11.4. безопасность банковских систем
11.4. безопасность банковских систем
При создании своих электронных систем банкам необходимо уделить как можно больше внимания защите и обеспечению их безопасности. Обычно различается внутренняя и внешняя безопасность. Внутренняя безопасность обязана обеспечивать целостность программ и данных и нормальную работу всей системы. Внешняя должна защищать от любых, угрожающих сбоем в системе, проникновений. В настоящее время существуют два подхода к построению защиты банковских систем:
комплексный подход объединяет разнообразные методы противодействия угрозам;
фрагментарный подход, т. е. противодействие определенным угрозам (антивирусные средства и т. п.).
Комплексный подход применяется для защиты крупных систем (например, международные межбанковские сети). В 1985 г. Национальным центром компьютерной безопасности Министерства обороны США была опубликована «Оранжевая книга», в которой приводился свод правил и норм, а также основные понятия защищенности информационно-вычислительный систем. В дальнейшем эта книга превратилась в настоящее «руководство к действию» для специалистов по защите информации. В ней определяются такие понятия, как:
1. Политика безопасности — совокупность норм, правил и методик,
на основе которых в дальнейшем строится деятельность информационной системы в области обращения, хранения, распределения критичной информации.
Политика безопасности определяет:
Цели, задачи, приоритеты системы безопасности;
Гарантированный минимальный уровень защиты;
Обязанности персонала по обеспечению защиты;
Санкции за нарушение защиты;
Области действия отдельных подсистем.
2. Анализ риска состоит из нескольких этапов:
211. Описание состава системы (т. е. документация, аппаратные средства, данные, персонал и т. д.);
Определение уязвимых мест по каждому элементу системы;
Оценка вероятности реализации угроз;
Оценка ожидаемых размеров потерь;
Анализ методов и средств защиты;
Оценка оптимальности предлагаемых мер.
Окончательно анализ риска выливается в стратегический план обеспечения безопасности, важным при этом является разбивка информации на категории. Наиболее простой метод категорирования информации следующий:
конфиденциальная информация, доступ к которой строго ограничен;
открытая информация, доступ к которой посторонних не связан с материальными и другими потерями.
Для деятельности коммерческого банка такой градации вполне достаточно.
Наиболее распространенными угрозами безопасности являются:
несанкционированный доступ, который заключается в получении пользователем доступа к объекту, на который нет разрешения;
«взлом системы» — умышленное проникновение, основную нагрузку защиты в этих случаях несет программа входа;
«маскарад» — выполнение каких-либо действий одним пользователем банковской системы от имени другого;
вирусные программы — воздействие на систему специально созданными программами, которые сбивают процесс обработки информации, и т. д.
В зависимости от существующих угроз различают следующие направления защиты банковских электронных систем:
Защита аппаратуры и носителей информации от повреждения, похищения, уничтожения;
Защита информационный ресурсов от несанкционированного использования;
Защита информационный ресурсов от несанкционированного доступа;
Защита информации в каналах связи и узлах коммутации (блокирует угрозу «подслушивания»);
Защита юридической значимости электронных документов;
Защита систем от вирусов.
Существуют различные программно-технические средства защиты.
К классу технических средств относятся: средства физической защиты территорий, сети электропитания; аппаратные и аппаратно-программные средства управления доступом к персональным компьютерам, комбинированные устройства и системы.
К классу программных средств защиты относятся: проверка паролей, программы шифрования (криптографического преобразования), программы цифровой подписи, средства антивирусной защиты, программы восстановления и резервного хранения информации.
Руководящие документы в области защиты информации разработаны в России Государственной технической комиссией (ГТК) при Президенте РФ. Для коммерческих структур эти документы носят рекомендательный характер, а в государственном секторе и при содержании информации, относящейся к государственной тайне, они обязательны к исполнению. Сегодня хороших технологий защиты данных вполне хватает, но постоянно появляются новые. Компания Intel, процессорами которой оснащены 85 \% всех персональных компьютеров в мире, объявила, что скоро начнет выпускать чипы, в которых данные будут защищаться на аппаратном уровне, автоматически. США установили ограничения на экспорт мощных шифровальных технологий, в России такими технологиями вообще нельзя пользоваться без разрешения ФАПСИ (Федерального агентства правительственной связи и информации при Президенте РФ). Ни западных, ни русских сертифицированных программ защиты платежей через Интернет пока нет. В общем, проблем достаточно, но виртуальная экономика не может не развиваться. Любые платежи и банковские услуги дома выгодны для клиентов и для банков, поскольку себестоимость электронных транзакций в несколько раз ниже обычных. Это шанс для российских банков стать известными на международном уровне и получить мировое признание.
КОНТРОЛЬНЫЕ ВОПРОСЫ
Что такое Интернет?
Какие бывают виды сетей?
Дайте определение пластиковой карты.
Назовите преимущества и недостатки магнитный карт.
В чем разница между дебетовой и кредитной картой?
Каким требованиям должен отвечать банкомат?
Что такое PIN-код, как он анализируется?
Какие услуги по обслуживанию пластиковых карт предоставляются банком?
Назовите действующие ассоциации банковских пластиковых карт, объясните их функции.
Как используются банковские пластиковые карточки в России?
Какие требования предъявляются к созданию национальной платежной системы?
Что такое «home banking»?
Какие проблемы возникают у банков и клиентов при использовании системы «банк-клиент»?
От чего необходимо защищать банковскую информацию?
Что такое угроза информации, какая она бывает?
Что такое политика безопасности?
Назовите этапы анализа риска.
Как делится информация в коммерческом банке?
Какие угрозы безопасности информации вы знаете? '
Какие бывают направления защиты информации?
Что относится к классу технических средств защиты?
Что относится к классу программных средств?
Почему российским банкам необходим выход в глобальную сеть?
Обсуждение Банки и банковское дело
Комментарии, рецензии и отзывы