Banca de date face parte din orice sistem automatizat precum CAD, ACS, ACS etc. Sarcina băncii de date este de a menține modelul de informații într-o stare extrem de importantă și de a asigura solicitările utilizatorilor. Acest lucru necesită să fie efectuate trei operațiuni în banca de date: activare, ștergere, modificare. Aceste operațiuni asigură stocarea și modificarea datelor.
Odată cu dezvoltarea sistemului automatizat, compoziția obiectelor din domeniul subiectului se modifică, conexiunile dintre ele se modifică. Toate acestea ar trebui să se reflecte în sistemul informațional. Astfel, organizarea băncii de date ar trebui să fie flexibilă. Să arătăm locul băncii de date ca parte a sistemului automatizat.
Atunci când proiectați o bancă de date, este extrem de important să luați în considerare două aspecte ale asigurării solicitărilor utilizatorilor.
1) Determinarea limitelor unui domeniu specific și dezvoltarea unui model informațional. Rețineți că banca de date ar trebui să ofere informații pentru întregul sistem atât în prezent, cât și în viitor, ținând cont de dezvoltarea acestuia.
2) Dezvoltarea unei bănci de date ar trebui să fie orientată către deservirea eficientă a cererilor utilizatorilor. În acest sens, este extrem de important să analizăm tipurile și tipurile de solicitări ale utilizatorilor. De asemenea, este extrem de importantă analiza sarcinilor funcționale ale sistemului automatizat, pentru care această bancă va fi o sursă de informații.
Utilizatorii băncii de date se disting prin următoarele caracteristici:
· Pe baza constanței comunicării cu banca.
Utilizatori : permanent și unică ;
· După nivelul de admitere. Unele dintre date trebuie protejate;
· Prin forma de depunere a cererii. Cererile pot fi date de programatori, non-programatori, utilizatori de sarcini.
Datorită eterogenității mari a utilizatorilor din banca de date, este oferit un instrument special pentru a aduce toate interogările la o singură terminologie. Acest instrument este de obicei numit Dicționar de date.
Să evidențiem cerințe primare care trebuie să răspundă banca de date de către utilizatori externi ... Banca de date trebuie:
1. Oferiți capacitatea de a stoca și modifica volume mari de informații cu mai multe fațete. Îndeplinește cerințele actuale și emergente ale utilizatorilor.
Oferiți niveluri specificate de fiabilitate și coerență informațiilor stocate.
3. Asigurați accesul la date numai pentru acei utilizatori care au autoritatea corespunzătoare.
4. Oferiți capacitatea de a căuta informații despre un grup arbitrar de atribute.
5. Satisfaceți cerințele de performanță specificate atunci când procesați interogări.
6. Să fiți capabil să vă reorganizați și să vă extindeți atunci când schimbați limitele domeniului subiectului.
7. Furnizați eliberarea de informații către utilizator sub diferite forme.
8. Oferiți capacitatea de a deservi simultan un număr mare de utilizatori externi.
Pentru a îndeplini aceste cerințe, este imperativ să se introducă managementul centralizat al datelor.
Să evidențiem beneficiile cheie ale managementului centralizat date în comparație cu garanțiile utilizate anterior.
1) Reducerea redundanței datelor stocate. Datele care sunt utilizate de mai multe aplicații sunt structurate (integrate) și stocate într-o singură copie.
2) Eliminarea inconsecvenței datelor stocate. Datorită redundanței datelor, se elimină situația când, atunci când datele sunt schimbate efectiv, acestea nu par să se fi schimbat în toate înregistrările.
3) Utilizarea multidimensională a datelor cu o singură intrare.
4) Optimizare cuprinzătoare bazată pe analiza cerințelor utilizatorilor. Sunt selectate structuri de date care oferă cel mai bun serviciu posibil.
5) Asigurarea posibilității de standardizare. Acest lucru facilitează schimbul de date cu alte sisteme automatizate, precum și procedurile de monitorizare și restaurare a datelor.
6) Asigurarea posibilității de acces autorizat la date, ᴛ.ᴇ. disponibilitatea mecanismelor de protecție a datelor.
Trebuie subliniat faptul că principala problemă a gestionării centralizate a datelor este asigurarea independenței aplicațiilor față de date. Acest lucru se datorează faptului că integrarea datelor, optimizarea structurilor de date necesită schimbarea reprezentării datelor stocate și a metodei de acces la date.
Ieșire: Principala trăsătură distinctivă a băncii de date este prezența unui management centralizat al datelor.
Ordinul Rosstandart din 28 martie 2018 nr. 156-st „Cu privire la aprobarea standardului național al Federației Ruse”
Ordinul Rosstandart din 8 august 2017 nr. 822-st „Cu privire la aprobarea standardului național al Federației Ruse”
Obiectivele principale ale implementării Standardului „Asigurarea securității informațiilor organizațiilor din sistemul bancar al Federației Ruse. Prevederi generale „STO BR IBBS-1.0 (în continuare – Standard):
Obiectivele principale ale standardului:
Sistem de plată prin internet Este un sistem de reglementări între organizații financiare, de afaceri și utilizatorii de Internet în procesul de cumpărare/vânzare de bunuri și servicii prin Internet. Este sistemul de plată care vă permite să transformați un serviciu de procesare a comenzii sau o vitrină electronică într-un magazin cu drepturi depline, cu toate atributele standard: prin alegerea unui produs sau serviciu pe site-ul vânzătorului, cumpărătorul poate efectua o plată fără a părăsi calculator.
În sistemul de comerț electronic, plățile sunt efectuate cu o serie de condiții:
1. Respectarea confidențialității. Atunci când efectuează plăți prin Internet, cumpărătorul dorește ca informațiile sale (de exemplu, un număr de card de credit) să fie cunoscute doar de organizațiile care au dreptul legal de a face acest lucru.
2. Menținerea integrității informațiilor. Informațiile de cumpărare nu pot fi modificate de nimeni.
3. Autentificare. Cumpărătorii și vânzătorii trebuie să se asigure că toate părțile la o tranzacție sunt cine spun că sunt.
4. Mijloace de plată. Capacitatea de a plăti prin orice mijloc de plată disponibil cumpărătorului.
6. Garanții de risc ale vânzătorului. La desfășurarea comerțului pe internet, vânzătorul este expus multor riscuri asociate cu refuzul mărfurilor și necinstea clientului. Amploarea riscurilor ar trebui convenită cu furnizorul de sistem de plată și cu alte organizații implicate în lanțurile comerciale prin acorduri speciale.
7. Minimizarea taxelor de tranzacție. Taxele de procesare a tranzacției pentru comandarea și plata mărfurilor sunt în mod natural incluse în costul acestora, astfel că scăderea prețului tranzacției crește competitivitatea. Este important de menționat că tranzacția trebuie plătită în orice caz, chiar dacă cumpărătorul refuză produsul.
Toate aceste condiții trebuie implementate în sistemul de plată prin Internet, care, în esență, sunt versiuni electronice ale sistemelor tradiționale de plată.
Astfel, toate sistemele de plată sunt împărțite în:
Debit (lucrarea cu cecuri electronice și numerar digital);
Credit (lucrare cu carduri de credit).
Sisteme de debit
Schemele de plată prin debit sunt construite în mod similar cu prototipurile lor offline: cec și numerar obișnuit. Schema implică două părți independente: emitenți și utilizatori. Emitent înseamnă entitatea care gestionează sistemul de plăți. Emite unele unități electronice care reprezintă plăți (de exemplu, bani în conturi bancare).
Utilizatorii sistemului au două funcții principale. Ei efectuează și acceptă plăți pe internet folosind unități electronice emise.
Cecurile electronice sunt analoge cu cecurile obișnuite pe hârtie. Acestea sunt instrucțiunile plătitorului către banca sa pentru a transfera bani din contul său în contul beneficiarului plății. Operatiunea are loc la prezentarea cecului de catre destinatar la banca. Există două diferențe principale. În primul rând, atunci când scrie un cec pe hârtie, plătitorul își pune semnătura reală, iar în versiunea online - o semnătură electronică. În al doilea rând, cecurile în sine sunt emise electronic.
Plățile sunt procesate în mai multe etape:
1. Plătitorul emite un cec electronic, îl semnează cu semnătură electronică și îl trimite destinatarului. Pentru a asigura o mai mare fiabilitate si securitate, numarul contului curent poate fi codificat cu cheia publica a bancii.
2. Cecul este prezentat pentru plata către sistemul de plată. În plus, (fie aici, fie la banca care deservește destinatarul), semnătura electronică este verificată.
3. În cazul confirmării autenticității sale, bunurile sunt livrate sau serviciul este prestat. Banii se virează din contul plătitorului în contul beneficiarului.
Simplitatea schemei de plată (Fig. 43), din păcate, este compensată de dificultățile implementării acesteia din cauza faptului că schemele de verificare nu s-au răspândit încă și nu există centre de certificare pentru implementarea semnăturilor electronice.
Semnăturile electronice digitale (EDS) utilizează un sistem de criptare cu cheie publică. Aceasta creează o cheie privată pentru semnare și o cheie publică pentru verificare. Cheia privată este păstrată de utilizator, în timp ce cheia publică poate fi accesată de oricine. Cel mai convenabil mod de a distribui cheile publice este prin CA. Există certificate digitale stocate care conțin cheia publică și informații despre proprietar. Acest lucru eliberează utilizatorul de obligația de a-și distribui propria cheie publică. În plus, CA oferă autentificare pentru a se asigura că nimeni nu poate genera chei în numele altei persoane.
Banii electronici simulează complet banii reali. În același timp, organizația emitentă - emitentul - își emite omologii electronici, care sunt denumite diferit în diferite sisteme (de exemplu, cupoane). În continuare, acestea sunt cumpărate de utilizatori care le folosesc pentru a plăti cumpărăturile, iar apoi vânzătorul le răscumpără de la emitent. La emitere, fiecare unitate monetară este certificată printr-un sigiliu electronic, care este verificat de către structura emitentă înainte de răscumpărare.
Una dintre caracteristicile banilor fizici este anonimatul lor, adică nu indică cine i-a folosit și când. Unele sisteme, prin analogie, permit clientului sa primeasca numerar electronic in asa fel incat relatia dintre el si bani nu poate fi determinata. Acest lucru se face folosind o schemă de semnătură oarbă.
De asemenea, este de remarcat faptul că atunci când se utilizează bani electronici, nu este nevoie de autentificare, deoarece sistemul se bazează pe eliberarea banilor în circulație înainte de a-l folosi.
Figura 44 prezintă o schemă de plată folosind monedă electronică.
Mecanismul de plată este următorul:
1. Cumpărătorul schimbă bani reali în bani electronici în avans. Depozitarea numerarului la client poate fi efectuată în două moduri, care este determinată de sistemul utilizat:
Pe hard disk-ul computerului dvs.;
Pe carduri inteligente.
Diferite sisteme oferă diferite scheme de schimb. Unele deschid conturi speciale în care sunt transferate fonduri din contul cumpărătorului în schimbul facturilor electronice. Unele bănci pot emite ele însele numerar electronic. Totodata, se emite numai la cererea clientului cu transferul ulterioar al acestuia pe computerul sau cardul acestui client si retragerea echivalentului de numerar din contul acestuia. La realizarea unei semnături oarbe, cumpărătorul însuși creează facturi electronice, le trimite la bancă, unde, când sosesc bani reali în cont, acestea sunt sigilate și trimise înapoi clientului.
Pe lângă comoditatea unei astfel de stocări, are și dezavantaje. Deteriorarea unui disc sau a unui card inteligent se transformă într-o pierdere ireversibilă de bani electronici.
2. Cumpărătorul transferă bani electronici pentru cumpărare pe serverul vânzătorului.
3. Banii sunt prezentați emitentului, care le verifică autenticitatea.
4. In cazul autenticitatii facturilor electronice, contul vanzatorului se majoreaza cu suma de achizitie, iar bunurile sunt expediate cumparatorului sau se presteaza un serviciu.
Una dintre caracteristicile distinctive importante ale monedei electronice este capacitatea de a efectua microplăți. Acest lucru se datorează faptului că valoarea nominală a bancnotelor poate să nu corespundă cu monede reale (de exemplu, 37 de copeici).
Atât băncile, cât și organizațiile nebancare pot emite numerar electronic. Cu toate acestea, un sistem unificat pentru convertirea diferitelor tipuri de monedă electronică nu a fost încă dezvoltat. Prin urmare, doar emitenții înșiși pot răscumpăra numerarul electronic emis de aceștia. În plus, utilizarea unor astfel de bani din structurile nefinanciare nu este garantată de stat. Cu toate acestea, costul scăzut al tranzacției face ca e-cash-ul să fie un instrument atractiv pentru plățile pe internet.
Sisteme de creditare
Sistemele de credit pe internet sunt similare cu sistemele convenționale de carduri de credit. Diferența constă în desfășurarea tuturor tranzacțiilor pe internet și, ca urmare, în necesitatea unor instrumente suplimentare de securitate și autentificare.
Următorii sunt implicați în efectuarea plăților prin internet folosind carduri de credit:
1. Cumpărător. Un client cu un computer cu un browser Web și acces la Internet.
2. Banca emitentă. Contul curent al cumpărătorului se află aici. Banca emitenta emite carduri si este garantul indeplinirii obligatiilor financiare ale clientului.
3. Vânzători. Vânzătorii sunt servere de comerț electronic care mențin cataloage de bunuri și servicii și acceptă comenzile clienților pentru cumpărare.
4. Achizitionarea bancilor. Băncile care servesc vânzătorii. Fiecare vânzător are o singură bancă în care își ține contul curent.
5. Sistem de plată Internet. Componente electronice care sunt intermediari între alți participanți.
6. Sistem tradițional de plată. Un complex de mijloace financiare și tehnologice pentru deservirea cardurilor de acest tip. Printre principalele sarcini rezolvate de sistemul de plată se numără asigurarea utilizării cardurilor ca mijloc de plată pentru bunuri și servicii, utilizarea serviciilor bancare, efectuarea decontărilor reciproce etc. Participanții la sistemul de plată sunt persoane fizice și juridice, unite prin relații privind utilizarea cardurilor de credit.
7. Centru de procesare al sistemului de plată. O organizație care oferă informații și interacțiune tehnologică între participanții la sistemul tradițional de plată.
8. Banca de decontare a sistemului de plată. O instituție de credit care efectuează decontări reciproce între participanții la sistemul de plăți în numele centrului de procesare.
Schema generală de plăți într-un astfel de sistem este prezentată în Figura 45.
1. Cumpărătorul din magazinul electronic formează un coș de mărfuri și alege metoda de plată „card de credit”.
Prin magazin, adică parametrii cardului sunt introduși direct pe site-ul magazinului, după care sunt transferați în sistemul de plată prin Internet (2a);
Pe serverul sistemului de plată (2b).
Avantajele celei de-a doua căi sunt evidente.
În acest caz, informațiile despre carduri nu rămân în magazin și, în consecință, riscul de a le primi de către terți sau de înșelăciune de către vânzător este redus. În ambele cazuri, la transferul detaliilor cardului de credit, există încă posibilitatea interceptării acestora de către infractorii cibernetici în rețea. Pentru a preveni acest lucru, datele sunt criptate în tranzit.
Criptarea, desigur, reduce posibilitatea de interceptare a datelor în rețea; prin urmare, este recomandabil să se efectueze comunicații între cumpărător/vânzător, vânzător/sistem de plată prin Internet, cumpărător/sistem de plată prin Internet folosind protocoale securizate. Cel mai comun dintre ele astăzi este protocolul Secure Sockets Layer (SSL), precum și standardul Secure Electronic Transaction (SET) pentru tranzacții electronice securizate, concepute pentru a înlocui eventual SSL în procesarea tranzacțiilor legate de plățile pentru achizițiile cu cardul de credit de pe Internet. .
3. Sistemul de plată prin Internet transmite cererea de autorizare către sistemul tradițional de plată.
4. Următorul pas depinde dacă banca emitentă menține o bază de date online a contului (DB). Dacă există o bază de date, centrul de procesare trimite băncii emitente o cerere de autorizare a cardului (vezi introducere sau dicționar) (4a) și apoi, (4b) primește rezultatul acesteia. Dacă nu există o astfel de bază de date, atunci centrul de procesare însuși stochează informații despre starea conturilor deținătorilor de carduri, listele de oprire și execută cereri de autorizare. Aceste informații sunt actualizate în mod regulat de către băncile emitente.
Magazinul oferă un serviciu sau expediază mărfurile (8a);
Centrul de procesare trimite informații despre tranzacția finalizată către banca de decontare (8b). Banii din contul cumpărătorului la banca emitentă sunt transferați prin banca de decontare în contul magazinului la banca achizitoare.
Pentru a efectua astfel de plăți, în majoritatea cazurilor, aveți nevoie de software special.
Poate fi expediat unui cumpărător (numit portofel electronic), unui comerciant și băncii sale de service.
Anterior25262728293031323334353637383940Următorul
În viața noastră, internetul nu este doar un mijloc de comunicare, divertisment și recreere, ci și pentru muncă și plăți electronice. Mulți dintre noi folosim servicii bancare prin internet și cumpărăm online.
În ciuda securității sistemelor bancare online și a magazinelor online - astfel de metode de protecție sunt utilizate ca autentificare dublă, sisteme dinamice cu parole SMS unice, o listă suplimentară de parole sau chei hardware unice, o conexiune protejată prin SSL și așa mai departe - metodele moderne de atac vă permit să ocoliți chiar și cele mai fiabile mecanisme de apărare.
Astăzi, infractorii cibernetici au trei abordări cele mai comune pentru a ataca datele financiare ale utilizatorilor de internet:
- Infectarea computerului victimei cu troieni (keylogger, screenlogger etc.) care interceptează datele de intrare;
- utilizarea metodelor de inginerie socială - atacuri de phishing prin e-mail, site-uri web, rețele sociale etc.
- atacuri tehnologice (sniffing, înlocuire servere DNS/Proxy, înlocuire certificate etc.).
Utilizatorul nu trebuie să se bazeze doar pe bancă, ci să folosească programe de securitate pentru a spori securitatea plăților electronice pe Internet.
Soluțiile moderne de Internet Security, pe lângă funcțiile antivirus, oferă instrumente de plată sigure (medii virtuale izolate pentru operațiuni online), precum și un scanner de vulnerabilități, protecție web cu verificarea linkurilor, blocarea scripturilor și ferestrelor pop-up rău intenționate, protecție a datelor împotriva interceptării. (anti-keylogger), tastatură virtuală...
Printre soluțiile cuprinzătoare cu funcție separată pentru protejarea plăților online, putem evidenția Kaspersky Internet Security și componenta Safe Money, avast!
Internet Security cu avast! SafeZone și Bitdefender Internet Security cu Bitdefender Safepay. Aceste produse vă permit să nu vă faceți griji cu privire la protecția suplimentară.
Dacă aveți un alt antivirus, puteți arunca o privire mai atentă asupra instrumentelor de protecție suplimentare. Printre acestea: Bitdefender Safepay (browser web izolat), Trusteer Rapport și HitmanPro.Alert pentru a proteja browserul de atacuri, pluginuri și aplicații Netcraft Extension, McAfee SiteAdvisor, Adguard pentru a proteja împotriva phishingului.
Nu uitați de firewall și client VPN dacă trebuie să efectuați tranzacții financiare în timp ce vă conectați la rețele Wi-Fi fără fir deschise în locuri publice. De exemplu, CyberGhost VPN folosește criptarea traficului AES pe 256 de biți, care împiedică un atacator să folosească datele, chiar dacă acestea sunt interceptate.
Ce metode de protejare a plăților online folosiți? Împărtășește-ți experiența în comentarii.
În mediul economic rus de astăzi, există multe tipuri diferite de organizații. Acestea pot fi întreprinderi de stat (FSUE, MUP), fonduri publice și, în final, organizații comerciale obișnuite. Principala diferență dintre aceștia din urmă și toți ceilalți este că scopul lor principal este maximizarea profiturilor și tot ceea ce fac vizează tocmai acest lucru.
O organizație comercială poate câștiga bani în moduri diferite, dar profitul este întotdeauna definit în același mod - este venit minus cheltuieli. În același timp, dacă securitatea nu este principala activitate a companiei, atunci nu generează venituri, iar dacă da, atunci pentru ca această activitate să aibă sens, trebuie să reducă costurile.
Efectul economic al asigurării securității afacerii este de a minimiza sau elimina complet pierderile cauzate de amenințări. Dar trebuie avut în vedere și faptul că implementarea măsurilor de protecție costă și bani și, prin urmare, adevăratul profit din securitate va fi egal cu suma fondurilor economisite din implementarea amenințărilor de securitate, redusă cu costul măsurilor de protecție.
Odată, a avut loc o conversație între proprietarul unei bănci comerciale și șeful serviciului de securitate al organizației sale pe tema efectului economic al asigurării securității. Esența acestei conversații reflectă cel mai exact rolul și locul securității în viața organizației:
Securitatea nu ar trebui să stea în calea afacerilor.
- Dar trebuie să plătești pentru securitate și să plătești pentru absența ei.
Un sistem de securitate ideal este mijlocul de aur între amenințările neutralizate, resursele cheltuite și profitabilitatea afacerii.
Motivele creării unui NIB pot fi diferite. Să evidențiem două principale:
Din punctul de vedere al subordonării BNI, există o singură limitare precizată în prevederile de mai sus ale Băncii Centrale a Federației Ruse - „Serviciul de securitate a informațiilor și serviciul de informatizare (automatizare) nu ar trebui să aibă un curator comun. „, în rest libertatea de alegere rămâne la organizație. Să luăm în considerare opțiunile tipice.
Tabelul 1.
| Subordonare | Particularități |
|---|---|
| NIB ca parte a IT | 1. Organizarea protecției este posibilă numai împotriva unui intrus extern. Principalul atacator intern probabil este angajatul IT. Este imposibil să lupți ca parte a IT. 2. Încălcarea cerințelor Băncii Rusiei. 3. Dialog direct cu IT, implementare ușoară a sistemelor de securitate a informațiilor |
| NIB ca parte a serviciului de securitate | 1. Protecție împotriva acțiunilor intrușilor interni și externi. 2. Serviciul de securitate este un singur punct de interacțiune pentru managementul de vârf în orice problemă de securitate. 3. Complexitatea interacțiunii cu IT, întrucât comunicarea are loc la nivelul șefilor IT și Consiliului de Securitate, iar acesta din urmă, de regulă, are cunoștințe minime de IT. |
| NIB raportează președintelui consiliului de administrație | 1. BNI are puteri maxime și buget propriu. 2. Se creează un punct suplimentar de control și interacțiune pentru Președintele Consiliului de Administrație, ceea ce necesită o anumită atenție. 3. Potențiale conflicte de securitate și securitate a informațiilor pe domenii de responsabilitate în investigarea incidentelor. 4. Un NIB separat poate echilibra „politic” puterile Consiliului de Securitate. |
Problema este că suma de bani economisită din amenințările neutralizate la securitatea informațiilor nu poate fi determinată cu exactitate. Dacă amenințarea nu este realizată, atunci nu există daune din cauza acesteia și, deoarece nu există probleme, atunci nu este nevoie să le rezolvați.
Pentru a rezolva această problemă, NIB poate acționa în două moduri:
Să evidențiem aspectele practice ale asigurării securității, care trebuie comunicate conducerii de vârf și altor divizii structurale și, de asemenea, luate în considerare la construirea unui sistem de securitate a informațiilor:
Securitatea informației este doar unul dintre domeniile de securitate (securitate economică, securitate fizică, securitate la incendiu, ...). Pe lângă amenințările la securitatea informațiilor, orice organizație este expusă și altor amenințări la fel de importante, de exemplu, amenințări de furt, incendii, fraude din partea clienților fără scrupule, amenințări cu încălcarea cerințelor obligatorii (conformitate) etc.
În cele din urmă, organizației nu îi pasă de ce amenințare suferă pierderi, fie că este vorba de furt, incendiu sau hacking de computer. Valoarea pierderilor (daunelor) este importantă.
Pe lângă cantitatea daunelor, un factor important în evaluarea amenințărilor este probabilitatea implementării, care depinde de caracteristicile proceselor de afaceri ale organizației, de infrastructura acesteia, de factorii externi dăunători și de contramăsurile luate.
Caracteristica care ia în considerare prejudiciul și probabilitatea realizării amenințării se numește risc.
Notă. O definiție științifică a riscului poate fi obținută din GOST R 51897-2011
Riscul poate fi măsurat atât cantitativ, de exemplu, prin înmulțirea prejudiciului cu probabilitatea, cât și calitativ. O evaluare calitativă este efectuată atunci când nici prejudiciul, nici probabilitatea nu sunt cuantificate. Riscul în acest caz poate fi exprimat ca un set de valori, de exemplu, daune - „medie”, probabilitate - „mare”.
Evaluarea tuturor amenințărilor ca riscuri permite unei organizații să-și folosească eficient resursele disponibile pentru a neutraliza exact acele amenințări care sunt cele mai semnificative și mai periculoase pentru ea.
Managementul riscului este abordarea principală pentru construirea unui sistem de securitate integrat și rentabil pentru o organizație. Mai mult, aproape toate reglementările bancare se bazează pe recomandările de management al riscului ale Comitetului de Supraveghere Bancară de la Basel.
Să evidențiem principalele amenințări inerente activității de efectuare a plăților bancare fără numerar și să determinăm prejudiciul maxim posibil din implementarea acestora.
Masa 2.
Aici, activitatea analizată include un set de procese de afaceri:
Luând în considerare principalele amenințări, am evaluat daunele acestora, dar nu am evaluat probabilitatea implementării lor. Faptul este că, dacă daunele maxime posibile sunt aceleași pentru orice bancă, atunci probabilitatea implementării amenințărilor va diferi de la bancă la bancă și va depinde de măsurile de protecție aplicate.
Una dintre principalele măsuri de reducere a probabilității de implementare a amenințărilor la securitatea informațiilor va fi:
Principala nuanță de care trebuie să se țină cont în materie de securitate a informațiilor este că acest tip de activitate este mai degrabă strict reglementat de stat și de Banca Centrală. Indiferent de modul în care sunt evaluate riscurile, oricât de mici ar fi resursele de care dispune banca, protecția acesteia trebuie să îndeplinească cerințele stabilite. În caz contrar, nu va putea funcționa.
Să luăm în considerare cerințele de organizare a securității informațiilor impuse procesului de afaceri al relațiilor corespondente cu Banca Rusiei.
Tabelul 3.
Documente de cerințe |
Pedeapsa pentru nerespectare |
|---|---|
| Protecția informațiilor personale. Motiv - documentele de plata contin date personale (numele complet al platitorului/destinatarului, adresa acestuia, detaliile actului de identitate) |
|
| Legea federală „Cu privire la datele cu caracter personal” din 27 iulie 2006 nr. 152-FZ |
, - până la 75 mii de ruble. amenda., - până la 2 ani închisoare |
| Decretul Guvernului Federației Ruse din 01.11.2012 nr. 1119 „Cu privire la aprobarea cerințelor pentru protecția datelor cu caracter personal în timpul prelucrării acestora în sistemele de informații cu date cu caracter personal” | |
| Ordinul FSTEC al Rusiei din 18.02.2013 nr. 21 „Cu privire la aprobarea compoziției și conținutului măsurilor organizatorice și tehnice pentru asigurarea securității datelor cu caracter personal în timpul prelucrării acestora în sistemele informatice de date cu caracter personal” (Înregistrat în Ministerul Justiția Rusiei 14.05.2013 N 28375) | |
| Ordinul FSB al Rusiei din 10 iulie 2014 nr. 378 „Cu privire la aprobarea compoziției și conținutului măsurilor organizatorice și tehnice pentru a asigura securitatea datelor cu caracter personal în timpul prelucrării acestora în sistemele informatice a datelor cu caracter personal folosind instrumente de protecție a informațiilor criptografice necesare pentru îndeplinesc cerințele stabilite de Guvernul Federației Ruse pentru protecția datelor cu caracter personal.date pentru fiecare dintre nivelurile de securitate „(Înregistrat în Ministerul Justiției din Rusia la 18.08.2014 N 33620) | |
| Ordonanța Băncii Rusiei nr. 3889-U din 10 decembrie 2015 „Cu privire la determinarea amenințărilor la adresa securității datelor cu caracter personal care sunt relevante la prelucrarea datelor cu caracter personal în sistemele de informații cu date cu caracter personal” | |
| Asigurarea protectiei informatiilor in sistemul national de plati. Baza - o instituție de credit care efectuează transferuri de bani face parte din sistemul național de plăți. |
|
| Legea federală „Cu privire la sistemul național de plăți” din 27 iunie 2011 nr. 161-FZ | clauza 6 din art. 20 din Legea federală din 02.12.1990 nr. 395-1 „Cu privire la bănci și activități bancare” - revocarea licenței |
| Decretul Guvernului Federației Ruse din 13.06.2012 nr. 584 „Cu privire la aprobarea Regulamentului privind protecția informațiilor în sistemul de plăți” | |
| Regulamentul Băncii Rusiei din 9 iunie 2012 N 382-P „Cu privire la cerințele pentru asigurarea protecției informațiilor atunci când se efectuează transferuri de bani și la procedura prin care Banca Rusiei să monitorizeze respectarea cerințelor pentru asigurarea protecției informațiilor când faci transferuri de bani" | |
| Regulamentul Băncii Rusiei nr. 552-P din 24 august 2016 „Cu privire la cerințele pentru protecția informațiilor în sistemul de plăți al Băncii Rusiei” | |
| Documentație operațională pentru SKZI SCAD Signature | |
| Asigurarea securității infrastructurii informaționale critice a Federației Ruse. Temeiul îl constituie banca în virtutea clauzei 8 a art. 2 ФЗ din 26 iulie 2017 Nr. 187-ФЗ este un subiect al infrastructurii informaționale critice |
|
| Legea federală din 26 iulie 2017 nr. 187-FZ „Cu privire la securitatea infrastructurii informaționale critice a Federației Ruse” | - până la 8 ani închisoare |
| Rezoluția Guvernului Federației Ruse din 08.02.2018 N 127 „Cu privire la aprobarea Regulilor pentru clasificarea obiectelor infrastructurii informaționale critice a Federației Ruse, precum și a listei de indicatori ai criteriilor pentru semnificația obiectelor infrastructurii informaționale critice a Federației Ruse și a valorilor acestora” |
|
| Ordinul FSTEC al Rusiei din 21 decembrie 2017 N 235 „Cu privire la aprobarea cerințelor pentru crearea de sisteme de securitate pentru obiectele semnificative ale infrastructurii informaționale critice a Federației Ruse și asigurarea funcționării acestora” (Înregistrat la Ministerul Justiției din Rusia la 22 februarie 2018 N 50118) | |
| Ordinul FSTEC al Rusiei din 06.12.2017 N 227 „Cu privire la aprobarea Procedurii de menținere a registrului obiectelor semnificative ale infrastructurii informaționale critice a Federației Ruse” (Înregistrat la Ministerul Justiției al Rusiei la 08.02.2018 N 49966) | |
| Decretul președintelui Federației Ruse din 22 decembrie 2017 N 620 „Cu privire la îmbunătățirea sistemului de stat pentru detectarea, prevenirea și eliminarea consecințelor atacurilor informatice asupra resurselor informaționale ale Federației Ruse” | |
| Cerințe de protecție a informațiilor stabilite prin acordul privind schimbul de mesaje electronice la transferul de fonduri în cadrul sistemului de plăți al Băncii Rusiei. Baza - acest acord este încheiat de toate instituțiile de credit pentru schimbul electronic de documente de plată cu Banca Rusiei. |
|
| Acord standard pentru schimbul de ES cu aplicații. Documentație pentru AWP KBR, UTA (cerințele pentru utilizarea lor sunt reflectate în clauza 1. Anexa 3 la Acord) |
clauza 9.5.4 din Acord - rezilierea unilaterală a acordului la inițiativa Băncii Rusiei. |
Tabelul 4. 
După cum putem vedea, cerințele AVZ.1și AVZ.2 vorbiți despre ce ar trebui să fie protecția antivirus. Cum să-l configurați exact, pe ce noduri de rețea să instalați, aceste cerințe nu reglementează (Scrisoarea Băncii Rusiei din 24.03.2014 N 49-T recomandă băncilor să aibă antivirusuri de la diverși producători pe stațiile de lucru, serverele și gateway-urile lor).
Situația este similară cu segmentarea rețelei de calculatoare - o cerință ZIS.17... Documentul prescrie doar necesitatea utilizării acestei practici pentru protecție, dar nu spune cum ar trebui să o facă organizația.
Modul în care instrumentele de securitate a informațiilor sunt configurate și sunt implementate mecanismele de securitate poate fi învățat dintr-o specificație tehnică privată pentru un sistem de securitate a informațiilor, formată pe baza rezultatelor modelării amenințărilor la securitatea informațiilor. Adaugă etichete
Sistemul de protecție a informațiilor al băncilor este foarte diferit de strategiile similare ale altor companii și organizații. Acest lucru se datorează în primul rând naturii specifice a amenințărilor, precum și activităților publice ale băncilor, care sunt nevoite să faciliteze accesul la conturi pentru confortul clienților.
Odată cu dezvoltarea și extinderea domeniului de aplicare a tehnologiei informatice, acuitatea problemei asigurării securității sistemelor informatice și protejării informațiilor stocate și procesate în acestea de diverse amenințări este în creștere. Există o serie de motive obiective pentru aceasta.
Principalul este nivelul crescut de încredere în sistemele automate de procesare a informațiilor. Li se încredințează cea mai responsabilă muncă, a cărei calitate determină viața și bunăstarea multor oameni. Calculatoarele controlează procesele tehnologice la întreprinderi și centrale nucleare, mișcările aeronavelor și trenurilor, efectuează tranzacții financiare, procesează informații clasificate.
Există diverse opțiuni pentru protejarea informațiilor - de la un agent de securitate la intrare până la metode verificate matematic de a ascunde datele de la cunoștință. În plus, putem vorbi despre protecția globală și aspectele sale individuale: protecția calculatoarelor personale, a rețelelor, a bazelor de date etc.
Trebuie remarcat faptul că nu există sisteme complet sigure. Putem vorbi despre fiabilitatea sistemului, în primul rând, doar cu o anumită probabilitate și, în al doilea rând, despre protecția față de o anumită categorie de contravenienți. Cu toate acestea, se pot prevedea pătrunderi în sistemul informatic. Apărarea este un fel de competiție între apărare și atac: cel care știe mai multe și oferă măsuri eficiente este câștigătorul.
Organizarea protecției sistemului automat de procesare a informațiilor unei bănci este un singur set de măsuri care trebuie să țină cont de toate caracteristicile procesului de prelucrare a informațiilor. În ciuda inconvenientelor cauzate utilizatorului în timpul lucrului, în multe cazuri, echipamentul de protecție poate fi absolut necesar pentru funcționarea normală a sistemului. Principalele inconveniente menționate mai sus includ Yu.V. Gaikovich, A.S. Pershin. Securitatea sistemelor bancare electronice.-M.: Europa Unită, 1994.- S. 33:
Este greu de imaginat o bancă modernă fără un sistem informatic automatizat. Conectarea calculatoarelor între ele și cu calculatoare mai puternice, precum și cu calculatoarele altor bănci este, de asemenea, o condiție necesară pentru funcționarea cu succes a unei bănci - sunt prea multe operațiuni care trebuie efectuate într-o perioadă scurtă de timp .
În același timp, sistemele informaționale devin una dintre cele mai vulnerabile laturi ale unei bănci moderne, atrăgând intruși, atât din partea personalului băncii, cât și din exterior. Estimările pierderilor din infracțiunile legate de interferența cu sistemele informaționale bancare variază foarte mult. Afectate de varietatea metodelor de calculare a acestora. Furtul mediu de bănci folosind fonduri electronice este de aproximativ 9.000 de dolari, iar unul dintre cele mai importante scandaluri implică o încercare de a fura 700 de milioane de dolari (First National Bank, Chicago).
Mai mult, este necesar să se țină seama nu numai de cantitatea daunelor directe, ci și de măsurile foarte costisitoare care sunt efectuate după încercările de succes de a pătrunde în sistemele informatice. Așadar, unul dintre exemplele cele mai izbitoare este pierderea datelor despre munca cu conturile secrete ale Băncii Angliei în ianuarie 1999. Această pierdere a forțat banca să schimbe codurile tuturor conturilor corespondente. În acest sens, în Marea Britanie, toate forțele de informații și contrainformații disponibile au fost ridicate în alertă pentru a preveni o eventuală scurgere de informații care ar putea provoca pagube enorme. Guvernul a luat măsuri extreme pentru a împiedica străinii să cunoască conturile și adresele către care Banca Angliei trimite zilnic sute de miliarde de dolari. Mai mult, în Marea Britanie le era mai mult frică de o situație în care datele ar putea fi la dispoziția serviciilor de informații străine. În acest caz, întreaga rețea de corespondenți financiari a Băncii Angliei ar fi fost expusă. Prejudiciul a fost eliminat în câteva săptămâni.
Adzhiev V. Mituri despre siguranța software-ului: lecții din dezastre celebre // Sisteme deschise.-1999. - Nr 6 .-- C..21-24
Serviciile oferite astăzi de bănci se bazează în mare măsură pe utilizarea mijloacelor electronice de interacțiune între bănci, bănci și clienții și partenerii lor comerciali. În prezent, accesul la serviciile bancare a devenit posibil din diverse locații la distanță, inclusiv terminale de acasă și computere de birou. Acest fapt face să se îndepărteze de conceptul de „uși încuiate”, care era caracteristic băncilor în anii ’60, când calculatoarele erau folosite în majoritatea cazurilor în modul batch ca mijloc auxiliar și nu aveau nicio legătură cu lumea exterioară.
Nivelul echipamentelor de automatizare joaca un rol important in activitatile bancii si, prin urmare, afecteaza direct pozitia si veniturile acesteia. Întărirea concurenței între bănci duce la necesitatea reducerii timpului de efectuare a decontărilor, măririi gamei și îmbunătățirii calității serviciilor oferite. Cu cât decontările între bancă și clienți durează mai puțin, cu atât va deveni mai mare cifra de afaceri a băncii și, în consecință, profitul. În plus, banca va putea răspunde mai rapid la schimbările din situația financiară. O varietate de servicii bancare (în primul rând, aceasta se referă la posibilitatea plăților fără numerar între bancă și clienții săi folosind carduri de plastic) pot crește semnificativ numărul clienților săi și, ca urmare, pot crește profiturile.
Securitatea informațiilor bancare ar trebui să țină cont de următorii factori specifici:
Infracțiunile din sectorul bancar au și ele caracteristici proprii Gamza V.A. , Tkachuk I.B. Securitatea unei bănci comerciale.- M ..: Europa Unită, 2000.- C..24:
De regulă, atacatorii folosesc de obicei propriile conturi, către care sunt transferate sumele furate. Majoritatea criminalilor nu știu să spele banii furați. A ști să comiți o infracțiune și a ști să obții bani nu sunt același lucru.
Majoritatea infracțiunilor informatice sunt mărunte. Daunele cauzate de acestea variază de la 10.000 USD la 50.000 USD.
Crimele informatice de succes necesită de obicei un număr mare de tranzacții bancare (până la câteva sute). Cu toate acestea, sume mari pot fi transferate în doar câteva tranzacții.
Majoritatea atacatorilor sunt funcționari. Deși personalul de vârf al băncii poate săvârși și infracțiuni și să provoace mult mai multe daune băncii, astfel de cazuri sunt rare.
Crimele informatice nu sunt întotdeauna de înaltă tehnologie. Este suficientă falsificarea datelor, modificarea parametrilor mediului ASOIB etc., iar aceste acțiuni sunt disponibile personalului de întreținere.
Mulți infractori cibernetici își explică acțiunile prin faptul că doar se împrumută de la o bancă cu un randament ulterioar. Cu toate acestea, de regulă, nu există „întoarcere”.
Specificul protecției sistemelor automate de procesare a informațiilor băncilor se datorează particularităților sarcinilor pe care le rezolvă:
De regulă, ASOIB procesează un flux mare de solicitări care sosesc constant în timp real, fiecare dintre acestea nu necesită numeroase resurse pentru procesare, dar toate împreună pot fi procesate doar de un sistem performant;
ASOIB stochează și prelucrează informații confidențiale care nu sunt destinate publicului larg. Falsificarea sau scurgerea acestuia poate duce la consecințe grave (pentru bancă sau clienții săi). Prin urmare, ASOIB sunt sortite să rămână relativ închise, să lucreze sub controlul unor programe specifice și să acorde o mare atenție asigurării securității acestora;
O altă caracteristică a ASOIB este cerințele crescute pentru fiabilitatea software-ului și hardware-ului. Din această cauză, multe ASOIB moderne gravitează spre așa-numita arhitectură tolerantă la erori a computerelor, care permite prelucrarea continuă a informațiilor chiar și în condițiile diferitelor defecțiuni și defecțiuni.
Utilizarea ASOI de către bănci este asociată cu specificul protecției acestor sisteme, prin urmare băncile ar trebui să acorde mai multă atenție protecției sistemelor lor automatizate.
Concluzii la primul capitol:
În sectorul bancar, a apărut inițial o problemă legată de confidențialitatea informațiilor, stocarea și protecția acestora. Securitatea datelor instituțiilor bancare joacă un rol important în afaceri, deoarece concurenții și criminalii sunt întotdeauna interesați de astfel de informații și depun toate eforturile pentru a le realiza. Pentru a evita acest tip de problemă, trebuie să învățați cum să vă protejați datele bancare. Pentru ca protecția informațiilor bancare să fie eficientă, este necesar, în primul rând, să se țină cont de toate metodele posibile de scurgere de informații. Și anume: să verifice cu atenție datele persoanelor în selecția personalului, să le verifice datele biografice și posturile anterioare.
Toate datele informaționale prelucrate de organizațiile bancare și de credit sunt în pericol. Acestea sunt atât date despre clienți, cât și date despre activitatea directă a băncilor, bazele de date ale acestora și așa mai departe. Cert este că astfel de informații pot fi utile atât concurenților, cât și persoanelor implicate în activități criminale. Acțiunile lor, în comparație cu problemele care decurg din deteriorarea virală hardware sau defecțiunile sistemului de operare, aduc daune cu adevărat colosale organizațiilor de acest fel.
Protecția serverelor bancare și a rețelelor locale împotriva intrușilor și a accesului neautorizat la materialele companiei este esențială în societatea extrem de competitivă de astăzi.
Securitatea informațională a sistemelor instituțiilor bancare este importantă deoarece asigură menținerea confidențialității datelor despre clienții băncilor. Backup-urile zilnice ale organizațiilor reduc riscul de a pierde complet informațiile critice. În plus, au fost dezvoltate metode pentru a proteja datele împotriva amenințărilor legate de accesul neautorizat. Scurgerea acestui tip de informații poate apărea ca urmare a muncii atât a serviciilor de spionaj, trimise special organizației, cât și a angajaților care lucrează de mult timp și au decis să facă bani prin sustragerea activelor informaționale ale băncii. Siguranța este asigurată datorită muncii profesioniștilor și specialiștilor care își cunosc afacerea.
Protecția clienților este unul dintre cei mai importanți indicatori care afectează reputația băncii în ansamblu, inclusiv veniturile organizației. Deoarece doar recenziile bune vor ajuta banca să atingă un nivel ridicat de servicii și să-și depășească concurenții.
Una dintre cele mai obișnuite modalități de a fura informații bancare este să folosești o copie de rezervă, să scoți date de pe un transportator sau să simulezi hacking, dar nu cu scopul de a sustrage bunuri materiale, ci pentru a obține acces la informații de pe server. Deoarece backup-urile sunt de obicei stocate în locații separate pe unitățile de bandă, backup-urile pot fi făcute în timpul transportului la destinație. De aceea, angajații care sunt angajați pentru o astfel de muncă sunt verificați cu atenție prin diferite organe de stat pentru cazierele judiciare, problemele cu legea în trecut, inclusiv fiabilitatea informațiilor furnizate despre ei înșiși. Prin urmare, nu subestimați această posibilitate de furt de informații bancare, deoarece practica mondială este plină de astfel de cazuri.
De exemplu, în 2005, baza de date a tranzacțiilor Băncii Centrale a Federației Ruse a fost scoasă la vânzare. Este posibil ca aceste informații să fi scurs în afara organizației bancare tocmai din cauza securității insuficiente a sistemelor bancare. O situație similară s-a întâmplat de mai multe ori în companiile de renume mondial din Statele Unite ale Americii, a căror securitate a informațiilor a suferit foarte mult din cauza asta.
Interviu cu șeful serviciului de securitate al băncii:
Mai mult, o altă modalitate, în urma căreia pot apărea scurgeri de informații din sisteme, este angajații băncii dornici să facă bani din asta. În ciuda faptului că, în cele mai multe cazuri, accesul neautorizat la informații în sistemele bancare se face doar pentru a avea posibilitatea de a lucra acasă, ele sunt motivul difuzării informațiilor care sunt confidențiale. În plus, aceasta este o încălcare directă a politicii de securitate a sistemelor organizațiilor bancare.
De asemenea, trebuie remarcat faptul că orice bancă angajează persoane care au privilegii semnificative pentru a accesa astfel de date. Aceștia sunt de obicei administratori de sistem. Pe de o parte, aceasta este o necesitate de producție, care face posibilă îndeplinirea sarcinilor oficiale, iar pe de altă parte, o pot folosi în scopuri proprii și, în același timp, sunt capabile să-și „acopere urmele” profesional.
Protecția informațiilor bancare împotriva accesului neautorizat include de obicei cel puțin 3 componente. Fiecare dintre aceste componente ajută la asigurarea siguranței băncilor chiar în zona în care este utilizată. Aceasta include protecția împotriva accesului fizic, backup-urile și protecția împotriva persoanelor din interior.
Deoarece băncile acordă o atenție deosebită accesului fizic și încearcă să elimine complet posibilitatea accesului neautorizat, acestea trebuie să utilizeze mijloace și metode speciale pentru criptarea și criptarea informațiilor importante. Deoarece băncile au sisteme și instrumente similare pentru protejarea datelor, este mai bine să folosiți garanții criptografice. Ele ajută la păstrarea informațiilor comerciale, precum și la reducerea riscurilor unor astfel de situații. Cel mai bine este să stocați informații criptate folosind principiul criptării transparente, care ajută la reducerea costurilor de protecție a informațiilor și, de asemenea, vă eliberează de nevoia de a decripta și a cripta în mod constant datele.
Având în vedere faptul că toate datele sistemelor bancare sunt de fapt banii clienților, trebuie acordată atenția cuvenită siguranței acestora. O modalitate este de a determina dacă există sectoare defecte pe hard disk. Funcția de anulare sau suspendare a procesului joacă un rol important în criptarea inițială, criptarea, decriptarea și re-criptarea discului. Această procedură durează mult timp și, prin urmare, orice eșec poate duce la o pierdere completă a informațiilor. Cel mai sigur mod de a stoca cheile de criptare și de sistem este cu carduri inteligente sau chei USB.
Protecția sistemelor de informații se realizează mai eficient datorită utilizării nu numai a streamer-urilor, ci și a hard disk-urilor amovibile, a DVD-urilor și a altora. Utilizarea complexă a mijloacelor de protecție împotriva pătrunderii fizice a surselor de informații crește șansele siguranței și inviolabilității acestora din partea concurenților și a infractorilor.
În acest videoclip, veți afla despre pașii de urmat:
Practic, furtul de informații are loc folosind medii mobile, diferite tipuri de dispozitive USB, unități de disc, carduri de memorie și alte dispozitive mobile. Prin urmare, una dintre soluțiile corecte este interzicerea utilizării unor astfel de dispozitive la locul de muncă. Tot ceea ce este necesar este conținut pe servere și este atent monitorizat unde și de unde sunt transferate informațiile în mediul bancar. În plus, în cazuri extreme, puteți utiliza numai suporturi care sunt achiziționate de companie. Puteți seta restricții speciale pentru a împiedica computerul să recunoască mediile străine și cardurile de memorie.
Protecția informațiilor este una dintre cele mai importante sarcini ale organizațiilor bancare, care este necesară pentru funcționarea eficientă. Piața modernă are mari oportunități pentru implementarea acestor planuri. Blocarea computerelor și a porturilor este o condiție prealabilă critică pentru a vă securiza mai eficient sistemele.
Nu trebuie uitat că și persoanele implicate în furtul de date sunt familiarizate cu setul de sisteme care protejează informațiile comerciale și le pot ocoli cu ajutorul specialiștilor. Pentru a preveni apariția unor astfel de riscuri, trebuie să lucrați constant pentru a îmbunătăți securitatea și să încercați să utilizați sisteme avansate de protecție.
Studenții, studenții absolvenți, tinerii oameni de știință care folosesc baza de cunoștințe în studiile și munca lor vă vor fi foarte recunoscători.
postat pe http://www.allbest.ru/
Instituția bugetară pentru educație de stat federală
studii profesionale superioare
Universitatea Financiară din cadrul Guvernului Federației Ruse
(Universitatea financiară)
Departament" Informatica si programare"
abstract
Nsi subiectul: Securitatea informațiilor în sectorul bancar
Efectuat:
Faizulina
Victoria Igorevna
Introducere
Concluzie
Anexa 1
Anexa 2
Anexa 3
Introducere
De la înființare, băncile au trezit invariabil interes penal. Și acest interes a fost asociat nu numai cu stocarea fondurilor în instituțiile de credit, ci și cu faptul că informații importante și adesea secrete despre activitățile financiare și economice ale multor oameni, companii, organizații și chiar state întregi erau concentrate în bănci. În prezent, ca urmare a răspândirii pe scară largă a plăților electronice, cardurile de plastic, rețelele de calculatoare, fondurile ambelor bănci și ale clienților acestora au devenit obiectul unor atacuri informaționale. Oricine poate încerca să fure - aveți nevoie doar de un computer conectat la internet. Mai mult, acest lucru nu necesită intrarea fizică în bancă, puteți „lucra” și la mii de kilometri de ea. Această problemă este acum cea mai urgentă și cel mai puțin studiată. Dacă în asigurarea securității fizice și clasice a informațiilor s-au dezvoltat de mult abordări bine stabilite (deși dezvoltarea are loc și aici), atunci în legătură cu frecventele schimbări radicale în tehnologiile informatice, metodele de securitate ale sistemelor automate de procesare a informațiilor ale băncii ( ASOIB) necesită actualizare constantă. După cum arată practica, nu există sisteme informatice complexe care să nu conțină erori. Și întrucât ideologia construirii ASOIB mari se schimbă în mod regulat, corectarea erorilor și „găurilor” găsite în sistemele de securitate nu este suficientă pentru mult timp, deoarece noul sistem informatic aduce noi probleme și noi erori, face necesară reconstruirea sistemului de securitate în un nou mod.
În opinia mea, toată lumea este interesată de confidențialitatea datelor personale furnizate băncilor. Pe baza acestui fapt, scrierea acestui eseu și studierea acestei probleme, după părerea mea, este nu numai interesantă, ci și extrem de utilă.
1. Caracteristici ale securității informațiilor băncilor
Informațiile bancare au fost întotdeauna obiectul unui interes apropiat al tuturor tipurilor de intruși. Orice infracțiune bancară începe cu scurgerea de informații. Sistemele bancare automate sunt canale pentru astfel de scurgeri. Încă de la începutul introducerii sistemelor bancare automatizate (ABS), acestea au devenit obiectul unor încălcări criminale.
De exemplu, se știe că în august 1995, în Marea Britanie a fost arestat matematicianul rus Vladimir Levin, în vârstă de 24 de ani, care, folosind computerul de acasă din Sankt Petersburg, a reușit să pătrundă în sistemul bancar al uneia dintre cele mai mari bănci americane. , Citibank, și a încercat să retragă sume mari din conturile sale. Potrivit biroului din Moscova al Citibank, până atunci nimeni nu a reușit. Serviciul de securitate Citibank a aflat că au încercat să fure 2,8 milioane de dolari de la bancă, dar sistemele de control au descoperit acest lucru la timp și au blocat conturile. Au reușit să fure doar 400 de mii de dolari. Materiale ale agenției „Interfax”. 1995-2009 ...
În Statele Unite, valoarea pierderilor anuale ale instituțiilor bancare din utilizarea ilegală a informațiilor informatice este, potrivit experților, de la 0,3 la 5 miliarde de dolari. Informația este un aspect al problemei generale a securității bancare.
În acest sens, strategia de securitate a informațiilor a băncilor este foarte diferită de strategiile similare ale altor companii și organizații. Acest lucru se datorează în primul rând naturii specifice a amenințărilor, precum și activităților publice ale băncilor, care sunt nevoite să faciliteze accesul la conturi pentru confortul clienților.
O companie obișnuită își construiește securitatea informațiilor bazată doar pe o gamă restrânsă de potențiale amenințări - protejând în principal informațiile față de concurenți (în realitățile ruse, sarcina principală este de a proteja informațiile de la autoritățile fiscale și de la comunitatea criminală pentru a reduce probabilitatea unui atac necontrolat). creșterea plăților de impozite și racket). Astfel de informații sunt de interes doar pentru un cerc restrâns de persoane și organizații interesate și sunt rareori lichide, de exemplu. convertibil în formă monetară.
Securitatea informațiilor bancare ar trebui să țină cont de următorii factori specifici:
1. Informațiile stocate și procesate în sistemele bancare sunt bani reali. Pe baza informațiilor computerului se pot face plăți, se pot deschide împrumuturi, se pot transfera sume importante. Este destul de clar că manipularea ilegală a unor astfel de informații poate duce la pierderi grave. Această caracteristică extinde dramatic cercul infractorilor care invadează băncile (spre deosebire de, de exemplu, companiile industriale, ale căror informații interne nu interesează pe nimeni).
2. Informațiile din sistemele bancare afectează interesele unui număr mare de persoane și organizații - clienții băncii. Este, în general, confidențial, iar banca este responsabilă pentru menținerea gradului de secret necesar pentru clienții săi. Desigur, clienții au dreptul să se aștepte ca banca să aibă grijă de interesele lor, altfel își riscă reputația cu toate consecințele care decurg.
3. Competitivitatea băncii depinde de cât de convenabil este pentru client să lucreze cu banca, precum și de cât de largă este gama de servicii oferite, inclusiv servicii legate de accesul la distanță. Prin urmare, clientul ar trebui să-și poată gestiona banii rapid și fără proceduri obositoare. Dar această ușurință de acces la bani crește probabilitatea infiltrării criminale în sistemele bancare.
4. Securitatea informațională a unei bănci (spre deosebire de majoritatea companiilor) trebuie să asigure o fiabilitate ridicată a sistemelor informatice chiar și în cazul unor situații de urgență, întrucât banca este responsabilă nu doar de fondurile proprii, ci și de banii clienților.
5. Banca stochează informații importante despre clienții săi, ceea ce extinde cercul potențialilor intruși interesați să fure sau să deterioreze astfel de informații.
Din păcate, în zilele noastre, din cauza dezvoltării înalte a tehnologiei, chiar și măsurile organizaționale extrem de stricte pentru eficientizarea muncii cu informații confidențiale nu vor proteja împotriva scurgerii acesteia prin canale fizice. Prin urmare, o abordare sistematică a protecției informațiilor impune ca mijloacele și acțiunile utilizate de bancă pentru asigurarea securității informațiilor (organizaționale, fizice și software și hardware) să fie considerate ca un singur set de măsuri interdependente, complementare și care interacționează. Un astfel de complex ar trebui să vizeze nu numai protejarea informațiilor împotriva accesului neautorizat, ci și prevenirea distrugerii accidentale, modificării sau dezvăluirii informațiilor Automatizarea operațiunilor bancare: un tutorial. Partea 2 Preobrazhensky N.B. Editura: ATiSO, 2008.
2. Factorul uman în asigurarea securității informațiilor
Infracțiunile, inclusiv în sfera informațională, sunt comise de oameni. Majoritatea sistemelor nu pot funcționa normal fără intervenția umană. Utilizatorul sistemului, pe de o parte, este elementul necesar al acestuia, iar pe de altă parte, el este cauza și forța motrice a încălcării sau a infracțiunii. Problemele de securitate ale sistemelor (inclusiv cele informatice), prin urmare, în cea mai mare parte sunt probleme de relații umane și comportament uman. Acest lucru este valabil mai ales în domeniul securității informațiilor, deoarece scurgerea de informații în majoritatea covârșitoare a cazurilor are loc din vina angajaților băncii V.A.Krysin. Siguranța afacerii. - M: Finanțe și Statistică, 2008.
Atunci când se analizează încălcările securității, trebuie acordată o mare atenție nu numai faptului în sine (adică obiectului încălcării), ci și personalității contravenientului, adică subiectului încălcării. O astfel de atenție va ajuta la înțelegerea motivațiilor și, poate, va face posibilă evitarea repetării unor astfel de situații în viitor.
Valoarea unei asemenea analize se datorează și faptului că infracțiunile săvârșite fără motiv (dacă nu vorbim de neglijență) sunt foarte, foarte rare.
După ce ați investigat cauza infracțiunilor sau încălcărilor, puteți fie să influențați chiar motivul (dacă este posibil), fie să orientați sistemul de apărare tocmai către aceste tipuri de infracțiuni sau încălcări.
În primul rând, oricine este sursa încălcării, oricare ar fi aceasta, toți contravenienții au un lucru în comun - accesul la sistem. Accesul poate fi diferit, cu drepturi diferite, la diferite părți ale sistemului, prin intermediul rețelei, dar trebuie să fie.
2.1 Amenințări la adresa securității informațiilor băncii din partea personalului
Potrivit Datapro Information Services Group, 81,7% din încălcări sunt comise de proprii angajați ai organizației care au acces la sistemul acesteia, iar doar 17,3% dintre încălcări sunt comise de persoane din exterior (1% sunt accidentale). Conform altor date, distrugerea fizică reprezintă aproximativ 25% din încălcări (incendiu, inundații, pagube) și doar 1-2% sunt încălcări ale persoanelor neautorizate. Astfel, 73-74% din totalul infracțiunilor rămân în sarcina salariaților. Diferite ca număr, rezultatele ambelor studii indică un lucru: principala sursă de încălcări este chiar în cadrul ASOIB. Iar concluzia din aceasta este, de asemenea, lipsită de ambiguitate: nu contează dacă ASOIB are legături cu lumea exterioară și dacă există protecție externă, dar protecția internă trebuie să fie obligatorie.
Există patru motive principale pentru încălcări: iresponsabilitatea, autoafirmarea, răzbunarea și interesul egoist al utilizatorilor (personalului) ASOIB.
În cazul încălcărilor cauzate de iresponsabilitate, utilizatorul efectuează în mod deliberat sau accidental orice acțiuni distructive care nu sunt, totuși, legate de intenții rău intenționate. În cele mai multe cazuri, acest lucru se datorează incompetenței sau neglijenței. Este puțin probabil ca designerii de securitate să poată anticipa toate aceste situații. În plus, în multe cazuri, sistemul este practic incapabil să prevină astfel de încălcări (de exemplu, distrugerea accidentală a propriului set de date). Uneori, erorile în menținerea unui mediu sigur adecvat pot încuraja acest tip de încălcare. Chiar și cel mai bun sistem de securitate va fi compromis dacă este prost configurat. Alături de nepregătirea utilizatorilor pentru respectarea exactă a măsurilor de protecție, această împrejurare poate face sistemul vulnerabil la acest tip de încălcare.
Unii utilizatori consideră că obținerea accesului la seturile de date de sistem este un succes major, jucând un fel de joc de utilizator versus sistem de dragul autoafirmației, fie în ochii lor, fie în ochii colegilor. Deși intenția poate fi inofensivă, exploatarea resurselor ASOIB este considerată o încălcare a politicii de securitate. Utilizatorii cu intenții mai serioase pot găsi date confidențiale, pot încerca să le strice sau să le distrugă în timp ce fac acest lucru. Acest tip de încălcare se numește sondarea sistemului. Majoritatea sistemelor au o serie de mijloace de a contracara astfel de „farse”. Dacă este necesar, administratorul de protecție le folosește temporar sau permanent.
Încălcarea securității ASOIB poate fi cauzată și de interesul egoist al utilizatorului sistemului. În acest caz, va încerca în mod deliberat să depășească sistemul de securitate pentru a accesa informațiile stocate, transmise și prelucrate în ASOIB. Chiar dacă ASOIB dispune de mijloace care fac o astfel de pătrundere extrem de dificilă, este aproape imposibil să o protejezi complet de pătrundere. Oricine a pătruns cu succes este foarte priceput și periculos. Penetrarea este cel mai periculos tip de încălcare, cu toate acestea, este extrem de rară, deoarece necesită abilități și perseverență extraordinare.
După cum arată practica, prejudiciul din fiecare tip de încălcare este invers proporțional cu frecvența acestuia: cel mai adesea există încălcări cauzate de neglijență și iresponsabilitate, de obicei daunele cauzate de acestea sunt nesemnificative și ușor compensate. De exemplu, un set de date distrus accidental poate fi recuperat dacă observați imediat o eroare. Dacă informațiile sunt importante, atunci este necesar să păstrați o copie de rezervă actualizată în mod regulat, atunci daunele sunt în general aproape invizibile.
Astfel, pentru a organiza o protecție fiabilă, este necesar să înțelegem clar care încălcări sunt cele mai importante pentru a scăpa. Pentru a proteja împotriva încălcărilor cauzate de neglijență, este necesară o protecție minimă, pentru protecție împotriva sondajului sistemului - cea mai dură și mai strictă, împreună cu monitorizarea constantă - împotriva intruziunii. Scopul unor astfel de acțiuni ar trebui să servească la un lucru - să asigure operabilitatea ASOIB în general și a sistemului său de protecție în special.
Metodele de prevenire a încălcărilor provin din natura stimulentelor - instruirea adecvată a utilizatorilor, precum și menținerea unui climat de lucru sănătos în echipă, recrutarea personalului, detectarea potențialilor intruși în timp util și luarea măsurilor adecvate. Prima dintre ele este sarcina administrării sistemului, a doua este a psihologului și a întregii echipe în ansamblu. Numai în cazul unei combinații a acestor măsuri este posibil să nu se corecteze încălcările și să nu se cerceteze infracțiunile, ci să se prevină însăși cauza acestora.
Atunci când se creează un model de intrus și se evaluează riscul de pierderi din acțiunile personalului, este necesar să se diferențieze toți angajații în funcție de capacitatea lor de a accesa sistemul și, prin urmare, în funcție de eventualele daune din fiecare categorie de utilizatori. De exemplu, un operator sau un programator al unui sistem bancar automat poate provoca daune incomparabil mai mari decât un utilizator obișnuit, cu atât mai mult un profan.
2.2 Politica resurselor umane din punct de vedere al securității informațiilor
Practica recentă arată că diferite tipuri de infracțiuni și infracțiuni, diferite ca amploare, consecințe și semnificație, sunt într-un fel sau altul legate de acțiuni specifice ale angajaților structurilor comerciale. În acest sens, pare oportun și necesar, pentru creșterea securității economice a acestor dotări, să se acorde mai multă atenție selecției și studierii personalului, să se verifice orice informație care indică comportamentul îndoielnic al acestora și legăturile compromițătoare. Contractele trebuie să sublinieze în mod clar responsabilitățile funcționale personale ale tuturor categoriilor de angajați ai întreprinderilor comerciale și, pe baza legislației ruse existente în ordinele și comenzile interne, să stabilească responsabilitatea acestora pentru orice tip de încălcare legată de dezvăluirea sau scurgerea de informații care constituie un secret comercial.
În plus, în acest sens, este recomandabil să remarcăm că principalele bănci comerciale din Moscova introduc din ce în ce mai mult ștampila „confidențială” în documentele lor oficiale și distribuie diferite tipuri de sporuri salariale pentru categoriile respective de personal.
Dacă evaluăm în mod obiectiv procedurile actuale de selecție a personalului, reiese că în multe bănci, din păcate, se pune accentul în primul rând pe aflarea doar a nivelului de pregătire profesională a candidaților la post, care este adesea determinat de criterii formale tradiționale: educație. ; deversare; experiență de muncă în specialitate. În astfel de bănci, cu un număr foarte limitat de angajați, combinarea din ce în ce mai frecventă a diverselor domenii de activitate de către performeri obișnuiți și fluxurile de informații și echipe de management în creștere rapidă, fiecare angajat devine din ce în ce mai mult purtător de informații confidențiale care pot fi de interes atât pentru concurenți cât și pentru criminali.comunități.
Obținerea, în cadrul legislației ruse actuale, a cantității maxime de informații despre candidații la muncă, verificarea temeinică a documentelor depuse, atât prin capacitățile oficiale, cât și operaționale, inclusiv prin serviciile de securitate ale unei bănci sau ale unei agenții de detectivi private, coerență în analiza informațiilor colectate pentru candidații relevanți;
Efectuarea unui set de măsuri de verificare în raport cu candidații la post, rudele acestora, foștii colegi, apropiați în cazurile în care se are în vedere problema admiterii acestora în funcții de conducere sau admiterii la informații constitutive de secret comercial;
Utilizarea metodelor moderne, în special interviurile și testarea, pentru a crea un portret psihologic al candidaților pentru un loc de muncă, care ar face posibilă judecarea cu încredere a trăsăturilor principale ale caracterului și prezicerea acțiunilor lor probabile în diferite situații extreme; plata personalului
Evaluarea, prin metode psihologice moderne, a factorilor diverși și diverși care pot împiedica admiterea candidaților la muncă sau folosirea acestora în funcții specifice;
Determinarea unei anumite perioade de probă pentru candidații la muncă în structuri comerciale în vederea verificării și identificării în continuare a calităților de afaceri și personale, alți factori care ar putea împiedica admiterea acestora pe post;
Introducere în practica controalelor cuprinzătoare regulate și neașteptate ale personalului, inclusiv prin capacitățile serviciilor de securitate;
Alocarea unui curator de muncă de personal dintre primii șefi ai structurilor comerciale pentru a monitoriza activitățile departamentelor de personal și ale serviciilor de securitate atunci când lucrează cu personalul.
Se poate concluziona că antreprenorii ruși își schimbă din ce în ce mai mult atitudinea față de „factorul uman” și adoptă metode moderne de lucru cu personalul din departamentele lor de personal și din serviciile de securitate. Este evident că dezvoltarea ulterioară în acest domeniu este asociată cu utilizarea activă a potențialului semnificativ al metodelor de psihanaliză, psihologia și etica managementului, managementul conflictelor și o serie de alte științe și o integrare mai completă a specialiștilor relevanți în întreprinderile comerciale.
3. Securitatea sistemelor automate de procesare a informațiilor în bănci (ASOIB)
Nu va fi exagerat să spunem că problema perturbărilor deliberate în funcționarea ASOIB în diverse scopuri este în prezent una dintre cele mai urgente. Această afirmație este cea mai adevărată pentru țările cu o infrastructură informațională foarte dezvoltată, ceea ce este dovedit convingător de cifrele de mai jos Gaikovich Yu.V., Pershin A.S. Securitatea sistemelor bancare electronice. - M: Europa Unită, 2008.
Se știe că în 1992 prejudiciul cauzat de infracțiunile informatice s-a ridicat la 555 de milioane de dolari, 930 de ani de timp de lucru și 15,3 ani de timp pe calculator. Potrivit altor date, daunele aduse organizațiilor financiare variază de la 173 de milioane de dolari până la 41 de miliarde de dolari pe an.Demin V.S. și alte sisteme bancare automatizate. - M: Menatep-Inform, 2009. ...
Din acest exemplu, putem concluziona că sistemele de prelucrare și protecție a informațiilor reflectă abordarea tradițională a rețelei de calculatoare ca mediu de transmisie a datelor potențial nesigur. Există mai multe modalități principale de a asigura securitatea mediului software și hardware, implementate prin diferite metode:
1.1. Crearea profilurilor de utilizator. Pe fiecare dintre noduri este creată o bază de date cu utilizatori, parolele acestora și profilurile de acces la resursele locale ale sistemului de calcul.
1.2. Crearea profilurilor de proces. Sarcina de autentificare este efectuată de un server independent (terț), care conține parole atât pentru utilizatori, cât și pentru serverele țintă (în cazul unui grup de servere, baza de date de parole conține și un singur server de autentificare (master); restul sunt doar copii actualizate periodic)... Astfel, utilizarea serviciilor de rețea necesită două parole (deși utilizatorul trebuie să cunoască doar una - a doua îi este furnizată de server într-o manieră „transparentă”). Evident, serverul devine blocajul întregului sistem, iar piratarea acestuia poate compromite securitatea întregii rețele de calculatoare.
2. Încapsularea informațiilor transmise în protocoale speciale de schimb. Utilizarea unor astfel de metode în comunicații se bazează pe algoritmi de criptare cu cheie publică. În etapa de inițializare, se creează o pereche de chei - publică și privată, disponibile doar persoanei care publică cheia publică. Esența algoritmilor de criptare cu chei publice este că operațiunile de criptare și decriptare sunt efectuate cu chei diferite (deschise și, respectiv, private).
3. Restricționarea fluxurilor de informații. Acestea sunt tehnici cunoscute pentru împărțirea unei rețele locale în subrețele asociate și pentru controlul și limitarea transferului de informații între aceste subrețele.
3.1. Firewall-uri Metoda presupune crearea de servere intermediare speciale între rețeaua locală a băncii și alte rețele, care inspectează, analizează și filtrează tot fluxul de date care trece prin acestea (trafic de rețea/layer de transport). Acest lucru poate reduce dramatic amenințarea accesului neautorizat din exterior la rețelele corporative, dar nu elimină deloc acest pericol. O versiune mai sigură a metodei este masquerading, atunci când tot traficul care provine din rețeaua locală este trimis în numele serverului firewall, făcând rețeaua locală închisă practic invizibilă.
3.2. Servere proxy. Cu această metodă, se introduc restricții stricte asupra regulilor de transfer de informații în rețea: tot traficul de rețea / stratul de transport dintre rețelele locale și globale este complet interzis - pur și simplu nu există nicio rutare ca atare și apelurile din rețeaua locală către globală apar prin servere intermediare speciale. Evident, prin această metodă, apelurile din rețeaua globală către cea locală devin imposibile în principiu. De asemenea, este evident că această metodă nu oferă suficientă protecție împotriva atacurilor la niveluri superioare, de exemplu, la nivelul unei aplicații software.
4. Crearea de rețele private virtuale (VPN) vă permite să asigurați în mod eficient confidențialitatea informațiilor, protecția acestora împotriva interceptărilor sau interferențelor în timpul transmiterii datelor. Acestea vă permit să stabiliți comunicații confidențiale și securizate prin rețeaua deschisă, care este de obicei Internet, și să extindă limitele rețelelor corporative la birouri la distanță, utilizatori de telefonie mobilă, utilizatori casnici și parteneri de afaceri. Tehnologia de criptare elimină posibilitatea de a asculta cu urechea sau de a citi de către alte persoane decât destinatarii autorizați a mesajelor transmise printr-un VPN, prin aplicarea unor algoritmi matematici avansați pentru a cripta mesajele și atașamentele acestora. Concentratoarele Cisco VPN din seria 3000 sunt recunoscute pe scară largă ca fiind cea mai bună soluție VPN de acces la distanță din clasă. Concentratoare Cisco VPN 3000 cu cele mai avansate capabilități cu fiabilitate ridicată și o arhitectură unică, cu scop. Permite corporațiilor să construiască infrastructuri VPN de înaltă performanță, scalabile și puternice pentru a susține aplicații de acces la distanță esențiale. Routerele Cisco, care sunt optimizate pentru VPN-uri, cum ar fi routerele Cisco 800, 1700, 2600, 3600, 7100 și 7200, sunt instrumente ideale pentru construirea de VPN-uri de la un site la altul.
5. Sistemele de detectare a intruziunilor și scanerele de vulnerabilitate creează un nivel suplimentar de securitate a rețelei. Deși firewall-urile permit sau întârzie traficul în funcție de sursă, destinație, port sau alte criterii, ele nu analizează efectiv traficul pentru atacuri și nu caută vulnerabilități în sistem. În plus, firewall-urile de obicei nu se ocupă de amenințările interne de la „insider”. Sistemul Cisco de detectare a intruziunilor (IDS) poate proteja rețeaua perimetrală, rețelele partenerilor de afaceri și rețelele interne din ce în ce mai vulnerabile în timp real. Sistemul folosește agenți, care sunt dispozitive de rețea de înaltă performanță, pentru a analiza pachete individuale pentru a detecta activități suspecte. Dacă există activitate neautorizată sau atac de rețea în fluxul de date din rețea, agenții pot detecta încălcarea în timp real, pot trimite alarme administratorului și pot bloca accesul intrusului în rețea. Pe lângă detectarea intruziunilor în rețea, Cisco oferă, de asemenea, sisteme de detectare a intruziunilor bazate pe server, care protejează în mod eficient anumite servere din rețeaua unui utilizator, în primul rând serverele Web și de comerț electronic. Cisco Secure Scanner este un scaner software de calitate industrială care permite unui administrator să identifice și să repare vulnerabilitățile de securitate a rețelei înainte ca hackerii să le găsească.
Pe măsură ce rețelele cresc și devin mai complexe, devine primordial să se solicite controale centralizate ale politicii de securitate pentru a gestiona elementele de securitate. Instrumentele inteligente care pot indica, gestiona și audita politicile de securitate fac soluțiile dvs. de securitate a rețelei mai practice și mai eficiente. Soluțiile Cisco în acest domeniu au o abordare strategică a managementului securității. Cisco Secure Policy Manager (CSPM) acceptă elementele de securitate Cisco ale rețelelor corporative, oferind o implementare cuprinzătoare și consecventă a politicilor de securitate. Cu CSPM, clienții pot defini, aplica și valida politicile de securitate pentru sute de firewall-uri și agenți IDS Cisco Secure PIX și Cisco IOS Firewall Feature Set. CSPM acceptă, de asemenea, standardul IPsec pentru construirea de VPN-uri private virtuale. În plus, CSPM face parte din sistemul de management corporativ CiscoWorks2000 / VMS.
Rezumând metodele de mai sus, putem spune că dezvoltarea sistemelor informaționale necesită dezvoltarea paralelă a tehnologiilor de transmitere și protecție a informațiilor. Aceste tehnologii ar trebui să asigure protecția informațiilor transmise, făcând rețeaua „fiabilă”, deși fiabilitatea în stadiul actual este înțeleasă ca fiabilitate nu la nivel fizic, ci mai degrabă la nivel logic (nivel informațional).
Există, de asemenea, o serie de activități suplimentare care implementează următoarele principii:
1. Monitorizarea proceselor. Metoda de monitorizare a proceselor este de a crea o extensie specială a sistemului, care să efectueze în mod constant unele tipuri de verificări. Este evident că un anumit sistem devine vulnerabil din exterior doar atunci când oferă o oportunitate de acces extern la resursele sale informaţionale. Atunci când se creează mijloace de acces (procese server), de regulă, există o cantitate suficientă de informații a priori legate de comportamentul proceselor client. Din păcate, în cele mai multe cazuri, aceste informații sunt pur și simplu ignorate. După ce procesul extern este autentificat în sistem, acesta este considerat autorizat pe tot parcursul ciclului său de viață să acceseze o anumită cantitate de resurse informaționale fără verificări suplimentare.
Deși nu este posibilă indicarea tuturor regulilor de comportare a unui proces extern în majoritatea cazurilor, este destul de realist să le definim prin negație sau, cu alte cuvinte, să indicați ceea ce procesul extern nu poate face în nicio condiție. Pe baza acestor verificări pot fi monitorizate evenimente periculoase sau suspecte. De exemplu, următoarea figură prezintă elemente de monitorizare și evenimente detectate: atac DOS; eroare de tastare a parolei de către utilizator; supraîncărcare în canalul de comunicare.
2. Duplicarea tehnologiilor de transfer. Există riscul de a pirata și compromite orice tehnologie de transmitere a informațiilor, atât din cauza deficiențelor sale interne, cât și din cauza influențelor externe. Protecția împotriva unei astfel de situații constă în aplicarea paralelă a mai multor tehnologii de transmisie diferite. Evident, duplicarea va crește dramatic traficul în rețea. Cu toate acestea, această metodă poate fi eficientă atunci când costul riscurilor din potențiale pierderi este mai mare decât costul general al dublării.
3. Descentralizare. În multe cazuri, utilizarea tehnologiilor standardizate de schimb de informații este cauzată nu de dorința de standardizare, ci de puterea de calcul insuficientă a sistemelor care suportă procedurile de comunicare. Practica pe scară largă a „oglinzilor” pe Internet poate fi considerată și o abordare descentralizată. Efectuarea mai multor copii identice ale resurselor poate fi utilă în sistemele în timp real, chiar și o defecțiune pe termen scurt a cărora poate avea consecințe grave. Automatizarea băncilor: un tutorial. Partea 2 Preobrazhensky N.B. Editura: ATiSO, 2008, p. 82.
4. Securitatea plăților electronice
Necesitatea de a avea mereu la îndemână informațiile necesare îi face pe mulți manageri să se gândească la problema optimizării afacerii lor folosind sisteme informatice. Dar dacă transferul contabilității de pe hârtie în format electronic a fost efectuat cu mult timp în urmă, atunci decontările reciproce cu banca sunt încă insuficient automatizate: o tranziție masivă la fluxul de documente electronice urmează încă să vină.
Astăzi, multe bănci au un fel de canale pentru tranzacțiile de plată la distanță. Puteți trimite o „comandă de plată” direct de la birou folosind o conexiune modem sau o linie de comunicare dedicată. A devenit o realitate efectuarea de operațiuni bancare prin internet - pentru aceasta este suficient să aveți un computer cu acces la rețeaua globală și o cheie de semnătură digitală electronică (EDS), care este înregistrată la bancă.
Serviciile bancare de la distanță fac posibilă creșterea eficienței unei afaceri private cu un efort minim din partea proprietarilor săi. Acest lucru asigură: economisire de timp (nu este nevoie să veniți personal la bancă, plata se poate face oricând); comoditatea muncii (toate operațiunile sunt efectuate de pe un computer personal într-un mediu de afaceri familiar); viteză mare de procesare a plăților (operatorul bancar nu retipărește datele dintr-un original de hârtie, ceea ce face posibilă eliminarea erorilor de introducere și reducerea timpului de procesare a unui document de plată); monitorizarea stării documentului în procesul de prelucrare a acestuia; obținerea de informații despre mișcarea fondurilor în conturi.
Cu toate acestea, în ciuda avantajelor evidente, plățile electronice în Rusia nu sunt încă foarte populare, deoarece clienții băncilor nu sunt siguri de securitatea lor. Acest lucru se datorează în primul rând opiniei larg răspândite că rețelele de computere pot fi ușor „pirate” de către un hacker. Acest mit este ferm înrădăcinat în mintea unei persoane, iar știrile despre atacuri asupra unui alt site web publicate regulat în mass-media întăresc și mai mult această opinie. Dar vremurile se schimbă, iar comunicațiile electronice vor înlocui mai devreme sau mai târziu prezența personală a unui plătitor care dorește să facă un transfer bancar fără numerar dintr-un cont în altul.
În opinia mea, securitatea operațiunilor bancare electronice astăzi poate fi asigurată. Acest lucru este garantat prin metode criptografice moderne care sunt utilizate pentru a proteja documentele de plată electronică. În primul rând, acesta este un EDS corespunzător GOST 34.10-94. Din 1995, a fost aplicat cu succes la Banca Rusiei. Inițial, el a introdus un sistem de reglementări electronice interregionale în doar câteva regiuni. Acum acoperă toate regiunile Federației Ruse și este practic imposibil să ne imaginăm funcționarea Băncii Rusiei fără ea. Deci, există vreun motiv să ne îndoim de fiabilitatea semnăturii digitale, dacă utilizarea acesteia este testată în timp și deja, într-un fel sau altul, privește pe fiecare cetățean al țării noastre?
Semnătura digitală electronică este o garanție a securității. Conform acordului standard dintre bancă și client, prezența unui număr suficient de persoane autorizate înregistrate la EDS sub documentul electronic servește drept bază pentru efectuarea operațiunilor bancare pe conturile clientului. Legea federală nr. 1-FZ din 10.01.02 „Cu privire la semnăturile electronice digitale” prevede că un EDS trebuie să fie generat și verificat prin software certificat de FAPSI. Certificarea EDS este o garanție că acest program îndeplinește funcții criptografice în conformitate cu standardele, GOST și nu comite acțiuni distructive pe computerul utilizatorului.
Pentru a pune un EDS pe un document electronic, trebuie să aveți cheia acestuia, care poate fi stocată pe un suport de date pentru cheie. Suporturile moderne de chei („e-Token”, „USB-drive”, „Touch-Memory”) seamănă cu chei în formă și pot fi transportate într-o grămadă de chei obișnuite. Dischetele pot fi, de asemenea, folosite ca purtător de informații cheie.
Fiecare cheie EDS servește ca un analog al semnăturii de mână a persoanei autorizate. Dacă în documentul organizației „plățile” sunt de obicei semnate de director și contabilul șef, atunci în sistemul electronic cel mai bine este să păstrați aceeași procedură și să asigurați persoane autorizate cu chei EDS diferite. Cu toate acestea, poate fi folosit și un singur EDS - acest fapt trebuie să se reflecte în acordul dintre bancă și client.
Cheia EDS constă din două părți - închisă și deschisă. Partea publică (cheia publică), după generarea de către proprietar, este transmisă Centrului de Certificare, al cărui rol este de obicei jucat de bancă. Cheia publică, informațiile despre proprietarul acesteia, scopul cheii și alte informații sunt semnate de EDS al Centrului de Certificare. Astfel, se generează un certificat EDS, care trebuie înregistrat în sistemul electronic de decontare al băncii.
Partea privată a cheii EDS (cheia secretă) nu ar trebui în niciun caz să fie transferată de către proprietarul cheii unei alte persoane. Dacă cheia secretă a fost transferată chiar și pentru o perioadă scurtă de timp unei alte persoane sau a fost lăsată nesupravegheată undeva, cheia este considerată „compromisă” (adică este implicată probabilitatea copierii sau utilizării ilegale a cheii). Cu alte cuvinte, în acest caz, o persoană care nu este proprietarul cheii are posibilitatea de a semna un document electronic neautorizat de conducerea organizației, pe care banca îl va accepta pentru executare și va avea dreptate, de la verificarea EDS își va arăta autenticitatea. Toată responsabilitatea în acest caz revine exclusiv proprietarului cheii. Acțiunile deținătorului EDS în această situație ar trebui să fie similare cu cele care sunt întreprinse în cazul pierderii unui card de plastic obișnuit: această persoană trebuie să informeze banca despre „compromisul” (pierderea) cheii EDS. Apoi banca va bloca certificatul acestui EDS în sistemul său de plată, iar atacatorul nu va putea folosi achiziția sa ilegală.
De asemenea, se poate preveni utilizarea ilegală a cheii secrete cu ajutorul unei parole, care se suprapune atât pe cheie, cât și pe unele tipuri de purtători de chei. Acest lucru ajută la minimizarea daunelor în caz de pierdere, deoarece fără o parolă, cheia devine invalidă, iar proprietarul va avea suficient timp pentru a informa banca despre „compromisul” EDS-ului său.
Să luăm în considerare modul în care un client poate utiliza serviciile de plăți electronice, cu condiția ca banca să aibă instalat un sistem de implementare integrată a serviciilor bancare electronice InterBank. Daca clientul este antreprenor privat sau conduce o mica firma comerciala si are acces la Internet, ii va fi suficient sa aleaga sistemul de protectie criptografica (EDS si criptare) pe care vrea sa il foloseasca. Clientul poate instala software-ul certificat „CryptoPro CSP” sau poate utiliza sistemul Microsoft Base CSP încorporat în Microsoft Windows.
Dacă clientul este o companie mare cu o cifră de afaceri financiară mare, atunci i se poate recomanda un alt subsistem din structura InterBank - „Windows Client”. Cu ajutorul acestuia, clientul menține independent o bază de date de documente electronice și poate pregăti ordine de plată pe computerul său fără a utiliza o sesiune de comunicare cu banca. Când sunt generate toate documentele necesare, clientul se conectează la bancă prin telefon sau o linie dedicată pentru schimbul de date.
Un alt tip de serviciu oferit de complexul InterBank este informarea clientului despre starea conturilor sale bancare, cursuri de schimb și transferul altor date de referință prin comunicare vocală, fax sau ecran de telefon mobil.
O modalitate convenabilă de utilizare a decontărilor electronice este semnarea documentelor de plată de către angajații autorizați ai companiei, care se află la o distanță considerabilă unul de celălalt. De exemplu, un contabil șef a pregătit și semnat un document de plată electronic. Directorul, aflându-se în acest moment într-o călătorie de afaceri în alt oraș sau în altă țară, poate vizualiza acest document, îl poate semna și trimite la bancă. Toate aceste acțiuni pot fi efectuate de subsistemul „Internet-Client”, la care contabilul și directorul întreprinderii vor fi conectați prin Internet. Criptarea datelor și autentificarea utilizatorilor vor fi efectuate prin unul dintre protocoalele standard - SSL sau TLS.
Deci, utilizarea plăților electronice în afaceri oferă avantaje semnificative față de serviciul tradițional. În ceea ce privește securitatea, aceasta este asigurată de standardul EDS (GOST 34.10-94), pe de o parte, și de responsabilitatea clientului pentru stocarea cheii de semnătură, pe de altă parte. Clientul poate primi întotdeauna recomandări cu privire la utilizarea și stocarea cheilor EDS la bancă, iar dacă le respectă, fiabilitatea plăților este garantată Ziar financiar (ediția regională), Moscova, 28.03.2009.
5. Securitatea plăților personale ale persoanelor fizice
Majoritatea sistemelor de securitate, pentru a evita pierderea datelor personale ale persoanelor fizice, solicită utilizatorului să confirme că este cine pretinde a fi. Identificarea utilizatorului poate fi efectuată pe baza faptului că:
* cunoaste unele informatii (cod secret, parola);
* are un anumit obiect (card, cheie electronică, jeton);
* are un set de trasaturi individuale (amprente, forma mainii, tonul vocii, desenul retinei etc.);
* știe unde sau cum este conectată cheia specializată.
Prima metodă necesită tastarea unei anumite secvențe de cod pe tastatură - un număr de identificare personală (PIN). De obicei, aceasta este o secvență de 4-8 cifre pe care utilizatorul trebuie să o introducă atunci când face o tranzacție.
A doua metodă presupune prezentarea de către utilizator a anumitor elemente de identificare specifice - coduri citite de pe un dispozitiv electronic, card sau jeton necopiabil.
În a treia metodă, trecerea reprezintă caracteristicile individuale și caracteristicile fizice ale personalității unei persoane. Orice produs biometric este însoțit de o bază de date destul de voluminoasă care stochează imaginile corespunzătoare sau alte date folosite în recunoaștere.
A patra metodă presupune un principiu special de pornire sau comutare a echipamentului, care va asigura funcționarea acestuia (această abordare este folosită destul de rar).
În domeniul bancar, cel mai frecvent mijloc de identificare personală, pe care l-am atribuit celui de-al doilea grup: un anumit obiect (card, cheie electronică, jeton). Desigur, utilizarea unei astfel de chei are loc în combinație cu mijloace și metode de identificare, pe care le-am atribuit primului grup: utilizarea informațiilor (cod secret, parolă).
Să aruncăm o privire mai atentă la identificarea personală în domeniul bancar Automatizarea bancară: un tutorial. Partea 2 Preobrazhensky N.B. Editura: ATiSO, 2008.
Carduri de plastic.
În prezent, în diferite țări ale lumii au fost emise peste un miliard de carduri.I. I. Linkov. și alte divizii de informații din structurile comerciale: cum să supraviețuiești și să reușești. - M: NIT, 2008. Cele mai faimoase dintre ele:
Carduri de credit Visa (peste 350 de milioane de carduri) și MasterCard (200 de milioane de carduri);
Cecul internațional garantează Eurocheque și Posteheque;
Carduri pentru călătorii și divertisment American Express (60 de milioane de carduri) și Diners Club.
Cartele magnetice (vezi anexa 2)
Cardurile din plastic cu bandă magnetică sunt cele mai cunoscute și au fost de multă vreme folosite în domeniul bancar ca mijloc de identificare (multe sisteme permit utilizarea cardurilor de credit convenționale). Pentru citire, este necesar să glisați cardul (bandă magnetică) prin fanta cititorului (cititor). De obicei, cititoarele sunt realizate sub forma unui dispozitiv extern și sunt conectate printr-un port serial sau universal pe un computer. Sunt produse și cititoare combinate cu o tastatură. Cu toate acestea, astfel de carduri au avantaje și dezavantaje ale utilizării lor.
* cardul magnetic poate fi copiat cu ușurință pe echipamentele disponibile;
* poluare, impact mecanic ușor asupra stratului magnetic, amplasarea cardului în apropierea surselor puternice de câmpuri electromagnetice va deteriora cardul.
Avantaje:
* costurile de emitere si intretinere a unor astfel de carduri sunt reduse;
* industria cardurilor magnetice din plastic se dezvoltă de câteva decenii iar în prezent peste 90% dintre carduri sunt carduri din plastic;
* folosirea cardurilor magnetice este justificata atunci cand exista un numar foarte mare de utilizatori si schimbari frecvente de carduri (de exemplu, pentru accesul intr-o camera de hotel).
Carduri de proximitate (vezi Anexa 2)
De fapt, aceasta este o dezvoltare a ideii de jetoane electronice. Aceasta este o cartelă fără contact (dar poate fi și o cheie sau o brățară) care conține un cip cu un cod unic sau un transmițător radio. Cititorul este echipat cu o antenă specială care emite constant energie electromagnetică. Când cardul intră în acest câmp, cipul cardului este alimentat, iar cardul trimite codul său unic către cititor. Pentru majoritatea cititorilor, distanța stabilă de răspuns variază de la câțiva milimetri până la 5-15 cm.
Carduri inteligente (vezi anexa 2)
Spre deosebire de un card magnetic, un card inteligent conține un microprocesor și contacte pentru alimentarea cu energie și schimbul de informații cu cititorul. Cardul inteligent are un nivel foarte ridicat de securitate. Cu ea sunt încă asociate principalele perspective pentru dezvoltarea unor astfel de chei și speranțele multor dezvoltatori de sisteme de securitate.
Tehnologia smart cardului există și s-a dezvoltat de aproximativ douăzeci de ani, dar a devenit larg răspândită abia în ultimii câțiva ani. Evident, un smart card, datorită capacității mari de memorie și funcționalității sale, poate acționa atât ca cheie, cât și ca permis, și în același timp să fie și un card bancar. În viața reală, o astfel de combinație de funcții este rar implementată.
Pentru a funcționa cu un smart card, computerul trebuie să fie echipat cu un dispozitiv special: cititor de carduri încorporat sau extern. Cititoarele de carduri externe se pot conecta la diferite porturi de pe computer (port serial PS / 2, port paralel sau tastatură, slot PCMCIA, SCSI sau USB).
Multe carduri oferă diferite tipuri (algoritmi) de autentificare. Există trei părți implicate în procesul de recunoaștere electronică: utilizatorul cardului, cardul și dispozitivul terminal (cititor de carduri). Autentificarea este necesară pentru ca utilizatorul, dispozitivul terminal în care este introdus cardul sau aplicația software căreia îi sunt comunicați parametrii cardului, să poată efectua anumite acțiuni cu datele de pe card. Regulile de acces sunt atribuite de către dezvoltatorul aplicației atunci când creează structuri de date pe hartă.
Jetoane electronice (vezi anexa 2)
Acum, în diverse sisteme care necesită identificarea utilizatorului sau a proprietarului, jetoanele electronice (sau așa-numitele dispozitive cu simboluri) sunt utilizate pe scară largă ca permise. Un exemplu binecunoscut al unui astfel de token este o pastilă electronică (Figura 8.4). „Tableta” este realizată într-o carcasă rotundă din oțel inoxidabil și conține un cip cu un număr unic scris în ea. Autentificarea utilizatorului se realizează după atingerea unei astfel de „tablete” la un dispozitiv de contact special, de obicei conectat la portul serial al computerului. Astfel, puteți permite accesul în incintă, dar puteți permite și lucrul pe computer sau blocați utilizatorii neautorizați să lucreze pe computer.
Pentru comoditate, „tableta” poate fi fixată pe o cheie sau presată într-o carcasă de plastic.
În prezent, aceste dispozitive sunt utilizate pe scară largă pentru a controla încuietori electromecanice (uși camere, porți, uși scărilor etc.). Cu toate acestea, utilizarea lor „computerului” este, de asemenea, destul de eficientă.
Toate cele trei grupuri de chei enumerate sunt de natură pasivă. Ei nu efectuează nicio acțiune activă și nu participă la procesul de autentificare, ci doar returnează codul stocat. Aceasta este zona lor principală.
Jetoanele au o durabilitate ceva mai bună decât cardurile magnetice Automatizarea bancară: un tutorial. Partea 2 Preobrazhensky N.B. Editura: ATiSO, 2008.
Concluzie
Astfel, problema protecției informațiilor bancare este prea gravă pentru ca banca să o neglijeze. Recent, în băncile autohtone au fost observate un număr mare de cazuri de încălcare a nivelului de secretizare. Un exemplu este accesul gratuit la diferite baze de date pe CD-ROM-uri despre companii comerciale și persoane fizice. Teoretic, cadrul legal pentru asigurarea protecției informațiilor bancare există în țara noastră, dar aplicarea acestuia este departe de a fi perfectă. Până acum nu au existat cazuri în care o bancă a fost pedepsită pentru divulgarea de informații, când orice companie a fost pedepsită pentru încercarea de a obține informații confidențiale.
Protecția informațiilor într-o bancă este o sarcină complexă care nu poate fi rezolvată doar în cadrul programelor bancare. Implementarea eficientă a protecției începe cu selectarea și configurarea sistemelor de operare și a instrumentelor sistemului de rețea care sprijină funcționarea programelor bancare. Dintre mijloacele disciplinare de asigurare a protecției, trebuie să se distingă două domenii: pe de o parte, este conștientizarea minimă suficientă a utilizatorilor sistemului cu privire la caracteristicile construcției sistemului; pe de altă parte, prezența unor mijloace pe mai multe niveluri de identificare a utilizatorilor și controlul drepturilor acestora.
În diferite momente ale dezvoltării sale, ABS a avut diferite componente de protecție. În condițiile rusești, majoritatea sistemelor bancare în ceea ce privește nivelul de protecție ar trebui clasificate ca sisteme de primul și al doilea nivel de complexitate de protecție:
Nivelul 1 - utilizarea instrumentelor software furnizate de instrumentele standard ale sistemelor de operare și ale programelor de rețea;
Nivelul 2 - utilizarea software-ului de securitate, codificarea informațiilor, codificarea accesului.
Rezumând toate cele de mai sus, am ajuns la concluzia că atunci când lucrați în sectorul bancar, trebuie să vă asigurați că informațiile corporative și comerciale rămân private. Cu toate acestea, trebuie avut grijă să protejați nu numai documentația și alte informații de producție, ci și setările de rețea și parametrii rețelei de pe mașină.
Sarcina de a proteja informațiile dintr-o bancă este stabilită mult mai strict decât în alte organizații. Rezolvarea unei astfel de probleme presupune planificarea unor măsuri organizatorice, sistemice, pentru asigurarea protecției. În același timp, la planificarea protecției, trebuie respectată o măsură între nivelul necesar de protecție și acel nivel în care protecția începe să interfereze cu munca normală a personalului Automatizarea operațiunilor bancare: un tutorial. Partea 2 Preobrazhensky N.B. Editura: ATiSO, 2008.
Lista literaturii folosite
1. Automatizarea operațiunilor bancare: un tutorial. Partea 2 Preobrazhensky N.B. Editura: ATiSO, 2008
2. Gaikovich Yu.V., Pershin A.S. Securitatea sistemelor bancare electronice. - M: Europa Unită, 2008
3. Demin V.S. și alte sisteme bancare automatizate. - M: Menatep-Inform, 2009.
4. Krysin V.A. Siguranța afacerii. - M: Finanțe și Statistică, 2008
5. Linkov I.I. și alte divizii de informații din structurile comerciale: cum să supraviețuiești și să reușești. - M: NIT, 2008
6. Materiale ale agenției Interfax. 1995-2009
7. Ziar financiar (ediție regională), Moscova, 28.03.2009
Anexa 1
O listă cu personalul tipic ASOIB și gradul de risc corespunzător pentru fiecare dintre aceștia:
1. Cel mai mare risc: controlor de sistem și administrator de securitate.
2. Risc crescut: operator de sistem, operator de introducere și pregătire a datelor, manager de procesare, programator de sistem.
3. Risc mediu: inginer de sistem, manager de software.
4. Risc limitat: programator de aplicații, inginer sau operator de comunicații, administrator de baze de date, inginer de echipamente, operator de echipamente periferice, bibliotecar media de sistem magnetic, utilizator programator, casier.
5. Risc scazut: inginer echipamente periferice, utilizatori bibliotecari media magnetice, utilizator de rețea.
Anexa 2
Orez. 1 card magnetic
Orez. 2 Card de proximitate
Orez. 3 Card destept
Orez. 4 Jetoane electronice
Anexa 3
|
Statistici privind pierderile pentru Visa și MasterCard |
||
|
Ponderea în pierderile totale,% |
||
|
Escrocheria vânzătorului |
||
|
Carduri furate |
||
|
Contrafacerea |
||
|
Schimbați relieful hărții |
||
|
Cărți pierdute |
||
|
Utilizare necorespunzătoare |
||
|
Escrocherie la telefon |
||
|
Frauda prin poștă |
||
|
Frauda prin poștă |
||
|
Furt în timpul transportului de producție |
||
|
Coluziune cu deținătorul cardului |
||
Postat pe Allbest.ru
...Valoarea și problemele protejării informațiilor bancare. Metode de asigurare a securității sistemelor automatizate de prelucrare a informațiilor bancare. Avantaje și metode de protecție criptografică a plăților electronice. Mijloace de identificare personală în domeniul bancar.
rezumat, adăugat 06.08.2013
Politica statului în formarea resurselor informaţionale. Selectarea unui complex de sarcini de securitate a informațiilor. Sistem de software și hardware proiectat pentru securitatea informațiilor și protecția informațiilor întreprinderii.
lucrare de termen adăugată 23.04.2015
Conceptul și principiile de bază ale securității informațiilor. Conceptul de securitate în sistemele automatizate. Fundamentele legislației Federației Ruse în domeniul securității informațiilor și al protecției informațiilor, proceselor de licențiere și certificare.
curs de prelegeri, adăugat 17.04.2012
Construirea unui model de posibile amenințări la adresa securității informațiilor băncii, ținând cont de cadrul de reglementare național și internațional existent. Analiza comparativă a documentelor de reglementare și juridice privind organizarea protecției informațiilor bancare.
munca de laborator, adaugat 30.11.2010
Condiții preliminare pentru crearea unui sistem de securitate a datelor cu caracter personal. Amenințări la securitatea informațiilor. Surse de acces neautorizat la ISPD. Dispozitivul sistemelor informatice de date cu caracter personal. Instrumente de securitate a informațiilor. Politică de securitate.
lucrare de termen adăugată la 10.07.2016
Principii de securitate pentru plățile electronice și personale ale persoanelor fizice în bănci. Implementarea tehnologiilor de transmitere și protecție a informațiilor; o abordare sistematică a dezvoltării unui mediu software și hardware: codificarea informațiilor și accesul; criptare, criptografie.
rezumat adăugat la 18.05.2013
Caracteristici ale securității informațiilor băncilor. Factorul uman în asigurarea securității informațiilor. Scurgerile de informații, principalele cauze ale încălcărilor. O combinație de software și hardware diferite. Mecanisme de integritate a datelor.
test, adaugat 16.10.2013
Obiectivele de securitate a informațiilor. Surse ale principalelor amenințări informaționale pentru Rusia. Importanța securității informațiilor pentru diverși specialiști din perspectiva companiei și a părților interesate. Metode de protejare a informațiilor împotriva amenințărilor informaționale deliberate.
prezentare adaugata la 27.12.2010
Esența conceptului de „securitate a informațiilor”. Categorii de modele de securitate: confidențialitate; integritate; disponibilitate. Securitatea informațiilor și internetul. Metode de securitate a informațiilor. Sarcinile principale ale tehnologiilor antivirus.
test, adaugat 06.11.2010
Documente de reglementare în domeniul securității informațiilor în Rusia. Analiza amenințărilor la adresa sistemelor informaționale. Caracteristici ale organizării sistemului de protecție a datelor cu caracter personal al clinicii. Implementarea unui sistem de autentificare cu chei electronice.
