11.4. безопасность банковских систем

11.4. безопасность банковских систем

При создании своих электронных систем банкам необходимо уделить как можно больше внимания защите и обеспечению их безопасности. Обычно различается внутренняя и внешняя безопасность. Внутренняя безопасность обязана обеспечивать целостность программ и данных и нормальную работу всей системы. Внешняя должна защищать от любых, угрожающих сбоем в системе, проникновений. В настоящее время существуют два подхода к построению защиты банковских систем:

комплексный подход объединяет разнообразные методы противодействия угрозам;

фрагментарный подход, т. е. противодействие определенным угрозам (антивирусные средства и т. п.).

Комплексный подход применяется для защиты крупных систем (например, международные межбанковские сети). В 1985 г. Национальным центром компьютерной безопасности Министерства обороны США была опубликована «Оранжевая книга», в которой приводился свод правил и норм, а также основные понятия защищенности информационно-вычислительный систем. В дальнейшем эта книга превратилась в настоящее «руководство к действию» для специалистов по защите информации. В ней определяются такие понятия, как:

1. Политика безопасности — совокупность норм, правил и методик,

на основе которых в дальнейшем строится деятельность информационной системы в области обращения, хранения, распределения критичной информации.

Политика безопасности определяет:

Цели, задачи, приоритеты системы безопасности;

Гарантированный минимальный уровень защиты;

Обязанности персонала по обеспечению защиты;

Санкции за нарушение защиты;

Области действия отдельных подсистем.

2. Анализ риска состоит из нескольких этапов:

211. Описание состава системы (т. е. документация, аппаратные средства, данные, персонал и т. д.);

Определение уязвимых мест по каждому элементу системы;

Оценка вероятности реализации угроз;

Оценка ожидаемых размеров потерь;

Анализ методов и средств защиты;

Оценка оптимальности предлагаемых мер.

Окончательно анализ риска выливается в стратегический план обеспечения безопасности, важным при этом является разбивка информации на категории. Наиболее простой метод категорирования информации следующий:

конфиденциальная информация, доступ к которой строго ограничен;

открытая информация, доступ к которой посторонних не связан с материальными и другими потерями.

Для деятельности коммерческого банка такой градации вполне достаточно.

Наиболее распространенными угрозами безопасности являются:

несанкционированный доступ, который заключается в получении пользователем доступа к объекту, на который нет разрешения;

«взлом системы» — умышленное проникновение, основную нагрузку защиты в этих случаях несет программа входа;

«маскарад» — выполнение каких-либо действий одним пользователем банковской системы от имени другого;

вирусные программы — воздействие на систему специально созданными программами, которые сбивают процесс обработки информации, и т. д.

В зависимости от существующих угроз различают следующие направления защиты банковских электронных систем:

Защита аппаратуры и носителей информации от повреждения, похищения, уничтожения;

Защита информационный ресурсов от несанкционированного использования;

Защита информационный ресурсов от несанкционированного доступа;

Защита информации в каналах связи и узлах коммутации (блокирует угрозу «подслушивания»);

Защита юридической значимости электронных документов;

Защита систем от вирусов.

Существуют различные программно-технические средства защиты.

К классу технических средств относятся: средства физической защиты территорий, сети электропитания; аппаратные и аппаратно-программные средства управления доступом к персональным компьютерам, комбинированные устройства и системы.

К классу программных средств защиты относятся: проверка паролей, программы шифрования (криптографического преобразования), программы цифровой подписи, средства антивирусной защиты, программы восстановления и резервного хранения информации.

Руководящие документы в области защиты информации разработаны в России Государственной технической комиссией (ГТК) при Президенте РФ. Для коммерческих структур эти документы носят рекомендательный характер, а в государственном секторе и при содержании информации, относящейся к государственной тайне, они обязательны к исполнению. Сегодня хороших технологий защиты данных вполне хватает, но постоянно появляются новые. Компания Intel, процессорами которой оснащены 85 \% всех персональных компьютеров в мире, объявила, что скоро начнет выпускать чипы, в которых данные будут защищаться на аппаратном уровне, автоматически. США установили ограничения на экспорт мощных шифровальных технологий, в России такими технологиями вообще нельзя пользоваться без разрешения ФАПСИ (Федерального агентства правительственной связи и информации при Президенте РФ). Ни западных, ни русских сертифицированных программ защиты платежей через Интернет пока нет. В общем, проблем достаточно, но виртуальная экономика не может не развиваться. Любые платежи и банковские услуги дома выгодны для клиентов и для банков, поскольку себестоимость электронных транзакций в несколько раз ниже обычных. Это шанс для российских банков стать известными на международном уровне и получить мировое признание.

КОНТРОЛЬНЫЕ ВОПРОСЫ

Что такое Интернет?

Какие бывают виды сетей?

Дайте определение пластиковой карты.

Назовите преимущества и недостатки магнитный карт.

В чем разница между дебетовой и кредитной картой?

Каким требованиям должен отвечать банкомат?

Что такое PIN-код, как он анализируется?

Какие услуги по обслуживанию пластиковых карт предоставляются банком?

Назовите действующие ассоциации банковских пластиковых карт, объясните их функции.

Как используются банковские пластиковые карточки в России?

Какие требования предъявляются к созданию национальной платежной системы?

Что такое «home banking»?

Какие проблемы возникают у банков и клиентов при использовании системы «банк-клиент»?

От чего необходимо защищать банковскую информацию?

Что такое угроза информации, какая она бывает?

Что такое политика безопасности?

Назовите этапы анализа риска.

Как делится информация в коммерческом банке?

Какие угрозы безопасности информации вы знаете? '

Какие бывают направления защиты информации?

Что относится к классу технических средств защиты?

Что относится к классу программных средств?

Почему российским банкам необходим выход в глобальную сеть?