Защита информации банковских и платежных систем

 

 

Министерство образования Республики Беларусь

 

Учреждение образования «Белорусский государственный экономический университет»

 

 

 

 

 

 

 

 

 

 

 

Реферат

 

по дисциплине: «Информационные технологии банка»

 

по теме: «Защита информации банковских и платежных систем»

 

 

 

 

 

 

 

 

 

 

Студента ВШУБ

5 курса, группы ВВК-4       Мелещени К.В.

 

 

 

 

 

 

 

 

 

 

 

Минск 2014

 

 

Электронные расчеты как вид безналичных расчетов появились во второй половине XX века. Они приобрели принципиально новое качество, когда на обоих концах линии связи появились компьютеры. Качественный скачок выражался в том, что скорость осуществления платежей значительно возросла и появилась возможность их автоматической обработки. В дальнейшем появились электронные эквиваленты различных классических платежных средств.

Коммерческая деятельность в электронных сетях снимает многие физические ограничения. Компании, подключая свои компьютерные системы к Интернету, способны предоставлять своим клиентам услуги 24 часа в сутки без праздников и выходных. Заказы на продукцию могут приниматься в любое время из любого места. В электронной коммерции все документы создаются в цифровом виде и с помощью различных приложений обрабатываются и передаются в Сеть.

К сожалению, компьютерная сеть в качестве посредника между продавцами, покупателями и их банками доступна как для правомерных акций, так и для злоумышленных несанкционированных действий. Сделать «посредника» как можно более надежным – это одна из важнейших и в то же время самая трудная задача разработки. От качества решения задачи обеспечения безопасности совершаемых по Сети финансовых транзакций во многом зависят темпы и перспективы развития электронной коммерции.

Вступление Республике Беларусь в Интернет-бизнес несколько запоздало по сравнению с развитыми зарубежными странами, однако, во-первых, это отставание не столь велико, а во-вторых, у него есть положительные моменты. Это отставание по востребованности Интернет-технологий, используемых в электронной коммерции, позволяет не допускать повторения ошибок зарубежных компаний, занимающихся разработкой ПО для электронной коммерции. Имеются в виду в первую очередь ошибки, связанные с информационной безопасностью, следствием которых становятся возможным различного рода мошенничества.

Таким образом, при создании и модернизации автоматизированных систем обработки информации в банковских и платежных системах необходимо уделять пристальное внимание обеспечению ее безопасности. Именно этой проблеме посвящена данная курсовая работа, т. к. эта проблема является сейчас наиболее актуальной и наименее исследованной. Если в обеспечении физической и классической информационной безопасности давно уже выработаны устоявшиеся подходы, то в связи с частыми радикальными изменениями в компьютерных технологиях методы безопасности автоматизированных банковских и платежных систем требуют постоянного обновления.

В работе рассматриваются особенности информационной безопасности коммерческих систем, показывается, что именно для банков (в отличие от других предприятий) информационная безопасность имеет решающее значение. Рассмотрены методы защиты платежных систем. Особое внимание уделено рассмотрению алгоритмов и методов криптографических систем.

 

Стратегия информационной безопасности банковских и платежных систем весьма сильно отличается от аналогичных стратегий других компаний и организаций. Это обусловлено прежде всего специфическим характером угроз, а также публичной деятельностью банков, которые вынуждены делать доступ к счетам достаточно легким с целью удобства для клиентов.

Обычная компания строит свою информационную безопасность, исходя лишь из узкого круга потенциальных угроз — главным образом защита информации от конкурентов. Такая информация интересна лишь узкому кругу заинтересованных лиц и организаций и редко бывает ликвидна, т.е. обращаема в денежную форму.

Информационная безопасность платежных систем должна учитывать следующие специфические факторы:

1. Хранимая и обрабатываемая  в банковских системах информация  представляет собой реальные  деньги. На основании информации  компьютера могут производится  выплаты, открываться кредиты, переводиться значительные суммы. Вполне понятно, что незаконное манипулирование с такой информацией может привести к серьезным убыткам. Эта особенность резко расширяет круг преступников, покушающихся именно на банки (в отличие от, например, промышленных компаний, внутренняя информация которых мало кому интересна).

2. Информация в банковских и платежных системах затрагивает интересы большого количества людей и организаций — клиентов банка. Как правило, она конфиденциальна, и банк несет ответственность за обеспечение требуемой степени секретности перед своими клиентами. Естественно, клиенты вправе ожидать, что банк должен заботиться об их интересах, в противном случае он рискует своей репутацией со всеми вытекающими отсюда последствиями.

3. Конкурентоспособность банка  зависит от того, насколько клиенту  удобно работать с банком, а  также насколько широк спектр  предоставляемых услуг, включая  услуги, связанные с удаленным  доступом. Поэтому клиент должен  иметь возможность быстро и  без утомительных процедур распоряжаться своими деньгами. Но такая легкость доступа к деньгам повышает вероятность преступного проникновения в банковские системы.

4. Информационная безопасность  банка (в отличие от большинства  компаний) должна обеспечивать высокую надежность работы компьютерных систем даже в случае нештатных ситуаций, поскольку банк несет ответственность не только за свои средства, но и за деньги клиентов.

5. Банк хранит важную информацию  о своих клиентах, что расширяет  круг потенциальных злоумышленников, заинтересованных в краже или порче такой информации.

Преступления в банковской сфере также имеют свои особенности [2]:

• Многие преступления, совершенные в финансовой сфере остаются неизвестными для широкой публики в связи с тем, что руководители банков не хотят тревожить своих акционеров, боятся подвергнуть свою организацию новым атакам, опасаются подпортить свою репутацию надежного хранилища средств и, как следствие, потерять клиентов.
• Как правило, злоумышленники обычно используют свои собственные счета, на который переводятся похищенные суммы. Большинство преступников не знают, как «отмыть» украденные деньги. Умение совершить преступление и умение получить деньги — это не одно и то же.
• Большинство компьютерных преступлений — мелкие. Ущерб от них лежит в интервале от $10.000 до $50.000.
• Успешные компьютерные преступления, как правило, требуют большого количества банковских операций (до нескольких сотен). Однако крупные суммы могут пересылаться и всего за несколько транзакций.
• Большинство злоумышленников — клерки. Хотя высший персонал банка также может совершать преступления и нанести банку гораздо больший ущерб — такого рода случаи единичны.
• Многие злоумышленники объясняют свои действия тем, что они всего лишь берут в долг у банка с последующим возвратом. Впрочем «возврата», как правило, не происходит.

Специфика защиты автоматизированных систем обработки информации банков (АСОИБ) обусловлена особенностями решаемых ими задач:

• Как правило АСОИБ обрабатывают большой поток постоянно поступающих запросов в реальном масштабе времени, каждый из которых не требует для обработки многочисленных ресурсов, но все вместе они могут быть обработаны только высокопроизводительной системой;
• В АСОИБ хранится и обрабатывается конфиденциальная информация, не предназначенная для широкой публики. Ее подделка или утечка могут привести к серьезным (для банка или его клиентов) последствиям. Поэтому АСОИБ обречены оставаться относительно закрытыми, работать под управлением специфического программного обеспечения и уделять большое внимание обеспечению своей безопасности;
• Другой особенностью АСОИБ является повышенные требования к надежности аппаратного и программного обеспечения. В силу этого многие современные АСОИБ тяготеют к так называемой отказоустойчивой архитектуре компьютеров, позволяющей осуществлять непрерывную обработку информации даже в условиях различных сбоев и отказов.

Можно выделить два типа задач, решаемых АСОИБ:

1. Аналитические. К этому типу  относятся задачи планирования, анализа счетов и т.д. Они не  являются оперативными и могут требовать для решения длительного времени, а их результаты могут оказать влияние на политику банка в отношении конкретного клиента или проекта. Поэтому подсистема, с помощью которой решаются аналитические задачи, должна быть надежно изолирована от основной системы обработки информации. Для решения такого рода задач обычно не требуется мощных вычислительных ресурсов, обычно достаточно 10-20% мощности всей системы. Однако ввиду возможной ценности результатов их защита должна быть постоянной.

2. Повседневные. К этому типу относятся задачи, решаемые в повседневной деятельности, в первую очередь выполнение платежей и корректировка счетов. Именно они и определяют размер и мощность основной системы банка; для их решения обычно требуется гораздо больше ресурсов, чем для аналитических задач. В то же время ценность информации, обрабатываемой при решении таких задач, имеет временный характер. Постепенно ценность информации, например, о выполнении какого-либо платежа, становиться не актуальной. Естественно, это зависит от многих факторов, как-то: суммы и времени платежа, номера счета, дополнительных характеристик и т.д. Поэтому, обычно бывает достаточным обеспечить защиту платежа именно в момент его осуществления. При этом защита самого процесса обработки и конечных результатов должна быть постоянной.

Можно сделать следующие выводы об особенностях защиты информации в финансовых системах [2]:

• Главное в защите финансовых организаций — оперативное и по возможности полное восстановление информации после аварий и сбоев. В основном, защита информации от разрушения достигается созданием резервных копий и их внешним хранением, использованием средств бесперебойного электропитания и организацией «горячего» резерва аппаратных средств.
• Следующая по важности для финансовых организаций проблема — это управление доступом пользователей к хранимой и обрабатываемой информации. Здесь широко используются различные программные системы управления доступом, которые иногда могут заменять и антивирусные программные средства. В основном используются приобретенные программные средства управления доступом. Причем в финансовых организациях особое внимание уделяют такому управлению пользователей именно в сети.
• К отличиям организации защиты сетей ЭВМ в финансовых организациях можно отнести широкое использование стандартного (т.е. адаптированного, но не специально разработанного для конкретной организации) коммерческого программного обеспечения для управления доступом к сети, защита точек подключения к системе через коммутируемые линии связи. Скорее всего это связано с большей распространенностью средств телекоммуникаций в финансовых сферах и желание защититься от вмешательства извне. Так же используются другие способы защиты, такие как применение антивирусных средств, оконечное и канальное шифрование передаваемых данных, аутентификация сообщений.
• Большое внимание в финансовых организациях уделяется физической защите помещений, в которых расположены компьютеры. Это означает, что защита ЭВМ от доступа посторонних лиц решается не только с помощью программных средств, но и организационно-технических (охрана, кодовые замки и т.д.).

Можно сделать важный вывод: защита финансовых организаций строится несколько иначе, чем обычных коммерческих и государственных организаций. Следовательно для защиты АСОИБ нельзя применять те же самые технические и организационные решения, которые были разработаны для стандартных ситуаций. Нельзя бездумно копировать чужие системы — они разрабатывались для иных условий.

 

Специфической чертой электронных банковских систем является специальная форма обмена электронными данными - электронных платежей, без которых ни один современный банк не может существовать.

Обмен электронными данными (ОЭД) — это межкомпьютерный обмен деловыми, коммерческими, финансовыми электронными документами. Например, заказами, платежными инструкциями, контрактными предложениями, накладными, квитанциями и т.п.

ОЭД обеспечивает оперативное взаимодействие торговых партнеров (клиентов, поставщиков, торговых посредников и др.) на всех этапах подготовки торговой сделки, заключения контракта и реализации поставки. На этапе оплаты контракта и перевода денежных средств ОЭД может приводить к электронному обмену финансовыми документами. При этом создается эффективная среда для торгово-платежных операций: [4]

• Возможно ознакомление торговых партнеров с предложениями товаров и услуг, выбор необходимого товара/услуги, уточнение коммерческих условий (стоимости и сроков поставки, торговых скидок, гарантийных и сервисных обязательств) в реальном масштабе времени;
• Заказ товара/услуг или запрос контрактного предложения в реальном масштабе времени;
• Оперативный контроль поставки товара, получение по электронной почте сопроводительных документов (накладных, фактур, комплектующих ведомостей и т.д.);
• Подтверждение завершения поставки товара/услуги, выставление и оплата счетов;
• Выполнение банковских кредитных и платежных операций.

К достоинствам ОЭД следует отнести:

• Уменьшение стоимости операций за счет перехода на безбумажную технологию. Эксперты оценивают стоимость обработки и ведения бумажной документации в 3-8% от общей стоимости коммерческих операций и доставки товаров;
• Повышение скорости расчета и оборота денег;
• Повышение удобства расчетов.

Банки в США и Западной Европе уже осознали свою ключевую роль в распространении ОЭД и поняли те значительные преимущества, которые дает более тесное взаимодействие с деловыми и личными партнерами. ОЭД помогает банкам в предоставлении услуг клиентам, особенно мелким, тем, которые ранее не могли позволить себе ими воспользоваться из-за их высокой стоимости.