• Гідрологія і Гідрометрія
• Господарське право
• Економіка будівництва
• Економіка природокористування
• Економічна теорія
• Земельне право
• Історія України
• Кримінально виконавче право
• Медична радіологія
• Методи аналізу
• Міжнародне приватне право
• Міжнародний маркетинг
• Основи екології
• Предмет Політологія
• Соціальне страхування
• Технічні засоби організації дорожнього руху
• Товарознавство продовольчих товарів

Особливості захисту інформації у банківських інформаційних системах

ВСТУП

План

Загальні принципи захисту інформа­ції у банківських інформаційних системах

Вступ.

3.1. Особливості захисту інформації у банківських інформаційних системах

3.2. Захист інформації в електронних платіжних системах

3.3. Алгоритми шифрування в електронних картах

В умовах широкого застосування сучасних інфор­ма­ційних технологій, наявності засобів обміну інформа­цією розширюються можливості її витоку та несанкціонованого доступу до неї зі злочинною метою. Особливо ураз­ливими сьогодні залишаються незахищені системи зв'язку, в тому числі КМ. Інформація, яка цир­ку­лює у них, може бути незаконно модифікована, вик­ра­дена або знищена.

За статистичними даними, в промислово розвинених кра­їнах середні збитки від одного злочину в сфері інфор­маційних технологій становлять приблизно $ 450 тис., а що­річні сумарні втрати в США і Західній Європі сягають $ 100 млрд. і $ 35 млрд., відповідно. В останні де­сятиріччя зберігалася стійка тенденція до зростання збит­­­ків, пов'я­заних із злочинністю в сфері ІТ.

Найбільшу небезпеку для банків представляє інфор­маційна незахищеність, тому при вирішенні даної проб­леми банку необхідно враховувати те, що однією з голов­них умов стабільного функціонування кожного банку є обмін інформацією. Розглянемо питання інформаційної безпеки детальніше.

З метою протидії злочинам у сфері ІТ або зменшення збитків від них необхідно фахово вибирати заходи і засоби ЗІ від витоку та несанкціонованого доступу до неї.

Актуальність даної проблеми пов'язана із зростанням можливостей обчислювальної техніки. Розвиток засо­бів, ме­­тодів і форм автоматизації процесів оброблення інфор­мації і масове застосування комп'ютерів роб­лять інфор­ма­цію набагато більш уразливою. Основними чин­­ни­ками, які сприяють підвищенню її уразливості, є:

· збільшення обсягів інформації, яка накопичується, зберігається та обробляється за допомогою комп'ютерів;

· зосередження в базах даних інформації різного при­з­­­­начення і різної приналежності;

· розширення кола користувачів, які мають безпосередній доступ до ресурсів ІС та ма­сивів даних;

· ускладнення режимів роботи технічних засобів ІС;

· обмін інформацією в локальних та глобальних ме­ре­жах, у тому числі на великих відстанях.

У всіх аспектах забезпечення ЗІ ос­новним елементом є аналіз можливих дій щодо пору­шення роботи банків­сь­ких ІС, тобто дій, що підви­щу­ють уразливість інформації, яка обробляється в ІС, при­зво­дять до її витоку, випадко­вого або нав­мисного моди­фікування, знищення.

Випад­­ко­ві загрози включають у себе помилки пер­со­налу, перебої у роботі технічних засобів та програм­ного забезпечення, а також події, які не залежать від лю­дини, наприклад, природні явища або стихійні лиха. Захо­ди за­хисту від них – в основному організаційні.

До помилок апаратних та програмних засобів відно­сяться пошкодження комп'ютерів і периферійних пристро­їв (магнітних, оптичних носіїв тощо), помилки в приклад­них програ­мах. До помилок через неуважність, які досить часто ви­ни­кають під час технологічного циклу оброб­лен­ня, передаван­ня або зберігання даних, відносяться помил­ки користувача, оператора або про­граміста, втручання під час виконання програм, пошкодження носіїв інфор­мації.

Навмисні загрози можуть реалізуватися учасниками процесу оброблення інформації (внутрішні) і "хакерами" (зовнішні).

За частотою виявлення навмисні загрози можна роз­та­шувати в такому порядку:

· копіювання і крадіжка програмного забезпечення;

· несанкціоноване модифікування даних;

· зміна або знищення даних на довільних носіях;

· саботаж;

· крадіжка інформації;

· несанкціоноване використання ресурсів ІС;

· несанкціоноване використання банківських ІС;

· НСД до інформації високого рівня таємності.

Втручання у роботу банківської автоматизованої сис­­теми – довільні зловмисні дії, які впливають на об­роб­лення інформації в ІС, тобто на всю су­купність опе­ра­цій (зберігання, введення, записування, пе­ре­т­ворення, зчи­ту­ван­ня, зберігання, знищення, реєстрація), що здій­ню­ють­ся за допомогою технічних і програмних за­собів, вклю­чаю­чи обмін через канали передавання даних.

Втручання у ро­боту ІС може бути і у формі впливу на канали передавання інформації як між технічними засо­бами її оброблення і збе­рігання всередині ІС, так і між окремими ІС, внас­лі­док чого інформація, яка передається, знищується або мо­ди­фікується.

Знищення інформації – втра­та інформації, внаслідок чо­го інформація в ІС перестає існувати для фізичних і юри­­дичних осіб, які мають право власності на неї в пов­но­му або обмеженому обсязі. Як знищення, втрату ін­фор­ма­ції треба розглядати і її блокування, тобто припи­нення дос­тупу до інформації користувачам ІС.

Модифікування інформації – зміна змісту, порушення цілісності, в тому числі і часткове знищення інформації.

Навмисні дії щодо порушення роботи ІС призводять до безпосереднього розкрит­тя або зміни даних.

Особу, яка здійснює несанкціоновану дію з метою під­вищення уразливості інформації, називаємо зловмисни­ком. Дії зловмисника можна розділити на чо­ти­ри основні категорії:

1. Переривання – припинення нормального оброблення інформації, наприклад, внаслідок руйнування обчис­лю­­вальних засобів (рис. 3.1. б.) Відзначимо, що пере­ри­вання може ма­ти серйозні наслідки навіть у тому випадку, коли сама ін­фор­мація ніяких впливів не зазнає.

2. Крадіжка, розкриття – читання або копіювання інформації з метою отримання даних, які можуть бути ви­ко­ристані зловмисником або третьою стороною (рис. 3.1. в.).

3. Модифікування (зміна) інформації (рис. 3.1. г.).

4. Руйнування – безповоротна зміна інформації, наприк­лад, стирання даних з довільного носія) (рис. 3.1. д.).

Вибір засобів ЗІ в банківських ІС – складна задача, при розв'я­зан­ні якої потрібно враховувати різні можливі дії щодо по­ру­шення роботи такої системи, вартість реалі­зу­ван­ня різних за­собів захисту і наявність численних заці­кавлених сторін.

Одним із найважливіших видів інформації в банку є гроші в електронному вигляді, тому основою ЗІ в банків­ських ІС є захист електронного грошового обігу. Крім цьо­го, інформація в банківських ІС становить значний інтерес для вели­кої кількості людей та організацій – клі­єн­тів банку. Ця інформація має обмежений доступ і банк не­се відпо­ві­дальність за забезпечення надійного рівня її за­хисту перед клієнтами та державою.

Банківські служби безпеки велику увагу приділяють питанням фізичного захисту. Питання інформаційної без­пе­ки зали­шаються у компетенції служб супроводу і впро­вадження програмного забезпечення. Ква­ліфікованих роз­роб­ників про­­­­г­рамного забезпечення і сис­тем­них програ­міс­тів у та­ких службах багато, але фахівців в області сис­тем інфор­маційної безпеки практично немає.

Рівень відповідності програмного забезпечення, яке розробляється, фун­к­ціональним задачам банку можна оці­ню­вати по різному. Однак, у всіх цих систем є загальний недолік – відсутня комплексна система захисту інфор­мації, вони не сертифіковані на кваліфікаційні вимоги безпеки, а існуючі засоби і методи ЗІ в таких сис­темах, як правило, зарубіжного виробництва або розроб­лені самостійно прог­рамістами банку.

а)

б)

в)

г)

д)

Рис. 3.1. Схеми механізмів порушення цілісності інформації зловмисником: а) нормальний обмін інформацією; б) переривання; в) крадіжка, розкриття; г) модифікування; д) фальсифікування

Розглянемо питання, пов'язані з наданням існуючими програмними сис­те­мами послуг у області ЗІ. Відзначимо, що засоби розроблення прог­рамного за­без­печення є різно­ма­нітними: починаючи від С++, Clarion і закінчуючи потужними засобами проектування ІС – CASE-засобами, розпо­діленими базами даних і ме­ре­жевими системами.

Розробники ретельно продумують інтерфейсні зв'яз­ки всередині системи і спілкування з користувачем, опра­цьовують алгоритми пришвидшеного пошуку в базах да­них, структуру файлів. Отримана в результаті такого про­ектування система виконує добре продумані і чітко реалі­зо­вані функції, але да­ні зберігаються в форматах, які легко читаються до­вільним редактором текстів, або ж їх можна конвертувати в інші, поширеніші формати даних. У цьому випадку в ІС забезпечений високий рівень надійності об­роблення і збе­рігання, а також фізичної цілісності даних, але рівень без­пеки інформації є надто низьким. При інста­люванні такого програмного продукту в банку потрібні серйозні заходи ор­га­нізаційного і технічного характеру для досягнення необ­­хідного рівня захищеності інформації.

Як висновок, треба відзначити, що кваліфікований підхід до побудови системи ЗІ в бан­ків­ських ІС має на увазі конкретну оцінку ймовірності виявлення кожної заг­рози у конкретній банківській системі.

Таким чином, кожному банку, в залежності від конк­ретних умов його роботи, потрібна персональна сис­тема ЗІ. Побудова такої системи можлива лише на аудиторських умовах спеціально залученими фахівцями і фірмами, які мають ліцензію на вказаний вид діяльності.

Розглянувши загальні принципи ЗІ в банківських ІС, доцільно відзна­чи­ти, що комплексний ЗІ в банківських АС має в своїй основі використання фі­зичних, законодавчих, організаційних та програмно-тех­ніч­них засобів захис­ту. Та­кі засоби повинні забезпе­чувати ідентифікування та автен­­тифікування користувачів, роз­поділ повноважень дос­­ту­пу до системи, реєстрацію та облік спроб НСД. Ор­га­нізаційні за­ходи ЗІ в банків­сь­ких ІС, як пра­ви­ло, спря­мо­вані на чіт­кий розподіл відпо­відальності під час роботи пер­соналу з інформацією, ство­рен­ня декількох ру­бежів кон­т­ролю, за­по­бігання нав­мис­но­му або випадко­вому зни­щенню та мо­ди­фікуванню ін­фор­мації.

Читайте також:

1. I. Особливості аферентних і еферентних шляхів вегетативного і соматичного відділів нервової системи
2. VI.3.3. Особливості концепції Йоганна Гайнріха Песталоцці
3. VI.3.4. Особливості концепції Йоганна Фрідриха Гербарта
4. А. Особливості диференціації навчального процесу в школах США
5. Аварійно-рятувальні підрозділи Оперативно-рятувальної служби цивільного захисту, їх призначення і склад.
6. Авілум – “син чоловіка” – повноправна людина, охороні його життя, здоров’я, захисту його майнових інтересів присвячена значна частина законника.
7. Автоматизація водорозподілу на відкритих зрошувальних системах. Методи керування водорозподілом. Вимірювання рівня води. Вимірювання витрати.
8. Агітація за і проти та деякі особливості її техніки.
9. Аграрне виробництво і його особливості
10. Аграрне право як галузь права, його історичні витоки та особливості.
11. Адміністративно-правовий спосіб захисту прав
12. Адміністративно-правовий спосіб захисту прав

Переглядів: 1064