Информационная защита банков

Ценность и проблемы защиты банковской информации. Способы обеспечения безопасности автоматизированных систем обработки информации банка. Достоинства и методы криптографической защиты электронных платежей. Средства идентификации личности в банковском деле.
Краткое сожержание материала:

Размещено на

1

Министерство общего и профессионального образования Ростовской области

ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ СРЕДНЕГО ПРОФЕССИОНАЛЬНОГО ОБРАЗОВАНИЯ РОСТОВСКОЙ ОБЛАСТИ

«Ростовский-на-Дону колледж связи и информатики»

Реферат

По дисциплине: «Информационная безопасность»

Тема: Информационная защита банков

Выполнил: студент

Кладовиков В.С.

Группа ПО-44

Специальность 23010551 Программное обеспечение

вычислительной техники и автоматизированных систем

Руководитель: Семергей С.В.

2013



Содержание

Введение

1. Особенности информационной безопасности банков

2. Безопасность автоматизированных систем обработки информации в банках (АСОИБ)

3. Безопасность электронных платежей

4. Безопасность персональных платежей физических лиц

Заключение

Приложения



Введение

Со времени своего появления банки неизменно вызывали преступный интерес. И этот интерес был связан не только с хранением в кредитных организациях денежных средств, но и с тем, что в банках сосредотачивалась важная и зачастую секретная информация о финансовой и хозяйственной деятельности многих людей, компаний, организаций и даже целых государств. В настоящее время в результате повсеместного распространения электронных платежей, пластиковых карт, компьютерных сетей объектом информационных атак стали непосредственно денежные средства как банков, так и их клиентов. Совершить попытку хищения может любой - необходимо лишь наличие компьютера, подключенного к сети Интернет. Причем для этого не требуется физически проникать в банк, можно «работать» и за тысячи километров от него.

Именно эта проблема является сейчас наиболее актуальной и наименее исследованной. Если в обеспечении физической и классической информационной безопасности давно уже выработаны устоявшиеся подходы (хотя развитие происходит и здесь), то в связи с частыми радикальными изменениями в компьютерных технологиях методы безопасности автоматизированных систем обработки информации банка (АСОИБ) требуют постоянного обновления. Как показывает практика, не существует сложных компьютерных систем, не содержащих ошибок. А поскольку идеология построения крупных АСОИБ регулярно меняется, то исправления найденных ошибок и «дыр» в системах безопасности хватает ненадолго, так как новая компьютерная система приносит новые проблемы и новые ошибки, заставляет по-новому перестраивать систему безопасности.

На мой взгляд, каждый заинтересован в конфиденциальности своих персональных данных, предоставляемых банкам. Исходя из этого, написание данного реферата и изучение данной проблемы, на мой взгляд, представляется не только интересным, но и крайне полезным.

1. Особенности информационной безопасности банков

Банковская информация всегда была объектом пристального интереса всякого рода злоумышленников. Любое банковское преступление начинается с утечки информации. Автоматизированные банковские системы являются каналами для таких утечек. С самого начала внедрения автоматизированных банковских систем (АБС) они стали объектом преступных посягательств.

Так, известно, что в августе 1995 г. в Великобритании был арестован 24-летний российский математик Владимир Левин, который при помощи своего домашнего компьютера в Петербурге сумел проникнуть в банковскую систему одного из крупнейших американских банков Citibank и попытался снять с его счетов крупные суммы. По сведениям московского представительства Citibank, до тех пор подобное никому не удавалось. Служба безопасности Citibank выяснила, что у банка пытались похитить $2,8 млн., но контролирующие системы вовремя это обнаружили и заблокировали счета. Украсть же удалось лишь $400 тысяч.

В США сумма ежегодных убытков банковских учреждений от незаконного использования компьютерной информации составляет, по оценкам экспертов, от 0,3 до 5 млрд. долларов. Информация - это аспект общей проблемы обеспечения безопасности банковской деятельности.

В связи с этим, стратегия информационной безопасности банков весьма сильно отличается от аналогичных стратегий других компаний и организаций. Это обусловлено, прежде всего, специфическим характером угроз, а также публичной деятельностью банков, которые вынуждены делать доступ к счетам достаточно легким с целью удобства для клиентов.

Обычная компания строит свою информационную безопасность, исходя лишь из узкого круга потенциальных угроз - главным образом защита информации от конкурентов (в российских реалиях основной задачей является защита информации от налоговых органов и преступного сообщества с целью уменьшения вероятности неконтролируемого роста налоговых выплат и рэкета). Такая информация интересна лишь узкому кругу заинтересованных лиц и организаций и редко бывает ликвидна, т.е. обращаема в денежную форму.

Информационная безопасность банка должна учитывать следующие специфические факторы:

1. Хранимая и обрабатываемая в банковских системах информация представляет собой реальные деньги. На основании информации компьютера могут производиться выплаты, открываться кредиты, переводиться значительные суммы. Вполне понятно, что незаконное манипулирование с такой информацией может привести к серьезным убыткам. Эта особенность резко расширяет круг преступников, покушающихся именно на банки (в отличие от, например, промышленных компаний, внутренняя информация которых мало кому интересна).

2. Информация в банковских системах затрагивает интересы большого количества людей и организаций - клиентов банка. Как правило, она конфиденциальна, и банк несет ответственность за обеспечение требуемой степени секретности перед своими клиентами. Естественно, клиенты вправе ожидать, что банк должен заботиться об их интересах, в противном случае он рискует своей репутацией со всеми вытекающими отсюда последствиями.

3. Конкурентоспособность банка зависит от того, насколько клиенту удобно работать с банком, а также насколько широк спектр предоставляемых услуг, включая услуги, связанные с удаленным доступом. Поэтому клиент должен иметь возможность быстро и без утомительных процедур распоряжаться своими деньгами. Но такая легкость доступа к деньгам повышает вероятность преступного проникновения в банковские системы.

4. Информационная безопасность банка (в отличие от большинства компаний) должна обеспечивать высокую надежность работы компьютерных систем даже в случае нештатных ситуаций, поскольку банк несет ответственность не только за свои средства, но и за деньги клиентов.

5. Банк хранит важную информацию о своих клиентах, что расширяет круг потенциальных злоумышленников, заинтересованных в краже или порче такой информации.

К сожалению, в наши дни, в связи с высоким развитием технологий, даже предельно жесткие организационные меры по упорядочению работы с конфиденциальной информацией не защитят от ее утечки по физическим каналам. Поэтому системный подход к защите информации требует, чтобы средства и действия, используемые банком для обеспечения информационной безопасности (организационные, физические и программно-технические), рассматривались как единый комплекс взаимосвязанных, взаимодополняющих и взаимодействующих мер. Такой комплекс должен быть нацелен не только на защиту информации от несанкционированного доступа, но и на предотвращение случайного уничтожения, изменения или разглашения информации.

2. Безопасность автоматизированных систем обработки информации в банках (АСОИБ)

Не будет преувеличением сказать, что проблема умышленных нарушений функционирования АСОИБ различного назначения в настоящее время является одной из самых актуальных. Наиболее справедливо это утверждение для стран с сильно развитой информационной инфраструктурой, о чем убедительно свидетельствуют приводимые ниже цифры.

Известно, что в 1992 году ущерб от компьютерных преступлений составил $555 млн., 930 лет рабочего времени и 15.3 года машинного времени. По другим данным ущерб финансовых организаций составляет от $173 млн. до $41 млрд. в год.

Из данного примера, можно сделать вывод, что системы обработки и защиты информации отражают традиционный подход к вычислительной сети как к потенциально ненадежной среде передачи данных. Существует несколько основных способов обеспечения безопасности программно-технической среды, реализуемых различными методами:

1. Идентификация (аутентификация) и авторизация при помощи паролей.

1.1. Создание профилей пользователей. На каждом из узлов создается база данных пользователей, их паролей и профилей доступа к локальным ресурсам вычислительной системы.

1.2. Создание профилей процессов. Задачу аутентификации выполняет независимый (third-party) сервер, который содержит пароли, как для пользователей, так и для конечных серверов (в случае группы серверов, базу данных паролей также содержит только один (master) сервер аутентификации; остальные - лишь периодически обновляемые копии). Таким образом, использование сетевых услуг требует двух паролей (хотя пользователь долж...