Warning: session_start() [function.session-start]: Cannot send session cookie - headers already sent by (output started at /var/www/nelvin/data/www/ebooktime.net/index.php:6) in /var/www/nelvin/data/www/ebooktime.net/index.php on line 7

Warning: session_start() [function.session-start]: Cannot send session cache limiter - headers already sent (output started at /var/www/nelvin/data/www/ebooktime.net/index.php:6) in /var/www/nelvin/data/www/ebooktime.net/index.php on line 7
5.1. Особливості інформаційної безпеки банків : казначейство банку : Бібліотека для студентів

5.1. Особливості інформаційної безпеки банків


Повернутися на початок книги
1 2 3 4 5 6 7 8 9 10 11 12 13 14 
15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 
30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 
45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 
60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 
75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 
90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 
105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 
120 121 122 123 124 125 126 127 128 129 130 131 132 133 

магниевый скраб beletage

Стратегія інформаційної безпеки банків дуже відрізняється від аналогічних стра-тегій інших компаній і організацій. Це зумовлено насамперед специфічним характером загроз, а також публічною діяльністю банків, які змушені робити доступ до рахунків досить легким з метою зручності для клієнтів.

Звичайний банк будує свою інформаційну безпеку, виходячи лише з вузького кола потенційних загроз — головним чином захист інформації від конкурентів. Така інформація цікава лише вузькому колу зацікавлених осіб і організацій і рідко буває ліквідна, тобто звернена в грошову форму (мал. 5.1).

Інформаційна безпека банку повинна враховувати такі специфічні фактори:

1. Збережена й оброблювана в банківських системах інформація являє собою реальні гроші. На підставі інформації комп’ютера можуть здійснюватися виплати, відкрива-тися кредити, переводитися значні суми. Цілком зрозуміло, що незаконне маніпу-лювання такою інформацією може призвести до серйозних збитків. Ця особливість різко розширює коло злочинців, що заміряються саме на банки (на відміну, напри-клад, від промислових компаній, внутрішня інформація яких мало кому цікава).

2. Інформація в банківських системах зачіпає інтереси великої кількості людей та організацій — клієнтів банку. Як правило, вона конфіденційна, і банк відповідає за забезпечення необхідного ступеня таємності перед своїми клієнтами. Природно, клієнти вправі очікувати, що банк повинен піклуватися про їхні інтереси, інакше він ризикує своєю репутацією з усіма наслідками, що випливають звідси.

3. Конкурентоспроможність банку залежить від того, наскільки клієнтові зручно працювати з банком, а також наскільки широкий спектр надаваних послуг, вклю-чаючи послуги, пов’язані з вилученим доступом. Тому клієнт повинен мати можли-вість швидко й без стомлюючих процедур розпоряджатися своїми грошима. Але така легкість доступу до грошей підвищує ймовірність злочинного проникнення в банківські системи.

4. Інформаційна безпека банку (на відміну від більшості компаній) повинна забезпе-чувати високу надійність роботи комп’ютерних систем навіть у випадку поза-штатних ситуацій, оскільки банк несе відповідальність не тільки за свої активи, а й за гроші клієнтів.

5. Банк зберігає важливу інформацію про своїх клієнтів, що розширює коло потенцій-них зловмисників, зацікавлених у крадіжці або псуванні такої інформації. Специфіка захисту автоматизованих систем оброблення інформації банків (АСОІБ)

зумовлена особливостями розв’язуваних ними завдань:

• Як правило АСОІБ обробляють великий потік запитів у реальному масштабі часу, кожний з яких не потребує для оброблення численних ресурсів, але всі разом вони можуть бути оброблені тільки високопродуктивною системою.

• В АСОІБ зберігається й обробляється конфіденційна інформація, не призначена для широкої публіки. Її підробка або витік можуть призвести до серйозних (для

Казначейство банку

банку або його клієнтів) наслідків. Тому АСОІБ приречені залишатися майже закритими, працювати під керуванням специфічного програмного забезпечення й приділяти велику увагу забезпеченню своєї безпеки.

Іншою особливістю АСОІБ є підвищені вимоги до надійності апаратного й про-грамного забезпечення. Через це багато сучасних АСОІБ тяжіють до стійкої до відмов архітектури комп’ютерів, завдяки чому можна здійснювати безперервно оброблення інформації навіть в умовах різних збоїв і відмов. У банку зберігається і обробляється безліч найрізноманітніших даних, зокрема: персональні дані як по клієнтах, так і по своїх службовцях, які банк зобов’язаний зберігати в таємниці; дані по трансакціях;

контрольна інформація (наприклад, підсумкові щоденні зведення за ступенем ризику банківських операцій);

стратегічна інформація (наприклад, звіти по країнах, у яких банк веде кредитно-фінансові операції);

оперативна комерційна інформація банку, що надається його комерційними клі-єнтами (наприклад, якщо банк збирається позичати гроші компанії, то він одер-жуватиме масу інформації, яку відповідна компанія зовсім не бажає розголошу-вати широкій аудиторії).

Банківська інформація

3 обмеженим доступом

Відкрита

Таємна

Конфіденційна

Банківська таємниця

Комерційна таємниця

Мал. 5.1. Структура банківської інформації

За захист інформації відповідає управлінський персонал усіх рівнів. Вище керів-ництво здійснює організаційний контроль, ініціює і затверджує план заходів щодо обліку непередбачених ситуацій і випадковостей, вживає заходів у випадках пору-шення політики захисту (таких, як проведення нелегальних або неетичних операцій).

Управлінський персонал установлює методи і процедури контролю доступу до майна, активів і даних, здійснює ведення контрольних звітів і балансів, проводить планові і позапланові перевірки дотримання встановлених процедур.

Менеджер з оброблення даних забезпечує конфіденційність, цілісність і комп’ю-терний сервіс, дотримання вимог до захисту апаратного і програмного забезпечення і надійного функціонування комп’ютерів.

Захист інформації від несанкціонованого доступу — це важливе завдання управ-лінського персоналу всіх рівнів. Необхідне проведення певної політики захисту, а не просто ряду якихось відповідних у певний момент заходів.

 

 

 

Розділ 5. Банківська безпека

Доступ до інформації в банку повинен реєструватися. Слід підкреслити, що, якщо відомості, необхідні для нарахування заробітної плати або ведения рахунків, використовуються ще й для інших цілей, крім виплати заробітної плати або пенсії і ведения рахунків, то ніякі виключення не діють, і користувач інформації повинен за-рееструвати той факт, що він використовує персональні дані, призначені для нарахування заробітної плати або ведения рахунків як за основним призначенням, так і для інших цілей, що виходять за рамки даного виключення. Наприклад, якщо бухгалтер-ська книга обліку платежів використовується для оцінювання кредитоспроможності клієнтів, то виключення втрачає свою силу.

У багатьох кра'шах прийнято Закон про захист даних, у якому регулюються правила і права роботи з даними (мал. 5.2).

_______________________________Загрози для банку______________________________

-| Неавторизований споживач отримуе доступ до корпоративно! мережі_________________

-| Дані компрометуються під час транспортування__________________________________

-| Сторона не погоджуеться робити трансакцію в режимі онлайн_______________________

-| Трапляеться атака і відмова у послугах__________________________________________

~| Зміст веб-сайту змінений (псування домашньої сторінки)__________________________

-| Недолік знайдений у програмному забезпеченні з безпеки__________________________

Персональні дані, що зберігаються (наприклад, кредиты картки) піддаються ризику або компроментуються

-| Дані, що зберігаються локально, піддаються ризику через доступ з інтернету____________

-| Споживач не бажае підписати або закодувати інформацію, яку пересилае колезі_________

-| Споживач завантажуе програмне забезпечення небезпечного змісту з Інтернету_________

-| Споживач відкривае заражений документ і випускае вірус__________________________

^) Споживач отримуе доступ до неавторизованого джерела внутрішнього або зовнішнього змісту |

Мал. 5.2. Загрози для банку

Класифікація, що наводиться нижче, охоплює тільки навмисні загрози безпеки АСОІБ, залишаючи осторонь такі впливи, як стихійні лиха, збої й відмови встатку-вання й ін. Реалізацію загрози надалі будемо називати атакою.

Загрози безпеки АСОІБ можна класифікувати за такими ознаками: 1. За метою реалізації загрози. Реалізація тієї або іншої загрози безпеки АСОІБ

може переслідувати такі цілі:

• порушення конфіденційності інформації. Інформація, збережена й оброблювана в АСОІБ, може мати більшу цінність для її власника. її використання іншими особами завдає значної шкоди інтересам власника;

• порушення цілісності інформації. Втрата цілісності інформації (повна або част-кова, компрометація, дезінформація) — загроза близька до її розкриття. Коштов-на інформація може бути втрачена або знецінена шляхом її несанкціонованого видалення або модифікації. Збиток від таких дій може бути набагато більшим, ніж при порушенні конфіденційності;

Казначейство банку

• порушення (часткове або повне) працездатності АСОІБ (порушення доступності). Вихід з ладу або некоректна зміна режимів роботи компонентів АСОІБ, їхня моди-фікація або підміна можуть привести до одержання невірних результатів, відмові АСОІБ від потоку інформації або відмовам при обслуговуванні. Відмова від потоку інформації означає невизнання однієї із взаємодіючих сторін факту передачі або при-йому повідомлень. Маючи на увазі, що такі повідомлення можуть містити важливу ін-формацію, замовлення, фінансові узгодження і т.п., збиток у цьому випадку може бути досить значним, тому що діапазон послуг, які надаються сучасними АСОІБ, досить широкий, відмова в обслуговуванні може істотно вплинути на роботу користувача.