Направление защиты автоматизированной системы обработки информации в банке "Глобэкс"
Анализ состояния банковской системы России. Особенности информационной безопасности банков и обзор возможных угроз автоматизированной системы обработки информации на примере исследуемого банка. Предложения по организационному обеспечению безопасности.
Рубрика | Программирование, компьютеры и кибернетика |
Вид | дипломная работа |
Язык | русский |
Дата добавления | 02.02.2012 |
Размер файла | 85,2 K |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Размещено на http://www.allbest.ru/
МИНИСТЕРСТВО ОБРАЗОВАНИЯ РОССИЙСКОЙ ФЕДЕРАЦИИ
РОССИЙСКИЙ ГОСУДАРСТВЕННЫЙ ГУМАНИТАРНЫЙ УНИВЕРСИТЕТ
ИНСТИТУТ ИНФОРМАЦИОННЫХ НАУК И ТЕХНОЛОГИЙ БЕЗОПАСНОСТИ
ФАКУЛЬТЕТ ЗАЩИТЫ ИНФОРМАЦИИ
Кафедра организационной защиты информации
Дипломная работа
НАПРАВЛЕНИЕ ЗАЩИТЫ АВТОМАТИЗИРОВАННОЙ СИСТЕМЫ ОБРАБОТКИ ИНФОРМАЦИИ В БАНКЕ "ГЛОБЭКС "
Введение
Со времени своего появления банки неизменно вызывали интерес. И этот интерес был связан не только с хранением в кредитных организациях денежных средств, но и с тем, что в банках сосредотачивалась важная и зачастую секретная информация о финансовой и хозяйственной деятельности многих людей, компаний, организаций и даже целых государств. Так, еще в XVIII веке недоброжелатели известного Джакомо Казановы опубликовали закрытые данные о движении средств по его счету в одном из парижских банков. Из этой информации следовало, что организованная Казановой государственная лотерея приносила доход не только казне, но и (в не меньших масштабах) ему лично.
В наши дни в период компьютеризации банковской деятельности значение информационной безопасности банков многократно возросло. Еще 30 лет назад объектом информационных атак были данные о клиентах банков или о деятельности самого банка. Такие атаки были редкими, круг их заказчиков был очень узок, а ущерб мог быть значительным лишь в особых случаях. В настоящее время в результате повсеместного распространения электронных платежей, пластиковых карт, компьютерных сетей объектом информационных атак стали непосредственно денежные средства как банков, так и их клиентов. Совершить попытку хищения может любой -- необходимо лишь наличие компьютера, подключенного к сети Интернет. Причем для этого не требуется физически проникать в банк, можно “работать” и за тысячи километров от него.
Компьютеризация банковской деятельности позволила значительно повысить производительность труда сотрудников банка, внедрить новые финансовые продукты и технологии. Однако прогресс в технике преступлений шел не менее быстрыми темпами, чем развитие банковских технологий. В настоящее время свыше 90% всех преступлений связано с использованием автоматизированных систем обработки информации банка (АСОИБ). Следовательно, при создании и модернизации АСОИБ банкам необходимо уделять пристальное внимание обеспечению ее безопасности.
Именно эта проблема является сейчас наиболее актуальной. Как показывает практика, не существует компьютерных систем, не содержащих ошибок. А поскольку идеология построения крупных АСОИБ регулярно меняется, то исправлений найденных ошибок и уязвимостей в системах безопасности хватает ненадолго, так как новая компьютерная система приносит новые проблемы и новые ошибки, заставляет по-новому перестраивать систему безопасности.
Особенно актуальна данная проблема в России. В России большинство банков разрабатывает собственное программное обеспечение. Надежность такого программного обеспечения (ПО) ниже из-за того, что банки не сертифицируют свое ПО, следовательно, их разработки ниже по качеству, чем сертифицированные разработки компаний, обладающих лицензиями, штатом высококвалифицированных сотрудников.
В связи с этим тема дипломной работы представляется актуальной и посвящена анализу и направлениям совершенствования системы защиты автоматизированных информационных технологий в АКБ «Глобэкс».
Целью дипломной работы является рассмотрение банковской деятельности как объекта защиты, рассмотрение различных направлений защиты автоматизированной системы обработки информации в АКБ «Глобэкс».
Задачами дипломного исследования являются:
1. Анализ угроз безопасности АСОИ в АКБ «Глобэкс».
2. Выявление недостатков в обеспечении безопасности АСОИ в АКБ « Глобэкс».
3. Разработка предложений по совершенствованию защиты автоматизированной системы обработки информации в АКБ «Глобэкс».
При написании дипломной работы были использованы следующие источники и законодательные акты:
* Федеральный Закон РФ “О банках и банковской деятельности”;
* Федеральный Закон РФ “О безопасности”;
* Федеральный Закон РФ “О частной детективной и охранной деятельности в РФ”;
* Гражданский кодекс РФ;
* Трудовой кодекс РФ;
* Федеральный Закон РФ “ Об информации, информатизации и защите информации”;
* Постановление Правительства РФ “ О перечне сведений, которые не могут составлять коммерческую тайну”;
Также при работе над дипломом использовались внутренние нормативные документы АКБ "Глобэкс": Устав банка, Распорядок внутреннего трудового дня, Должностные инструкции сотрудников.
Кроме нормативных документов в дипломной работе была использована следующая литература:
книга «Безопасность коммерческого банка» (авторы Гамза В.А. и Ткачук И.Б.), в которой рассматриваются необходимые правовые и организационные условия защиты интересов банка, в том числе защита от посягательств на сведения конфиденциального характера и компьютерную информацию банка.
книга «Основы защиты информации» (авторы Халяпин Д.Б., Ярочкин В.И.), в которой рассматриваются понятия и содержание коммерческой тайны, источники, составляющие коммерческую тайну, каналы утечки информации, промышленный шпионаж и основы комплексной защиты информации.
- книга « Безопасность электронных банковских систем» (авторы Гайкович Ю.В., Першин А.С.), предметом которой является рассмотрение автоматизированных систем обработки информации в банках и их защита, также система электронных платежей в банках.
книга «Автоматизированные банковские системы» (автор Демин В.С. и др.), в которой рассматриваются принципы функционирования автоматизированных банковских систем.
Исходя из целей и задач представляется оптимальной следующая структура дипломной работы: введение, три главы, заключение, список использованных источников и литературы, приложения.
В первой главе анализируется состояние банковской системы России, дается обзор основных направлений деятельности АКБ «Глобэкс», рассматриваются особенности информационной безопасности банков.
Во второй главе дается анализ угроз автоматизированной системе обработки информации в АКБ «Глобэкс» и описывается состояние защиты информации в самом банке.
В третьей главе рассматриваются направления построения системы безопасности АСОИ в АКБ «Глобэкс», также даны предложения по организационному обеспечению безопасности.
В заключении отражены общие итоги исследования данной темы, обобщены выводы. Полный список использованных источников и литературы приведен в конце работы.
1. Состояние информационной безопасности в АКБ «Глобэкс»
1.1 Анализ развития банковской системы в России
Основным жизненно важным интересом банка является приобретение, накопление и распределение в соответствии с уставными целями денежных средств и иных ресурсов. Это вытекает из смысла ст.1 Федерального Закона РФ «О банках и банковской деятельности в Российской Федерации», в которой основной целью деятельности банка названо извлечение прибыли. Все остальные сферы деятельности банка имеют подчиненный характер и вытекают из основной цели.
Функциями коммерческого банка являются кредитование и расчеты. Банки принимают и размещают денежные вклады, привлекают и предоставляют кредиты, осуществляют расчеты по поручению клиентов и банков-корреспондентов и кассовое обслуживание. Банки могут совершать также иные операции, не противоречащие законодательству и предусмотренные в их уставах, в частности, ведение счетов клиентов и банков-корреспондентов, выпуск платежных документов и ценных бумаг, выдачупоручительств, гарантий и иных обязательств за третьих лиц,предусматривающих их исполнение в денежной форме, лизинговые ифакторинговые операции. Банкам запрещается осуществлять деятельность в сфере материального производства и торговли материальными ценностями, а также по всем видам страхования, за исключением страхования валютных и кредитных рисков.
В 2002 году в России были окончательно преодолены последствия системного кризиса: к концу 2001 года активы действующих банков в реальном выражении достигли 140%, а капитал в реальном выражении превысил 120% докризисного уровня (1998). Чистые доходы российских банков за 2002 год составили более 76 млрд. рублей, что соответствует показателям середины 90-х годов. Однако, в отличие от структуры доходов банков 1996-1997 годов, в которых доминировали операции с рублевыми и валютными госбумагами, в настоящее время крупной статьей доходов стало кредитование реального сектора экономики. Теперь банки не финансируют бюджет, лишая предприятия кредитных ресурсов, а сами зарабатывают на кредитовании. Темпы роста самого доходного вида банковских активов - кредитование нефинансового сектора - в 2002 году продолжали расти.
2002 году обороты рынка государственных ценных бумаг не достигли докризисного уровня. В течение прошлого года ежедневный оборот рынка составлял в среднем 20 млн. долларов, в то время как в 1997 году он достигал 750 млн. долларов. Операции на рынке корпоративных ценных бумаг занимали в активах банков небольшое место: в 2001 году доля негосударственных ценных бумаг (за вычетом векселей) составляла всего лишь 1,5-2% (что соответствует докризисному уровню). Но следует отметить, что средства, которые использовали банки в 2002 году при операциях на фондовом рынке, заметно выросли. В 2002 году, как и в предшествующие ему посткризисные годы, весьма заметным направлением деятельности российских банков был перевод средств в зарубежные банки. Прирост кредитования в 2001 году уменьшил часть избыточной ликвидности, характерной для банков в 2000 году. Таким образом, современное относительно благополучное положение банковской системы России основывается на растущем кредитовании при сохранении высокого качества кредитов.
По-прежнему актуальной для российских банков оставалась в 2002 году задача повышения капитализации. Банковская система как финансовый посредник имела и имеет в настоящее время четыре основных источника пассивов и четыре основных направления активных операций: государство, реальный сектор, население и внешний мир. Нерезиденты, ранее активно поддерживавшие российские банки, после дефолта превратились из кредиторов в заемщиков. В течение длительного времени кредитование предприятий в российской экономике оставалось почти целиком делом самих предприятий. Остатки на текущих и депозитных счетах реального сектора в 1997 - первой половине 1998 года составляли более 90% от величины выданных кредитов. Однако начиная с 2000 года рост остатков на счетах стал все больше отставать от потребностей в кредитах. Одним из реальных путей повышения капитализации стал путь привлечения в банки средств населения.
Население в последние годы оставалось единственным чистым кредитором банков. За 2002 год банковские вклады физических лиц в реальном выражении увеличились на 46%, в то время как средства предприятий только на 18%. В 2002 году отмечен высокий рост вкладов населения в негосударственных банках - темпы роста вкладов во многих из них превышали темпы Сбербанка. И хотя Сбербанк оставался доминирующим игроком на рынке частных вкладов, его доля в течение года постепенно снижалась: с 75% на начало января до 71,7% на конец декабря. Наиболее заметной эта тенденция оказалась в секторе рублевых вкладов.
В 2002 году российские банки все активнее стали выполнять свою основную функцию - перевод сбережений в инвестиции. Вероятно, в ближайший год эта позитивная тенденция сохранится.
Анализ положения банковской системы позволяет сделать вывод, что последние два года стали одними из самых благополучных для российских банков. Внешние условия для развития кредитных организаций были хорошими. Сократившийся, но сохраняющийся экономический рост, остающаяся благоприятной конъюнктура мировых рынков, относительно устойчивое финансовое положение нефинансовых предприятий и госбюджета позволяли банкам наращивать свои активы, капиталы, обязательства. Сегодня с достаточной долей уверенности можно говорить о хороших перспективах развития российской банковской системы в 2003 году.
1.2 Акционерный коммерческий банк «Глобэкс»
Одним из банков, действующих на финансовом рынке России, является Акционерный коммерческий банк «Глобэкс». АКБ «Глобэкс» является закрытым акционерным обществом, зарегистрирован 28 июля 1992 года. Учредителями банка выступили государственные и коммерческие страховые и инвестиционные компании России.
Главной задачей банка является предоставление полного комплекса высококачественных банковских услуг для своих клиентов, также расширение своей деятельности на рынке ценных бумаг, в том числе на вексельном рынке. В 2003 году банк ставит своей задачей принятие участия в системе прямых расчетов Банка России, начать использование электронной системы связи с корреспондентами и совершенствование системы оперативного управления денежными средствами «Клиент-Банк» .
В настоящее время акционерами банка являются: ООО "Импекс-континент-групп", ООО "Брабус-Инвест", ООО "Вал-Газ", ООО "Велмар хаус", ООО "Макгри плюс", ООО "Си Вест", ООО "Нейрон-групп", ООО "Нефтетрейд", ООО "Оптоволокно", ООО "Сабвей-групп", ЗАО "Центральное отделение Автомобильной финансовой корпорации", ЗАО "Росхимнефть", ОАО Центральная компания финансово-промышленной группы "Специальное транспортное машиностроение", ОАО Внешнеэкономическое объединение "Медэкспорт", ОАО "Оргкомитет", ЗАО "Инко-ТНК", ЗАО "Аудиторская фирма "Мариллион", ООО "Скинер".
На сегодняшний день зарегистрированный уставный капитал банка составляет 10 084 431 тысяч рублей. Банк имеет Генеральную лицензию Центрального банка Российской Федерации на совершение банковских операций №1942.
Банк «Глобэкс» имеет лицензию профессионального участника рынка ценных бумаг на осуществление следующих видов деятельности: дилерская, брокерская, депозитарная деятельность и деятельность по доверительному управлению.
Банк «Глобэкс» является членом Национальной ассоциации участников фондового рынка (НАУФОР), Национальной фондовой ассоциации (НФА) и Ассоциации участников вексельного рынка (АУВЕР).
Клиентами банка являются ведущие страховые компании, строительные организации и фирмы, телекоммуникационные и информационные компании, предприятия авиационного комплекса, машиностроения, нефтеперерабатывающие заводы, транспортные компании, торговые фирмы и представительства.
В соответствии с Уставом управление Банком осуществляет собрание акционеров и Совет директоров банка, избираемый собранием. Управление текущей деятельностью осуществляет Президент банка, назначаемый Советом директоров . Собрание акционеров утверждает Устав Банка, Положение о Совете Банка, Ревизионной Комиссии и вносит в них изменения.
Президенту банка через институт вице-президенства подчиняются Финансовый департамент, Департамент внутреннего контроля, Департамент координации проектов, Департамент внешних связей, Департамент экономического анализа и отчетности. Напрямую Президенту банка подчиняются: Департамент корпоративного бизнеса, Департамент казначейства, Департамент ценных бумаг, Департамент по обслуживанию физических лиц, Юридический департамент, Служба безопасности и Управление делами. Организационная структура АКБ «Глобэкс» представлена на рис.1
Рис.1
Учет и документооборот в Банке в соответствии с уставом организуется по правилам, установленным Центральным банком РФ.
Банк состоит из головного офиса и отделений. Банк оказывает широкий спектр услуг в рублях и иностранных валютах:
бесплатное расчетно-кассовое обслуживание для юридических и физических лиц;
размещение денежных средств клиента во вклады различной срочности и доходности;
прием денежных средств в трастовое (доверительное) управление;
продажа банковских векселей;
кредитование клиентов банка с большим выбором форм организации кредита;
гарантирование ссуд и исполнения других обязательств клиента перед третьими лицами на взаимовыгодных условиях;
конвертация денежных средств в различные валюты и осуществление расчетов со странами ближнего и дальнего зарубежья;
консультирование клиентов по вопросам экономической конъюнктуры и принятия оптимальных решений в сфере финансов;
представление интересов клиента на денежных рынках.
Существующая структура банка является наиболее оптимальной для взаимодействия отделов и персонала банка, но помимо организационной структуры банка в целом необходимо рассмотреть деятельность службы безопасности АКБ «Глобэкс», поскольку служба безопасности отвечает за безопасность банка.
Целью деятельности Службы безопасности (СБ) АКБ «Глобэкс» является своевременное выявление и нейтрализация, при участии других отделов и служб банка, внешних и внутренних угроз экономической безопасности.
От 14.09.92 был издан приказ по банку № 61 о создании службы безопасности. Служба безопасности организуется в соответствии с Законом “О частной детективной и охранной деятельности”, в соответствии с которым СБ банка является самостоятельным структурным подразделением. Начальник Службы безопасности подчиняется непосредственно Президенту банка. Основной задачей службы безопасности является обеспечения целостности экономических, правовых, технологических, режимных и других важных аспектов деятельности банка.
Состав СБ достаточно многочисленен. В службу безопасности входит несколько отделов: 1. Служба физической охраны 2. Отдел инженерной защиты 3. Служба сопровождения и внедрения программного обеспечения. 4. Отдел режима.
Непосредственно в подчинении начальника СБ находятся руководители отделов и служб. В АКБ “Глобэкс” начальник СБ, руководители отделов и служб выполняют следующие функции:
- участвуют в разработке основополагающих документов с целью закрепления в них требований обеспечения безопасности и защиты коммерческой тайны банка;
- организуют и проводят служебные расследования фактов разглашения сведений, утрат документов и других фактов нарушения безопасности предприятия;
- выявляют недобросовестных клиентов и конкурентов банка и принимают меры по противодействию их деятельности;
- поддерживают контакты с правоохранительными органами и СБ других предприятий, банков в интересах изучения криминогенной обстановки в районе и городе.
Организационная структура службы безопасности банка охватывает весь спектр направлений обеспечения безопасности. Но необходимо отметить, что в штатном расписании АКБ «Глобэкс» отсутствует достаточное количество должностей, связанных с обеспечением компьютерной безопасности. Основные функции по вопросам компьютерной безопасности выполняют программисты.
В связи с тем, что в последние годы увеличился поток денежных средств, которыми оперируют банки, влияние достижений с сфере компьютерной обработки информации стало оказывать все большее влияние на развитие банковских технологий.
1.3 Влияние достижений в сфере компьютерной обработки информации на развитие банковских технологий
Современные информационные технологии все в большей степени начинают оказывать влияние на выработку стратегической политики банка.
Нынешние изменения в банковской сфере связаны с влиянием ряда факторов, в числе которых международная тенденция глобализации рынка банковских услуг, изменение законодательства, а также развитие информационных технологий. Все это заставляет банки изменять способы обслуживания клиентов.
К основным внешним факторам, влияющим на банковскую индустрию в Европе, специалисты фирмы DEC относят следующие:
* Общий рынок. Европейское Сообщество приняло решение о создании Общего европейского рынка товаров и услуг. Также как и некоторые положения Программы Общего рынка, некоторые директивы, вытекающие из этого решения, окажут воздействие на деятельность банков.
* Вторая банковская директива. Наиболее значительным актом, оказывающим воздействие на деятельность банков, является Вторая координационная банковская директива [Second Coordination Directive (Banking)], принятая к исполнению всеми членами Сообщества с 1 января 1993г. Основным содержанием этой директивы являются принципы внутригосударственного управления и всеобщего одобрения членами Сообщества стандартов контроля и регулирования деятельности банков. Это позволяет банкам Сообщества, имеющим лицензии на деятельность в своей стране, выполнять операции в рамках всего Сообщества без получения дополнительных лицензий.
* Глобализация рынка услуг. С развитием новых технологий исчезают ограничения, связанные с национальными барьерами, и рынок услуг становится доступным 24 часа в сутки.
* Изменения в законодательстве. Изменения в законодательстве поощряют небанковские организации оказывать финансовые услуги в прямом соперничестве с банками. Многие из таких организаций созданы недавно, их деятельность не регулируется так, как банковская, и они не нуждаются в дорогостоящей инфраструктуре для этой цели. Они используют существующие сети распределения и продаж для оказания услуг, стоимость которых оказывается меньше, чем у банков. Более того, они не наследуют традиционную банковскую инфраструктуру: многие банки считают слишком обременительной для себя ее переориентацию. Небанковские организации используют расширяющуюся сеть клиентов и увеличение продаж в тех областях, которые были исключительной вотчиной банков. Так, например, английская фирма Marks & Spencer успешно внедрилась на финансовый рынок с помощью создания собственного инвестиционного фонда и карточек для обслуживания в магазинах.
* Увеличение требовательности клиентов. Информированность клиентов о доступности услуг банков и их стоимости приводит к увеличению требований к качеству и стоимости предлагаемых услуг. Особенно это касается крупнейших универсальных банков, которые становятся все менее привлекательны для клиентов, объединенных каким-либо одним общим интересом или проживающих в одном регионе. Клиенты также прекрасно осведомлены о риске, связанном с банковской деятельностью, и становятся более осторожными при вкладывании денег в ненадежные банки.
* Обработка транзакций. Обработка транзакций остается наиболее трудоемким элементом цепи приоритетов банка; она должна быть безошибочной и обеспечивать точную и своевременную информацию. Однако клиенты не желают оплачивать “невидимые” услуги и поэтому не считают обработку транзакций прибыльным элементом для банка. Банки не в состоянии оказывать высококачественные услуги без значительных затрат в этой области. Но они стараются компенсировать их с помощью прогрессивно возрастающих тарифов. Конкуренты стремятся использовать более дешевые технологии, которые дают преимущество в конкурентной борьбе.
* Технологии. За последнее десятилетие развитие технологий, средств обработки и передачи информации помогли увеличить производительность и уменьшить стоимость банковских операций. Современные технологии позволяют практически моментально получать и использовать информацию о клиентах, продуктах и рисках, что, несомненно, оказывает влияние на конкурентоспособность банков. Однако пока очень немногие банки в полной мере используют эти возможности. Средства телекоммуникаций вместе с новыми информационными технологиями становятся инструментом при разработке новых продуктов и механизмов их распространения, что расширяет сферу деятельности банков. Электронные платежи и средства расчета в точке продажи -- примеры использования новых технологий, коренным образом меняющих банковскую индустрию. Тем не менее, информационные технологии и поддерживающие их организационные структуры могут стать барьером на пути развития. Вложив большие средства в определенную технологию, очень сложно переориентироваться на какую-либо другую. Этого недостатка лишены новые конкуренты, которые будут сразу приобретать перспективные технологии.
Использование современных технологий создало новый рынок, где технологии становятся товаром в таких областях, как обмен электронными данными, системы электронных платежей в точке продажи и т.д. Прежде всего это касается улучшения обслуживания клиентов и оказания более специфических услуг.
Растет необходимость жесткого контроля за расходами, особенно в условиях увеличения затрат на регулирование деятельности и появления на рынке новых дешевых товаров и услуг, производимых и оказываемых небанковскими организациями. Такой контроль может быть осуществлен с помощью централизованной обработки информации и совершенствования управлением. Эти меры, безусловно, оказывают воздействие на штат банка.
Возрастает необходимость обработки постоянно растущего потока информации о состоянии рынка для более точного определения места специфической продукции на расширяющемся рынке.
Возможность доступа клиента к банку с помощью существующих филиальных сетей теперь уже не является ключевым фактором успеха. Изменение требований клиентов, новые технологии и фиксированно высокая стоимость содержания таких сетей заставляют искать альтернативные стратегии. Предлагаются следующие подходы:
- мобильные пункты продажи товаров и услуг;
- механизмы прямой продажи товаров и услуг;
- технологии расчета в точке продажи;
- электронное и телефонное банковское обслуживание и др.
Применение новых технологий оказывает влияние на стратегические направления и направления бизнеса в деятельности банка.
Банки издавна внедряют и используют самые современные достижения науки и техники для облегчения ручного труда и ускорения выполняемых операций. Однако сейчас этого уже недостаточно и победителями будут те, кто полностью перестроит свою деятельность в соответствии с современными технологиями.
Развитие современных информационных технологий может осуществляться под воздействием бизнеса и для бизнеса. Особенно важным в этом процессе является то, что информационные технологии развиваются в тесном взаимодействии с экономикой. Информационные технологии влияют на размер получаемых доходов и на то, как они складываются и распределяются.
Информационные технологии пронизывают каждый элемент цепи приоритетов банка, наполняя их новым содержанием и воздействуя на связь элементов между собой. Кроме того, технологии влияют на конкурентоспособность банков, изменяя жизненный цикл продукции, предлагаемой клиентам.
Стратегии применения информационных технологий определяют методы, с помощью которых они изменяют современный бизнес, и пути управления этими переменами.
Важным моментом является разработка архитектуры компьютерной системы банка. Под архитектурой системы понимается совокупность ее функциональных компонентов и их взаимодействие друг с другом. Целью разработки архитектуры компьютерной системы банка является создание внутренне логичной и гибкой системы, которая будет следовать за изменениями стратегии деятельности банка с минимальным разрушающим воздействием на нее. Любая архитектура должна сочетаться со стратегией банка и упрощать проведение ее в жизнь.
Появление каждой новой технологии обязательно влечет за собой отказ от существующих систем обработки данных. Естественно, это является барьером на пути внедрения новых разработок. Неуклонно возрастает в связи с этим интерес к стандартизированным и открытым системам.
Это направление особенно важно при выработке взаимных соглашений и между организациями и их слиянии. Например, слияния Dutch Postbank и Naturale Nederlanden, английских Lloyds и Abbey Life, германских - Deutsche Bank и Deutsch Lebensversicherung - привели к возникновению проблем, связанных с информационными технологиями. Задача заключается в том, чтобы разработать такую архитектуру, которая свяжет вместе критичную деятельность клиентов и каналы распределения товаров и услуг банка, не нарушая при этом порядка работы организации.
Во многом прибыльность банка зависит от обеспечения высшего руководства нужной, своевременной и точной информацией. Системы управления информацией должны быть действительными помощниками в деятельности банка, обеспечивая, например, информацию о положении на рынке, прибыльности банковской продукции, состоянии клиентов и т.д. Получаемая с их помощью информация может использоваться банком для улучшения обслуживания клиентов или для представления им с целью использования в собственных интересах.
Банкам необходима постоянная информация о степени риска их деятельности. Оценка риска -- это процесс, который коренным образом может быть изменен с помощью современных технологий. В него могут быть вовлечены более “интеллектуальные” системы, которые способны оценивать процентные ставки, курсы валют, кредитоспособность клиента и т.п., выдавая при этом рекомендации относительно возможных действий и их результатов.
Современные технологии дают банкам огромные преимущества в организации систем доставки товаров и услуг. Использование электронных средств связи позволяет реализовать:
электронные платежи и расчеты в точке продажи;
клиентские терминалы, осуществляющие прямую связь с банком;
домашнее банковское обслуживание с помощью персонального компьютера или телефона;
обмен электронными данными в сети с расширенным набором услуг;
технологии электронных банковских карт, включая магнитные пластиковые и интеллектуальные карты.
Реализация этих и других методов банковского обслуживания в конкретных системах требует разработки жестких мер защиты для предотвращения случайных и умышленных нарушений их функционирования. Одна из важных проблем банков сегодня - это управление инвестициями в электронные банковские системы с тем, чтобы последние полностью отражали перемены в банковской индустрии. Успех на новых стратегических направлениях бизнеса во многом зависит от реализации информационных систем.
Можно выделить два типа задач, решаемых автоматизированными системами обработки информации банков:
1. Аналитические. К этому типу относятся задачи планирования, анализа счетов и т.д. Они не являются оперативными и могут требовать для решения длительного времени, а их результаты могут оказать влияние на политику банка в отношении конкретного клиента или проекта. Поэтому подсистема, с помощью которой решаются аналитические задачи, должна быть надежно изолирована от основной системы обработки информации. Для решения такого рода задач обычно не требуется мощных вычислительных ресурсов, обычно достаточно 10-20% мощности всей системы. Однако ввиду возможной ценности результатов их защита должна быть постоянной.
2. Повседневные. К этому типу относятся задачи, решаемые в повседневной деятельности, в первую очередь выполнение платежей и корректировка счетов. Именно они и определяют размер и мощность основной системы банка; для их решения обычно требуется гораздо больше ресурсов, чем для аналитических задач. В то же время ценность информации, обрабатываемой при решении таких задач, имеет временный характер. Постепенно ценность информации, например, о выполнении какого-либо платежа, становится не актуальной. Естественно, это зависит от многих факторов, а именно: суммы и времени платежа, номера счета, дополнительных характеристик и т.д. Поэтому обычно бывает достаточным обеспечить защиту платежа именно в момент его осуществления. При этом защита самого процесса обработки и конечных результатов должна быть постоянной.
Поскольку деятельность банков отличается от деятельности других предприятий, то возникает проблема в обеспечении защиты информации, используемой в банке.
1.4 Особенности системы защиты информации в банковской сфере
Система защиты информации банков весьма сильно отличается от аналогичных стратегий других компаний и организаций. Это обусловлено прежде всего специфическим характером угроз, а также публичной деятельностью банков, которые вынуждены делать доступ к счетам достаточно легким для удобства клиентов.
По мере развития и расширения сферы применения средств вычислительной техники, острота проблемы обеспечения безопасности вычислительных систем и защиты хранящейся и обрабатываемой в них информации от различных угроз все более возрастает. Для этого есть целый ряд объективных причин.
Основная из них -- возросший уровень доверия к автоматизированным системам обработки информации. Им доверяют самую ответственную работу, от качества которой зависит жизнь и благосостояние многих людей. ЭВМ управляют технологическими процессами на предприятиях и атомных электростанциях, движениями самолетов и поездов, выполняют финансовые операции, обрабатывают секретную информацию.
Известны различные варианты защиты информации -- от охранника на входе до математически выверенных способов сокрытия данных от ознакомления. Кроме того, можно говорить о глобальной защите и ее отдельных аспектах: защите персональных компьютерах, сетей, баз данных и др.
Необходимо отметить, что абсолютно защищенных систем нет. Можно говорить о надежности системы, во-первых, лишь с определенной вероятностью, а во-вторых, о защите от определенной категории нарушителей. Тем не менее, проникновения в компьютерную систему можно предусмотреть. Защита -- это своего рода соревнование обороны и нападения: кто больше знает и предусматривает действенные меры -- тот и выиграл.
Организация защиты автоматизированной системы обработки информации банка -- это единый комплекс мер, которые должны учитывать все особенности процесса обработки информации. Несмотря на неудобства, причиняемые пользователю во время работы, во многих случаях средства защиты могут оказаться совершенно необходимыми для нормального функционирования системы. К основным из упомянутых неудобств следует отнести:
1. Дополнительные трудности работы с большинством защищенных систем.
2. Увеличение стоимости защищенной системы.
3. Дополнительная нагрузка на системные ресурсы, что потребует увеличения рабочего времени для выполнения одного и того же задания в связи с замедлением доступа к данным и выполнения операций в целом.
4. Необходимость привлечения дополнительного персонала, отвечающего за поддержание работоспособности системы защиты.
Современный банк трудно представить себе без автоматизированной информационной системы. Связь компьютеров между собой и с более мощными компьютерами, а также с ЭВМ других банков -- также необходимое условие успешной деятельности банка -- слишком велико количество операций, которые необходимо выполнить в течение короткого периода времени.
В то же время информационные системы становятся одной из наиболее уязвимых сторон современного банка, притягивая к себе злоумышленников, как из числа персонала банка, так и со стороны. Оценки потерь от преступлений, связанных с вмешательством в деятельность информационной системы банков, очень сильно разнятся. Сказывается разнообразие методик для их подсчета. Средняя банковская кража с применением электронных средств составляет около $9.000, а один из самых громких скандалов связан с попыткой украсть $700 млн. (Первый национальный банк, Чикаго).
Причем необходимо учитывать не только суммы прямого ущерба, но и весьма дорогостоящие мероприятия, которые проводятся после успешных попыток взлома компьютерных систем. Так, одним из самых ярких примеров можно привести пропажу данных о работе с секретными счетами Bank of England в январе 1999 года. Эта пропажа заставила банк поменять коды всех корреспондентских счетов. В этой связи в Великобритании были подняты по тревоге все имеющиеся силы разведки и контрразведки для того, чтобы не допустить вероятной утечки информации, способной нанести огромный ущерб. Правительством предпринимались крайние меры с тем, чтобы посторонним не стали известны счета и адреса, по которым Bank of England направляет ежедневно сотни миллиардов долларов. Причем в Великобритании больше опасались ситуации, при которой данные могли оказаться в распоряжении иностранных спецслужб. В таком случае была бы вскрыта вся финансовая корреспондентская сеть Bank of England. Возможность ущерба была ликвидирована в течение нескольких недель.
Услуги, предоставляемые банками сегодня, в немалой степени основаны на использовании средств электронного взаимодействия банков между собой, банков и их клиентов и торговых партнеров. В настоящее время доступ к услугам банков стал возможен из различных удаленных точек, включая домашние терминалы и служебные компьютеры. Этот факт заставляет отойти от концепции “запертых дверей”, которая была характерна для банков 60-х годов, когда компьютеры использовались в большинстве случаев в пакетном режиме как вспомогательное средство и не имели связи с внешним миром.
Уровень оснащенности средствами автоматизации играет немаловажную роль в деятельности банка и, следовательно, напрямую отражается на его положении и доходах. Усиление конкуренции между банками приводит к необходимости сокращения времени на производство расчетов, увеличения номенклатуры и повышения качества предоставляемых услуг. Чем меньше времени будут занимать расчеты между банком и клиентами, тем выше станет оборот банка и, следовательно, прибыль. Кроме того, банк более оперативно сможет реагировать на изменение финансовой ситуации. Разнообразие услуг банка (в первую очередь это относится к возможности безналичных расчетов между банком и его клиентами с использованием пластиковых карт) может существенно увеличить число его клиентов и, как следствие, повысить прибыль.
Информационная безопасность банка должна учитывать следующие специфические факторы:
1. Хранимая и обрабатываемая в банковских системах информация представляет собой реальные деньги. На основании информации компьютера могут производиться выплаты, открываться кредиты, переводиться значительные суммы. Вполне понятно, что незаконное манипулирование с такой информацией может привести к серьезным убыткам. Эта особенность резко расширяет круг преступников, покушающихся именно на банки (в отличие от, например, промышленных компаний, внутренняя информация которых мало кому интересна).
2. Информация в банковских системах затрагивает интересы большого количества людей и организаций -- клиентов банка. Как правило, она конфиденциальна, и банк несет ответственность за обеспечение требуемой степени секретности перед своими клиентами. Естественно, клиенты вправе ожидать, что банк должен заботиться об их интересах, в противном случае он рискует своей репутацией со всеми вытекающими отсюда последствиями.
3. Конкурентоспособность банка зависит от того, насколько клиенту удобно работать с банком, а также насколько широк спектр предоставляемых услуг, включая услуги, связанные с удаленным доступом. Поэтому клиент должен иметь возможность быстро и без утомительных процедур распоряжаться своими деньгами. Но такая легкость доступа к деньгам повышает вероятность преступного проникновения в банковские системы.
4. Информационная безопасность банка (в отличие от большинства компаний) должна обеспечивать высокую надежность работы компьютерных систем даже в случае нештатных ситуаций, поскольку банк несет ответственность не только за свои средства, но и за деньги клиентов.
5. Банк хранит важную информацию о своих клиентах, что расширяет круг потенциальных злоумышленников, заинтересованных в краже или порче такой информации.
Преступления в банковской сфере также имеют свои особенности:
Как правило, злоумышленники обычно используют свои собственные счета, на который переводятся похищенные суммы. Большинство преступников не знают, как “отмыть” украденные деньги. Умение совершить преступление и умение получить деньги -- это не одно и то же.
Большинство компьютерных преступлений -- мелкие. Ущерб от них лежит в интервале от $10.000 до $50.000.
Успешные компьютерные преступления, как правило, требуют большого количества банковских операций (до нескольких сотен). Однако крупные суммы могут пересылаться и всего за несколько транзакций.
Большинство злоумышленников -- клерки. Хотя высший персонал банка также может совершать преступления и нанести банку гораздо больший ущерб -- такого рода случаи единичны.
Компьютерные преступления не всегда высокотехнологичны. Достаточно подделки данных, изменения параметров среды АСОИБ и т.д., а эти действия доступны и обслуживающему персоналу.
Многие злоумышленники объясняют свои действия тем, что они всего лишь берут в долг у банка с последующим возвратом. Впрочем “возврата”, как правило, не происходит.
Специфика защиты автоматизированных систем обработки информации банков обусловлена особенностями решаемых ими задач:
Как правило, АСОИБ обрабатывают большой поток постоянно поступающих запросов в реальном масштабе времени, каждый из которых не требует для обработки многочисленных ресурсов, но все вместе они могут быть обработаны только высокопроизводительной системой;
В АСОИБ хранится и обрабатывается конфиденциальная информация, не предназначенная для широкой публики. Ее подделка или утечка могут привести к серьезным (для банка или его клиентов) последствиям. Поэтому АСОИБ обречены оставаться относительно закрытыми, работать под управлением специфического программного обеспечения и уделять большое внимание обеспечению своей безопасности;
Другой особенностью АСОИБ является повышенные требования к надежности программно-аппаратного обеспечения. В силу этого многие современные АСОИБ тяготеют к так называемой отказоустойчивой архитектуре компьютеров, позволяющей осуществлять непрерывную обработку информации даже в условиях различных сбоев и отказов.
Использование банками АСОИ связано со спецификой защиты этих систем, поэтому банки должны уделять больше внимания защите своих автоматизированных систем.
Выводы по первой главе:
1. АКБ «Глобэкс» - крупная финансовая организация, а следовательно представляет большой интерес для технически оснащенных нарушителей. Усиление организованных преступных групп, рост их финансовой мощи и технической оснащенности дает основание полагать, что тенденция к увелечению количества попыток проникновения в автоматизированные системы банков сохранится.
2. Учитывая задачи, которые поставлены руководством перед АКБ «Глобэкс», можно сделать вывод, что соответствующим службам банка потребуется приложить много усилий для обеспечения безопасности АСОИ банка, учитывая особенности ее работы.
3. В АКБ «Глобэкс» необходимо определять и прогнозировать возможные угрозы для обоснования, выбора и реализации защитных мероприятий по защите АСОИ.
4. Поскольку компьютеризация банковской деятельности приобретает все большие масштабы, и все банки взаимодействуют между собой посредством компьютеров, то Служба Безопасности АКБ «Глобэкс» должна уделять больше внимания защите компьютерной информации в банке.
2. Угрозы безопасности АСОИ и анализ ее защищенности в АКБ «ГЛОБЭКС»
2.1 Классификация угроз безопасности автоматизированной системы обработки информации в АКБ «Глобэкс»
С точки зрения специалистов по защите информации, основными видами посягательств на объекты информатизации (на объекты информатизации банка в том числе) являются: противозаконный сбор и использование информации; несанкционированный доступ к информационным ресурсам; манипулирование информацией; незаконное копирование данных в информационных системах; хищение информации из библиотек, архивов и баз данных; нарушение технологии обработки информации.
Современная АСОИБ -- сложный механизм, состоящий из большого количества компонентов различной степени автономности, связанных между собой и обменивающихся данными. Практически каждый из них может выйти из строя или подвергнуться внешнему воздействию.
Под угрозой безопасности понимается потенциально возможное или реальное воздействие на АСОИ, которое может прямо или косвенно нанести урон пользователям или владельцам АСОИ.
Приводимая ниже классификация охватывает только умышленные угрозы безопасности АСОИ в АКБ «Глобэкс», оставляя в стороне такие обьективные воздействия как стихийные бедствия, сбои и отказы оборудования и др. Реализацию угрозы в дальнейшем будем именовать атакой.
Угрозы безопасности АСОИ в АКБ «Глобэкс» можно классифицировать по следующим признакам:
1. По цели реализации угрозы. Реализация той или иной угрозы безопасности АСОИ может преследовать следующие цели:
- нарушение конфиденциальности информации. Информация, хранимая и обрабатываемая в АСОИ, имееет большую ценность для ее владельца. Ее использование другими лицами наносит значительный ущерб интересам владельца;
- нарушение целостности информации. Потеря целостности информации (полная или частичная, компрометация, дезинформация) - угроза, близкая к ее раскрытию. Ценная информация может быть утрачена или обесценена путем ее несанкционированного удаления или модификации. Ущерб от таких действий может быть много больше, чем при нарушении конфиденциальности,
- нарушение (частичное или полное) работоспособности АСОИ (нарушение доступности). Вывод из строя или некорректное изменение режимов работы компонентов АСОИ, их модификация или подмена могут привести к получению неверных результатов, отказу АСОИ от потока информации или отказам при обслуживании. Отказ от потока информации означает непризнание одной из взаимодействующих сторон факта передачи или приема сообщений..
Так как диапазон услуг, предоставляемых АСОИ в АКБ «Глобэкс», весьма широк, отказ в обслуживании может существенно повлиять на работу пользователя.
2. По принципу воздействия на АСОИ:
- с использованием доступа субъекта системы (пользователя, процесса) к объекту (файлу данных, каналу связи и т.д.);
- с использованием скрытых каналов.
Под доступом понимается доступ к конфиденциальной информации -получение субьектом возможности ознакомления с информацией, в том числе с помощью технических средств.
Под скрытым каналом (covert channel) понимается путь передачи информации, позволяющий двум взаимодействующим процессам обмениваться информацией таким способом, который нарушает системную политику безопасности. Скрытые каналы бывают двух видов:
а. Скрытые каналы с памятью (covert storage channel), позволяющие осуществлять чтение или запись информации другого процесса непосредственно или с помощью промежуточных объектов для хранения информации (временной памяти);
б. Скрытые временные каналы (covert timing channel), при которых один процесс может получать информацию о действиях другого, используя интервалы между какими-либо событиями (например, анализ временного интервала между запросом на ввод-вывод и сообщением об окончании операции позволяет судить о размере вводимой или выводимой информации).
3. По характеру воздействия на АСОИ в АКБ «Глобэкс». По этому критерию различают активное и пассивное воздействие.
Активное воздействие всегда связано с выполнением пользователем каких-либо действий, выходящих за рамки его обязанностей и нарушающих существующую политику безопасности. Это может быть доступ к определенным наборам данных, программам, вскрытие пароля и т.д. Активное воздействие ведет к изменению состояния системы и может осуществляться либо с использованием доступа (например, к наборам данных), либо как с использованием доступа, так и с использованием скрытых каналов.
Пассивное воздействие осуществляется путем наблюдения пользователем каких-либо побочных эффектов (от работы программы, например) и их анализа. Примером пассивного воздействия может служить прослушивание линии связи между двумя узлами сети. Пассивное воздействие всегда связано только с нарушением конфиденциальности информации в АСОИ, так как при нем никаких действий с объектами и субъектами не производится. Пассивное воздействие не ведет к изменению состояния системы.
4. По причине появления используемой ошибки защиты.
Реализация любой угрозы возможна только в том случае, если в данной конкретной системе есть какая-либо ошибка или брешь защиты. Такая ошибка может быть обусловлена одной из следующих причин:
а. Ошибками административного управления, под которыми понимается некорректная реализация или поддержка АСОИ АКБ «Глобэкс».
б. Ошибками реализации алгоритмов программ (ошибки кодирования), связей между ними и т.д., которые возникают на этапе реализации или отладки и которые также могут служить источником недокументированных свойств.
5. По объекту атаки. Одной из самых главных составляющих нарушения функционирования АСОИ является объект атаки, то есть компонент АСОИ в АКБ «Глобэкс», который подвергается воздействию со стороны злоумышленника. Воздействию могут подвергаться следующие компоненты АСОИ:
а. АСОИ в целом - злоумышленник пытается проникнуть в систему для последующего выполнения каких-либо несанкционированных действий. Для этого обычно используются метод “маскарада”, перехват или подделка пароля, взлом или доступ к АСОИ через сеть.
б. Объекты АСОИ - данные или программы в оперативной памяти или на внешних носителях, сами устройства системы, как внешние (дисководы, сетевые устройства, терминалы), так и внутренние (оперативная память, процессор), каналы передачи данных. Воздействие на объекты системы обычно имеет целью доступ к их содержимому (нарушение конфиденциальности или целостности обрабатываемой или хранимой информации) или нарушение их функциональности, например, заполнение всей оперативной памяти компьютера бессмысленной информацией или загрузка процессора компьютера задачей с неограниченным временем исполнения (нарушение доступности АСОИ).
в. Субъекты АСОИ -- процессы и подпроцессы пользователей. Целью таких атак является либо прямое воздействие на работу процесса -- его приостановка, изменение привилегий или характеристик (приоритета, например), либо обратное воздействие -- использование злоумышленником привилегий, характеристик и т.д. другого процесса в своих целях. Частным случаем такого воздействия является внедрение злоумышленником вируса в среду другого процесса и его выполнение от имени этого процесса. Воздействие может осуществляться на процессы пользователей, системы, сети.
Подобная классификация показывает сложность определения возможных угроз и способов их реализации. Это еще раз подтверждает тезис, что определить все множество угроз АСОИ АКБ «Глобэкс» и способов их реализации не представляется возможным. Не существует универсального способа защиты, который предотвратил бы любую угрозу. Этот факт обуславливает необходимость объединения различных мер защиты для обеспечения безопасности всей АСОИ в целом.
Помимо анализа угроз безопасности АСОИ в АКБ «Глобэкс», необходимо провести классификацию нарушителей, которые представляют эти угрозы.
При разделении нарушителей безопасности по классам можно исходить из их принадлежности определенным категориям лиц, мотивов действий и преследуемых целей, характера методов достижения поставленных целей, квалификации, технической оснащенности и знаний об атакуемой информационной системе.
Прежде всего, разделим нарушителей на внутренних и внешних. По данным многих источников и статических исследований, отношение внутренних инцидентов к внешним оценивается примерно в 75%.
Подобные документы
Разработка проекта автоматизированной системы обработки экономической информации для малого рекламного предприятия. Назначение и основные функции проектируемой системы, требования к ней. Технология обработки и защиты экономической информации предприятия.
контрольная работа [27,8 K], добавлен 10.07.2009Модель обеспечения информационной безопасности в сфере обороны РФ. Оценка состояния систем защиты информации в правоохранительной и судебной сферах, рекомендации по их обеспечению. Анализ угроз информационной безопасности России и рисков от их реализации.
курсовая работа [57,4 K], добавлен 13.11.2009Классификация и характерные черты компьютерных преступлений против банка. Анализ возможных угроз безопасности системы, методика их предупреждения и порядок выявления. Диагностика возможных атак автоматизированной банковской системы на различных уровнях.
контрольная работа [27,5 K], добавлен 26.07.2009Актуальность и важность технической защиты информации, нормативные документы. Анализ деятельности ООО "Технология защиты", информационные потоки. Обоснование угроз по техническим каналам. Разработка системы управления информационной безопасности.
дипломная работа [771,4 K], добавлен 13.06.2012Построение модели возможных угроз информационной безопасности банка с учетом существующей отечественной и международной нормативно-правовой базы. Сравнительный анализ нормативных и правовых документов по организации защиты банковской информации.
лабораторная работа [225,7 K], добавлен 30.11.2010Понятие, значение и направления информационной безопасности. Системный подход к организации информационной безопасности, защита информации от несанкционированного доступа. Средства защиты информации. Методы и системы информационной безопасности.
реферат [30,0 K], добавлен 15.11.2011Перечень защищаемых ресурсов на объекте информатизации. Выбор механизмов и средств защиты информации. Набор требований по безопасности. Описание реализации информационных сервисов. Разграничение доступа автоматизированной системы предприятия к ресурсам.
реферат [24,7 K], добавлен 24.01.2014Анализ информации, циркулирующей в автоматизированной информационной системе. Выбор класса защищенности для разрабатываемой системы. Определение периметра безопасности, с указанием не защищенных областей. Горизонтальное и вертикальное проектирование.
курсовая работа [895,6 K], добавлен 30.11.2008Разработка подсистемы защиты информации для автоматизированной системы АС "Квартплата-Исток", предназначенной для учёта и расчёта коммунальных услуг в рамках 100-квартирного жилого дома. Угрозы информационной безопасности и средства противодействия им.
курсовая работа [1,6 M], добавлен 27.10.2012Система формирования режима информационной безопасности. Задачи информационной безопасности общества. Средства защиты информации: основные методы и системы. Защита информации в компьютерных сетях. Положения важнейших законодательных актов России.
реферат [51,5 K], добавлен 20.01.2014