Вопрос 3. Особенности защиты банковской информации
Среди первоочередных эксплутационных требований, предъявляемых АБС, в первую очередь хотелось бы выделить надежность и безопасность. Сбой программного обеспечения (ПО) или злоумышленное вторжение в территориально-распределенную банковскую информационную систему могут иметь очень печальные последствия, характеризуемые количественно (величиной ущерба) или качественно (падением имиджа, срывом переговоров и т. п.).
Среди компонентов, образующих АБС, выделим следующие, реализуемые путем использования общедоступных сетей:
банк - клиент;
Интернет - клиент;
офис - удаленный менеджер;
головной офис - региональные офисы/отделения;
интернет-трейдинг.
Доступ к сервисам, которые предоставляет данное программное обеспечение, осуществляется через открытые сети, использование которых таит в себе многочисленные информационные угрозы.
Наиболее распространенные из них:
несанкционированный доступ к ресурсам и данным системы: подбор пароля, взлом систем защиты и администрирования, маскарад (действия от чужого имени);
перехват и подмена трафика (подделка платежных поручений, атака типа "человек посередине");
IP-спуфинг (подмена сетевых адресов);
отказ в обслуживании;
атака на уровне приложений;
сканирование сетей или сетевая разведка;
использование отношений доверия в сети.
Наиболее часто информационное пространство банковской системы используется для передачи сообщений, связанных с движением финансов.
Основные виды атак на финансовые сообщения и финансовые транзакции:
раскрытие содержимого;
представление документа от имени другого участника;
несанкционированная модификация;
повтор переданной информации.
Для предотвращения этих злоупотреблений используются следующие средства защиты:
шифрование содержимого документа;
контроль авторства документа;
контроль целостности документа;
нумерация документов;
ведение сессий на уровне защиты информации;
динамическая аутентификация;
обеспечение сохранности секретных ключей;
надежная процедура проверки клиента при регистрации в прикладной системе;
использование электронного сертификата клиента;
создание защищенного соединения клиента с сервером.
Комплекс технических средств защиты интернет-сервисов:
брандмауэр (межсетевой экран) - программная и/или аппаратная реализация;
системы обнаружения атак на сетевом уровне;
антивирусные средства;
защищенные ОС, обеспечивающие уровень В2 по классификации защиты компьютерных систем и дополнительные средства контроля целостности программ и данных;
защита на уровне приложений: протоколы безопасности, шифрования, ЭЦП, цифровые сертификаты, системы контроля целостности;
защита средствами системы управления БД;
защита передаваемых по сети компонентов программного обеспечения;
мониторинг безопасности и выявление попыток вторжения, адаптивная защита сетей, активный аудит действий пользователей;
обманные системы;
корректное управление политикой безопасности.
При проведении электронного документооборота должны выполняться:
аутентификация документа при его создании;
защита документа при его передаче;
аутентификация документа при обработке, хранении и исполнении;
защита документа при доступе к нему из внешней среды.
Сейчас вряд ли встретишь банк, в информационной сети которого не установлены какие-либо антивирусные программы.
Требования к структуре системы
В общем случае, антивирусная защита банковской информационной системы должна строиться по иерархическому принципу:
службы общекорпоративного уровня - 1-й уровень иерархии;
службы подразделений или филиалов - 2-й уровень иерархии;
службы конечных пользователей - 3-й уровень иерархии.
Службы всех уровней объединяются в единую вычислительную сеть (образуют единую инфраструктуру), посредством локальной вычислительной сети.
Службы общекорпоративного уровня должны функционировать в непрерывном режиме.
Управление всех уровней должно осуществляться специальным персоналом, для чего должны быть предусмотрены средства централизованного администрирования.
Вопросы для самоконтроля:
Понятие защиты информации. Аспекты защиты информации. Перечислите базовые принципы информационной безопасности.
Понятие компьютерного преступления. Основные виды компьютерных преступлений.
Классификация компьютерных преступлений.
Перечислите методы несанкционированного доступа и перехвата информации (пользуясь специфической терминологией), дайте их краткую характеристику.
Правовые аспекты защиты информации. Правовые акты Республики Казахстан, регламентирующие вопросы защиты информационных ресурсов.
Система защиты информации: понятие, подходы, архитектура безопасности систем.
Перечислите типы средств защиты информации, дайте их характеристику.
Меры по защите информации: аутентификация.
Меры по защите информации: пароли и электронная подпись.
Информационные угрозы банковских систем: виды, причины возникновения, средства защиты.
Состав и структура комплекса технических средств защиты Интернет-сервисов.
Антивирусные программы: понятие, требования к структуре антивирусной защиты банковской информационной системы.
Средства защиты в банкоматах.
Литература:
Алиев, В. С. Информационные технологии и системы финансового менеджмента [Текст] : учебное пособие/ В. С. Алиев .- М. : Форум;ИНФРА-М, 2010.- 320 c.
Информатика и информационные технологии [Текст] : учебное пособие/ под ред. Ю.Д. Романовой .- 4-е изд., перераб. и доп.- М. : Эксмо, 2010.- 688 c.
Романова, Ю.Д. Информатика и информационные технологии [Текст] : учебное пособие/ Ю.Д. Романова, И.Г. Лесничая .- 2-е изд., перераб. и доп.- М. : Эксмо, 2009.- 320 c.
Ф МИ 01-07-08 Краткий конспект лекций по дисциплине. Издание второе
- Вопрос 2. История и предпосылки развития компьютерных информационных технологий в финансово-кредитной сфере
- Вопрос 3. Характеристика состава основных пользователей финансовой информации предприятия
- Вопрос 4. Анализ инновационных банковских услуг, предлагаемых казахстанскими коммерческими банками
- Тема 2. Информационные системы и технологии банка
- Вопрос 1. Понятие, роль, особенности информации
- Вопрос 2. Понятие информационных систем и технологий. Структура информационной системы
- Вопрос 3. Банковские технологии
- Вопрос 4. Использование встроенных функций ms Excel.
- Тема 3. Информационное обеспечение банковской деятельности
- Вопрос 1. Структура и содержание информационного обеспечения. Внемашинное информационное обеспечение.
- Вопрос 2. Информационное обеспечение банковской деятельности.
- Тема 4. Техническое обеспечение банковской деятельности
- Вопрос 1. Понятие, структура технического обеспечения.
- Вопрос 2. Технические решения банковских технологий
- Вопрос 3. Банковское оборудование
- Тема 5. Программное обеспечение банковской деятельности
- Вопрос 1. Понятие и классификация программного обеспечения
- Вопрос 2. Программное обеспечение информационных технологий в банках
- Вопрос 3. Обзор финансово-аналитических систем
- Тема 6. Использование программного комплекса Deductor Academic в оценке кредитоспособности заемщика
- Вопрос 1. Сущность методики Data Mining
- Вопрос 2. Построение модели оценки (классификации) потенциальных заемщиков на основе аналитической платформы Deductor Academic.
- Тема 7. Электронные банковские сети. Интернет- банкинг.
- Вопрос 1. Корпоративная сеть банка
- Вопрос 2. Основные банковские коммуникационные сети. Международная банковская система swift.
- Вопрос 3. Электронные системы межбанковских расчетов в Казахстане.
- Вопрос 4. Интернет-банкинг: состояние, проблемы и перспективы развития
- Тема 8. Проектирование информационных систем в экономике
- Вопрос 1. Принципы проектирования иэс.
- Вопрос 2. Понятие жизненного цикла ис. Этапы проектирования.
- Вопрос 3. Роль пользователя в создании аис и аит и постановке задач. Методика постановки задачи.
- Вопрос 4. Экономическая эффективность аит
- Тема 9. Защита информации.
- Вопрос 1. Компьютерные преступления и средства защиты информации. Обзор угроз безопасности.
- Основные направления компьютерных преступлений
- Вопрос 2. Методы и средства защиты информации
- Вопрос 3. Особенности защиты банковской информации