СОДЕРЖАНИЕ
| ВВЕДЕНИЕ | |
| 1. ПОНЯТИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ПРЕДПРИЯТИЯ | |
| 2. ОСОБЕННОСТИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ БАНКОВ | |
| 3. БЕЗОПАСНОСТЬ АВТОМАТИЗИРОВАННЫХ СИСТЕМ ОБРАБОТКИ ИНФОРМАЦИИ В БАНКАХ | |
| 4. БЕЗОПАСНОСТЬ ЭЛЕКТРОННЫХ ПЛАТЕЖЕЙ | |
| 5. БЕЗОПАСНОСТЬ ПЕРСОНАЛЬНЫХ ПЛАТЕЖЕЙ ФИЗИЧЕСКИХ ЛИЦ | |
| ЗАКЛЮЧЕНИЕ | |
| СПИСОК ЛИТЕРАТУРЫ | |
| ПРИЛОЖЕНИЕ А |
 |
ВВЕДЕНИЕ
Со времени своего появления банки неизменно вызывали преступный интерес. И этот интерес был связан не только с хранением в кредитных организациях денежных средств, но и с тем, что в банках сосредотачивалась важная и зачастую секретная информация о финансовой и хозяйственной деятельности многих людей, компаний, организаций и даже целых государств. В настоящее время в результате повсеместного распространения электронных платежей, пластиковых карт, компьютерных сетей объектом информационных атак стали непосредственно денежные средства как банков, так и их клиентов. Совершить попытку хищения может любой - необходимо лишь наличие компьютера, подключенного к сети Интернет. Причем для этого не требуется физически проникать в банк, можно «работать» и за тысячи километров от него.
Именно эта проблема является сейчас наиболее актуальной и наименее исследованной. Если в обеспечении физической и классической информационной безопасности давно уже выработаны устоявшиеся подходы, то в связи с частыми радикальными изменениями в компьютерных технологиях методы безопасности автоматизированных систем обработки информации банка (АСОИБ) требуют постоянного обновления. Как показывает практика, не существует сложных компьютерных систем, не содержащих ошибок. А поскольку идеология построения крупных АСОИБ регулярно меняется, то исправления найденных ошибок и «дыр» в системах безопасности хватает ненадолго, так как новая компьютерная система приносит новые проблемы и новые ошибки, заставляет по-новому перестраивать систему безопасности.
 |
1. ПОНЯТИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ПРЕДПРИЯТИЯ
Понятие «информационная безопасность», в зависимости от его применения, может быть рассмотрено с нескольких сторон.
В общем понятии информационная безопасность — это состояние защищенности информации. Информационная безопасность создает условия формирования безопасного состояния информационной среды общества, его использование и развитие в интересах граждан, предприятий и даже государства.
Информационная среда — это «сфера деятельности субъектов, связанная с созданием, преобразованием и потреблением информации». Условно ее можно поделить на три главные предметные составляющие:
¾ Создание и распространение информации;
¾ Создание информационных ресурсов, подготовки информационных продуктов, предоставления информационных услуг;
¾ Потребление информации;
Более развернутое определение информационной безопасности — это состояние защищенности потребностей в информации граждан, общества и государства, при котором поддерживается их существование и динамичное развитие независимо от присутствия внутренних и внешних угроз для информации.
Информационная безопасность может быть определена способностью индивида, общества, предприятия:
¾ Позволять с конкретной вероятностью необходимые и надежные информационные ресурсы и информационные потоки для обеспечения своей работоспособности, стабильного функционирования и прогресса в развитии;
¾ Противодействовать информационным угрозам и рискам, отрицательным информационным влияние на индивидуальное и общественное мнение, на компьютерные системы и сети, а также другие источники информации;
¾ Сформировать навыки безопасного поведения;
¾ Обеспечивать непрерывную готовность к различным мерам в информационном противостоянии.
Защита информации и данных предусматривает перечень мероприятий, которые направлены на поддержку безопасности данных и информации.
Для каждого современного предприятия, компании или организации одной из самых главных задач является именно обеспечение информационной безопасности. Когда предприятие стабильно защищает свою информационную систему, оно создает надежную и безопасную среду для своей деятельности. Повреждение, утечка, неимение и кража информации — это всегда убытки для каждой компании. Например, могут появиться убытки от плохой репутации компании, от отсутствия клиентов, от затрат на возобновление стабильной работы или от потери важной информации, которой располагала данная компания.
На данный момент сформулировано три базовых задачи, которые должна обеспечивать информационная безопасность:
¾ Целостность данных — защита от сбоев, ведущих к потере информации, а также защита от незаконного создания или уничтожения данных. Примером нарушения целостности данных является повреждение бухгалтерских баз, в дальнейшем это повлечет за собой последствия, которые определенно станут негативными для компании.
¾ Конфиденциальность информации — незаконное разглашение, утечка, повреждение информации;
¾ Доступность информации для всех пользователей — отказ в обслуживании или услугах, которые могут быть вызваны вирусной активностью или действиями злоумышленников.
Нарушение одного из этих аспектов может привести к невозможности нормальной работы предприятия. На наличие любого из нарушений могут повлиять и внутренние, и внешние угрозы. Учитывая сегодняшнее развитие информационного общества, можно сделать вывод о тенденции к росту количества угроз безопасности.
Полноценная информационная безопасность компаний предполагает постоянный контроль всех существенных событий и состояний, которые влияют на надежность защиты информации. Причем, защита обязана осуществляться постоянно и охватывать весь жизненный цикл данных, то есть от ее поступления или создания до уничтожения или утраты важности и актуальности.
Основными факторами, оказывающими влияние на защиту информации и данных на предприятии, являются:
¾ Приумножение сотрудничества компании с партнерами;
¾ Автоматизация бизнес-процессов;
¾ Тенденция к росту объемов информации предприятия, которая передается по доступным каналам связи;
¾ Тенденция к росту компьютерных преступлений.
Информационная защита предприятия определяется целым сочетанием предпринимаемых мер, которые направлены на безопасность важной информации. Эти меры можно разделить на две группы:
¾ Организационные меры;
¾ Технические меры.
Организационные меры заключаются в формальных процедурах и правилах работы с важной информацией, информационными сервисами и средствами защиты. Технические меры включают в себя использование программных средств контроля доступа, мониторинг утечек и краж информации, антивирусную защиту, защиту от электромагнитных излучений и т. д.
Задачи систем информационной безопасности компании многогранны. К примеру, это обеспечение надежного хранения данных на различных носителях; защита информации, передаваемой по каналам связи; ограничение доступа к некоторым данным; создание резервных копий и другое.
Полноценное обеспечение информационной безопасности компании реально только при правильном подходе к защите данных. В системе информационной безопасности нужно учитывать все актуальные на сегодняшний день угрозы и уязвимости:
Таблица 1- Угрозы информационной безопасности
| Признаки | Пример угрозы | ||
| Природа возникновения | Естественные | Угрозы, вызванные обычными физическими процессами или стихийными бедствиями | - Цунами - Торнадо - Пожар |
| Искусственные | Угрозы, вызванные деятельностью человека | - Рассылка спам-сообщений, содержащих вирусы - DdoS-атаки на сайт - Порча оборудования | |
| Степень мотивации | Непреднамеренные | Случайные ошибки в проектировании, в программном обеспечении, ошибки в работе персонала | Неумышленная порча носителей информации Случайное отключение оборудования Случайное удаление или искажение файлов с важной информацией |
| Преднамеренные | Идейные, алчные цели других людей для получения материальной выгоды. Иногда мотивом служит месть или моральные убеждения | - Использование подслушивающих устройств - Незаконное получение паролей и логинов - Кража списанных носителей информации | |
| Положению относительно контролируемой зоны | Внутренние | Кража носителей с различного рода информацией, порча оборудования | - Хищение USB-устройства - Подкуп, шантаж персонала |
| Внешние | Перехват данных | Перехват данных во время разговора с помощью Skype; Перехват электронных сообщений, содержащих конфиденциальную информацию | |
| Степень влияния | Пассивные | Угрозы, не мешающие стабильной работе | - Прослушивание разговоров по телефону - Копирование информации |
| Активные | Угрозы, нарушающие нормальную работу | - Компьютерные вирусы - Рекламные баннеры | |
| Нарушаемый аспект информационной безопасности | Конфиденциальность | Угрозы, связанные с незаконным доступом к информации | Перехват информации, передаваемой по техническим каналам связи |
| Доступность | Угрозы, связанные с невозможностью получить определенную информацию или воспользоваться ей | - Невозможность пользователя попасть на сайт, который подвергся DdoS-атаке - Повреждение оборудования из-за грозы | |
| Целостность | Незаконное изменение или подделка информации | - Подделка информации на официальном сайте компании - Отказ от авторства - Несанкционированное изменение информации (после DdoS-атаки на сайт) | |
| Способ реализации | Незаконный доступ | Несанкционированный доступ к аккаунтам, учетным записям, личным кабинетам | Передача данных из-за рассылки фишинговых сайтов на почту |
| Умышленное воздействие на информацию | Преднамеренное изменение или уничтожение информации | Изменение информации на сайте после DdoS-атаки | |
| Утечка информации через каналы связи | Прослушивание, перехват информации по различным техническим каналам связи, в том числе через сеть | Незаконное прослушивание телефонных разговоров с целью получения конфиденциальной информации |
ОСОБЕННОСТИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ БАНКОВ
Банковская информация всегда была объектом пристального интереса всякого рода злоумышленников. Любое банковское преступление начинается с утечки информации. Автоматизированные банковские системы являются каналами для таких утечек. С самого начала внедрения автоматизированных банковских систем (АБС) они стали объектом преступных посягательств.
Так, известно, что в августе 1995 г. в Великобритании был арестован 24-летний российский математик Владимир Левин, который при помощи своего домашнего компьютера в Петербурге сумел проникнуть в банковскую систему одного из крупнейших американских банков Citibank и попытался снять с его счетов крупные суммы. По сведениям московского представительства Citibank, до тех пор подобное никому не удавалось. Служба безопасности Citibank выяснила, что у банка пытались похитить $2,8 млн., но контролирующие системы вовремя это обнаружили и заблокировали счета. Украсть же удалось лишь $400 тысяч.
В США сумма ежегодных убытков банковских учреждений от незаконного использования компьютерной информации составляет, по оценкам экспертов, от 0,3 до 5 млрд. долларов. Информация - это аспект общей проблемы обеспечения безопасности банковской деятельности.
В связи с этим, стратегия информационной безопасности банков весьма сильно отличается от аналогичных стратегий других компаний и организаций. Это обусловлено, прежде всего, специфическим характером угроз, а также публичной деятельностью банков, которые вынуждены делать доступ к счетам достаточно легким с целью удобства для клиентов.
Обычная компания строит свою информационную безопасность, исходя лишь из узкого круга потенциальных угроз - главным образом защита информации от конкурентов (в российских реалиях основной задачей является защита информации от налоговых органов и преступного сообщества с целью уменьшения вероятности неконтролируемого роста налоговых выплат и рэкета). Такая информация интересна лишь узкому кругу заинтересованных лиц и организаций и редко бывает ликвидна, т.е. обращаема в денежную форму.
Информационная безопасность банка должна учитывать следующие специфические факторы:
- Хранимая и обрабатываемая в банковских системах информация представляет собой реальные деньги. На основании информации компьютера могут производиться выплаты, открываться кредиты, переводиться значительные суммы. Вполне понятно, что незаконное манипулирование с такой информацией может привести к серьезным убыткам. Эта особенность резко расширяет круг преступников, покушающихся именно на банки (в отличие от, например, промышленных компаний, внутренняя информация которых мало кому интересна).
- Информация в банковских системах затрагивает интересы большого количества людей и организаций - клиентов банка. Как правило, она конфиденциальна, и банк несет ответственность за обеспечение требуемой степени секретности перед своими клиентами. Естественно, клиенты вправе ожидать, что банк должен заботиться об их интересах, в противном случае он рискует своей репутацией со всеми вытекающими отсюда последствиями.
- Конкурентоспособность банка зависит от того, насколько клиенту удобно работать с банком, а также насколько широк спектр предоставляемых услуг, включая услуги, связанные с удаленным доступом. Поэтому клиент должен иметь возможность быстро и без утомительных процедур распоряжаться своими деньгами. Но такая легкость доступа к деньгам повышает вероятность преступного проникновения в банковские системы.
- Информационная безопасность банка (в отличие от большинства компаний) должна обеспечивать высокую надежность работы компьютерных систем даже в случае нештатных ситуаций, поскольку банк несет ответственность не только за свои средства, но и за деньги клиентов.
- Банк хранит важную информацию о своих клиентах, что расширяет круг потенциальных злоумышленников, заинтересованных в краже или порче такой информации.
К сожалению, в наши дни, в связи с высоким развитием технологий, даже предельно жесткие организационные меры по упорядочению работы с конфиденциальной информацией не защитят от ее утечки по физическим каналам. Поэтому системный подход к защите информации требует, чтобы средства и действия, используемые банком для обеспечения информационной безопасности (организационные, физические и программно-технические), рассматривались как единый комплекс взаимосвязанных, взаимодополняющих и взаимодействующих мер. Такой комплекс должен быть нацелен не только на защиту информации от несанкционированного доступа, но и на предотвращение случайного уничтожения, изменения или разглашения информации.