъдат „хакнати“ от някой хакер. Този мит е здраво вкоренен в човешкото съзнание и редовно публикуваните новини в медиите за атаки срещу още един уебсайт допълнително засилват това мнение. Но времената се променят и електронни средствавръзки рано или късно ще заменят личното присъствие на платеца, който иска да извърши безкасов банков превод от една сметка в друга.

Според мен сигурността на транзакциите по електронно банкиране днес може да бъде гарантирана. Това се гарантира от съвременните криптографски методи, които се използват за защита на електронните платежни документи. На първо място, това е EDS, съответстващ на GOST 34.10-94. От 1995 г. се използва успешно в Банката на Русия. Първоначално той въведе система за междурегионални електронни плащания само в няколко региона. Сега той обхваща всички региони на Руската федерация и е почти невъзможно да си представим функционирането на Банката на Русия без него. Така че струва ли си да се съмняваме в надеждността на EDS, ако използването му е изпитано във времето и вече, по един или друг начин, засяга всеки гражданин на нашата страна?

Цифровият подпис е гаранция за сигурност. Според стандартен договормежду банката и клиента наличието под електронния документ на достатъчен брой регистрирани в ЕЦП упълномощени лица служи като основание за извършване на банкови операции по сметки на клиента. IN федерален законот 10.01.02 N 1-FZ "За електронния цифров подпис" е определено, че ЕЦП трябва да бъде генериран и проверен от сертифициран софтуер FAPSI. Сертификацията EDS е гаранция, че тази програма изпълнява криптографски функции в съответствие със стандартите GOST и не извършва разрушителни действия върху компютъра на потребителя.

За да поставите ЕЦП към електронен документ, е необходимо да разполагате с негов ключ, който може да се съхранява на някакъв ключов информационен носител. Съвременните ключодържатели ("e-Token", "USB-drive", "Touch-Memory") са оформени като ключодържатели и могат да се носят в куп обикновени ключове. Дискетите могат да се използват и като носител на ключова информация.

Всеки ключ за ЕЦП служи като аналог на ръкописния подпис на упълномощено лице. Ако в организацията хартия "плащанията" обикновено се подписват от директора и Главен счетоводител, след това в електронна системанай-добре е да запазите същата процедура и да предоставите различни ключове за EDS за упълномощени лица. Може обаче да се използва и един ЕЦП - този факт трябва да бъде отразен в споразумението между банката и клиента.

Ключът EDS се състои от две части - затворена и отворена. Публичната част (публичния ключ), след като бъде генерирана от собственика, се предава на Сертифициращия орган, ролята на който обикновено играе банката. Публичният ключ, информацията за неговия собственик, предназначението на ключа и друга информация се подписват от ЕЦП на Удостоверяващия орган. Така се формира сертификат EDS, който трябва да бъде регистриран в електронната система за сетълмент на банката.

Частната част на ключа на EDS (секретен ключ) при никакви обстоятелства не трябва да се прехвърля от собственика на ключа на друго лице. Ако секретният ключ е даден дори за кратко време на друго лице или е оставен някъде без надзор, се счита, че ключът е „компрометиран“ (т.е. предполага се възможността за копиране или незаконно използване на ключа). С други думи, в този случай лице, което не е собственик на ключа, получава възможността да подпише електронен документ, неупълномощен от ръководството на организацията, който банката ще приеме за изпълнение и ще бъде прав, тъй като проверката на цифровият подпис ще покаже неговата автентичност. Цялата отговорност в този случайе само на собственика на ключа. Действията на собственика на EDS в тази ситуация трябва да бъдат подобни на тези, които се предприемат при загуба на обикновена пластмасова карта: това лице трябва да информира банката за „компромиса“ (загубата) на ключа на EDS. Тогава банката ще блокира сертификата за този цифров подпис в своята платежна система и нападателят няма да може да използва незаконното си придобиване.

Незаконното използване на секретния ключ може също да бъде предотвратено чрез използване на парола, която е наложена както на ключа, така и на някои видове ключови носители. Това помага да се сведат до минимум щетите в случай на загуба, тъй като без парола ключът става невалиден и собственикът ще има достатъчно време да информира банката за „компрометирането“ на своя EDS.

Нека разгледаме как клиентът може да използва услугите за електронни плащания, при условие че банката разполага със система за интегрирано изпълнение на електронни плащания. банкови услугиМеждубанков. Ако клиентът е частен предприемач или управлява малка търговска фирма и има достъп до Интернет, ще бъде достатъчно той да избере системата за криптографска защита (EDS и криптиране), която иска да използва. Клиентът може да инсталира сертифицирания софтуер "CryptoPro CSP" или да се ограничи до системата Microsoft Base CSP, вградена в Microsoft Windows.

Ако клиентът е голяма компания с голям финансов оборот, тогава може да му се препоръча друга подсистема от InterBank - "Windows Client". С негова помощ клиентът самостоятелно поддържа база данни с електронни документи и може да изготвя платежни нареждания на компютъра си, без да използва сесия за комуникация с банката. Когато всички задължителни документисе формират, клиентът се свързва с банката по телефон или специална линия за обмен на данни.

Друг вид услуга, предоставяна от Интербанковия комплекс, е информиране на клиента за състоянието на банковите му сметки, обменни курсове и прехвърляне на други справочни данни чрез гласова комуникация, факс или екран на мобилен телефон.

Удобен начин за използване на електронни плащания е одобряването на платежни документи от оторизирани служители на предприятието, които са на значително разстояние един от друг. Например главният счетоводител изготви и подписа електронен платежен документ. Директорът, който в момента е в командировка в друг град или в друга държава, може да разгледа този документ, да го подпише и да го изпрати до банката. Всички тези действия могат да се извършват от подсистемата "Интернет-клиент", към която счетоводителят и директорът на предприятието ще се свържат чрез интернет. Криптирането на данни и удостоверяването на потребителя ще се извършват по един от стандартните протоколи - SSL или TLS.

Така че използването на електронни плащания в бизнеса предоставя значителни предимства пред традиционната услуга. Що се отнася до сигурността, тя се осигурява от стандарта EDS (GOST 34.10-94), от една страна, и отговорността на клиента за съхранение на ключа за подпис, от друга. Препоръките за използването и съхранението на ключовете за EDS винаги могат да бъдат получени от клиента от банката и ако той ги спазва, надеждността на плащанията е гарантирана.

4. лична сигурностпарични плащания на физически лица

Повечето системи за сигурност, за да се избегне загубата на лични данни на физически лица, изискват от потребителя да потвърди, че е точно този, за когото се представя. Идентификацията на потребителя може да се извърши въз основа на това:

* знае някаква информация (секретен код, парола);

* притежава определен артикул (карта, електронен ключ, жетон);

* той има набор от индивидуални характеристики (пръстови отпечатъци, форма на ръцете, тембър на гласа, модел на ретината и др.);

* той знае къде или как е свързан специализираният ключ.

Първият метод изисква въвеждане на определена кодова последователност на клавиатурата - персонална идентификационен номер(ЕГН - ЕГН). Обикновено това е поредица от 4-8 цифри, които потребителят трябва да въведе при извършване на транзакция.

Вторият метод включва представяне на потребителя на някои специфични идентификационни елементи - кодове, прочетени от некопируемо електронно устройство, карта или жетон.

При третия метод индивидуалните характеристики и физически характеристикиличността на човека. Всеки биометричен продукт е придружен от доста голяма база данни, която съхранява съответните изображения или други данни, използвани за разпознаване.

Четвъртият метод включва специален принцип на включване или превключване на оборудване, което ще осигури неговата работа (този подход се използва доста рядко).

IN банково делонай-широко използваното средство за лична идентификация, което причислихме към втората група: определен обект (карта, електронен ключ, жетон). Естествено, използването на такъв ключ се случва в комбинация със средствата и методите за идентификация, които причислихме към първата група: използването на информация (секретен код, парола).

Нека разгледаме по-отблизо средствата за идентифициране на физическо лице в банкирането.

Пластмасови карти.

В момента в различни страни по света са издадени над милиард карти.. Най-известните от тях:

Кредитни карти Visa (повече от 350 милиона карти) и MasterCard (200 милиона карти);

Международният чек гарантира Eurocheque и Posteheque;

Карти за пътуване и развлечения American Express (60 милиона карти) и Diners Club.

Магнитни карти

Най-известните и дълго използвани в банкирането като средство за идентификация са пластмасовите карти с магнитна лента (много системи позволяват използването на конвенционални кредитни карти). За четене е необходимо да изтеглите карта (магнитна лента) през слота на четеца (четеца). Обикновено четците са направени като външно устройство и са свързани чрез сериен или универсален компютърен порт. Има и четци, комбинирани с клавиатура. Такива карти обаче имат предимства и недостатъци при използването им.

* магнитната карта може лесно да се копира на налично оборудване;

* Замърсяването, леко механично въздействие върху магнитния слой, наличието на картата в близост до силни източници на електромагнитни полета водят до повреда на картата.

предимства:

* разходите за издаване и поддържане на такива карти са ниски;

* индустрията на магнитните пластмасови карти се развива от няколко десетилетия и в момента над 90% от картите са пластмасови карти;

* използването на магнитни карти е оправдано с много голям брой потребители и честа смяна на карти (например за достъп до хотелска стая).

Проксимити карти

Всъщност това е развитие на идеята за електронни жетони. Това е безконтактна карта (но може да бъде и ключодържател или гривна), съдържаща чип с уникален код или радиопредавател. Четецът е оборудван със специална антена, която постоянно излъчва електромагнитна енергия. Когато картата влезе в това поле, чипът на картата се захранва и картата изпраща своя уникален код на четеца. За повечето читатели стабилното разстояние за реакция варира от няколко милиметра до 5-15 cm.

Смарт карти

За разлика от магнитната карта, смарт картата съдържа микропроцесор и контактни подложки за захранване и обмен на информация с четеца. Смарт картата има много висока степен на сигурност. Именно с него все още са свързани основните перспективи за разработване на такива ключове и надеждите на много разработчици на системи за защита.

Технологията за смарт карти съществува и се развива от около двадесет години, но се разпространи едва през последните няколко години. Очевидно е, че смарт картата, поради голямото количество памет и функционалност, може да действа както като ключ, така и като пропуск и в същото време да бъде банкова карта. IN реалния животподобна комбинация от функции се изпълнява доста рядко.

За да работи със смарт карта, компютърът трябва да бъде оборудван със специално устройство: вграден или външен четец на карти. Външните четци на карти могат да бъдат свързани към различни портове на компютъра (сериен, паралелен или PS/2 порт за клавиатура, PCMCIA слот, SCSI или USB).

Много карти включват различни видове(алгоритми) удостоверяване. В процеса на електронно разпознаване участват три страни: потребителят на картата, картата, крайното устройство (четец на карти). Удостоверяването е необходимо, за да може потребителят, терминалното устройство, в което е поставена картата, или софтуерното приложение, към което се съобщават параметрите на картата, да могат да извършват определени действия с данните, намиращи се на картата. Правилата за достъп се задават от разработчика на приложението при създаване на структури от данни на картата.

Електронни жетони

Сега в различни системи, които изискват идентификация на потребител или собственик, електронните токени (или така наречените устройства с токени) се използват широко като пропуски. Добре известен пример за такъв жетон е електронно „хапче“ (фиг. 8.4). „Таблетът” е изработен в кръгъл корпус от неръждаема стомана и съдържа чип с изписан уникален номер. Удостоверяването на потребителя се извършва след докосване на такъв "таблет" до специално устройство за контакт, обикновено свързано към серийния порт на компютъра. По този начин можете да разрешите достъп до помещенията, но можете също да разрешите работа на компютъра или да блокирате неоторизирани потребители да работят на компютъра.

За удобство "таблетът" може да бъде фиксиран върху ключодържател или притиснат в пластмасова обвивка.

В момента тези устройства се използват широко за управление на електромеханични брави (врати на стаи, порти, входни врати и др.). Въпреки това, тяхното "компютърно" използване също е доста ефективно.

И трите изброени групи ключове са пасивни по природа. Те не извършват никакви активни действия и не участват в процеса на удостоверяване, а само дават съхранения код. Това е основната им област.

Жетоните имат малко по-добра устойчивост на износване от магнитните карти.

Заключение

Следователно проблемът със защитата на банковата информация е твърде сериозен, за да може една банка да го пренебрегне. Напоследък в местните банки се наблюдават голям брой случаи на нарушаване на нивото на секретност. Пример е появата в публичното пространство на различни бази данни на CD-ROM дискове за търговски дружества и физически лица. На теория, законодателната рамказа гарантиране на защитата на банковата информация съществува у нас, но приложението й далеч не е съвършено. Досега не е имало случаи на наказване на банка за разкриване на информация, наказване на фирма за опит за получаване на поверителна информация.

Защитата на информацията в банката е сложна задача, която не може да бъде решена само в рамките на банкови програми. Ефективното внедряване на сигурността започва с избора и конфигурирането на операционни системи и мрежови системни инструменти, които поддържат работата на банковите програми. Сред дисциплинарните средства за осигуряване на защита трябва да се разграничат две направления: от една страна, това е минималната достатъчна информираност на потребителите на системата за особеностите на конструкцията на системата; от друга страна, наличието на многостепенни средства за идентификация на потребителите и контрол на техните права.

В различни точки от своето развитие ABS имаше различни защитни компоненти. IN руски условияПо отношение на нивото на защита повечето банкови системи трябва да бъдат класифицирани като системи от първо и второ ниво на сложност на защита:

1-во ниво - използване на софтуерни инструменти, предоставени от стандартни инструменти на операционни системи и мрежови програми;

2-ро ниво - използване на софтуер за сигурност, кодиране на информация, кодиране за достъп.

Обобщавайки всичко по-горе, стигнах до извода, че работейки в банковия сектор, трябва да сте сигурни, че корпоративната и търговската информация ще остане затворена. Въпреки това, трябва да се внимава не само за защита на документацията и друга производствена информация, но и за мрежовите настройки и параметрите на работа на мрежата на машината.

Задачата за защита на информацията в една банка е много по-трудна, отколкото в други организации. Решаването на такъв проблем включва планирането на организационни, системни мерки, които осигуряват защита. В същото време при планирането на защита трябва да се спазва мярка между необходимото ниво на защита и нивото, когато защитата започва да пречи на нормалната работа на персонала.

Приложение 1

Списък на персонала на типичен ASOIB и съответната степен на риск от всеки от тях:

1. Най-голям риск:системен контролер и администратор по сигурността.

2. Повишен риск:системен оператор, оператор за въвеждане и подготовка на данни, ръководител на обработка, системен програмист.

3. Среден риск:системен инженер, софтуерен мениджър.

4. Ограничен риск:програмист на приложения, комуникационен инженер или оператор, администратор на база данни, инженер на оборудване, оператор на периферно оборудване, библиотекар на системни магнитни медии, потребителски програмист, потребителски оператор.

5. Малък риск:инженер по периферно оборудване, потребител на библиотека на магнитни медии, потребител на мрежа.

Ориз. 1 магнитна карта

Ориз. 2 Проксимити карта

Ориз. 4 електронни жетони

Приложение 2

Статистика за загуби за Visa и MasterCard
	Дял в общите загуби, %
Измама на продавача
Откраднати карти
Фалшиви карти
Промяна на релефа на картата
Загубени карти
Неправилно приложение
Телефонна измама
Измама при препращане на поща
Пощенска измама
Кражба по време на доставка
Споразумение с картодържателя

Хоствано на Allbest.ru

Подобни документи

Видове умишлени заплахи за информационната сигурност. Методи и средства за защита на информацията. Методи и средства за осигуряване на информационната сигурност. Криптографски методи за защита на информацията. Комплексни средства за защита.

резюме, добавен на 17.01.2004

Проблемът с информационната сигурност. Характеристики на защитата на информацията в компютърните мрежи. Заплахи, атаки и канали за изтичане на информация. Класификация на методите и средствата за осигуряване на сигурност. Мрежова архитектура и нейната защита. Методи за мрежова сигурност.

дисертация, добавена на 16.06.2012г

Методи и средства за защита на информационните данни. Защита срещу неоторизиран достъп до информация. Характеристики на защитата на компютърните системи чрез криптографски методи. Критерии за оценка на сигурността на информацията компютърна технологияв европейските страни.

тест, добавен на 06.08.2010 г

Принципи на сигурност на електронните и лични плащания на физически лица в банки. Внедряване на технологии за трансфер и защита на информация; системен подход към развитието на софтуерната и хардуерната среда: кодиране на информация и достъп; криптиране, криптография.

резюме, добавен на 18.05.2013

Информационна сигурност на телекомуникационните системи. Проблеми, свързани с информационната сигурност. Технологията за анализ на сигурността, откриване на въздействието на нарушителя, защита на информацията от неоторизиран достъп, антивирусна защита. Формиране на банка данни.

резюме, добавен на 27.02.2009

Най-важните аспекти на осигуряването на информационна сигурност. Технически средства за обработка на информацията, нейните документационни носители. Типични начини за неоторизирано получаване на информация. Концепцията за електронен подпис. Защита на информацията от унищожаване.

резюме, добавен на 14.07.2015

Методи и средства за защита на информацията от неоторизиран достъп. Характеристики на защитата на информацията в компютърните мрежи. Криптографска защита и електронен цифров подпис. Методи за защита на информацията от компютърни вируси и хакерски атаки.

резюме, добавен на 23.10.2011

Информационна сигурност, компоненти на системата за защита. дестабилизиращи фактори. Класификация на заплахите за информационната сигурност според източника на възникване, според естеството на целите. Начини за тяхното прилагане. Нива на защита на информацията. Етапи на създаване на защитни системи.

презентация, добавена на 22.12.2015

Развитие на нови информационни технологии и обща компютъризация. Информационна сигурност. Класификация на умишлените заплахи за информационната сигурност. Методи и средства за защита на информацията. Криптографски методи за защита на информацията.

курсова работа, добавена на 17.03.2004

Основни понятия за защита на информацията и информационна сигурност. Класификация и съдържание, източници и предпоставки за възникване на възможни заплахи за информацията. Основните направления на защита срещу информационни оръжия (удар), услуги за мрежова сигурност.