Автор работы: Пользователь скрыл имя, 15 Мая 2014 в 12:13, реферат
Со времени своего появления банки неизменно вызывали преступный интерес. И этот интерес был связан не только с хранением в кредитных организациях денежных средств, но и с тем, что в банках сосредотачивалась важная и зачастую секретная информация о финансовой и хозяйственной деятельности многих людей, компаний, организаций и даже целых государств. В настоящее время в результате повсеместного распространения электронных платежей, пластиковых карт, компьютерных сетей объектом информационных атак стали непосредственно денежные средства как банков, так и их клиентов.
Введение 3
1.Особенности информационной безопасности банков 4
2.Человеческий фактор в обеспечении информационной безопасности 6
2.1 Угрозы информационной безопасности банка со стороны персонала 7
2.2 Кадровая политика с точки зрения информационной безопасности 10
3.Безопасность автоматизированных систем обработки информации в банках (АСОИБ) 12
4.Безопасность электронных платежей 18
5.Безопасность персональных платежей физических лиц. 23
Заключение 27
Список использованной литературы 29
Некоторые пользователи считают получение доступа к системным наборам данных крупным успехом, затевая своего рода игру «пользователь против системы» ради самоутверждения либо в собственных глазах, либо в глазах коллег. Хотя намерения могут быть и безвредными, эксплуатация ресурсов АСОИБ считается нарушением политики безопасности. Пользователи с более серьезными намерениями могут найти конфиденциальные данные, попытаться испортить или уничтожить их при этом. Такой вид нарушения называется зондированием системы. Большинство систем имеет ряд средств противодействия подобным «шалостям». В случае необходимости администратор защиты использует их временно или постоянно.
Нарушение безопасности АСОИБ может быть вызвано и корыстным интересом пользователя системы. В этом случае он будет целенаправленно пытаться преодолеть систему защиты для доступа к хранимой, передаваемой и обрабатываемой в АСОИБ информации. Даже если АСОИБ имеет средства, делающие такое проникновение чрезвычайно сложным, полностью защитить ее от проникновения практически невозможно. Тот, кому успешно удалось проникновение — очень квалифицирован и опасен. Проникновение — опаснейший вид нарушений, правда, он встречается чрезвычайно редко, так как требуют необычайного мастерства и упорства.
Как показывает практика, ущерб от каждого вида нарушений обратно пропорционален его частоте: чаще всего встречаются нарушения, вызванные халатностью и безответственностью, обычно ущерб от них незначителен и легко восполняется. Например, случайно уничтоженный набор данных можно восстановить, если сразу заметить ошибку. Если информация имеет важное значение, то необходимо хранить регулярно обновляемую резервную копию, тогда ущерб вообще практически незаметен.
Таким образом, для организации надежной защиты необходимо четко отдавать себе отчет, от каких именно нарушений важнее всего избавиться, Для защиты от нарушений, вызванных халатностью нужна минимальная защита, для защиты от зондирования системы — более жесткая и самая жесткая вместе с постоянным контролем — от проникновении. Целью таких действий должно служить одно — обеспечение работоспособности АСОИБ в целом и ее системы защиты в частности.
Способы предотвращения нарушений вытекают из природы побудительных мотивов — это соответствующая подготовка пользователей, а также поддержание здорового рабочего климата в коллективе, подбор персонала, своевременное обнаружение потенциальных злоумышленников и принятие соответствующих мер. Первая из них - задача администрации системы, вторая — психолога и всего коллектива в целом. Только в случае сочетания этих мер имеется возможность не исправлять нарушения и не расследовать преступления, а предотвращать саму их причину.
При создании модели нарушителя и оценке риска потерь от действий персонала необходимо дифференцировать всех сотрудников по их возможностям доступа к системе и, следовательно, по потенциальному ущербу от каждой категории пользователей. Например, оператор или программист автоматизированной банковской системы может нанести несравненно больший ущерб, чем обычный пользователь, тем более непрофессионал.
2.2 Кадровая политика с точки зрения информационной безопасности
Практика последнего времени свидетельствует о том, что различные по масштабам, последствиям и значимости виды преступлений и правонарушений так или иначе связаны с конкретными действиями сотрудников коммерческих структур. В связи с этим представляется целесообразным и необходимым в целях повышения экономической безопасности этих объектов уделять больше внимания подбору и изучения кадров, проверке любой информации, указывающей на их сомнительное поведение и компрометирующие связи. В контрактах необходимо четко очерчивать персональные функциональные обязанности всех категорий сотрудников коммерческих предприятий и на основе существующего российского законодательства во внутренних приказах и распоряжениях определять их ответственность за любые виды нарушений, связанных с разглашением или утечкой информации, составляющей коммерческую тайну.
Кроме того, в этой связи целесообразно отметить, что ведущие московские коммерческие банки все шире вводят в своих служебных документах гриф «конфиденциально» и распространяют различного рода надбавки к окладам для соответствующих категорий своего персонала.
Если объективно оценивать существующие сегодня процедуры отбора кадров, то окажется, что во многих банках акцент, к сожалению, делается, прежде всего, на выяснении лишь уровня профессиональной подготовки кандидатов на работу, который определяется зачастую по традиционно-формальным признакам: образование; разряд; стаж работы по специальности. В таких банках при весьма ограниченной численности сотрудников, все более частом совмещении рядовыми исполнителями различных участков работы и стремительно увеличивающихся потоках информации и управленческих команд, каждый сотрудник во все возрастающей степени становится носителем конфиденциальных сведений, которые могут представлять интерес, как для конкурентов, так и криминальных сообществ.
Обобщая основные рекомендации, представляется, что программа работы с персоналом в коммерческой структуре могла бы быть сформулирована следующим образом:
- добывание в рамках
- проведение комплекса
- использование современных
- оценка с использованием
- определение для кандидатов на работу в коммерческих структурах некоторого испытательного срока с целью дальнейшей проверки и выявления деловых и личных качеств, иных факторов, которые бы могли препятствовать зачислению на должность;
- введение в практику
- выделение из числа первых руководителей коммерческих структур куратора кадровой работы для осуществления контроля за деятельностью кадровых подразделений и служб безопасности при работе с персоналом.
Можно сделать определенный вывод о том, что российские предприниматели во все возрастающей степени меняют свое отношение к «человеческому фактору», ставят на вооружение своих кадровых подразделений и служб безопасности современные методы работы с персоналом. Очевидно, что дальнейшее развитие в этой области связано с активным использованием значительного потенциала методов психоанализа, психологии и этики управления, конфликтологии и ряда других наук и более полного интегрирования соответствующих специалистов в коммерческие предприятия.
3. Безопасность автоматизированных систем обработки информации в банках (АСОИБ)
Не будет преувеличением сказать, что проблема умышленных нарушений функционирования АСОИБ различного назначения в настоящее время является одной из самых актуальных. Наиболее справедливо это утверждение для стран с сильно развитой информационной инфраструктурой, о чем убедительно свидетельствуют приводимые ниже цифры4.
Известно, что в 1992 году ущерб от компьютерных преступлений составил $555 млн., 930 лет рабочего времени и 15.3 года машинного времени. По другим данным ущерб финансовых организаций составляет от $173 млн. до $41 млрд. в год5.
Из данного примера, можно сделать вывод, что системы обработки и защиты информации отражают традиционный подход к вычислительной сети как к потенциально ненадежной среде передачи данных. Существует несколько основных способов обеспечения безопасности программно-технической среды, реализуемых различными методами:
1. Идентификация (аутентификация) и
авторизация при помощи
1.1. Создание профилей
1.2. Создание профилей процессов.
Задачу аутентификации
2. Инкапсуляция передаваемой информации в специальных протоколах обмена. Использование подобных методов в коммуникациях основано на алгоритмах шифрования с открытым ключом. На этапе инициализации происходит создание пары ключей - открытого и закрытого, имеющегося только у того, кто публикует открытый ключ. Суть алгоритмов шифрования с открытым ключом заключается в том, что операции шифрования и дешифрования производятся разными ключами (открытым и закрытым соответственно).
3. Ограничение информационных
3.1. Firewalls (брандмауэры). Метод подразумевает
создание между локальной
3.2. Proxy-servers. При данном методе
вводятся жесткие ограничения
на правила передачи
4. Создание виртуальных частных сетей (VPN) позволяет эффективно обеспечивать конфиденциальность информации, ее защиту от прослушивания или помех при передаче данных. Они позволяют установить конфиденциальную защищенную связь в открытой сети, которой обычно является интернет, и расширять границы корпоративных сетей до удаленных офисов, мобильных пользователей, домашних пользователей и партнеров по бизнесу. Технология шифрования устраняет возможность перехвата сообщений, передаваемых по виртуальной частной сети, или их прочтения лицами, отличными от авторизованных получателей, за счет применения передовых математических алгоритмов шифрования сообщений и приложений к ним. Концентраторы серии Cisco VPN 3000 многими признаются лучшим в своей категории решением удаленного доступа по виртуальным частным сетям. Концентраторы Cisco VPN 3000, обладающие самыми передовыми возможностями с высокой надежностью и уникальной, целенаправленной архитектурой. Позволяют корпорациям создавать инфраструктуры высокопроизводительных, наращиваемых и мощных виртуальных частных сетей для поддержки ответственных приложений удаленного доступа. Идеальным орудием создания виртуальных частных сетей от одного сетевого объекта к другому служат маршрутизаторы Cisco, оптимизированные для построения виртуальных частных сетей, к которым относятся маршрутизаторы Cisco 800, 1700, 2600, 3600, 7100 и 7200.
5.Системы обнаружения вторжений и сканеры уязвимости создают дополнительный уровень сетевой безопасности. Хотя межсетевые экраны пропускают или задерживают трафик в зависимости от источника, точки назначения, порта или прочих критериев, они фактически не анализируют трафик на атаки и не ведут поиск уязвимых мест в системе. Кроме того, межсетевые экраны обычно не борются с внутренними угрозами, исходящими от "своих". Система обнаружения вторжений Cisco Intrusion Detection System (IDS) может защитить сеть по периметру, сети взаимодействия с бизнес-партнерами и все более уязвимые внутренние сети в режиме реального времени. Система использует агенты, представляющие собой высокопроизводительные сетевые устройства, для анализа отдельных пакетов с целью обнаружения подозрительной активности. Если в потоке данных в сети проявляется несанкционированная активность или сетевая атака, агенты могут обнаружить нарушение в реальном времени, послать сигналы тревоги администратору и заблокировать доступ нарушителя в сеть. Помимо сетевых средств обнаружения вторжений компания Cisco также предлагает серверные системы обнаружения вторжений, обеспечивающие эффективную защиту конкретных серверов в сети пользователя, в первую очередь серверов WEB и электронной коммерции. Cisco Secure Scanner представляет собой программный сканер промышленного уровня, позволяющий администратору выявлять и устранять уязвимости в сетевой безопасности прежде, чем их найдут хакеры.
Информация о работе Банковские операции (внесение денег на счет и снятие)