Реферат: Проблемы информационной безопасности банков

Реферат: Проблемы информационной безопасности банков

дипломная работа

на тему

«Проблемы информационной безопасности банков»

Оглавление

Ââåäåíèå............................................................................................................................. 3

Ãëàâà 1. Îñîáåííîñòè èíôîðìàöèîííîé áåçîïàñíîñòè áàíêîâ.................................. 8

Ãëàâà 2. Âëèÿíèå äîñòèæåíèé â ñôåðå êîìïüþòåðíîé îáðàáîòêè èíôîðìàöèè íà ðàçâèòèå áàíêîâñêèõ òåõíîëîãèé....................................................................... 12

Ãëàâà 3. ×åëîâå÷åñêèé ôàêòîð â îáåñïå÷åíèè èíôîðìàöèîííîé áåçîïàñíîñòè.      17

Óãðîçû èíôîðìàöèîííîé áåçîïàñíîñòè áàíêà ñî ñòîðîíû ïåðñîíàëà.......................................... 17

Êàäðîâàÿ ïîëèòèêà ñ òî÷êè çðåíèÿ èíôîðìàöèîííîé áåçîïàñíîñòè...................................... 21

Ãëàâà 4. Áåçîïàñíîñòü àâòîìàòèçèðîâàííûõ ñèñòåì îáðàáîòêè èíôîðìàöèè â áàíêàõ (ÀÑÎÈÁ)................................................................................................................................. 29

Óãðîçû áåçîïàñíîñòè àâòîìàòèçèðîâàííûõ ñèñòåì............................................................ 29

Àíàëèç ñîñòîÿíèÿ áàíêîâñêèõ àâòîìàòèçèðîâàííûõ ñèñòåì ñ òî÷êè çðåíèÿ áåçîïàñíîñòè.          43

Ïîñòðîåíèå çàùèòû áàíêîâñêèõ àâòîìàòèçèðîâàííûõ ñèñòåì........................................... 50

Ãëàâà 5. Áåçîïàñíîñòü êîìïüþòåðíûõ ñåòåé â áàíêå..................................... 77

Êëàññèôèêàöèÿ ñåòåé..................................................................................................... 77

Îáåñïå÷åíèå áåçîïàñíîñòè ñåòåé........................................................................................ 81

Ãëàâà 6. Áåçîïàñíîñòü ýëåêòðîííûõ ïëàòåæåé............................................... 88

Ýëåêòðîííûå ïëàòåæè â áàíêå............................................................................................ 88

Âîïðîñû áåçîïàñíîñòè ýëåêòðîííûõ ïëàòåæåé..................................................................... 94

Ãëàâà 7. Áåçîïàñíîñòü ïåðñîíàëüíûõ ïëàòåæåé ôèçè÷åñêèõ ëèö..... 101

Îñíîâíûå ôîðìû óäàëåííîãî áàíêîâñêîãî îáñëóæèâàíèÿ ôèçè÷åñêèõ ëèö........................ 101

Ïðîáëåìû èäåíòèôèêàöèè êëèåíòà ïðè óäàëåííîì îáñëóæèâàíèè.................................. 103

Áåçîïàñíîñòü ïðè èñïîëüçîâàíèè ïëàñòèêîâûõ êàðò....................................................... 105

Çàêëþ÷åíèå.................................................................................................................... 113

Ñïèñîê ëèòåðàòóðû.................................................................................................. 115

Введение

Со времени своего появления банки неизменно вызывали преступный интерес. И этот интерес был связан не только с хранением в кредитных организациях денежных средств, но и с тем, что в банках сосредотачивалась важная и зачастую секретная информация о финансовой и хозяйственной деятельности многих людей, компаний, организаций и даже целых государств. Так, еще в XVIII веке недоброжелатели известного Джакомо Казановы опубликовали закрытые данные о движении средств по его счету в одном из парижских банков. Из этой информации следовало, что организованная Казановой государственная лотерея приносила доход не только казне, но и (в не меньших масштабах) ему лично [1, с.4].

В настоящее время значение информации, хранимой в банках, значительно увеличилось. Так, недавняя утечка данных о ряде счетов в Bank of England в январе 1999 года заставила банк поменять коды всех корреспондентских счетов, часть оборудования и программного обеспечения и обошлась банку в несколько десятков миллионов долларов. [17, сообщ. за 26.02.99г.]

В наши дни в связи со всеобщей информатизацией и компьютеризацией банковской деятельности значение информационной безопасности банков многократно возросло. Еще 30 лет назад объектом информационных атак были данные о клиентах банков или о деятельности самого банка. Такие атаки были редкими, круг их заказчиков был очень узок, а ущерб мог быть значительным лишь в особых случаях. В настоящее время в результате повсеместного распространения электронных платежей, пластиковых карт, компьютерных сетей объектом информационных атак стали непосредственно денежные средства как банков, так и их клиентов. Совершить попытку хищения может любой — необходимо лишь наличие компьютера, подключенного к сети Интернет. Причем для этого не требуется физически проникать в банк, можно «работать» и за тысячи километров от него.

Например, в августе 1995 г. в Великобритании был арестован 24-летний российский математик Владимир Левин, который при помощи своего домашнего компьютера в Петербурге сумел проникнуть в банковскую систему одного из крупнейших американских банков Citibank и похитить $2,8 млн. В 1994 году Владимир Левин вместе с приятелем сумел подобрать ключи к системе банковской защиты Citibank и попытался снять с его счетов крупные суммы. По сведениям московского представительства Citibank, до тех пор подобное никому не удавалось. Служба безопасности Citibank выяснила, что у банка пытались похитить $2,8 млн., но контролирующие системы вовремя это обнаружили и заблокировали счета. Украсть же удалось лишь $400 тысяч. Для получения денег Левин выехал в Англию, где и был арестован [17, сообщ. за 01.10.95г.].

Компьютеризация банковской деятельности позволила значительно повысить производительность труда сотрудников банка, внедрить новые финансовые продукты и технологии. Однако прогресс в технике преступлений шел не менее быстрыми темпами, чем развитие банковских технологий. В настоящее время свыше 90% всех преступлений связана с использованием автоматизированных систем обработки информации банка (АСОИБ) [6, с.17]. Следовательно, при создании и модернизации АСОИБ банкам необходимо уделять пристальное внимание обеспечению ее безопасности. Именно этой проблеме посвящена большая часть дипломной работы.

Именно эта проблема является сейчас наиболее актуальной и наименее исследованной. Если в обеспечении физической и классической информационной[1] безопасности давно уже выработаны устоявшиеся подходы (хотя развитие происходит и здесь), то в связи с частыми радикальными изменениями в компьютерных технологиях методы безопасности АСОИБ требуют постоянного обновления. Как показывает практика, не существует сложных компьютерных систем, не содержащих ошибок. А поскольку идеология построения крупных АСОИБ регулярно меняется, то исправления найденных ошибок и «дыр» в системах безопасности хватает ненадолго, так как новая компьютерная система приносит новые проблемы и новые ошибки, заставляет по-новому перестраивать систему безопасности.

Особенно актуальна данная проблема в России. В западных банках программное обеспечение (ПО) разрабатываются конкретно под каждый банк и устройство АСОИБ во многом является коммерческой тайной. В России получили распространение «стандартные» банковские пакеты, информация о которых широко известна, что облегчает несанкционированный доступ в банковские компьютерные системы. Причем, во-первых, надежность «стандартного» ПО ниже из-за того разработчик не всегда хорошо представляет конкретные условия, в которых этому ПО придется работать, а во-вторых, некоторые российские банковские пакеты не удовлетворяли условиям безопасности. Например, ранние версии (которые и по сей день эксплуатируются в небольших банках) самого популярного российского банковского пакета требовали наличия дисковода у персонального компьютера и использовали ключевую дискету, как инструмент обеспечения безопасности [16]. Такое решение, во-первых, технически ненадежно, а во-вторых, одно из требований безопасности АСОИБ — закрытие дисководов и портов ввода-вывода в компьютерах сотрудников, не работающих с внешними данными.

В связи с вышеизложенным, в настоящей работе основное внимание уделено именно компьютерной безопасности банков, т.е. безопасности автоматизированных систем обработки информации банка (АСОИБ), как наиболее актуальной, сложной и насущной проблеме в сфере банковской информационной безопасности.

В работе рассматриваются особенности информационной безопасности банков, показывается, что именно для банков (в отличие от других предприятий) информационная безопасность имеет решающее значение (глава 1). В главе 2 говорится о развитии банковских информационных технологий, поскольку именно эти технологии во многом определяют систему информационной безопасности банка. Поскольку, по данным статистики [17, сообщ. за 08.12.98г.], наибольшая часть преступлений против банков совершается с использованием инсайдерской информации, то в работе имеется глава 3, посвященная обеспечению информационной безопасности в сфере работы с персоналом.

Остальная часть работы посвящена безопасности АСОИБ и электронных платежей, как ее составной части. В главе 4 анализируются угрозы безопасности АСОИБ и рассматриваются общие принципы построения систем безопасности АСОИБ. В главе 5 описываются специализированные проблемы безопасности банковских компьютерных сетей. Главы 6 и 7 посвящены безопасности электронных платежей.

По мере развития и расширения сферы применения средств вычислительной техники острота проблемы обеспечения безопасности вычислительных систем и защиты хранящейся и обрабатываемой в них информации от различных угроз все более возрастает. Для этого есть целый ряд объективных причин.

Основная из них — возросший уровень доверия к автоматизированным системам обработки информации. Им доверяют самую ответственную работу, от качества которой зависит жизнь и благосостояние многих людей. ЭВМ управляют технологическими процессами на предприятиях и атомных электростанциях, движениями самолетов и поездов, выполняют финансовые операции, обрабатывают секретную информацию.

Сегодня проблема защиты вычислительных систем становится еще более значительной в связи с развитием и распространением сетей ЭВМ. Распределенные системы и системы с удаленным доступом выдвинули на первый план вопрос защиты обрабатываемой и передаваемой информации.

Доступность средств вычислительной техники, и прежде всего персональных ЭВМ, привела к распространению компьютерной грамотности в широких слоях населения. Это, в свою очередь, вызвало многочисленные попытки вмешательства в работу государственных и коммерческих, в частности банковских, систем, как со злым умыслом, так и из чисто «спортивного интереса». Многие из этих попыток имели успех и нанесли значительный урон владельцам информации и вычислительных систем.

Страницы: 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15, 16, 17, 18, 19, 20, 21