Protecția informațiilor în sistemele bancare. Securitatea informațiilor băncii

În sectorul bancar, inițial a apărut o problemă legată de confidențialitatea informațiilor, stocarea și protecția acestora. Securitatea datelor instituțiilor bancare joacă un rol important în afaceri, deoarece concurenții și criminalii sunt mereu interesați de astfel de informații și depun toate eforturile pentru a le realiza. Pentru a evita acest tip de probleme, trebuie să învățați cum să protejați datele bancare. Pentru ca protecția informațiilor bancare să fie eficientă, este necesar, în primul rând, să se țină cont de toate modalități posibile scurgeri de informații. Și anume: verificați cu atenție datele persoanelor în selecția personalului, verificați datele biografice ale acestora și posturile anterioare.

Securitatea informațiilor instituțiilor bancare

Toate datele informaționale prelucrate de organizațiile bancare și de credit sunt în pericol. Acestea sunt atât date despre clienți, cât și date despre activitatea directă a băncilor, bazele de date ale acestora și așa mai departe. Cert este că astfel de informații pot fi utile atât concurenților, cât și persoanelor implicate în activități criminale. Acțiunile lor, în comparație cu problemele care apar din cauza unei infecții cu virus a echipamentelor sau a defecțiunilor sistemelor de operare, aduc daune cu adevărat enorme organizațiilor de acest fel.

Protecția serverelor bancare și a rețelelor locale împotriva intrușilor și a accesului neautorizat la materialele companiei este pur și simplu necesară în societatea extrem de competitivă de astăzi.

Securitatea informațională a sistemelor instituțiilor bancare este importantă deoarece garantează confidențialitatea datelor despre clienții băncii. Efectuarea zilnică a backup-urilor, care este efectuată de organizații, reduce riscul pierderii complete a informațiilor importante. În plus, au fost dezvoltate metode pentru a proteja datele împotriva amenințărilor legate de accesul neautorizat. O scurgere a acestui tip de informații poate apărea ca urmare a muncii atât a serviciilor de spionaj special trimise organizației, cât și a angajaților care lucrează de mult timp și au decis să facă bani din furtul proprietății informaționale a băncii. Siguranța este asigurată datorită muncii profesioniștilor și specialiștilor care își cunosc afacerea.

Protecția clienților este unul dintre cei mai importanți indicatori care afectează reputația băncii în ansamblu, inclusiv veniturile organizației. Deoarece doar recenziile bune vor ajuta banca să atingă un nivel ridicat de servicii și să depășească concurenții.

Acces neautorizat la informațiile sistemelor bancare

Una dintre cele mai obișnuite modalități de a fura informații bancare este utilizarea backup-urilor, eliminarea datelor de pe mediile de stocare sau simularea hacking-ului, dar nu cu scopul de a sustrage bunuri materiale, ci pentru a obține acces la informații de pe server. Deoarece backup-urile sunt de obicei stocate în locații separate pe unitățile de bandă, copiile pot fi făcute în timp ce sunt transportate la destinație. De aceea, angajații care sunt angajați pentru o astfel de muncă sunt verificați cu atenție prin diverse organisme guvernamentale pentru un cazier judiciar, probleme cu legea din trecut, inclusiv fiabilitatea informațiilor furnizate despre tine. Prin urmare, nu trebuie subestimată o astfel de posibilitate de furt de informații bancare, deoarece practica mondială este plină de astfel de cazuri.

De exemplu, în 2005, bazele de date cu postări au fost scoase la vânzare Banca centrala Federația Rusă. Este posibil ca aceste informații să fi fost scurse în afara organizației bancare tocmai din cauza securității insuficiente a sistemelor bancare. O situație similară s-a întâmplat de mai multe ori în companiile de renume mondial din Statele Unite ale Americii, a căror securitate a informațiilor a avut mult de suferit din cauza asta.

Interviu cu șeful de securitate bancară:

Mai mult, o altă modalitate prin care informațiile pot fi scurse din sisteme este prin intermediul angajaților băncii dornici să facă bani din ea. În ciuda faptului că, în majoritatea cazurilor, accesul neautorizat la informațiile sistemelor bancare se face doar pentru a avea posibilitatea de a lucra acasă, ele sunt motivul diseminării informațiilor care sunt confidențiale. În plus, aceasta este o încălcare directă a politicii de securitate a sistemelor organizațiilor bancare.

De asemenea, trebuie avut în vedere faptul că în orice bancă există persoane care au privilegii semnificative de acces la astfel de date. Aceștia sunt de obicei administratori de sistem. Pe de o parte, aceasta este o necesitate de producție, care face posibilă îndeplinirea sarcinilor oficiale, iar pe de altă parte, o pot folosi în scopuri proprii și, în același timp, sunt capabile să-și „acopere urmele” profesional.

Modalități de reducere a riscului de scurgere de informații

Protecția informațiilor bancare împotriva accesului neautorizat include de obicei cel puțin 3 componente. Fiecare dintre aceste componente ajută la asigurarea siguranței băncilor din zona în care este utilizată. Aceasta include protecția împotriva accesului fizic, backup-urile și protecția împotriva persoanelor din interior.

Deoarece băncile acordă o atenție deosebită accesului fizic și încearcă să excludă în mod fundamental posibilitatea unui acces neautorizat, ele trebuie să utilizeze instrumente și metode speciale pentru criptarea și codificarea informațiilor importante. Deoarece băncile au sisteme și instrumente similare pentru protejarea datelor, este mai bine să folosiți protecții criptografice. Ele ajută la păstrarea informațiilor comerciale, precum și la reducerea riscurilor unor astfel de situații. Cel mai bine este să stocați informațiile în formă criptată, folosind principiul criptării transparente, care ajută la reducerea costului de protecție a informațiilor și, de asemenea, elimină necesitatea decriptării și criptării datelor în mod constant.

Având în vedere faptul că toate datele sistemelor bancare sunt de fapt banii clienților, trebuie acordată atenția cuvenită siguranței acestora. O modalitate este de a determina dacă există sectoare defecte pe hard disk. Funcția de anulare sau întrerupere a procesului joacă un rol important în criptarea inițială, criptarea, decriptarea și re-criptarea discului. O astfel de procedură are o durată lungă și, prin urmare, orice eșec poate duce la o pierdere completă a informațiilor. Cel mai sigur mod de a stoca cheile și sistemele de criptare este cu carduri inteligente sau chei USB.

Protecția sistemelor informaționale este realizată mai eficient datorită utilizării nu numai a streamer-urilor, ci și a hard disk-urilor amovibile, a suporturilor DVD și a altor lucruri. Utilizarea complexă a mijloacelor de protecție împotriva pătrunderii fizice în sursele de informații crește șansele de siguranță și inviolabilitate a acestuia față de concurenți și intruși.

Urmăriți acest videoclip pentru a afla despre pașii pe care ar trebui să îi urmați:

Metode de protejare a sistemelor informatice de persoane din interior

Practic, furtul de informații are loc cu ajutorul mediilor mobile, diverselor dispozitive USB, unităților de disc, cardurilor de memorie și altor dispozitive mobile. Prin urmare, una dintre deciziile corecte este interzicerea utilizării unor astfel de dispozitive la locul de muncă. Tot ceea ce este necesar este conținut pe servere și atent monitorizat de unde și de unde sunt transmise informațiile în mediul bancar. În plus, în cazuri extreme, doar acele suporturi achiziționate de companie au voie să fie utilizate. Puteți seta restricții speciale care împiedică computerul să recunoască mediile terță parte și cardurile de memorie.

Protecția informațiilor este una dintre cele mai importante sarcini ale organizațiilor bancare, necesară pentru funcționarea eficientă. Piața modernă are mari oportunități pentru implementarea acestor planuri. Blocarea computerelor și a porturilor - conditie esentiala, care trebuie respectat pentru a proteja sistemele în mod mai fiabil.

Nu trebuie uitat că persoanele care furt de date sunt familiarizate și cu un set de sisteme care protejează informațiile comerciale și le pot ocoli cu ajutorul specialiștilor. Pentru a preveni apariția unor astfel de riscuri, trebuie să lucrați constant la îmbunătățirea securității și să încercați să utilizați sisteme de protecție îmbunătățite.

Strategia de securitate a informațiilor a băncilor este foarte diferită de strategiile similare ale altor companii și organizații. Acest lucru se datorează în primul rând naturii specifice a amenințărilor, precum și activităților publice ale băncilor, care sunt forțate să faciliteze accesul la conturi, de dragul confortului clienților.

O companie obișnuită își construiește securitatea informațiilor bazată numai pe o gamă restrânsă de potențiale amenințări - în principal protecția informațiilor față de concurenți (în realitățile ruse, sarcina principală este de a proteja informațiile de autoritățile fiscaleși comunitatea infracțională pentru a reduce probabilitatea unei creșteri necontrolate a plăților fiscale și a racketului). Astfel de informații sunt de interes doar pentru un cerc restrâns de persoane și organizații interesate și sunt rareori lichide, de exemplu. convertibil în numerar.

Securitatea informațiilor băncii ar trebui să țină cont de următorii factori specifici:

1. Stocat și procesat în sisteme bancare informația reprezintă bani reali. Pe baza informațiilor informatice se pot face plăți, se pot deschide împrumuturi și se pot transfera sume importante. Este destul de clar că manipularea ilegală a unor astfel de informații poate duce la pierderi grave. Această caracteristică extinde dramatic cercul infractorilor care invadează băncile în mod specific (spre deosebire, de exemplu, de companiile industriale, ale căror informații din interior nu interesează pe nimeni).

2. Informațiile din sistemele bancare afectează interesele unui număr mare de persoane și organizații – clienții băncilor. De regulă, este confidențial, iar banca este responsabilă pentru furnizarea gradului de secret necesar clienților săi. Desigur, clienții au dreptul să se aștepte ca banca să aibă grijă de interesele lor, altfel își riscă reputația cu toate consecințele care decurg.

3. Competitivitatea băncii depinde de cât de convenabil este pentru client să lucreze cu banca, precum și de cât de largă este gama de servicii oferite, inclusiv servicii legate de accesul la distanță. Prin urmare, clientul ar trebui să-și poată gestiona banii rapid și fără proceduri obositoare. Dar această ușurință de acces la bani crește probabilitatea intruziunii criminale în sistemele bancare.

4. Securitatea informațională a unei bănci (spre deosebire de majoritatea companiilor) trebuie să asigure o fiabilitate ridicată a sistemelor informatice chiar și în situații de urgență, întrucât banca este responsabilă nu doar de fondurile proprii, ci și de banii clienților.

5. Banca păstrează Informații importante despre clienții lor, ceea ce extinde cercul potențialilor intruși interesați să fure sau să deterioreze astfel de informații.

Crimele din sectorul bancar au, de asemenea, caracteristici proprii:

Multe infracțiuni comise în sectorul financiar rămân necunoscute publicului larg datorită faptului că managerii băncilor nu vor să-și deranjeze acționarii, le este frică să-și expună organizația la noi atacuri, le este frică să-și deterioreze reputația de magazin de încredere. de fonduri și, ca urmare, pierd clienți.

De regulă, atacatorii folosesc de obicei propriile conturi, către care sunt transferate sumele furate. Majoritatea criminalilor nu știu cum să spele banii furați. Capacitatea de a comite o infracțiune și capacitatea de a obține bani nu sunt același lucru.

Majoritatea infracțiunilor informatice sunt mărunte. Prejudiciul cauzat de ei se situează în intervalul de la 10.000 la 50.000 de dolari.

Crimele informatice de succes necesită de obicei o cantitate mare de operațiuni bancare(până la câteva sute). Cu toate acestea, sume mari pot fi transferate în doar câteva tranzacții.

Majoritatea intrușilor sunt funcționari. Deși personalul de rang înalt al băncii poate comite infracțiuni și poate cauza mult mai multe daune băncii, astfel de cazuri sunt rare.

Crimele informatice nu sunt întotdeauna de înaltă tehnologie. Este suficientă falsificarea datelor, modificarea parametrilor mediului ASOIB etc., iar aceste acțiuni sunt disponibile și personalului de întreținere.

Mulți atacatori își explică acțiunile prin faptul că doar se împrumută de la bancă cu o rambursare ulterioară. Cu toate acestea, „întoarcerea”, de regulă, nu are loc.

Specificul protecției sistemelor automate de procesare a informațiilor ale băncilor (ASOIB) se datorează particularităților sarcinilor pe care le rezolvă:

De regulă, ASOIB procesează un flux mare de solicitări care sosesc constant în timp real, fiecare dintre acestea nu necesită numeroase resurse pentru procesare, dar toate împreună pot fi procesate doar de un sistem performant;

ASOIB stochează și prelucrează informații confidențiale care nu sunt destinate publicului larg. Falsificarea sau scurgerea acestuia poate duce la consecințe grave (pentru bancă sau clienții săi). Prin urmare, ASOIB sunt sortite să rămână relativ închise, să opereze sub controlul unor programe specifice și să acorde o mare atenție asigurării securității acestora;

O altă caracteristică a ASOIB este cerințele crescute pentru fiabilitatea hardware și software. Din această cauză, multe ASOIB moderne gravitează spre așa-numita arhitectură de computer tolerantă la erori, care permite procesarea continuă a informațiilor chiar și în fața diferitelor defecțiuni și defecțiuni.

Există două tipuri de sarcini rezolvate de ASOIB:

1. Analitice. Acest tip include sarcini de planificare, analiza conturilor etc. Acestea nu sunt imediate și pot dura mult timp pentru a se rezolva, iar rezultatele lor pot afecta politica băncii în raport cu un anumit client sau proiect. Prin urmare, subsistemul, cu ajutorul căruia se rezolvă sarcinile analitice, trebuie izolat în mod fiabil de sistemul principal de procesare a informațiilor. Rezolvarea unor astfel de probleme de obicei nu necesită resurse de calcul puternice, de obicei 10-20% din puterea întregului sistem este suficientă. Totuși, având în vedere valoarea posibilă a rezultatelor, protecția acestora trebuie să fie permanentă.

2. Casual. Acest tip include sarcini care sunt rezolvate în activitățile zilnice, în primul rând efectuarea de plăți și ajustarea conturilor. Ei sunt cei care determină dimensiunea și puterea sistemului principal al băncii; soluția lor necesită de obicei mult mai multe resurse decât sarcinile analitice. În același timp, valoarea informațiilor prelucrate în rezolvarea unor astfel de probleme este temporară. Treptat, valoarea informațiilor, de exemplu, despre executarea unei plăți, devine irelevantă. Desigur, acest lucru depinde de mulți factori, cum ar fi: suma și timpul plății, numărul de cont, caracteristicile suplimentare etc. Prin urmare, de obicei este suficient să se asigure protecția plății în momentul executării acesteia. În același timp, protecția procesului de prelucrare în sine și a rezultatelor finale trebuie să fie constantă.

Ce fel de măsuri de protecție pentru sistemele de prelucrare a informațiilor preferă experții străini? La această întrebare se poate răspunde folosind rezultatele unui sondaj realizat de Datapro Information Group în 1994 în rândul băncilor și instituțiilor financiare:

82% dintre respondenți au o politică de securitate a informațiilor formulată. Față de 1991, procentul organizațiilor cu o politică de securitate a crescut cu 13%.

Alți 12% dintre cei chestionați plănuiesc să dezvolte o politică de securitate. Se exprimă clar următoarea tendință: organizațiile cu un număr mare de personal preferă să aibă o politică de securitate dezvoltată într-o măsură mai mare decât organizațiile cu un număr mic de personal. De exemplu, conform acestui sondaj, doar 66% dintre organizațiile cu mai puțin de 100 de angajați au o politică de securitate, în timp ce pentru organizațiile cu peste 5.000 de angajați, ponderea unor astfel de organizații este de 99%.

În 88% dintre organizațiile care au o politică de securitate a informațiilor, există o unitate specială care este responsabilă de implementarea acesteia. În acele organizații care nu întrețin o astfel de unitate, aceste funcții sunt atribuite în principal administratorului de sistem (29%), managerului sistemului informatic (27%) sau serviciului de securitate fizică (25%). Aceasta înseamnă că există tendința de a separa angajații responsabili cu securitatea computerelor într-o unitate specială.

În ceea ce privește protecția, o atenție deosebită este acordată protecției rețelelor de calculatoare (90%), computerelor mari (82%), recuperării informațiilor în urma accidentelor și dezastrelor (73%), protecției împotriva virușilor informatici (72%), protejării computerelor personale (69). %).

Putem trage următoarele concluzii despre caracteristicile protecției informațiilor în străinătate sistemele financiare :

Principalul lucru în protejarea organizațiilor financiare este recuperarea promptă și, dacă este posibil, completă a informațiilor după accidente și eșecuri. Aproximativ 60% dintre respondenți institutii financiare au un plan de recuperare care este revizuit anual în peste 80% dintre ele. Practic, protecția informațiilor împotriva distrugerii se realizează prin crearea de copii de rezervă și stocarea acestora în exterior, folosind surse de alimentare neîntreruptibile și organizarea unei rezerve „fierbinte” de hardware.

Următoarea problemă cea mai importantă pentru instituțiile financiare este gestionarea accesului utilizatorilor la informațiile stocate și procesate. Aici sunt utilizate pe scară largă diverse sisteme software de control al accesului, care uneori pot înlocui software-ul antivirus. Se utilizează în mare parte software-ul de control al accesului achiziționat. Mai mult, în instituțiile financiare, o atenție deosebită este acordată unei astfel de gestionări a utilizatorilor în rețea. Cu toate acestea, controalele de acces certificate sunt extrem de rare (3%). Acest lucru poate fi explicat prin faptul că software-ul certificat este dificil de utilizat și extrem de costisitor de utilizat. Acest lucru se datorează faptului că parametrii de certificare au fost elaborați ținând cont de cerințele pentru sistemele militare.

Diferențele în organizarea protecției rețelelor de calculatoare în organizațiile financiare includ utilizarea pe scară largă a software-ului comercial standard (adică adaptat, dar nu special dezvoltat pentru o anumită organizație) pentru controlul accesului la rețea (82%), protecția punctelor de conectare la sistem prin intermediul liniilor de comunicații dial-up (69%). Cel mai probabil, acest lucru se datorează prevalenței mai mari a telecomunicațiilor în sectorul financiar și dorinței de a se proteja de interferențele externe. Alte metode de protecție, precum utilizarea instrumentelor antivirus, criptarea end-to-end și canal a datelor transmise, autentificarea mesajelor, sunt utilizate aproximativ în același mod și, practic (cu excepția instrumentelor antivirus) , în mai puțin de 50% dintre organizațiile chestionate.

O mare atenție în instituțiile financiare este acordată protecției fizice a spațiilor în care se află calculatoarele (aproximativ 40%). Aceasta înseamnă că protecția computerelor împotriva accesului de către persoane neautorizate se rezolvă nu numai cu ajutorul software-ului, ci și organizatoric și tehnic (securitate, încuietori cu combinație etc.).

Criptarea informațiilor locale este folosită de puțin peste 20% dintre instituțiile financiare. Motivele pentru aceasta sunt complexitatea distribuirii cheilor, cerințe stricte pentru performanța sistemului, precum și necesitatea recuperării prompte a informațiilor în cazul defecțiunilor și defecțiunilor echipamentelor.

O atenție semnificativ mai mică în organizațiile financiare este acordată protecției liniilor telefonice (4%) și utilizării computerelor concepute pentru a îndeplini cerințele standardului Tempest (protecție împotriva scurgerilor de informații prin radiații electromagnetice și canale de interferență). În organizațiile de stat, se acordă mult mai multă atenție rezolvării problemei de contracarare a primirii de informații folosind radiații electromagnetice și pickup-uri.

O analiză a statisticilor ne permite să tragem o concluzie importantă: protecția organizațiilor financiare (inclusiv a băncilor) este construită oarecum diferit față de organizațiile comerciale și guvernamentale obișnuite. Prin urmare, pentru a proteja ASOIB, nu pot fi aplicate aceleași soluții tehnice și organizatorice care au fost dezvoltate pentru situații standard. Nu puteți copia fără minte sistemele altora - au fost dezvoltate pentru alte condiții.

Sistemul de securitate a informațiilor al băncilor este foarte diferit de strategiile similare ale altor companii și organizații. Acest lucru se datorează în primul rând naturii specifice a amenințărilor, precum și activităților publice ale băncilor, care sunt nevoite să faciliteze accesul la conturi pentru confortul clienților.

Odată cu dezvoltarea și extinderea domeniului de aplicare a tehnologiei informatice, acuitatea problemei asigurării securității sistemelor informatice și protejării informațiilor stocate și procesate în acestea de diferite amenințări este în creștere. Există o serie de motive obiective pentru aceasta.

Principalul este nivelul crescut de încredere în sistemele automate de procesare a informațiilor. Li se încredințează cea mai responsabilă muncă, de a cărei calitate depinde viața și bunăstarea multor oameni. controlul calculatorului procese tehnologice la întreprinderi și centrale nucleare, mișcările aeronavelor și trenurilor, efectuează operațiuni financiare, procesează informații secrete.

Sunt cunoscute diferite opțiuni pentru protejarea informațiilor - de la un agent de securitate la intrare până la metode verificate matematic de a ascunde datele de la cunoștință. În plus, putem vorbi despre protecția globală și aspectele sale individuale: protecția calculatoarelor personale, rețelelor, bazelor de date etc.

Trebuie remarcat faptul că nu există sisteme absolut sigure. Putem vorbi despre fiabilitatea sistemului, în primul rând, doar cu o anumită probabilitate și, în al doilea rând, despre protecția față de o anumită categorie de contravenienți. Cu toate acestea, pot fi prevăzute intruziuni într-un sistem informatic. Apărarea este un fel de competiție între apărare și atac: câștigă cine știe mai multe și prevede măsuri eficiente.

Organizarea protecției sistemului automatizat de prelucrare a informațiilor al băncii este un singur set de măsuri care ar trebui să țină cont de toate caracteristicile procesului de prelucrare a informațiilor. În ciuda inconvenientelor cauzate utilizatorului în timpul funcționării, în multe cazuri, măsurile de protecție pot fi absolut necesare pentru funcționarea normală a sistemului. Principalele inconveniente menționate ar trebui să includă Gaikovich Yu.V., Pershin A.S. Securitatea sistemelor bancare electronice.-M.: United Europe, 1994.- S..33:

1. Dificultăți suplimentare în lucrul cu majoritatea sistemelor securizate.
2. Creșterea costului unui sistem securizat.
3. Încărcare suplimentară asupra resurselor sistemului, care va necesita o creștere a timpului de lucru pentru a finaliza aceeași sarcină din cauza accesului mai lent la date și a execuției operațiunilor în general.
4. Necesitatea de a atrage personal suplimentar responsabil cu menținerea sănătății sistemului de protecție.

Este greu de imaginat o bancă modernă fără un sistem informatic automatizat. Conectarea computerelor între ele și cu calculatoare mai puternice, precum și cu computerele altor bănci - de asemenea conditie necesara succesul băncii – numărul operațiunilor care trebuie efectuate într-o perioadă scurtă de timp este prea mare.

În același timp, sistemele informaționale devin una dintre cele mai vulnerabile părți. bancă modernă, atrăgând intruși, atât din rândul personalului băncii, cât și din exterior. Estimările pierderilor din infracțiunile legate de interferența în activitățile sistemului informațional al băncilor variază foarte mult. Există o varietate de metode pentru calcularea lor. Furtul mediu electronic de bancă este de aproximativ 9.000 de dolari, iar unul dintre cele mai notorii scandaluri implică o încercare de a fura 700 de milioane de dolari (First National Bank, Chicago).

În plus, este necesar să se țină seama nu numai de cantitatea daunelor directe, ci și de măsurile foarte costisitoare care sunt efectuate după încercări reușite de a pirata sistemele informatice. Așadar, unul dintre exemplele cele mai izbitoare este pierderea datelor privind activitatea cu conturile secrete ale Băncii Angliei în ianuarie 1999. Această pierdere a forțat banca să schimbe codurile tuturor conturilor corespondente. În acest sens, toate forțele de informații și contrainformații disponibile au fost alertate în Marea Britanie pentru a preveni o posibilă scurgere de informații care ar putea cauza pagube enorme. Guvernul a luat măsuri extreme pentru ca străinii să nu cunoască conturile și adresele către care Banca Angliei trimite zilnic sute de miliarde de dolari. Mai mult, în Marea Britanie le era mai mult frică de o situație în care datele ar putea fi la dispoziția serviciilor de informații străine. În acest caz, ar fi fost deschisă întreaga rețea de corespondenți financiari a Băncii Angliei. Posibilitatea de deteriorare a fost eliminată în câteva săptămâni.

Adzhiev V. Mituri despre securitatea software-ului: lecții din dezastre celebre//Sisteme deschise.-1999. -- №6.-- C..21-24

Serviciile oferite astăzi de bănci se bazează în mare măsură pe utilizarea interacțiunii electronice între bănci, bănci și clienții și partenerii lor comerciali. În prezent, accesul la serviciile bancare a devenit posibil din diferite puncte de la distanță, inclusiv terminale de acasă și computere de birou. Acest fapt ne face să ne îndepărtăm de conceptul de „uși încuiate”, care era tipic băncilor în anii ’60, când calculatoarele erau folosite în majoritatea cazurilor în modul batch ca instrument auxiliar și nu aveau nicio legătură cu lumea exterioară.

Nivelul echipamentului cu instrumente de automatizare joaca un rol important in activitatile bancii si, prin urmare, afecteaza direct pozitia si veniturile acesteia. Creșterea concurenței între bănci duce la necesitatea reducerii timpului de efectuare a decontărilor, măririi gamei și îmbunătățirii calității serviciilor oferite. Cu cât vor dura mai puțin timp decontările dintre bancă și clienți, cu atât va fi mai mare cifra de afaceri a băncii și, în consecință, profitul. În plus, banca va putea răspunde mai rapid la schimbările din situația financiară. O varietate de servicii bancare (în primul rând, aceasta se referă la posibilitatea plăților fără numerar între bancă și clienții săi folosind carduri de plastic) pot crește semnificativ numărul clienților săi și, ca urmare, pot crește profiturile.

Securitatea informațiilor băncii ar trebui să țină cont de următorii factori specifici:

1. Informațiile stocate și procesate în sistemele bancare sunt bani reali. Pe baza informațiilor informatice se pot face plăți, se pot deschide împrumuturi și se pot transfera sume importante. Este destul de clar că manipularea ilegală a unor astfel de informații poate duce la pierderi grave. Această caracteristică extinde dramatic cercul infractorilor care invadează băncile în mod specific (spre deosebire, de exemplu, de companiile industriale, ale căror informații din interior nu interesează pe nimeni).
2. Informațiile din sistemele bancare afectează interesele unui număr mare de persoane și organizații – clienții băncilor. De regulă, este confidențial, iar banca este responsabilă pentru furnizarea gradului de secret necesar clienților săi. Desigur, clienții au dreptul să se aștepte ca banca să aibă grijă de interesele lor, altfel își riscă reputația cu toate consecințele care decurg.
3. Competitivitatea băncii depinde de cât de convenabil este pentru client să lucreze cu banca, precum și de cât de largă este gama de servicii oferite, inclusiv servicii legate de accesul la distanță. Prin urmare, clientul ar trebui să-și poată gestiona banii rapid și fără proceduri obositoare. Dar această ușurință de acces la bani crește probabilitatea intruziunii criminale în sistemele bancare.
4. Securitatea informațională a unei bănci (spre deosebire de majoritatea companiilor) trebuie să asigure o fiabilitate ridicată a sistemelor informatice chiar și în situații de urgență, întrucât banca este responsabilă nu doar de fondurile proprii, ci și de banii clienților.
5. Banca stochează informații importante despre clienții săi, ceea ce extinde cercul potențialilor intruși interesați să fure sau să deterioreze astfel de informații.

Infracțiunile din sectorul bancar au și ele caracteristici proprii Gamza V.A. , Tkachuk I.B. Securitatea unei bănci comerciale.- M ..: Europa Unită, 2000.- C..24:

Majoritatea infracțiunilor informatice sunt mărunte. Prejudiciul cauzat de ei se situează în intervalul de la 10.000 la 50.000 de dolari.

Crimele informatice de succes necesită de obicei un număr mare de tranzacții bancare (până la câteva sute). Cu toate acestea, sume mari pot fi transferate în doar câteva tranzacții.

Majoritatea intrușilor sunt funcționari. Deși personalul de rang înalt al băncii poate comite infracțiuni și poate cauza mult mai multe daune băncii, astfel de cazuri sunt rare.

Mulți atacatori își explică acțiunile prin faptul că doar se împrumută de la bancă cu o rambursare ulterioară. Cu toate acestea, „întoarcerea”, de regulă, nu are loc.

Specificul protecției sistemelor automate de procesare a informațiilor ale băncilor se datorează particularităților sarcinilor pe care le rezolvă:

De regulă, ASOIB procesează un flux mare de solicitări care sosesc constant în timp real, fiecare dintre acestea nu necesită numeroase resurse pentru procesare, dar împreună pot fi procesate doar de un sistem performant;

O altă caracteristică a ASOIB este cerințele crescute pentru fiabilitatea software-ului și hardware-ului. Din această cauză, multe ASOIB moderne gravitează spre așa-numita arhitectură de computer tolerantă la erori, care permite procesarea continuă a informațiilor chiar și în fața diferitelor defecțiuni și defecțiuni.

Utilizarea ASOI de către bănci este asociată cu specificul protecției acestor sisteme, așa că băncile ar trebui să acorde mai multă atenție protecției sistemelor lor automatizate.

Concluzii la primul capitol:

1. JSCB „Globex” este o organizație financiară mare și, prin urmare, este de mare interes pentru infractorii echipați tehnic. Întărirea grupurilor infracționale organizate, creșterea puterii lor financiare și a dotării tehnice dau motive de a crede că tendința de creștere a numărului de încercări de pătrundere în sistemele automatizate ale băncilor va continua.
2. Ținând cont de sarcinile stabilite de conducere pentru Globex JSCB, se poate concluziona că serviciile relevante ale băncii vor trebui să depună multe eforturi pentru a asigura securitatea ASIS-ului băncii, având în vedere specificul activității acesteia.
3. În JSCB „Globex” este necesar să se determine și să prezică posibile amenințări pentru justificarea, selectarea și implementarea măsurilor de protecție pentru protejarea ASOI.
4. De la informatizare bancar devine din ce în ce mai răspândită, iar toate băncile interacționează între ele prin intermediul computerelor, atunci Serviciul de Securitate al Băncii Globex ar trebui să acorde mai multă atenție protecției informațiilor informatice din bancă.

Banca de date face parte din orice sistem automatizat, cum ar fi CAD, APCS, APCS etc. Scopul băncii de date este de a menține model informativîntr-o stare extrem de importantă și oferind solicitări utilizatorilor. Acest lucru necesită să fie efectuate trei operațiuni pe banca de date: activare, ștergere, modificare. Aceste operațiuni asigură stocarea și modificarea datelor.

Odată cu dezvoltarea unui sistem automatizat, compoziția obiectelor din domeniul subiectului se modifică, conexiunile dintre ele se schimbă. Toate acestea ar trebui să se reflecte în sistemul informațional. Astfel, organizarea băncii de date trebuie să fie flexibilă. Să arătăm locul băncii de date în sistemul automatizat.

Când proiectați o bancă de date, este extrem de important să luați în considerare două aspecte ale furnizării cererilor utilizatorilor.

1) Definirea limitelor unui domeniu specific și dezvoltarea unui model informațional. Rețineți că banca de date ar trebui să ofere informații întregului sistem atât în prezent, cât și în viitor, ținând cont de dezvoltarea acestuia.

2) Dezvoltarea unei bănci de date ar trebui să se concentreze pe deservirea eficientă a cererilor utilizatorilor. În acest sens, este extrem de important să analizăm tipurile și tipurile de solicitări ale utilizatorilor. De asemenea, este extrem de importantă analiza sarcinilor funcționale ale unui sistem automatizat pentru care această bancă va fi o sursă de informații.

Utilizatorii băncii de date diferă în următoarele moduri:

· pe baza constanţei comunicării cu banca.

Utilizatori : permanent și o dată ;

Nivel de permisiune. O parte din date trebuie protejată;

sub forma cererilor. Cererile pot fi date de programatori, non-programatori, utilizatori de sarcini.

Datorită eterogenității mari a utilizatorilor, banca de date oferă un instrument special care vă permite să aduceți toate interogările într-o singură terminologie. Acest instrument se numește Dicționar de date.

Să ne evidențiem cerințe primare la care trebuie răspuns banca de date de la utilizatori externi . Banca de date ar trebui:

1. Oferiți capacitatea de a stoca și modifica volume mari de informații multidimensionale. Satisfaceți cerințele actuale și emergente ale utilizatorilor.

Oferiți niveluri specificate de fiabilitate și coerență informațiilor stocate.

3. Oferiți acces la date numai acelor utilizatori care au autoritatea corespunzătoare.

4. Oferiți capacitatea de a căuta informații despre un grup arbitrar de caracteristici.

5. Satisfaceți cerințele de performanță specificate atunci când procesați cererile.

6. Să aibă capacitatea de a se reorganiza și extinde atunci când se schimbă limitele domeniului subiectului.

7. Furnizați informații utilizatorului sub diferite forme.

8. Oferiți capacitatea de a servi simultan un număr mare de utilizatori externi.

Pentru a îndeplini aceste cerințe, este esențial să se introducă managementul centralizat al datelor.

Să ne evidențiem principalele avantaje ale managementului centralizat date comparativ cu software-ul utilizat anterior.

1) Reducerea redundanței datelor stocate. Datele care sunt utilizate de mai multe aplicații sunt structurate (integrate) și stocate într-o singură copie.

2) Eliminarea inconsecvenței datelor stocate. Datorită neredundantei datelor, se elimină situația când, atunci când un dat este schimbat efectiv, acesta pare a fi modificat nu în toate înregistrările.

3) Utilizarea datelor cu mai multe aspecte cu o singură intrare.

4) Optimizare cuprinzătoare bazată pe analiza cerințelor utilizatorilor. Sunt alese structuri de date care oferă cel mai bun serviciu.

5) Asigurarea posibilitatii de standardizare. Acest lucru facilitează schimbul de date cu alte sisteme automatizate, precum și procedurile de monitorizare și recuperare a datelor.

6) Asigurarea posibilității de acces autorizat la date, ᴛ.ᴇ. disponibilitatea mecanismelor de protecție a datelor.

Trebuie subliniat faptul că principala problemă a managementului centralizat al datelor este asigurarea independenței programelor de aplicație față de date. Acest lucru se explică prin faptul că integrarea datelor, optimizarea structurilor de date necesită modificări în reprezentarea stocată a datelor și în metoda de acces la date.

Concluzie: Principala trăsătură distinctivă a băncii de date este prezența managementului centralizat al datelor.

Capitolul 1. Caracteristici ale securității informațiilor băncilor.

Ordinul lui Rosstandart din 28 martie 2018 nr. 156-st „Cu privire la aprobarea standardului național al Federației Ruse”

Ordinul lui Rosstandart din 8 august 2017 nr. 822-st „Cu privire la aprobarea standardului național al Federației Ruse”

Obiectivele principale ale implementării Standardului „Asigurarea securității informațiilor organizațiilor din sistemul bancar al Federației Ruse. Dispoziții generale” STO BR IBBS-1.0 (denumit în continuare Standard):

creșterea încrederii în sistemul bancar al Federației Ruse;
creșterea stabilității funcționării organizațiilor sistemului bancar al Federației Ruse și, pe această bază, a stabilității funcționării sistemului bancar al Federației Ruse în ansamblu;
realizarea adecvării măsurilor de protecţie împotriva amenințări reale securitatea informațiilor;
prevenirea și (sau) reducerea daunelor cauzate de incidentele de securitate a informațiilor.

Obiectivele principale ale standardului:

stabilirea cerințelor uniforme pentru asigurarea securității informațiilor organizațiilor din sistemul bancar al Federației Ruse;
creșterea eficacității măsurilor de asigurare și menținere a securității informațiilor organizațiilor din sistemul bancar al Federației Ruse.

Protecția informațiilor în sistemele de internet de plată electronică

Sistem de plată prin internet este un sistem de desfășurare a decontărilor între organizațiile financiare, de afaceri și utilizatorii de Internet în procesul de cumpărare/vânzare de bunuri și servicii prin Internet. Este sistemul de plată care vă permite să transformați un serviciu de procesare a comenzii sau o vitrină electronică într-un magazin cu drepturi depline, cu toate atributele standard: selectând un produs sau serviciu pe site-ul vânzătorului, cumpărătorul poate efectua o plată fără a părăsi calculator.

În sistemul de comerț electronic, plățile sunt efectuate cu o serie de condiții:

1. Respectul pentru confidențialitate. Atunci când efectuează plăți prin Internet, cumpărătorul dorește ca datele sale (de exemplu, numărul cardului de credit) să fie cunoscute doar de organizațiile care au dreptul legal de a face acest lucru.

2. Menținerea integrității informațiilor. Informațiile de cumpărare nu pot fi modificate de nimeni.

3. Autentificare. Cumpărătorii și vânzătorii trebuie să se asigure că toate părțile implicate în tranzacție sunt cine spun că sunt.

4. Mijloace de plată. Posibilitate de plata prin orice mijloc de plata la dispozitia cumparatorului.

6. Garanții pentru riscul vânzătorului. Atunci când tranzacționează pe internet, vânzătorul este expus multor riscuri asociate cu refuzul bunurilor și cu reaua-credință a cumpărătorului. Amploarea riscurilor trebuie convenită cu furnizorul de sistem de plată și cu alte organizații incluse în lanțurile comerciale prin acorduri speciale.

7. Minimizați taxele de tranzacție. Taxa de procesare a tranzacției pentru comandarea și plata mărfurilor este în mod natural inclusă în costul acestora, astfel încât scăderea prețului tranzacției crește competitivitatea. Este important de menționat că tranzacția trebuie plătită în orice caz, chiar dacă cumpărătorul refuză mărfurile.

Toate aceste condiții trebuie implementate în sistemul de plată prin Internet, care, în esență, sunt versiuni electronice ale sistemelor tradiționale de plată.

Astfel, toate sistemele de plată sunt împărțite în:

Debit (lucrarea cu cecuri electronice și numerar digital);

Credit (lucrare cu carduri de credit).

Sisteme de debit

Schemele de plată prin debit sunt construite în mod similar cu prototipurile lor offline: cec și numerar obișnuit. Există două părți independente implicate în schemă: emitenții și utilizatorii. Emitentul este înțeles ca fiind entitatea care gestionează sistemul de plăți. Emite unele unități electronice reprezentând plăți (de exemplu, bani în conturi bancare).

Securitatea informațiilor organizațiilor sistemului bancar al Federației Ruse

Utilizatorii sistemului îndeplinesc două funcții principale. Ei efectuează și acceptă plăți pe internet folosind articole electronice emise.

Cecurile electronice sunt analoge cu cecurile obișnuite pe hârtie. Acestea sunt instrucțiunile plătitorului către banca sa pentru a transfera bani din contul său în contul beneficiarului plății. Operațiunea are loc atunci când destinatarul prezintă un cec la bancă. Există două diferențe principale aici. În primul rând, atunci când scrie un cec pe hârtie, plătitorul își pune semnătura reală, iar în versiunea online - o semnătură electronică. În al doilea rând, cecurile în sine sunt emise electronic.

Plățile se fac în mai multe etape:

1. Plătitorul emite un cec electronic, îl semnează cu semnătură electronică și îl trimite destinatarului. Pentru a asigura o mai mare fiabilitate si securitate, numarul contului curent poate fi codificat cu cheia publica a bancii.

2. Cecul este prezentat la plată sistem de plata. În plus, (fie aici, fie în banca care deservește destinatarul), semnătura electronică este verificată.

3. Dacă se confirmă autenticitatea acestuia, se livrează un produs sau se furnizează un serviciu. Banii sunt transferați din contul plătitorului în contul destinatarului.

Simplitatea schemei de efectuare a plăților (Fig. 43), din păcate, este compensată de dificultățile implementării acesteia din cauza faptului că schemele de verificare nu s-au răspândit încă și nu există centre de certificare pentru implementarea semnăturilor electronice.

O semnătură digitală electronică (EDS) utilizează un sistem de criptare cu cheie publică. Aceasta creează o cheie privată pentru semnare și o cheie publică pentru verificare. Cheia privată este păstrată de utilizator, în timp ce cheia publică poate fi accesată de oricine. Cel mai mod convenabil distribuirea cheilor publice - utilizarea centrelor de certificare. Stochează certificate digitale care conțin cheia publică și informații despre proprietar. Acest lucru scutește utilizatorul de obligația de a-și distribui el însuși cheia publică. În plus, autoritățile de certificare oferă autentificare pentru a se asigura că nimeni nu poate genera chei în numele altei persoane.

Banii electronici simulează complet banii reali. În același timp, organizația emitentă - emitentul - își emite omologii electronici, numite diferit în diferite sisteme (de exemplu, cupoane). În plus, acestea sunt cumpărate de utilizatori care le folosesc pentru a plăti cumpărăturile, iar apoi vânzătorul le răscumpără de la emitent. La emiterea fiecăruia Unitate monetară certificat printr-un sigiliu electronic, care este verificat de către structura emitentă înainte de răscumpărare.

Una dintre caracteristicile banilor fizici este anonimatul lor, adică nu indică cine i-a folosit și când. Unele sisteme, prin analogie, permit clientului sa primeasca numerar electronic in asa fel incat relatia dintre el si bani nu poate fi determinata. Acest lucru se face folosind o schemă de semnătură oarbă.

De asemenea, trebuie remarcat faptul că atunci când se utilizează bani electronici nu este nevoie de autentificare, deoarece sistemul se bazează pe emiterea de bani în circulație înainte de a fi utilizat.

Figura 44 prezintă schema de plată folosind monedă electronică.

Mecanismul de plată este următorul:

1. Cumpărătorul schimbă bani reali în bani electronici în avans. Păstrarea numerarului la client poate fi efectuată în două moduri, care este determinată de sistemul utilizat:

Pe hard diskul computerului;

pe carduri inteligente.

Diferite sisteme oferă diferite scheme de schimb. Unii deschid conturi speciale în care sunt transferate fonduri din contul cumpărătorului în schimbul bancnotelor electronice. Unele bănci pot emite ele însele numerar electronic. Totodata, se emite numai la cererea clientului, cu transferul ulterioar al acestuia pe computerul sau cardul acestui client si retragerea echivalentului de numerar din contul acestuia. La implementarea unei semnături oarbe, cumpărătorul însuși creează bancnote electronice, le trimite băncii, unde, la primire bani adevarati sunt ștampilate pe cont și trimise înapoi clientului.

Pe lângă comoditatea unei astfel de stocări, are și dezavantaje. Deteriorarea unui disc sau a unui card inteligent are ca rezultat o pierdere irecuperabilă de bani electronici.

2. Cumpărătorul transferă bani electronici pentru cumpărare pe serverul vânzătorului.

3. Banii sunt prezentați emitentului, care le verifică autenticitatea.

4. În cazul în care bancnotele electronice sunt autentice, contul vânzătorului se majorează cu suma achiziției, iar bunurile sunt expediate cumpărătorului sau se prestează serviciul.

Una dintre caracteristicile distinctive importante ale monedei electronice este capacitatea de a efectua microplăți. Acest lucru se datorează faptului că valoarea nominală a bancnotelor poate să nu corespundă cu monede reale (de exemplu, 37 de copeici).

Atât băncile, cât și organizațiile nebancare pot emite numerar electronic. Cu toate acestea, nu a fost încă dezvoltat un singur sistem conversia diferitelor tipuri de monedă electronică. Prin urmare, doar emitenții înșiși pot răscumpăra numerarul electronic emis de aceștia. În plus, utilizarea unor astfel de bani din structurile nefinanciare nu este garantată de stat. Cu toate acestea, costul scăzut al tranzacției face ca e-cash-ul să fie un instrument atractiv pentru plățile pe internet.

Sisteme de creditare

Sistemele de credit Internet sunt analoge ale sistemelor convenționale care funcționează cu carduri de credit. Diferența constă în efectuarea tuturor tranzacțiilor prin internet și, ca urmare, în necesitatea fonduri suplimentare securitate și autentificare.

Următorii sunt implicați în efectuarea plăților prin internet folosind carduri de credit:

1. Cumpărător. Un client care are un computer cu un browser Web și acces la Internet.

2. Banca emitentă. Iată contul cumpărătorului. Banca emitenta emite carduri si este garantul indeplinirii obligatiilor financiare ale clientului.

3. Vânzători. Vânzătorii sunt servere de comerț electronic care mențin cataloage de bunuri și servicii și acceptă comenzile de cumpărare ale clienților.

4. Achizitionarea bancilor. Băncile care deservesc comercianții. Fiecare vânzător are o singură bancă în care își ține contul curent.

5. Sistem de plată prin internet. Componente electronice care sunt intermediari între alți participanți.

6. Sistem tradițional de plată. Un set de mijloace financiare și tehnologice pentru deservirea cardurilor de acest tip. Printre principalele sarcini rezolvate de sistemul de plată se numără utilizarea cardurilor ca mijloc de plată pentru bunuri și servicii, utilizarea serviciilor bancare, decontări reciproce etc. Participanții la sistemul de plată sunt persoane fizice și entitati legale, uniți de relații privind utilizarea cardurilor de credit.

7. Centru de procesare al sistemului de plată. O organizație care oferă informații și interacțiune tehnologică între participanții la un sistem tradițional de plată.

8. Banca de decontare a sistemului de plată. O instituție de credit care efectuează decontări reciproce între participanții la sistemul de plăți în numele centrului de procesare.

Schema generală de plăți într-un astfel de sistem este prezentată în Figura 45.

1. Cumpărătorul din magazinul electronic formează un coș de mărfuri și selectează metoda de plată „card de credit”.

Prin magazin, adică parametrii cardului sunt introduși direct pe site-ul magazinului, după care sunt transferați în sistemul de plată prin Internet (2a);

Pe serverul sistemului de plată (2b).

Avantajele celei de-a doua căi sunt evidente.

În acest caz, informațiile despre carduri nu rămân în magazin și, în consecință, riscul de a le primi de către terți sau de fraudă de către vânzător este redus. În ambele cazuri, la transferul detaliilor cardului de credit, există încă posibilitatea ca acestea să fie interceptate de atacatori în rețea. Pentru a preveni acest lucru, datele sunt criptate în timpul transmiterii.

Criptarea, desigur, reduce posibilitatea de interceptare a datelor în rețea, prin urmare, comunicațiile cumpărător/vânzător, vânzător/sistem de plată pe Internet, cumpărător/sistem de plată prin Internet sunt de preferință efectuate folosind protocoale securizate. Cel mai comun dintre acestea astăzi este protocolul SSL (Secure Sockets Layer), precum și standardul de tranzacții electronice securizate SET (Secure Electronic Transaction), conceput pentru a înlocui eventual SSL în procesarea tranzacțiilor legate de plățile pentru achiziții pe Carduri de credit pe internet.

3. Sistemul de plată prin Internet trimite cererea de autorizare către sistemul tradițional de plată.

4. Următorul pas depinde dacă banca emitentă menține o bază de date online (DB) de conturi. Dacă baza de date este disponibilă, centrul de procesare trimite băncii emitente o cerere de autorizare a cardului (vezi introducerea sau dicționarul) (4a) și apoi (4b) primește rezultatul acesteia. Dacă nu există o astfel de bază, atunci centrul de procesare însuși stochează informații despre starea conturilor deținătorilor de carduri, listele de oprire și îndeplinește cererile de autorizare. Aceste informații sunt actualizate în mod regulat de către băncile emitente.

Magazinul oferă un serviciu sau expediază un produs (8a);

Centrul de procesare trimite banca de decontare informații despre tranzacția finalizată (8b). Banii din contul cumpărătorului la banca emitentă sunt transferați prin banca de decontare în contul magazinului din banca achizitoare.

Pentru a efectua astfel de plăți, în cele mai multe cazuri, o specială software.

Poate fi livrat cumpărătorului (numit portofel electronic), vânzătorului și băncii sale de service.

Anterior25262728293031323334353637383940Următorul

VEZI MAI MULT:

În viața noastră, internetul nu este doar un mijloc de comunicare, divertisment și recreere, ci și pentru muncă, precum și pentru efectuarea plăților electronice. Mulți dintre noi folosim servicii bancare prin internet și facem achiziții în magazinele online.

Principalele amenințări la adresa operațiunilor online

În ciuda securității sistemelor bancare prin Internet și a magazinelor online, metode de protecție precum autentificarea dublă, sisteme de parole dinamice unice pentru SMS, liste suplimentare de parole unice sau chei hardware, conexiune securizată SSL și așa mai departe - metode moderne atacurile vă permit să ocoliți chiar și cele mai fiabile mecanisme de apărare.

Astăzi, atacatorii pot distinge trei abordări cele mai comune de a ataca datele financiare ale utilizatorilor de internet:

- infectarea computerului victimei cu programe troiene (keylogger, screen logger, etc.) care folosesc pentru a intercepta datele de intrare;
- utilizarea metodelor de inginerie socială - atacuri de phishing prin e-mail, site-uri web, rețele sociale etc.;
— atacuri tehnologice (sniffing, spoofing servere DNS/Proxy, certificate spoofing etc.).

Cum să securizăm internet banking?

Utilizatorul nu trebuie să se bazeze doar pe bancă, ci să folosească programe de securitate pentru a spori securitatea plăților electronice pe Internet.

Soluțiile moderne de Internet Security, pe lângă funcțiile antivirus, oferă instrumente de plată securizate (medii virtuale izolate pentru operațiuni online), precum și un scanner de vulnerabilități, protecție web cu verificarea linkurilor, blocarea scripturilor și ferestrelor pop-up rău intenționate, protecție a datelor împotriva interceptării ( anti-keylogger), o tastatură virtuală.

Printre soluțiile complexe cu o funcție separată de protecție a plăților online, se pot evidenția Kaspersky Internet Security și componenta Safe Money, avast!

Securitatea informațiilor în sectorul bancar

Internet Security cu avast! SafeZone și Bitdefender Internet Security cu Bitdefender Safepay. Aceste produse vă permit să nu vă faceți griji cu privire la protecția suplimentară.

Dacă aveți un alt antivirus, vă puteți uita la mijloacele de protecție suplimentară. Printre acestea: Bitdefender Safepay (browser web izolat), Trusteer Rapport și HitmanPro.Alert pentru a proteja browserul de atacuri, plug-in-uri și aplicații Netcraft Extension, McAfee SiteAdvisor, Adguard pentru a proteja împotriva phishing.

Nu uitați de firewall și client VPN dacă trebuie să efectuați tranzacții financiare atunci când vă conectați la rețele Wi-Fi fără fir deschise în locuri publice. De exemplu, CyberGhost VPN folosește criptarea traficului AES pe 256 de biți, care împiedică utilizarea datelor de către un atacator, chiar dacă sunt interceptate.

Ce metode de protecție a plăților online folosiți? Împărtășește-ți experiența în comentarii.

Trimiteți-vă munca bună în baza de cunoștințe este simplu. Foloseste formularul de mai jos

Studenții, studenții absolvenți, tinerii oameni de știință care folosesc baza de cunoștințe în studiile și munca lor vă vor fi foarte recunoscători.

postat pe http://www.allbest.ru/

Ministerul Învățământului General și Profesional al Regiunii Rostov

BUGET DE STAT INSTITUȚIA DE ÎNVĂȚĂMÂNTUL SECUNDAR PROFESIONAL A REGIUNII ROSTOV

„Colegiul de Comunicații și Informatică Rostov-on-Don”

După disciplină: „Securitatea informațiilor”

Subiect: Protecția informațiilor băncilor

Este realizat de un student

Kladovikov V.S.

Grupa PO-44

Specialitatea 23010551 Software

tehnologie informatică și sisteme automate

Sef: Semergey S.V.

201 3

Introducere

1. Caracteristici ale securității informațiilor băncilor

2. Securitatea sistemelor automate de procesare a informațiilor în bănci (ASOIB)

3. Securitatea plăților electronice

4. Securitatea plăților personale indivizii

Concluzie

Aplicații

Introducere

De la înființarea lor, băncile au trezit constant interes penal. Și acest interes a fost asociat nu numai cu depozitarea în institutii de credit bani, dar și cu faptul că băncile conțineau informații importante și adesea secrete despre activitățile financiare și economice ale multor oameni, companii, organizații și chiar state întregi. În prezent, ca urmare a distribuției omniprezente a plăților electronice, a cardurilor de plastic, a rețelelor de calculatoare, obiectul atacurilor informaționale a devenit direct bani gheata atât băncile cât și clienții acestora. Oricine poate încerca furtul - tot ce aveți nevoie este un computer conectat la internet. Mai mult, acest lucru nu necesită intrarea fizică în bancă, puteți „lucra” la mii de kilometri distanță de aceasta.

Această problemă este acum cea mai relevantă și cel mai puțin studiată. Dacă în asigurarea securității fizice și clasice a informațiilor s-au dezvoltat de mult abordări bine consacrate (deși dezvoltarea are loc și aici), atunci din cauza schimbărilor radicale frecvente în tehnologiile informatice, metodele de securitate ale sistemelor automate de procesare a informațiilor ale unei bănci (ASOIB). ) necesită actualizare constantă. După cum arată practica, nu există sisteme informatice complexe care să nu conțină erori. Și din moment ce ideologia construirii ASOIB-urilor mari se schimbă în mod regulat, remedierea erorilor și „găurilor” găsite în sistemele de securitate nu durează mult, deoarece un nou sistem informatic aduce noi probleme și noi erori și obligă sistemul de securitate să fie reconstruit într-un nou sistem de securitate. cale.

În opinia mea, toată lumea este interesată de confidențialitatea datelor personale furnizate băncilor. Pe baza acestui fapt, scrierea acestui eseu și studierea acestei probleme, după părerea mea, este nu numai interesantă, ci și extrem de utilă.

1. Caracteristicile securității informațiilor băncilor

Informațiile bancare au fost întotdeauna obiectul unui interes apropiat al tuturor tipurilor de intruși. Orice infracțiune bancară începe cu o scurgere de informații. Sistemele bancare automate sunt canale pentru astfel de scurgeri. Încă de la începutul introducerii sistemelor bancare automatizate (ABS), acestea au devenit obiectul unor încălcări criminale.

Astfel, se știe că în august 1995, în Marea Britanie a fost arestat matematicianul rus Vladimir Levin, în vârstă de 24 de ani, care, folosind computerul de acasă din Sankt Petersburg, a reușit să pătrundă în sistemul bancar al uneia dintre cele mai mari bănci americane, Citibank și a încercat să retragă sume mari din conturile sale. Potrivit reprezentanței din Moscova a Citibank, până atunci nimeni nu a putut face acest lucru. Serviciul de securitate Citibank a aflat că au încercat să fure 2,8 milioane de dolari de la bancă, dar sistemele de control au detectat acest lucru la timp și au blocat conturile. Doar 400.000 de dolari au fost furați.

În SUA, valoarea pierderilor anuale ale instituțiilor bancare din utilizarea ilegală a informațiilor informatice este, potrivit experților, de la 0,3 la 5 miliarde de dolari. Informația este un aspect al problemei generale de asigurare a securității bancare.

În acest sens, strategia de securitate a informațiilor a băncilor este foarte diferită de strategiile similare ale altor companii și organizații. Acest lucru se datorează în primul rând naturii specifice a amenințărilor, precum și activităților publice ale băncilor, care sunt forțate să faciliteze accesul la conturi, de dragul confortului clienților.

O companie obișnuită își construiește securitatea informațiilor bazată doar pe o gamă restrânsă de potențiale amenințări - protejând în principal informațiile față de concurenți (în realitățile ruse, sarcina principală este de a proteja informațiile de la autoritățile fiscale și de la comunitatea criminală pentru a reduce probabilitatea unui atac necontrolat). creșterea plăților de impozite și racket). Astfel de informații sunt de interes doar pentru un cerc restrâns de persoane și organizații interesate și sunt rareori lichide, de exemplu. convertibil în numerar.

Securitatea informațiilor băncii ar trebui să țină cont de următorii factori specifici:

1. Informațiile stocate și procesate în sistemele bancare sunt bani reali. Pe baza informațiilor informatice se pot face plăți, se pot deschide împrumuturi și se pot transfera sume importante. Este destul de clar că manipularea ilegală a unor astfel de informații poate duce la pierderi grave. Această caracteristică extinde dramatic cercul infractorilor care invadează băncile în mod specific (spre deosebire, de exemplu, de companiile industriale, ale căror informații din interior nu interesează pe nimeni).

5. Banca stochează informații importante despre clienții săi, ceea ce extinde cercul potențialilor intruși interesați să fure sau să deterioreze astfel de informații.

Din păcate, astăzi, din cauza dezvoltării înalte a tehnologiei, chiar și măsurile organizaționale extrem de stricte de eficientizare a muncii cu informații confidențiale nu vor proteja împotriva scurgerii acesteia prin canale fizice. Asa de abordarea sistemelor la securitatea informațiilor presupune ca mijloacele și acțiunile utilizate de bancă pentru asigurarea securității informației (organizaționale, fizice și software-tehnice) să fie considerate ca un singur set de măsuri interdependente, complementare și care interacționează. Un astfel de complex ar trebui să vizeze nu numai protejarea informațiilor împotriva accesului neautorizat, ci și prevenirea distrugerii, modificării sau dezvăluirii accidentale a informațiilor.

2. Securitatea sistemelor automate de procesare a informațiilor în bănci (ASOIB)

Nu ar fi exagerat să spunem că problema încălcărilor deliberate ale funcționării ASOIB în diverse scopuri este în prezent una dintre cele mai urgente. Această afirmație este cea mai adevărată pentru țările cu o infrastructură informațională foarte dezvoltată, după cum arată cifrele de mai jos.

Se știe că în 1992 prejudiciul din cauza infracțiunilor informatice s-a ridicat la 555 de milioane de dolari, 930 de ani de timp de lucru și 15,3 ani de timp pe calculator. Potrivit altor surse, daunele aduse organizațiilor financiare variază între 173 de milioane de dolari și 41 de miliarde de dolari pe an.

Din acest exemplu, putem concluziona că sistemele de prelucrare și protecție a informațiilor reflectă abordarea tradițională a rețelei de calculatoare ca mediu de transmisie a datelor potențial nesigur. Există mai multe modalități principale de a asigura securitatea mediului software și hardware, implementate prin diferite metode:

1.1. Crearea profilurilor de utilizator. Fiecare nod creează o bază de date a utilizatorilor, parolele acestora și profilurile de acces la resursele locale ale sistemului informatic.

1.2. Creați profiluri de proces. Sarcina de autentificare este realizată de un server independent (terț) care conține parole atât pentru utilizatori, cât și pentru serverele de destinație (în cazul unui grup de servere, baza de date de parole conține și un singur server de autentificare (master); restul sunt numai copii actualizate periodic) . Astfel, utilizarea serviciilor de rețea necesită două parole (deși utilizatorul trebuie să cunoască doar una - a doua îi este furnizată de server într-o manieră „transparentă”). Evident, serverul devine blocajul întregului sistem, iar piratarea acestuia poate compromite securitatea întregii rețele de calculatoare.

2. Încapsularea informațiilor transmise în protocoale speciale de schimb. Utilizarea unor astfel de metode în comunicații se bazează pe algoritmi de criptare cu cheie publică. În etapa de inițializare se creează o pereche de chei - publică și privată, disponibile doar celui care publică cheia publică. Esența algoritmilor de criptare cu cheie publică este aceea că operațiunile de criptare și decriptare sunt efectuate de chei diferite (publică și respectiv privată).

3. Restricționarea fluxurilor de informații. Acestea sunt tehnici binecunoscute care vă permit să împărțiți o rețea locală în subrețele aferente și să controlați și să limitați transferul de informații între aceste subrețele.

3.1. Firewall-uri (firewall-uri). Metoda presupune crearea de servere intermediare speciale între rețeaua locală a băncii și alte rețele, care inspectează, analizează și filtrează întregul flux de date care trece prin acestea (traficul rețelei/nivelurile de transport). Acest lucru vă permite să reduceți dramatic amenințarea accesului neautorizat din exterior la rețelele corporative, dar nu elimină complet acest pericol. O versiune mai sigură a metodei este metoda masquerading, când tot traficul care iese din rețeaua locală este trimis în numele serverului firewall, făcând rețeaua locală închisă aproape invizibilă.

3.2. servere proxy. Cu această metodă, se introduc restricții severe asupra regulilor de transmitere a informațiilor în rețea: tot traficul rețelei / nivelurile de transport între rețelele locale și globale este complet interzis - pur și simplu nu există rutare ca atare și apeluri din rețeaua locală la rețeaua globală apar prin servere intermediare speciale. Evident, prin această metodă, accesul de la rețeaua globală la rețeaua locală devine imposibil în principiu. De asemenea, este evident că această metodă nu oferă suficientă protecție împotriva atacurilor la niveluri superioare, de exemplu, la nivelul unei aplicații software.

4. Crearea rețelelor private virtuale (VPN) vă permite să asigurați în mod eficient confidențialitatea informațiilor, protecția acestora împotriva interceptărilor sau interferențelor în transmiterea datelor. Acestea vă permit să stabiliți comunicații confidențiale și securizate printr-o rețea deschisă, de obicei Internet, și să extindeți limitele rețelelor corporative la birouri la distanță, utilizatori de telefonie mobilă, utilizatori casnici și parteneri de afaceri. Tehnologia de criptare elimină posibilitatea ca mesajele VPN să fie interceptate sau citite de alte persoane decât destinatarii autorizați, folosind algoritmi matematici avansați pentru a cripta mesajele și aplicațiile acestora. Concentratoarele Cisco VPN din seria 3000 sunt considerate de mulți ca fiind cea mai bună soluție de acces la distanță prin VPN din categoria lor. Concentratoare Cisco VPN 3000, care oferă cele mai avansate caracteristici cu fiabilitate ridicată și o arhitectură unică, cu scop. Permiteți corporațiilor să construiască infrastructuri VPN de înaltă performanță, scalabile și puternice pentru a susține aplicații critice de acces la distanță. Routerele optimizate pentru VPN Cisco, cum ar fi routerele Cisco 800, 1700, 2600, 3600, 7100 și 7200, sunt instrumente ideale pentru crearea de rețele private virtuale de la un obiect de rețea la altul.

5.Sistemele de detectare a intruziunilor și scanerele de vulnerabilitate creează un nivel suplimentar de securitate a rețelei. Deși firewall-urile permit sau blochează traficul în funcție de sursă, destinație, port sau alte criterii, ele nu analizează efectiv traficul pentru atacuri și nici nu caută vulnerabilități în sistem. În plus, firewall-urile de obicei nu se ocupă de amenințările interne care provin de la „propriile lor”. Sistemul Cisco de detectare a intruziunilor (IDS) poate securiza rețeaua perimetrală, rețelele partenerilor de afaceri și rețelele interne din ce în ce mai vulnerabile în timp real. Sistemul folosește agenți, care sunt dispozitive de rețea de înaltă performanță, pentru a analiza pachete individuale pentru a detecta activități suspecte. Dacă există activitate neautorizată sau un atac de rețea în traficul din rețea, agenții pot detecta o încălcare în timp real, pot trimite alerte administratorului și pot bloca accesul intrusului în rețea. Pe lângă detectarea intruziunilor în rețea, Cisco oferă și sisteme de detectare a intruziunilor pe server care oferă protecție eficientă pentru anumite servere din rețeaua utilizatorului, în principal servere WEB și de comerț electronic. Cisco Secure Scanner este un scaner software de calitate industrială care permite unui administrator să identifice și să repare vulnerabilitățile de securitate a rețelei înainte ca hackerii să le găsească.

Pe măsură ce rețelele cresc și devin mai complexe, cerința de a avea controale centralizate ale politicii de securitate care pot gestiona elementele de securitate devine primordială. Inteligența care poate indica, gestiona și audita starea politicii de securitate crește gradul de utilizare și eficacitatea soluțiilor de securitate a rețelei. Soluțiile Cisco în acest domeniu au o abordare strategică a managementului securității. Cisco Secure Policy Manager (CSPM) acceptă elementele de securitate Cisco în rețelele întreprinderii pentru a asigura aplicarea cuprinzătoare și consecventă a politicii de securitate. Cu CSPM, clienții pot defini o politică de securitate adecvată, o pot aplica și testa principiile de securitate ale sute de firewall-uri și agenți IDS Cisco Secure PIX și Cisco IOS Firewall Feature Set. CSPM acceptă, de asemenea, standardul IPsec pentru construirea de VPN-uri. În plus, CSPM este parte integrantă sistem larg de management corporativ CiscoWorks2000/VMS.

Rezumând metodele de mai sus, putem spune că dezvoltarea sistemelor informaționale necesită dezvoltarea paralelă a tehnologiilor de transfer și protecție a informațiilor. Aceste tehnologii trebuie să asigure protecția informațiilor transmise, făcând rețeaua „fiabilă”, deși fiabilitatea stadiul prezent este înțeles ca fiabilitate nu la nivel fizic, ci mai degrabă la nivel logic (informațional).

Există, de asemenea, o serie de măsuri suplimentare care pun în aplicare următoarele principii:

1. Monitorizarea procesului. Metoda de monitorizare a proceselor este de a crea o extensie specială a sistemului care să efectueze în mod constant unele tipuri de verificări. Este evident că un anumit sistem devine extern vulnerabil doar atunci când oferă posibilitatea accesului extern la resursele sale informaţionale. Atunci când se creează mijloace de acces (procese server), de regulă, există o cantitate suficientă de informații a priori legate de comportamentul proceselor client. Din păcate, în cele mai multe cazuri, aceste informații sunt pur și simplu ignorate. După ce un proces extern este autentificat în sistem, acesta este considerat autorizat pe tot parcursul ciclului său de viață să acceseze o anumită cantitate de resurse informaționale fără verificări suplimentare.

Deși în majoritatea cazurilor nu este posibil să se precizeze toate regulile de comportare a unui proces extern, este foarte posibil să le definim prin negație, sau, cu alte cuvinte, să indicați ce nu poate face procesul extern în nicio condiție. Pe baza acestor verificări pot fi monitorizate evenimente periculoase sau suspecte. De exemplu, figura de mai jos prezintă elementele de monitorizare și evenimentele detectate: atac DOS; eroare de introducere a parolei utilizatorului; congestionarea canalului de comunicare.

2. Duplicarea tehnologiilor de transmisie. Există riscul de a pirata și compromite orice tehnologie de transfer de informații, atât din cauza deficiențelor sale interne, cât și din cauza influențelor externe. Protecția împotriva unei astfel de situații constă în aplicarea paralelă a mai multor tehnologii de transmisie diferite. Evident, duplicarea va duce la o creștere bruscă a traficului de rețea. Cu toate acestea, această metodă poate fi eficientă atunci când costul riscurilor de la posibile pierderi se dovedește a fi mai mare decât costul general de duplicare.

3.Descentralizare. În multe cazuri, utilizarea tehnologiilor standardizate de schimb de informații nu este cauzată de dorința de standardizare, ci de puterea de calcul insuficientă a sistemelor care asigură proceduri de comunicare. Practica pe scară largă a „oglinzilor” pe Internet poate fi considerată și o implementare a unei abordări descentralizate. Crearea mai multor copii identice ale resurselor poate fi utilă în sistemele în timp real, unde chiar și o defecțiune pe termen scurt poate avea consecințe destul de grave.

3 . Securitatea plăților electronice

protecția criptografică a băncii de informații

Necesitatea de a avea mereu la îndemână informațiile corecte îi face pe mulți manageri să se gândească la problema optimizării afacerii folosind sisteme informatice. Dar dacă traducerea contabilitate De la un formular pe hârtie la un formular electronic s-a realizat de mult timp, decontările reciproce cu banca sunt încă insuficient automatizate: o tranziție masivă la gestionarea electronică a documentelor urmează încă să vină.

Astăzi, multe bănci au anumite canale pentru tranzacțiile de plată la distanță. Puteți trimite o „plată” direct de la birou, folosind o conexiune modem sau o linie de comunicare dedicată. A devenit o realitate efectuarea operațiunilor bancare prin internet - pentru aceasta este suficient să aveți un computer cu acces la rețeaua globală și o cheie de semnătură digitală electronică (EDS), care este înregistrată la bancă.

Serviciile bancare de la distanță vă permit să creșteți eficiența unei afaceri private cu un efort minim din partea proprietarilor săi. Acest lucru asigură: economisire de timp (nu este nevoie să veniți personal la bancă, plata se poate face în orice moment); comoditatea muncii (toate operațiunile sunt efectuate de pe un computer personal într-un mediu de afaceri familiar); viteză mare de procesare a plăților (operatorul bancar nu retipărește datele dintr-un original de hârtie, ceea ce face posibilă eliminarea erorilor de introducere și reducerea timpului de procesare a unui document de plată); monitorizarea stării documentului în procesul de prelucrare a acestuia; obținerea de informații despre mișcarea fondurilor în conturi.

Cu toate acestea, în ciuda avantajelor evidente, plățile electronice în Rusia nu sunt încă foarte populare, deoarece clienții băncilor nu sunt siguri de securitatea lor. Acest lucru se datorează în primul rând credinței larg răspândite că rețelele de computere pot fi ușor „pirate” de un hacker. Acest mit este ferm înrădăcinat în mintea umană, iar știrile publicate în mod regulat în mass-media despre atacurile asupra unui alt site web întăresc și mai mult această opinie. Dar vremurile se schimbă și mijloace electronice conexiunile vor înlocui mai devreme sau mai târziu prezența personală a plătitorului care dorește să efectueze un transfer bancar fără numerar dintr-un cont în altul.

În opinia mea, securitatea tranzacțiilor bancare electronice astăzi poate fi asigurată. Acest lucru este garantat de metodele moderne de criptare care sunt folosite pentru a proteja documentele de plată electronică. În primul rând, acesta este un EDS corespunzător GOST 34.10-94. Din 1995, a fost folosit cu succes în Banca Rusiei. Inițial, el a introdus un sistem de plăți electronice interregionale în doar câteva regiuni. Acum acoperă toate regiunile Federației Ruse și este aproape imposibil să ne imaginăm funcționarea Băncii Rusiei fără ea. Deci, merită să ne îndoim de fiabilitatea EDS, dacă utilizarea sa este testată în timp și deja, într-un fel sau altul, privește fiecare cetățean al țării noastre?

Semnătura digitală este o garanție a securității. Conform contract standardîntre bancă și client, prezența sub documentul electronic a unui număr suficient de persoane autorizate înregistrate la EDS servește drept bază pentru efectuarea operațiunilor bancare pe conturile clientului. V lege federala din data de 10.01.02 N 1-FZ „Pe semnătură digitală electronică” se stabilește că EDS-ul trebuie generat și verificat prin software certificat FAPSI. Certificarea EDS este o garanție că acest program îndeplinește funcții criptografice în conformitate cu standardele GOST și nu efectuează acțiuni distructive pe computerul utilizatorului.

Pentru a atașa un EDS pe un document electronic, este necesar să aveți cheia acestuia, care poate fi stocată pe un suport de informații cheie. Suporturile de chei moderne ("e-Token", "USB-drive", "Touch-Memory") au forma unor brelocuri și pot fi purtate într-o grămadă de chei obișnuite. Dischetele pot fi, de asemenea, folosite ca purtător de informații cheie.

Fiecare cheie EDS servește ca un analog al semnăturii de mână a unei persoane autorizate. Dacă într-o hârtie de organizare „plăţile” sunt de obicei semnate de director şi Contabil șef, apoi în sistem electronic cel mai bine este să păstrați aceeași procedură și să furnizați chei EDS diferite pentru persoanele autorizate. Cu toate acestea, poate fi folosit și un singur EDS - acest fapt trebuie să se reflecte în acordul dintre bancă și client.

Cheia EDS constă din două părți - închisă și deschisă. Partea publică (cheia publică), după ce a fost generată de proprietar, este transmisă Autorității de Certificare, al cărei rol este de obicei jucat de bancă. Cheia publică, informațiile despre proprietarul acesteia, scopul cheii și alte informații sunt semnate de EDS-ul autorității de certificare. Astfel, se formează un certificat EDS, care trebuie înregistrat în sistemul electronic de decontare al băncii.

Partea privată a cheii EDS (cheia secretă) nu trebuie în niciun caz să fie transferată de către proprietarul cheii unei alte persoane. Dacă cheia secretă a fost dată chiar și pentru o perioadă scurtă de timp unei alte persoane sau lăsată undeva nesupravegheată, se consideră că cheia este „compromisă” (adică este implicată posibilitatea copierii sau utilizării ilegale a cheii). Cu alte cuvinte, în acest caz, o persoană care nu este proprietarul cheii are posibilitatea de a semna un document electronic neautorizat de conducerea organizației, pe care banca îl va accepta pentru executare și va avea dreptate, de la verificarea semnătura digitală își va arăta autenticitatea. Toată responsabilitatea în acest caz revine exclusiv proprietarului cheii. Acțiunile proprietarului EDS în această situație ar trebui să fie similare cu cele care sunt întreprinse atunci când un card de plastic obișnuit este pierdut: această persoană trebuie să informeze banca despre „compromisul” (pierderea) cheii EDS. Apoi banca va bloca certificatul acestei semnături digitale în sistemul său de plată, iar atacatorul nu va putea folosi achiziția sa ilegală.

Utilizarea ilegală a cheii secrete poate fi prevenită și prin folosirea unei parole care este impusă atât pe cheie, cât și pe unele tipuri de media cheie. Acest lucru ajută la minimizarea daunelor în caz de pierdere, deoarece fără o parolă cheia devine invalidă, iar proprietarul va avea suficient timp pentru a informa banca despre „compromiterea” EDS-ului său.

Să luăm în considerare modul în care un client poate utiliza serviciile de plăți electronice, cu condiția ca banca să aibă un sistem de implementare integrată a plăților electronice. servicii bancare InterBank. Dacă clientul este antreprenor privat sau administrează o mică firmă comercială și are acces la Internet, va fi suficient ca acesta să aleagă sistemul de protecție criptografică (EDS și criptare) pe care dorește să-l folosească. Clientul poate instala software-ul certificat „CryptoPro CSP” sau se poate limita la sistemul Microsoft Base CSP integrat în Microsoft Windows.

Dacă clientul este o companie mare cu o cifră de afaceri financiară mare, atunci i se poate recomanda un alt subsistem de la InterBank - „Windows Client”. Cu ajutorul acestuia, clientul menține independent o bază de date de documente electronice și poate pregăti ordine de plată pe computerul său fără a utiliza o sesiune de comunicare cu banca. Când toate documente necesare se formează, clientul se conectează la bancă prin telefon sau o linie dedicată pentru schimbul de date.

Un alt tip de serviciu oferit de complexul InterBank este informarea clientului despre starea conturilor sale bancare, cursuri de schimb și transferul altor date de referință prin comunicare vocală, fax sau ecran de telefon mobil.

O modalitate convenabilă de a utiliza plățile electronice este aprobarea documentelor de plată de către angajații autorizați ai întreprinderii, care se află la o distanță considerabilă unul de celălalt. De exemplu, contabilul șef a pregătit și a semnat un electronic document de plată. Directorul, aflat în prezent într-o călătorie de afaceri în alt oraș sau în altă țară, poate vizualiza acest document, îl poate semna și trimite la bancă. Toate aceste acțiuni pot fi efectuate de subsistemul „Internet-Client”, la care contabilul și directorul întreprinderii se vor conecta prin internet. Criptarea datelor și autentificarea utilizatorilor vor fi efectuate prin unul dintre protocoalele standard - SSL sau TLS.

Deci, utilizarea plăților electronice în afaceri oferă avantaje semnificative față de serviciul tradițional. În ceea ce privește securitatea, aceasta este asigurată de standardul EDS (GOST 34.10-94), pe de o parte, și de responsabilitatea clientului pentru stocarea cheii de semnătură, pe de altă parte. Recomandările privind utilizarea și stocarea cheilor EDS pot fi obținute oricând de către client de la bancă, iar dacă le respectă, atunci fiabilitatea plăților este garantată.

4. siguranta personalaplăți în numerar ale persoanelor fizice

Majoritatea sistemelor de securitate, pentru a evita pierderea datelor cu caracter personal ale persoanelor, solicită utilizatorului să confirme că este exact cine pretinde a fi. Identificarea utilizatorului poate fi efectuată pe baza faptului că:

* cunoaste unele informatii (cod secret, parola);

* are un anumit articol (card, cheie electronică, jeton);

* are un set de trăsături individuale (amprentele digitale, forma mâinii, timbrul vocii, modelul retinian etc.);

* știe unde sau cum este conectată cheia specializată.

Prima metodă necesită tastarea unei anumite secvențe de cod pe tastatură - personal numar de identificare(Număr personal de identificare - PIN). Aceasta este de obicei o secvență de 4-8 cifre pe care utilizatorul trebuie să o introducă atunci când face o tranzacție.

A doua metodă presupune prezentarea de către utilizator a unor elemente specifice de identificare - coduri citite de pe un dispozitiv electronic, card sau jeton necopiabil.

În a treia metodă, caracteristicile individuale și caracteristici fizice personalitatea persoanei. Orice produs biometric este însoțit de o bază de date destul de mare care stochează imaginile corespunzătoare sau alte date folosite în recunoaștere.

A patra metodă implică un principiu special de pornire sau comutare a echipamentului, care va asigura funcționarea acestuia (această abordare este folosită destul de rar).

V bancar cel mai răspândit mijloc de identificare personală, pe care l-am atribuit celui de-al doilea grup: un anumit obiect (card, cheie electronică, jeton). Desigur, utilizarea unei astfel de chei are loc în combinație cu mijloacele și metodele de identificare, pe care le-am atribuit primului grup: utilizarea informațiilor (cod secret, parolă).

Să aruncăm o privire mai atentă asupra modalităților de identificare a unei persoane în domeniul bancar.

Carduri de plastic.

În prezent, peste un miliard de carduri au fost emise în diferite țări ale lumii.. Cele mai faimoase dintre ele:

Carduri de credit Visa (peste 350 de milioane de carduri) și MasterCard (200 de milioane de carduri);

Cecul internațional garantează Eurocheque și Posteheque;

Carduri de călătorie și divertisment American Express (60 de milioane de carduri) și Diners Club.

Carduri magnetice

Cele mai cunoscute și utilizate de mult timp în domeniul bancar ca mijloc de identificare sunt cardurile de plastic cu bandă magnetică (multe sisteme permit utilizarea Carduri de credit). Pentru citire este necesar să trageți un card (bandă magnetică) prin fanta cititorului (cititor). De obicei, cititoarele sunt realizate ca un dispozitiv extern și sunt conectate printr-un port serial sau universal de computer. Există și cititoare combinate cu o tastatură. Cu toate acestea, astfel de carduri au avantaje și dezavantaje ale utilizării lor.

* cardul magnetic poate fi copiat cu ușurință pe echipamentele disponibile;

* Poluarea, un ușor impact mecanic asupra stratului magnetic, prezența cardului în apropierea surselor puternice de câmpuri electromagnetice duc la deteriorarea cardului.

Avantaje:

* costul emiterii și întreținerii unor astfel de carduri este scăzut;

* industria cardurilor magnetice din plastic se dezvoltă de câteva decenii și în prezent mai mult de 90% dintre carduri sunt carduri de plastic;

* folosirea cardurilor magnetice este justificata cu un numar foarte mare de utilizatori si schimbarea frecventa a cardurilor (de exemplu, pentru a accesa o camera de hotel).

Carduri de proximitate

De fapt, aceasta este o dezvoltare a ideii de jetoane electronice. Aceasta este o cartelă fără contact (dar poate fi și o cheie sau o brățară) care conține un cip cu un cod unic sau un transmițător radio. Cititorul este echipat cu o antenă specială care emite constant energie electromagnetică. Când un card intră în acest câmp, cipul cardului este alimentat, iar cardul trimite codul său unic către cititor. Pentru majoritatea cititorilor, distanța stabilă de răspuns variază de la câțiva milimetri până la 5-15 cm.

Carduri inteligente

Spre deosebire de un card magnetic, un card inteligent conține un microprocesor și contacte pentru alimentarea cu energie și schimbul de informații cu cititorul. Cardul inteligent are un grad foarte ridicat de securitate. Cu aceasta sunt încă asociate principalele perspective pentru dezvoltarea unor astfel de chei și speranțele multor dezvoltatori de sisteme de protecție.

Tehnologia smart cardului există și s-a dezvoltat de aproximativ douăzeci de ani, dar a devenit larg răspândită abia în ultimii câțiva ani. Este evident că un smart card, datorită cantității mari de memorie și funcționalitate, poate acționa atât ca o cheie, cât și ca o trecere și, în același timp, poate fi card bancar. V viata reala o astfel de combinație de funcții este implementată destul de rar.

Pentru a funcționa cu un smart card, computerul trebuie să fie echipat cu un dispozitiv special: un cititor de carduri încorporat sau extern. Cititoarele de carduri externe pot fi conectate la diferite porturi de pe computer (port serial, paralel sau port tastatură PS/2, slot PCMCIA, SCSI sau USB).

Multe cărți includ tipuri diferite(algoritmi) autentificare. Sunt trei părți implicate în procesul de recunoaștere electronică: utilizatorul cardului, cardul, dispozitivul terminal (cititor de carduri). Autentificarea este necesară pentru ca utilizatorul, dispozitivul terminal în care este introdus cardul sau aplicația software căreia îi sunt comunicați parametrii cardului, să poată efectua anumite acțiuni cu datele aflate pe card. Regulile de acces sunt atribuite de către dezvoltatorul aplicației atunci când creează structuri de date pe hartă.

Jetoane electronice

Acum, în diverse sisteme care necesită identificarea utilizatorului sau a proprietarului, jetoanele electronice (sau așa-numitele dispozitive cu simboluri) sunt utilizate pe scară largă ca permise. Un exemplu binecunoscut al unui astfel de token este o „pilulă” electronică (Fig. 8.4). „Pilula” este realizată într-o carcasă rotundă din oțel inoxidabil și conține un cip cu un număr unic scris în ea. Autentificarea utilizatorului se realizează după atingerea unei astfel de „tablete” la un dispozitiv special de contact, de obicei conectat la portul serial al computerului. Astfel, puteți permite accesul în incintă, dar puteți permite și lucrul pe computer sau blocați utilizatorii neautorizați să lucreze pe computer.

Pentru comoditate, „tableta” poate fi fixată pe un breloc sau presată într-o carcasă de plastic.

În prezent, aceste dispozitive sunt utilizate pe scară largă pentru controlul încuietorilor electromecanice (uși de încăperi, porți, uși de intrare etc.). Cu toate acestea, utilizarea lor „computerului” este, de asemenea, destul de eficientă.

Toate cele trei grupuri de chei enumerate sunt de natură pasivă. Ei nu efectuează nicio acțiune activă și nu participă la procesul de autentificare, ci doar dau codul stocat. Aceasta este zona lor principală.

Jetoanele au o rezistență la uzură ceva mai bună decât cardurile magnetice.

Concluzie

Astfel, problema protecției informațiilor bancare este prea gravă pentru ca o bancă să o neglijeze. Recent, în băncile autohtone au fost observate un număr mare de cazuri de încălcare a nivelului de secretizare. Un exemplu este apariția în domeniul public a diferitelor baze de date pe CD-ROM-uri despre companii comerciale și persoane fizice. Teoretic, cadrul legislativ pentru a asigura protecția informațiilor bancare există în țara noastră, dar aplicarea acesteia este departe de a fi perfectă. Până în prezent, nu au existat cazuri în care o bancă a fost pedepsită pentru divulgarea de informații, când orice companie a fost pedepsită pentru încercarea de a obține informații confidențiale.

Protecția informațiilor într-o bancă este o sarcină complexă care nu poate fi rezolvată doar în cadrul programe bancare. Implementarea eficientă a securității începe cu selectarea și configurarea sistemelor de operare și a instrumentelor de sistem de rețea care sprijină funcționarea programelor bancare. Dintre mijloacele disciplinare de asigurare a protecției, trebuie să se distingă două direcții: pe de o parte, aceasta este conștientizarea minimă suficientă a utilizatorilor sistemului cu privire la caracteristicile construcției sistemului; pe de altă parte, prezența unor mijloace pe mai multe niveluri de identificare a utilizatorilor și controlul drepturilor acestora.

În diferite momente ale dezvoltării sale, ABS a avut componente de protecție diferite. V Condițiile ruseștiÎn ceea ce privește nivelul de protecție, majoritatea sistemelor bancare ar trebui clasificate ca sisteme de primul și al doilea nivel de complexitate de protecție:

Nivelul 1 - utilizarea instrumentelor software furnizate de instrumentele standard ale sistemelor de operare și programelor de rețea;

Nivelul 2 - utilizarea software-ului de securitate, codificarea informațiilor, codificarea accesului.

Rezumând toate cele de mai sus, am ajuns la concluzia că lucrând în sectorul bancar, trebuie să fii sigur că informațiile corporative și comerciale vor rămâne închise. Cu toate acestea, trebuie avut grijă nu numai pentru a proteja documentația și alte informații de producție, ci și setările de rețea și parametrii de funcționare a rețelei pe mașină.

Sarcina de a proteja informațiile într-o bancă este mult mai grea decât în alte organizații. Rezolvarea unei astfel de probleme presupune planificarea unor măsuri organizatorice, sistemice, care să ofere protecție. În același timp, la planificarea protecției, trebuie să se respecte o măsură între nivelul necesar de protecție și nivelul în care protecția începe să interfereze cu munca normală a personalului.

Anexa 1

Lista personalului unui ASOIB tipic și gradul de risc corespunzător pentru fiecare dintre aceștia:

1. Cel mai mare risc: controlor de sistem și administrator de securitate.

2. Risc crescut: operator de sistem, operator de introducere și pregătire a datelor, manager de procesare, programator de sistem.

3. Risc mediu: inginer de sistem, manager de software.

4. Risc limitat: programator de aplicații, inginer sau operator de comunicații, administrator de baze de date, inginer de echipamente, operator de echipamente periferice, bibliotecar media de sistem magnetic, programator utilizator, operator utilizator.

5. Risc scazut: inginer echipamente periferice, utilizator bibliotecar media magnetică, utilizator de rețea.

Orez. 1 card magnetic

Orez. 2 Card de proximitate

Orez. 4 jetoane electronice

Anexa 2

Statistici privind pierderile pentru Visa și MasterCard
	Ponderea în pierderile totale, %
Frauda vânzătorului
Carduri furate
Cărți false
Schimbarea reliefului hărții
Cărți pierdute
Aplicare greșită
Frauda telefonica
Frauda în redirecționarea e-mailurilor
Frauda poștală
Furt în timpul transportului
Coluziune cu deținătorul cardului

Găzduit pe Allbest.ru

Documente similare

Tipuri de amenințări deliberate la adresa securității informațiilor. Metode și mijloace de protecție a informațiilor. Metode și mijloace de asigurare a securității informațiilor. Metode criptografice de protecție a informațiilor. Mijloace complexe de protecție.

rezumat, adăugat 17.01.2004

Problema securității informațiilor. Caracteristici de protecție a informațiilor în rețelele de calculatoare. Amenințări, atacuri și canale de scurgere de informații. Clasificarea metodelor si mijloacelor de asigurare a securitatii. Arhitectura rețelei și protecția acesteia. Metode de securitate a rețelei.

teză, adăugată 16.06.2012

Metode și mijloace de protejare a datelor informaționale. Protecție împotriva accesului neautorizat la informații. Caracteristici de protecție a sistemelor informatice prin metode criptografice. Criterii de evaluare a securității informațiilor tehnologia calculatoarelor in tarile europene.

test, adaugat 08.06.2010

Principii de securitate a plăților electronice și personale ale persoanelor fizice în bănci. Implementarea tehnologiilor de transfer și protecție a informațiilor; o abordare sistematică a dezvoltării mediului software și hardware: codificarea informațiilor și accesul; criptare, criptare.

rezumat, adăugat 18.05.2013

Securitatea informatiei a sistemelor de telecomunicatii. Probleme legate de securitatea informațiilor. Tehnologia analizei securității, detectarea impactului intrusului, protecția informațiilor împotriva accesului neautorizat, protecție antivirus. Formarea unei bănci de date.

rezumat, adăugat 27.02.2009

Cele mai importante aspecte ale asigurării securității informațiilor. Mijloacele tehnice de prelucrare a informațiilor, suporturile sale de documentație. Modalități tipice de obținere neautorizată a informațiilor. Conceptul de semnătură electronică. Protecția informațiilor împotriva distrugerii.

rezumat, adăugat 14.07.2015

Metode și mijloace de protejare a informațiilor împotriva accesului neautorizat. Caracteristici de protecție a informațiilor în rețelele de calculatoare. Protecție criptografică și semnătură digitală electronică. Metode de protejare a informațiilor împotriva virușilor informatici și a atacurilor hackerilor.

rezumat, adăugat 23.10.2011

Securitatea informațiilor, componente ale sistemului de protecție. factori destabilizatori. Clasificarea amenințărilor la securitatea informațiilor în funcție de sursa apariției, în funcție de natura obiectivelor. Modalități de implementare a acestora. Niveluri de protecție a informațiilor. Etapele creării sistemelor de protecție.

prezentare, adaugat 22.12.2015

Dezvoltarea de noi tehnologii informaţionale şi informatizare generală. Securitatea informațiilor. Clasificarea amenințărilor deliberate la adresa securității informațiilor. Metode și mijloace de protecție a informațiilor. Metode criptografice de protecție a informațiilor.

lucrare de termen, adăugată 17.03.2004

Concepte de bază de protecție a informațiilor și securitate a informațiilor. Clasificare și conținut, surse și premise pentru apariția unor posibile amenințări la adresa informațiilor. Principalele direcții de protecție împotriva armelor informaționale (impact), servicii de securitate a rețelei.