Защита банковской информации

 

НЕГОСУДАРСТВЕННОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ

МОСКОВСКИЙ  ЭКОНОМИЧЕСКИЙ ИНСТИТУТ

 

 

 

 

 

 

 

 

 

 

 

 

КУРСОВАЯ РАБОТА

по предмету «Стратегический менеджмент»

на тему «Защита  банковской информации»

 

 

 

 

 

 

 

 

выполнила студентка 4 курса

заочной формы обучения

Иванова И.М.

 

 

 

 

 

 

 

 

 

 

 

 

МОСКВА, 2010 г.

Оглавление

 

Введение

 Банковская деятельность всегда была связана с обработкой и хранением большого количества конфиденциальных данных. В первую очередь это персональные данные о клиентах, об их вкладах и обо всех осуществляемых операциях.

 Актуальность данной  работы заключается в том, что  с развитием электронных технологий в финансовой сфере для банков наиболее остро встала задача защиты информации и обеспечения ее конфиденциальности. Ее решение возможно только при использовании современных средств защиты от несанкционированного доступа, соблюдении всех требований нормативов бизнес-операций и более широкой интеграции службы информационной безопасности в структуру управления банком.

Целью данной работы является изучение проблемы защиты банковской информации.

Задачи:

• Изучение теоретических аспектов защиты банковской информации
• Рассмотрение видов угроз
• Изучение методов и способов защиты банковской информации

Объектом исследования является банковская система.

Предмет исследования –  банковская информация.

      Проблему защиты банковской информации изучали Степанова Е.А., Романец Ю.В., Гаценко О.Ю.

Глава 1.  Причины необходимости защиты банковской информации

1.1.  Важность защиты информации

Сегодня работа банков не представляется возможной без компьютерной обработки документов и поступающей  информации. Современные банковские системы содержат мощные программные, системные, технические и сетевые средства. Число ежедневно обрабатываемых документов, гибкость технологии их обработки, скорость аналитической обработки больших массивов данных требует активного взаимодействия множества географически удаленных филиалов и рабочих мест, высочайшего уровня надежности и квалифицированно построенной системы защиты данных.

К сожалению, банковские службы безопасности сегодня большое  внимание уделяют вопросам физической защиты (подразумевая наличие решеток  на окнах, видеонаблюдения, охранников и т.п.). Вопросы компьютерной безопасности остаются в введении служб сопровождения и внедрения нового программного обеспечения. Квалифицированных разработчиков программного обеспечения и системных программистов в таких службах достаточно много. Специалисты в области систем компьютерной безопасности практически отсутствуют. Сложившаяся ситуация объясняется тем, что подготовкой таких специалистов на сегодняшний день имеют право заниматься только учреждения, имеющие государственную лицензию на такой вид деятельности (Гостехкомиссии РФ, ФАПСИ). Это положение распространяется и на любой вид деятельности в области защиты информации - она должна быть лицензирована.

Разработкой программного обеспечения банковских задач сегодня  занимается достаточно большое число  фирм, как давно работающих в данной области деятельности, так и вновь организуемых. Уровень соответствия разрабатываемого программного обеспечения функциональным задачам банка можно оценивать по-разному. Однако у всех этих систем есть общий недостаток - отсутствует комплексная система защиты информации, они не сертифицированы по квалификационным требованиям защищенности, а существующие средства и методы защиты информации в таких системах либо «цельнотянутые» у зарубежных фирм, либо «самопальные», недостаточно надежные средства.

1.2. Объекты защиты

К объектам защиты при обеспечении информационной безопасности банка в общем случае можно отнести информацию в корпоративной информационной системе банка, а также процессы обработки информации (банковские технологии). Деятельность банка поддерживается информационной инфраструктурой, которая обеспечивает реализацию банковских технологий и может быть условно представлена в виде иерархии следующих основных уровней: физического, сетевого, сетевых приложений и сервисов (операционных систем, систем управления базами данных и т. д.), банковских технологических процессов (приложений) и бизнес-процессов. 
В соответствии с иерархией уровней корпоративной информационной системы банка представляется системой, имеющей в своем составе структурные и функциональные элементы. К основным структурным элементам этой системы банка в общем случае могут быть отнесены информационные системы, в частности, обеспечения банковских технологических процессов, инженерно-технического обеспечения и т. д.

Функциональными элементами корпоративной информационной системы банка в общем случае являются:

• рабочие станции (в том числе мобильные, терминальные), с помощью которых реализуются автоматизированные рабочие места пользователей;
• серверы (файлов, баз данных, служб печати и т. п.);
• сетевые устройства (маршрутизаторы, коммутаторы, шлюзы и т. п.);
• банковские терминальные устройства (банкоматы, POS-терминалы и т. п.);
• средства связи и передачи данных;
• средства защиты информации;
• каналы и линии связи.

Элементы (компоненты) корпоративной информационной системы банка располагаются на объектах информатизации банка. 
Корпоративная информационная система банка в целом или ее часть почти всегда имеет статус законодательно определенной категории информационной системы, такой как информационная система персональных данных, поскольку в различных структурных элементах корпоративной информационной системы обрабатываются персональные данные (ПД) системы пользователя создает специфическую картину угроз защищенности и требует специфических мер защиты.

В такой ситуации надеяться  на гарантированную защиту информации практически бесполезно.

 

 

 

 

 

 

 

 

 

 

 

 

Глава 2. Виды угроз банковской информации

2.1. Классификация угроз

Все возможные виды угроз  можно классифицировать по нескольким основным показателям. Наиболее существенным из них является степень ущерба, который может быть нанесен или уже понес банк в результате действия какой-либо угрозы. Действительно, практическая деятельность большинства банков, фирм и предприятий богата на различные ЧП, как крупные, приводящие к остановкам, а иногда и к полному уничтожению объекта (стихийные бедствия, крупные аварии и катастрофы), так и мелкие происшествия, которые по своей совокупности наносят достаточно большой ущерб отдельным участкам объекта, а иногда всей фирме или банку в целом. По степени ущерба угрозы можно разделить на три основные группы:¹

1.Угрозы чрезвычайных  обстоятельств. Стихийные бедствия, аварии, пожары и т.п.

2.Несанкционированное  проникновение на объект. Хулиганство, кражи, хищения и т.п.

3.Несанкционированный  съем информации. Мировая статистика  показывает, что угроза подслушивания  (из группы III), например, в большинстве  своем приводит к ущербу не  более 15%, редко до 20%, от полной  стоимости объекта. И действительно,  еще не было такого случая, чтобы подслушивание непосредственно привело к гибели людей и к уничтожению всего объекта.

Следует, однако, отметить, что в последние десятилетия, в связи с бурным развитием  электронной техники и появлением самых разнообразных микроминиатюрных устройств, угрозу подслушивания чаще всего преувеличивают, что наблюдается сейчас очень наглядно в России. В большинстве своем это происходит от некомпетентности и субъективизма в теории и практике создания систем комплексной защиты. 
Иногда угроза подслушивания возводится в ранг наиглавнейшей сознательно, что может привести к печальным последствиям, как это дважды и произошло с московским посольством крупнейшей страны, дипломаты и пресса которой, постоянно заявляя о подслушивании, сами поверили в приоритет этой угрозы и чуть не поплатились жизнью во время двух пожаров, нанесших посольству и зданию огромные убытки. 
            Объективно оценить степень ущерба о указанных трех групп угроз позволяет статистика происшествий в данной отрасли, их анализ в истории банков, фирм и предприятия, материалы местной и городской уголовной хроники и др.

2.2. Объективные и субъективные угрозы

По природе возникновения  угрозы можно разделить на два  класса:

1. естественные или объективные;
2. искусственные или субъективные.

Естественные угрозы - это угрозы, вызванные стихийными природными явлениями, не зависящими от человека (землетрясения, наводнения, ураганы и т.п.). Искусственные угрозы - это угрозы, вызванные деятельностью человека. К ним относятся:

• непреднамеренные, неумышленные угрозы, вызванные ошибками в проектировании, монтаже оборудования и в его эксплуатации: носителем (субъектом) таких угроз является нарушитель;
• преднамеренные, умышленные угрозы, связанные с определенными устремлениями людей, такими как терроризм, забастовки, хищения, кражи, подслушивание, несанкционированный доступ в компьютерные сети и т.п.,

Неумышленные угрозы могут вызвать на объекте:

а) травмы и гибель людей;

б) повреждения оборудования, линий связи, каналов жизнеобеспечения из-за недостаточной квалификации, нарушения должностных инструкций.

Эти угрозы могут быть как внутренними, так и внешними по отношению к защищаемому банку. В последнем случае имеется в  виду, что они могут возникать  за границей территории, но наносить ущерб  защищаемому банку. Так, например, пожар или взрыв на соседнем объекте может вызвать повреждения и в банке; радиоактивный выброс, химическое заражение, повреждение линий энергоснабжения и т.п. за пределами территории также могут повлечь за собой нарушение безопасности конкретного банка. Поскольку источник внешних угроз нельзя устранить силами объекта, их можно отнести к стихийным бедствиям.

в) неумышленное изменение  банковского технологического процесса, внедрение и использование нерегламентированных технических средств, документов, компьютерных программ;

г) неосторожные действия, приводящие к разглашению информации различных видов;

д) некомпетентное использование, настройка или неправомерное отключение персоналом банка средств и систем защиты.

Умышленные угрозы могут  вызвать на банковском объекте:

а) травмы и гибель людей;

б) физическое разрушение объекта или отдельных его  элементов как результат терроризма, хулиганства, вандализма;

в) отключение или вывод  из строя систем жизнеобеспечения банка  вследствие тех же причин;

г) действия по дезорганизации функционирования банка, его отделения забастовки, саботаж, постановка помех);

д) съем информации путем  контроля каналов связи, негласной  установки специальных технических  средств, анализа и контроля побочных излучений, негласной видео- и фотосъемки, хищения документов, магнитных носителей и бумажных, информационных отходов (распечаток, копировальной бумаги, и т.п.), несанкционированный доступ в банковскую компьютерную сеть;

е) хищение ценностей, продукции, ценных бумаг, имущества, оборудования,

Перечисленные выше виды угроз не равноценны. Так, например, разрушение банковского оборудования или здания банка может повлечь  за собой и такие угрозы, как  гибель и травмы персонала и посетителей.

2.3. Естественные угрозы

Остановимся на естественных угрозах и попытаемся выделить основные из них. К естественным угрозам относятся пожары, наводнения, ураганы, удары молний и другие стихийные бедствия и явления, которые не зависят от человека. Наиболее частыми среди этих угроз являются пожары. Для обеспечения безопасности информации, необходимым условием является оборудование помещений, в которых находятся элементы системы (носители цифровых данных, серверы, архивы и пр.), противопожарными датчиками, назначение ответственных за противопожарную безопасность и наличие средств пожаротушения. Соблюдение всех этих правил позволит свести к минимуму угрозу потери информации от пожара. Если помещения с носителями ценной информации располагаются в непосредственной близости от водоемов, то они подвержены угрозе потери информации вследствие наводнения. Единственное что можно предпринять в данной ситуации - это исключить хранение носителей информации на первых этажах здания, которые подвержены затоплению.

     Еще одной естественной угрозой являются молнии. Очень часто при ударах молнии выходят из строя сетевые карты, электрические подстанции и другие устройства. Особенно ощутимые потери, при выходе сетевого оборудования из строя, несут крупные организации и предприятия, такие как банки. Во избежание подобных проблем необходимо соединительные сетевые кабели были экранированы (экранированный сетевой кабель устойчив к электромагнитным помехам), а экран кабеля следует заземлить. Для предотвращения попадания молнии в электрические подстанции, следует устанавливать заземленный громоотвод, а компьютеры и серверы комплектовать источниками бесперебойного питания.