Загрузил valeriavoronina1503

информатика

реклама
Содержание
Введение
Особенности информационной безопасности банков
Безопасность электронных платежей
Безопасность персональных платежей физических лиц
Заключение
Введение
Со времени своего появления банки неизменно вызывали преступный
интерес. И этот интерес был связан не только с хранением в кредитных
организациях денежных средств, но и с тем, что в банках сосредотачивалась
важная и зачастую секретная информация о финансовой и хозяйственной
деятельности многих людей, компаний, организаций и даже целых
государств. В настоящее время в результате повсеместного распространения
электронных платежей, пластиковых карт, компьютерных сетей объектом
информационных атак стали непосредственно денежные средства как банков,
так и их клиентов. Совершить попытку хищения может любой - необходимо
лишь наличие компьютера, подключенного к сети Интернет. Причем для
этого не требуется физически проникать в банк, можно «работать» и за
тысячи километров от него. Именно эта проблема является сейчас наиболее
актуальной и наименее исследованной. Как показывает практика, не
существует сложных компьютерных систем, не содержащих ошибок. На мой
взгляд, каждый заинтересован в конфиденциальности своих персональных
данных, предоставляемых банкам. банковское преступление начинается с
утечки информации. Автоматизированные банковские системы являются
каналами для таких утечек.
Информация - это аспект общей проблемы обеспечения безопасности
банковской деятельности. В связи с этим, стратегия информационной
безопасности банков весьма сильно отличается от аналогичных стратегий
других компаний и организаций. Это обусловлено, прежде всего,
специфическим характером угроз, а также публичной деятельностью банков,
которые вынуждены делать доступ к счетам достаточно легким с целью
удобства для клиентов. Обычная компания строит свою информационную
безопасность, исходя лишь из узкого круга потенциальных угроз - главным
образом защита информации от конкурентов.
Информационная безопасность банка должна учитывать следующие
специфические факторы:
Хранимая и обрабатываемая в банковских системах информация
представляет собой реальные деньги. На основании информации компьютера
могут производиться выплаты, открываться кредиты, переводиться
значительные суммы. Вполне понятно, что незаконное манипулирование с
такой информацией может привести к серьезным убыткам. Эта особенность
резко расширяет круг преступников, покушающихся именно на банки (в
отличие от, например, промышленных компаний, внутренняя информация
которых мало кому интересна).
Информация в банковских системах затрагивает интересы большого
количества людей и организаций - клиентов банка. Как правило, она
конфиденциальна, и банк несет ответственность за обеспечение требуемой
степени секретности перед своими клиентами. Естественно, клиенты вправе
ожидать, что банк должен заботиться об их интересах, в противном случае он
рискует своей репутацией со всеми вытекающими отсюда последствиями.
Конкурентоспособность банка зависит от того, насколько клиенту удобно
работать с банком, а также насколько широк спектр предоставляемых услуг,
включая услуги, связанные с удаленным доступом. Поэтому клиент должен
иметь возможность быстро и без утомительных процедур распоряжаться
своими деньгами. Но такая легкость доступа к деньгам повышает
вероятность преступного проникновения в банковские системы.
Информационная безопасность банка должна обеспечивать высокую
надежность работы компьютерных систем даже в случае нештатных
ситуаций, поскольку банк несет ответственность не только за свои средства,
но и за деньги клиентов.
Банк хранит важную информацию о своих клиентах, что расширяет круг
потенциальных злоумышленников, заинтересованных в краже или порче
такой информации. К сожалению, в наши дни, в связи с высоким развитием
технологий, даже предельно жесткие организационные меры по
упорядочению работы с конфиденциальной информацией не защитят от ее
утечки по физическим каналам. Поэтому системный подход к защите
информации требует, чтобы средства и действия, используемые банком для
обеспечения информационной безопасности (организационные, физические и
программно-технические), рассматривались как единый комплекс
взаимосвязанных, взаимодополняющих и взаимодействующих мер. Такой
комплекс должен быть нацелен не только на защиту информации от
несанкционированного доступа, но и на предотвращение случайного
уничтожения, изменения или разглашения информации.
Безопасность электронных платежей
Необходимость всегда иметь под рукой нужную информацию заставляет
многих руководителей задумываться над проблемой оптимизации бизнеса с
помощью компьютерных систем. Но если перевод бухгалтерского учета из
бумажной формы в электронную давно осуществлен, то взаиморасчеты с
банком все еще остаются недостаточно автоматизированными: массовый
переход на электронный документооборот только предстоит. Сегодня многие
банки имеют те или иные каналы для удаленного осуществления платежных
операций. Отправить "платежку" можно прямо из офиса, воспользовавшись
модемным соединением или выделенной линией связи. Стало реальностью
выполнение банковских операций через Интернет - для этого достаточно
иметь компьютер с доступом в глобальную сеть и ключ электронной
цифровой подписи (ЭЦП), которая зарегистрирована в банке. Удаленное
обслуживание в банке позволяет повысить эффективность частного бизнеса
при минимальных усилиях со стороны его владельцев. При этом
обеспечиваются: экономия времени (не нужно приходить в банк лично,
платеж можно выполнить в любое время); удобство работы (все операции
производятся с персонального компьютера в привычной деловой
обстановке); высокая скорость обработки платежей (банковский оператор не
перепечатывает данные с бумажного оригинала, что дает возможность
исключить ошибки ввода и сократить время обработки платежного
документа); мониторинг состояния документа в процессе его обработки;
получение сведений о движении средств по счетам. Однако, несмотря на
очевидные преимущества, электронные платежи в России пока не очень
популярны, поскольку клиенты банков не уверены в их защищенности. Это,
прежде всего, связано с распространенным мнением, что компьютерные сети
легко может "взломать" какой-нибудь хакер. Этот миф прочно укоренился в
сознании человека, а регулярно публикуемые в СМИ новости об атаках на
очередной веб-сайт еще сильнее укрепляют это мнение. Но времена
меняются, и электронные средства связи рано или поздно заменят личное
присутствие плательщика, желающего сделать безналичный банковский
перевод с одного счета на другой. На мой взгляд, безопасность электронных
банковских операций сегодня можно обеспечить. Гарантией этому служат
современные методы криптографии, которые используются для защиты
электронных платежных документов. В первую очередь это ЭЦП,
соответствующая ГОСТ 34.10-94. С 1995 г. она успешно применяется в Банке
России. Вначале он ввел систему межрегиональных электронных расчетов
всего в нескольких регионах. Сейчас она охватывает все регионы Российской
Федерации и представить без нее функционирование Банка России
практически невозможно. Так стоит ли сомневаться в надежности ЭЦП, если
ее использование проверено временем и уже, так или иначе, касается
каждого гражданина нашей страны? Электронно-цифровая подпись гарантия безопасности. Согласно типовому договору между банком и
клиентом наличие под электронным документом достаточного количества
зарегистрированных ЭЦП уполномоченных лиц служит основанием для
совершения банковских операций по счетам клиента. В Федеральном законе
от 10.01.02 г. N 1-ФЗ "Об электронной цифровой подписи" определено, что
ЭЦП должна формироваться и проверяться сертифицированным ФАПСИ
программным обеспечением. Сертификация ЭЦП является гарантией того,
что данная программа выполняет криптографические функции согласно
нормативам ГОСТ и не совершает деструктивных действий на компьютере
пользователя. Чтобы проставить на электронный документ ЭЦП, необходимо
иметь ее ключ, который может храниться на каком-нибудь ключевом
носителе информации. Современные ключевые носители ("e-Token", "USBdrive", "Touch-Memory") по форме напоминают брелоки, и их можно носить в
связке обычных ключей. В качестве носителя ключевой информации можно
также использовать дискеты. Каждый ключ ЭЦП служит аналогом
собственноручной подписи уполномоченного лица. Если в организации
бумажные "платежки" обычно подписывают директор и главный бухгалтер,
то в электронной системе лучше всего сохранить тот же порядок и
предусмотреть для уполномоченных лиц разные ключи ЭЦП. Впрочем,
можно использовать и одну ЭЦП - данный факт необходимо отразить в
договоре между банком и клиентом. Ключ ЭЦП состоит из двух частей закрытой и открытой. Открытая часть (открытый ключ) после генерации
владельцем представляется в Удостоверяющий центр, роль которого обычно
играет банк. Открытый ключ, сведения о его владельце, назначение ключа и
другая информация подписываются ЭЦП Удостоверяющего центра. Таким
образом, формируется сертификат ЭЦП, который нужно зарегистрировать в
системе электронных расчетов банка. Закрытая часть ключа ЭЦП (секретный
ключ) ни при каких условиях не должна передаваться владельцем ключа
другому лицу. Если секретный ключ был передан даже на короткое время
другому лицу или оставлен где-нибудь без присмотра, считается, что ключ
"скомпрометирован" (т.е. подразумевается вероятность копирования или
нелегального использования ключа). Иначе говоря, в этом случае лицо, не
являющееся владельцем ключа, получает возможность подписать
несанкционированный руководством организации электронный документ,
который банк примет к исполнению и будет прав, так как проверка ЭЦП
покажет ее подлинность. Вся ответственность в данном случае ложится
исключительно на владельца ключа. Действия владельца ЭЦП в этой
ситуации должны быть аналогичны тем, которые предпринимаются при
утере обычной пластиковой карты: этот человек должен сообщить в банк о
"компрометации" (утере) ключа ЭЦП. Тогда банк заблокирует сертификат
данной ЭЦП в своей платежной системе и злоумышленник не сможет
воспользоваться своим незаконным приобретением. Предотвратить
нелегальное применение секретного ключа можно и с помощью пароля,
который накладывается как на ключ, так и на некоторые виды ключевых
носителей. Это способствует минимизации ущерба при утере, поскольку без
пароля ключ становится недействительным и у владельца будет достаточно
времени, чтобы сообщить банку о "компрометации" своей ЭЦП. Если клиент
- крупная фирма с большим финансовым оборотом, то ему можно
рекомендовать другую подсистему из состава InterBank - "Клиент Windows".
С ее помощью клиент самостоятельно ведет базу данных по электронным
документам и может подготавливать платежные поручения на своем
компьютере, не используя сеанс связи с банком. Когда все нужные
документы будут сформированы, клиент соединяется с банком по телефону
или выделенной линии для обмена данными. Еще один вид услуг,
предоставляемый комплексом InterBank, - информирование клиента о
состоянии его банковских счетов, курсах валют и передача других
справочных данных через голосовую связь, факс или экран сотового
телефона. Удобный способ использования электронных расчетов визирование платежных документов уполномоченными сотрудниками
предприятия, которые находятся на значительном расстоянии друг от друга.
Например, главный бухгалтер подготовил и подписал электронный
платежный документ. Директор, будучи в данный момент в командировке в
другом городе или в другой стране, может просмотреть этот документ,
подписать его и отправить в банк. Все эти действия позволяет выполнить
подсистема "Интернет-Клиент", к которой бухгалтер и директор предприятия
подключатся через Интернет. Шифрование данных и аутентификация
пользователя будут осуществляться одним из стандартных протоколов - SSL
или TLS. Итак, применение электронных платежей в бизнесе предоставляет
значительные преимущества по сравнению с традиционным сервисом. Что
же касается безопасности, то ее обеспечивают стандарт ЭЦП (ГОСТ 34.1094), с одной стороны, и ответственность клиента за хранение ключа подписи
- с другой. Рекомендации по использованию и хранению ключей ЭЦП клиент
всегда может получить в банке, и если он будет им следовать, то надежность
платежей гарантирована.
Безопасность персональных платежей физических лиц
Большинство систем безопасности в целях избегания потери персональных
данных физических лиц требуют от пользователя подтверждения, что он
именно тот, за кого себя выдает. Идентификация пользователя может быть
проведена на основе того, что: • он знает некую информацию (секретный код,
пароль); • он имеет некий предмет (карточку, электронный ключ, жетон); • он
обладает набором индивидуальных черт (отпечатки пальцев, форма кисти
руки, тембр голоса, рисунок сетчатки глаза и т.п.); • он знает, где находится
или как подключается специализированный ключ. Первый способ требует
набора на клавиатуре определенной кодовой последовательности персонального идентификационного номера (Personal identification number PIN). Обычно это последовательность из 4-8 цифр, которую пользователь
должен ввести при осуществлении транзакции. Второй способ предполагает
предъявление пользователем неких специфических элементов
идентификации - кодов, считываемых из некопируемого электронного
устройства, карточки или жетона. В третьем способе пропуском служат
индивидуальные особенности и физические характеристики личности
человека. Всякому биометрическому продукту сопутствует довольно
объемная база данных, хранящая соответствующие изображения или другие
данные, применяемые при распознавании. Четвертый способ предполагает
особый принцип включения или коммутирования оборудования, который
обеспечит его работу (этот подход используется достаточно редко). В
банковском деле наибольшее распространение получили средства
идентификации личности, которые мы отнесли ко второй группе: некий
предмет (карточку, электронный ключ, жетон). Естественно использование
такого ключа происходит в сочетании со средствами и приемами
идентификации, которые мы отнесли к первой группе: использование
информации (секретный код, пароль). Давайте более подробно разберемся со
средствами идентификации личности в банковском деле. Пластиковые карты.
В настоящее время выпущено более миллиарда карточек в различных
странах мира. Наиболее известные из них: кредитные карточки Visa (более
350 млн. карточек) и MasterCard (200 млн. карточек); международные
чековые гарантии Eurocheque и Posteheque; карточки для оплаты
путешествий и развлечений American Express (60 млн. карточек) и Diners
Club. Магнитные карточки Наиболее известны и давно используются в
банковском деле в качестве средств идентификации пластиковые карточки с
магнитной полосой (многие системы позволяют использовать обычные
кредитные карточки). Для считывания необходимо провести карточкой
(магнитной полосой) через прорезь ридера (считывателя). Обычно ридеры
выполнены в виде внешнего устройства и подключаются через
последовательный или универсальный порт компьютера. Выпускаются также
ридеры, совмещенные с клавиатурой. Однако у таких карт можно выделить
преимущества и недостатки их использования. Минусы: • магнитная
карточка может быть легко скопирована на доступном оборудовании; •
загрязнение, небольшое механическое воздействие на магнитный слой,
нахождение карты вблизи сильных источников электромагнитных полей
приводят к повреждению карты. Преимущества: • расходы на выпуск и
обслуживание таких карт невелики; • индустрия магнитных пластиковых
карт развивалась в течение нескольких десятилетий и на настоящий момент
более 90% карт - это пластиковые карты; • применение магнитных карточек
оправдано при очень большом числе пользователей и частой сменяемости
карт (например, для доступа в гостиничный номер). Proximity-карты
Фактически - это развитие идеи электронных жетонов. Это бесконтактная
карточка (но может быть и брелок или браслет), содержащая чип с
уникальным кодом или радиопередатчик. Считыватель оснащен специальной
антенной, постоянно излучающей электромагнитную энергию. При
попадании карточки в это поле происходит запитывание чипа карточки, и
карта посылает считывателю свой уникальный код. Для большинства
считывателей расстояние устойчивого срабатывания составляет от
нескольких миллиметров до 5-15 см. Смарт-карты В отличие от магнитной
карты смарт-карта содержит микропроцессор и контактные площадки для
подачи питания и обмена информацией со считывателем. Смарт-карта имеет
очень высокую степень защищенности. Именно с ней до сих пор связаны
основные перспективы развития такого рода ключей и надежды многих
разработчиков систем защиты. Технология смарт-карт существует и
развивается уже около двадцати лет, но достаточно широкое
распространение получает только последние несколько лет. Очевидно, что
смарт-карта, благодаря большому объему памяти и функциональным
возможностям, может выступать и в роли ключа, и в роли пропуска и
одновременно являться банковской карточкой. В реальной жизни такое
совмещение функций реализуют достаточно редко. Для работы со смарткартой компьютер должен быть оснащен специальным устройством:
встроенным или внешним картридером. Внешние картридеры могут
подключаться к различным портам компьютера (последовательному,
параллельному или клавиатурному порту PS/2, PCMCIA-слоту, SCSI или
USB). Многие карты предусматривают различные виды (алгоритмы)
аутентификации. В процессе электронного узнавания принимают участие три
стороны: пользователь карты, карта, терминальное устройство (устройство
считывания карты). Аутентификация необходима для того, чтобы
пользователь, терминальное устройство, в которое вставлена карта или
программное приложение, которому сообщаются параметры карты, могли
выполнять определенные действия с данными, находящимися на карге.
Правила доступа назначаются разработчиком приложения при создании
структур данных на карте. Электронные жетоны Сейчас в различных
системах, требующих идентификации пользователя или владельца, в
качестве пропусков широко используются электронные жетоны (или так
называемые token-устройства). Известный пример такого жетона электронная "таблетка" (рис. 8.4). "Таблетка" выполнена в круглом корпусе
из нержавеющей стали и содержит чип с записанным в него уникальным
номером. Аутентификация пользователя осуществляется после
прикосновения такой "таблетки" к специальному контактному устройству,
обычно подключаемому к последовательному порту компьютера. Таким
образом, можно разрешать доступ в помещение, но можно и разрешать
работу на компьютере или блокировать работу на компьютере
несанкционированных пользователей. Для удобства "таблетка" может
закрепляться на брелоке или запрессовываться в пластиковую оболочку. В
настоящее время эти устройства широко используются для управления
электромеханическими замками (двери помещений, ворота, двери подъездов
и т.п.). Однако их "компьютерное" использование также достаточно
эффективно. Все три перечисленных группы ключей являются пассивными
по своей сути. Они не выполняют никаких активных действий и не
участвуют в процессе аутентификации, а только отдают хранящийся код. В
этом заключается их основная область. Жетоны обладают несколько лучшей
износоустойчивостью, чем магнитные карты.
Заключение
Таким образом, проблема защиты банковской информации слишком
серьезна, чтобы банк мог пренебречь ею. В последнее время в отечественных
банках наблюдается большое число случаев нарушения уровня секретности.
Примером является появление в свободном доступе различных баз данных на
компакт-дисках о коммерческих компаниях и частных лицах. Теоретически,
законодательная база для обеспечения защиты банковской информации
существует в нашей стране, однако ее применение далеко от совершенства.
Пока не было случаев, когда банк был наказан за разглашение информации,
когда какая-либо компания была наказана за осуществление попытки
получения конфиденциальной информации. Защита информации в банке это задача комплексная, которая не может решаться только в рамках
банковских программ. Эффективная реализация защиты начинается с выбора
и конфигурирования операционных систем и сетевых системных средств,
поддерживающих функционирование банковских программ. Среди
дисциплинарных средств обеспечения защиты следует выделить два
направления: с одной стороны - это минимально достаточная
осведомленность пользователей системы об особенностях построения
системы; с другой - наличие многоуровневых средств идентификации
пользователей и контроля их прав. В разные моменты своего развития АБС
имели различные составляющие защиты. В российских условиях
большинство банковских систем по уровню защиты следует отнести к
системам первого и второго уровня сложности защиты: -й уровень использование программных средств, предоставляемых стандартными
средствами операционных систем и сетевых программ; -й уровень использование программных средств обеспечения безопасности,
кодирования информации, кодирования доступа. Обобщая все
вышесказанное, я пришла к выводу, что работая в банковской сфере,
необходимо быть уверенным в том, что корпоративная и коммерческая
информация останутся закрытыми.
Список литературы
1. Википедия
2. banki.ru
3. bibliofond.ru
Скачать