Študentje, podiplomski študentje, mladi znanstveniki, ki pri svojem študiju in delu uporabljajo bazo znanja, vam bodo zelo hvaležni.
Objavljeno na http://www.allbest.ru/
Ministrstvo za splošno in strokovno izobraževanje Rostovske regije
DRŽAVNA PRORAČUNSKA IZOBRAŽEVALNA USTANOVA SEKUNDARNEGA POKLICNEGA IZOBRAŽEVANJA REGIJE ROSTOV
"Visoka šola za komunikacije in informatiko v Rostovu na Donu"
Po disciplini: "Informacijska varnost"
Zadeva: Zaščita informacij bank
Naredi študent
Kladovikov V.S.
Skupina PO-44
Posebnost 23010551 Programska oprema
računalniki in avtomatizirani sistemi
Vodja: Semergey S.V.
Uvod
1. Značilnosti informacijske varnosti bank
2. Varnost avtomatiziranih sistemov za obdelavo informacij v bankah (ASOIB)
3. Varnost elektronskih plačil
4. Varnost osebnih plačil posameznikov
Zaključek
Aplikacije
Uvod
Banke že od samega začetka vedno zbujajo kriminalne interese. In to zanimanje ni bilo povezano le s hrambo sredstev v kreditnih institucijah, ampak tudi z dejstvom, da so bile v bankah skoncentrirane pomembne in pogosto tajne informacije o finančnih in gospodarskih dejavnostih številnih ljudi, podjetij, organizacij in celo celotnih držav. Trenutno so zaradi razširjenosti elektronskih plačil, plastičnih kartic, računalniških omrežij sredstva obeh bank in njihovih strank postali predmet informacijskih napadov. Vsakdo lahko poskusi ukrasti - potrebujete le računalnik, povezan z internetom. Poleg tega to ne zahteva fizičnega vstopa v banko, lahko "delate" in tisoče kilometrov od nje.
Prav ta problem je zdaj najbolj nujen in najmanj preučen. Če so pri zagotavljanju fizične in klasične informacijske varnosti že dolgo razviti že uveljavljeni pristopi (čeprav se tudi tu razvija), potem so v povezavi s pogostimi radikalnimi spremembami računalniških tehnologij varnostne metode avtomatiziranih sistemov za obdelavo informacij banke ( ASOIB) zahtevajo stalno posodabljanje. Kot kaže praksa, ni zapletenih računalniških sistemov, ki ne bi vsebovali napak. In ker se ideologija gradnje velikih ASOIB redno spreminja, popravljanje najdenih napak in "lukenj" v varnostnih sistemih ni dovolj dolgo, saj novi računalniški sistem prinaša nove težave in nove napake, zato je treba varnostni sistem obnoviti v nov način.
Po mojem mnenju vsakogar zanima zaupnost njihovih osebnih podatkov, posredovanih bankam. Na podlagi tega pisanje tega eseja in preučevanje tega problema po mojem mnenju ni le zanimivo, ampak tudi izjemno koristno.
1. Značilnosti informacijske varnosti bank
Bančne informacije so bile vedno predmet neposrednega zanimanja vseh vrst vsiljivcev. Vsako bančno kaznivo dejanje se začne z uhajanjem informacij. Avtomatizirani bančni sistemi so kanali za takšna uhajanja. Že od samega začetka uvajanja avtomatiziranih bančnih sistemov (ABS) so postali predmet kriminalnih posegov.
Na primer, znano je, da je bil avgusta 1995 v Veliki Britaniji aretiran 24-letni ruski matematik Vladimir Levin, ki je z domačim računalnikom v Sankt Peterburgu uspel prodreti v bančni sistem ene največjih ameriških bank. , Citibank in s svojih računov poskušala dvigniti velike vsote. Po navedbah moskovskega urada Citibank do takrat še nikomur ni uspelo. Varnostna služba Citibank je ugotovila, da so banki poskušali ukrasti 2,8 milijona dolarjev, vendar so nadzorni sistemi to pravočasno odkrili in blokirali račune. Uspelo jim je ukrasti le 400 tisoč dolarjev.
V ZDA znaša letna izguba bančnih institucij zaradi nezakonite uporabe računalniških informacij po ocenah strokovnjakov od 0,3 do 5 milijard dolarjev. Informacije so vidik splošnega problema bančne varnosti.
V zvezi s tem se strategija informacijske varnosti bank zelo razlikuje od podobnih strategij drugih podjetij in organizacij. To je predvsem posledica posebne narave groženj, pa tudi javnih dejavnosti bank, ki so prisiljene omogočiti dostop do računov dovolj enostavno za udobje strank.
Navadno podjetje gradi svojo informacijsko varnost le na ozkem naboru potencialnih groženj - predvsem za zaščito informacij pred konkurenti (v ruskih resnicah je glavna naloga zaščititi podatke pred davčnimi organi in kriminalno skupnostjo, da bi zmanjšali verjetnost nenadzorovanega povečanje plačil davkov in reketiranje). Takšne informacije zanimajo le ožji krog zainteresiranih oseb in organizacij in so redko likvidne, tj. pretvorljiva v denarno obliko.
Varnost bančnih informacij mora upoštevati naslednje posebne dejavnike:
1. Informacije, shranjene in obdelane v bančnih sistemih, so pravi denar. Na podlagi računalniških informacij lahko izvedete plačila, odprete posojila in prenesete znatne zneske. Povsem jasno je, da lahko nezakonita manipulacija s takimi informacijami povzroči resne izgube. Ta značilnost močno širi krog kriminalcev, ki posegajo v banke (v nasprotju z na primer industrijskimi podjetji, katerih notranje informacije nikogar malo zanimajo).
2. Informacije v bančnih sistemih vplivajo na interese velikega števila ljudi in organizacij - strank banke. Na splošno je zaupna in banka je odgovorna za vzdrževanje zahtevane stopnje tajnosti svojih strank. Stranke imajo seveda pravico pričakovati, da mora banka skrbeti za njihove interese, sicer tvega svoj ugled z vsemi posledičnimi posledicami.
3. Konkurenčnost banke je odvisna od tega, kako priročno je, da stranka sodeluje z banko, pa tudi od tega, kako širok je obseg storitev, vključno s storitvami, povezanimi z oddaljenim dostopom. Zato mora imeti stranka možnost, da z denarjem upravlja hitro in brez dolgočasnih postopkov. Toda ta enostaven dostop do denarja povečuje verjetnost vdora kaznivih dejanj v bančne sisteme.
4. Informacijska varnost banke (za razliko od večine podjetij) mora zagotavljati visoko zanesljivost računalniških sistemov tudi v izrednih razmerah, saj banka ni odgovorna samo za svoja sredstva, temveč tudi za denar strank.
5. Banka hrani pomembne podatke o svojih strankah, kar širi krog potencialnih vsiljivcev, ki jih zanima kraja ali poškodovanje teh informacij.
Na žalost v današnjem času zaradi visokega razvoja tehnologije niti izjemno strogi organizacijski ukrepi za racionalizacijo dela z zaupnimi informacijami ne bodo zaščitili pred uhajanjem po fizičnih kanalih. Zato sistematičen pristop k varovanju informacij zahteva, da je treba sredstva in ukrepe, ki jih banka uporablja za zagotavljanje informacijske varnosti (organizacijske, fizične in programsko-tehnične), obravnavati kot enoten sklop medsebojno povezanih, komplementarnih in medsebojnih ukrepov. Tak kompleks naj ne bi bil namenjen samo zaščiti informacij pred nepooblaščenim dostopom, temveč tudi preprečevanju nenamernega uničenja, spreminjanja ali razkritja informacij.
2. Varnost avtomatiziranih sistemov za obdelavo informacij v bankah (ASOIB)
Ne bo pretirano reči, da je problem namernih motenj v delovanju ASOIB za različne namene trenutno eden najnujnejših. Ta trditev najbolj velja za države z visoko razvito informacijsko infrastrukturo, kar dokazujejo spodnje številke.
Znano je, da je leta 1992 škoda zaradi računalniških zločinov znašala 555 milijonov dolarjev, 930 let delovnega časa in 15,3 leta računalniškega časa. Po drugih podatkih škoda za finančne institucije znaša od 173 do 41 milijard dolarjev na leto.
Iz tega primera lahko sklepamo, da sistemi za obdelavo in zaščito informacij odražajo tradicionalni pristop do računalniškega omrežja kot potencialno nezanesljivega medija za prenos podatkov. Obstaja več glavnih načinov za zagotavljanje varnosti programske in strojne opreme, ki se izvajajo z različnimi metodami:
1.1. Ustvarjanje uporabniških profilov. Na vsakem vozlišču se ustvari baza uporabnikov, njihovih gesel in profilov dostopa do lokalnih virov računalniškega sistema.
1.2. Izdelava procesnih profilov. Nalogo preverjanja pristnosti izvaja neodvisen (neodvisni) strežnik, ki vsebuje gesla tako za uporabnike kot za končne strežnike (v primeru skupine strežnikov baza podatkov gesel vsebuje tudi samo en (glavni) strežnik za preverjanje pristnosti; ostali so le občasno posodobljene kopije) ... Tako uporaba omrežnih storitev zahteva dve gesli (čeprav mora uporabnik poznati le eno - drugo mu strežnik zagotovi na "pregleden" način). Očitno je, da strežnik postane ozko grlo celotnega sistema in njegovo vdiranje lahko ogrozi varnost celotnega računalniškega omrežja.
2. Kapsulacija posredovanih informacij v posebne protokole izmenjave. Uporaba takšnih metod v komunikacijah temelji na algoritmih šifriranja z javnimi ključi. V fazi inicializacije se ustvari par ključev - javni in zasebni, ki sta na voljo samo osebi, ki objavi javni ključ. Bistvo algoritmov za šifriranje javnega ključa je, da se operacije šifriranja in dešifriranja izvajajo z različnimi ključi (javni oziroma zasebni).
3. Omejitev pretoka informacij. To so znane tehnike za razdelitev lokalnega omrežja na sorodna podomrežja ter nadzor in omejevanje prenosa informacij med temi podomrežji.
3.1. Požarni zidovi Metoda pomeni ustvarjanje posebnih vmesnih strežnikov med lokalnim omrežjem banke in drugimi omrežji, ki pregledajo, analizirajo in filtrirajo ves pretok podatkov, ki poteka skozi njih (promet omrežne / prometne plasti). To lahko drastično zmanjša nevarnost nepooblaščenega zunanjega dostopa do poslovnih omrežij, vendar te nevarnosti sploh ne odpravi. Bolj varna različica metode je maskiranje, pri katerem se ves promet, ki izvira iz lokalnega omrežja, pošlje v imenu strežnika požarnega zidu, zaradi česar je zaprto lokalno omrežje praktično nevidno.
3.2. Proxy strežniki. S to metodo so naložene stroge omejitve za pravila za prenos informacij v omrežju: ves promet omrežja / prometnega sloja med lokalnim in globalnim omrežjem je popolnoma prepovedan - preprosto ni usmerjanja kot takega, klici iz lokalnega omrežja na globalni se pojavijo prek posebnih posredniških strežnikov. Očitno s to metodo klici iz globalnega omrežja v lokalno načeloma postanejo nemogoči. Očitno je tudi, da ta metoda ne zagotavlja zadostne zaščite pred napadi na višjih ravneh, na primer na ravni programske aplikacije.
4. Ustvarjanje navideznih zasebnih omrežij (VPN) vam omogoča učinkovito zagotavljanje zaupnosti informacij, njihovo zaščito pred prisluškovanjem ali motnjami med prenosom podatkov. Omogočajo vam vzpostavitev zaupnih, varnih komunikacij prek odprtega omrežja, ki je običajno internet, in razširitev meja poslovnih omrežij na oddaljene pisarne, mobilne uporabnike, domače uporabnike in poslovne partnerje. Tehnologija šifriranja odpravlja možnost prisluškovanja ali branja s strani oseb, ki niso pooblaščeni prejemniki sporočil, poslanih prek omrežja VPN, z uporabo naprednih matematičnih algoritmov za šifriranje sporočil in njihovih prilog. Koncentratorji serije Cisco VPN 3000 so splošno priznani kot najboljša rešitev za oddaljeni dostop VPN. Koncentratorji Cisco VPN 3000 z najnaprednejšimi zmogljivostmi z visoko zanesljivostjo in edinstveno namensko arhitekturo. Korporacijam omogoča gradnjo visoko zmogljivih, razširljivih in zmogljivih infrastruktur VPN za podporo kritičnih aplikacij za oddaljeni dostop. Usmerjevalniki Cisco, ki so optimizirani za omrežja VPN, kot so usmerjevalniki Cisco 800, 1700, 2600, 3600, 7100 in 7200, so idealna orodja za gradnjo omrežij VPN od mesta do mesta.
5. Sistemi za odkrivanje vdorov in optični bralniki ranljivosti ustvarjajo dodatno plast omrežne varnosti. Čeprav požarni zidovi dovoljujejo ali zadržujejo promet na podlagi vira, cilja, pristanišča ali drugih meril, dejansko ne analizirajo prometa za napade in ne iščejo ranljivosti v sistemu. Poleg tega požarni zidovi običajno ne obravnavajo notranjih groženj "notranjih oseb". Ciscov sistem za odkrivanje vdorov (IDS) lahko v realnem času zaščiti obodno omrežje, omrežja poslovnih partnerjev in vedno bolj ranljiva notranja omrežja. Sistem uporablja agente, ki so visoko zmogljive omrežne naprave, za analizo posameznih paketov za odkrivanje sumljivih dejavnosti. Če je v podatkovnem toku v omrežju nepooblaščena dejavnost ali omrežni napad, lahko agenti kršitev sproti zaznajo, skrbniku pošljejo alarme in vsiljivcu preprečijo dostop do omrežja. Poleg orodij za odkrivanje vdorov v omrežje Cisco ponuja tudi strežniške sisteme za odkrivanje vdorov, ki učinkovito ščitijo določene strežnike v uporabnikovem omrežju, predvsem spletne in e-trgovinske strežnike. Cisco Secure Scanner je industrijski programski optični bralnik, ki skrbniku omogoča, da prepozna in odpravi ranljivosti omrežne varnosti, preden jih hekerji najdejo.
Ko omrežja rastejo in postajajo bolj zapletena, je za upravljanje varnostnih elementov nujno zahtevati centralizirane kontrole varnostne politike. Inteligentna orodja, ki lahko nadzorujejo, upravljajo in pregledujejo varnostne politike, naredijo vaše rešitve omrežne varnosti bolj praktične in učinkovite. Ciscove rešitve na tem področju imajo strateški pristop k upravljanju varnosti. Cisco Secure Policy Manager (CSPM) podpira varnostne elemente podjetja Cisco v omrežjih podjetij z zagotavljanjem celovitega in doslednega izvajanja varnostnih politik. S storitvijo CSPM lahko stranke definirajo, uveljavijo in potrdijo varnostne politike na stotinah požarnih zidov Cisco Secure PIX in Cisco IOS Firewall Feature Set ter agentov IDS. CSPM podpira tudi standard IPsec za gradnjo VPN-jev. Poleg tega je CSPM del razširjenega korporacijskega sistema za upravljanje CiscoWorks2000 / VMS.
Če povzamemo zgornje metode, lahko rečemo, da razvoj informacijskih sistemov zahteva vzporeden razvoj tehnologij za prenos in zaščito informacij. Te tehnologije bi morale zagotavljati zaščito posredovanih informacij, s čimer bi postale omrežje "zanesljivo", čeprav se zanesljivost v sedanji fazi razume kot zanesljivost ne na fizični ravni, temveč na logični (informacijski ravni).
Obstajajo tudi številne dodatne dejavnosti, ki izvajajo naslednja načela:
1. Spremljanje procesov. Način spremljanja procesov je ustvariti posebno razširitev sistema, ki bi nenehno izvajala določene vrste pregledov. Očitno je, da določen sistem postane zunanje ranljiv šele, ko ponuja priložnost za zunanji dostop do svojih informacijskih virov. Pri ustvarjanju sredstev za tak dostop (strežniški procesi) praviloma obstaja zadostna količina apriornih informacij, povezanih z vedenjem odjemalskih procesov. Na žalost se te informacije v večini primerov preprosto prezrejo. Po overitvi zunanjega procesa v sistemu se šteje za pooblaščenega v celotnem življenjskem ciklu za dostop do določene količine informacijskih virov brez dodatnih preverjanj.
Čeprav v večini primerov ni mogoče navesti vseh pravil za obnašanje zunanjega procesa, jih je povsem realno opredeliti z negacijo ali, z drugimi besedami, navesti, česar zunanji postopek ne more narediti v nobenem primeru. Na podlagi teh pregledov je mogoče spremljati nevarne ali sumljive dogodke. Na spodnji sliki so na primer prikazani elementi spremljanja in zaznani dogodki: napad DOS; uporabniška tipkarska napaka; preobremenitev v komunikacijskem kanalu.
2. Podvajanje prenosnih tehnologij. Obstaja nevarnost vdora in ogrožanja katere koli tehnologije za prenos informacij, tako zaradi notranjih pomanjkljivosti kot zaradi zunanjih vplivov. Zaščita pred takšnim položajem je v vzporedni uporabi več različnih tehnologij prenosa. Očitno bo podvajanje privedlo do dramatičnega povečanja omrežnega prometa. Vendar je ta metoda lahko učinkovita, kadar so stroški tveganj zaradi morebitnih izgub višji od splošnih stroškov podvajanja.
3. Decentralizacija. V mnogih primerih uporabe standardiziranih tehnologij za izmenjavo informacij ne povzroča želja po standardizaciji, temveč nezadostna računalniška moč sistemov, ki podpirajo komunikacijske postopke. Praksa "ogledal", ki je razširjena na internetu, lahko štejemo tudi za decentraliziran pristop. Izdelava več enakih kopij virov je lahko koristna v sistemih v realnem času, celo kratkoročni neuspeh ima lahko resne posledice.
3 . Varnost elektronskih plačil
kriptografska zaščita informacijske banke
Potreba po vedno na razpolago potrebnih informacij marsikateremu managerju da misliti na problem optimizacije poslovanja z uporabo računalniških sistemov. A če je bil prenos računovodstva iz papirne v elektronsko obliko izveden že zdavnaj, potem medsebojne poravnave z banko še vedno niso dovolj avtomatizirane: velik prehod na elektronski pretok dokumentov je šele pred nami.
Danes imajo številne banke nekakšne kanale za plačilne transakcije na daljavo. "Nalog za plačilo" lahko pošljete neposredno iz pisarne z uporabo modemske povezave ali namenske komunikacijske linije. Bančne posle preko interneta je postalo resničnost - za to je dovolj računalnik z dostopom do globalnega omrežja in ključ za elektronski digitalni podpis (EDS), ki je registriran pri banki.
Storitve oddaljenega bančništva omogočajo povečanje učinkovitosti zasebnega podjetja z minimalnimi napori njegovih lastnikov. To zagotavlja: prihranek časa (ni treba osebno priti v banko, plačilo je mogoče kadar koli); udobje dela (vse operacije se izvajajo iz osebnega računalnika v znanem poslovnem okolju); visoka hitrost obdelave plačil (bančni operater ne ponatisne podatkov iz papirnatega izvirnika, kar omogoča odpravo napak pri vnosu in skrajšanje časa obdelave plačilnega dokumenta); spremljanje stanja dokumenta v postopku njegove obdelave; pridobivanje informacij o gibanju sredstev na računih.
Kljub očitnim prednostim pa elektronska plačila v Rusiji še niso zelo priljubljena, saj bančne stranke niso prepričane v svojo varnost. To je predvsem posledica razširjenega mnenja, da lahko heker zlahka "vdre" v računalniška omrežja. Ta mit je človeku trdno zasidran in redno objavljene novice v medijih o napadih na drugo spletno stran to mnenje še utrjujejo. A časi se spreminjajo in elektronske komunikacije bodo slej ko prej nadomestile osebno prisotnost plačnika, ki želi brezgotovinsko nakazati banko z enega računa na drugega.
Po mojem mnenju je danes mogoče zagotoviti varnost elektronskega bančništva. To zagotavljajo sodobne kriptografske metode, ki se uporabljajo za zaščito elektronskih plačilnih dokumentov. Najprej je to EDS, ki ustreza GOST 34.10-94. Od leta 1995 ga uspešno uporablja Banka Rusije. Sprva je v nekaj regijah uvedel sistem medregionalnih elektronskih poravnav. Zdaj zajema vse regije Ruske federacije in praktično si je nemogoče predstavljati delovanje Banke Rusije brez nje. Torej, ali obstaja razlog za dvom o zanesljivosti digitalnega podpisa, če je njegova uporaba časovno preizkušena in že tako ali drugače zadeva vsakega državljana naše države?
Elektronski digitalni podpis je zagotovilo varnosti. V skladu s standardnim dogovorom med banko in stranko je prisotnost zadostnega števila pooblaščenih oseb, registriranih v EDS pod elektronskim dokumentom, podlaga za opravljanje bančnih poslov na računih stranke. Zvezni zakon št. 1-FZ z dne 10. januarja 2002 "O elektronskih digitalnih podpisih" določa, da mora EDS ustvarjati in preverjati programska oprema, ki jo je certificiral FAPSI. Certifikat EDS je zagotovilo, da ta program izvaja kriptografske funkcije v skladu s standardi GOST in ne izvaja uničujočih dejanj na uporabnikovem računalniku.
Če želite EDS vstaviti v elektronski dokument, morate imeti njegov ključ, ki ga lahko shranite na določen nosilec podatkov. Sodobni nosilci ključev ("e-Token", "USB-pogon", "Touch-Memory") po obliki spominjajo na obeseke za ključe, ki jih lahko nosite v navadnih ključih. Diskete lahko uporabite tudi kot nosilec ključnih informacij.
Vsak ključ EDS je analog ročnega podpisa pooblaščene osebe. Če v papirju organizacije »plačila« običajno podpišeta direktor in glavni računovodja, potem je v elektronskem sistemu najbolje, da se ohrani enak postopek in pooblaščenim osebam zagotovijo različni ključi EDS. Lahko pa se uporabi tudi en EDS - to dejstvo mora biti izraženo v dogovoru med banko in stranko.
Tipka EDS je sestavljena iz dveh delov - zaprtega in odprtega. Javni del (javni ključ) se po tem, ko ga ustvari lastnik, predloži overitelju, katerega vlogo ponavadi igra banka. Javni ključ, podatke o njegovem lastniku, namen ključa in druge informacije podpiše EDS overitelja. Tako se ustvari EDS potrdilo, ki ga je treba registrirati v sistemu elektronske poravnave banke.
Zasebnega dela ključa EDS (tajni ključ) lastnik ključa v nobenem primeru ne sme prenesti na drugo osebo. Če je bil zasebni ključ celo kratek čas prenesen na drugo osebo ali je nekje ostal brez nadzora, se šteje, da je ključ "ogrožen" (tj. Pomeni možnost kopiranja ali nezakonite uporabe ključa). Z drugimi besedami, v tem primeru ima oseba, ki ni lastnik ključa, priložnost, da jo nepooblaščeno podpiše vodstvo organizacije, ki jo bo banka sprejela v izvršitev in bo imela prav, saj bo preverjanje EDS bo pokazal svojo verodostojnost. Vsa odgovornost v tem primeru je izključno lastnik ključa. Ukrepi imetnika EDS v tem primeru bi morali biti podobni tistim, ki se izvajajo v primeru izgube navadne plastične kartice: ta oseba mora banko obvestiti o "kompromisu" (izgubi) ključa EDS. Potem bo banka v svojem plačilnem sistemu blokirala potrdilo te EDS in napadalec ne bo mogel uporabiti svoje nezakonite pridobitve.
Nezakonito uporabo tajnega ključa je mogoče preprečiti tudi s pomočjo gesla, ki je nameščeno tako na ključu kot na nekaterih vrstah nosilcev ključev. To pomaga zmanjšati škodo v primeru izgube, saj brez gesla ključ postane neveljaven in lastnik bo imel dovolj časa, da banko obvesti o "kompromisu" njegove EDS.
Poglejmo, kako lahko stranka uporablja storitve elektronskega plačevanja pod pogojem, da ima banka vgrajen sistem integriranega izvajanja storitev elektronskega bančništva InterBank. Če je stranka zasebni podjetnik ali vodi majhno trgovsko podjetje in ima dostop do interneta, bo dovolj, da izbere sistem kriptografske zaščite (EDS in šifriranje), ki ga želi uporabiti. Naročnik lahko namesti certificirano programsko opremo "CryptoPro CSP" ali uporabi sistem Microsoft Base CSP, vgrajen v Microsoft Windows.
Če je stranka veliko podjetje z velikim finančnim prometom, mu lahko priporočimo še en podsistem iz strukture InterBank - "odjemalec Windows". Stranka z njeno pomočjo samostojno vodi bazo elektronskih dokumentov in lahko na svojem računalniku pripravi plačilne naloge, ne da bi uporabljala komunikacijsko sejo z banko. Ko se ustvarijo vsi potrebni dokumenti, se stranka poveže z banko po telefonu ali namenski liniji za izmenjavo podatkov.
Druga vrsta storitve, ki jo nudi kompleks InterBank, je obveščanje stranke o stanju njegovih bančnih računov, menjalnih tečajev in prenos drugih referenčnih podatkov prek glasovne komunikacije, faksa ali zaslona mobilnega telefona.
Priročen način uporabe elektronskih obračunov je podpisovanje plačilnih dokumentov s strani pooblaščenih zaposlenih v podjetju, ki so med seboj precej oddaljeni. Na primer, glavni računovodja je pripravil in podpisal elektronski plačilni dokument. Direktor, ki je trenutno na službeni poti v drugem mestu ali v drugi državi, si lahko ta dokument ogleda, ga podpiše in pošlje na banko. Vsa ta dejanja lahko izvaja podsistem "Internet-odjemalec", na katerega sta računovodja in direktor podjetja povezana prek interneta. Šifriranje podatkov in avtentikacija uporabnika se bosta izvajala po enem od standardnih protokolov - SSL ali TLS.
Torej, uporaba elektronskih plačil v poslu zagotavlja pomembne prednosti pred tradicionalnimi storitvami. Kar zadeva varnost, jo zagotavlja standard EDS (GOST 34.10-94) na eni strani in odgovornost stranke za shranjevanje podpisnega ključa na drugi strani. Stranka lahko vedno dobi priporočila o uporabi in shranjevanju EDS ključev v banki, če jih upošteva, je zanesljivost plačil zagotovljena.
4. Varnost osebgotovinska plačila posameznikov
Večina varnostnih sistemov, da bi se izognili izgubi osebnih podatkov posameznikov, od uporabnika zahteva, da potrdi, da je takšen, za katerega se trdi, da je. Identifikacija uporabnika se lahko izvede na podlagi:
* pozna nekatere podatke (skrivna koda, geslo);
* ima določen predmet (kartico, elektronski ključ, žeton);
* ima nabor posameznih lastnosti (prstni odtisi, oblika roke, ton glasu, risba mrežnice itd.);
* ve, kje in kako je povezan specializirani ključ.
Prva metoda zahteva vnos določenega zaporedja kod na tipkovnico - osebne identifikacijske številke (PIN). Običajno gre za 4-8-mestno zaporedje, ki ga mora uporabnik vnesti med transakcijo.
Druga metoda vključuje predstavitev uporabnika nekaterih posebnih identifikacijskih elementov - kod, prebranih iz elektronske naprave, kartice ali žetona, ki se ne da kopirati.
Pri tretji metodi je podaja posamezne značilnosti in fizične lastnosti človekove osebnosti. Vsakemu biometričnemu izdelku je priložena precej obsežna baza podatkov, ki shranjuje ustrezne slike ali druge podatke, uporabljene za prepoznavanje.
Četrta metoda predvideva posebno načelo vklopa ali vklopa opreme, ki bo zagotovilo njeno delovanje (ta pristop se uporablja precej redko).
V bančništvu so najbolj razširjena sredstva za osebno identifikacijo, ki smo jih pripisali drugi skupini: določen predmet (kartica, elektronski ključ, žeton). Seveda se uporaba takšnega ključa pojavlja v kombinaciji s sredstvi in metodami identifikacije, ki smo jih pripisali prvi skupini: uporaba informacij (tajna koda, geslo).
Poglejmo si podrobneje osebno identifikacijo v bančništvu.
Plastične kartice.
V različnih državah sveta je bilo izdanih več kot milijardo kartic.... Najbolj znani med njimi:
Kreditne kartice Visa (več kot 350 milijonov kartic) in MasterCard (200 milijonov kartic);
Mednarodni ček zagotavlja Eurocheque in Posteheque;
American Express (60 milijonov kartic) in Diners Club potovalne in zabavne kartice.
Magnetne kartice
Najbolj znane so plastične kartice z magnetnim trakom, ki se že dolgo uporabljajo v bančništvu kot sredstvo za identifikacijo (številni sistemi omogočajo uporabo običajnih kreditnih kartic). Za branje je treba kartico (magnetni trak) potegniti skozi režo bralnika (bralnika). Običajno so bralniki izdelani v obliki zunanje naprave in so povezani prek serijskih ali univerzalnih vrat v računalniku. Izdelujejo se tudi bralniki v kombinaciji s tipkovnico. Vendar imajo takšne kartice prednosti in slabosti njihove uporabe.
* magnetno kartico lahko enostavno kopirate na razpoložljivo opremo;
* onesnaženje, rahel mehanski vpliv na magnetno plast, namestitev kartice v bližini močnih virov elektromagnetnih polj lahko poškodujejo kartico.
Prednosti:
* stroški izdaje in vzdrževanja takih kartic so nizki;
* industrija magnetnih plastičnih kartic se razvija že nekaj desetletij in trenutno je več kot 90% kartic plastičnih kartic;
* uporaba magnetnih kart je upravičena, kadar je zelo veliko uporabnikov in pogoste menjave kartic (na primer za dostop do hotelske sobe).
Bližnje kartice
Pravzaprav je to razvoj ideje o elektronskih žetonih. To je brezstična kartica (lahko pa je tudi obesek za ključe ali zapestnica), ki vsebuje čip z edinstveno kodo ali radijski oddajnik. Čitalec je opremljen s posebno anteno, ki nenehno oddaja elektromagnetno energijo. Ko kartica vstopi v to polje, se čip kartice napaja in kartica pošlje svojo edinstveno kodo v bralnik. Za večino bralcev je stabilna odzivna razdalja od nekaj milimetrov do 5-15 cm.
Pametne kartice
Za razliko od magnetne kartice ima pametna kartica mikroprocesor in kontaktne ploščice za napajanje in izmenjavo informacij s čitalnikom. Pametna kartica ima zelo visoko raven varnosti. Z njo so še vedno povezani glavni obeti za razvoj takšnih ključev in upanje številnih razvijalcev varnostnih sistemov.
Tehnologija pametnih kartic obstaja in se razvija približno dvajset let, vendar se je v zadnjih nekaj letih zelo razširila. Očitno je, da lahko pametna kartica zaradi velike pomnilniške zmogljivosti in funkcionalnosti deluje kot ključ in kot prepustnica ter je hkrati bančna kartica. V resničnem življenju se takšna kombinacija funkcij redko izvaja.
Za delo s pametno kartico mora biti računalnik opremljen s posebno napravo: vgrajenim ali zunanjim čitalnikom kartic. Zunanji bralniki kartic se lahko povežejo z različnimi vrati v računalniku (serijska, vzporedna vrata ali vrata tipkovnice PS / 2, reža PCMCIA, SCSI ali USB).
Številne kartice omogočajo različne vrste (algoritme) preverjanja pristnosti. V postopek elektronskega prepoznavanja so vključene tri stranke: uporabnik kartice, kartica in terminalna naprava (čitalnik kartic). Preverjanje pristnosti je potrebno, da lahko uporabnik, terminalna naprava, v katero je vstavljena kartica, ali programska aplikacija, ki ji sporočajo parametre kartice, izvede določena dejanja s podatki na kartici. Pravila dostopa dodeli razvijalec aplikacije pri ustvarjanju podatkovnih struktur na zemljevidu.
Elektronski žetoni
Zdaj se v različnih sistemih, ki zahtevajo identifikacijo uporabnika ali lastnika, elektronski žetoni (ali tako imenovane žetonske naprave) pogosto uporabljajo kot prepustnice. Znan primer takega žetona je elektronska tableta (slika 8.4). "Tablica" je narejena v okroglem ohišju iz nerjavečega jekla in vsebuje čip z zabeleženo enolično številko. Preverjanje pristnosti uporabnika se izvede po dotiku take "tablice" na posebno kontaktno napravo, ki je običajno povezana s serijskimi vrati računalnika. Tako lahko dovolite dostop do prostorov, lahko pa tudi delo na računalniku ali nepooblaščenim uporabnikom preprečite delo na računalniku.
Za udobje lahko "tablico" pritrdite na obesek za ključe ali pritisnete v plastično lupino.
Trenutno se te naprave pogosto uporabljajo za nadzor elektromehanskih ključavnic (sobna vrata, vrata, vhodna vrata itd.). Je pa tudi njihova "računalniška" uporaba precej učinkovita.
Vse tri naštete skupine ključev so pasivne narave. Ne izvajajo nobenih aktivnih dejanj in ne sodelujejo v postopku preverjanja pristnosti, temveč le vrnejo shranjeno kodo. To je njihovo glavno področje.
Žetoni so nekoliko bolj trpežni kot magnetne kartice.
Zaključek
Tako je problem varovanja bančnih informacij preresen, da bi ga banka lahko zanemarila. V zadnjem času v domačih bankah opažajo veliko število primerov kršitve stopnje tajnosti. Primer je prost dostop do različnih zbirk podatkov na CD-jih o komercialnih podjetjih in posameznikih. Teoretično pri nas obstaja pravni okvir za zagotavljanje zaščite bančnih informacij, vendar njegova uporaba še zdaleč ni popolna. Doslej še ni bilo primerov, ko bi bila banka razkrita zaradi razkritja informacij, ko bi bila katera koli družba kaznovana zaradi poskusov pridobivanja zaupnih informacij.
Zaščita informacij v banki je zapletena naloga, ki je ni mogoče rešiti le v okviru bančnih programov. Učinkovito izvajanje zaščite se začne z izbiro in konfiguracijo operacijskih sistemov in omrežnih sistemskih orodij, ki podpirajo delovanje bančnih programov. Med disciplinskimi sredstvi zagotavljanja zaščite je treba ločiti dve področji: po eni strani je to minimalno zadostno zavedanje uporabnikov sistema o značilnostih konstrukcije sistema; po drugi strani pa prisotnost večstopenjskih načinov identifikacije uporabnikov in nadzora njihovih pravic.
Na različnih točkah svojega razvoja je imel ABS različne komponente zaščite. V ruskih razmerah bi bilo treba večino bančnih sistemov glede na stopnjo zaščite razvrstiti med sisteme prve in druge stopnje kompleksnosti zaščite:
1. stopnja - uporaba programskih orodij, ki jih zagotavljajo standardna orodja operacijskih sistemov in omrežnih programov;
2. raven - uporaba varnostne programske opreme, kodiranje informacij, kodiranje dostopa.
Če povzamem vse zgoraj navedeno, sem prišel do zaključka, da morate pri delu v bančnem sektorju biti prepričani, da bodo poslovne in poslovne informacije ostale zasebne. Pazite pa, da na stroju zaščitite ne le dokumentacijo in druge proizvodne informacije, temveč tudi omrežne nastavitve in omrežne parametre.
Naloga varovanja informacij v banki je postavljena veliko strožje kot v drugih organizacijah. Rešitev takega problema vključuje načrtovanje organizacijskih, sistemskih ukrepov za zagotovitev zaščite. Hkrati je treba pri načrtovanju zaščite upoštevati ukrep med zahtevano stopnjo zaščite in stopnjo zaščite, ko začne zaščita ovirati normalno delo osebja.
Priloga 1
Seznam osebja tipičnega ASOIB in ustrezna stopnja tveganja za vsakega od njih:
1. Največje tveganje: sistemski krmilnik in skrbnik varnosti.
2. Povečano tveganje: sistemski operater, operater vnosa in priprave podatkov, vodja obdelave, sistemski programer.
3. Povprečno tveganje: sistemski inženir, vodja programske opreme.
4. Omejeno tveganje: programer aplikacij, inženir ali operater komunikacij, skrbnik zbirke podatkov, inženir opreme, operater periferne opreme, knjižničar sistemskih magnetnih medijev, uporabnik programerja, uporabnik referenta.
5. Nizko tveganje: inženir periferne opreme, uporabnik knjižničar magnetnih medijev, uporabnik omrežja.
Sl. 1 Magnetna kartica
Sl. 2 Bližnja kartica
Sl. 4 Elektronski žetoni
Dodatek 2
|
Statistika izgub za Visa in MasterCard |
||
|
Delež v skupnih izgubah,% |
||
|
Prevara prodajalca |
||
|
Ukradene karte |
||
|
Ponarejanje |
||
|
Spremenite relief zemljevida |
||
|
Izgubljene karte |
||
|
Nepravilna uporaba |
||
|
Telefonska prevara |
||
|
Prevara s pošto |
||
|
Poštarska prevara |
||
|
Kraja med proizvodno pošiljko |
||
|
Dogovor z imetnikom kartice |
||
Objavljeno na Allbest.ru
Vrste namernih groženj informacijski varnosti. Metode in sredstva za varovanje informacij. Metode in sredstva informacijske varnosti. Kriptografske metode varovanja informacij. Kompleksna zaščitna sredstva.
povzetek, dodan 17.01.2004
Problem informacijske varnosti. Značilnosti varovanja informacij v računalniških omrežjih. Grožnje, napadi in kanali za uhajanje informacij. Razvrstitev metod in sredstev za zagotavljanje varnosti. Arhitektura in zaščita omrežja. Metode za zaščito omrežij.
diplomsko delo, dodano 16.06.2012
Metode in sredstva za zaščito informacijskih podatkov. Zaščita pred nepooblaščenim dostopom do informacij. Značilnosti zaščite računalniških sistemov z metodami kriptografije. Merila za ocenjevanje varnosti informacijskih računalniških tehnologij v evropskih državah.
test, dodan 08.06.2010
Varnostna načela za elektronska in osebna plačila posameznikov v bankah. Izvajanje tehnologij za prenos in zaščito informacij; sistematičen pristop k razvoju programske in strojne opreme: kodiranje informacij in dostop; šifriranje, kriptografija.
povzetek dodan 18.05.2013
Informacijska varnost telekomunikacijskih sistemov. Težave z informacijsko varnostjo. Tehnologija varnostne analize, odkrivanje izpostavljenosti vsiljivcem, zaščita informacij pred posegi, protivirusna zaščita. Oblikovanje podatkovne banke.
povzetek, dodan 27.02.2009
Najpomembnejši vidiki informacijske varnosti. Tehnična sredstva za obdelavo informacij, njihovi nosilci dokumentacije. Tipični načini nepooblaščenega pridobivanja informacij. Pojem elektronskega podpisa. Zaščita informacij pred uničenjem.
povzetek dodan 14.07.2015
Metode in sredstva za zaščito informacij pred nepooblaščenim dostopom. Značilnosti varovanja informacij v računalniških omrežjih. Kriptografska zaščita in elektronski digitalni podpis. Metode za zaščito informacij pred računalniškimi virusi in hekerskimi napadi.
povzetek, dodan 23.10.2011
Informacijska varnost, sestavni deli zaščitnega sistema. Destabilizirajoči dejavniki. Razvrstitev groženj za varnost informacij po viru pojavljanja, po naravi ciljev. Metode za njihovo izvajanje. Stopnje zaščite informacij. Faze oblikovanja zaščitnih sistemov.
predstavitev dodana 22.12.2015
Razvoj novih informacijskih tehnologij in splošna informatizacija. Varnost informacij. Klasifikacija namernih groženj informacijski varnosti. Metode in sredstva za varovanje informacij. Kriptografske metode varovanja informacij.
seminarska naloga, dodana 17.03.2004
Osnovni pojmi informacijske varnosti in informacijske varnosti. Klasifikacija in vsebina, viri in predpogoji za pojav možnih nevarnosti za informacije. Glavne smeri zaščite pred informacijskim orožjem (vpliv), omrežne varnostne storitve.
Katere so glavne varnostne težave, ki jih trenutno izpostavljate tako z vidika informacijske varnosti kot z vidika poslovne varnosti?
Andrey Bogoslovskikh, direktor Direktorata za informacijske tehnologije Rosbank: Ciljanje hekerske skupnosti na ustvarjanje zlonamerne kode, prilagojene tehnologijam oddaljenih bančnih sistemov. Kraja gesel in ključnih informacij iz okuženih odjemalskih računalnikov.
Konstantin Medentsev, podpredsednik Moskovske banke za obnovo in razvoj za informacijske tehnologije: Glavna naloga informacijske varnosti je zagotoviti in izboljšati zaščito informacijske infrastrukture. Informacijska tehnologija se vedno bolj uporablja v kriminalne namene. Tehnologije postajajo vse bolj dostopne, stroški napadov na informacijske sisteme se zmanjšujejo, stroški zaščite elektronskih informacijskih virov pa so vedno dražji. S pomočjo informacijskih sistemov lahko kreditne institucije znatno zmanjšajo stroške servisiranja strank, kar posledično vodi do povečanja dobička. Vendar mehanizmi za izpolnjevanje zahtev, ki so jih vzpostavili regulatorji, povzročajo znatno povečanje stroškov bančnih storitev. Višja kot je raven zaščite podatkov, težje jo je seveda pridobiti, saj je arhitektura ustreznih avtomatiziranih sistemov bolj zapletena. V zvezi s tem je pomembno najti celostni pristop ali algoritem ukrepov, katerih izvajanje bo omogočilo izpolnjevanje zakonskih zahtev, hkrati pa ne bo negativno vplivalo na dejavnosti banke in ne bo povzročilo povečanja stroškov izdelkov in storitev za potrošnika.
Vladilen Novoseletsky, vodja oddelka za informacijsko varnost B&N Bank: Glavna težava je omejeno financiranje informacijske varnosti. V veliki meri določa vse druge težave.
Druga težava je izbira za posel stopnje svobode, ki po eni strani ne bo dovolila, da bi napadalci uničili posel, po drugi strani pa ne bo zadušila posla. Očitno ne bo prišlo do incidentov na področju informacijske varnosti, če bo vse prepovedano. Potem pa se tudi posel ne bo razvijal. Zato je treba najti ravnovesje med svobodo ukrepanja, ki je potrebna za podjetje, in sistemom omejitev, potrebnih za zagotovitev informacijske varnosti.
Tretja težava je težava pri izbiri informacijsko-varnostnega sistema z zahtevano funkcionalnostjo, ki nima opaznega negativnega vpliva na zaščitena sredstva (problem funkcionalnosti in združljivosti). Na trgu je veliko SZI, ampak ... na papirju je bilo gladko.
Četrti problem je pravno - licenciranje dejavnosti z uporabo kriptografskih informacijskih sistemov, certificiranje sistemov informacijske varnosti in certificiranje predmetov avtomatizacije. Večina sistemov informacijske varnosti, ki jih je certificiral ruski FSTEC (FSB Rusije), je zastarelih. Zato se pri izbiri informacijsko-varnostnega sistema postavlja dilema: izpolniti zahteve zveznega zakona z nakupom certificiranega, a zastarelega informacijsko-varnostnega sistema. Lahko pa kupite najnovejši razvojni informacijski varnostni sistem in s tem učinkovitejši, vendar ne certificiran. Če je bila izbrana in že kupljena necertificirana različica sistema za varovanje informacij, se njeno nadaljnje certificiranje spremeni v korito za organizacije, ki sodelujejo pri tem. Med certificiranjem se sistem varovanja informacij ne bo izboljšal, vendar se bo precej podražil. In če se izkaže, da je rezultat certificiranja negativen, kaj potem storiti s tem SIZ? Vrniti se prodajalcu?
Oleg Podkopaev, direktor informacijske tehnologije Rusfinance Bank: Kot vedno je glavna grožnja informacijski varnosti organizacije in podjetja notranji vidik. In čeprav so posledice notranjih ravnanj običajno izrecno manj opazne in včasih celo preprosto nevidne, je ravno to njihova glavna nevarnost. Ogrožanje baze strank, na primer, poleg neposrednih pravnih tveganj vodi še do zmanjšanja poslovanja in izgube tržnega deleža, posledice pa postanejo vidne šele, ko je za nekaj prepozno. V skladu s tem bi bilo treba glavna prizadevanja usmeriti v preventivne ukrepe, da se takšno puščanje prepreči ali pravočasno ugotovi.
Aleksander Turkin, vodja Centra za preverjanje in informacijsko podporo B&N Bank: Pri certificiranju predmetov informatizacije je slika naslednja: ob vsaki spremembi je treba objekt ponovno potrditi. Toda v banki se spremembe dogajajo neprestano! Spreminjata se tako računalniška oprema kot programska oprema, tehnologija dela. Tako se formalno certificiranje / ponovna certifikacija spremeni v neprekinjen neskončen postopek z neskončnimi stroški.
Kot veste, za uporabo naprav za zaščito kriptografskih podatkov, ki spadajo pod odlok vlade Ruske federacije z dne 29. decembra 2007 št. 957, ki je odobrila Pravilnik o licenciranju nekaterih vrst dejavnosti, povezanih s šifriranjem (kriptografske ) pomeni, da so potrebne licence FSB Rusije. Potem pa so potrebni ne le za banko, temveč tudi za vse stranke sistema stranka-banka. Enako velja za vse stranke elektronskih sistemov za izmenjavo pri Zvezni davčni službi, pokojninskem skladu itd. Izkazalo se je, da so licence FSB Rusije potrebne za večino organizacij v državi.
Evgeny Shevtsov, podpredsednik CJSC JSCB NOVIKOMBANK: Danes se finančne institucije vedno bolj soočajo s številnimi obstoječimi grožnjami, kot so računalniške prevare, računalniški virusi, vdori v računalniške sisteme, zavrnitev storitve itd. Omrežja in omrežja skupnega dostopa, skupna raba informacijskih virov poveča ranljivost grožnje. Ker v banki obstoječi informacijski sistemi prvotno niso bili zasnovani z zahtevano stopnjo varnosti, so v večini primerov možnosti za zagotavljanje informacijske varnosti omejene.
Najpomembnejši problem, s katerim se sooča uprava in varnostna služba, je problem notranjih groženj informacijski varnosti ali, z drugimi besedami, problem zaščite informacij pred notranjimi informacijami.
Zato je danes tako z vidika informacijske varnosti kot tudi z vidika zagotavljanja poslovne varnosti ključnega pomena integriran sistem informacijske varnosti, ki vključuje ne le tehnične, temveč tudi organizacijske vire, katerih ustvarjanje lahko banko stane veliko ceneje kot odprava posledice groženj informacijske varnosti.
Je kriza spremenila naravo odnosov med IT oddelkom banke in varnostno službo? Ali je prišlo do prerazporeditve odgovornosti in funkcij? Kako?
Andrey Bogoslovskikh: Kriza ni spremenila odnosa med IT in varnostjo.
Konstantin Medentsev: Finančna in gospodarska kriza je pomembno vplivala na naravo poslovanja, kar je v številnih primerih privedlo do opaznih sprememb v strukturi kreditnih institucij, povezanih bodisi z zmanjšanjem bodisi s prerazporeditvijo nalog med oddelki. Kar zadeva informacijsko varnost, z glavnimi povezanimi oddelki, in sicer z oddelki za informacijsko tehnologijo. Opažanja kažejo, da v številnih primerih pride do prenosa funkcij, povezanih z delovanjem sistemov informacijske varnosti, na oddelke informacijske tehnologije. Vendar se lahko negativni vpliv te prerazporeditve na poslovanje kot celoto v bistvu pokaže le, če postopki za interakcijo med sosednjimi oddelki ne bodo hitro prilagojeni. V primeru pristojnega opisa postopkov interakcije ta prerazporeditev nima negativnega vpliva.
Vladilen Novoseletsky: V zvezi z začetkom veljavnosti zakona "O osebnih podatkih" bi se morala narava razmerja spremeniti v smeri informacijske varnosti. A se ni spremenil. Možno je, da je k temu največ prispevala kriza.
Oleg Podkopaev: Kriza kot taka na takšne odnose seveda ni vplivala, saj je bilo njeno bistvo drugačno. Toda z vidika interakcije med oddelki banke so ukrepi postali bolj usklajeni. Bolj vplivajo zahteve regulatorjev, katerih izvajanje zahteva jasnejšo interakcijo med IT in varnostnimi storitvami. Hkrati se porazdelitev funkcij ne spreminja: oddelki za informacijsko varnost so regulativni in nadzorni organi znotraj banke, IT je zasnovan za izvajanje in zagotavljanje informacijske varnosti.
Evgeny Shevtsov: Narava interakcije se ni spremenila. Odgovornosti in funkcije oddelkov so ostale enake, kot jih določajo regulativni dokumenti banke.
Kako ocenjujete vlogo regulatorja na področju bančne informacijske varnosti? Kako koristni so zlasti ukrepi centralne banke Ruske federacije na zakonodajnem področju?
Andrey Bogoslovskikh: Banka Rusije razvija standarde informacijske varnosti, ki so priporočljive narave (niso zakonodajno področje). Ocena je dvojna. Po eni strani so standardi IS centralne banke Ruske federacije koristni, saj temeljijo na sodobnih mednarodnih standardih IS. Po drugi strani pa je v njih veliko polemik, saj temeljijo tudi na zastarelih metodah in navodilih Državne tehnične komisije (FSTEC).
Konstantin Medentsev: Prizadevanja centralne banke ne morejo ostati neopažena. Pomemben mejnik v razvoju regulativne in metodološke osnove Centralne banke na področju informacijske varnosti je bila izdaja številnih regulativnih dokumentov. Na primer "Metodologija za ocenjevanje skladnosti informacijske varnosti z zahtevami STO BR IBSS-1.0-2008" in "Metodologija za oceno tveganja kršitev informacijske varnosti."
Oleg Podkopaev: Menim, da ima Centralna banka Ruske federacije popolnoma prav pri poučevanju bank, da razmišljajo o morebitni ureditvi na področju informacijske varnosti. Poleg tega se to naredi zelo pametno, tako da najprej izda priporočila in metode samoocenjevanja, izvede pilote na revizijah informacijske varnosti, šele nato - in to je vprašanje časa - z uvedbo obveznih zahtev.
Aleksander Turkin: Na področju informacijske varnosti imamo tri regulatorje: Centralna banka Ruske federacije, ruski FSTEC in ruski FSB. Koraki centralne banke na zakonodajnem področju se sprejemajo v interesu bank, zato so zagotovo koristni za banke, kako učinkoviti pa bodo - čas bo pokazal. Zaenkrat se zdi, da bo nekaj učinka, čeprav morda manj, kot bi si želeli. Dobili smo odlog za eno leto, ruski FSTEC pa je iz štirih svojih dokumentov odstranil žig iverne plošče - to je že dobro. Hkrati bi rad poudaril, da je vloga Banke Rusije pri tej zadevi nedvomno pozitivna. Na povabilo Andreya Petroviča Kurila smo vstopili v delovno skupino ARB za zakon št. 152-FZ. Predlogi in pripombe glede izboljšanja zakonodaje na področju osebnih podatkov, ki so se rodile na sestankih delovne skupine, so po mojem mnenju pomembno prispevale k skupni banki-prasici.
Evgeny Shevtsov: Glavni dokument, ki vodi bančno službo za informacijsko varnost pri njenih dejavnostih, je Standard Bank of Russia: »Zagotavljanje informacijske varnosti organizacij v bančnem sistemu Ruske federacije. Splošne določbe «(STO BR IBBS-1.0-2008). Pričakujemo, da bo nova različica dokumenta postala industrijski standard za kreditne in finančne institucije Ruske federacije.
Popoln začetek veljavnosti zahtev zakona št. 152-FZ. Koliko so banke danes na to pripravljene? Kaj doseže enoletno obdobje odloga?
Andrey Bogoslovskikh: Banke niso pripravljene. Enoletno odlogno obdobje malo naredi. Zaščita osebnih podatkov je močnejša od bančne in poslovne skrivnosti je nesmisel.
Konstantin Medentsev: Kljub temu, da je bil zvezni zakon "O osebnih podatkih" sprejet že leta 2006, so bili regulativni in metodološki dokumenti, ki urejajo procese gradnje sistemov za varstvo osebnih podatkov, objavljeni veliko pozneje. Glede na precejšnje finančne stroške izvajanja varnostnih sistemov imajo upravljavci obdelave osebnih podatkov premalo časa za njihovo izvajanje. V zvezi s tem je enoletna zamuda prišla še kako prav.
Oleg Podkopaev: Seveda nihče, vključno z bankami, ni popolnoma pripravljen na uvedbo zakona št. 152-FZ. Poleg tega regulatorji niso pripravljeni, kar je na splošno določalo možnost preložitve datumov. Poleg tega je tu potrebna enoletna zamuda ne toliko za izvajalce, kot za zakonodajalce, da bi lahko uvedli potrebne spremembe, oblikovane v postopkih praktičnega izvajanja zahtev zakona in ustreznih predpisov. Mislim, da bo to storjeno v letu 2010. Postalo bo tudi bolj jasno, kaj in kako storiti, zahteve bodo postale bolj usklajene z realnostjo in končno bodo svetovalci pridobili izkušnje pri izvajanju "pilotnih" projektov.
Aleksander Turkin: Tu je ena od težav razlaga tega zveznega zakona in podzakonskih aktov. Če se tega lotimo formalno in strogo, potem banke niso pripravljene in leto odloga ne bo korenito spremenilo razmer. Če se številne zahteve prilagodijo v smeri njihove oslabitve, se bo stopnja pripravljenosti povečala.
Evgeny Shevtsov: Enoletno podaljšano obdobje omogoča prihranek denarja ob izpolnjevanju teh zahtev.
Kako resen je problem DDOS-napadov na spletnih straneh bank, lažnega predstavljanja in drugih groženj kanalom RBS v povezavi z razvojem storitev oddaljenega bančništva in načrti za aktiven razvoj bank v tej smeri?
Andrey Bogoslovskikh: Nevarnost DDoS je resna, vendar ne sama po sebi, temveč kot sredstvo za prikrivanje goljufivih transakcij z uporabo ukradenih podatkov o strankah.
Konstantin Medentsev: Kot smo že omenili, razvoj informacijske tehnologije vpliva na kriminalno sfero. Vendar pa lahko oddaljeni bančni sistemi ob pravilni zasnovi z zaupanjem prenesejo določene vrste groženj. Trenutno obstoječa orodja za nadzor omrežne dejavnosti omogočajo hitro identifikacijo izvora napada DDOS in hkrati preprečujejo poškodbe tehničnih sredstev samega sistema oddaljenega bančništva. Vendar je bilo težavam, povezanim z nepooblaščeno uporabo ključnih informacij, malo ljudi prizanesenih. Ta pojav je mogoče izključiti le s skupnimi močmi tako s strani kreditnih institucij - z uvedbo naprednejših mehanizmov za izvajanje kriptografskih postopkov kot s strani strank samih - s strogim upoštevanjem priporočil glede informacijske varnosti.
Aleksander Turkin: Težava je ena najbolj resnih. Nekatere banke so zbrale veliko informacij o virih tovrstnih groženj. Njegova konsolidacija bi verjetno lahko znatno povečala stopnjo razkritja na tem področju. Toda konsolidacijski organ kazenskega pregona, ki se zanima za take informacije, ni viden. In to kljub dejstvu, da Doktrina informacijske varnosti Ruske federacije meni, da je ta grožnja resna za državno gospodarstvo.
Evgeny Shevtsov: Menim, da je ta težava resna. Banka potrebuje orodja za preprečevanje takšnih napadov v začetni fazi njihovega delovanja. In ne samo preprečiti, ampak zaščititi.
Katere so glavne težave / grožnje za vaše dejavnosti na področju informacijske varnosti, ki jih vidite v bližnji prihodnosti - 2010?
Andrey Bogoslovskikh: Skladnost z zahtevami metodoloških priporočil FSB in FSTEC o varstvu osebnih podatkov. Razvoj smeri goljufije z uporabo RBS kanalov.
Konstantin Medentsev: Tehnološki napredek vztrajno napreduje. Kot smo že omenili, prodor informacijske tehnologije v kriminalno sfero poteka pospešeno. V zvezi s tem se zdi, da se lahko število groženj informacijski varnosti dejavnosti kreditnih institucij samo poveča. Vendar pa lahko le čas natančneje oceni njihovo naravo in posledice.
Vladilen Novoseletsky: Glavna težava je uskladitev banke z zakonom "O osebnih podatkih", glavna grožnja pa je nerazumevanje ali nerazumevanje tega problema s strani vseh oseb, od katerih je odvisna njegova rešitev.
Evgeny Shevtsov: V okviru oblikovanja sistema varstva osebnih podatkov razmislite o vprašanju organizacije integriranega varnostnega sistema za bančne informacijske vire.
Ocenite:
Bančna dejavnost je bila od nekdaj povezana z obdelavo in shranjevanjem velike količine zaupnih podatkov. Najprej so to osebni podatki o strankah, o njihovih vlogah in o vseh izvedenih operacijah.
Vse komercialne informacije, shranjene in obdelane v kreditnih institucijah, so izpostavljene najrazličnejšim tveganjem, povezanim z virusi, okvaro strojne opreme, okvarami operacijskega sistema itd. Toda te težave ne morejo povzročiti resne škode. Vsakodnevno varnostno kopiranje podatkov, brez katerega je delovanje informacijskega sistema katerega koli podjetja nepredstavljivo, zmanjša tveganje za nepopravljivo izgubo informacij na minimum. Poleg tega so metode zaščite pred temi grožnjami dobro razvite in splošno znane. Zato pridejo do izraza tveganja, povezana z nepooblaščenim dostopom do zaupnih informacij (NSD).
Nepooblaščen dostop je resničnost
Danes obstajajo tri najpogostejše metode kraje zaupnih informacij. Prvič, fizični dostop do lokacij za shranjevanje in obdelavo. Tu je veliko možnosti. Na primer vsiljivci lahko ponoči vdrejo v bančno pisarno in ukradejo trde diske z vsemi bazami podatkov. Možen je celo oborožen napad, katerega namen ni denar, temveč informacije. Situacija ni izključena, ko lahko bančni uslužbenec sam odnese nosilec informacij z ozemlja.
Drugič, uporaba varnostnih kopij. Večina bank ima varnostne sisteme za varnostne kopije kritičnih podatkov. Kopije, ki jih ustvarijo, posnamejo na magnetne trakove, ki jih nato shranijo na ločenem mestu. Dostop do njih je veliko bolj sproščen. Med prevozom in skladiščenjem jih lahko naredi relativno veliko ljudi. Tveganja, povezanega z varnostnim kopiranjem občutljivih podatkov, ni mogoče podcenjevati. Na primer, večina strokovnjakov je prepričana, da so bile zbirke podatkov Centralne banke Ruske federacije, ki so se pojavile v prodaji leta 2005, ukradene prav zaradi kopij z magnetnih trakov. V svetovni praksi je znanih veliko takšnih incidentov. Zlasti septembra lani so zaposleni pri ponudniku kreditnih kartic Chase Card Services, oddelku JPMorgan Chase & Co., pomotoma odvrgli pet trakov z varnostnimi kopijami, ki vsebujejo podatke o 2,6 milijona imetnikov kreditnih računov Circuit City.
Tretjič, najverjetnejši način uhajanja zaupnih informacij je nepooblaščen dostop bančnih uslužbencev. Ko za ločevanje pravic uporabljajo samo standardna orodja operacijskega sistema, imajo uporabniki pogosto priložnost posredno (z uporabo določene programske opreme) kopirati celotne zbirke podatkov, s katerimi delajo, in jih odpeljati iz podjetja. Včasih zaposleni to počnejo brez zlonamernih namenov, samo za delo z informacijami doma. Takšna dejanja pa resno kršijo varnostno politiko in so lahko (in postanejo!) Razlog za razkritje zaupnih podatkov.
Poleg tega je v kateri koli banki v lokalnem omrežju skupina ljudi s povišanimi privilegiji. Govorimo o sistemskih skrbnikih. Po eni strani jo potrebujejo za izpolnjevanje svojih uradnih nalog. Po drugi strani pa imajo priložnost, da dobijo dostop do kakršnih koli informacij in "zatirajo svoje sledi".
Tako bi moral sistem za zaščito bančnih informacij pred nepooblaščenim dostopom obsegati vsaj tri podsisteme, od katerih vsak zagotavlja zaščito pred lastnimi vrstami groženj. To je podsistem za zaščito pred fizičnim dostopom do podatkov, podsistem za zagotavljanje varnosti varnostnih kopij in podsistem za zaščito pred notranjimi informacijami. Priporočljivo je, da ne zanemarite nobenega od njih, saj lahko vsaka grožnja povzroči razkritje zaupnih podatkov.
Zakon ni zapisan bankam?
Trenutno dejavnosti bank ureja zvezni zakon "O bankah in bančnih dejavnostih". Med drugim uvaja pojem "bančna tajnost". V skladu z njo je vsaka kreditna institucija dolžna zagotoviti zaupnost vseh podatkov o vlogah strank. Za njihovo razkritje je odgovorna, vključno z odškodnino za škodo, ki je nastala zaradi uhajanja informacij. Hkrati ni nobenih zahtev glede varnosti bančnih informacijskih sistemov. To pomeni, da banke sprejemajo vse odločitve o zaščiti komercialnih podatkov neodvisno na podlagi izkušenj svojih strokovnjakov ali neodvisnih podjetij (na primer tistih, ki izvajajo revizije informacijske varnosti). Edino priporočilo je standard Centralne banke Ruske federacije „Zagotavljanje informacijske varnosti organizacij bančnega sistema Ruske federacije. Splošne določbe ". Prvič se je pojavil leta 2004, leta 2006 pa je bila sprejeta nova različica. Pri ustvarjanju in dokončanju tega oddelčnega dokumenta so bili uporabljeni veljavni ruski in mednarodni standardi na področju informacijske varnosti.
Centralna banka Ruske federacije ga lahko priporoča le drugim bankam, ne more pa vztrajati pri obveznem izvajanju. Poleg tega je v standardu malo jasnih zahtev, ki določajo izbiro določenih izdelkov. Seveda je pomembno, vendar trenutno nima resnega praktičnega pomena. O certificiranih izdelkih na primer piše: "... lahko se uporabljajo certificirana ali pooblaščena sredstva za zaščito informacij pred nepooblaščenim dostopom." Ustreznega seznama ni.
Našteti v standardu in zahtevah za kriptografska sredstva za zaščito informacij v bankah. In tu je že bolj ali manj jasna opredelitev: "CIPF ... se mora izvajati na podlagi algoritmov, ki ustrezajo nacionalnim standardom Ruske federacije, pogodbenim pogojem s pogodbeno stranjo in (ali) standardom organizacija. " Skladnost kriptografskega modula z GOST 28147-89 lahko potrdite s certifikatom. Zato je pri uporabi šifrirnih sistemov v banki priporočljivo uporabljati ponudnike šifriranja programske ali strojne opreme, ki jih je certificiral FSB Ruske federacije, to je zunanje module, ki se povežejo s programsko opremo in sami izvajajo postopek šifriranja.
Julija lani je bil sprejet zvezni zakon Ruske federacije "O osebnih podatkih", ki je začel veljati 1. januarja 2007. Nekateri strokovnjaki so z njim povezovali nastanek bolj specifičnih zahtev za bančne varnostne sisteme, saj so banke organizacije, ki obdelujejo osebne podatke. Vendar sam zakon, ki je nedvomno zelo pomemben na splošno, v praksi trenutno ni uporaben. Težava je v odsotnosti standardov za zaščito zasebnih podatkov in organov, ki bi lahko nadzorovali njihovo izvajanje. To pomeni, da se banke trenutno svobodno odločajo o sistemih za zaščito komercialnih informacij.
Zaščita pred fizičnim dostopom
Banke tradicionalno veliko pozornosti namenjajo fizični varnosti operativnih pisarn, skladišč itd. Vse to zmanjšuje tveganje nepooblaščenega dostopa do komercialnih informacij s fizičnim dostopom. Vendar se pisarne bank in tehnične sobe, v katerih so strežniki, običajno ne razlikujejo po stopnji zaščite pred pisarnami drugih podjetij. Zato je za zmanjšanje opisanih tveganj treba uporabiti sistem kriptografske zaščite.
Danes je na trgu veliko število pripomočkov za šifriranje podatkov. Vendar posebnosti njihove obdelave v bankah nalagajo dodatne zahteve za ustrezno programsko opremo. Najprej je treba v sistem kriptografske zaščite uvesti načelo transparentnega šifriranja. Pri uporabi so podatki v glavnem pomnilniku vedno le v kodirani obliki. Poleg tega vam ta tehnologija omogoča zmanjšanje stroškov rednega dela s podatki. Ni jih treba vsak dan dešifrirati in šifrirati. Dostop do informacij se izvaja s posebno programsko opremo, nameščeno na strežniku. Ob dostopu do informacij samodejno dešifrira in šifrira, preden jih zapiše na trdi disk. Te operacije se izvajajo neposredno v RAM-u strežnika.
Drugič, bančne zbirke podatkov so zelo obsežne. Tako kriptografski informacijski varnostni sistem ne bi smel delovati z navideznimi, temveč z resničnimi particijami trdih diskov, matrikami RAID in drugimi pomnilniškimi nosilci strežnikov, na primer s pomnilnikom SAN. Dejstvo je, da datoteke vsebnikov, ki jih je mogoče na sistem povezati kot navidezne diske, niso zasnovane za delo z velikimi količinami podatkov. V primeru, da ima navidezni disk, ustvarjen iz takšne datoteke, veliko velikost, ko do njega hkrati dostopa celo več ljudi, lahko opazite znatno zmanjšanje hitrosti branja in pisanja informacij. Delo več deset ljudi z veliko datoteko zabojnikov se lahko spremeni v same muke. Upoštevajte tudi, da ti predmeti tvegajo škodo zaradi virusov, okvar datotečnega sistema itd. Navsezadnje gre za navadne datoteke, a precej velike. In že majhna njihova sprememba lahko privede do nezmožnosti dekodiranja vseh informacij, ki jih vsebuje. Obe obvezni zahtevi bistveno zožita nabor izdelkov, primernih za izvajanje varnosti. V resnici je danes na ruskem trgu le malo takih sistemov.
Tehničnih značilnosti strežniških sistemov za kriptografsko zaščito informacij ni treba podrobno obravnavati, saj smo v eni od prejšnjih številk te izdelke že primerjali. (Stolyarov N., Davletkhanov M. UTM-zaščita.) Vendar je treba omeniti nekatere značilnosti takšnih sistemov, katerih prisotnost je zaželena za banke. Prvi je povezan z že omenjenim certificiranjem uporabljenega kriptografskega modula. Večina bank že ima ustrezno programsko ali strojno opremo. Zato mora sistem strežniškega varovanja informacij predvideti možnost njihove povezave in uporabe. Druga posebna zahteva za informacijski varnostni sistem je sposobnost vključitve v fizični varnostni sistem pisarne in / ali strežniške sobe. To vam omogoča zaščito informacij pred nepooblaščenim dostopom, povezanim s krajo, vdorom itd.
Banke bi morale biti še posebej pozorne na varnost informacij, saj gre dejansko za denar strank. Zato mora zaščitni sistem predvideti posebne funkcije, ki zmanjšujejo tveganje za njegovo izgubo. Ena najbolj opaznih je funkcija zaznavanja slabih sektorjev na trdem disku. Poleg tega je zelo pomembna možnost zaustavitve in preklica začetnih procesov šifriranja, dešifriranja in ponovnega šifriranja diska. Gre za precej dolgotrajne postopke, pri katerih vsaka napaka ogrozi popolno izgubo vseh podatkov.
Človeški dejavnik zelo močno vpliva na tveganja, povezana z nepooblaščenim dostopom do zaupnih informacij. Zato je zaželeno, da sistem zaščite predvideva možnost zmanjšanja takega odnosa. To dosežemo z uporabo zanesljivih načinov shranjevanja šifrirnih ključev - pametnih kartic ali ključev USB. Optimalno je, da so ti žetoni vključeni v izdelek; omogoča ne samo optimizacijo stroškov, temveč tudi popolno združljivost programske in strojne opreme.
Druga pomembna funkcija, ki zmanjšuje vpliv človeškega dejavnika na zanesljivost varnostnega sistema, je ključni sklepčnost. Njeno bistvo je razdelitev šifrirnega ključa na več delov, od katerih je vsak dan v uporabo enemu odgovornemu zaposlenemu. Za priključitev zaprtega diska je potrebno določeno število delov. Poleg tega je lahko manjše od skupnega števila ključnih delov. Ta pristop vam omogoča zaščito podatkov pred zlorabo s strani odgovornih zaposlenih in zagotavlja prožnost, potrebno za delo banke.
Varnostna kopija
Redno varnostno kopiranje vseh informacij, shranjenih v banki, je nujen ukrep. Omogoča vam znatno zmanjšanje izgub v primeru težav, kot so poškodbe podatkov z virusi, okvara strojne opreme itd. Toda hkrati povečuje tveganja, povezana z nepooblaščenim dostopom. Praksa kaže, da nosilci podatkov, na katerih se beležijo varnostne kopije, ne smejo biti shranjeni v strežniški sobi, temveč v drugi sobi ali celo zgradbi. V nasprotnem primeru se lahko podatki in njihovi arhivi v primeru požara ali drugega resnega dogodka nepovratno izgubijo. Samo kriptografija lahko zanesljivo zaščiti varnostne kopije pred nepooblaščeno uporabo. V tem primeru lahko varnostni uslužbenec, ki ima šifrirni ključ doma, medij z arhivi varno prenese tehničnemu osebju.
Glavna težava pri organizaciji kriptografske zaščite varnostnih kopij je potreba po ločitvi odgovornosti za upravljanje arhiviranja podatkov. Skrbnik sistema ali drug tehnik mora sam konfigurirati in izvajati postopek varnostnega kopiranja. Šifriranje informacij bi moral voditi odgovorni uslužbenec - varnostnik. Razumeti je treba, da se odpuščanje v veliki večini primerov izvede samodejno. Težavo je mogoče rešiti samo z "vdelavo" sistema kriptografske zaščite med sistemom za upravljanje varnostnih kopij in napravami, ki zapisujejo podatke (strežniki, pogoni DVD itd.).
Tako, da bi jih lahko kriptografski izdelki lahko uporabljali v bankah, bi morali delati tudi z različnimi napravami, ki se uporabljajo za zapisovanje varnostnih kopij na pomnilniške medije: streamerji, pogoni CD in DVD, odstranljivi trdi diski itd.
Danes obstajajo tri vrste izdelkov, namenjenih zmanjšanju tveganj, povezanih z nepooblaščenim dostopom do varnostnih kopij. Prva vključuje posebne naprave. Takšne strojne rešitve imajo številne prednosti, vključno z zanesljivim šifriranjem informacij in visoko hitrostjo delovanja. Imajo pa tri pomembne pomanjkljivosti, ki preprečujejo njihovo uporabo v bankah. Prvič: zelo visoki stroški (več deset tisoč dolarjev). Drugič: možne težave z uvozom v Rusijo (ne smemo pozabiti, da govorimo o kriptografskih sredstvih). Tretja pomanjkljivost je nezmožnost povezave z njimi zunanjih certificiranih ponudnikov kripto. Te kartice delujejo samo z algoritmi za šifriranje, ki so v njih implementirani na ravni strojne opreme.
Drugo skupino kriptografskih zaščitnih sistemov za varnostne kopije sestavljajo moduli, ki jih svojim strankam ponujajo razvijalci programske in strojne opreme za varnostno kopiranje. Obstajajo za vse najbolj znane izdelke na tem področju: ArcServe, Veritas Backup Exec itd. Res je, da imajo tudi svoje značilnosti. Najpomembneje je, da delate samo s "svojo" programsko opremo ali pogonom. Medtem se informacijski sistem banke nenehno razvija. Možno je, da lahko zamenjava ali razširitev varnostnega sistema zahteva dodatne stroške za spremembo zaščitnega sistema. Poleg tega večina izdelkov v tej skupini izvaja stare algoritme za počasno šifriranje (na primer 3DES), ni ključnih orodij za upravljanje in ni možnosti povezovanja zunanjih ponudnikov šifriranja.
Vse to nas sili, da smo pozorni na sisteme kriptografske zaščite varnostnih kopij iz tretje skupine. Vključuje posebej razvito programsko opremo, programsko in strojno opremo ter izdelke strojne opreme, ki niso vezani na posebne sisteme za arhiviranje podatkov. Podpirajo široko paleto naprav za zapisovanje informacij, kar omogoča njihovo uporabo v celotni banki, vključno z vsemi njenimi poslovalnicami. To zagotavlja, da je uporabljena zaščita dosledna in da so obratovalni stroški minimalni.
Vendar je treba opozoriti, da je izdelkov iz tretje skupine kljub vsem njihovim prednostim na trgu zelo malo. To je najverjetneje posledica pomanjkanja velikega povpraševanja po kriptografskih zaščitnih sistemih za varnostne kopije. Ko bo vodstvo bank in drugih velikih organizacij spoznalo resničnost tveganj, povezanih z arhiviranjem poslovnih informacij, bo število igralcev na tem trgu naraščalo.
Zaščita pred notranjimi informacijami
Nedavne raziskave na področju informacijske varnosti, kot je letna raziskava računalniškega kriminala in varnosti CSI / FBI, so pokazale, da se finančne izgube podjetij zaradi večine groženj iz leta v leto zmanjšujejo. Vendar obstaja več tveganj, katerih izgube naraščajo. Eden izmed njih je namerna kraja zaupnih informacij ali kršitev pravil ravnanja z njimi s strani zaposlenih, katerih dostop do komercialnih podatkov je potreben za opravljanje njihovih uradnih nalog. Imenujejo se notranji.
V veliki večini primerov se kraja zaupnih informacij izvaja z uporabo mobilnih medijev: CD-jev in DVD-jev, naprav ZIP in, kar je najpomembneje, vseh vrst pogonov USB. Njihova množična distribucija je privedla do razcveta insajderskega znanja po vsem svetu. Predstojniki večine bank se dobro zavedajo, kaj bi lahko bilo ogroženo, na primer pridobitev baze podatkov z osebnimi podatki njihovih strank ali še več transakcij na njihovih računih v roke kriminalnih struktur. Morebitno krajo informacij se poskušajo spoprijeti z organizacijskimi metodami, ki so jim na voljo.
Vendar so organizacijske metode v tem primeru neučinkovite. Danes je mogoče organizirati prenos informacij med računalniki z uporabo miniaturnega bliskovnega pogona, mobilnega telefona, mp3 predvajalnika, digitalnega fotoaparata ... Seveda lahko poskusite prepovedati vnos vseh teh naprav v pisarno , a to bo, prvič, negativno vplivalo na odnose z zaposlenimi, drugič pa je še vedno zelo težko vzpostaviti res učinkovit nadzor nad ljudmi - banka ni "poštni predal". In celo onemogočanje vseh naprav v računalnikih, ki jih je mogoče uporabiti za zapisovanje informacij na zunanje medije (diski FDD in ZIP, pogoni CD in DVD itd.) In vrat USB, ne bo pomagalo. Navsezadnje so prvi potrebni za delo, drugi pa so povezani z različnimi zunanjimi napravami: tiskalniki, skenerji itd. In nihče ne more preprečiti, da bi oseba za minuto izklopila tiskalnik, v izpraznjena vrata vstavila bliskovni pogon in vanj kopirala pomembne podatke. Seveda lahko najdete izvirne načine zaščite. Na primer, v eni banki so poskusili to metodo reševanja problema: stik vrat USB in kabla so napolnili z epoksidno smolo, slednjo pa tesno "privezali" na računalnik. Toda na srečo danes obstajajo bolj sodobni, zanesljivi in prilagodljivi načini nadzora.
Najučinkovitejše sredstvo za zmanjšanje tveganj, povezanih z notranjimi informacijami, je posebna programska oprema, ki dinamično upravlja vse naprave in vrata v računalniku, s katerimi lahko kopiramo informacije. Načelo njihovega dela je naslednje. Za vsako uporabniško skupino ali za vsakega uporabnika posebej so nastavljena dovoljenja za uporabo različnih vrat in naprav. Največja prednost tovrstne programske opreme je njena prilagodljivost. Lahko določite omejitve za določene vrste naprav, njihove modele in posamezne primerke. To omogoča izvajanje zelo zapletenih politik distribucije pravic dostopa.
Nekaterim zaposlenim je na primer dovoljeno uporabljati katere koli tiskalnike in skenerje, priključene na vrata USB. Vse druge naprave, vstavljene v ta vrata, bodo ostale nedostopne. Če banka uporablja sistem za preverjanje pristnosti uporabnikov, ki temelji na žetonih, lahko v nastavitvah določite uporabljeni model ključa. Potem bodo uporabniki lahko uporabljali samo naprave, ki jih je kupilo podjetje, vse ostale pa bodo neuporabne.
Na podlagi zgoraj opisanega načela zaščitnih sistemov lahko razumete, katere točke so pomembne pri izbiri programov, ki izvajajo dinamično blokiranje snemalnih naprav in računalniških vrat. Prvič, to je vsestranskost. Zaščitni sistem mora zajemati celoten nabor možnih vrat in vhodno-izhodnih naprav. V nasprotnem primeru ostaja tveganje kraje komercialnih informacij nesprejemljivo veliko. Drugič, zadevna programska oprema mora biti prilagodljiva in omogoča ustvarjanje pravil z uporabo velike količine različnih informacij o napravah: njihovi tipi, proizvajalci modelov, enolične številke, ki jih ima vsak primerek itd. In tretjič, sistem za zaščito pred notranjimi informacijami bi se moral lahko integrirati z informacijskim sistemom banke, zlasti z Active Directory. V nasprotnem primeru bo moral skrbnik ali varnostnik vzdrževati dve zbirki podatkov uporabnikov in računalnikov, kar ni le neprijetno, ampak tudi povečuje tveganje za napake.
Povzetek
Danes na trgu obstajajo izdelki, s pomočjo katerih lahko katera koli banka organizira zanesljiv sistem za zaščito informacij pred nepooblaščenim dostopom in zlorabo. Res je, pri njihovi izbiri morate biti zelo previdni. V idealnem primeru bi to morali storiti lastni strokovnjaki ustrezne ravni. Dovoljeno je uporabljati storitve tretjih oseb. Vendar je v tem primeru mogoča situacija, ko banki ne bodo spretno naložili ne ustrezne programske opreme, temveč tisto, ki je koristna za dobavitelja. Poleg tega je domači trg svetovanja o informacijski varnosti šele v povojih.
Medtem pa pravilna izbira sploh ni težka. Dovolj je, da se oborožite z merili, ki smo jih navedli, in natančno preučimo trg varnostnih sistemov. Toda tu je "pasti", ki si jo je treba zapomniti. V idealnem primeru bi bilo treba poenotiti sistem informacijske varnosti banke. To pomeni, da bi morali biti vsi podsistemi integrirani v obstoječi informacijski sistem in po možnosti imeti skupno upravljanje. V nasprotnem primeru so neizogibni povečani stroški dela za upravljanje zaščite in povečana tveganja zaradi napak pri upravljanju. Zato je za izdelavo vseh treh danes opisanih zaščitnih podsistemov bolje izbrati izdelke, ki jih je izdal en razvijalec. Danes v Rusiji obstajajo podjetja, ki ustvarjajo vse potrebno za zaščito bančnih informacij pred nepooblaščenim dostopom.
Sistem varovanja informacij bank se zelo razlikuje od podobnih strategij drugih podjetij in organizacij. To je predvsem posledica posebne narave groženj, pa tudi javnih dejavnosti bank, ki so prisiljene olajšati dostop do računov zaradi udobja strank.
Z razvojem in širitvijo obsega računalniške tehnologije vse bolj narašča akutnost problema zagotavljanja varnosti računalniških sistemov in zaščite informacij, shranjenih in obdelanih v njih, pred različnimi grožnjami. Za to obstaja več objektivnih razlogov.
Glavna je večja stopnja zaupanja v avtomatizirane sisteme za obdelavo informacij. Zaupano jim je najbolj odgovorno delo, katerega kakovost marsikomu določa življenje in počutje. Računalniki nadzorujejo tehnološke procese v podjetjih in jedrskih elektrarnah, premike letal in vlakov, izvajajo finančne transakcije, obdelujejo tajne podatke.
Obstajajo različne možnosti za zaščito informacij - od varnostnika na vhodu do matematično preverjenih načinov skrivanja podatkov pred znancem. Poleg tega lahko govorimo o globalni zaščiti in njenih posameznih vidikih: zaščita osebnih računalnikov, omrežij, baz podatkov itd.
Treba je opozoriti, da ni popolnoma varnih sistemov. O zanesljivosti sistema lahko govorimo prvič le z določeno verjetnostjo in drugič o zaščiti pred določeno kategorijo kršiteljev. Kljub temu je mogoče predvideti vdor v računalniški sistem. Obramba je neke vrste tekmovanje med obrambo in napadom: tisti, ki ve več in zagotavlja učinkovite ukrepe, je zmagovalec.
Organizacija zaščite avtomatiziranega sistema za obdelavo informacij banke je en sam sklop ukrepov, ki mora upoštevati vse značilnosti procesa obdelave informacij. Kljub neprijetnostim, ki so uporabniku povzročene med delom, je v mnogih primerih zaščitna oprema nujno potrebna za normalno delovanje sistema. Glavne zgoraj omenjene nevšečnosti vključujejo Yu V. Gaikovich, A. S. Pershin. Varnost sistemov elektronskega bančništva.-M .: Združena Evropa, 1994. - S. 33:
Težko si je predstavljati sodobno banko brez avtomatiziranega informacijskega sistema. Povezava računalnikov med seboj in z zmogljivejšimi računalniki ter tudi z računalniki drugih bank je tudi nujen pogoj za uspešno poslovanje banke - preveč je operacij, ki jih je treba opraviti v kratkem času .
Hkrati postajajo informacijski sistemi eden najbolj ranljivih vidikov sodobne banke, ki privablja vsiljivce, tako od osebja banke kot od zunaj. Ocene izgub zaradi kaznivih dejanj, povezanih z vmešavanjem v bančne informacijske sisteme, se zelo razlikujejo. Na njih vpliva raznolikost metod za njihov izračun. Povprečna kraja bank z uporabo elektronskih sredstev znaša približno 9.000 ameriških dolarjev, eden najbolj odmevnih škandalov pa je poskus ukrasti 700 milijonov dolarjev (First National Bank, Chicago).
Poleg tega je treba upoštevati ne le višino neposredne škode, temveč tudi zelo drage ukrepe, ki se izvajajo po uspešnih poskusih vdora v računalniške sisteme. Torej, eden najbolj presenetljivih primerov je izguba podatkov o delu s tajnimi računi Bank of England januarja 1999. Zaradi te izgube je banka morala spremeniti kode vseh korespondenčnih računov. V zvezi s tem so v Združenem kraljestvu sprožili pripravljenost vse razpoložljive obveščevalne in protiobveščevalne sile, da bi preprečili morebitno uhajanje informacij, ki bi lahko povzročile ogromno škodo. Vlada je s skrajnimi ukrepi zagotovila, da tujci ne poznajo računov in naslovov, na katere Banka Anglije vsak dan pošlje na stotine milijard dolarjev. Poleg tega so se v Veliki Britaniji bolj bali situacije, v kateri bi lahko bili podatki na voljo tujim posebnim službam. V tem primeru bi bila izpostavljena celotna mreža finančnih dopisnikov Bank of England. Škodo so odpravili v nekaj tednih.
Adzhiev V. Miti o varnosti programske opreme: lekcije iz znanih nesreč // Odprti sistemi.-1999. - št. 6. - C..21-24
Storitve, ki jih danes opravljajo banke, v veliki meri temeljijo na uporabi elektronskih načinov interakcije med bankami, bankami in njihovimi strankami ter trgovinskimi partnerji. Trenutno je dostop do bančnih storitev mogoč z različnih oddaljenih krajev, vključno z domačimi terminali in pisarniškimi računalniki. To dejstvo se nekoliko oddalji od koncepta "zaklenjenih vrat", ki je bil značilen za banke v 60. letih, ko so bili računalniki v večini primerov v paketnem načinu uporabljeni kot pomožno sredstvo in niso imeli nobene povezave z zunanjim svetom.
Raven opreme za avtomatizacijo igra pomembno vlogo pri dejavnostih banke in zato neposredno vpliva na njen položaj in dohodek. Krepitev konkurence med bankami vodi v potrebo po skrajšanju časa za poravnave, povečanju obsega in izboljšanju kakovosti storitev. Manj časa kot je potrebno za poravnave med banko in komitenti, večji bo promet banke in posledično dobiček. Poleg tega se bo banka lahko hitreje odzvala na spremembe finančnega stanja. Različne bančne storitve (najprej se to nanaša na možnost negotovinskega plačevanja med banko in njenimi strankami z uporabo plastičnih kartic) lahko znatno povečajo število njenih strank in posledično povečajo dobiček.
Varnost bančnih informacij mora upoštevati naslednje posebne dejavnike:
Kazniva dejanja v bančnem sektorju imajo tudi svoje značilnosti Gamza V.A. , Tkachuk I.B. Varnost poslovne banke.- M ..: Združena Evropa, 2000.- C..24:
Napadalci praviloma uporabljajo lastne račune, na katere se prenesejo ukradeni zneski. Večina zločincev ukradenega denarja ne zna "oprati". Vedeti, kako storiti kaznivo dejanje, in vedeti, kako priti do denarja, ni isto.
Večina računalniških zločinov je drobnih. Škoda zanje znaša od 10.000 do 50.000 dolarjev.
Za uspešne računalniške zločine je običajno potrebno veliko število bančnih transakcij (do nekaj sto). Vendar je mogoče velike zneske nakazati v samo nekaj transakcijah.
Večina napadalcev je uradnikov. Čeprav lahko najvišje osebje banke stori tudi kazniva dejanja in banki povzroči veliko več škode, so taki primeri redki.
Računalniški kriminal ni vedno visokotehnološki. Dovolj je ponarejanje podatkov, spreminjanje parametrov okolja ASOIB itd., In ta dejanja so na voljo tudi servisnemu osebju.
Številni kiber kriminalci svoja dejanja pojasnjujejo z dejstvom, da se samo zadolžujejo pri banki z naknadnim donosom. Vendar praviloma ni "vrnitve".
Posebnost zaščite avtomatiziranih sistemov za obdelavo informacij bank je posledica posebnosti nalog, ki jih rešujejo:
ASOIB praviloma v realnem času obdela velik tok nenehno prihajajočih zahtev, od katerih vsaka za obdelavo ne zahteva številnih virov, vse skupaj pa jih lahko obdeluje le visoko zmogljiv sistem;
ASOIB hrani in obdeluje zaupne informacije, ki niso namenjene širši javnosti. Ponarejanje ali puščanje lahko privede do resnih posledic (za banko ali njene stranke). Zato so ASOIB obsojeni na to, da ostanejo razmeroma zaprti, delujejo pod nadzorom posebne programske opreme in posvečajo veliko pozornost zagotavljanju svoje varnosti;
Druga značilnost ASOIB so povečane zahteve po zanesljivosti programske in strojne opreme. Zaradi tega številni sodobni ASOIB gravitirajo k tako imenovani odporni arhitekturi računalnikov, ki omogoča neprekinjeno obdelavo informacij tudi v pogojih različnih napak in napak.
Uporaba ASOI pri bankah je povezana s posebnostmi zaščite teh sistemov, zato bi morale banke več pozornosti nameniti zaščiti svojih avtomatiziranih sistemov.
Sklepi o prvem poglavju:
Leta 2004 (in nato s spremembami iz leta 2006) je bila bančni skupnosti ponujen standard Banke Rusije „Zagotavljanje informacijske varnosti organizacij v bančnem sistemu Ruske federacije ali STO BR IBBS“, ki naj bi preprečil pojav nevarnosti v sistemu informacijske varnosti bank in s tem povezana tveganja. Danes ima sistem standardov že pet dokumentov, vključno z revizijskim standardom, metodologijo za ocenjevanje skladnosti z zahtevami standarda in ustreznimi priporočili za standardizacijo (RS).
Preglednica 1
|
Zagotavljanje informacijske varnosti organizacij bančnega sistema Ruske federacije Standardi (STO) in priporočila za standardizacijo (RS) |
|||
|
Klasifikator STO BR IBBS - 0,0 |
Izrazi in opredelitve STO BR IBBS - 0,1 |
||
|
Splošne določbe STO BR IBBS - 1.0 |
Revizija informacijske varnosti STO BR IBBS - 1.1 |
Metodologija ugotavljanja skladnosti STO BR IBBS - 1.2 |
|
|
Dokumenti o informacijski varnosti RS BR IBBS - 2.0 |
Vodnik za samoocenjevanje RS BR IBBS - 2.1 |
||
|
Metodologija razvrščanja sredstev RS BR IBBS - 2.2 |
Metodologija ocene tveganja RS BR IBBS - 2.3 |
||
Nabor standardov temelji na ideologiji mednarodnega standarda kakovosti ISO (Mednarodna organizacija za standardizacijo) serije 9000. Pomen tega standarda je naslednji: če se med proizvodnjo izdelka zagotavljajo in nadzorujejo stalni proizvodni pogoji , potem bo kakovost izdelka vedno ustrezala originalu, vnaprej danim zahtevam. Ideologija mednarodnega sistema standardov serije ISO 9000 je bila osnova za ideologijo standardov COBIT, ISO / IES 17799, 15408 in nato 27000, ki so temeljni standardi informacijske varnosti.
Naslednja stvar, ki je osnova ideologije varnostnih standardov Banke Rusije, so tveganja informacijske varnosti, ki so v skladu s priporočili Basel II vključena v operativna tveganja.
Za razvoj standarda so bile izvedene študije tujih analogov, najboljše prakse nacionalnih standardov, mednarodni standardi ISO, raziskovalno delo, ustanovljen je bil poseben pododbor za standardizacijo (pododbor št. 3 "Informacijska varnost v kreditnem in finančnem področje "Tehničnega odbora št. 362" Informacijska varnost "Zvezne službe za tehnično regulacijo in meroslovje).
Pododbor je stalno telo, ki na državni ravni zagotavlja razvoj, usklajevanje, pripravo na odobritev in pregled dokumentov s področja standardizacije za varovanje informacij in informacijsko varnost v kreditni in finančni sferi Ruske federacije. Danes vključuje več kot dvajset največjih kreditnih institucij ter organizacije, ki zavzemajo pomembno mesto na trgu orodij in storitev informacijske varnosti, ter predstavnike tehničnih regulativnih organov.
Poleg tega je bila za podporo izvajanju standarda v praksi ustanovljena skupnost ABISS (Združenje za standarde bančne informacijske varnosti) - skupnost uporabnikov standardov Centralne banke Ruske federacije za zagotavljanje informacijske varnosti organizacij bančnega sistema Ruske federacije. Skupnost vključuje vse zainteresirane kreditne in finančne organizacije, vključno s številnimi bankami.
Načela informacijske varnosti v skladu s standardom Bank of Russia (ne preveč jasen odgovor, vsega je na kupu, vendar ni boljšega)
Zakaj je potreben standard?
Banka dela z denarjem drugih gospodarskih in finančnih subjektov. V primeru resnih težav, ki bodo zagotovo in zelo hitro postale znane, bodo druge kreditne institucije prisiljene zanj zapreti linije za refinanciranje, kar bo stranke spodbudilo k umiku ali ne podaljšanju depozitov - in to bo neizogibno vodilo do likvidnostne krize. Destabilizacija dela celo ene od njegovih komponent lahko privede do sistemskega kolapsa, ki že predstavlja grožnjo državi.
Osnovna načela zagotavljanja standarda IS.
Splošna načela varnega delovanja organizacije odražajo bistvo koncepta "informacijske varnosti organizacije bančnega sistema Ruske federacije", ki je v standardu opredeljen kot "stanje zaščite interesov (ciljev) organizacija bančnega sistema (BS) Ruske federacije v razmerah groženj v informacijski sferi. "
Zlasti so osredotočeni na preprečevanje takšnih situacij, ko je v sistem lastnika nameščen izjemno zmogljiv, drag in certificiran sistem za nadzor dostopa, dejansko pa se mesec dni kasneje izkaže, da so v sistemu dovoljeni vsi in vse. Hkrati lastnik ostaja prepričan, da ima po vloženih pomembnih sredstvih zanesljiv varnostni sistem, v praksi pa je vse drugače. Tako naj bodo v sistem nameščeni samo tisti zaščitni ukrepi, katerih pravilno delovanje je mogoče preveriti.
Modeli groženj in kršiteljev standarda IS.
Dejavnosti organizacije RF BS podpira informacijska infrastruktura, vključena v njeno strukturo, ki zagotavlja izvajanje bančnih tehnologij in je lahko predstavljena v obliki hierarhije naslednjih glavnih ravni:
- fizični (komunikacijske linije, strojna oprema itd.);
- omrežje (omrežna strojna oprema: usmerjevalniki, stikala, zvezdišča itd.);
- omrežne aplikacije in storitve;
- operacijski sistemi (OS);
- sistemi za upravljanje baz podatkov (DBMS);
- bančni tehnološki procesi in aplikacije;
- poslovni procesi organizacije.
Hkrati pa se načini in načini zaščite ter pristopi k ocenjevanju učinkovitosti na vsaki od naštetih stopenj nevarnosti in njihovih virov (vključno z napadalci) razlikujejo. Organizacija mora opredeliti posebne predmete zaščite na vsaki od ravni informacijske infrastrukture.
Določbe standarda določajo tudi, da je mogoče za določeno organizacijo razviti modele groženj in kršiteljev IS. Zahteve za model groženj IS, vključno z opisom virov groženj, ranljivosti, ki jih uporabljajo grožnje, metode in predmeti napadov, primerni za izvajanje grožnje, vrste možnih izgub, obseg potencialne škode, temeljijo na ustreznih zahtevah mednarodnih standardov .
Za vire groženj - ljudi je mogoče razviti model vsiljivcev (kršiteljev), ki vključuje opis izkušenj, znanja, razpoložljivih virov, potrebnih za izvedbo grožnje, in možne motivacije za njihova dejanja.
Politika IS standarda.
Standard vključuje splošne zahteve (pravila) o informacijski varnosti na naslednjih osmih področjih, ki bi se morala odražati v politiki informacijske varnosti organizacije:
1. dodelitev in razporeditev vlog ter zagotavljanje zaupanja v osebje;
2. IS avtomatiziranih bančnih sistemov v fazah življenjskega cikla;
3. določba IS za nadzor dostopa in registracijo;
4. zagotavljanje IS protivirusnim zaščitnim sredstvom;
5. zagotavljanje informacijske varnosti pri uporabi internetnih virov;
6. zagotavljanje informacijske varnosti pri uporabi orodij za zaščito kriptografskih informacij;
7. zagotavljanje IS za tehnološke procese bančnih plačil;
8. zagotavljanje IS za bančne informacijske tehnološke procese.
Hkrati lahko v politiki organizacije IS upoštevamo tudi druga področja informacijske varnosti, ki izpolnjujejo njene poslovne cilje.
Računalniški zločini v banki so uresničitev groženj informacijski varnosti.
Grožnje delimo na splošne (značilne za kateri koli informacijski sistem) in posebne (povezane s funkcijami kreditne institucije). Povzeta je lahko naslednja klasifikacija:
Naravne grožnje:
Naravne nesreče (Motnje v informacijskem sistemu. Fizično uničenje ljudi, prevoznikov)
Magnetne nevihte in radioaktivno sevanje (Vpliv na magnetne nosilce podatkov, elektronska sredstva za obdelavo in prenos podatkov. Napake in okvare opreme)
Tehnično:
Izpad električne energije (izguba informacij)
Napake in okvare strojne opreme (izkrivljanje in izguba informacij)
Elektromagnetno sevanje in motnje (Nepooblaščen prenos informacij zunaj informacijskega sistema)
Pušča po komunikacijskih kanalih (zaradi obstoječe možnosti odstranitve s posebnimi senzorji ali prek neposredne povezave.)
Človeški faktor
Nenamerna ali namerna dejanja osebja za upravljanje in vzdrževanje, programerjev, uporabnikov informacijskega sistema, varnostnih služb itd.
Za bančni sistem so pomembne zlasti naslednje grožnje:
- nepooblaščen dostop nepooblaščenih oseb, ki ne spadajo med število zaposlenih v banki, in seznanitev s shranjenimi zaupnimi informacijami;
- seznanitev bančnih uslužbencev z informacijami, do katerih ne bi smeli imeti dostopa;
- nepooblaščeno kopiranje programov in podatkov;
- prestrezanje in naknadno razkritje zaupnih informacij, posredovanih po komunikacijskih kanalih;
- kraja magnetnih medijev, ki vsebujejo zaupne informacije;
- krajo natisnjenih bančnih dokumentov;
- naključno ali namerno uničenje informacij;
- nepooblaščeno spreminjanje finančnih dokumentov, poročil in baz podatkov s strani zaposlenih v bankah.
- ponarejanje sporočil, prenesenih po komunikacijskih kanalih, vključno z vsiljevanjem predhodno poslanega sporočila;
- zavrnitev prejema informacij;
- uničenje datotečne strukture zaradi nepravilnega delovanja programske ali strojne opreme;
- uničenje informacij zaradi virusnih vplivov;
- uničenje arhivskih bančnih informacij, shranjenih na magnetnih nosilcih podatkov;
- krajo opreme;
- napake v programski opremi;
- okvare opreme, tudi zaradi izpada električne energije in drugih dejavnikov, ki ovirajo delovanje opreme.
V VSAKEM PRIMERU, KAKO DO VARNOSTI V BANKI
Integrirani sistem bančne varnosti je sklop medsebojno povezanih organizacijskih in pravnih ukrepov, ki so bili sprejeti za zaščito banke pred dejanskimi ali potencialnimi dejanji posameznikov in pravnih oseb, ki lahko povzročijo velike izgube.
Glavne naloge varnostnega sistema so:
zagotavljanje varnosti banke
organizacija posebnega pisarniškega dela, razen nepooblaščenega prejema zaupnih informacij;
prepoznavanje in lokalizacija možnih kanalov razkritja, uhajanja in nepooblaščenega dostopa do zaupnih informacij med vsakodnevnimi dejavnostmi in v ekstremnih situacijah;
zagotavljanje varnosti pri vseh vrstah dejavnosti, vključno s sestanki, pogajanji, sestanki v zvezi s poslovnim sodelovanjem na nacionalni in mednarodni ravni;
zagotavljanje zaščite stavb, prostorov, opreme in tehničnih sredstev za zagotavljanje proizvodnih dejavnosti;
zagotavljanje varnosti osebja;
Varnostni sistem deluje na podlagi naslednjih organizacijskih in pravnih dokumentov:
Statut banke;
Varnostni predpisi;
Smernice za zaščito zaupnih informacij;
Navodila o postopku dela s tujimi strokovnjaki;
Smernice za inženirsko in tehnično zaščito prostorov in tehnično opremo.
