La banca dati fa parte di qualsiasi sistema automatizzato come CAD, ACS, ACS, ecc. Compito della banca dati è quello di mantenere il modello informativo in uno stato di estrema importanza e di garantire le richieste degli utenti. Ciò richiede tre operazioni da eseguire nella banca dati: abilitare, eliminare, modificare. Queste operazioni prevedono la memorizzazione e la modifica dei dati.
Con lo sviluppo di un sistema automatizzato, cambia la composizione degli oggetti nell'area tematica, cambiano le connessioni tra loro. Tutto questo dovrebbe riflettersi nel sistema informativo. Pertanto, l'organizzazione della banca dati dovrebbe essere flessibile. Mostriamo il luogo della banca dati come parte del sistema automatizzato.
Quando si progetta una banca dati, è estremamente importante considerare due aspetti per garantire le richieste degli utenti.
1) Determinazione dei confini di una specifica area disciplinare e sviluppo di un modello informativo. Si noti che la banca dati deve fornire informazioni all'intero sistema sia nel presente che nel futuro, tenendo conto del suo sviluppo.
2) Lo sviluppo di una banca dati dovrebbe essere orientato verso un servizio efficiente delle richieste degli utenti. A questo proposito è estremamente importante analizzare le tipologie e le tipologie di richieste degli utenti. È inoltre estremamente importante analizzare i compiti funzionali del sistema automatizzato, per il quale questa banca sarà una fonte di informazioni.
Gli utenti della banca dati si distinguono per le seguenti caratteristiche:
· Sulla base della costanza della comunicazione con la banca.
Membri : permanente e una tantum ;
· Dal livello di ammissione. Alcuni dei dati devono essere protetti;
· Tramite il modulo di presentazione della richiesta. Le richieste possono essere fornite da programmatori, non programmatori, utenti di task.
A causa della grande eterogeneità degli utenti nella banca dati, viene fornito uno strumento speciale per portare tutte le query in un'unica terminologia. Questo strumento viene solitamente chiamato dizionario dati.
Evidenziamo requisiti primari che deve essere risolta banca dati di utenti esterni ... La banca dati deve:
1. Fornire la possibilità di archiviare e modificare grandi volumi di informazioni sfaccettate. Soddisfa i requisiti degli utenti odierni ed emergenti.
Fornire livelli specificati di affidabilità e coerenza delle informazioni archiviate.
3. Garantire l'accesso ai dati solo per gli utenti che dispongono dell'autorità appropriata.
4. Fornire la possibilità di cercare informazioni su un gruppo arbitrario di attributi.
5. Soddisfare i requisiti di prestazione specificati durante l'elaborazione delle richieste.
6. Essere in grado di riorganizzarsi ed espandere quando si modificano i confini dell'area disciplinare.
7. Fornire l'emissione di informazioni all'utente in varie forme.
8. Fornire la possibilità di servire contemporaneamente un gran numero di utenti esterni.
Per soddisfare questi requisiti, è indispensabile introdurre la gestione centralizzata dei dati.
Evidenziamo principali vantaggi della gestione centralizzata dati rispetto alle garanzie utilizzate in precedenza.
1) Ridurre la ridondanza dei dati memorizzati. I dati utilizzati da più applicazioni sono strutturati (integrati) e archiviati in un'unica copia.
2) Eliminazione dell'inconsistenza dei dati memorizzati. A causa della ridondanza dei dati, la situazione viene eliminata quando, quando i dati vengono effettivamente modificati, non sembrano essere cambiati in tutti i record.
3) Utilizzo multidimensionale dei dati con un unico input.
4) Ottimizzazione completa basata sull'analisi delle esigenze degli utenti. Vengono selezionate strutture di dati che forniscono il miglior servizio possibile.
5) Fornire la possibilità di standardizzazione. Ciò facilita lo scambio di dati con altri sistemi automatizzati, nonché le procedure per il monitoraggio e il ripristino dei dati.
6) Garantire la possibilità di accesso autorizzato ai dati, ᴛ.ᴇ. disponibilità di meccanismi di protezione dei dati.
Va sottolineato che il problema principale della gestione centralizzata dei dati è garantire l'indipendenza delle applicazioni dai dati. Ciò è dovuto al fatto che l'integrazione dei dati, l'ottimizzazione delle strutture dei dati richiedono la modifica della rappresentazione dei dati memorizzati e del metodo di accesso ai dati.
Produzione: La principale caratteristica distintiva della banca dati è la presenza di una gestione centralizzata dei dati.
Ordine Rossstandart del 28 marzo 2018 n. 156-st "Sull'approvazione dello standard nazionale della Federazione Russa"
Ordine Rossstandart dell'8 agosto 2017 n. 822-st "Sull'approvazione dello standard nazionale della Federazione Russa"
Gli obiettivi principali dell'attuazione dello standard "Garantire la sicurezza delle informazioni delle organizzazioni nel sistema bancario della Federazione Russa. Disposizioni generali "STO BR IBBS-1.0 (di seguito - Standard):
Gli obiettivi principali della Norma:
Sistema di pagamento su InternetÈ un sistema di accordi tra organizzazioni finanziarie, aziendali e utenti di Internet nel processo di acquisto / vendita di beni e servizi tramite Internet. È il sistema di pagamento che permette di trasformare un servizio di evasione ordini o una vetrina elettronica in un vero e proprio negozio con tutte le caratteristiche standard: scegliendo un prodotto o un servizio sul sito del venditore, l'acquirente può effettuare un pagamento senza uscire dal computer.
Nel sistema di e-commerce, i pagamenti sono soggetti a una serie di condizioni:
1. Rispetto della riservatezza. Quando effettua pagamenti su Internet, il cliente desidera che le sue informazioni (ad esempio un numero di carta di credito) siano note solo alle organizzazioni che hanno il diritto legale di farlo.
2. Mantenimento dell'integrità delle informazioni. Le informazioni sull'acquisto non possono essere modificate da nessuno.
3. Autenticazione. Acquirenti e venditori devono essere sicuri che tutte le parti di una transazione siano chi dicono di essere.
4. Mezzi di pagamento. La possibilità di pagare con qualsiasi mezzo di pagamento a disposizione dell'acquirente.
6. Garanzie di rischio del venditore. Quando si effettuano scambi su Internet, il venditore è esposto a molti rischi associati al rifiuto della merce e alla disonestà dell'acquirente. L'entità dei rischi dovrebbe essere concordata con il fornitore del sistema di pagamento e altre organizzazioni coinvolte nelle catene commerciali attraverso accordi speciali.
7. Ridurre al minimo le spese di transazione. Le spese di elaborazione delle transazioni per l'ordinazione e il pagamento delle merci sono naturalmente incluse nel loro costo, quindi abbassare il prezzo della transazione aumenta la competitività. È importante notare che la transazione deve essere pagata in ogni caso, anche se l'acquirente rifiuta il prodotto.
Tutte queste condizioni devono essere implementate nel sistema di pagamento Internet, che, in sostanza, sono versioni elettroniche dei sistemi di pagamento tradizionali.
Pertanto, tutti i sistemi di pagamento sono suddivisi in:
Debito (lavorando con assegni elettronici e contanti digitali);
Credito (funzionando con carte di credito).
Sistemi di debito
Gli schemi di pagamento con addebito sono costruiti in modo simile ai loro prototipi offline: assegno e contanti regolari. Lo schema coinvolge due soggetti indipendenti: gli emittenti e gli utenti. Per emittente si intende il soggetto che gestisce il sistema di pagamento. Emette alcune unità elettroniche che rappresentano pagamenti (ad esempio, denaro in conti bancari).
Gli utenti del sistema hanno due funzioni principali. Effettuano e accettano pagamenti su Internet utilizzando unità elettroniche emesse.
I controlli elettronici sono analoghi ai normali controlli cartacei. Queste sono le istruzioni del pagatore alla sua banca per trasferire denaro dal suo conto al conto del beneficiario. L'operazione avviene su presentazione dell'assegno da parte del destinatario in banca. Ci sono due differenze principali. In primo luogo, quando si scrive un assegno cartaceo, il pagatore mette la sua vera firma e, nella versione online, una firma elettronica. In secondo luogo, gli assegni stessi sono emessi elettronicamente.
I pagamenti vengono elaborati in più fasi:
1. Il pagatore emette un assegno elettronico, lo firma con una firma elettronica e lo invia al destinatario. Per garantire una maggiore affidabilità e sicurezza, il numero di conto corrente può essere codificato con la chiave pubblica della banca.
2. L'assegno viene presentato per il pagamento al sistema di pagamento. Inoltre, (qui o presso la banca che serve il destinatario), viene verificata la firma elettronica.
3. In caso di conferma della sua autenticità, la merce è consegnata o il servizio è reso. Il denaro viene trasferito dal conto del pagatore al conto del beneficiario.
La semplicità dello schema di pagamento (Fig. 43), purtroppo, è compensata dalle difficoltà della sua attuazione dovute al fatto che gli schemi di controllo non sono ancora diffusi e non esistono centri di certificazione per l'implementazione delle firme elettroniche.
Le firme digitali elettroniche (EDS) utilizzano un sistema di crittografia a chiave pubblica. Questo crea una chiave privata per la firma e una chiave pubblica per la verifica. La chiave privata è conservata dall'utente, mentre la chiave pubblica è accessibile a tutti. Il modo più conveniente per distribuire le chiavi pubbliche è tramite le CA. Memorizza i certificati digitali contenenti la chiave pubblica e le informazioni sul proprietario. Questo libera l'utente dall'obbligo di distribuire la propria chiave pubblica. Inoltre, le CA forniscono l'autenticazione per garantire che nessuno possa generare chiavi per conto di un'altra persona.
La moneta elettronica simula completamente il denaro reale. Allo stesso tempo, l'organizzazione emittente - l'emittente - emette le loro controparti elettroniche, che vengono chiamate in modo diverso in diversi sistemi (ad esempio, coupon). Successivamente, vengono acquistati dagli utenti che li utilizzano per pagare gli acquisti, quindi il venditore li riscatta dall'emittente. Al momento dell'emissione, ogni unità monetaria è certificata da un sigillo elettronico, che viene verificato dalla struttura emittente prima del rimborso.
Una delle caratteristiche del denaro fisico è il suo anonimato, cioè non indica chi lo ha usato e quando. Alcuni sistemi, per analogia, consentono al cliente di ricevere denaro elettronico in modo tale che sia impossibile determinare il rapporto tra lui e il denaro. Questo viene fatto usando uno schema di firma cieca.
Vale anche la pena notare che quando si utilizza la moneta elettronica, non è necessaria l'autenticazione, poiché il sistema si basa sul rilascio di denaro in circolazione prima di utilizzarlo.
La Figura 44 mostra uno schema di pagamento che utilizza moneta elettronica.
Il meccanismo di pagamento è il seguente:
1. L'acquirente scambia in anticipo denaro reale con denaro elettronico. Lo stoccaggio del contante presso il cliente può essere effettuato in due modi, che è determinato dal sistema utilizzato:
Sul disco rigido del computer;
Su smart card.
Diversi sistemi offrono diversi schemi di scambio. Alcuni aprono conti speciali su cui vengono trasferiti i fondi dal conto dell'acquirente in cambio di fatture elettroniche. Alcune banche possono emettere esse stesse denaro contante elettronico. Allo stesso tempo, viene emesso solo su richiesta del cliente con il suo successivo trasferimento sul computer o sulla carta di questo cliente e il prelievo dell'equivalente in contanti dal suo conto. Quando realizza una firma cieca, l'acquirente stesso crea le fatture elettroniche, le invia alla banca, dove, quando sul conto arriva denaro reale, vengono sigillate e rispedite al cliente.
Insieme alla comodità di tale archiviazione, presenta anche degli svantaggi. Il danneggiamento di un disco o di una smart card si trasforma in una perdita irreversibile di moneta elettronica.
2. L'acquirente trasferisce moneta elettronica per l'acquisto al server del venditore.
3. La moneta è presentata all'emittente, che ne verifica l'autenticità.
4. In caso di autenticità delle fatture elettroniche, il conto del venditore viene aumentato dell'importo dell'acquisto e la merce viene spedita all'acquirente o viene fornito un servizio.
Una delle importanti caratteristiche distintive della moneta elettronica è la capacità di effettuare micropagamenti. Ciò è dovuto al fatto che la denominazione delle banconote potrebbe non corrispondere a monete reali (ad esempio 37 copechi).
Sia le banche che le organizzazioni non bancarie possono emettere contanti elettronici. Tuttavia, non è stato ancora sviluppato un sistema unificato per la conversione di diversi tipi di moneta elettronica. Pertanto, solo gli emittenti stessi possono riscattare il denaro elettronico emesso da loro. Inoltre, l'utilizzo di tali fondi da strutture non finanziarie non è garantito dallo Stato. Tuttavia, il basso costo della transazione rende l'e-cash uno strumento interessante per i pagamenti su Internet.
Sistemi di credito
I sistemi di credito su Internet sono analoghi ai tradizionali sistemi di carte di credito. La differenza sta nella conduzione di tutte le transazioni su Internet e, di conseguenza, nella necessità di ulteriori strumenti di sicurezza e autenticazione.
Nell'effettuare pagamenti via Internet utilizzando carte di credito sono coinvolti:
1. Acquirente. Un client con un computer con un browser Web e accesso a Internet.
2. Banca emittente. Il conto corrente dell'acquirente si trova qui. La banca emittente emette le carte ed è garante dell'adempimento degli obblighi finanziari del cliente.
3. Venditori. I venditori sono server di e-commerce che gestiscono cataloghi di beni e servizi e accettano ordini dei clienti per l'acquisto.
4. Banche acquirenti. Banche al servizio dei venditori. Ogni venditore ha un'unica banca in cui tiene il suo conto corrente.
5. Sistema di pagamento Internet. Componenti elettronici che fungono da intermediari tra altri partecipanti.
6. Sistema di pagamento tradizionale. Un complesso di mezzi finanziari e tecnologici per il servizio di carte di questo tipo. Tra i principali compiti risolti dal sistema di pagamento vi sono la garanzia dell'uso delle carte come mezzo di pagamento di beni e servizi, l'utilizzo di servizi bancari, l'esecuzione di regolamenti reciproci, ecc. I partecipanti al sistema di pagamento sono persone fisiche e giuridiche, accomunate da rapporti sull'utilizzo delle carte di credito.
7. Centro di elaborazione del sistema di pagamento. Un'organizzazione che fornisce informazioni e interazione tecnologica tra i partecipanti al sistema di pagamento tradizionale.
8. Banca di regolamento del sistema di pagamento. Un'organizzazione creditizia che esegue regolamenti reciproci tra i partecipanti al sistema di pagamento per conto del centro di elaborazione.
Lo schema generale dei pagamenti in un tale sistema è mostrato nella Figura 45.
1. L'acquirente nell'e-store forma un paniere di merci e sceglie il metodo di pagamento "carta di credito".
Attraverso il negozio, cioè, i parametri della carta vengono inseriti direttamente sul sito web del negozio, dopodiché vengono trasferiti al sistema di pagamento Internet (2a);
Sul server del sistema di pagamento (2b).
I vantaggi della seconda via sono evidenti.
In questo caso, le informazioni sulle carte non rimangono nel negozio e, di conseguenza, si riduce il rischio di riceverle da terzi o di inganno da parte del venditore. In entrambi i casi, al momento del trasferimento dei dati delle carte di credito, esiste ancora la possibilità di una loro intercettazione da parte di criminali informatici sulla rete. Per evitare ciò, i dati vengono crittografati in transito.
La crittografia, ovviamente, riduce la possibilità di intercettare dati in rete, pertanto è consigliabile effettuare comunicazioni tra acquirente/venditore, venditore/sistema di pagamento Internet, acquirente/sistema di pagamento Internet utilizzando protocolli sicuri. Il più comune di questi oggi è il protocollo Secure Sockets Layer (SSL), nonché lo standard Secure Electronic Transaction (SET) per transazioni elettroniche sicure, progettato per sostituire eventualmente SSL nell'elaborazione delle transazioni relative ai pagamenti per gli acquisti con carta di credito su Internet .
3. Il sistema di pagamento Internet trasmette la richiesta di autorizzazione al sistema di pagamento tradizionale.
4. Il passaggio successivo dipende dal fatto che la banca emittente mantenga un database di conti online (DB). Se esiste una banca dati, il centro di elaborazione invia alla banca emittente una richiesta di autorizzazione della carta (vedi introduzione o dizionario) (4a) e quindi (4b) riceve il suo esito. Se non esiste un tale database, il centro di elaborazione stesso memorizza le informazioni sullo stato dei conti dei titolari di carta, blocca gli elenchi ed esegue le richieste di autorizzazione. Queste informazioni vengono aggiornate regolarmente dalle banche emittenti.
Il negozio fornisce un servizio o spedisce la merce (8a);
Il centro di elaborazione invia le informazioni sulla transazione completata alla banca di regolamento (8b). Il denaro dal conto dell'acquirente presso la banca emittente viene trasferito tramite la banca di regolamento al conto del negozio presso la banca acquirente.
Per effettuare tali pagamenti, nella maggior parte dei casi, è necessario un software speciale.
Può essere spedito a un acquirente (chiamato portafoglio elettronico), a un commerciante e alla sua banca di servizio.
Precedente25262728293031323334353637383940Successivo
Nella nostra vita, Internet non è solo un mezzo di comunicazione, intrattenimento e svago, ma anche per lavoro e pagamenti elettronici. Molti di noi utilizzano servizi di internet banking e fanno acquisti online.
Nonostante la sicurezza dei sistemi bancari online e dei negozi online - vengono utilizzati metodi di protezione come doppia autenticazione, password SMS dinamiche una tantum, un elenco aggiuntivo di password o chiavi hardware utilizzabili, una connessione protetta da SSL e così via - i moderni metodi di attacco consentono di aggirare anche i meccanismi di difesa più affidabili.
Oggi i criminali informatici hanno tre approcci più comuni per attaccare i dati finanziari degli utenti di Internet:
- Infettare il computer della vittima con Trojan (keylogger, screenlogger, ecc.) che intercettano i dati di input;
- l'uso di tecniche di social engineering - attacchi di phishing via email, siti web, social network, ecc.
- attacchi tecnologici (sniffing, DNS/proxy server spoofing, certificate spoofing, ecc.).
L'utente non deve fare affidamento solo sulla banca, ma utilizzare programmi di sicurezza per migliorare la sicurezza dei pagamenti elettronici su Internet.
Le moderne soluzioni di Internet Security, oltre alle funzioni antivirus, offrono strumenti di pagamento sicuri (ambienti virtuali isolati per le operazioni online), nonché uno scanner di vulnerabilità, protezione web con controllo dei collegamenti, blocco di script e pop-up dannosi, protezione dei dati dall'intercettazione ( anti-keylogger), tastiera virtuale...
Tra le soluzioni complete con una funzione separata per la protezione dei pagamenti online, possiamo evidenziare Kaspersky Internet Security e il componente Safe Money, avast!
Sicurezza Internet con avast! SafeZone e Bitdefender Internet Security con Bitdefender Safepay. Questi prodotti ti consentono di non preoccuparti di una protezione aggiuntiva.
Se hai un antivirus diverso, puoi dare un'occhiata più da vicino agli strumenti di protezione aggiuntivi. Tra questi: Bitdefender Safepay (browser web isolato), Trusteer Rapport e HitmanPro.Alert per proteggere il browser dagli attacchi, plugin e applicazioni Netcraft Extension, McAfee SiteAdvisor, Adguard per la protezione dal phishing.
Non dimenticare un firewall e un client VPN se devi eseguire transazioni finanziarie quando ti connetti a reti Wi-Fi wireless aperte in luoghi pubblici. Ad esempio, CyberGhost VPN utilizza la crittografia del traffico AES a 256 bit, che impedisce a un utente malintenzionato di utilizzare i dati, anche se intercettati.
Quali metodi utilizzate per proteggere i pagamenti online? Condividi la tua esperienza nei commenti.
Nell'ambiente economico russo odierno, ci sono molti diversi tipi di organizzazioni. Possono essere imprese statali (FSUE, MUP), fondi pubblici e, infine, ordinarie organizzazioni commerciali. La principale differenza tra questi ultimi e tutti gli altri è che il loro obiettivo principale è massimizzare i profitti, e tutto ciò che fanno è finalizzato proprio a questo.
Un'organizzazione commerciale può guadagnare denaro in modi diversi, ma il profitto è sempre determinato allo stesso modo: è il reddito meno le spese. Allo stesso tempo, se la sicurezza non è l'attività principale dell'azienda, allora non genera reddito e, in tal caso, affinché questa attività abbia senso, deve ridurre i costi.
L'effetto economico di garantire la sicurezza aziendale è ridurre al minimo o eliminare completamente le perdite dovute alle minacce. Ma va anche tenuto presente che l'attuazione di misure di protezione costa anche denaro, e quindi il vero profitto dalla sicurezza sarà pari all'importo dei fondi risparmiati dall'attuazione di minacce alla sicurezza, ridotto del costo delle misure di protezione.
Una volta ebbe luogo una conversazione tra il proprietario di una banca commerciale e il capo del servizio di sicurezza della sua organizzazione sul tema dell'effetto economico della garanzia della sicurezza. L'essenza di questa conversazione riflette in modo più accurato il ruolo e il luogo della sicurezza nella vita dell'organizzazione:
La sicurezza non dovrebbe ostacolare gli affari.
- Ma devi pagare per la sicurezza e pagare per la sua assenza.
Un sistema di sicurezza ideale è la via di mezzo tra minacce neutralizzate, risorse spese e redditività aziendale.
Le ragioni per la creazione del NIB possono essere diverse. Evidenziamo due principali:
Dal punto di vista della subordinazione del NIB, c'è solo una restrizione enunciata nelle disposizioni di cui sopra della Banca centrale della Federazione Russa: "Il servizio di sicurezza delle informazioni e il servizio di informatizzazione (automazione) non dovrebbero avere un curatore comune ", altrimenti la libertà di scelta resta all'organizzazione. Consideriamo le opzioni tipiche.
Tabella 1.
| Subordinazione | Peculiarità |
|---|---|
| NIB come parte di IT | 1. L'organizzazione della protezione è possibile solo contro un intruso esterno. Il principale probabile attaccante interno è il dipendente IT. È impossibile combatterlo come parte dell'IT. 2. Violazione dei requisiti della Banca di Russia. 3. Dialogo diretto con l'IT, semplice implementazione dei sistemi di sicurezza delle informazioni |
| NIB come parte del servizio di sicurezza | 1. Protezione contro le azioni di intrusi sia interni che esterni. 2. Security Service è un unico punto di interazione per il top management su qualsiasi questione di sicurezza. 3. La complessità dell'interazione con l'IT, poiché la comunicazione avviene a livello dei capi dell'IT e del Consiglio di sicurezza, e quest'ultimo, di regola, ha una conoscenza minima dell'IT. |
| NIB riferisce al Presidente del Consiglio di Gestione | 1. NIB ha i massimi poteri e un proprio budget. 2. Viene creato un ulteriore punto di controllo e interazione per il Presidente del Consiglio di Gestione, che richiede una certa attenzione. 3. Potenziali conflitti in materia di sicurezza e sicurezza delle informazioni per aree di responsabilità nelle indagini sugli incidenti. 4. Un NIB separato può bilanciare "politicamente" i poteri del Consiglio di Sicurezza. |
Il problema è che la quantità di denaro risparmiata dalle minacce alla sicurezza delle informazioni neutralizzate non può essere determinata con precisione. Se la minaccia non si realizza, non ci sono danni da essa e poiché non ci sono problemi, non è necessario risolverli.
Per risolvere questo problema, il NIB può agire in due modi:
Evidenziamo gli aspetti pratici della garanzia della sicurezza, che devono essere comunicati al top management e ad altre divisioni strutturali, e presi in considerazione anche quando si costruisce un sistema di sicurezza delle informazioni:
La sicurezza delle informazioni è solo una delle aree di sicurezza (sicurezza economica, sicurezza fisica, sicurezza antincendio, ...). Oltre alle minacce alla sicurezza delle informazioni, qualsiasi organizzazione è esposta ad altre minacce altrettanto importanti, ad esempio minacce di furto, incendi, frodi da parte di clienti senza scrupoli, minacce di violazione dei requisiti obbligatori (compliance), ecc.
In definitiva, l'organizzazione non si preoccupa del tipo di minaccia di cui soffre, che si tratti di furto, incendio o pirateria informatica. L'ammontare delle perdite (danni) è importante.
Oltre all'entità del danno, un fattore importante nella valutazione delle minacce è la probabilità di implementazione, che dipende dalle caratteristiche dei processi aziendali dell'organizzazione, dalla sua infrastruttura, dai fattori dannosi esterni e dalle contromisure adottate.
La caratteristica che tiene conto del danno e della probabilità che la minaccia si realizzi si chiama rischio.
Nota. Una definizione scientifica di rischio può essere ottenuta da GOST R 51897-2011
Il rischio può essere misurato sia quantitativamente, ad esempio moltiplicando il danno per probabilità, sia qualitativamente. Una valutazione qualitativa viene effettuata quando né il danno né la probabilità sono quantificati. Il rischio in questo caso può essere espresso come un insieme di valori, ad esempio danno - "medio", probabilità - "alto".
La valutazione di tutte le minacce come rischi consente a un'organizzazione di utilizzare efficacemente le risorse disponibili per neutralizzare proprio quelle minacce che sono più significative e pericolose per essa.
La gestione del rischio è l'approccio principale alla creazione di un sistema di sicurezza integrato ed economico per un'organizzazione. Inoltre, quasi tutti i regolamenti bancari si basano sulle raccomandazioni sulla gestione del rischio del Comitato di Basilea per la vigilanza bancaria.
Evidenziamo le principali minacce inerenti all'attività di effettuare pagamenti bancari non in contanti e determinare il massimo danno possibile dalla loro attuazione.
Tavolo 2.
Qui, l'attività analizzata include un insieme di processi aziendali:
Quando si considerano le principali minacce, abbiamo valutato il loro danno, ma non abbiamo valutato la probabilità della loro attuazione. Il fatto è che se il massimo danno possibile è lo stesso per qualsiasi banca, la probabilità di attuazione delle minacce differirà da banca a banca e dipenderà dalle misure di protezione applicate.
Una delle principali misure per ridurre la probabilità di implementazione di minacce alla sicurezza delle informazioni sarà:
La principale sfumatura che deve essere presa in considerazione in materia di sicurezza delle informazioni è che questo tipo di attività è piuttosto strettamente regolato dallo stato e dalla Banca centrale. Non importa come vengono valutati i rischi, non importa quanto piccole siano le risorse della banca, la sua protezione deve soddisfare i requisiti stabiliti. In caso contrario, non sarà in grado di funzionare.
Consideriamo i requisiti per l'organizzazione della sicurezza delle informazioni imposti al processo aziendale delle relazioni di corrispondenza con la Banca di Russia.
Tabella 3.
Documenti sui requisiti |
Punizione per il mancato rispetto |
|---|---|
| Protezione delle informazioni personali. Causale - i documenti di pagamento contengono dati personali (nome completo del pagatore/destinatario, suo indirizzo, estremi del documento di identità) |
|
| Legge federale "Sui dati personali" del 27 luglio 2006 n. 152-FZ |
, - fino a 75 mila rubli. bene., - fino a 2 anni di carcere |
| Decreto del governo della Federazione Russa del 01.11.2012 n. 1119 "Approvazione dei requisiti per la protezione dei dati personali durante il loro trattamento nei sistemi di informazione dei dati personali" | |
| Ordine del FSTEC della Russia del 18/02/2013 n. 21 "Approvazione della composizione e del contenuto delle misure organizzative e tecniche per garantire la sicurezza dei dati personali durante il loro trattamento nei sistemi di informazione dei dati personali" (Registrato presso il Ministero della Giustizia della Russia 14/05/2013 N 28375) | |
| Ordine dell'FSB della Russia del 10 luglio 2014 n. 378 "Approvazione della composizione e del contenuto delle misure organizzative e tecniche per garantire la sicurezza dei dati personali durante il loro trattamento nei sistemi informativi dei dati personali utilizzando strumenti di protezione delle informazioni crittografiche necessari per soddisfare i requisiti stabiliti dal governo della Federazione Russa per la protezione dei dati personali. dati per ciascuno dei livelli di sicurezza "(Registrato presso il Ministero della Giustizia della Russia il 18 agosto 2014 N 33620) | |
| Ordinanza della Banca di Russia n. 3889-U del 10 dicembre 2015 "Sulla determinazione delle minacce alla sicurezza dei dati personali che sono rilevanti durante il trattamento dei dati personali nei sistemi di informazione dei dati personali" | |
| Garantire la protezione delle informazioni nel sistema nazionale dei pagamenti. Base: un istituto di credito che esegue trasferimenti di denaro fa parte del sistema di pagamento nazionale. |
|
| Legge federale "Sul sistema nazionale di pagamento" del 27 giugno 2011 n. 161-FZ | comma 6 dell'art. 20 della legge federale del 02.12.1990 n. 395-1 "Sulle banche e sull'attività bancaria" - revoca della licenza |
| Risoluzione del governo della Federazione Russa del 13.06.2012 n. 584 "Approvazione del regolamento sulla protezione delle informazioni nel sistema di pagamento" | |
| Regolamento della Banca di Russia del 9 giugno 2012 N 382-P "Sui requisiti per garantire la protezione delle informazioni durante i trasferimenti di denaro e sulla procedura per la Banca di Russia per monitorare il rispetto dei requisiti per garantire la protezione delle informazioni quando si effettuano trasferimenti di denaro" | |
| Regolamento della Banca di Russia n. 552-P del 24 agosto 2016 "Sui requisiti per la protezione delle informazioni nel sistema di pagamento della Banca di Russia" | |
| Documentazione operativa per SKZI SCAD Signature | |
| Garantire la sicurezza dell'infrastruttura informativa critica della Federazione Russa. La base è la banca in virtù della clausola 8 dell'art. 2 ФЗ del 26 luglio 2017 n. 187-ФЗ è oggetto di infrastruttura informativa critica |
|
| Legge federale del 26 luglio 2017 n. 187-FZ "Sulla sicurezza dell'infrastruttura di informazioni critiche della Federazione Russa" | - fino a 8 anni di carcere |
| Risoluzione del governo della Federazione Russa dell'08.02.2018 N 127 "Approvazione delle regole per la categorizzazione degli oggetti dell'infrastruttura informativa critica della Federazione Russa, nonché un elenco di indicatori dei criteri per l'importanza degli oggetti dell'infrastruttura informativa critica della Federazione Russa e dei loro valori" |
|
| Ordine del FSTEC della Russia del 21 dicembre 2017 N 235 "Approvazione dei requisiti per la creazione di sistemi di sicurezza per oggetti significativi dell'infrastruttura informativa critica della Federazione Russa e garanzia del loro funzionamento" (Registrato presso il Ministero della Giustizia della Russia il 22 febbraio 2018 N 50118) | |
| Ordine del FSTEC della Russia del 06.12.2017 N 227 "Approvazione della procedura per il mantenimento del registro degli oggetti significativi dell'infrastruttura informativa critica della Federazione Russa" (registrato presso il Ministero della Giustizia della Russia il 08.02.2018 N 49966) | |
| Decreto del Presidente della Federazione Russa del 22 dicembre 2017 N 620 "Miglioramento del sistema statale per rilevare, prevenire ed eliminare le conseguenze degli attacchi informatici alle risorse informative della Federazione Russa" | |
| Requisiti di protezione delle informazioni stabiliti dall'accordo sullo scambio di messaggi elettronici durante il trasferimento di fondi all'interno del sistema di pagamento della Banca di Russia. Base: questo accordo è concluso da tutti gli istituti di credito per lo scambio elettronico di documenti di pagamento con la Banca di Russia. |
|
| Accordo standard per lo scambio di ES con applicazioni. Documentazione per AWP KBR, UTA (i requisiti per il loro utilizzo si riflettono nella clausola 1 dell'Appendice 3 dell'Accordo) |
clausola 9.5.4 dell'accordo - risoluzione unilaterale dell'accordo su iniziativa della Banca di Russia. |
Tabella 4. 
Come possiamo vedere, i requisiti AVZ.1 e AVZ.2 parlare di come dovrebbe essere la protezione antivirus. Come esattamente configurarlo, su quali nodi di rete installare, questi requisiti non regolano (Lettera della Banca di Russia del 24.03.2014 N 49-T raccomanda alle banche di avere antivirus di vari produttori sulle proprie workstation, server e gateway).
La situazione è simile con la segmentazione della rete di computer - un requisito ZIS.17... Il documento prescrive solo la necessità di utilizzare questa pratica per la protezione, ma non dice come l'organizzazione dovrebbe farlo.
Il modo in cui vengono configurati in modo specifico gli strumenti di sicurezza delle informazioni e vengono implementati i meccanismi di sicurezza può essere appreso dalle specifiche tecniche private per un sistema di sicurezza delle informazioni, formate sulla base dei risultati della modellazione delle minacce alla sicurezza delle informazioni. Aggiungere etichette
Il sistema di protezione delle informazioni delle banche è molto diverso da strategie simili di altre aziende e organizzazioni. Ciò è dovuto principalmente alla natura specifica delle minacce, nonché alle attività pubbliche delle banche, che sono costrette a rendere l'accesso ai conti abbastanza facile per la comodità dei clienti.
Con lo sviluppo e l'espansione dell'ambito della tecnologia informatica, aumenta l'intensità del problema di garantire la sicurezza dei sistemi informatici e di proteggere le informazioni archiviate ed elaborate in essi da varie minacce. Ci sono una serie di ragioni oggettive per questo.
Il principale è l'aumento del livello di fiducia nei sistemi di elaborazione automatizzata delle informazioni. A loro è affidato il lavoro più responsabile, la cui qualità determina la vita e il benessere di molte persone. I computer controllano i processi tecnologici nelle imprese e nelle centrali nucleari, i movimenti di aerei e treni, effettuano transazioni finanziarie ed elaborano informazioni classificate.
Esistono varie opzioni per proteggere le informazioni: da una guardia giurata all'ingresso a metodi verificati matematicamente per nascondere i dati ai conoscenti. Inoltre, possiamo parlare di protezione globale e dei suoi aspetti individuali: protezione di personal computer, reti, database, ecc.
Va notato che non esistono sistemi completamente sicuri. Possiamo parlare dell'affidabilità del sistema, in primo luogo, solo con una certa probabilità e, in secondo luogo, della protezione da una certa categoria di trasgressori. Tuttavia, si possono prevedere penetrazioni nel sistema informatico. La difesa è una sorta di competizione tra difesa e attacco: vince chi ne sa di più e fornisce misure efficaci.
L'organizzazione della protezione del sistema di elaborazione automatizzata delle informazioni di una banca è un insieme unico di misure che devono tenere conto di tutte le caratteristiche del processo di elaborazione delle informazioni. Nonostante i disagi causati all'utente durante il lavoro, in molti casi, i dispositivi di protezione possono essere assolutamente necessari per il normale funzionamento del sistema. Il principale degli inconvenienti sopra menzionati include Yu.V. Gaikovich, A.S. Pershin. Sicurezza dei sistemi bancari elettronici.-M.: Europa unita, 1994.- S. 33:
È difficile immaginare una banca moderna senza un sistema informativo automatizzato. La connessione di computer tra loro e con computer più potenti, così come con computer di altre banche è anche una condizione necessaria per il buon funzionamento di una banca - ci sono troppe operazioni che devono essere eseguite in un breve periodo di tempo .
Allo stesso tempo, i sistemi informativi stanno diventando uno degli aspetti più vulnerabili di una banca moderna, attirando intrusi, sia dal personale della banca che dall'esterno. Le stime delle perdite da reati connessi all'interferenza nell'attività dei sistemi informativi delle banche variano notevolmente. Influenzato dalla varietà di metodi per calcolarli. Il furto medio in banca con fondi elettronici è di circa 9.000 dollari, e uno degli scandali di più alto profilo riguarda il tentativo di sottrarre 700 milioni di dollari (First National Bank, Chicago).
Inoltre, è necessario prendere in considerazione non solo l'entità del danno diretto, ma anche misure molto costose che vengono eseguite dopo tentativi riusciti di irruzione nei sistemi informatici. Quindi, uno degli esempi più eclatanti è la perdita di dati sul lavoro con i conti segreti della Banca d'Inghilterra nel gennaio 1999. Questa perdita ha costretto la banca a modificare i codici di tutti i conti di corrispondenza. A tal proposito, nel Regno Unito, tutte le forze di intelligence e controspionaggio disponibili sono state allertate al fine di prevenire una possibile fuga di informazioni che potrebbe causare enormi danni. Il governo ha adottato misure estreme per garantire che gli estranei non conoscessero i conti e gli indirizzi a cui la Banca d'Inghilterra invia centinaia di miliardi di dollari ogni giorno. Inoltre, nel Regno Unito avevano più paura di una situazione in cui i dati potessero essere a disposizione dei servizi di intelligence stranieri. In questo caso, sarebbe stata esposta l'intera rete di corrispondenti finanziari della Banca d'Inghilterra. Il danno è stato eliminato nel giro di poche settimane.
Adzhiev V. Miti sulla sicurezza del software: lezioni da famosi disastri // Sistemi aperti.-1999. - N. 6 .-- C..21-24
I servizi forniti dalle banche oggi si basano in gran parte sull'uso di mezzi elettronici di interazione tra banche, banche e loro clienti e partner commerciali. Attualmente, l'accesso ai servizi bancari è diventato possibile da varie postazioni remote, inclusi terminali domestici e computer dell'ufficio. Questo fatto ci costringe ad allontanarci dal concetto di “porte chiuse”, che era caratteristico delle banche negli anni '60, quando i computer venivano usati nella maggior parte dei casi in modalità batch come strumento ausiliario e non avevano alcun collegamento con il mondo esterno.
Il livello delle apparecchiature di automazione svolge un ruolo importante nelle attività della banca e, quindi, influenza direttamente la sua posizione e il suo reddito. Il rafforzamento della concorrenza tra banche porta alla necessità di ridurre i tempi per effettuare i regolamenti, aumentare la gamma e migliorare la qualità dei servizi forniti. Minore è il tempo necessario per le transazioni tra banca e clienti, maggiore sarà il fatturato della banca e, di conseguenza, il profitto. Inoltre, la banca sarà in grado di rispondere più rapidamente ai cambiamenti della situazione finanziaria. Una varietà di servizi bancari (in primo luogo, ciò si riferisce alla possibilità di pagamenti non in contanti tra la banca e i suoi clienti utilizzando carte di plastica) può aumentare significativamente il numero dei suoi clienti e, di conseguenza, aumentare i profitti.
La sicurezza delle informazioni bancarie dovrebbe tenere conto dei seguenti fattori specifici:
Anche i reati nel settore bancario hanno le loro caratteristiche Gamza V.A. , Tkachuk I.B. Sicurezza di una banca commerciale.- M ..: Europa Unita, 2000.- C..24:
Di norma, gli aggressori utilizzano solitamente i propri account, sui quali vengono trasferiti gli importi rubati. La maggior parte dei criminali non sa come "riciclare" il denaro rubato. Saper commettere un crimine e sapere come ottenere denaro non sono la stessa cosa.
La maggior parte dei crimini informatici sono meschini. Il danno da loro varia da $ 10.000 a $ 50.000.
I crimini informatici di successo richiedono solitamente un gran numero di transazioni bancarie (fino a diverse centinaia). Tuttavia, grandi importi possono essere trasferiti in poche transazioni.
La maggior parte degli aggressori sono impiegati. Sebbene anche il personale di vertice della banca possa commettere reati e causare molti più danni alla banca, tali casi sono rari.
I crimini informatici non sono sempre high-tech. È sufficiente falsificare i dati, modificare i parametri dell'ambiente ASOIB, ecc. E queste azioni sono disponibili anche per il personale di servizio.
Molti criminali informatici spiegano le loro azioni con il fatto che stanno solo prendendo in prestito da una banca con un successivo ritorno. Tuttavia, di regola, non c'è "ritorno".
La specificità della protezione dei sistemi automatizzati per il trattamento delle informazioni delle banche è dovuta alle peculiarità dei compiti che risolvono:
Di norma, ASOIB processa un grande flusso di richieste in costante arrivo in tempo reale, ciascuna delle quali non richiede numerose risorse per l'elaborazione, ma tutte insieme possono essere evase solo da un sistema ad alte prestazioni;
ASOIB archivia ed elabora informazioni riservate non destinate al pubblico in generale. La sua contraffazione o fuga può portare a gravi conseguenze (per la banca o per i suoi clienti). Pertanto, le ASOIB sono destinate a rimanere relativamente chiuse, ad operare sotto il controllo di software specifici ea prestare grande attenzione a garantirne la sicurezza;
Un'altra caratteristica di ASOIB è l'aumento dei requisiti per l'affidabilità del software e dell'hardware. Per questo motivo, molti ASOIB moderni gravitano verso la cosiddetta architettura fault-tolerant dei computer, che consente l'elaborazione continua delle informazioni anche in condizioni di vari guasti e guasti.
L'uso dell'ASOI da parte delle banche è associato alle specificità della protezione di questi sistemi, quindi le banche dovrebbero prestare maggiore attenzione alla protezione dei loro sistemi automatizzati.
Conclusioni sul primo capitolo:
Nel settore bancario esisteva inizialmente un problema legato alla riservatezza delle informazioni, alla loro conservazione e protezione. La sicurezza dei dati degli istituti bancari svolge un ruolo importante negli affari, poiché concorrenti e criminali sono sempre interessati a tali informazioni e fanno ogni sforzo per ottenerle. Per evitare questo tipo di problema, devi imparare a proteggere i tuoi dati bancari. Affinché la protezione delle informazioni bancarie sia efficace, è necessario innanzitutto prendere in considerazione tutte le possibili modalità di fuga di informazioni. Ovvero: controllare attentamente i dati delle persone nella selezione del personale, controllare i loro dati anagrafici e le precedenti occupazioni.
Tutti i dati informativi trattati da banche e istituti di credito sono a rischio. Questi sono sia dati dei clienti che dati sul lavoro diretto delle banche, sui loro database e così via. Il fatto è che tali informazioni possono essere utili sia ai concorrenti che ai soggetti coinvolti in attività criminali. Le loro azioni, rispetto ai problemi derivanti da danni virali hardware o guasti del sistema operativo, portano danni davvero colossali a organizzazioni di questo tipo.
La protezione dei server bancari e delle reti locali da intrusioni e accessi non autorizzati ai materiali aziendali è essenziale nella società altamente competitiva di oggi.
La sicurezza delle informazioni dei sistemi degli istituti bancari è importante perché garantisce il mantenimento della riservatezza dei dati sui clienti delle banche. I backup giornalieri delle organizzazioni riducono completamente il rischio di perdere completamente le informazioni critiche. Inoltre, sono stati sviluppati metodi per proteggere i dati dalle minacce legate all'accesso non autorizzato. La perdita di questo tipo di informazioni può verificarsi a causa del lavoro di entrambi i servizi di spionaggio, inviati appositamente all'organizzazione, e dei dipendenti che lavorano da molto tempo e hanno deciso di fare soldi rubando il patrimonio informativo della banca. La sicurezza è assicurata grazie al lavoro di professionisti e specialisti che conoscono il loro mestiere.
La protezione del cliente è uno degli indicatori più importanti che influenzano la reputazione della banca nel suo insieme, compreso il reddito dell'organizzazione. Poiché solo le buone recensioni aiuteranno la banca a raggiungere un alto livello di servizio e a superare i suoi concorrenti.
Uno dei modi più comuni per rubare informazioni bancarie è utilizzare un backup, estrarre dati su un vettore o simulare l'hacking, ma non con l'obiettivo di rubare risorse materiali, ma per accedere alle informazioni sul server. Poiché i backup vengono solitamente archiviati in posizioni separate su unità a nastro, i backup possono essere eseguiti durante il trasporto a destinazione. Ecco perché i dipendenti che vengono assunti per tale lavoro vengono attentamente controllati attraverso vari organi statali per condanne, problemi con la legge in passato, inclusa l'affidabilità delle informazioni fornite su se stessi. Pertanto, non sottovalutare questa possibilità di furto di informazioni bancarie, perché la pratica mondiale è piena di casi del genere.
Ad esempio, nel 2005 è stato messo in vendita il database delle transazioni della Banca centrale della Federazione Russa. È possibile che queste informazioni siano trapelate all'esterno dell'organizzazione bancaria proprio a causa dell'insufficiente sicurezza dei sistemi bancari. Una situazione simile si è verificata più di una volta in aziende di fama mondiale negli Stati Uniti d'America, la cui sicurezza delle informazioni ne ha risentito molto.
Intervista al responsabile del servizio di sicurezza della banca:
Inoltre, un altro modo, a seguito del quale possono verificarsi perdite di informazioni dai sistemi, è che i dipendenti delle banche siano desiderosi di fare soldi su questo. Nonostante il fatto che nella maggior parte dei casi l'accesso non autorizzato alle informazioni nei sistemi bancari sia effettuato solo per avere l'opportunità di lavorare da casa, sono la ragione della diffusione di informazioni riservate. Inoltre, questa è una violazione diretta della politica di sicurezza dei sistemi delle organizzazioni bancarie.
Va inoltre notato che qualsiasi banca impiega persone che hanno privilegi significativi per accedere a tali dati. Questi sono solitamente amministratori di sistema. Da un lato, questa è una necessità produttiva, che consente di svolgere compiti ufficiali, e dall'altro, possono utilizzarlo per i propri scopi e allo stesso tempo sapere come "occultare le proprie tracce" professionalmente.
La protezione delle informazioni bancarie dall'accesso non autorizzato di solito include almeno 3 componenti. Ciascuno di questi componenti contribuisce a garantire la sicurezza delle banche nell'area in cui viene utilizzato. Ciò include la protezione dall'accesso fisico, i backup e la protezione dagli addetti ai lavori.
Poiché le banche prestano particolare attenzione all'accesso fisico e cercano di eliminare completamente la possibilità di accesso non autorizzato, devono utilizzare mezzi e metodi speciali per crittografare e crittografare informazioni importanti. Poiché le banche dispongono di sistemi e mezzi simili per proteggere i dati, è meglio utilizzare protezioni crittografiche. Aiutano a preservare le informazioni commerciali, oltre a ridurre i rischi di tali situazioni. È meglio archiviare le informazioni crittografate utilizzando il principio della crittografia trasparente, che aiuta a ridurre i costi di protezione delle informazioni e ti libera anche dalla necessità di decrittografare e crittografare costantemente i dati.
Considerando che tutti i dati dei sistemi bancari sono in realtà denaro dei clienti, occorre prestare la dovuta attenzione alla loro sicurezza. Un modo è determinare se ci sono settori danneggiati sul disco rigido. La funzione di annullamento o sospensione del processo svolge un ruolo importante nella crittografia iniziale, crittografia, decrittografia e ricrittografia del disco. Questa procedura richiede molto tempo e quindi qualsiasi errore può portare a una completa perdita di informazioni. Il modo più sicuro per archiviare la crittografia e le chiavi di sistema è con smart card o chiavi USB.
La protezione dei sistemi informativi viene eseguita in modo più efficace grazie all'uso non solo di streamer, ma anche di dischi rigidi rimovibili, supporti DVD e altre cose. L'uso completo di mezzi di protezione contro la penetrazione fisica delle fonti di informazione aumenta le possibilità della sua sicurezza e inviolabilità da concorrenti e malfattori.
In questo video imparerai i passaggi da eseguire:
Fondamentalmente, il furto di informazioni avviene utilizzando supporti mobili, vari tipi di dispositivi USB, unità disco, schede di memoria e altri dispositivi mobili. Pertanto, una delle soluzioni corrette è vietare l'uso di tali dispositivi sul posto di lavoro. Tutto ciò che serve è contenuto sui server ed è attentamente monitorato dove e da dove le informazioni vengono trasferite nell'ambiente bancario. Inoltre, in casi estremi, possono essere utilizzati solo i supporti acquistati dall'azienda. È possibile impostare restrizioni speciali per impedire al computer di riconoscere supporti e schede di memoria estranei.
La protezione delle informazioni è uno dei compiti più importanti delle organizzazioni bancarie, necessario per un funzionamento efficace. Il mercato moderno ha grandi opportunità per l'attuazione di questi piani. Il blocco di computer e porte è un prerequisito fondamentale per proteggere i tuoi sistemi in modo più efficace.
Non va dimenticato che le persone coinvolte nel furto di dati conoscono anche l'insieme dei sistemi che proteggono le informazioni commerciali e possono essere aggirate con l'aiuto di specialisti. Per prevenire il verificarsi di tali rischi, è necessario lavorare costantemente per migliorare la sicurezza e cercare di utilizzare sistemi di protezione avanzati.
Studenti, dottorandi, giovani scienziati che utilizzano la base di conoscenza nei loro studi e nel loro lavoro ti saranno molto grati.
postato su http://www.allbest.ru/
Istituto di bilancio per l'istruzione statale federale
formazione professionale superiore
Università finanziaria sotto il governo della Federazione Russa
(Università finanziaria)
Dipartimento" Informatica e programmazione"
astratto
he l'argomento: Sicurezza delle informazioni nel settore bancario
Eseguita:
Faizulina
Victoria Igorevna
introduzione
Conclusione
Allegato 1
Appendice 2
Appendice 3
introduzione
Fin dalla loro istituzione, le banche hanno invariabilmente suscitato interesse criminale. E questo interesse era associato non solo allo stoccaggio di fondi negli istituti di credito, ma anche al fatto che nelle banche erano concentrate informazioni importanti e spesso segrete sulle attività finanziarie ed economiche di molte persone, aziende, organizzazioni e persino interi stati. Attualmente, a causa della diffusa diffusione dei pagamenti elettronici, le carte di plastica, le reti informatiche, i fondi sia delle banche che dei loro clienti sono diventati oggetto di attacchi informatici. Chiunque può tentare di rubare: è sufficiente un computer connesso a Internet. Inoltre, questo non richiede di entrare fisicamente in banca, puoi "lavorare" e migliaia di chilometri da essa. È questo problema che è ora il più urgente e il meno studiato. Se nel garantire la sicurezza delle informazioni fisiche e classiche sono stati a lungo sviluppati approcci consolidati (sebbene lo sviluppo stia avvenendo anche qui), quindi in connessione con frequenti cambiamenti radicali nelle tecnologie informatiche, i metodi di sicurezza dei sistemi automatizzati di elaborazione delle informazioni della banca ( ASOIB) richiedono un aggiornamento costante. Come dimostra la pratica, non esistono sistemi informatici complessi che non contengano errori. E poiché l'ideologia della costruzione di grandi ASOIB cambia regolarmente, la correzione degli errori e dei "buchi" trovati nei sistemi di sicurezza non è sufficiente a lungo, poiché il nuovo sistema informatico porta nuovi problemi e nuovi errori, rende necessario ricostruire la sicurezza sistema in un modo nuovo.
A mio parere, tutti sono interessati alla riservatezza dei propri dati personali forniti alle banche. Sulla base di questo, scrivere questo saggio e studiare questo problema, secondo me, non è solo interessante, ma anche estremamente utile.
1. Caratteristiche della sicurezza delle informazioni delle banche
Le informazioni bancarie sono sempre state oggetto di stretto interesse da parte di tutti i tipi di intrusi. Qualsiasi crimine bancario inizia con la fuga di informazioni. I sistemi bancari automatizzati sono canali per tali perdite. Fin dall'inizio dell'introduzione dei sistemi bancari automatizzati (ABS), sono diventati oggetto di violazioni criminali.
Ad esempio, è noto che nell'agosto 1995, il matematico russo 24enne Vladimir Levin fu arrestato in Gran Bretagna, il quale, utilizzando il suo computer di casa a San Pietroburgo, riuscì a penetrare nel sistema bancario di una delle più grandi banche americane , Citibank, e ha cercato di prelevare ingenti somme dai suoi conti. Secondo l'ufficio moscovita della Citibank, fino ad allora nessuno ci è riuscito. Il servizio di sicurezza di Citibank ha scoperto di aver tentato di sottrarre 2,8 milioni di dollari alla banca, ma i sistemi di controllo lo hanno scoperto in tempo e hanno bloccato i conti. Sono riusciti a rubare solo $ 400 mila Materiali dell'agenzia "Interfax". 1995-2009 ...
Negli Stati Uniti, l'importo delle perdite annuali degli istituti bancari dall'uso illegale di informazioni informatiche è, secondo gli esperti, da 0,3 a 5 miliardi di dollari. L'informazione è un aspetto del problema generale della sicurezza bancaria.
A questo proposito, la strategia di sicurezza delle informazioni delle banche è molto diversa da strategie simili di altre aziende e organizzazioni. Ciò è dovuto principalmente alla natura specifica delle minacce, nonché alle attività pubbliche delle banche, che sono costrette a rendere l'accesso ai conti abbastanza facile per la comodità dei clienti.
Un'azienda ordinaria costruisce la propria sicurezza delle informazioni basandosi solo su una gamma ristretta di potenziali minacce, principalmente proteggendo le informazioni dai concorrenti (nelle realtà russe, il compito principale è proteggere le informazioni dalle autorità fiscali e dalla comunità criminale al fine di ridurre la probabilità di un incontrollato aumento del pagamento delle tasse e racket). Tali informazioni interessano solo una ristretta cerchia di persone e organizzazioni interessate e raramente sono liquide, ad es. convertibile in moneta.
La sicurezza delle informazioni bancarie dovrebbe tenere conto dei seguenti fattori specifici:
1. Le informazioni archiviate ed elaborate nei sistemi bancari sono denaro reale. Sulla base delle informazioni del computer, è possibile effettuare pagamenti, aprire prestiti, trasferire importi significativi. È abbastanza comprensibile che la manipolazione illegale di tali informazioni possa portare a gravi perdite. Questa caratteristica amplia notevolmente la cerchia dei criminali che invadono le banche (a differenza, ad esempio, delle società industriali, le cui informazioni interne interessano poco a nessuno).
2. Le informazioni nei sistemi bancari influiscono sugli interessi di un gran numero di persone e organizzazioni - clienti della banca. È generalmente riservato e la banca è responsabile del mantenimento del grado di segretezza richiesto ai propri clienti. Naturalmente i clienti hanno il diritto di pretendere che la banca si occupi dei loro interessi, altrimenti rischia la propria reputazione con tutte le conseguenze che ne conseguono.
3. La competitività della banca dipende da quanto sia conveniente per il cliente lavorare con la banca, nonché dall'ampiezza della gamma di servizi forniti, compresi i servizi relativi all'accesso remoto. Pertanto, il cliente dovrebbe essere in grado di gestire i suoi soldi in modo rapido e senza procedure noiose. Ma questa facilità di accesso al denaro aumenta la probabilità di infiltrazioni criminali nei sistemi bancari.
4. La sicurezza delle informazioni di una banca (a differenza della maggior parte delle aziende) deve garantire un'elevata affidabilità dei sistemi informatici anche in caso di situazioni di emergenza, poiché la banca è responsabile non solo dei propri fondi, ma anche dei soldi dei clienti.
5. La banca conserva informazioni importanti sui propri clienti, ampliando la cerchia dei potenziali intrusi interessati a rubare o danneggiare tali informazioni.
Sfortunatamente, ai nostri giorni, a causa dell'elevato sviluppo delle tecnologie, anche misure organizzative estremamente rigorose per semplificare il lavoro con informazioni riservate non proteggeranno dalla loro fuga attraverso canali fisici. Pertanto, un approccio sistematico alla protezione delle informazioni richiede che i mezzi e le azioni utilizzati dalla banca per garantire la sicurezza delle informazioni (organizzative, fisiche e software e hardware) debbano essere considerati come un unico insieme di misure interconnesse, complementari e interagenti. Un tale complesso dovrebbe mirare non solo a proteggere le informazioni dall'accesso non autorizzato, ma anche a prevenire la distruzione accidentale, l'alterazione o la divulgazione delle informazioni.Automazione delle operazioni bancarie: un tutorial. Parte 2 Preobrazenskij N.B. Editore: ATiSO, 2008.
2. Il fattore umano per garantire la sicurezza delle informazioni
I reati, anche in ambito informatico, sono commessi da persone. La maggior parte dei sistemi non può funzionare normalmente senza l'intervento umano. L'utente del sistema, da un lato, ne è l'elemento necessario, e dall'altro è la causa e il motore della violazione o del reato. I problemi di sicurezza dei sistemi (compresi quelli informatici), quindi, sono per la maggior parte problemi delle relazioni umane e del comportamento umano. Ciò è particolarmente vero nel campo della sicurezza delle informazioni, poiché la perdita di informazioni nella stragrande maggioranza dei casi avviene per colpa dei dipendenti della banca V.A.Krysin. Sicurezza aziendale. - M: Finanza e Statistica, 2008.
Quando si analizzano le violazioni della sicurezza, si dovrebbe prestare grande attenzione non solo al fatto stesso (cioè l'oggetto della violazione), ma anche all'identità del trasgressore, cioè l'oggetto della violazione. Tale attenzione aiuterà a comprenderne le motivazioni e, forse, consentirà di evitare il ripetersi di tali situazioni in futuro.
Il valore di tale analisi è dovuto anche al fatto che i delitti commessi senza motivo (se non si parla di negligenza) sono molto, molto rari.
Dopo aver indagato sulla causa di reati o violazioni, è possibile influenzare la causa stessa (se possibile), oppure orientare il sistema di difesa proprio su questi tipi di crimini o violazioni.
Prima di tutto, chiunque sia la fonte della violazione, qualunque essa sia, tutti i trasgressori hanno una cosa in comune: l'accesso al sistema. L'accesso può essere diverso, con diritti diversi, a parti diverse del sistema, attraverso la rete, ma deve esserlo.
2.1 Minacce alla sicurezza delle informazioni della banca da parte del personale
Secondo Datapro Information Services Group, l'81,7% delle violazioni è commesso dai dipendenti dell'organizzazione che hanno accesso al suo sistema e solo il 17,3% delle violazioni è commesso da estranei (l'1% è accidentale). Secondo altri dati, la distruzione fisica rappresenta circa il 25% delle violazioni (incendio, alluvione, danni) e solo l'1-2% sono violazioni da parte di persone non autorizzate. La quota dei dipendenti, quindi, resta il 73-74% di tutti i reati. Diversi nei numeri, i risultati di entrambi gli studi indicano una cosa: la principale fonte di violazioni è all'interno della stessa ASOIB. E anche la conclusione che ne deriva è inequivocabile: non importa se ASOIB ha collegamenti con il mondo esterno e se esiste una protezione esterna, ma la protezione interna deve essere obbligatoria.
Ci sono quattro ragioni principali per le violazioni: irresponsabilità, autoaffermazione, vendetta e interesse egoistico degli utenti (personale) di ASOIB.
In caso di violazioni causate da irresponsabilità, l'utente compie intenzionalmente o accidentalmente azioni distruttive che non sono, tuttavia, collegate a dolo. Nella maggior parte dei casi, ciò è dovuto a incompetenza o negligenza. È improbabile che i progettisti della sicurezza possano anticipare tutte queste situazioni. Inoltre, in molti casi, il sistema non è sostanzialmente in grado di prevenire tali violazioni (ad esempio, la distruzione accidentale del proprio set di dati). A volte gli errori nel mantenere un ambiente sicuro adeguato possono incoraggiare questo tipo di violazione. Anche il miglior sistema di difesa sarà compromesso se mal configurato. Tale circostanza, unitamente all'impreparazione degli utenti all'esatta osservanza delle misure di protezione, può rendere il sistema vulnerabile a questo tipo di violazione.
Alcuni utenti considerano l'accesso ai set di dati di sistema un grande successo, giocando a una sorta di gioco utente contro sistema per autoaffermazione, ai propri occhi o agli occhi dei colleghi. Sebbene l'intento possa essere innocuo, lo sfruttamento delle risorse ASOIB è considerato una violazione della politica di sicurezza. Gli utenti con intenzioni più serie possono trovare dati riservati, provare a rovinarli o distruggerli mentre lo fanno. Questo tipo di violazione è chiamato sondaggio del sistema. La maggior parte dei sistemi dispone di una serie di mezzi per contrastare tali "scherzi". Se necessario, l'amministratore della protezione li utilizza temporaneamente o permanentemente.
La violazione della sicurezza ASOIB può anche essere causata dall'interesse egoistico dell'utente del sistema. In questo caso, cercherà di proposito di superare il sistema di sicurezza per accedere alle informazioni archiviate, trasmesse ed elaborate in ASOIB. Anche se ASOIB dispone dei mezzi che rendono estremamente difficile tale penetrazione, è quasi impossibile proteggerlo completamente dalla penetrazione. Chiunque sia riuscito a penetrare è molto abile e pericoloso. La penetrazione è il tipo di violazione più pericoloso, tuttavia è estremamente raro, poiché richiede abilità e perseveranza straordinarie.
Come dimostra la pratica, il danno di ciascun tipo di violazione è inversamente proporzionale alla sua frequenza: il più delle volte ci sono violazioni causate da negligenza e irresponsabilità, di solito il danno da esse è insignificante e facilmente compensabile. Ad esempio, un set di dati distrutto accidentalmente può essere recuperato se si nota immediatamente un errore. Se le informazioni sono importanti, è necessario mantenere un backup regolarmente aggiornato, quindi il danno è generalmente quasi invisibile.
Pertanto, al fine di organizzare una protezione affidabile, è necessario comprendere chiaramente quali violazioni sono più importanti da eliminare. Per proteggersi dalle violazioni causate da negligenza, è necessaria una protezione minima, per la protezione dal rilevamento del sistema - il più duro e severo, insieme a un monitoraggio costante - da intrusioni. Lo scopo di tali azioni dovrebbe essere una cosa: garantire l'operatività dell'ASOIB in generale e il suo sistema di protezione in particolare.
I modi per prevenire le violazioni derivano dalla natura degli incentivi: formazione appropriata degli utenti, mantenimento di un ambiente di lavoro sano nel team, reclutamento di personale, rilevamento tempestivo di potenziali intrusi e azioni appropriate. Il primo è compito dell'amministrazione del sistema, il secondo è dello psicologo e dell'intera squadra nel suo insieme. Solo nel caso di una combinazione di queste misure è possibile non correggere le violazioni e non indagare sui reati, ma prevenirne la causa stessa.
Quando si crea un modello di intruso e si valuta il rischio di perdite da azioni del personale, è necessario differenziare tutti i dipendenti in base alla loro capacità di accedere al sistema e, quindi, in base al danno potenziale di ciascuna categoria di utenti. Ad esempio, un operatore o programmatore di un sistema bancario automatizzato può infliggere danni incomparabilmente maggiori di un normale utente, tanto più un laico.
2.2 Politica delle risorse umane dal punto di vista della sicurezza delle informazioni
La prassi recente mostra che diversi tipi di reati e illeciti, diversi per portata, conseguenze e significato, sono in un modo o nell'altro collegati a specifiche azioni dei dipendenti delle strutture commerciali. Al riguardo, appare opportuno e necessario, al fine di aumentare la sicurezza economica di tali strutture, porre maggiore attenzione alla selezione e allo studio del personale, alla verifica di eventuali informazioni che ne indichino comportamenti discutibili e collegamenti compromettenti. I contratti devono delineare chiaramente le responsabilità funzionali personali di tutte le categorie di dipendenti delle imprese commerciali e, sulla base della legislazione russa esistente negli ordini e negli ordini interni, determinare la loro responsabilità per qualsiasi tipo di violazione relativa alla divulgazione o alla fuga di informazioni che costituiscono un segreto commerciale.
Inoltre, a questo proposito, è opportuno rilevare che le principali banche commerciali moscovite stanno introducendo sempre più il timbro “riservato” nei propri documenti ufficiali e distribuendo vari tipi di incrementi salariali per le rispettive categorie del proprio personale.
Se valutiamo obiettivamente le attuali procedure di selezione del personale, emerge che in molte banche, purtroppo, l'accento è posto principalmente sulla conoscenza del solo livello di formazione professionale dei candidati al lavoro, che è spesso determinato da criteri formali tradizionali: istruzione; scarico; esperienza lavorativa nella specialità. In tali banche, con un numero di dipendenti molto limitato, un accorpamento sempre più frequente di diverse aree di lavoro da parte di esecutori ordinari e flussi di informazioni e team di gestione in rapida crescita, ogni dipendente diventa sempre più portatore di informazioni riservate che possono essere di interesse sia per i concorrenti che per le comunità criminali.
Ottenere, nell'ambito dell'attuale legislazione russa, la massima quantità di informazioni sui candidati al lavoro, la verifica approfondita dei documenti presentati, sia attraverso le capacità ufficiali che operative, compresi i servizi di sicurezza di una banca o un'agenzia di investigatori privati, la coerenza l'analisi delle informazioni raccolte per i candidati rilevanti;
Effettuare una serie di attività di verifica nei confronti dei candidati al lavoro, dei loro parenti, ex colleghi, stretti collaboratori nei casi in cui si consideri la questione della loro ammissione a posizioni dirigenziali o ammissione a informazioni costituenti segreto commerciale;
L'uso di metodi moderni, in particolare interviste e test, per creare un ritratto psicologico dei candidati al lavoro, che consentirebbe di giudicare con sicurezza i tratti principali del personaggio e prevedere le loro probabili azioni in varie situazioni estreme; pagamento del personale
Valutazione con metodi psicologici moderni di fattori diversi e diversi che possono impedire l'ammissione dei candidati al lavoro o il loro utilizzo in posizioni specifiche;
Determinazione di un determinato periodo di prova per i candidati a lavorare in strutture commerciali al fine di verificare e identificare ulteriormente le qualità aziendali e personali, altri fattori che potrebbero ostacolare la loro ammissione alla posizione;
Introduzione alla pratica di ispezioni complete regolari e inaspettate del personale, anche attraverso le capacità dei servizi di sicurezza;
La selezione di un curatore del personale opera tra i primi responsabili delle strutture commerciali per monitorare le attività dei dipartimenti del personale e dei servizi di sicurezza quando si lavora con il personale.
Si può concludere che gli imprenditori russi stanno cambiando sempre più il loro atteggiamento nei confronti del "fattore umano" e stanno adottando metodi moderni di lavoro con il personale nei loro dipartimenti del personale e nei servizi di sicurezza. Ovviamente, un ulteriore sviluppo in quest'area è associato all'uso attivo del significativo potenziale dei metodi di psicoanalisi, psicologia ed etica della gestione, gestione dei conflitti e una serie di altre scienze e un'integrazione più completa degli specialisti pertinenti nelle imprese commerciali.
3. Sicurezza dei sistemi di elaborazione automatizzata delle informazioni nelle banche (ASOIB)
Non sarà un'esagerazione dire che il problema delle deliberate interruzioni del funzionamento dell'ASOIB per vari scopi è attualmente uno dei più urgenti. Questa affermazione è più vera per i paesi con un'infrastruttura informativa altamente sviluppata, come dimostrano in modo convincente le cifre sottostanti Gaikovich Yu.V., Pershin A.S. Sicurezza dei sistemi bancari elettronici. - M: Europa Unita, 2008.
È noto che nel 1992 i danni da reati informatici ammontavano a 555 milioni di dollari, 930 anni di tempo di lavoro e 15,3 anni di tempo di computer. Secondo altri dati, il danno alle organizzazioni finanziarie varia da $ 173 milioni a $ 41 miliardi all'anno.Demin V.S. e altri sistemi bancari automatizzati. - M: Menatep-Inform, 2009. ...
Da questo esempio si può concludere che i sistemi di elaborazione e protezione delle informazioni riflettono l'approccio tradizionale alla rete informatica come mezzo di trasmissione dati potenzialmente inaffidabile. Esistono diversi modi principali per garantire la sicurezza dell'ambiente software e hardware, implementati con vari metodi:
1.1. Creazione di profili utente. Su ciascuno dei nodi viene creato un database degli utenti, delle loro password e dei profili di accesso alle risorse locali del sistema informatico.
1.2. Creazione di profili di processo. L'attività di autenticazione viene eseguita da un server indipendente (di terze parti), che contiene password sia per gli utenti che per i server di destinazione (nel caso di un gruppo di server, il database delle password contiene anche un solo server di autenticazione (master); il resto è solo copie periodicamente aggiornate) ... Pertanto, l'uso dei servizi di rete richiede due password (sebbene l'utente debba conoscerne solo una - la seconda gli viene fornita dal server in modo "trasparente"). Ovviamente, il server diventa il collo di bottiglia dell'intero sistema e l'hacking può compromettere la sicurezza dell'intera rete di computer.
2. Incapsulamento delle informazioni trasmesse in speciali protocolli di scambio. L'uso di tali metodi nelle comunicazioni si basa su algoritmi di crittografia a chiave pubblica. Nella fase di inizializzazione, viene creata una coppia di chiavi, pubblica e privata, disponibile solo per la persona che pubblica la chiave pubblica. L'essenza degli algoritmi di crittografia a chiave pubblica è che le operazioni di crittografia e decrittografia vengono eseguite con chiavi diverse (pubblica e privata, rispettivamente).
3. Limitazione dei flussi informativi. Si tratta di tecniche note per suddividere una rete locale in relative sottoreti e controllare e limitare il trasferimento di informazioni tra queste sottoreti.
3.1. Firewall Il metodo prevede la creazione di appositi server intermedi tra la rete locale della banca e le altre reti, che ispezionano, analizzano e filtrano tutto il flusso di dati che li attraversa (network/transport layer traffic). Ciò può ridurre drasticamente la minaccia di accesso non autorizzato dall'esterno alle reti aziendali, ma non elimina affatto questo pericolo. Una versione più sicura del metodo è il masquerading, in cui tutto il traffico proveniente dalla rete locale viene inviato per conto del server firewall, rendendo praticamente invisibile la rete locale chiusa.
3.2. Proxy-server. Con questo metodo, vengono imposte rigide restrizioni alle regole per la trasmissione di informazioni nella rete: tutto il traffico di livello di rete / trasporto tra le reti locale e globale è completamente proibito - semplicemente non c'è instradamento in quanto tale e le chiamate dalla rete locale al quello globale avviene attraverso speciali server intermediari. Ovviamente con questo metodo le chiamate dalla rete globale a quella locale diventano in linea di principio impossibili. È anche ovvio che questo metodo non fornisce una protezione sufficiente contro gli attacchi a livelli superiori, ad esempio a livello di un'applicazione software.
4. La creazione di reti private virtuali (VPN) consente di garantire efficacemente la riservatezza delle informazioni, la loro protezione da intercettazioni o interferenze durante la trasmissione dei dati. Consentono di stabilire comunicazioni riservate e sicure sulla rete aperta, che di solito è Internet, e di estendere i confini delle reti aziendali a uffici remoti, utenti mobili, utenti domestici e partner commerciali. La tecnologia di crittografia elimina la possibilità di intercettare o leggere da parte di persone diverse dai destinatari autorizzati dei messaggi trasmessi su una VPN applicando algoritmi matematici avanzati per crittografare i messaggi e i loro allegati. I concentratori Cisco VPN serie 3000 sono ampiamente riconosciuti come la migliore soluzione VPN di accesso remoto della categoria. Concentratori Cisco VPN 3000 con le funzionalità più avanzate con elevata affidabilità e un'architettura unica e mirata. Consente alle aziende di creare infrastrutture VPN ad alte prestazioni, scalabili e potenti per supportare applicazioni di accesso remoto mission-critical. I router Cisco, ottimizzati per le VPN, come i router Cisco 800, 1700, 2600, 3600, 7100 e 7200, sono strumenti ideali per creare VPN da un sito all'altro.
5. I sistemi di rilevamento delle intrusioni e gli scanner di vulnerabilità creano un ulteriore livello di sicurezza della rete. Sebbene i firewall consentano o ritardino il traffico in base all'origine, alla destinazione, alla porta o ad altri criteri, in realtà non analizzano il traffico alla ricerca di attacchi e non cercano vulnerabilità nel sistema. Inoltre, i firewall di solito non affrontano le minacce interne provenienti da "insider". Cisco Intrusion Detection System (IDS) può proteggere in tempo reale la rete perimetrale, le reti dei partner aziendali e le reti interne sempre più vulnerabili. Il sistema utilizza agenti, che sono dispositivi di rete ad alte prestazioni, per analizzare i singoli pacchetti al fine di rilevare attività sospette. Se sono presenti attività non autorizzate o attacchi di rete nel flusso di dati sulla rete, gli agenti possono rilevare la violazione in tempo reale, inviare allarmi all'amministratore e bloccare l'accesso dell'intruso alla rete. Oltre agli strumenti di rilevamento delle intrusioni di rete, Cisco offre anche sistemi di rilevamento delle intrusioni basati su server che proteggono efficacemente server specifici sulla rete di un utente, principalmente server Web ed e-commerce. Cisco Secure Scanner è uno scanner software di livello industriale che consente a un amministratore di identificare e correggere le vulnerabilità della sicurezza della rete prima che gli hacker le trovino.
Man mano che le reti crescono e diventano più complesse, diventa fondamentale richiedere controlli centralizzati delle policy di sicurezza per gestire gli elementi di sicurezza. Strumenti intelligenti in grado di identificare, gestire e controllare le policy di sicurezza migliorano l'usabilità e l'efficacia delle soluzioni di sicurezza di rete. Le soluzioni Cisco in quest'area adottano un approccio strategico alla gestione della sicurezza. Cisco Secure Policy Manager (CSPM) supporta gli elementi di sicurezza Cisco delle reti aziendali fornendo un'implementazione completa e coerente delle policy di sicurezza. Con CSPM, i clienti possono definire, applicare e convalidare le policy di sicurezza su centinaia di Cisco Secure PIX e Cisco IOS Firewall Feature Set firewall e agenti IDS. CSPM supporta anche lo standard IPsec per la creazione di VPN. Inoltre CSPM fa parte del diffuso sistema di gestione aziendale CiscoWorks2000/VMS.
Riassumendo i metodi di cui sopra, possiamo dire che lo sviluppo dei sistemi informativi richiede lo sviluppo parallelo di tecnologie per la trasmissione e la protezione delle informazioni. Queste tecnologie dovrebbero garantire la protezione delle informazioni trasmesse, rendendo la rete "affidabile", sebbene l'affidabilità allo stato attuale sia intesa come affidabilità non a livello fisico, ma piuttosto a livello logico (informativo).
Ci sono anche una serie di attività aggiuntive che implementano i seguenti principi:
1. Monitoraggio dei processi. Il metodo di monitoraggio dei processi consiste nel creare un'estensione speciale del sistema che effettui costantemente determinati tipi di controlli. È ovvio che un certo sistema diventa vulnerabile all'esterno solo quando fornisce un'opportunità di accesso esterno alle sue risorse informative. Quando si creano mezzi di tale accesso (processi server), di norma, esiste una quantità sufficiente di informazioni a priori relative al comportamento dei processi client. Sfortunatamente, nella maggior parte dei casi, queste informazioni vengono semplicemente ignorate. Dopo che il processo esterno è stato autenticato nel sistema, si considera autorizzato per tutto il suo ciclo di vita ad accedere a una certa quantità di risorse informative senza ulteriori controlli.
Sebbene non sia possibile indicare tutte le regole per il comportamento di un processo esterno nella maggior parte dei casi, è abbastanza realistico definirle attraverso la negazione, o, in altre parole, indicare ciò che il processo esterno non può fare in nessuna condizione. Sulla base di questi controlli è possibile monitorare eventi pericolosi o sospetti. Ad esempio, la figura seguente mostra gli elementi di monitoraggio e gli eventi rilevati: attacco DOS; errore di digitazione password da parte dell'utente; sovraccarico nel canale di comunicazione.
2. Duplicazione delle tecnologie di trasmissione. Esiste il rischio di hackerare e compromettere qualsiasi tecnologia di trasmissione delle informazioni, sia a causa delle sue carenze interne che a causa di influenze esterne. La protezione contro una tale situazione risiede nell'applicazione parallela di diverse tecnologie di trasmissione. Ovviamente, la duplicazione porterà a un drammatico aumento del traffico di rete. Tuttavia, questo metodo può essere efficace quando il costo dei rischi derivanti da potenziali perdite è superiore al sovraccarico della duplicazione.
3. Decentramento. In molti casi, l'uso di tecnologie di scambio di informazioni standardizzate è causato non dal desiderio di standardizzazione, ma dall'insufficiente potenza di calcolo dei sistemi che supportano le procedure di comunicazione. Anche la pratica diffusa dei "mirror" su Internet può essere considerata un approccio decentralizzato. Fare più copie identiche di risorse può essere utile nei sistemi in tempo reale, anche un guasto a breve termine può avere gravi conseguenze Bank Automation: A Tutorial. Parte 2 Preobrazenskij N.B. Editore: ATiSO, 2008, p. 82.
4. Sicurezza dei pagamenti elettronici
La necessità di avere sempre a portata di mano le informazioni necessarie fa riflettere molti manager sul problema di ottimizzare il proprio business utilizzando i sistemi informatici. Ma se il trasferimento della contabilità dalla carta al formato elettronico è stato effettuato molto tempo fa, i regolamenti reciproci con la banca sono ancora insufficientemente automatizzati: una massiccia transizione al flusso di documenti elettronici è appena arrivata.
Oggi molte banche dispongono di una sorta di canali per le transazioni di pagamento a distanza. Puoi inviare un "ordine di pagamento" direttamente dall'ufficio utilizzando una connessione modem o una linea di comunicazione dedicata. È diventato una realtà eseguire operazioni bancarie via Internet: per questo è sufficiente disporre di un computer con accesso alla rete globale e di una chiave di firma elettronica digitale (EDS), registrata presso la banca.
I servizi di remote banking consentono di aumentare l'efficienza di un'impresa privata con il minimo sforzo da parte dei suoi titolari. Questo garantisce: risparmio di tempo (non è necessario recarsi di persona in banca, il pagamento può essere effettuato in qualsiasi momento); comodità di lavoro (tutte le operazioni vengono eseguite da un personal computer in un ambiente aziendale familiare); elevata velocità di elaborazione dei pagamenti (l'operatore bancario non ristampa i dati da un originale cartaceo, il che consente di eliminare gli errori di input e ridurre i tempi di elaborazione di un documento di pagamento); monitorare lo stato del documento nel processo di elaborazione; ottenere informazioni sul movimento di fondi sui conti.
Tuttavia, nonostante gli ovvi vantaggi, i pagamenti elettronici in Russia non sono ancora molto popolari, poiché i clienti delle banche non sono sicuri della loro sicurezza. Ciò è dovuto principalmente alla convinzione diffusa che le reti di computer possano essere facilmente "hackerate" da un hacker. Questo mito è saldamente radicato nella mente di una persona e le notizie regolarmente pubblicate dai media sugli attacchi a un altro sito Web rafforzano ulteriormente questa opinione. Ma i tempi stanno cambiando e le comunicazioni elettroniche prima o poi sostituiranno la presenza personale di un pagatore che vuole effettuare un bonifico non in contanti da un conto all'altro.
A mio avviso, la sicurezza delle operazioni bancarie elettroniche oggi può essere garantita. Ciò è garantito dai moderni metodi crittografici utilizzati per proteggere i documenti di pagamento elettronici. Prima di tutto, questo è un EDS corrispondente a GOST 34.10-94. Dal 1995 è stato utilizzato con successo dalla Banca di Russia. Inizialmente, solo in alcune regioni ha introdotto un sistema di regolamento elettronico interregionale. Ora copre tutte le regioni della Federazione Russa ed è praticamente impossibile immaginare il funzionamento della Banca di Russia senza di essa. Quindi, c'è motivo di dubitare dell'affidabilità di un EDS se il suo utilizzo è collaudato e già, in un modo o nell'altro, riguarda ogni cittadino del nostro Paese?
La firma digitale elettronica è una garanzia di sicurezza. Secondo l'accordo standard tra la banca e il cliente, la presenza di un numero sufficiente di persone autorizzate registrate con EDS nel documento elettronico funge da base per l'esecuzione di operazioni bancarie sui conti del cliente. La legge federale n. 1-FZ del 10.01.02 "On Electronic Digital Signatures" stabilisce che l'EDS deve essere generato e verificato da un software certificato da FAPSI. La certificazione EDS è una garanzia che questo programma esegue funzioni crittografiche in conformità con gli standard, GOST e non commette azioni distruttive sul computer dell'utente.
Per inserire un EDS su un documento elettronico, è necessario disporre della sua chiave, che può essere memorizzata su un supporto dati chiave. I moderni portachiavi ("e-Token", "USB-drive", "Touch-Memory") assomigliano alla forma dei portachiavi e possono essere trasportati in un mazzo di chiavi ordinarie. I floppy disk possono essere utilizzati anche come vettore di informazioni chiave.
Ogni chiave EDS funge da analogo della firma autografa della persona autorizzata. Se nell'organizzazione i "pagamenti" cartacei sono generalmente firmati dal direttore e dal capo contabile, nel sistema elettronico è meglio mantenere la stessa procedura e fornire chiavi EDS diverse per le persone autorizzate. Tuttavia, è possibile utilizzare anche un EDS - questo fatto deve riflettersi nell'accordo tra la banca e il cliente.
La chiave EDS è composta da due parti: chiusa e aperta. La parte pubblica (chiave pubblica), dopo la generazione da parte del titolare, viene sottoposta all'Autorità di Certificazione, il cui ruolo è solitamente svolto dalla banca. La chiave pubblica, le informazioni sul proprietario, lo scopo della chiave e altre informazioni sono firmate dall'EDS del Centro di certificazione. Viene così generato un certificato EDS, che deve essere registrato nel sistema di regolamento elettronico della banca.
La parte privata della chiave EDS (chiave segreta) non deve in nessun caso essere trasferita dal proprietario della chiave ad un'altra persona. Se la chiave privata è stata trasferita anche per breve tempo ad un'altra persona o è stata lasciata incustodita da qualche parte, la chiave è considerata "compromessa" (ovvero implica la possibilità di copia o uso illegale della chiave). In altre parole, in questo caso, una persona che non è il proprietario della chiave ha la possibilità di firmare un documento elettronico non autorizzato dalla direzione dell'organizzazione, che la banca accetterà per l'esecuzione e avrà ragione, poiché la verifica della EDS mostrerà la sua autenticità. Ogni responsabilità in questo caso è esclusivamente del proprietario della chiave. Le azioni del titolare dell'EDS in questa situazione dovrebbero essere analoghe a quelle intraprese in caso di smarrimento di una normale carta di plastica: questa persona deve informare la banca del "compromesso" (smarrimento) della chiave EDS. Quindi la banca bloccherà il certificato di questo EDS nel suo sistema di pagamento e l'attaccante non sarà in grado di utilizzare la sua acquisizione illegale.
È anche possibile prevenire l'uso illegale della chiave segreta con l'aiuto di una password, che viene sovrapposta sia alla chiave che ad alcuni tipi di vettori di chiavi. Questo aiuta a ridurre al minimo i danni in caso di smarrimento, poiché senza una password, la chiave diventa non valida e il proprietario avrà abbastanza tempo per informare la banca del "compromesso" del suo EDS.
Consideriamo come un cliente può utilizzare i servizi di pagamento elettronico, a condizione che la banca abbia installato un sistema per l'implementazione integrata dei servizi di banca elettronica InterBank. Se il cliente è un imprenditore privato o gestisce una piccola azienda commerciale e ha accesso a Internet, gli basterà scegliere il sistema di protezione crittografica (EDS e crittografia) che desidera utilizzare. Il cliente può installare il software certificato "CryptoPro CSP" o utilizzare il sistema Microsoft Base CSP integrato in Microsoft Windows.
Se il cliente è una grande azienda con un grande fatturato finanziario, gli può essere consigliato un altro sottosistema della struttura InterBank: "Windows Client". Con il suo aiuto, il cliente mantiene autonomamente un database di documenti elettronici e può preparare ordini di pagamento sul suo computer senza utilizzare una sessione di comunicazione con la banca. Una volta generati tutti i documenti necessari, il cliente si collega alla banca telefonicamente o tramite linea dedicata per lo scambio dati.
Un altro tipo di servizio fornito dal complesso InterBank è informare il cliente sullo stato dei suoi conti bancari, tassi di cambio e trasferire altri dati di riferimento tramite comunicazione vocale, fax o schermo del telefono cellulare.
Un modo conveniente per utilizzare i regolamenti elettronici è firmare i documenti di pagamento da parte dei dipendenti autorizzati dell'azienda, che si trovano a una distanza considerevole l'uno dall'altro. Ad esempio, un capo contabile ha preparato e firmato un documento di pagamento elettronico. Il direttore, essendo in questo momento in viaggio d'affari in un'altra città o in un altro paese, può visionare questo documento, firmarlo e inviarlo alla banca. Tutte queste azioni possono essere eseguite dal sottosistema "Internet-Client", a cui il contabile e il direttore dell'impresa saranno collegati via Internet. La crittografia dei dati e l'autenticazione dell'utente verranno eseguite utilizzando uno dei protocolli standard: SSL o TLS.
Quindi, l'uso dei pagamenti elettronici negli affari offre vantaggi significativi rispetto al servizio tradizionale. Per quanto riguarda la sicurezza, è fornita dallo standard EDS (GOST 34.10-94), da un lato, e dalla responsabilità del cliente per la memorizzazione della chiave di firma, dall'altro. Il cliente può sempre ottenere consigli sull'uso e la conservazione delle chiavi EDS in banca e, se li segue, l'affidabilità dei pagamenti è garantita. Quotidiano finanziario (edizione regionale), Mosca, 28.03.2009.
5. Sicurezza dei pagamenti personali degli individui
La maggior parte dei sistemi di sicurezza, al fine di evitare la perdita di dati personali delle persone, richiede all'utente di confermare di essere chi afferma di essere. L'identificazione dell'utente può essere effettuata sulla base che:
* conosce alcune informazioni (codice segreto, password);
* possiede un determinato oggetto (carta, chiave elettronica, gettone);
* ha un insieme di tratti individuali (impronte digitali, forma della mano, tono di voce, disegno della retina, ecc.);
* sa dove o come è collegata la chiave specializzata.
Il primo metodo richiede la digitazione di una determinata sequenza di codici sulla tastiera: un numero di identificazione personale (PIN). Di solito è una sequenza di 4-8 cifre che l'utente deve inserire quando effettua una transazione.
Il secondo metodo prevede la presentazione da parte dell'utente di alcuni elementi identificativi specifici - codici letti da un dispositivo elettronico, tessera o token non copiabile.
Nel terzo metodo, il pass sono le caratteristiche individuali e le caratteristiche fisiche della personalità di una persona. Qualsiasi prodotto biometrico è accompagnato da un database piuttosto voluminoso che memorizza le immagini corrispondenti o altri dati utilizzati nel riconoscimento.
Il quarto metodo presuppone un principio speciale di accensione o commutazione delle apparecchiature, che ne garantirà il funzionamento (questo approccio viene utilizzato abbastanza raramente).
In ambito bancario i più diffusi sono i mezzi di identificazione personale, che abbiamo attribuito al secondo gruppo: un determinato oggetto (carta, chiave elettronica, gettone). Naturalmente, l'uso di tale chiave avviene in combinazione con i mezzi e le modalità di identificazione, che abbiamo attribuito al primo gruppo: l'uso delle informazioni (codice segreto, password).
Diamo uno sguardo più da vicino all'identificazione personale nel settore bancario Automazione bancaria: un tutorial. Parte 2 Preobrazenskij N.B. Editore: ATiSO, 2008.
Carte di plastica.
Attualmente sono state emesse più di un miliardo di carte in vari paesi del mondo I. I. Linkov. e altre divisioni dell'informazione nelle strutture commerciali: come sopravvivere e avere successo. - M: NIT, 2008. Il più famoso di loro:
Carte di credito Visa (oltre 350 milioni di carte) e MasterCard (200 milioni di carte);
Assegno internazionale garanzie Eurocheque e Posteheque;
Carte per viaggi e intrattenimento American Express (60 milioni di carte) e Diners Club.
Carte magnetiche (vedi allegato 2)
Le carte plastificate con banda magnetica sono le più conosciute e da tempo vengono utilizzate in ambito bancario come mezzo di identificazione (molti sistemi consentono l'utilizzo delle tradizionali carte di credito). Per la lettura è necessario far passare la tessera (banda magnetica) attraverso la fessura del lettore (lettore). In genere, i lettori sono realizzati sotto forma di un dispositivo esterno e sono collegati tramite una porta seriale o universale su un computer. Vengono prodotti anche lettori abbinati a una tastiera. Tuttavia, tali carte presentano vantaggi e svantaggi del loro utilizzo.
* la tessera magnetica può essere facilmente copiata sulle apparecchiature disponibili;
* inquinamento, leggero impatto meccanico sullo strato magnetico, posizione della carta vicino a forti fonti di campi elettromagnetici danneggerà la carta.
Vantaggi:
* i costi di emissione e mantenimento di tali carte sono contenuti;
* l'industria delle tessere magnetiche in plastica si sta sviluppando da diversi decenni e al momento oltre il 90% delle tessere sono tessere plastificate;
* l'utilizzo di tessere magnetiche è giustificato in presenza di un numero molto elevato di utenti e di frequenti cambi tessera (ad esempio per l'accesso ad una camera d'albergo).
Tessere di prossimità (vedi Allegato 2)
In effetti, questo è lo sviluppo dell'idea dei token elettronici. Si tratta di una tessera contactless (ma può essere anche un portachiavi o un braccialetto) contenente un chip con codice univoco o un trasmettitore radio. Il lettore è dotato di una speciale antenna che emette costantemente energia elettromagnetica. Quando la carta entra in questo campo, il chip della carta viene eccitato e la carta invia il suo codice univoco al lettore. Per la maggior parte dei lettori, la distanza di risposta stabile varia da pochi millimetri a 5-15 cm.
Smart card (vedi appendice 2)
A differenza di una carta magnetica, una smart card contiene un microprocessore e piazzole di contatto per fornire alimentazione e scambiare informazioni con il lettore. La smart card ha un livello di sicurezza molto elevato. È con lei che sono ancora associate le principali prospettive per lo sviluppo di tali chiavi e le speranze di molti sviluppatori di sistemi di sicurezza.
La tecnologia delle smart card esiste e si sviluppa da circa vent'anni, ma si è diffusa solo negli ultimi anni. Ovviamente una smart card, per la sua grande capacità di memoria e funzionalità, può fungere sia da chiave che da pass, e allo stesso tempo essere una carta bancaria. Nella vita reale, una tale combinazione di funzioni viene raramente implementata.
Per funzionare con una smart card, il computer deve essere dotato di un dispositivo speciale: lettore di schede integrato o esterno. I lettori di schede esterni possono essere collegati a varie porte del computer (seriale PS/2, porta parallela o per tastiera, slot PCMCIA, SCSI o USB).
Molte schede prevedono diversi tipi (algoritmi) di autenticazione. Tre sono le parti coinvolte nel processo di riconoscimento elettronico: l'utente della carta, la carta e il dispositivo terminale (lettore di carte). L'autenticazione è necessaria affinché l'utente, il dispositivo terminale in cui è inserita la carta o l'applicazione software a cui vengono comunicati i parametri della carta, possano eseguire determinate azioni con i dati sulla carta. Le regole di accesso vengono assegnate dallo sviluppatore dell'applicazione durante la creazione di strutture dati sulla mappa.
Gettoni elettronici (vedi allegato 2)
Ora, in vari sistemi che richiedono l'identificazione dell'utente o del proprietario, i token elettronici (o cosiddetti dispositivi token) sono ampiamente utilizzati come pass. Un esempio ben noto di tale token è una pillola elettronica (Figura 8.4). Il "tablet" è realizzato in una cassa rotonda in acciaio inossidabile e contiene un chip con un numero univoco registrato al suo interno. L'autenticazione dell'utente viene eseguita dopo aver toccato un tale "tablet" su uno speciale dispositivo di contatto, solitamente collegato alla porta seriale del computer. Pertanto, è possibile consentire l'accesso ai locali, ma anche consentire il lavoro sul computer o impedire agli utenti non autorizzati di lavorare sul computer.
Per comodità, il "tablet" può essere fissato su un portachiavi o inserito in un guscio di plastica.
Attualmente questi dispositivi sono ampiamente utilizzati per comandare serrature elettromeccaniche (porte di camera, portoni, portoni d'ingresso, ecc.). Tuttavia, anche il loro uso "computer" è abbastanza efficace.
Tutti e tre i gruppi di chiavi elencati sono di natura passiva. Non eseguono alcuna azione attiva e non partecipano al processo di autenticazione, ma restituiscono solo il codice memorizzato. Questa è la loro area principale.
I token hanno una durata leggermente migliore rispetto alle carte magnetiche Automazione bancaria: un tutorial. Parte 2 Preobrazenskij N.B. Editore: ATiSO, 2008.
Conclusione
Pertanto, il problema della protezione delle informazioni bancarie è troppo serio perché la banca lo trascuri. Di recente, nelle banche nazionali è stato osservato un gran numero di casi di violazione del livello di segretezza. Un esempio è il libero accesso a varie banche dati su CD-ROM su società commerciali e individui. In teoria, nel nostro Paese esiste il quadro giuridico per garantire la protezione delle informazioni bancarie, ma la sua applicazione è tutt'altro che perfetta. Finora non si sono verificati casi in cui una banca è stata punita per la divulgazione di informazioni, quando una società è stata punita per aver tentato di ottenere informazioni riservate.
La protezione delle informazioni in una banca è un compito complesso che non può essere risolto solo nell'ambito dei programmi bancari. L'implementazione efficace della protezione inizia con la selezione e la configurazione dei sistemi operativi e degli strumenti del sistema di rete che supportano il funzionamento dei programmi bancari. Tra i mezzi disciplinari a garanzia della tutela vanno distinti due ambiti: da un lato, è la minima sufficiente consapevolezza degli utenti del sistema circa le caratteristiche della costruzione del sistema; dall'altro, la presenza di strumenti multilivello di identificazione dell'utente e di controllo dei suoi diritti.
In diversi punti del suo sviluppo, l'ABS aveva diversi componenti di protezione. In condizioni russe, la maggior parte dei sistemi bancari in termini di livello di protezione dovrebbe essere classificata come sistemi di primo e secondo livello di complessità di protezione:
1° livello - l'utilizzo di strumenti software forniti dagli strumenti standard dei sistemi operativi e dei programmi di rete;
2 ° livello: l'uso di software di sicurezza, codifica delle informazioni, codifica di accesso.
Riassumendo tutto quanto sopra, sono giunto alla conclusione che quando si lavora nel settore bancario, è necessario essere sicuri che le informazioni aziendali e commerciali rimarranno private. Tuttavia, dovresti occuparti di proteggere non solo la documentazione e altre informazioni di produzione, ma anche le impostazioni di rete e i parametri di rete sulla macchina.
Il compito di proteggere le informazioni in una banca è impostato in modo molto più rigoroso che in altre organizzazioni. La soluzione a tale problema implica la pianificazione di misure organizzative e sistemiche per garantire la protezione. Allo stesso tempo, quando si pianifica la protezione, dovrebbe essere osservata una misura tra il livello di protezione richiesto e quel livello in cui la protezione inizia a interferire con il normale lavoro del personale.Automazione delle operazioni bancarie: un tutorial. Parte 2 Preobrazenskij N.B. Editore: ATiSO, 2008.
Elenco della letteratura utilizzata
1. Automazione delle operazioni bancarie: un tutorial. Parte 2 Preobrazenskij N.B. Editore: ATiSO, 2008
2. Gaikovich Yu.V., Pershin A.S. Sicurezza dei sistemi bancari elettronici. - M: Europa Unita, 2008
3. Demin V.S. e altri sistemi bancari automatizzati. - M: Menatep-Inform, 2009.
4. Krysin V.A. Sicurezza aziendale. - M: Finanza e Statistica, 2008
5. Linkov I.I. e altre divisioni dell'informazione nelle strutture commerciali: come sopravvivere e avere successo. - M: NIT, 2008
6. Materiali dell'agenzia Interfax. 1995-2009
7. Quotidiano finanziario (edizione regionale), Mosca, 28.03.2009
Allegato 1
Un elenco del personale di un tipico ASOIB e il corrispondente grado di rischio da ciascuno di essi:
1. Rischio maggiore: controller di sistema e amministratore della sicurezza.
2. Rischio aumentato: operatore di sistema, operatore di inserimento e preparazione dati, responsabile del trattamento, programmatore di sistema.
3. Rischio medio: ingegnere di sistema, responsabile software.
4. Rischio limitato: programmatore di applicazioni, ingegnere o operatore di comunicazione, amministratore di database, ingegnere di apparecchiature, operatore di apparecchiature periferiche, bibliotecario di supporti magnetici di sistema, utente programmatore, utente impiegato.
5. A basso rischio: ingegnere di apparecchiature periferiche, bibliotecario di supporti magnetici utente, utente di rete.
Appendice 2
Riso. 1 tessera magnetica
Riso. 2 Carta di prossimità
Riso. 3 Smart card
Riso. 4 Gettoni elettronici
Appendice 3
|
Statistiche di perdita per Visa e MasterCard |
||
|
Quota nelle perdite totali,% |
||
|
Truffa del venditore |
||
|
Carte rubate |
||
|
contraffazione |
||
|
Cambia il rilievo della mappa |
||
|
Carte perse |
||
|
Uso improprio |
||
|
Truffa telefonica |
||
|
Posta frode |
||
|
Frode postale |
||
|
Furto durante la spedizione di produzione |
||
|
Collusione con il titolare della carta |
||
Pubblicato su Allbest.ru
...Il valore ei problemi della protezione delle informazioni bancarie. Modalità per garantire la sicurezza dei sistemi automatizzati per il trattamento delle informazioni bancarie. Vantaggi e modalità della protezione crittografica dei pagamenti elettronici. Mezzi di identificazione personale in banca.
abstract, aggiunto il 06/08/2013
Politica statale nel campo della formazione delle risorse informative. Selezione di un complesso di attività di sicurezza delle informazioni. Sistema di software e hardware progettato per la sicurezza delle informazioni e la protezione delle informazioni dell'impresa.
tesina, aggiunta il 23/04/2015
Il concetto e i principi di base della sicurezza delle informazioni. Il concetto di sicurezza nei sistemi automatizzati. Fondamenti della legislazione della Federazione Russa nel campo della sicurezza delle informazioni e della protezione delle informazioni, dei processi di licenza e certificazione.
corso di lezioni, aggiunto il 17/04/2012
Costruire un modello delle possibili minacce alla sicurezza delle informazioni della banca, tenendo conto del quadro normativo nazionale e internazionale esistente. Analisi comparata dei documenti normativi e legali sull'organizzazione della protezione delle informazioni bancarie.
lavoro di laboratorio, aggiunto il 30/11/2010
Prerequisiti per la creazione di un sistema di sicurezza dei dati personali. Minacce alla sicurezza delle informazioni. Fonti di accesso non autorizzato a ISPD. Il dispositivo dei sistemi di informazione dei dati personali. Strumenti per la sicurezza delle informazioni. Politica di sicurezza.
tesina aggiunta il 10/07/2016
Principi di sicurezza per i pagamenti elettronici e personali delle persone fisiche nelle banche. Implementazione di tecnologie di trasmissione e protezione delle informazioni; un approccio sistematico allo sviluppo di un ambiente software e hardware: codifica delle informazioni e accesso; crittografia, crittografia.
abstract aggiunto il 18/05/2013
Caratteristiche della sicurezza delle informazioni delle banche. Il fattore umano per garantire la sicurezza delle informazioni. Fuga di informazioni, le principali cause di violazioni. Una combinazione di software e hardware diversi. Meccanismi di integrità dei dati.
test, aggiunto il 16/10/2013
Obiettivi di sicurezza delle informazioni. Fonti delle principali minacce informatiche per la Russia. L'importanza della sicurezza delle informazioni per vari specialisti dal punto di vista dell'azienda e delle parti interessate. Metodi per proteggere le informazioni da minacce informatiche deliberate.
presentazione aggiunta il 27/12/2010
L'essenza del concetto di "sicurezza delle informazioni". Categorie del modello di sicurezza: riservatezza; integrità; disponibilità. Sicurezza delle informazioni e Internet. Metodi di sicurezza delle informazioni. I compiti principali delle tecnologie antivirus.
test, aggiunto il 06/11/2010
Documenti normativi nel campo della sicurezza delle informazioni in Russia. Analisi delle minacce ai sistemi informativi. Caratteristiche dell'organizzazione del sistema di protezione dei dati personali della clinica. Implementazione di un sistema di autenticazione tramite chiavi elettroniche.
