بنك البيانات جزء من أي نظام آلي مثل CAD و ASUP و ASUTP، إلخ. تتمثل مهمة بنك البيانات في الحفاظ على نموذج المعلومات في الرجل المهم للغاية وتوفير طلبات المستخدمين. يتطلب إجراء ثلاث عمليات في بنك البيانات: تمكين، حذف، تغيير. هذه العمليات توفر تخزين وتعديل البيانات.
مع تطوير نظام آلي، يتغير تكوين كائنات منطقة الموضوع، الروابط بينهما التغيير. يجب أن تنعكس كل هذا في نظام المعلومات. لذلك، يجب أن تكون تنظيم بنك البيانات مرنا. إظهار مكان بنك البيانات في النظام الآلي.
عند تصميم بنك بيانات، من المهم للغاية أن تأخذ في الاعتبار جانبين لضمان طلبات المستخدمين.
1) تقدير حدود مجالات موضوع معين وتطوير نموذج المعلومات. لاحظ أن بنك البيانات يجب أن يوفر معلومات للنظام بأكمله في الوقت الحاضر وفي المستقبل، مع مراعاة تنميته.
2) تطوير بنك البيانات يجب أن يركز على الخدمة الفعالة لطلبات المستخدمين. في هذا الصدد، من المهم للغاية تحليل أنواع وأنواع طلبات المستخدمين. من المهم للغاية أيضا تحليل المهام الوظيفية للنظام الآلي، الذي سيكون لهذا البنك مصدرا للمعلومات.
تختلف مستخدمي بنك البيانات في الميزات التالية:
وفقا لثثبات التواصل مع البنك.
المستخدمين : دائم و الوخصات ;
من حيث التسامح. يجب حماية جزء من البيانات؛
· في شكل طلبات. يمكن للطلبات أن تعطي المبرمجين والمبرمونات ومستخدمي المهمة.
نظرا لعدم التجانس الكبير للمستخدمين، في بنك البيانات، يتم توفير وسائل خاصة تتيح لك إحضار استفسارات المصطلحات الفردية. وتسمى هذه الأداة تسمى قاموس البيانات.
تسليط الضوء المتطلبات الأولية الذي يجب أن يجيب بنك البيانات من مستخدم خارجي وبعد يجب على بنك البيانات:
1. توفير إمكانية تخزين وتعديل كميات كبيرة من المعلومات متعددة الأبعاد. تلبية المتطلبات اليوم والناشئة حديثا من المستخدم.
توفير مستويات محددة من الموثوقية والاتساق من المعلومات المخزنة.
3. توفير الوصول إلى البيانات من هؤلاء المستخدمين فقط الذين لديهم سلطة مناسبة.
4. توفير القدرة على البحث عن معلومات حول مجموعة تعسفية من الميزات.
5. حفظ متطلبات الأداء المحددة عند معالجة الطلبات.
6. كن قادرا على إعادة تنظيم وتوسيع عند تغيير حدود منطقة الموضوع.
7. تأكد من إصدار المعلومات للمستخدم في نموذج مختلف.
8. توفير إمكانية خدمة عدد كبير من المستخدم الخارجي في وقت واحد.
لتلبية هذه المتطلبات، من الضروري إدخال إدارة البيانات المركزية.
تسليط الضوء المزايا الرئيسية للإدارة المركزية البيانات مقارنة مع سابقا المستخدمة.
1) تقليل التكرار من البيانات المخزنة. يتم تنظيم البيانات التي تستخدمها العديد من التطبيقات (متكاملة) وتخزينها في مثيل واحد.
2) القضاء على البيانات المخزنة متناقضة. فيما يتعلق بإزعاج البيانات، يتم إلغاء الوضع عندما يكون في التغيير الفعلي الذي يبدو أنه تم تعديله ليس في جميع السجلات.
3) الاستخدام المتعدد الأبعاد للبيانات مع إدخال واحد.
4) التحسين الشامل بناء على تحليل متطلبات المستخدم. يتم اختيار هياكل البيانات هذه توفر أفضل خدمة.
5) ضمان فرص التقييس. هذا يجعل من السهل تبادل البيانات مع الأنظمة الآلية الأخرى، وكذلك إجراءات التحكم في استعادة البيانات.
6) ضمان إمكانية الحصول على الوصول إلى البيانات، ᴛ.ᴇ. وجود آليات حماية البيانات.
يجب التأكيد على أن المشكلة الرئيسية لإدارة البيانات المركزية هي ضمان استقلال برامج التطبيق من البيانات. يتم تفسير ذلك بحقيقة أن تكامل البيانات، فإن تحسين هياكل البيانات يتطلب تغيير طريقة تمثيل البيانات المخزنة وطريقة الوصول إلى البيانات.
انتاج |: الميزة المميزة الرئيسية لبنك البيانات هو وجود إدارة البيانات المركزية.
قرار روستانارت مؤرخ في 28 مارس 2018 رقم 156-St "بناء على الموافقة على المستوى الوطني للاتحاد الروسي"
قرار روستادارت مؤرخ في 8 أغسطس، 2017 No. 822-الدولة "بالموافقة على المستوى الوطني للاتحاد الروسي"
الأهداف الرئيسية لتنفيذ المعيار "ضمان أمن المعلومات من مؤسسات النظام المصرفي للاتحاد الروسي. الأحكام العامة »STR BR IBBS-1.0 (المشار إليها فيما يلي باسم المعيار):
المهام الرئيسية المعيارية:
دفع نظام الإنترنت - هذا هو نظام حساب الحسابات بين المنظمات المالية والمنظمات التجارية ومستخدمي الإنترنت في عملية شراء / بيع السلع والخدمات من خلال الإنترنت. هذا هو نظام الدفع الذي يسمح لك بتحويل خدمة الطلب أو عرض إلكتروني إلى متجر كامل مع جميع السمات القياسية: عن طريق تحديد منتج أو خدمة على موقع البائع، يمكن للمشتري إجراء دفعة دون المغادرة من الكمبيوتر.
في نظام التجارة الإلكترونية، يتم الدفع بموجب مراعاة عدد من الشروط:
1. الامتثال للسرية. عند إجراء المدفوعات عبر الإنترنت، يريد المشتري بياناتها (على سبيل المثال، رقم بطاقة الائتمان) فقط إلى المنظمات التي لها حق قانوني في ذلك.
2. حفظ سلامة المعلومات. لا يمكن تغيير معلومات حول شراء أي شخص.
3. المصادقة. يجب أن يكون المشترون والبائعون متأكدين من أن جميع الأطراف المشاركة في المعاملة هي أولئك الذين يصدرون أنفسهم.
4. أموال الدفع. القدرة على الدفع أي متاحة للمشتري عن طريق المدفوعات.
6. ضمانات المخاطر البائع. عن طريق التجارة في الإنترنت، يخضع البائع لمجموعة متنوعة من المخاطر المرتبطة بالرفض وبعد مشتري المشتري. يجب الاتفاق على مقدار المخاطر مع مزود نظام الدفع وغيرها من المنظمات المدرجة في سلاسل التجارة من خلال اتفاقيات خاصة.
7. تقليل رسوم المعاملات. يتم تضمين معالجة معاملات المعالجة ودفع البضائع، بطبيعة الحال، بتكلفةها، لذلك يزيد انخفاض سعر المعاملات القدرة التنافسية. من المهم أن نلاحظ أن المعاملة يجب أن تدفع في أي حال، حتى لو كان رفض المشتري من البضائع.
يجب تنفيذ جميع الشروط المحددة في نظام الدفع عبر الإنترنت، والتي، في جوهرها، إصدارات إلكترونية لأنظمة الدفع التقليدية.
وبالتالي، يتم تقسيم جميع أنظمة الدفع إلى:
الخصم (العمل مع الشيكات الإلكترونية والنقد الرقمي)؛
الائتمان (العمل مع بطاقات الائتمان).
نظم الخصم
يتم بناء مخططات المدفوعات الخصم بشكل مشابه للنماذج الخاصة بهم دون اتصال: تحقق من الأموال العادية. تشارك حزبان مستقلان في المخطط: المصدرين والمستخدمين. تحت المصدر مفهوم كموضوع يدير نظام الدفع. إنه ينتج بعض الوحدات الإلكترونية التي تمثل المدفوعات (على سبيل المثال، المال في الحسابات المصرفية).
مستخدمي النظم أداء وظيفتين رئيسيين. أنها تنتج وقبول المدفوعات في الإنترنت باستخدام الوحدات الإلكترونية التي تم إصدارها.
الشيكات الإلكترونية هي التناظرية من الشيكات الورقية التقليدية. هذه هي الوصفات الطبية للدافع إلى بنكهم لإدراج الأموال من حسابهم إلى حساب Payroller. تحدث العملية عند العرض من خلال المستلم من الشيك في البنك. الاختلافات الرئيسية هنا اثنين. أولا، كتابة فحص الورق، يدفع الدافع توقيعه الحقيقي، وعلى الإصدار عبر الإنترنت - توقيع إلكتروني. ثانيا، يتم إصدار الشيكات نفسها في شكل إلكتروني.
يتم الدفع في عدة مراحل:
1. يصرخ دافع فحص إلكتروني، يوقع توقيع إلكتروني وإعادة توجيهه إلى المستلم. من أجل ضمان مزيد من الموثوقية والأمن، يمكن ترميز عدد حساب التحقق من المفتاح المفتوح للبنك.
2. يتم إجراء الشيك عن الدفع بواسطة نظام الدفع. بعد ذلك، (إما هنا، أو في أحد البنوك يخدم المستلم) شيكات توقيع إلكترونية.
3. في حالة تأكيد أصالةه، يتم توفير البضائع أو يتم توفير خدمة. من حساب Payer، يتم سرد الأموال على حساب المستلم.
تعزز بساطة مخططات الدفع (الشكل 43)، لسوء الحظ، من خلال صعوبات تنفيذها بسبب حقيقة أن التحقق من أن مخططات لم يتم توزيعها بعد ولا توجد مراكز شهية لتنفيذ التوقيع الإلكتروني.
استخدام التوقيع الرقمي الإلكتروني (EDS) استخدام نظام تشفير المفتاح المفتوح. هذا يخلق مفتاحا شخصيا للتوقيع ومفتاح مفتوح للتحقق. يتم تخزين المفتاح الشخصي للمستخدم، ويمكن الوصول إليه مفتوحا للجميع. الطريقة الأكثر ملاءمة لتوزيع المفاتيح المفتوحة هي استخدام مراكز التصديق. هناك شهادات رقمية تحتوي على مفتاح ومعلومات المالك العامة. يحرر المستخدم من الالتزام بإرسال المفتاح المفتوح الخاص بك. بالإضافة إلى ذلك، توفر مراكز الشهادات المصادقة التي تضمن عدم قيام أحد بإنشاء مفاتيح من وجه شخص آخر.
المال الإلكتروني نموذج كامل المال الحقيقي. في الوقت نفسه، تصدر منظمة الانبعاثات للمصدر - أن نظرياتها الإلكترونية، تسمى الأنظمة المختلفة في أنظمة مختلفة (على سبيل المثال، كوبونات). بعد ذلك، يتم شراؤها من قبل المستخدمين الذين يدفعون مقابل المشتريات بمساعدتهم، ثم يصل البائع إليهم من المصدر. عند الانبعاثات، يتم تعيين كل وحدة نقدية للطباعة الإلكترونية، والتي تم التحقق منها بواسطة هيكل النشر قبل السداد.
واحدة من ميزات المال المادي هو عدم الكشف عن هويته، أي أنها غير محددة، وعندما استخدموها. تسمح بعض الأنظمة، عن طريق القياس، المشتري بتلقي النقود الإلكترونية بحيث يكون من المستحيل تحديد العلاقة بينها وبين المال. يتم تنفيذ هذا باستخدام مخطط توقيع أعمى.
تجدر الإشارة إلى أنه عند استخدام الأموال الإلكترونية، لا توجد حاجة للمصادقة، نظرا لأن النظام يستند إلى إصدار المال في الاستئناف قبل استخدامه.
يوضح الشكل 44 نظام الدفع باستخدام الأموال الإلكترونية.
آلية الدفع هي كما يلي:
1. يشارك المشتري المال الحقيقي للإلكترونية. يمكن إجراء تخزين الحساب بطريقتين، يتم تحديده بواسطة النظام المستخدم:
على القرص الثابت للكمبيوتر؛
على الخرائط الذكية.
توفر أنظمة مختلفة مخططات تبادل مختلفة. بعض حسابات خاصة مفتوحة يتم سرد الأموال من حساب المشتري في مقابل الفواتير الإلكترونية. يمكن لبعض البنوك إخماد النقد الإلكتروني. في الوقت نفسه، يعتمد اعتام فقط بناء على طلب العميل، تليها نقلها إلى جهاز كمبيوتر أو خريطة لهذا العميل وإزالة النقود المكافئة من حسابه. عند تنفيذ التوقيع الأعمى، يخلق المشتري نفسه فواتير إلكترونية، إلى إحضلها إلى البنك، حيث، عندما تتلقى أموال حقيقية، يتم تعيينها إلى الختم وإرسالها إلى العميل.
جنبا إلى جنب مع وسائل الراحة في هذا التخزين، كما أن لديها عيوب. أضرار القرص أو البطاقة الذكية يتحول إلى خسارة غير قابلة للتكشف عن الأموال الإلكترونية.
2. يسرد المشتري أموال البيع إلى خادم البائع للشراء.
3. يتم تقديم الأموال إلى المصدر الذي يتحقق أصالةهم.
4. في حالة صحة الفواتير الإلكترونية، يزيد حساب البائع بمقدار الشراء، ويكون المشتري يتم شحن المشتري من خلال المنتج أو يتم توفير الخدمة.
واحدة من الميزات المميزة الهامة للأموال الإلكترونية هي القدرة على تنفيذ microplates. ويرجع ذلك إلى حقيقة أن الفاتورة الاسمية قد لا تتوافق مع العملات المعدنية الحقيقية (على سبيل المثال، 37 كوبيل).
إلغاء النقد الإلكتروني يمكن للبنوك والمنظمات غير المصرفية. ومع ذلك، لم يتم بعد تطوير النظام الموحد لتحويل أنواع مختلفة من الأموال الإلكترونية. لذلك، فقط المصدرين أنفسهم يمكن أن يطفئون النقد الإلكتروني الصادر عنهم. بالإضافة إلى ذلك، لا يتم توفير استخدام هذه الأموال من الهياكل غير المالية مع ضمانات من الدولة. ومع ذلك، فإن التكلفة الصغيرة للمعاملة تجعل النقد الإلكتروني للأداة الجذابة للمدفوعات على الإنترنت.
أنظمة الائتمان
أنظمة الائتمان الانترنت من نظائر الأنظمة التقليدية التي تعمل مع بطاقات الائتمان. الفرق هو إجراء جميع المعاملات عبر الإنترنت، ونتيجة لذلك، في الحاجة إلى أمان ومصادقة إضافية.
في المدفوعات عبر الإنترنت مع بطاقات الائتمان المعنية:
1. المشتري. عميل يحتوي على جهاز كمبيوتر مع متصفح الويب والوصول إلى الإنترنت.
2. المصدر المصرفي. هنا هو حساب المشتري الحالي. يطلق المصدر المصرفي البطاقات وهو ضامن وفاء التزامات المالية للعميل.
3. البائعين. يتم فهم البائعين من خلال خوادم التجارة الإلكترونية، والتي يتم بها إجراء كتالوجات السلع والخدمات ويتم قبول أوامر العملاء.
4. البنوك -تراكات. البنوك تخدم البائعين. كل بائع لديه بنك واحد يحمل حسابه الجاري.
5. نظام الدفع عبر الإنترنت. المكونات الإلكترونية التي هي وسطاء بين بقية المشاركين.
6. نظام الدفع التقليدي. مجموعة من الوسائل المالية والتكنولوجية لخدمة بطاقات هذا النوع. من بين المهام الرئيسية التي تم حلها بواسطة نظام الدفع - ضمان استخدام البطاقات كوسيلة للدفع للسلع والخدمات، باستخدام الخدمات المصرفية، إجراء التخصيصات، إلخ. المشاركون في نظام الدفع هم الأفراد والكيانات القانونية المتحدة بالعلاقات المتعلقة باستخدام بطاقات الائتمان.
7. مركز المعالجة لنظام الدفع. منظمة توفر المعلومات والتفاعل التكنولوجي بين المشاركين في نظام الدفع التقليدي.
8. يقدر بنك نظام الدفع. مؤسسة ائتمانية تؤدي المستوطنات المتبادلة بين المشاركين في نظام الدفع نيابة عن مركز المعالجة.
يتم عرض نظام الدفع العام في مثل هذا النظام في الشكل 45.
1. يشكل المشتري في المتجر الإلكتروني عربة من السلع وتحديد طريقة الدفع "بطاقة الائتمان".
من خلال المتجر، أي أن معلمات البطاقة يتم إدخالها مباشرة على موقع المتجر، وبعد ذلك يتم إرسالها بواسطة نظام الدفع عبر الإنترنت (2A)؛
على خادم نظام الدفع (2B).
فوائد المسار الثاني واضح.
في هذه الحالة، لا تبقى معلومات حول الخرائط في المتجر، وبالتالي، فإن خطر تلقيها من قبل أطراف أو خداع ثالثة يتم تقليله. وفي ذلك، في حالة أخرى، عند إرسال تفاصيل بطاقة الائتمان، لا يزال هناك احتمال اعتراض مهاجمينهم على الشبكة. لمنع هذه البيانات عند تشفير العتاد.
التشفير، بطبيعة الحال، يقلل من القدرة على اعتراض البيانات على الشبكة، وبالتالي فإن اتصالات المشتري / البائع، نظام الدفع للبائع / الإنترنت، نظام المشتري / الدفع مرغوب فيه المرغوب فيه باستخدام البروتوكولات المحمية. الأكثر شيوعا لهم اليوم هو بروتوكول SSL (طبقة مآخذ التوصيل الآمنة)، بالإضافة إلى معايير المعاملة الإلكترونية الآمنة المحمية المحمية، مصممة مع الوقت لاستبدال SSL عند معالجة المعاملات المتعلقة بحساب بطاقات الائتمان في الإنترنت.
3. ينقل نظام الدفع عبر الإنترنت طلبا لتخويل نظام الدفع التقليدي.
4. الخطوة اللاحقة تعتمد على ما إذا كان المصرف المصرفي يقود حسابات قاعدة بيانات عبر الإنترنت (قاعدة بيانات). إذا كانت هناك قاعدة بيانات، فإن مركز المعالجة ينقل طلبا إلى البنك المصدر لإذن البطاقة (انظر المقدمة أو القاموس) (4A) ثم (4 ب) يتلقى نتائجه. إذا لم تكن هناك قاعدة بيانات من هذا القبیل، فإن مركز المعالجة نفسه يحتفظ بمعلومات حول حالة حسابات صاحب الحساب، وأوراق التوقف وأداء طلبات للحصول على إذن. يتم تحديث هذه المعلومات بانتظام عن طريق إصدار البنوك.
يوفر المتجر خدمة أو شحن البضائع (8A)؛
ينقل مركز المعالجة معلومات حول المعاملة المثالية (8B) إلى بنك التسوية. يتم سرد الأموال من حساب المشتري في بنك المصدر من خلال بنك الاستيطان على حساب المتجر في بنك Equaire.
لمثل هذه المدفوعات، في معظم الحالات، مطلوب برنامج خاص.
يمكن توفيره للمشتري، (يسمى المحفظة الإلكترونية) والبائع وبنك الصيانة.
السابق Next.
في حياتنا، فإن الإنترنت ليس فقط وسيلة للتواصل والترفيه والترفيه، ولكن أيضا العمل، وكذلك تنفيذ المدفوعات الإلكترونية. يستخدم العديد منا منا خدمات الخدمات المصرفية عبر الإنترنت وإجراء عمليات شراء في متاجر الإنترنت.
على الرغم من أمن النظم المصرفية عبر الإنترنت والمتاجر عبر الإنترنت، فإن أساليب الحماية مثل المصادقة المزدوجة، وأنظمة كلمة مرور SMS الديناميكية المتاح، وقائمة إضافية من كلمات المرور المتاح بها أو مفاتيح الأجهزة المحمولة بموجب بروتوكول SSL وما إلى ذلك - تسمح لك أساليب الهجوم الحديثة بالتجاوز حتى آليات واقية الأكثر موثوقية.
لهذا اليوم، يمكن تمييز المهاجمين من خلال الأساليب الثلاث الأكثر شيوعا للهجوم على البيانات المالية لمستخدمي الإنترنت:
- عدوى ضحية كمبيوتر برامج طروادة (كلاتوجرز، واجهزة تشغيل، إلخ)، باستخدام بيانات الإدخال المعترض؛
- استخدام طرق الهندسة الاجتماعية - هجمات التصيد عبر البريد الإلكتروني والمواقع والشبكات الاجتماعية وغيرها؛
- الهجمات التكنولوجية (استنشاق، استبدال خوادم DNS / وكيل، استبدال الشهادة، إلخ).
يجب ألا يأمل المستخدم فقط الأمل في البنك، واستخدام برامج وقائية لتعزيز أمان المدفوعات الإلكترونية على الإنترنت.
توفر حلول أمن الإنترنت الحديثة بخلاف ميزات مكافحة الفيروسات أدوات مدفوعات آمنة (بيئات افتراضية معزولة للعمليات عبر الإنترنت)، بالإضافة إلى ماسحات التأثر، وحماية الويب من الروابط، حظر البرامج النصية الخبيثة والنوافذ المنبثقة، وحماية البيانات من اعتراض (مضاد للشراش) لوحة المفاتيح الافتراضية.
من بين الحلول المتكاملة ذات ميزة منفصلة لحماية الدفع عبر الإنترنت، يمكنك تسليط الضوء على Kaspersky Internet Security ومكونات المكونات "المدفوعات الآمنة"، أفاست!
أمن الإنترنت مع أفاست! Safezone وأمن BitDefender الإنترنت مع BitDefender SafePay. تسمح لك هذه المنتجات بالقلق بشأن الحماية الإضافية.
إذا كان لديك مكافحة فيروسات أخرى، يمكنك إلقاء نظرة على أدوات حماية إضافية. من بينها: BitDefender SafePay (متصفح الويب المعزول)، وهي علاقة Trusteer و HitmanPro.Alert لحماية المتصفح من الهجمات، والمكونات الإضافية والتطبيقات تمديد Netcraft، McAfee Siteadvisisisor، Arguard للحماية من الخداع.
لا تنسى جدار الحماية وعميل VPN، إذا كان عليك الوفاء بالعمليات المالية عند الاتصال بفتح شبكات Wireless Wi-Fi في الأماكن العامة. على سبيل المثال، يستخدم Cyberghost VPN تشفير حركة المرور AES 256 بت، مما يلغي استخدام هؤلاء المهاجم، حتى في حالة اعتراض.
وما هي طرق حماية الدفع عبر الإنترنت التي تستخدمها؟ مشاركة تجربتك في التعليقات.
في البيئة الاقتصادية الروسية الحديثة هناك العديد من أنواع المنظمات المختلفة. يمكن أن تكون هذه الشركات الحكومية (FSUE، MUP)، الأموال العامة، وأخيرا، المنظمات التجارية العادية. الفرق الرئيسي بين الأخير من جميع الآخرين هو أن هدفهم الرئيسي هو الحصول على أقصى قدر من الأرباح، وكل شيء يتم إرساله إلى هذا.
يمكن للمنظمة التجارية أن تكسب بطرق مختلفة، لكن الربح محدد دائما على قدم المساواة - هذه دخل أقل نفقات أقل. في الوقت نفسه، إذا كان الأمان ليس النشاط الرئيسي للشركة، فهو لا يولد دخلا، وإذا كان الأمر كذلك، فحسن أن هذا النشاط منطقي، يجب أن يقلل من التكاليف.
يتم تقليل التأثير الاقتصادي لأمن الأعمال أو القضاء على خسائر التهديد. ولكن ينبغي أيضا اعتبار أن تنفيذ تدابير الوقائية يستحق المال أيضا، وبالتالي فإن الربح الحقيقي للأمن سيكون مساويا لحجم تهديدات السلامة لسلامة الأمن تقليل تكلفة التدابير الوقائية.
في يوم من الأيام، عقدت محادثة حول التأثير الاقتصادي للأمن بين صاحب البنك التجاري ورئيس خدمة الأمن في منظمته. يعكس جوهر هذه المحادثة بدقة دور ومكان الأمن في حياة المنظمة:
الأمن لا ينبغي أن تتداخل مع الأعمال التجارية.
- ولكن من الضروري دفع مقابل الأمن، ودفع غيابها.
نظام الأمان المثالي هو middless الذهبي بين التهديدات المحايدة التي تنفق على هذه الموارد وربية الأعمال.
يمكن أن تكون أسباب إنشاء SIB مختلفة. نسلط الضوء على اثنين رئيسيين:
من وجهة نظر تنبعها في SIB، لا يوجد سوى قيود واحدة، الموصوفة في الأحكام المذكورة أعلاه من البنك المركزي للاتحاد الروسي - "خدمة أمن المعلومات وخدمة المعلومات (الأتمتة) يجب ألا يكون لها كمين مشترك،" خلاف ذلك لا يزال الاختيار للمنظمة. النظر في خيارات نموذجية.
الجدول 1.
| التبعية | سمات |
|---|---|
| سيب يتكون منه | 1. تنظيم الحماية ممكنة فقط ضد المهاجم الخارجي. المهاجم الداخلي المحتمل الرئيسي هو موظف تكنولوجيا المعلومات. من المستحيل محاربته في تكوينها. 2. انتهاك لمتطلبات بنك روسيا. 3. الحوار المباشر معها، من السهل تنفيذ أنظمة أمان المعلومات |
| سيب كخدمة أمنية | 1. الحماية من تصرفات كل من المتسللين الداخليين والخارجيين. 2. جلست - نقطة واحدة من تفاعل الإدارة العليا في أي مشاكل أمنية. 3. تعقيد التفاعل معها، لأن التواصل يحدث على مستوى الفصول وجلس، والأخير، كقاعدة عامة، لديها الحد الأدنى من المعرفة في ذلك. |
| سيب يطيع رئيس مجلس الإدارة | 1. SIB لديه أقصى قدر من القوى وميزانيتها الخاصة. 2. من أجل رئيس المجلس، يتم إنشاء نقطة مراقبة وتفاعل إضافية، تتطلب اهتماما معينا. 3. الصراعات المحتملة في SAT و SIB بشأن المناطق المسؤولية في التحقيق في الحوادث. 4. سيب منفصلة يمكن أن توازن "سياسيا" صلاحيات السبت. |
المشكلة هي أن حجم الأموال المحفوظة من التهديدات المحايدة لأمن المعلومات لا يمكن تحديده بدقة. إذا لم يتحقق التهديد، فلا يوجد أي ضرر منه، وإذا لم تكن هناك مشاكل، فلا تحتاج إلى اتخاذ قرار.
لحل هذه المشكلة، يمكن أن تتصرف SIB بطريقتين:
سنصوي الجوانب العملية لضمان الأمن الذي يجب إبلاغه بالإدارة العليا وغيرها من الأقسام الهيكلية، وأخذت أيضا في الاعتبار عند بناء نظام لحماية المعلومات:
أمان المعلومات هو مجرد إحدى اتجاهات الأمان (الأمن الاقتصادي، السلامة البدنية، السلامة من الحرائق، ...). بالإضافة إلى تهديدات أمن المعلومات، تخضع أي منظمة لتهديدات أخرى، لا تقل أهمية، على سبيل المثال، تهديدات السرقة والحرائق والاحتيال من العملاء الضميرين والتهديدات بانتهاك المتطلبات الإلزامية (الامتثال) وما إلى ذلك.
في نهاية المطاف، بالنسبة للمنظمة، على أي حال، من تهديد معين سوف تتحمل الخسائر، سواء كانت سرقة أو حريق أو اختراق الكمبيوتر. حجم الخسائر (الضرر) مهم.
بالإضافة إلى مقدار الضرر، فإن العامل الهام في تقييم التهديدات هو احتمال التنفيذ، والذي يعتمد على خصائص العمليات التجارية للمنظمة، والبنية التحتية لها، والعوامل الخبيثة الخارجية والتدابير المضادة المقبولة.
إن الخصائص، التي تأخذ في الاعتبار الضرر واحتمال التهديد يسمى المخاطر.
ملحوظة. يمكن الحصول على تعريف المخاطر العلمية في GOST R 51897-2011
يمكن قياس المخاطر كلاهما كميا، على سبيل المثال، بضرب الأضرار التي لحقت بالحكم والنوعي. يتم إجراء تقييم نوعي عندما لا يتم تحديد أي ضرر. يمكن التعبير عن المخاطر في هذه الحالة كمجموعة من القيم، على سبيل المثال، الضرر هو "المتوسط"، الاحتمال هو "مرتفع".
التقييم لجميع التهديدات التي تسمح للمخاطر بأنها المنظمة استخدامها بشكل فعال الموارد بشأن تحييد تلك التهديدات الدقيقة التي هي الأكثر أهمية بالنسبة لها وهي خطيرة.
إدارة المخاطر هي النهج الرئيسي لبناء نظام أمني شامل فعال من حيث التكلفة. علاوة على ذلك، تستند جميع الوثائق التنظيمية المصرفية تقريبا إلى التوصيات المتعلقة بإدارة المخاطر في لجنة بازل المعنية بالإشراف المصرفي.
سوف نسلط الضوء على التهديدات الرئيسية المتأصلة في تنفيذ المدفوعات غير النقدية البنكية، وتحديد الأضرار القصوى من تنفيذها.
الجدول 2.
هنا، يشتمل النشاط الذي تم تحليله مزيجا من العمليات التجارية:
عند النظر في تهديدات رئيسية، قدرنا أضرارهم، لكننا لم تقدر احتمال تنفيذها. والحقيقة هي أنه إذا كان الحد الأقصى للضرر المحتمل هو نفسه بالنسبة لأي بنوك، فإن احتمال تنفيذ التهديدات سوف يختلف عن البنك إلى البنك وتعتمد على التدابير الحماية المستخدمة.
ستكون إحدى التدابير الرئيسية للحد من احتمال تحقيق تهديدات أمن المعلومات:
المناهج الرئيسي الرئيسي الذي يجب أن يؤخذ في الاعتبار في قضايا ضمان أمن المعلومات هو أن هذا النوع من النشاط ينظمه الدولة والبنك المركزي إلى حد ما. بغض النظر عن كيفية تقدير المخاطر، بغض النظر عن مدى صعوبات البنوك التي كانت لديها الموارد، ينبغي أن تلبي حمايتها المتطلبات القائمة. خلاف ذلك، لن يكون قادرا على العمل.
النظر في متطلبات تنظيم حماية المعلومات المفروضة على العملية التجارية للعلاقات المراسلة مع بنك روسيا.
الجدول 3.
وثائق إنشاء المتطلبات |
عقوبة الفشل |
|---|---|
| حماية المعلومات الشخصية. الأساس - في مستندات الدفع توجد بيانات شخصية (فاي. دافع / مستلم، عنوانها، تفاصيل الشخص الذي يشهد الهوية) |
|
| القانون الفيدرالي "على البيانات الشخصية" 27.07.2006 رقم 152-FZ |
- ما يصل إلى 75 ألف روبل. بخير.، - ما يصل إلى 2 سنوات من السجن |
| مرسوم حكومة الاتحاد الروسي 01.11.2012 رقم 1119 "بشأن الموافقة على متطلبات حماية البيانات الشخصية عند المعالجة في نظم المعلومات الشخصية" | |
| طلب FSTEC من روسيا من 02/18/2013 رقم 21 "بشأن الموافقة على تكوين وصيانة التدابير التنظيمية والتقنية لضمان سلامة البيانات الشخصية عند المعالجة في نظم المعلومات الشخصية" (مسجلة في وزارة العدل روسيا 05/14/2013 N 28375) | |
| ترتيب FSB من روسيا في 10 يوليو 2014 "رقم 378" بشأن الموافقة على تكوين وصيانة التدابير التنظيمية والتقنية لضمان سلامة البيانات الشخصية عند المعالجة في نظم المعلومات البيانات الشخصية باستخدام حماية التشفير من المعلومات اللازمة ل تلبية المتطلبات التي أنشأتها حكومة بيانات الاتحاد الروسي لكل مستويات حماية "(مسجلة في وزارة العدل الروسية 18.08.2014 N 33620) | |
| مؤشر بنك روسيا مؤرخ في 10 ديسمبر 2015 رقم 3889 في "تحديد التهديدات بأمن البيانات الشخصية، ذات الصلة في معالجة البيانات الشخصية في نظم معلومات البيانات الشخصية" | |
| ضمان حماية المعلومات في نظام الدفع الوطني. الأساس هو مؤسسة ائتمانية تؤدي تحويلات تحويل الأموال هي جزء من نظام الدفع الوطني. |
|
| القانون الفيدرالي "على نظام الدفع الوطني" 27.06.2011 رقم 161-FZ | p.6 الفن. 20 من القانون الاتحادي البالغ 02.12.1990 رقم 395-1 "على البنوك والخدمات المصرفية" - مراجعة الترخيص |
| قرار حكومة الاتحاد الروسي بتاريخ 13.06.2012 رقم 584 "بشأن الموافقة على اللائحة بشأن حماية المعلومات في نظام الدفع" | |
| منصب بنك روسيا مؤرخ في 9 يونيو 2012 ن 382-P "بشأن متطلبات توفير حماية المعلومات في تنفيذ التحويلات النقدية وعلى إجراء تنفيذ بنك روسيا للسيطرة على الامتثال لمتطلبات تقديم حماية المعلومات في تنفيذ التحويلات النقدية " | |
| تنظيم بنك روسيا مؤرخ في 24 أغسطس 2016 رقم 552-P "بشأن متطلبات حماية المعلومات في نظام الدفع بنك روسيا" | |
| الوثائق التشغيلية للتوقيع Ski Ski | |
| ضمان سلامة البنية التحتية للمعلومات الهامة للاتحاد الروسي. الأساس هو البنك بحكم الفقرة 8 من الفن. 2 FZ مؤرخ في 26 يوليو، 2017 رقم 187-FZ هو موضوع البنية التحتية للمعلومات الهامة |
|
| القانون الاتحادي في 26 يوليو، 2017 رقم 187-FZ "بشأن سلامة البنية التحتية للمعلومات الهامة للاتحاد الروسي" | - ما يصل إلى 8 سنوات في السجن |
| مرسوم حكومة الاتحاد الروسي في 08.02.2018 ن 127 »بشأن الموافقة على قواعد تصنيف كائنات البنية التحتية للمعلومات الهامة للاتحاد الروسي، بالإضافة إلى قائمة مؤشرات المعايير لأهمية كائنات البنية التحتية للمعلومات الهامة للاتحاد الروسي وقيمها" |
|
| طلب FSTEC من روسيا مؤرخ في 21 ديسمبر 2017 نا 235 "بشأن الموافقة على متطلبات إنشاء نظم لسلامة الأجسام الهامة للبنية التحتية للمعلومات النقدية للاتحاد الروسي وضمان عملهم" (مسجل في وزارة العدل روسيا 22.02.2018 ن 50118) | |
| ترتيب FSTEC من روسيا مؤرخة 6 ديسمبر 2017 ن 227 "بشأن الموافقة على إجراءات الحفاظ على سجل الأجسام الهامة للبنية التحتية للمعلومات الهامة للاتحاد الروسي" (مسجلة في وزارة العدل روسيا 08.02.2018 N 49966) | |
| مرسوم رئيس الاتحاد الروسي المؤرخ 12/22/2017 ن 620 "بشأن تحسين نظام الدولة للكشف عن عواقب هجمات الكمبيوتر وإزالتها والقضاء عليها بشأن موارد المعلومات حول الموارد الروسية" | |
| متطلبات حماية المعلومات التي أنشأتها اتفاقية التبادل مع الرسائل الإلكترونية عند نقل الأموال في إطار نظام الدفع بنك روسيا. الأساس - وخلصت هذه الاتفاقية من قبل جميع المنظمات الائتمانية للتبادل الإلكتروني لمستندات الدفع مع بنك روسيا. |
|
| نموذج EC مع التطبيقات. الوثائق المتعلقة بالفنون CBD، الموجات فوق الصوتية (متطلبات استخدامها تنعكس في الفقرة 1. الملاحق 3 إلى العقد) |
البند 9.5.4 من العقد - إنهاء من جانب واحد للعقد بناء على مبادرة بنك روسيا. |
الجدول 4. 
كما نرى، المتطلبات avz.1 و avz.2. يقترح أن تكون حماية مكافحة الفيروسات. كيف تم تكوينها على وجه التحديد، الذي لا ينظمه هذه المتطلبات (خطاب بنك روسيا مؤرخ في 24 مارس 2014 ن 49-T أن البنوك لديها على الأذرع، على الخوادم وعلى الخوادم بوابات مكافحة الفيروسات من مختلف الشركات المصنعة).
وبالمثل، فإن أشياء وتجزئة شبكة الحوسبة - الشرط zis.17.وبعد تنص الوثيقة فقط على الحاجة إلى استخدام هذه الممارسة للحماية، ولكنها لا تقول كيف ينبغي للمنظمة القيام بذلك.
يتم تكوين طريقة حماية المعلومات على وجه التحديد، ويجري تنفيذ آليات وقائية، وتعلم من مهمة تقنية خاصة لنظام أمان المعلومات الذي تم تشكيله وفقا لنتائج نماذج تهديد السلامة الإعلامية. اضف اشارة
يختلف نظام حماية المعلومات بالبنوك عن استراتيجيات مماثلة للشركات والمنظمات الأخرى. هذا يرجع في المقام الأول إلى الطبيعة المحددة للتهديدات، وكذلك النشاط العام للبنوك المجبر على الوصول إلى الحسابات سهلة بما فيه الكفاية لراحة العملاء.
مع تطوير وتوسيع نطاق تطبيق معدات الحوسبة، فإن حدة مشكلة ضمان سلامة أنظمة الحوسبة وحماية المعلومات المخزنة ومعالجتها بها من مختلف التهديدات تنمو بشكل متزايد. لهذا هناك عدد من الأسباب الموضوعية.
واحد الرئيسي هو زيادة مستوى الثقة في أنظمة معالجة المعلومات الآلي. إنهم يثقون بأنفسهم في العمل الأكثر مسؤولية، على جودة الحياة والرفاهية لكثير من الناس يعتمدون. تتم إدارة الكمبيوتر من خلال العمليات التكنولوجية في المؤسسات ومحطات الطاقة النووية والطائرات والقطارات، وأداء المعاملات المالية ومعالجة المعلومات السرية.
تعرف العديد من خيارات حماية المعلومات من حارس الأمن بطرق تم التحقق منها رياضيا لإخفاء البيانات من التعريف. بالإضافة إلى ذلك، يمكننا التحدث عن الحماية العالمية وجوانبه الفردية: حماية أجهزة الكمبيوتر الشخصية والشبكات وقواعد البيانات، إلخ.
تجدر الإشارة إلى أنه لا توجد أنظمة محمية للغاية. يمكنك التحدث عن موثوقية النظام، أولا، فقط مع احتمال معين، وثانيا، للحماية من فئة معينة من المخالفين. ومع ذلك، يمكن توفير الاختراق في نظام الكمبيوتر. الحماية هي نوع من المنافسة الدفاعية والهجوم: من يعرف المزيد وتتصور تدابير فعالة - فاز.
تعد تنظيم حماية نظام المعالجة الآلي لمعالجة المعلومات بالبنك مجموعة واحدة من التدابير التي يجب أن تأخذ في الاعتبار جميع ميزات عملية معالجة المعلومات. على الرغم من أي إزعاج ناتج عن المستخدم أثناء التشغيل، في كثير من الحالات، قد تكون وسائل الحماية ضرورية تماما للعمل الطبيعي للنظام. يجب أن يشمل المضايقات الرئيسية Gaikovich Yu.V.، Pershin A.S. سلامة الأنظمة المصرفية الإلكترونية.-م: يونايتد أوروبا، 1994.- S.33:
يصعب تخيل البنك الحديث دون نظام معلومات آلي. اتصال أجهزة الكمبيوتر بين أنفسهم ومع أجهزة كمبيوتر أكثر قوة، وكذلك مع كمبيوتر البنوك الأخرى - أيضا الشرط الضروري للأنشطة الناجحة للبنك - عدد العمليات التي يجب إجراءها لفترة قصيرة من الزمن كبير.
في الوقت نفسه، تصبح أنظمة المعلومات واحدة من أكثر الأطراف ضعفا في البنك الحديث، وجذب المهاجمين لأنفسهم، سواء من بين موظفي البنك ومن الجانب. تقديرات الخسائر الناجمة عن الجرائم المتعلقة بالتدخل في أنشطة نظام المعلومات للبنوك مرتفعة للغاية. تنوع التقنيات تؤثر عليهم. يبلغ متوسط \u200b\u200bالسرقة المصرفية باستخدام الوسائل الإلكترونية حوالي 9.000 دولار، ويرتبط إحدى أكبر الفضائح الصاخبة بمحاولة سرقة 700 مليون دولار (أول بنك وطني، شيكاغو).
علاوة على ذلك، من الضروري أن تأخذ في الاعتبار ليس فقط مقدار الضرر المباشر فقط، ولكن أيضا الأحداث باهظة الثمن التي تعقد بعد محاولات ناجحة للاختراق أنظمة الكمبيوتر. لذلك، يمكن لأحد أكثر الأمثلة الواضحة أن تفقد البيانات عن العمل مع حسابات بنك إنجلترا السرية في يناير 1999. أجبر هذا الاختفاء البنك على تغيير رموز جميع الحسابات المراسلة. في هذا الصدد، أثيرت جميع المخابرات الحالية ونقاط القوة الإضافية في المملكة المتحدة من أجل منع تسرب هذه المعلومات القادرة على معاناة أضرار هائلة. اتخذت الحكومة تدابير متطرفة حتى لا يعرف الفواتير والعناوين معروفة بأن بنك إنجلترا يرسل مئات مليارات الدولارات يوميا. علاوة على ذلك، في المملكة المتحدة، كانت هناك المزيد من المواقف التي يمكن أن تكون فيها البيانات تحت تصرف الخدمات الخاصة الأجنبية. في هذه الحالة، سيتم فتح بنك شبكة مراسلة مالية بأكمله. تم القضاء على إمكانية الضرر لعدة أسابيع.
adzhiev v. أساطير برمجيات السلامة: دروس الكوارث الشهيرة // أنظمة مفتوحة - 1999. - №6 .-- C..21-24
الخدمات المقدمة من البنوك اليوم تستند إلى حد كبير على استخدام التفاعل الإلكتروني للبنوك فيما بينها والبنوك وعملائها وشركائها التجاريين. حاليا، أصبح الوصول إلى البنوك ممكنا من النقاط النائية المختلفة، بما في ذلك المحطات المنزلية وأجهزة الكمبيوتر الخدمة. تسبب هذه الحقيقة في الابتعاد عن مفهوم "الأبواب المغلقة"، التي كانت سمة من سمات البنوك الستينيات، عندما تم استخدام أجهزة الكمبيوتر في معظم الحالات في وضع الدفعات كوسيلة مساعدة ولديها اتصال بالعالم الخارجي.
يلعب مستوى المعدات في الأتمتة عن طريق الأتمتة دورا مهما في أنشطة البنك، وبالتالي، ينعكس مباشرة في موقفه والدخل. يؤدي تعزيز المنافسة بين البنوك إلى الحاجة إلى تقليل الوقت عن إنتاج العمليات الحسابية، وزيادة في التسمية وتحسين جودة الخدمات المقدمة. في الوقت المناسب، سيستغرق العمليات الحسابية بين البنك والعملاء، كلما ارتفعت قيمة دوران البنك، وبالتالي الربح. بالإضافة إلى ذلك، سيستجيب البنك بسرعة أكبر لتغيير الوضع المالي. مجموعة متنوعة من الخدمات المصرفية (بادئ ذي بدء، وهذا يشير إلى إمكانية المدفوعات غير النقدية بين البنك وعملائها باستخدام بطاقات بلاستيكية) يمكن أن يزيد بشكل كبير من عدد عملائها، ونتيجة لذلك، زيادة الأرباح.
يجب أن يأخذ أمان المعلومات في البنك في الاعتبار العوامل المحددة التالية:
تتمتع الجرائم في القطاع المصرفي أيضا بخصائص Gamza V.A. ، tkachuk i.b. سلامة البنك التجاري. - م ..: United Europe، 2000.- C..24:
كقاعدة عامة، عادة ما يستخدم المهاجمون حساباتهم الخاصة التي ترجمت إليها المبالغ المختطف. معظم المجرمين لا يعرفون كيفية "غسل" المال المسروق. القدرة على ارتكاب جريمة والقدرة على الحصول على المال ليس نفس الشيء.
معظم جرائم الكمبيوتر صغيرة. الأضرار منها تقع في النطاق من 10000 دولار إلى 50000 دولار.
تتطلب جرائم الكمبيوتر الناجحة، كقاعدة عامة، عددا كبيرا من العمليات المصرفية (حتى عدة مئات). ومع ذلك، يمكن إرسال مبالغ كبيرة وفي بعض المعاملات فقط.
معظم المهاجمين هم كتبة. على الرغم من أن أعلى موظفي البنك يمكنهم أيضا ارتكاب جرائم ووضع البنك أكثر من ذلك بكثير - مثل هذه الحالات واحدة.
جرائم الكمبيوتر ليست دائما عالية التقنية. يكفي أن تزوير البيانات، والتغيرات في معلمات متوسطة ASOIB، وما إلى ذلك، وهذه الإجراءات يمكن الوصول إليها لكل من موظفي الخدمة.
يشرح العديد من المهاجمين أفعالهم بحقيقة أنهم يأخذون الديون فقط من قبل البنك مع العودة اللاحقة. ومع ذلك، "العودة"، كقاعدة عامة، لا يحدث.
ترجع تفاصيل حماية أنظمة معالجة المعلومات الآلي للبنوك إلى خصائص المهام التي تحلها من قبلهم:
كقاعدة عامة، تعامل ASOB مع تيار كبير من الطلبات الواردة بشكل دائم في الوقت الفعلي، لا يتطلب كل منها التعامل مع العديد من الموارد، ولكن معا لا يمكن معالجةها إلا بواسطة نظام عالي الأداء؛
يتم تخزين ASOIB ومعالجة المعلومات السرية، وليس مخصصة للجمهور العام. يمكن أن يؤديها وهمية أو تسرب إلى جادة (للبنك أو عملاءه) عواقب. لذلك، محكوم أسوب أن تظل مغلقة نسبيا، والعمل تحت سيطرة البرامج المحددة ودفع اهتماما كبيرا لضمان سلامته؛
ميزة أخرى من ASOIB هي المتطلبات المتزايدة لموثوقية البرامج والأجهزة. بحكم هذا، فإن العديد من ASOIB الحديثة هي ما يسمى بالهندسة المعمارية التي تسامح مع الأخطاء لأجهزة الكمبيوتر، مما يجعل من الممكن تنفيذ المعالجة المستمرة للمعلومات حتى في ظروف الإخفاقات والإخفاقات المختلفة.
يرتبط استخدام بنوك ASOI بتفاصيل حماية هذه الأنظمة، لذلك يجب على البنوك إيلاء المزيد من الاهتمام لحماية أنظمتها الآلية.
الاستنتاجات حول الفصل الأول:
في القطاع المصرفي في البداية، كانت هناك مشكلة تتعلق بسرية المعلومات وتخزينها وحمايتها. يلعب أمن هذه المؤسسات المصرفية دورا مهما في الأعمال التجارية، لأن المنافسين والأشخاص الجنائيين مهتمون دائما بهذه المعلومات وبذل كل جهد ممكن لتحقيق ذلك. من أجل تجنب مثل هذه المشاكل، من الضروري تعلم حماية البيانات المصرفية. من أجل حماية المعلومات المصرفية فعالة، من المقرر أن تأخذ في الاعتبار جميع الطرق الممكنة للحصول على معلومات التسرب. وهي: لفحص هؤلاء الأشخاص بعناية أثناء اختيار الإطارات، تحقق من بياناتهم السيرة الذاتية والوظائف السابقة.
جميع بيانات المعلومات في معالجة المؤسسات المصرفية والائتمان معرضة للخطر. إنه بيانات العملاء والبيانات على العمل المباشر للبنوك وقواعد البيانات الخاصة بهم وما إلى ذلك. والحقيقة هي أن هذه المعلومات يمكن أن تكون مفيدة لكل من المنافسين والأفراد المشاركين في الأنشطة الإجرامية. تصرفاتهم، مقارنة بالمشاكل الناشئة عن تلف الفيروسات المعدات أو إخفاقات أنظمة التشغيل، إحضار أضرار هائلة حقا إلى منظمات هذا النوع.
إن حماية الخوادم المصرفية والشبكات المحلية من المتسللين والوصول غير المصرح به إلى مواد الشركة أمر ضروري ببساطة في مواجهة المنافسة الصعبة للمجتمع الحديث.
إن أمن المعلومات لأنظمة الخدمات المصرفية مهمة حيث تضمن الامتثال لسرية البيانات عن عملاء البنوك. إجراء النسخ الاحتياطية اليومية، التي تنفذها المنظمات، تقلل من خطر الإصابة بالخسارة الكاملة للمعلومات المهمة. بالإضافة إلى ذلك، يتم تطوير طرق حماية البيانات من التهديدات المتعلقة بالوصول غير المصرح به. قد تنشأ تسرب هذا النوع من المعلومات نتيجة للعمل كبرامج التجسس التي تم إرسالها خصيصا إلى المنظمة والموظفين الذين كانوا يعملون منذ فترة طويلة واتخاذ قرار بشأن اختلاس الملكية الإعلامية للبنك. يتم ضمان السلامة من خلال عمل المهنيين والمتخصصين الذين يعرفون أعمالهم.
تعد حماية العملاء واحدة من أهم المؤشرات التي تؤثر على سمعة البنك ككل، بما في ذلك دخل المنظمة. لأن الاستعراضات الجيدة فقط ستساعد البنك على الوصول إلى مستوى عال من الخدمة والتجاوز المنافسين.
واحدة من أكثر الطرق شيوعا لسرقة المعلومات المصرفية هي استخدام النسخ الاحتياطي أو نقل البيانات على الناقل أو تقليد القرصنة، ولكن ليس لسرقة أدوات المواد، والوصول إلى المعلومات على الخادم. نظرا لأن النسخ الاحتياطية عادة ما يتم تخزينها على الصف في أماكن منفصلة، \u200b\u200bفإنها أثناء نقلها إلى الوجهة، يمكنك إجراء نسخ. هذا هو السبب في أن الموظفين الذين يأخذون هذا العمل يتم فحصهم بعناية من خلال مختلف الوكالات الحكومية لوجود السجلات الجنائية، مشاكل في القانون في الماضي، بما في ذلك دقة المعلومات المقدمة لأنفسهم. لذلك، ليس من الضروري التقليل من إمكانية إمكانية سرقة المعلومات المصرفية، لأن الممارسة العالمية هي مدعاة مع هذه الحالات.
على سبيل المثال، في عام 2005، كانت قاعدة بيانات البنك المركزي للاتحاد الروسي متاحة للبيع. من الممكن أن تسربت هذه المعلومات خارج المنظمة المصرفية على وجه التحديد بسبب عدم كفاية الأمن للنظم المصرفية. لم يحدث موقف مماثل في الشركات العالمية الشهيرة في الولايات المتحدة الأمريكية، التي عانت أمن معلوماتها كثيرا من هذا.
مقابلة مع رأس الأمن المصرفي:
علاوة على ذلك، هناك طريقة أخرى، نتيجة لذلك، قد يكون هناك تسرب من النظم من الأنظمة، وهؤلاء هم موظفون البنك الذين يعطشون لكسب المال عليه. على الرغم من أن الوصول غير المصرح به في معظم الحالات، فإن الوصول غير المصرح به إلى المعلومات المصرفية، من أجل الحصول على فرصة للعمل في المنزل، فمن السبب وراء نشر المعلومات السرية السرية. بالإضافة إلى ذلك، هذا انتهاك مباشر لسياسات السلامة للمنظمات المصرفية.
تجدر الإشارة أيضا إلى أن الأشخاص الذين لديهم امتيازات مهمة في الوصول إلى هذه البيانات يعملون في أي بنك. هذا هو عادة مسؤولي النظام. من ناحية، فهي حاجة إنتاج تجعل من الممكن إجراء واجبات رسمية، ومن ناحية أخرى، يمكنهم استخدامها لأغراضهم الخاصة وفي الوقت نفسه يعرفون كيفية "التتبع المهني".
عادة ما تشمل حماية المعلومات المصرفية من الوصول غير المصرح به عادة ما لا يقل عن 3 مكونات. يساعد كل من هذه المكونات في ضمان أمان البنوك في المنطقة التي يتم فيها استخدامها. يمكن أن يعزى ذلك إلى الحماية من الوصول الفني والنسخ والأحداث النسخ الاحتياطي ضد المطلعين.
نظرا لأن البنوك بعناية خاصة تتعلق بالوصول المادي ومحاولة القضاء تماما على إمكانية الوصول غير المصرح به، فإن عليهم استخدام وسائل خاصة وأساليب التشفير وترميز المعلومات الهامة. نظرا لأن البنوك لديها أنظمة مماثلة وأدوات حماية البيانات، فمن الأفضل استخدام معدات الوقاية من التشفير. إنها تساعد في الحفاظ على المعلومات التجارية، وكذلك تقليل مخاطر هذه الحالات. من الأفضل تخزين المعلومات في النموذج المشفوع باستخدام مبدأ التشفير الشفاف، مما يساعد في تقليل تكاليف حماية المعلومات، كما يتم إصداره أيضا من الحاجة إلى فك البيانات باستمرار وتشفير البيانات.
بالنظر إلى حقيقة أن جميع بيانات النظم المصرفية هي في الواقع عملاء المال، ينبغي إعطاء سلامتهم. طريقة واحدة هي تحديد وجود القطاعات الفاشلة على القرص الثابت. تلعب الوظيفة الإلالة أو تعليق العملية بعيدة عن الدور الأخير في التشفير الأولي والتشفير وفك تشفير القرص وتحريكها. مثل هذا الإجراء له مدة عالية، وبالتالي يمكن أن يؤدي أي فشل إلى خسارة كاملة للمعلومات. الطريقة الأكثر موثوقية لتخزين مفاتيح التشفير والأنظمة هي البطاقات الذكية أو مفاتيح USB.
يتم إجراء حماية أنظمة المعلومات بشكل أكثر كفاءة بسبب استخدام لا تبخل فقط، ولكن أيضا محركات الأقراص الصلبة القابلة للإزالة وناقلات DVD وأشياء أخرى. إن الاستخدام المتكامل للحماية من الاختراق البدني لمصادر المعلومات يزيد من فرص حفظه ونزاهته من المنافسين والمتسللين.
من هذا الفيديو، ستتعرف على التدابير التي يجب أن تأخذها:
غالبا ما يحدث سرقة المعلومات باستخدام وسائط الهاتف المحمول، وأنواع مختلفة من أجهزة USB، ومحركات الأقراص، وبطاقات الذاكرة وغيرها من الأجهزة المحمولة. لذلك، أحد الحلول المناسبة هو حظر استخدام هذه الأجهزة في مكان العمل. كل ما يجب احتواءه على الخوادم مراقبة بعناية، حيث وحيث يتم إرسال المعلومات في بيئة البنك. بالإضافة إلى ذلك، يسمح فقط تلك الشرقية التي شراؤها الشركة في الحالات القصوى. يمكنك ضبط قيود خاصة، بفضل الكمبيوتر لن يتعرف على وسائل الإعلام الأجنبية وبطاقات الذاكرة.
تعد حماية المعلومات واحدة من أهم مهام المنظمات المصرفية اللازمة لأداء فعال. السوق الحديث لديه فرص كبيرة لهذه الخطط. تعد حظر أجهزة الكمبيوتر والمنافذ هي الحالة الأكثر أهمية التي يجب ملاحظتها لحماية الأنظمة لتكون أكثر موثوقية.
يجب ألا ننسى أن الأشخاص المشاركين في قواعد البيانات هم أيضا على دراية بمجموعة النظم، بفضل حماية المعلومات التجارية يتم تنفيذها، ويمكنهم الحصول عليها بمساعدة المتخصصين. لمنع هذه المخاطر لمنع حدوث هذه المخاطر، من الضروري العمل باستمرار على تحسين الأمن ومحاولة استخدام نظم الحماية المتقدمة.
سيكون الطلاب الطلاب الدراسات العليا، العلماء الشباب الذين يستخدمون قاعدة المعارف في دراساتهم وعملهم ممتنين لك.
منشور من طرف http://www.allbest.ru/
مؤسسة الدولة التعليمية الحكومية الفيدرالية
التعليم المهني العالي
الجامعة المالية تحت حكومة الاتحاد الروسي
(الأمور المالية)
قسم" المعلوماتية والبرمجة"
نبذة مختصرة
ن.والموضوع: أمن المعلومات في القطاع المصرفي
إجراء:
فايزولينا
فيكتوريا Igorevna.
مقدمة
استنتاج
المرفقات 1
الملحق 2.
الملحق 3.
مقدمة
منذ ظهورها، تسببت البنوك باستمرار في مصلحة جنائية. وارتبط هذا الاهتمام ليس فقط مع التخزين في مؤسسات الائتمان للأموال، ولكن أيضا مع حقيقة أن البنوك تركز على معلومات مهمة وغالبا ما سرية حول الأنشطة المالية والاقتصادية للعديد من الأشخاص والشركات والمنظمات وحتى الدول بأكملها. حاليا، كنتيجة للتوزيع الواسع المدفوعات الإلكترونية والبطاقات البلاستيكية وشبكات الكمبيوتر وأصبحت البنوك وعملائها كائن هجمات المعلومات. يمكن لمحاولة تزيين أي شخص - فقط وجود جهاز كمبيوتر متصل بالإنترنت. ولهذا ليس من الضروري اختراق البنك فعليا، يمكنك "العمل" والآلاف من الكيلومترات من ذلك. هذه المشكلة هي الآن الأكثر صلة وأقل درس. إذا تم تطوير أمن المعلومات الجسدية والكلاسيكية منذ فترة طويلة من خلال نهج ثابتة (على الرغم من أن التنمية تحدث أيضا هنا)، فانتقل إلى تغييرات جذرية متكررة في تكنولوجيات الكمبيوتر، تتطلب الأساليب الأمنية لأنظمة معالجة المعلومات المصرفية الآلية (ASOIB) تحديثات ثابتة وبعد كما يظهر الممارسة، لا توجد أنظمة كمبيوتر معقدة لا تحتوي على أخطاء. وبما أن أيديولوجية بناء تغييرات ASOIB الكبيرة بانتظام، فإن تصحيحات الأخطاء و "الثقوب" في أنظمة الأمن لها ما يكفي لفترة قصيرة، نظرا لأن نظام الكمبيوتر الجديد يجلب مشاكل جديدة وأخطاء جديدة، يجبر نظام إعادة بناء جديد وبعد
في رأيي، الجميع مهتم بسرية بياناتها الشخصية المقدمة للبنوك. بناء على ذلك، يكتب هذا الملخص ودراسة هذه المشكلة، في رأيي، يبدو أنه ليس مثيرا مثيرا للغاية، ولكن أيضا مفيد للغاية.
1. ملامح أمن المعلومات للبنوك
كانت المعلومات المصرفية دائما كائن من النزاهة لجميع أنواع المهاجمين. أي جريمة بنكية تبدأ في تسرب المعلومات. الأنظمة المصرفية الآلية هي قنوات لمثل هذه التسريبات. من بداية إدخال النظم المصرفية الآلية (ABS)، أصبحوا موضوع التعدي الجنائي.
لذلك، من المعروف أنه في آب / أغسطس 1995، تم اعتقال عالم الرياضيات الروسي الروسي البالغ من العمر 24 عاما في المملكة المتحدة، الذي تمكنت، بمساعدة الكمبيوتر المنزلي، من اختراق النظام المصرفي لأحد أكبر البنوك الأمريكية Citibank وحاول إزالة مبالغ كبيرة من حساباته. وفقا لمكتب سيتي بنك موسكو، حتى ذلك الحين، مثل أي شخص نجح. اكتشفت شركة Security Service Citibank أن البنك حاول اختطاف 2.8 مليون دولار، ولكن تم اكتشاف أنظمة التحكم في الوقت المحدد وفواتيرها. 400 ألف دولار فقط من المواد "Interfax" تمكنت من السرقة. 1995-2009. وبعد
في الولايات المتحدة، فإن مقدار الخسائر السنوية للمؤسسات المصرفية من الاستخدام غير المشروع لمعلومات الكمبيوتر هي، وفقا للخبراء، من 0.3 إلى 5 مليارات دولار. المعلومات هي جانب المشكلات الشاملة لضمان الأمن المصرفي.
في هذا الصدد، تختلف استراتيجية أمن المعلومات بالبنوك عن استراتيجيات مماثلة للشركات والمنظمات الأخرى. هذا يرجع ذلك في المقام الأول إلى الطبيعة المحددة للتهديدات، وكذلك النشاط العام للبنوك المجبر على الوصول إلى الحسابات سهلة بما فيه الكفاية بهدف الراحة للعملاء.
تقوم الشركة المعتادة ببناء أمن المعلومات الخاصة بها، وإجراءات فقط من دائرة ضيقة من التهديدات المحتملة - أساسا حماية المعلومات من المنافسين (في الواقع الروسي هي المهمة الرئيسية هي حماية المعلومات من السلطات الضريبية والمجتمع الجنائي من أجل الحد من احتمال حدوث احتمال نمو غير المنضبط للمدفوعات الضريبية وريسيتيس). هذه المعلومات مثيرة للاهتمام فقط إلى دائرة ضيقة من الأطراف والمنظمات المعنية، ونادرا ما يكون السائل، أي. تجميع في شكل نقدية.
يجب أن يأخذ أمان المعلومات في البنك في الاعتبار العوامل المحددة التالية:
1. تخزين ومعالجتها في معلومات الأنظمة المصرفية هي أموال حقيقية. بناء على معلومات الكمبيوتر، يمكن دفع المدفوعات، والقروض لترجمة المبالغ الكبيرة. من الواضح أن التلاعب غير المشروع مع هذه المعلومات يمكن أن يؤدي إلى خسائر خطيرة. توسع هذه الميزة بشكل حاد دائرة الدائرة بشكل حاد على البنوك (على النقيض من ذلك، على سبيل المثال، الشركات الصناعية، والمعلومات الداخلية لا تهم قليلا).
2. تؤثر المعلومات في النظم المصرفية على مصالح عدد كبير من الأشخاص والمنظمات - عملاء البنك. كقاعدة عامة، فهي سرية، والبنك مسؤول عن توفير الدرجة المطلوبة من السرية لعملائها. بطبيعة الحال، يكون للعملاء الحق في توقع أن يهتم البنك بمصالحهم، وإلا، فهو يخاطر بسمعته مع جميع العواقب التي تنشأ.
3. تعتمد القدرة التنافسية للبنك على مدى ملاءمة العمل مع البنك، وكذلك مدى استخدام مجموعة الخدمات المقدمة، بما في ذلك الخدمات المتعلقة بالوصول عن بعد. لذلك، يجب أن يكون العميل قادرا على الإجراءات بسرعة وبدون إجراءات مملة للتخلص من أمواله. لكن سهولة الوصول إلى الأموال تزيد من احتمالية الاختراق الجنائي في النظم المصرفية.
4. يجب أن يضمن أمن المعلومات للبنك (على عكس معظم الشركات) موثوقية عالية لأنظمة الكمبيوتر، حتى في حالة حالات الطوارئ، لأن البنك مسؤول ليس فقط من أجل أموالها، ولكن أيضا مقابل أموال العملاء.
5. يخزن البنك معلومات مهمة حول عملائها، مما يوسع نطاق المتسللين المحتملين المهتمين بسرقة أو تلف هذه المعلومات.
لسوء الحظ، اليوم، فيما يتعلق بالتطوير العالي للتكنولوجيات، حتى التدابير التنظيمية الصلبة للغاية لتبسيط العمل مع المعلومات السرية لن يحمي من تسربها على القنوات الفيزيائية. لذلك، فإن النهج المنهجي لحماية المعلومات يتطلب أن تعتبر الوسائل والإجراءات التي يستخدمها البنك لتوفير أمن المعلومات (التنظيمي والجسدي والبرمجيات) مجمع واحد من تدابير مترابطة ومتكاملة والتفاعل. يجب أن تهدف مثل هذا المجمع ليس فقط لحماية المعلومات من الوصول غير المصرح به، ولكن أيضا لمنع التدمير العرضي أو التغييرات أو الكشف عن أتمتة المعلومات العمليات المصرفية: البرنامج التعليمي. الجزء 2 Preobrazhensky NB الناشر: أتيسو، 2008.
2. عامل بشري في توفير أمن المعلومات
الجرائم، بما في ذلك في مجال المعلومات، يرتكبها البشر. معظم الأنظمة لا يمكن أن تعمل بشكل طبيعي دون مشاركة بشرية. المستخدم للنظام، من ناحية، هو العنصر الضروري، ومن ناحية أخرى - هو السبب والقوة الدافعة للانتهاك أو الجريمة. مشكلات أمن النظام (أجهزة الكمبيوتر بما في ذلك)، وبالتالي، في الغالب هناك أسئلة تتعلق بالعلاقات الإنسانية والسلوك الإنساني. هذا صحيح بشكل خاص في مجال أمن المعلومات، لأن تسرب المعلومات في الأغلبية الساحقة تحدث بسبب خطأ موظفي Krysin V.A. أمن الأنشطة التجارية. - M: المالية والإحصاءات، 2008.
عند تحليل انتهاكات الحماية، يجب إيلاء الكثير من الاهتمام ليس فقط بحقيقة مثل هذا (أي موضوع الانتهاك)، ولكن أيضا شخصية المتسللين، وهذا هو موضوع الانتهاكات. سيساعد هذا الاهتمام على فهمه في الدافعات، وربما سيكون من الممكن تجنب تكرار هذه الحالات.
كما أن قيمة مثل هذا التحليل يرجع أيضا إلى حقيقة أن أولئك الذين أجريت دون سبب الجريمة (إذا لم يكن الأمر يتعلق بالإهمال) أمر نادر للغاية للغاية.
من خلال دراسة سبب الجرائم أو الانتهاكات، فإنه يتأثر إما سبب السبب (إن أمكن)، أو توجيه نظام الحماية لهذه الأنواع من الجرائم أو الانتهاكات.
بادئ ذي بدء، من، هناك مصدر انتهاك، مهما كان ذلك، يتمتع جميع المخالفين بميزة واحدة مشتركة - الوصول إلى النظام. يمكن أن يكون الوصول مختلفا، مع حقوق مختلفة، إلى أجزاء مختلفة من النظام، عبر الشبكة، ولكن يجب أن يكون.
2.1 تهديدات بنك أمن المعلومات من قبل الموظفين
وفقا لمجموعة خدمات معلومات DataPro 81.7٪ من الانتهاكات مصنوعة من قبل الموظفين أنفسهم، والذي يمكنهم الوصول إلى نظامه، وفقط 17.3٪ من الانتهاكات من قبل أشخاص من الجزء (1٪ يسقط على الأفراد العشوائيين). وفقا للبيانات الأخرى، فإن التدمير المادي حوالي 25٪ من الانتهاكات (النار والفيضانات والأضرار) و 1-2٪ فقط يشكلون انتهاكاتا للأشخاص غير المصرح لهم. حصة الموظفين، لذلك، 73-74٪ من جميع الجرائم. التمييز بين الأرقام، نتائج كلتا الدراستين تقول شيئا واحدا: المصدر الرئيسي للاضطرابات داخل Asoib نفسه. والإخراج من هنا لا لبس فيه أيضا: لا يهم ما إذا كان لدى ASOIB اتصالا بالعالم الخارجي وما إذا كان هناك حماية خارجية، ولكن الحماية الداخلية يجب أن تكون بالضرورة.
يمكنك تخصيص أربعة أسباب رئيسية للانتهاكات: عدم المسؤولية والتأكيد الذاتي والانتقام ومصلحة المرتزقة للمستخدمين (الموظفين) ASOIB.
في حالة الانتهاكات الناجمة عن عدم المسؤولية، فإن المستخدم عن قصد أو عن طريق الخطأ ينتج أي إجراءات مدمرة غير مرتبطة، مع ذلك، مع نية خبيثة. في معظم الحالات، هذا نتيجة لعدم الكفاءة أو الإهمال. من غير المرجح أن يوفر مطورو نظام الحماية جميع هذه المواقف. علاوة على ذلك، في كثير من الحالات، لا يمكن للنظام من حيث المبدأ منع هذه الانتهاكات (على سبيل المثال، التدمير العرضي لمجموعات البيانات الخاصة به). في بعض الأحيان، يمكن أن يشجع أخطاء دعم محمية كافية هذا النوع من الانتهاك. حتى أفضل نظام حماية سيتم اختراقه إذا تم تكوينه بشكل غير طبيعي. جنبا إلى جنب مع عدم استعداد المستخدمين للامتثال بدقة تدابير الحماية، يمكن أن تجعل هذه الظروف نظام عرضة لهذا النوع من الانتهاكات.
يفكر بعض المستخدمين في الوصول إلى مجموعات البيانات النظامية بنجاح كبير، وتسلق نوع من "مستخدم ضد النظام" للتأكيد الذاتي أو في عينيها، أو في عيون الزملاء. على الرغم من أن النوايا يمكن أن تكون غير ضارة، فإن تشغيل موارد ASOB يعتبر انتهاكا للسياسات الأمنية. يمكن للمستخدمين الذين لديهم نوايا أكثر خطورة العثور على بيانات سرية، حاول إفسادها أو تدميرها. يسمى هذا النوع من الانتهاك سبر النظام. معظم الأنظمة لها عدد من وسائل مكافحة مثل هذه "الهزات". إذا لزم الأمر، يستخدم مسؤول الحماية لهم مؤقتا أو باستمرار.
اضطراب السلامة ASOB يمكن أن يكون سبب المصلحة الذاتية لمستخدم النظام. في هذه الحالة، ستحاول عن قصد التغلب على نظام الحماية للوصول إلى المعلومات المنقولة والمعالجة المخزنة في ASOIB. حتى إذا كان لدى أسوب وسيلة تجعل هذا الاختراق صعب للغاية، فمن المستحيل تقريبا حمايته تماما من الاختراق. الشخص الذي تمكن بنجاح من اختراقه مؤهلا للغاية وخطير. الاختراق هو أخطر أنواع الانتهاكات، ومع ذلك، فمن النادر للغاية، لأنها تتطلب مهارة غير عادية ومثابرة.
كما يظهر الممارسة، فإن الأضرار الناجمة عن كل نوع من الاضطرابات يتناسب عكسيا مع ترددها: في معظم الأحيان هناك اضطرابات ناجمة عن الإهمال وغير المسؤولية، وعادة ما يكون الضرر منهم أمر ضئيل وتجديده بسهولة. على سبيل المثال، يمكن استعادة مجموعة بيانات مدمرة عشوائيا إذا لاحظت الخطأ على الفور. إذا كانت المعلومات مهمة، فمن الضروري تخزين نسخة احتياطية محدثة بانتظام، ثم يتم وضع ضعف الضرر بشكل عام تقريبا.
وبالتالي، لتنظيم حماية موثوقة، فمن الضروري أن تدرك بوضوح نوع الانتهاكات الأكثر أهمية للتخلص من كل شيء. لحماية من الانتهاكات الناجمة عن الإهمال بحاجة إلى الحد الأدنى من الحماية، للحماية من استشعار النظام - أكثر صلابة وأصعب جنبا إلى جنب مع التحكم المستمر - من الاختراق. يجب أن يكون الغرض من هذه الإجراءات واحدا - ضمان أداء ASOIB ككل نظام الحماية الخاص به بشكل خاص.
تنشأ طرق منع الانتهاكات من طبيعة الدوافع - هذا هو التدريب المناسب للمستخدمين، وكذلك الحفاظ على مناخ عمل صحي في الفريق والتوظيف والكشف في الوقت المناسب عن المهاجمين المحتملين واعتماد التدابير المناسبة. الأول من هذه هي مهمة إدارة النظام، والثاني هو طبيب نفساني والفريق بأكمله ككل. فقط في حالة مزيج من هذه التدابير، من الممكن عدم تصحيح الانتهاكات وعدم التحقيق في الجرائم، ولكن لمنع قضيتهم.
عند إنشاء نموذج مخريث وتقييم المخاطر للخسائر من إجراءات الموظفين، من الضروري التمييز بين جميع الموظفين على وصولهم إلى النظام، وبالتالي، من خلال أضرار محتملة من كل فئة مستخدم. على سبيل المثال، يمكن أن يسبب مشغل أو مبرمج للنظام المصرفي الآلي أضرارا أكبر بكثرة من المستخدم المعتاد، وأكثر غير مهني.
2.2 سياسة الموظفين من وجهة نظر أمن المعلومات
تشير ممارسة مؤخرا إلى أن العديد من الجرائم والجرائم والجرائم والجريمة والآثار والأهمية يتم تكوينها لإجراءات محددة من موظفي الهياكل التجارية. في هذا الصدد، يبدو مناسبا وضروريا من أجل زيادة الأمن الاقتصادي لهذه الأشياء لدفع المزيد من الاهتمام باختيار الموظفين ودراسة الموظفين، والتحقق من أي معلومات تشير إلى سلوكهم المشكوك فيه والوصلات المساومة. تحتاج العقود إلى تحديد بوضوح المسؤوليات الوظيفية الشخصية لجميع فئات الموظفين في المؤسسات التجارية وعلى أساس التشريعات الروسية القائمة في الأوامر والأوامر الداخلية لتحديد مسؤوليتها عن أي أنواع من الانتهاكات المتعلقة بالإفصاح أو تسرب المعلومات التي تشكل السرية التجارية.
بالإضافة إلى ذلك، ينصح بذلك ملاحظة أن البنوك التجارية الرائدة في موسكو يتم تقديمها بشكل متزايد في وثائقها الرسمية الخاصة ب Vulti "بسرية" وتوزيع أنواع مختلفة من الأذونات الراتب للفئات ذات الصلة من موظفيها.
إذا قام تقييم بموضوعية لإجراءات اختيار الموظفين الموجودة اليوم، اتضح أنه في العديد من البنوك التركيز، لسوء الحظ، تتم أولا وقبل كل شيء، على توضيح فقط مستوى التدريب المهني للمرشحين للعمل، والتي غالبا ما تحددها الميزات الرسمية تقليديا: التعليم؛ إبراء الذمة؛ خبرة العمل في التخصص. في مثل هذه البنوك بعدد محدود للغاية من الموظفين، يتم دمجها بشكل متزايد مع المنتضنين العاديين من مختلف أنحاء العمل وزيادة التدفقات بسرعة من فرق المعلومات والإدارة، أصبح كل موظف على نحو متزايد حاملة لمعلومات سرية قد تكون ذات أهمية كلا المنافسين والمجتمعات الجنائية.
التعدين في إطار التشريع الروسي الحالي لأقصى قدر من المعلومات حول المرشحين للعمل، وهو فحص شامل للمستندات المقدمة، من خلال الفرص الرسمية والتشغيلية، بما في ذلك خدمة أمن البنك أو وكالة مختصرة خاصة، النظامية في تحليل المعلومات التي تم جمعها على المرشحين ذوي الصلة؛
إجراء مجمع من أنشطة التحقق من المرشحين للعمل، وأقاربهم، والزملاء السابقين، وأقرب بيئة في الحالات التي تكون فيها قضية قبولهم في مناصب القيادة أو القبول في المعلومات التي تشكل السرية التجارية؛
استخدام الأساليب الحديثة، ولا سيما المقابلات والاختبار، لإنشاء صورة نفسية لمرشحي الوظائف، والتي ستسمح بثقة للحكم على السمات الرئيسية للطبيعة والتنبؤ بأفعالها المحتملة في مختلف المواقف القصوى؛ موظفي الموظفين الدفع
التقييم باستخدام الأساليب النفسية الحديثة للعوامل المتنوعة والتربية، ربما يمنع تلقي المرشحين للعمل أو استخدامهم في مواقف محددة؛
تعريف المرشحين للعمل في الهياكل التجارية لفترة اختبار معينة من أجل التحقق من مزيد من التحقق وتحديد الصفات التجارية والشخصية، والعوامل الأخرى التي يمكن أن تمنع رؤلاء المضيفين؛
تقديم عمليات تفتيش شاملة منتظمة وغير متوقعة للموظفين، بما في ذلك من خلال قدرات الأجهزة الأمنية؛
تخصيص الرؤوس الأولى للهيكل التجاري لضمان عمل الموظفين لمراقبة أنشطة وحدات الموظفين وخدمات الأمن عند العمل مع الموظفين.
من الممكن رسم استنتاج معين مفاده أن رواد الأعمال الروس في درجة متزايدة يغيرون موقفهم من أجل "العامل البشري"، وضعت على أسلحة وحدات الموظفين وخدمات الأمن. الطرق الحديثة للعمل مع الموظفين. من الواضح أن التطوير الإضافي في هذا المجال يرتبط بالاستخدام النشط للإمكانات الكبيرة لأساليب التحليل النفسي، علم النفس وأخلاقيات الإدارة، وعلم المعارض وعدد من العلوم الأخرى وإدماج أكثر اكتمالا للمتخصصين المعنيين في المؤسسات التجارية وبعد
3. أمن أنظمة معالجة المعلومات الآلي في البنوك (ASOIB)
لن يكون ذلك مبالغة في القول إن مشكلة الانتهاكات المتعمدة لأعمال ASOIB للأغراض المختلفة هي حاليا واحدة من الأكثر صلة. هذا صحيح بالنسبة لبيان البلدان ذات البنية التحتية للمعلومات المتقدمة للغاية، والتي شهدت بشكل مقنع nigigaykovich yu.v التالية، Pershin A.S. أمن النظم المصرفية الإلكترونية. - م: أوروبا الموحدة، 2008.
من المعروف أنه في عام 1992 بلغت الأضرار الناجمة عن جرائم الكمبيوتر 555 مليون دولار، 930 عاما من وقت العمل و 15.3 سنة من الوقت. وفقا لبيانات أخرى، فإن أضرار المؤسسات المالية هي من 173 مليون دولار إلى 41 مليار دولار في السنة ديمين V. وغيرها. الأنظمة المصرفية الآلية. - M: MenateP-Inform، 2009. وبعد
من هذا المثال، يمكن إبرام أن أنظمة المعالجة وحماية المعلومات تعكس النهج التقليدي لشبكة الحوسبة كوسيط نقل البيانات غير الموثوق به. هناك العديد من الطرق الأساسية لضمان سلامة البرنامج والبيئة التقنية التي تنفذها بطرق مختلفة:
1.1. إنشاء ملفات تعريف المستخدمين. يخلق كل من العقد قاعدة بيانات للمستخدمين وكلمات المرور الخاصة بهم والوصول إلى الموارد الشخصية إلى الموارد المحلية لنظام الحوسبة.
1.2. إنشاء ملفات تعريف العمليات. تقوم مهمة المصادقة بإجراء خادم مستقل (طرف ثالث) يحتوي على كلمات مرور لكلا المستخدمين والخوادم النهائية (في حالة وجود مجموعة خادم، تحتوي قاعدة بيانات كلمة المرور أيضا على خادم مصادقة واحد فقط (ماجستير)؛ الباقي يتم تحديث النسخ المحدثة بشكل دوري فقط ). وبالتالي، يتطلب استخدام خدمات الشبكة كلمة المرور (على الرغم من أن المستخدم يحتاج إلى معرفة واحد فقط - يتم توفير الثانية له بطريقة خادم "شفافة"). من الواضح أن الخادم يصبح عنق الزجاجة للنظام بأكمله، ويمكن أن يؤدي القرصنة إلى تعطيل سلامة شبكة الكمبيوتر بأكملها.
2. مغريات المعلومات المنقولة في بروتوكولات التبادل الخاص. يعتمد استخدام الأساليب المماثلة في الاتصالات على خوارزميات تشفير المفتاح المفتوح. عند مرحلة التهيئة، يوجد زوج من المفاتيح - مفتوحة ومغلقة، واحدة فقط تنشر المفتاح المفتوح. جوهر خوارزميات التشفير المفتوحة المفتوحة هو أن عمليات التشفير وفك التشفير مصنوعة من مفاتيح مختلفة (مفتوحة وأغلقت، على التوالي).
3. تقييد تدفقات المعلومات. هذه هي التقنيات الفنية المعروفة التي تسمح بتقسيم الشبكة المحلية إلى الشبكات الفرعية ذات الصلة ومراقبة وتقييد تحويل المعلومات بين هذه الشبكات الفرعية.
3.1. جدران الحماية (جدران الحماية). تعني الطريقة الإبداع بين الشبكة المحلية للبنك والشبكات الأخرى من الخوادم المتوسطة الخاصة، والتي تفحصها وتحليلها وتصفية مجرى البيانات بأكمله يمر لهم (حركة مرور موقع الشبكة / النقل). يتيح لك ذلك تقليل تهديد الوصول غير المصرح به بشكل كبير من خارج شبكات الشركات، لكنه لا يلغي هذا الخطر على الإطلاق. طريقة التنوع الأكثر أمانا هي طريقة تنكرية، عند إرسال حركة المرور بالكامل من الشبكة المحلية نيابة عن خادم جدار الحماية، مما يجعل شبكة محلية مغلقة مع غير مرئية تقريبا.
3.2. خوادم الوكيل. مع هذه الطريقة، يتم تقديم القيود الصارمة على قواعد نقل المعلومات على الشبكة: جميع حركة مرور مستوى الشبكة / النقل بين الشبكات المحلية والعالمية محظورة تماما - ببساطة لا يوجد توجيه على هذا النحو، وجهات الاتصال من الشبكة المحلية إلى تحدث عالمية من خلال خوادم وسيطة خاصة. من الواضح، في حين أن طريقة الدورة الدموية من الشبكة العالمية إلى المحلية تصبح مستحيلة من حيث المبدأ. من الواضح أيضا أن هذه الطريقة لا توفر حماية كافية من الهجمات على مستويات أعلى، على سبيل المثال، في مستوى طلب البرنامج.
4. إنشاء شبكات خاصة افتراضية (VPN) تسمح لك بضمان سرية المعلومات وحمايتها من الاستماع أو التدخل أثناء انتقال البيانات. إنها تسمح لك بإنشاء رابط محمي سري في شبكة مفتوحة، والتي عادة ما تكون الإنترنت، وتوسيع حدود شبكات الشركات إلى المكاتب البعيدة للمستخدمين والمستخدمين الأجهزة المحمولة والمستخدمين المنزليين والشركاء التجاريين. تقليص تكنولوجيا التشفير إمكانية اعتراض الرسائل المرسلة الشبكة الخاصة الافتراضية، أو قراءةها من قبل أشخاص آخرين غير المستلمين المعتمدين من خلال تطبيق الخوارزميات الرياضية المتقدمة لرسائل التشفير والتطبيقات عليها. يتم التعرف على مراكز سلسلة Cisco VPN 3000 من قبل أفضل فئتها من خلال حل الشبكات الخاصة الافتراضية الافتراضية للوصول عن بعد. Cisco VPN 3000 مركزات مع الميزات الأكثر تقدما مع الموثوقية العالية والهندسة المعمارية الفريدة والمستهدفة. السماح للشركات بإنشاء البنية التحتية للشبكات الخاصة الافتراضية عالية الأداء والزيادة والقوية لدعم تطبيقات الوصول عن بعد المسؤولية. الأداة المثالية لإنشاء شبكات خاصة افتراضية من كائن شبكة واحد إلى أجهزة توجيه Cisco الأخرى المحسنة لبناء شبكات خاصة افتراضية والتي تشمل أجهزة توجيه Cisco 800 و 1700 و 2600 و 3600 و 7100 و 7200.
5. أنظمة الكشف الذرأة وماسحات ضوئية الضعف تخلق مستوى أمن شبكة إضافي. على الرغم من أن جدران الحماية تخطي أو تأخير حركة المرور اعتمادا على المصدر أو نقاط الوجهة أو المنفذ أو المعايير الأخرى، إلا أنها لا تقوم بالفعل بتحليل حركة المرور على الهجمات ولا تبحث عن الأماكن الضعيفة في النظام. بالإضافة إلى ذلك، فإن جدران الحماية عادة ما لا تكافح مع تهديدات داخلية تنبعث منها "خاصة بهم". يمكن لنظام الكشف عن التسلل نظام الكشف عن التسلل (IDS) من Cisco حماية الشبكة حول محيط وشبكة التفاعل مع شركاء الأعمال والشبكات الداخلية الأكثر عرضة للخطر في الوقت الفعلي. يستخدم النظام العوامل التي هي أجهزة شبكة عالية الأداء لتحليل الحزم الفردية من أجل اكتشاف النشاط المشبوه. إذا كان النشاط غير المصرح به أو هجوم الشبكة يتجلى في مجرى البيانات في الشبكة، فقد يكتشف الوكلاء اضطرارا في الوقت الفعلي، وإرسال أجهزة الإنذار إلى المسؤول وحظر الوصول إلى الشبكة. بالإضافة إلى شبكة اكتشاف الشبكة، تقدم Cisco أيضا أنظمة الكشف عن التسلل للخادم تضمن الحماية الفعالة لخوادم محددة على شبكة المستخدم، أولا وقبل كافة خادم الويب وخوادم التجارة الإلكترونية. Cisco Secure Scanner هو ماسح برنامج صناعي يسمح للمسؤول بتحديد مشكلة عدم الحصانة في أمان الشبكة واستكشاف الأخطاء وإصلاحها قبل العثور عليها المتسللين.
نظرا لأن الشبكات تزيد ويعقد، فإن متطلبات توافر أدوات إدارة الأمن المركزي التي يمكن أن تدير العناصر الأمنية أمرا بالغ الأهمية. الأدوات الذكية التي قد تشير إلى حالة سياسة الأمان، وإدارتها وأداء مراجعة تزيد من التطبيق العملي وفعالية حلول أمن الشبكات. حلول Cisco في هذا المجال تشير إلى نهج استراتيجي لإدارة الأمن. يدعم مدير السياسات الآمنة Cisco (CSPM) عناصر أمان Cisco في شبكات الشركات، مما يوفر تنفيذ شامل ومتسق لسياسات السلامة. باستخدام CSPM، يمكن للعملاء تحديد سياسة الأمان المناسبة، وتنفيذها والتحقق من مبادئ الأمان في عمل سيسكو آمن بيكس وملحق جدار حماية Cisco IOS وكلاء معرفات Cisco. يدعم CSPM أيضا معيار IPSec لبناء شبكات VPN الظاهرية. بالإضافة إلى ذلك، CSPM جزء لا يتجزأ من نظام إدارة CISCOWRORS2000 / VMS على نطاق واسع.
تلخيص الأساليب، يمكننا القول أن تطوير أنظمة المعلومات يتطلب تطورا متوازيا لتقنيات نقل التكنولوجيا وحماية المعلومات. يجب أن تضمن هذه التقنيات حماية المعلومات المنقولة، مما يجعل الشبكة "الموثوقة"، على الرغم من أن الموثوقية في المرحلة الحالية مفهومة كموثوقية لا تكون على المستوى المادي، ولكن على المستوى المنطقي (مستوى المعلومات).
هناك أيضا عدد من الأنشطة الإضافية التي تنفذ المبادئ التالية:
1. عمليات المراقبة. تتمثل طريقة عمليات المراقبة في إنشاء توسيع خاص للنظام، والتي ستنفذ باستمرار بعض أنواع الشيكات. من الواضح أن بعض النظام يصبح عرضة للخارجية فقط عندما يوفر فرصة للوصول إلى خارج موارد المعلومات الخاصة به. عند إنشاء أموال من هذه الوصول (عمليات الخادم)، كقاعدة عامة، هناك عدد كاف من المعلومات البسيطة المتعلقة بسلوك عمليات العميل. لسوء الحظ، في معظم الحالات، يتم تجاهل هذه المعلومات ببساطة. بعد مصادقة العملية الخارجية في النظام، يتم اعتبارها مفوضة للوصول إلى عدد معين من موارد المعلومات خلال دورة الحياة بأكملها دون أي شيكات إضافية.
على الرغم من أنه من غير الممكن تحديد جميع قواعد سلوك العملية الخارجية في معظم الحالات، فمن الواضح أن تحددها من خلال الإنكار أو بمعنى آخر للإشارة إلى أن العملية الخارجية لا تستطيع القيام بها تحت أي ظرف من الظروف. بناء على هذه الشيكات، يمكن مراقبة الأحداث الخطيرة أو المشبوهة. على سبيل المثال، تظهر عناصر المراقبة والأحداث المحددة في الشكل أدناه: هجوم DOS؛ خطأ في تعيين كلمة المرور من قبل المستخدم؛ الزائد في قناة الاتصالات.
2. ازدواجية تكنولوجيات الإرسال. هناك خطر من الاختراق والمساواة في أي تكنولوجيا نقل التكنولوجيا، سواء بحكم أوجه القصور الداخلية ويرجع ذلك إلى التعرض من الخارج. الحماية ضد مثل هذه الحالة متوازية لتطبيق العديد من تقنيات نقل مختلفة عن بعضها البعض. من الواضح أن الازدواجية ستؤدي إلى زيادة حادة في حركة مرور الشبكة. ومع ذلك، يمكن أن تكون هذه الطريقة فعالة عندما تتحول تكلفة المخاطر من الخسائر المحتملة إلى أن تكون تكاليف علوية أعلى لتكرار.
3.Dentrunctionization. في كثير من الحالات، لا ينتج عن استخدام تقنيات تبادل المعلومات الموحدة من خلال رغبة في التقييس، ولكن عدم كفاية قوة الحوسبة للأنظمة التي توفر إجراءات الاتصالات. يمكن النظر في تنفيذ نهج لامركزي وانتشار في الممارسة عبر الإنترنت "المرايا". يمكن أن يكون إنشاء نسخ متطابقة متعددة من الموارد مفيدا في الأنظمة في الوقت الفعلي، حتى فشل قصير الأجل يمكن أن يكون له عواقب وخيمة للغاية. أتمتة العمليات المصرفية: البرنامج التعليمي. الجزء 2 Preobrazhensky NB الناشر: ATISO، 2008، ص. 82.
4. أمن المدفوعات الإلكترونية
تحتاج الحاجة إلى دائما المعلومات اللازمة للقائد المعلومات اللازمة العديد من المديرين للتفكير في مشكلة تحسين الأعمال باستخدام أنظمة الكمبيوتر. ولكن إذا تم تنفيذ ترجمة المحاسبة من النموذج الورقي إلى إلكتروني منذ فترة طويلة، فإن المستوطنات المتبادلة مع البنك لا تزال غير مؤتمتة، والانتقال الجماعي إلى الوثيقة الإلكترونية هو فقط ليكون فقط.
اليوم، العديد من البنوك لديها قنوات معينة لممارسة عن بعد لعمليات الدفع. يمكنك إرسال "الدفع" مباشرة من المكتب، باستخدام اتصال المودم أو خط الاتصال المخصص. أصبحت حقيقة واقعة لأداء العمليات المصرفية عبر الإنترنت - وهذا يكفي للحصول على جهاز كمبيوتر مع الوصول إلى الشبكة العالمية ومفتاح التوقيع الرقمي الإلكتروني (EDS)، والذي يتم تسجيله لدى البنك.
تسمح لك خدمة عن بعد في البنك بزيادة كفاءة الأعمال التجارية الخاصة بأقل جهد ممكن من أصحابها. يتم توفيره: توفير الوقت (لا حاجة للحضور إلى البنك شخصيا، يمكن إجراء الدفع في أي وقت)؛ الراحة (تصنع جميع العمليات من جهاز كمبيوتر شخصي في بيئة عمل مألوفة)؛ سرعة معالجة الدفع عالية (لا يقوم مشغل البنك بإعادة طبع البيانات من ورقة أصلية، مما يجعل من الممكن القضاء على أخطاء الإدخال وتقليل وقت معالجة مستند الدفع)؛ مراقبة حالة الوثيقة في عملية المعالجة؛ الحصول على معلومات حول حركة الأموال على الحسابات.
ومع ذلك، على الرغم من المزايا الواضحة، فإن المدفوعات الإلكترونية في روسيا ليست شائعة للغاية، لأن عملاء البنك ليسوا واثقين من أمنهم. هذا هو، أولا وقبل كل شيء، يرتبط برأي شائع بأن شبكات الكمبيوتر يمكن أن تسهل "اختراق بعض المتسلل. هذه الأسطورة متجذرة بقوة في وعي الشخص، ونشرت بانتظام في وسائل الإعلام حول الهجمات على موقع الويب التالي تعزز هذا الرأي. لكن يتم تغيير الأوقات، وستحل الوسائل الإلكترونية للاتصال في وقت لاحق أو الأحدث محل الوجود الشخصي للمسافئ الذي يريد إجراء تحويل بنك بدون نقد من حساب إلى آخر.
في رأيي، يمكن توفير أمن العمليات المصرفية الإلكترونية اليوم. ضمان هذه هي الأساليب الحديثة للتشفير، والتي تستخدم لحماية وثائق الدفع الإلكتروني. بادئ ذي بدء، هذا هو EDS، المقابلة ل GOST 34.10-94. منذ عام 1995، تم تطبيقه بنجاح على بنك روسيا. في البداية، قدم نظاما للحسابات الإلكترونية الأقاليمية في العديد من المناطق فقط. الآن يغطي جميع مناطق الاتحاد الروسي وتخيلها دون أن تعمل عمل بنك روسيا تقريبا. فهل من الضروري أن أشك في موثوقية EDS، إذا تم اختبار استخدامه من قبل الوقت والحد بالفعل، على أي حال، فإن كل مواطن من بلدنا؟
التوقيع الرقمي الإلكتروني - الضمان الأمني. وفقا لمعاهدة النموذج بين البنك والعميل، يعمل وجود الأشخاص المعتمدين بموجب الوثيقة الإلكترونية لعدد كاف من المحررين المسجلين كأساس للمعاملات المصرفية على حسابات العملاء. في القانون الاتحادي البالغ 10.01.02، N 1-FZ "على التوقيع الرقمي الإلكتروني" حدد أنه يجب تشكيل EDS وفحصها بواسطة برنامج FAPSI المعتمد. تعد شهادة EDS ضمان أن هذا البرنامج ينفذ وظائف تشفير وفقا للوائح، والاستعمال، ولا يجعل الإجراءات المدمرة على جهاز كمبيوتر مستخدم.
لوضع المستند الإلكتروني للحميم، من الضروري أن يكون لديك مفتاحه الذي يمكن تخزينه في بعض المعلومات الإعلامية الرئيسية. ناقلات المفاتيح الحديثة ("الرمز الإلكترونية"، "محرك USB"، "ذاكرة اللمس") في شكل تشبه حلقات المفاتيح، ويمكن ارتداؤها بالتزامن من المفاتيح العادية. يمكن أن تستخدم وسائط المعلومات الرئيسية أيضا الأقراص المرنة.
يخدم كل مفتاح النازم النازحين كناظرية لتوقيع الشخص المعتمد. إذا تم توقيع "الفواتير" الورقية عادة من قبل المدير والمحاسب الرئيسي، ثم في النظام الإلكتروني، من الأفضل الحفاظ على نفس الترتيب والمتوقع للأشخاص المعتمدين مع مفاتيح EDS المختلفة. ومع ذلك، يمكن استخدام EDS واحد - يجب أن تنعكس هذه الحقيقة في العقد بين البنك والعميل.
يتكون مفتاح EDS من جزأين - مغلقا ومفتوحا. يتم تقديم الجزء المفتوح (المفتاح المفتوح) بعد جيل المالك إلى مركز التصديق الذي يتم تشغيل دوره عادة من قبل البنك. المفتاح العام، معلومات حول مالكها ومهم المفتاح ومعلومات أخرى موقعة من قبل EDS من مركز الشهادات. وبالتالي، يتم تشكيل شهادة EDS لتكون مسجلة في نظام التسوية الإلكترونية بالبنك.
يجب أن ينتقل الجزء المغلق من مفتاح EDS (المفتاح السري) دون أي ظرف من الظروف إلى مالك المفتاح لشخص آخر. إذا تم نقل المفتاح السري حتى لفترة قصيرة لشخص آخر أو ترك في مكان ما دون مراقبة، فمن المعتقد أن المفتاح "مخادع" (أي، احتمال نسخ أو استخدام غير قانوني للمفتاح). وبعبارة أخرى، في هذه الحالة، شخص ليس صاحب المفتاح يتلقى الفرصة للتوقيع على منظمة غير مصرح بها من قبل المستند الإلكتروني للمنظمة، والتي سيعتمد البنك، وسوف يكون صحيحا، لأن تحقق EDS سيظهر أصالةه وبعد كل المسؤولية في هذه الحالة تقع حصريا على مالك المفتاح. يجب أن تكون تصرفات مالك EDS في هذا الموقف مشابهة لأولئك الذين يتم اتخاذها عند فقدان بطاقة بلاستيكية تقليدية: يجب على هذا الشخص إبلاغ البنك ب "التسوية" (الخسارة) من مفتاح EDS. ثم سيقوم البنك بحظر شهادة EDS في نظام الدفع الخاص به، ولن يتمكن المهاجم من الاستفادة من الاستحواذ غير القانوني.
يمكنك منع الاستخدام غير القانوني للمفتاح السري باستخدام كلمة المرور، والتي يتم تكسيرها على حد سواء على المفتاح وبعض أنواع الناقلات الرئيسية. يساهم هذا في تقليل الأضرار الموجودة في الخسارة، نظرا لأن مفتاح كلمة مرور، يصبح المفتاح غير صالح، وسوف يكون للمالك وقتا كافيا لإبلاغ البنك ب "التسوية" الخاصة به.
فكر في كيفية استخدام العميل خدمات الدفع الإلكترونية شريطة أن يكون لدى البنك نظام تنفيذ متكامل للخدمات المصرفية عبر الإنترنت في Interbank. إذا كان العميل رائد أعمال خاص أو يؤدي شركة تجارية صغيرة ويحصل على الوصول إلى الإنترنت، فسيكون ذلك كافيا بالنسبة له لاختيار نظام حماية تشفير (EDS والتشفير)، والتي يريد استخدامها. يمكن للعميل تعيين البرامج المعتمدة من CSP CRYPTOPRO أو الحد من Microsoft Base CSP المدمج في Microsoft Windows.
إذا كان العميل حازبا رئيسيا مع دوران مالي كبير، فيمكن التوصية به لنظام فرعي آخر من Interbank - "عميل Windows". بمساعدتها، يؤدي العميل بشكل مستقل قاعدة البيانات على المستندات الإلكترونية ويمكنه إعداد أوامر الدفع على جهاز الكمبيوتر الخاص به دون استخدام جلسة اتصال بنكي. عند تشكيل جميع المستندات اللازمة، يتصل العميل بالبنك عبر الهاتف أو السطر المخصص لتبادل البيانات.
هناك نوع آخر من الخدمة المقدمة من مجمع Interbank هو إبلاغ العميل بحالة حساباتها المصرفية ودورات العملات ونقل البيانات المرجعية الأخرى عبر الاتصالات الصوتية أو الفاكس أو شاشة الهاتف الخليوي.
الطريقة المريحة لاستخدام الحسابات الإلكترونية هي وثائق دفع البصر عن طريق الموظفين المعتمدين في المؤسسة، والتي هي في مسافة كبيرة من بعضها البعض. على سبيل المثال، أعد المحاسب الرئيسي وتوقيع وثيقة دفع إلكترونية. يمكن للمدير، الذي يجري في الوقت الراهن في رحلة عمل في مدينة أخرى أو في بلد آخر، عرض هذه الوثيقة، توقعه وإرساله إلى البنك. تتيح لك كل هذه الإجراءات تنفيذ النظام الفرعي "عميل الإنترنت"، والتي سيتم توصيل المحاسب ومدير المؤسسة عبر الإنترنت. سيتم تنفيذ تشفير البيانات ومصادقة المستخدم بواسطة أحد البروتوكولات القياسية - SSL أو TLS.
لذلك، فإن استخدام المدفوعات الإلكترونية في الأعمال يوفر مزايا كبيرة على الخدمة التقليدية. بالنسبة للأمان، فإنه يوفر معيار EDS (GOST 34.10-94)، من ناحية، ومسؤولية العميل عن تخزين مفتاح التوقيع من ناحية أخرى. توصيات لاستخدام وتخزين مفاتيح EDS العملاء يمكن أن تتلقى دائما في أحد البنوك، وإذا تلقائيا، فإن موثوقية المدفوعات مضمونة الصحيفة المالية (الإفراج الإقليمي)، موسكو، 28.03.2009.
5. أمن المدفوعات الشخصية للأفراد
تتطلب معظم أنظمة الأمن لتجنب فقدان البيانات الشخصية للأفراد من تأكيد المستخدم أنه الشخص الذي يعطي بالضبط. يمكن تنفيذ تعريف المستخدم على أساس حقيقة أن:
* يعرف بعض المعلومات (الرمز السري، كلمة المرور)؛
* لديه كائن معين (بطاقة، مفتاح إلكتروني، الرموز)؛
* يحتوي على مجموعة من الصفات الفردية (بصمات الأصابع، شكل فرشاة اليد، Timbre صوت، نمط الشبكية، إلخ)؛
* يعرف أين يتم العثور على المفتاح المتخصص أو كيف.
تتطلب الطريقة الأولى مجموعة متنوعة على لوحة مفاتيح تسلسل رمز معين - رقم التعريف الشخصي (رقم تعريف Pinsonal - رقم التعريف الشخصي). هذا هو عادة تسلسل من 4-8 أرقام، والتي يجب أن يدخل المستخدم عند المعاملة.
تتضمن الطريقة الثانية تقديم عناصر معينة معينة معينة - رموز القراءة من جهاز إلكتروني غير مأزق أو بطاقات أو رموز.
في الطريق الثالث، يخدم المقطع ميزات فردية والخصائص الفيزيائية لشخصية الشخص. يرافق قاعدة بيانات كبيرة إلى حد ما التي تخزن الصور المقابلة أو البيانات الأخرى المستخدمة في الاعتراف كل منتج بيومتري.
الطريقة الرابعة تتضمن مبدأ خاصا لإدماج أو نقل المعدات، مما سيضمن عملها (هذا النهج نادرا بما فيه الكفاية).
في مجال الخدمات المصرفية، تم الحصول على وسائل تحديد الهوية، والتي تعزيناها إلى المجموعة الثانية: كائن معين (بطاقة، مفتاح إلكتروني، روابط). بطبيعة الحال، يحدث استخدام مثل هذا المفتاح بالاشتراك مع وسائل واستقبال الهوية، والتي نسبناها إلى المجموعة الأولى: استخدام المعلومات (الرمز السري، كلمة المرور).
دعونا معرفة مزيد من التفاصيل مع تحديد الشخصية في أتمتة الأعمال المصرفية: البرنامج التعليمي. الجزء 2 Preobrazhensky NB الناشر: أتيسو، 2008.
بطاقات بلاستيكية.
أصدر حاليا أكثر من مليار بطاقات في مختلف بلدان العالم Linkov I.I. وغيرها. وحدات المعلومات في الهياكل التجارية: كيفية البقاء والنجاح. - م: NIT، 2008. الأكثر شهرة منهم:
بطاقات الائتمان فيزا (أكثر من 350 مليون بطاقة) و MasterCard (200 مليون بطاقة)؛
تحقق International Checkes Eurocheque و Posteheque؛
بطاقات لدفع ثمن السفر والترفيه الأمريكية إكسبريس (60 مليون بطاقة) ونادي داينرز.
البطاقات المغناطيسية (انظر الملحق 2)
الأكثر شهرة وتم استخدامها منذ فترة طويلة في الخدمات المصرفية كوسيلة لتحديد البطاقات البلاستيكية مع شريط مغناطيسي (تتيح لنا العديد من الأنظمة استخدام بطاقات الائتمان التقليدية). لقراءة من الضروري إجراء بطاقة (شريط مغناطيسي) من خلال متسابق القارئ (القارئ). عادة، يتم إجراء القراء في شكل جهاز خارجي ويتم توصيلها عبر منفذ تسلسلي أو عالمي للكمبيوتر. أيضا القراء المتاحة جنبا إلى جنب مع لوحة المفاتيح. ومع ذلك، تستخدم هذه البطاقات مزايا وعيوب استخدامها.
* يمكن نسخ البطاقة المغناطيسية بسهولة على المعدات التي يمكن الوصول إليها؛
* التلوث، والتأثير الميكانيكي الصغير على الطبقة المغناطيسية، والعثور على خريطة بالقرب من مصادر قوية للحقول الكهرومغناطيسية تؤدي إلى تلف البطاقة.
فوائد:
* تكلفة الإفراج وصيانة هذه البطاقات صغيرة؛
* تطورت صناعة البطاقات البلاستيكية المغناطيسية لعدة عقود وفي الوقت الحالي أكثر من 90٪ من البطاقات هي بطاقات بلاستيكية؛
* يتم تبرير استخدام البطاقات المغناطيسية مع عدد كبير جدا من المستخدمين والتغيير المتكرر في البطاقات (على سبيل المثال، للوصول إلى غرفة الفندق).
بطاقات القرب (انظر الملحق 2)
في الواقع، هذا هو تطوير فكرة الرموز الإلكترونية. هذه هي بطاقة غير ملائمة (ولكن قد تكون سلسلة أساسية أو سوار) تحتوي على رقاقة برمز فريد أو جهاز إرسال راديو. تم تجهيز القارئ بالهوائي الخاص الذي ينبعث منه الطاقة الكهرومغناطيسية باستمرار. إذا كانت البطاقة تضغط، فإن رقاقة البطاقة مدعومة في هذا الحقل، وترسل البطاقة رمزك الفريد إلى القارئ. بالنسبة لمعظم القراء، تتراوح مسافة الاستجابة المقاومة من بضعة ملليمترات إلى 5-15 سم.
البطاقات الذكية (انظر الملحق 2)
على عكس البطاقة المغناطيسية، تحتوي البطاقة الذكية على المعالجات الدقيقة ومنصات اتصال لإمدادات الطاقة وتبادل المعلومات مع القارئ. البطاقة الذكية لديها درجة عالية جدا من الأمن. من بينها أن الاحتمالات الرئيسية لتطوير مثل هذه المفاتيح والأمل في العديد من مطوري أنظمة الحماية ترتبط بها.
توجد تقنية البطاقات الذكية ويتطورها حوالي عشرين عاما، ولكن فقط في السنوات القليلة الماضية تلقي واسع الانتشار. من الواضح أن البطاقة الذكية، بفضل كمية كبيرة من الذاكرة والوظائف، يمكن أن تعمل كدور رئيسي، وفي دور تخطي وفي الوقت نفسه تكون بطاقة مصرفية. في الحياة الحقيقية، نادرا ما يتم تنفيذ هذا المزيج من الوظائف.
للعمل مع البطاقة الذكية، يجب أن يكون الكمبيوتر مجهزا بجهاز خاص: مدمج أو خرطوانات خارجية. يمكن توصيل المتطبخين الخارجيين بمختلف منافذ الكمبيوتر (المسلسل أو المنفذ الموازي أو لوحة المفاتيح PS / 2 أو فتحة PCMCIA أو SCSI أو USB).
توفر العديد من البطاقات أنواعا مختلفة من المصادقة (الخوارزميات). في عملية الاعتراف الإلكتروني، تشارك ثلاثة أحزاب: خريطة للبطاقة، خريطة، جهاز محطة (قارئ البطاقة). المصادقة ضرورية للتأكد من أن المستخدم، الجهاز الطرفي الذي يتم فيه إدراج البطاقة أو تطبيق البرنامج، الذي يتم الإبلاغ عنه إلى معلمات الخريطة، إجراء إجراءات معينة مع البيانات على البضائع. يتم تعيين قواعد الوصول إلى مطور التطبيق عند إنشاء هياكل البيانات على الخريطة.
الرموز الإلكترونية (انظر الملحق 2)
الآن في أنظمة مختلفة تتطلب تحديد المستخدم أو المالك، يتم استخدام الرمز المميز الإلكتروني (أو ما يسمى بأجهزة الرمز المميز) على نطاق واسع كتخطي. المثال المعروف لمثل هذا الرمز المميز هو "قرص" إلكتروني (الشكل 8.4). "الجهاز اللوحي" مصنوع في حالة من الفولاذ المقاوم للصدأ دائري ويحتوي على رقاقة برقم فريد مسجل فيه. يتم تنفيذ مصادقة المستخدم بعد لمسها مثل "الجهاز اللوحي" إلى جهاز اتصال خاص، عادة ما تكون متصلة بمنفذ تسلسلي للكمبيوتر. وبالتالي، يمكنك السماح بالوصول إلى الغرفة، ولكن يمكنك السماح لك بالعمل على جهاز كمبيوتر أو حظر يعمل على جهاز كمبيوتر مستخدمين غير مصرح به.
للحصول على راحة "الجهاز اللوحي"، يمكن إصلاحها على سلسلة مفاتيح أو ضغط في قذيفة بلاستيكية.
حاليا، تستخدم هذه الأجهزة على نطاق واسع للتحكم في الأقفال الكهروميكانيكية (أبواب الغرفة، البوابات، أبواب المدخل، إلخ). ومع ذلك، فإن استخدام "الكمبيوتر" هو أيضا فعالة للغاية.
جميع المجموعات الثلاثة المدرجة من المفاتيح سلبية في جوهرها. إنهم لا يفيون بأي إجراءات نشطة ولا يشاركون في عملية المصادقة، ولكن فقط إعطاء التعليمات البرمجية المخزنة. هذا هو مجالهم الرئيسي.
لدى الرموز العديد من أفضل مقاومة التآكل من أتمتة البطاقات المغناطيسية العمليات المصرفية: البرنامج التعليمي. الجزء 2 Preobrazhensky NB الناشر: أتيسو، 2008.
استنتاج
وبالتالي، فإن مشكلة حماية المعلومات المصرفية خطيرة للغاية لأن البنك يمكن أن يهمله. في الآونة الأخيرة، في البنوك المحلية هناك عدد كبير من حالات السرية. مثال على ذلك هو ظهور قواعد البيانات المختلفة على الأقراص المضغوطة على الشركات التجارية والأفراد. من الناحية النظرية، القاعدة التشريعية لضمان حماية المعلومات المصرفية موجودة في بلدنا، لكن استخدامها بعيد عن التميز. حتى الآن لم تكن هناك حالات عندما يعاقب البنك على الكشف عن المعلومات عندما تعاقب أي شركة على محاولة الحصول على معلومات سرية.
حماية المعلومات في البنك هي مهمة معقدة لا يمكن حلها إلا في البرامج المصرفية. يبدأ التنفيذ الفعال للحماية باختيار وتكوين أنظمة التشغيل وأدوات نظام الشبكة التي تدعم عمل البرامج المصرفية. من بين وسائل الحماية التأديبية، يجب اختيار اتجاهين: من ناحية، فهو الحد الأدنى من الوعي الكافي لمستخدمي النظام حول خصائص بناء النظام؛ من ناحية أخرى، فإن وجود وسيلة متعددة المستويات لتحديد المستخدمين والتحكم في حقوقهم.
في لحظات مختلفة من تنميتها ABS كان لها مكونات مختلفة من الحماية. في الظروف الروسية، ينبغي أن يعزى غالبية النظم المصرفية من حيث الحماية إلى أنظمة المستوى الأول والثاني لتعقيد الحماية:
المستوى الأول - استخدام البرامج المقدمة من الأدوات القياسية لأنظمة التشغيل وبرامج الشبكة؛
المستوى الثاني - استخدام برنامج الأمان، ترميز المعلومات، ترميز الوصول.
لتلخيص كل ما سبق، خلصت إلى أنه يعمل في القطاع المصرفي، من الضروري أن تتأكد من أن المعلومات التجارية والتجارية ستبقى مغلقة. ومع ذلك، فمن الضروري العناية بحماية لا توثيق غير فقط ومعلومات الإنتاج الأخرى، ولكن أيضا إعدادات الشبكة ومعلمات الشبكة التي تعمل بالشبكة بالسيارة.
أصبحت مهمة حماية المعلومات في البنك أكثر صرامة بكثير مما كانت عليه في المنظمات الأخرى. إن حل هذه المهمة يعني التخطيط للأنشطة التنظيمية، وتوفير الحماية. في الوقت نفسه، يجب أن يلاحظ الحماية من التخطيط ليكون الإجراء بين المستوى الضروري من الحماية ومستواه عندما تبدأ الحماية بالتدخل في التشغيل العادي لموظفي أتمتة العمليات المصرفية: دليل تدريبي. الجزء 2 Preobrazhensky NB الناشر: أتيسو، 2008.
قائمة الأدب المستعمل
1. أتمتة العمليات المصرفية: البرنامج التعليمي. الجزء 2 Preobrazhensky NB الناشر: ATISO، 2008
2. Gaikovich Yu.v، بيرشين A.S. أمن النظم المصرفية الإلكترونية. - M: United Europe، 2008
3. Demin v.s. وغيرها. الأنظمة المصرفية الآلية. - M: MenateP-Inform، 2009.
4. كراتين v.a. أمن الأنشطة التجارية. - M: المالية والإحصاء، 2008
5. Linkov I.I. وغيرها. وحدات المعلومات في الهياكل التجارية: كيفية البقاء والنجاح. - M: NIT، 2008
6. مواد الوكالة "Interfax". 1995-2009.
7. الصحيفة المالية (الإصدار الإقليمي)، موسكو، 28.03.2009
المرفقات 1
قائمة دراسات ASOIB النموذجية والدرجة المخاطرة المقابلة من كل منها:
1. أعظم مخاطر: تحكم النظام ومسؤول الأمان.
2. ارتفاع الخطر: مشغل النظام، إدخال البيانات ومشغل التحضير، مدير المعالجة، مبرمج النظام.
3. المخاطر الوسطى: مهندس النظام، مدير البرمجيات.
4. مخاطر محدودة: مبرمج التطبيقات، المهندس أو مشغل الاتصالات، مسؤول قاعدة البيانات، مهندس المعدات، مشغل المعدات الطرفية، مكتب المكتبات المغناطيسية المغناطيسية، مستخدم مبرمج، مستخدمي المستخدم.
5. خطر قليل: مهندس المعدات الطرفية، ميديا \u200b\u200bميديا \u200b\u200bميديا \u200b\u200bميديا، مستخدمي الشبكة.
الملحق 2.
تين. 1 بطاقة مغناطيسية
تين. 2.بطاقة القرب
تين. 3.خريطة ذكية.
تين. أربعةالرموز الإلكترونية
الملحق 3.
|
إحصاءات الخسارة للحصول على تأشيرة وماستركارد |
||
|
حصة في الخسائر العامة،٪ |
||
|
احتيال البائع |
||
|
خرائط مسروقة |
||
|
بطاقات احتجاط |
||
|
تغيير خريطة الخريطة |
||
|
خرائط مفقودة |
||
|
تطبيق غير صحيح |
||
|
الاحتيال عبر الهاتف |
||
|
شحن البريد الاحتيال |
||
|
الاحتيال البريدي |
||
|
السرقة أثناء إنتاج الشحن |
||
|
الائتمان مع صاحب البطاقة |
||
نشر على Allbest.ru.
...قيمة ومشاكل المعلومات المصرفية. طرق لضمان أمان أنظمة معالجة المعلومات المصرفية الآلية. مزايا وطرق حماية التشفير بالمدفوعات الإلكترونية. يعني تحديد الشخصية في المصرفية.
وأضاف 08.06.2013
سياسة الدولة في مجال تكوين موارد المعلومات. حدد مجمع مهام أمان المعلومات. نظام أدوات البرمجيات والأجهزة المصممة لتوفير أمن المعلومات وحماية معلومات المؤسسة.
العمل بالطبع، وأضاف 04/23/2015
المفهوم والمبادئ الأساسية لتوفير أمن المعلومات. مفهوم الحماية في النظم الآلية. أساسيات تشريع الاتحاد الروسي في مجال أمن المعلومات وحماية المعلومات وعمليات الترخيص وإصدار الشهادات.
مسار المحاضرات، وأضاف 04/17/2012
بناء نموذج من التهديدات المحتملة لأمن معلومات البنك، مع مراعاة الإطار التنظيمي المحلي والدولية الحالي. التحليل المقارن للصكوك التنظيمية والقانونية لتنظيم المعلومات المصرفية.
العمل المختبري، وأضاف 30.11.2010
المتطلبات الأساسية لإنشاء نظام أمني للبيانات الشخصية. تهديدات أمن المعلومات. مصادر الوصول غير المصرح به إلى CDN. جهاز نظم المعلومات البيانات الشخصية. أدوات أمان المعلومات. سياسة الأمن.
العمل بالطبع، وأضاف 07.10.2016
مبادئ أمن المدفوعات الإلكترونية والشخصية للأفراد في البنوك. تنفيذ تقنيات نقل التكنولوجيا وحماية المعلومات؛ نهج النظام لتطوير البرامج والبيئة التقنية: ترميز المعلومات والوصول إليها؛ التشفير والتشفير.
مجردة، وأضاف 05/18/2013
ملامح أمن المعلومات للبنوك. عامل بشري في توفير أمن المعلومات. استنزاف المعلومات، والأسباب الرئيسية للانتهاكات. مزيج من مختلف البرامج والأجهزة. آليات لضمان سلامة البيانات.
الفحص، وأضاف 10/16/2013
أهداف أمن المعلومات. مصادر تهديدات المعلومات الأساسية لروسيا. أهمية أمن المعلومات لمختلف المتخصصين من موقف الشركة وأصحاب المصلحة. طرق حماية المعلومات من تهديدات المعلومات المتعمدة.
عرض تقديمي، وأضاف 12/27/2010
جوهر مفهوم "أمن المعلومات". فئات نموذج الأمن: الخصوصية؛ النزاهة؛ التوفر. أمن المعلومات والإنترنت. طرق أمن المعلومات. المهام الرئيسية لتكنولوجيات مكافحة الفيروسات.
الامتحان، وأضاف 11.06.2010
الوثائق التنظيمية في مجال أمن المعلومات في روسيا. تحليل تهديدات نظم المعلومات. خصائص تنظيم نظام حماية عيادات البيانات الشخصية. تنفيذ نظام المصادقة باستخدام المفاتيح الإلكترونية.
