Информационные банковские системы - структура и её программно-техническая реализация
Введение
Безопасность банковской системы в целом, и каждого отдельного банка, является самой засекреченной информацией в мире, конечно после военной тайны. Финансовые секреты - лакомая добыча заинтересованных организованных групп. От иностранных государств и до преступных элементов, имеются желающие получить незаконным способ текущую информацию. Если в частном банковском секторе утечка секретной информации может привести к банкротству или потерям клиентов, то в государственном масштабе может привести к полному коллапсу всей финансовой системы, что является одной из главных целей подрывной войны против нашего государства.
Из истории развития мировой банковской системы, имеется несколько фактов того, что когда секретная информация становилась достоянием конкурентов, то происходило крушение банковской системы. Одним из примеров имеется крушение крупнейшего банка Венецианской республики, после ого, как через шпионов была добыта информация о крупнейших вложениях. Это было крупнейшей финансовой победой знаменитых Медичи. Точно также в позднейшей истории были факты крахов банков Ост-индийской компании, и в других известных странах Европы, таких как французский банк Ротшильдов.
В современной истории хищение банковской информации принимает другую сторону, в век главенствования всемирной сети Internet, с помощью очень профессиональных людей в информационных технологиях, владеющих способами использования ошибок программного обеспечения, становится очень лёгкой задачей. С помощью хищения информации с банковских карт, происходят списания немаленьких денежных сумм с лицевых счетов клиентов банка.
Также имеется не мало фактов, когда злоумышленники используя социальную психологию получают конфиденциальную информацию от сотрудников определённого банка, и с помощью полученных прав используют информацию в своих целях. Также хакеры похищая, с помощью технических средств, аккаунты пользователей банковских услуг распространяемых при помощи пластиковых карт, снимали с текущих счетов большие денежные суммы.
Приведённые примеры показывают, что при любом техническом прогрессе, используя новейшее программное обеспечение, которое при его эксплуатации допускает появление ошибок при обработке операций, можно получить определённые успехи в проникновении в информационные сети банковского управления. Можно сформулировать мечту современного хакера - с помощью пластиковой карты высокого статуса получить допуск к информационной банковской системе, и прикрываясь легальным допуском использовать права для управления финансовыми потоками.
Актуальность этой работы связана с тем, что в быстроизменяющемся мире происходят различные процессы, могущие различными способами модифицировать имеющиеся структуры. Также она показывает, как воспитан технический специалист с профессиональной точки зрения.
Цель настоящего проекта посвящёна изучению используемых систем информационной безопасности банковских операций при использовании ДБ АО Сбербанк.
Для достижения поставленной цели необходимо решение следующих задач:
- изучить теоретические аспекты исследования информационной безопасности в банковской сфере.
- выполнить анализ информационной безопасности ДБ АО Сбербанк.
- оценить современный уровень информационной безопасности ДБ АО Сбербанк.
- разработать мероприятия, рекомендации направленные на усиление защиты информационной системы безопасности ДБ АО Сбербанк.
Объект исследования - информационная безопасность ДБ АО Сбербанк.
Предмет исследования - организационно-технические отношения, возникающие при обеспечении информационной безопасности банковской системы.
В работе были использованы методы сравнения, обобщения, анализа, табличный метод.
Структура работы включает введение, три главы, заключение, список использованных источников.
Теоретическую базу работы составляют труды отечественных и зарубежных ученых.
В 1 и 2 главе настоящего проекта рассмотрены история создания информационных систем банковской структуры, её прогресс, пример построения корпоративной информационной сети, а также рассмотрены потенциальные угрозы и проблемы возникающие при эксплуатации информационных систем.
В 3й главе рассматривается идеальная структура построения информационной банковской системы, её примерная работа (так как если рассматривать фактическую систему работы, то это является разглашением конфиденциальной информации), и предложения об улучшении её работы с небольшим теоретическим проектом.
В заключении подробно рассмотрены полученные выводы об информационных системах банковских структур, её работе, потенциальных угрозах.
1. Информационные банковские системы - структура и её программно-техническая реализация.
1.1 История возникновения банковской системы и её информационной системы.
Структура развития коммерческих банков и государственной финансовой системы, объединённой в государственную банковскую систему, идёт по возрастающей восходящей. Опираясь на исторические истоки, видно что превращение меновой системы в компонент превращения материальной формы к её эквиваленту в серебряной мере, а позже золотой, стало прообразом финансовой системы. Она образовалась в течении древнейшей истории, основным фундаментом которой было сбор налогов с населения, когда натуральный продукт был приравнен к официально принятому денежному эквиваленту. Налоговые сборы шли в казну государства, из которой собранные денежные средства тратились, в основном, на государственные нужды, и частично на удовлетворение нужд правящего класса. Эта устоявшаяся система существовала в течении всей древнейшей истории, в разных известных государствах - Древний Вавилон, Древний Египет, Древняя Греция, Персидское царство, Индийские княжества, Китайская Империя, Государства Ацтеков и Инков. Но при историческом прогрессе первые банковские системы стали появляться в средневековой Европе, при начале крестовых походов. Просвещённая Византийская империя, имея колоссальные доходы, не смогла преодолеть ступень в следующем финансовом развитии, которое заключалось в объединении гильдий менял в гильдию хранения, накопления и приумножения денежных средств. Такими центрами финансовых систем стали Венецианская и Генуэзские республики. Именно в них возникли первые банки, в которых крестоносцы хранили свои денежные средства, а также полученную добычу. Используя полученный опыт, коммерческие банки стали возникать и в других средневековых странах. Тогда же стали появляться шпионские центры по добыче ценной информации о крупнейших вкладчиках, с целью последующего изъятия денежных средств в свою пользу. Таким образом, в течении всего исторического развития Европейских государств, параллельно с ними развивались и коммерческие банки. История возникновения государственных банков началась с середины 17 века. Именно в это время, при достижении полнейшей централизации государств, при фискальной системе, стали возникать государственные банки. Их основным определением было управление финансами государства с целью его дальнейшего развития при промышленном развитии [1]. Собираемые налоги скапливались в казне государства, потомком которой стали государственные банки, которые под управлением особо доверенных людей царствующих особо того времени вкладывались в развитие экономики государств. Именно эти государственные образования, стали главной целью финансовой разведки государств - противников.
Сама система работы коммерческого банка со вкладчиками стала формироваться именно в это время. В структуре появилось правление, так как один человек, не мог создать банк, в него входило несколько человек - учредителей. Так как денежные средства получали от населения, то сформировалась структура работы со вкладчиками. Эта структура принимала денежные средства на определённый срок - взамен вручая заверенные расписки, и выдавала на определённый срок - так же вручая заверенные расписки. Так как банк не мог работать без прибыли, то на такие операции начислялись проценты, или ростовщичество. Кроме того, в структуре появилась система филиалов, отделения банка открывались во всех крупных городах страны, и они могли принимать для оплаты расписки выданные разных городах. Также создался отдел валютных операций, обмен одной валюты на другую. И коммерческий отдел - сами денежные средства вкладывались в развитие либо предприятий, либо торговли, либо снаряжались морские караваны для открытия новых земель[1].
Правление банка
Работа со вкладами
Валютно-обменные операции
Коммерческие операции
Промышленно-финансовая разведка и шпионаж
Контрразведка и охрана
Рисунок 1 - Структура коммерческого банка в период новой истории
0.2 Влияние достижений в сфере компьютерной обработки информации на развитие банковских технологий.
Мировая банковская индустрия вошла в период перемен. Появление новых информационных технологий начинает оказывать влияние на выработку стратегической политики банка.
Нынешние изменения в банковской сфере связаны с влиянием ряда факторов, в числе которых международная тенденция глобализации рынка банковских услуг, изменение законодательства, а также развитие информационных технологий. Все это заставляет банки изменять способы обслуживания клиента.
Для того, чтобы остаться конкурентоспособными в XXI веке банки должны оценивать внешние факторы и адекватно реагировать на них. К тому же на деятельность банков влияют и внутренние факторы, такие как изменение запросов клиентов, необходимость уменьшения времени обслуживания, расширение использования высоких технологий.
Все это вынуждает банки искать свое место на рынке и разрабатывать свою стратегию действий с учетом новых реальностей. В жестких условиях современного рынка банки должны дать четкий ответ на следующие вопросы:
1. Что оказывает давление на мой бизнес?
2. Что оказывает давление на бизнес моих клиентов?
3. Как я буду конкурировать на рынке?
4. Как я могу увеличить количество моих клиентов?
5. Смогу ли я увеличить поступления с помощью расширенного набора услуг?
6. На каких рынках мне следует быть?
7. Где и как возникают наибольшие затраты и как я могу их уменьшить?
8. Как я могу увеличить количество моих акционеров?
К основным внешним факторам, влияющих на банковскую индустрию в Европе, специалисты фирмы DEC относят следующие:
Общий рынок. Европейское Сообщество приняло решение о создании Общего европейского рынка товаров и услуг. Также как и некоторые положения Программы Общего рынка, некоторые директивы, вытекающие из этого решения окажут воздействие на деятельность банков.
Вторая банковская директива. Наиболее значительным актом, оказывающим воздействие на деятельность банков, является Вторая координационная банковская директива [Second Coordination Directive (Banking)], принятая к исполнению всеми членами Сообщества с 1 января 1993 г. Основным содержанием этой директивы являются принципы внутригосударственного управления и всеобщего одобрения членами Сообщества стандартов контроля и регулирования деятельности банков. Это позволяет банкам Сообщества, имеющим лицензии на деятельность в своей стране, выполнять операции в рамках всего Сообщества без получения дополнительных лицензий.
Глобализация рынка услуг. С развитием новых технологий исчезают ограничения, связанные с национальными барьерами, и рынок услуг становится доступным 24 часа в сутки.
Изменения в законодательстве. Изменения в законодательстве поощряют небанковские организации оказывать финансовые услуги в прямом соперничестве с банками. Многие из таких организаций созданы недавно, их деятельность не регулируется так, как банковская, и они не нуждаются в дорогостоящей инфраструктуре для этой цели. Они используют существующие сети распределения и продаж для оказания услуг, стоимость которых оказывается меньше, чем у банков. Более того, они не наследуют традиционную банковскую инфраструктуру: многие банки считают слишком обременительным для себя ее переориентировать. Небанковские организации используют расширяющуюся сеть клиентов и увеличение продаж в тех областях, которые были исключительной вотчиной банков. Так например, английская фирма Marks & Spencer успешно внедрилась на финансовый рынок с помощью создания собственного инвестиционного фонда и карточек для обслуживания в магазинах.
Увеличение требовательности клиентов. Информированность клиентов о доступности услуг банков и их стоимости приводит к увеличению требований к качеству и стоимости предлагаемых услуг. Особенно это касается крупнейших универсальных банков, которые становятся все менее привлекательны для клиентов, объединенных каким-либо одним общим интересом или проживающих в одном регионе. Клиенты также прекрасно осведомлены о риске, связанном с банковской деятельностью, и становятся более осторожными при вкладывании денег в ненадежные банки [2].
Обработка транзакций. Обработка транзакций остается наиболее трудоемким элементом цепи приоритетов банка; она должна быть безошибочной и обеспечивать точную и своевременную информацию. Однако клиенты не желают оплачивать невидимые услуги и поэтому не считают обработку транзакций прибыльным элементом для банка. Банки не в состоянии оказывать высококачественные услуги без значительных затрат в этой области. Но они стараются компенсировать их с помощью прогрессивно возрастающих тарифов. Конкуренты стремятся использовать более дешевые технологии, которые дают преимущество в конкурентной борьбе.
Технологии. За последнее десятилетие развитие технологий, средств обработки и передачи информации помогли увеличить производительность и уменьшить стоимость банковских операций. Современные технологии позволяют практически моментально получать и использовать информацию о клиентах, продуктах и рисках, что, несомненно, оказывает влияние на конкурентоспособность банков. Однако пока очень немногие банки в полной мере используют эти возможности. Средства телекоммуникаций вместе с новыми информационными технологиями становятся инструментом при разработке новых продуктов и механизмов их распространения, что расширяет сферу деятельности банков. Электронные платежи и средства расчета в точке продажи -- примеры использования новых технологий, коренным образом меняющих банковскую индустрию. Тем не менее, информационные технологии и поддерживающие их организационные структуры могут стать барьером на пути развития. Вложив большие средства в определенную технологию, очень сложно переориентироваться на какую-либо другую. Этого недостатка лишены новые конкуренты, которые будут сразу приобретать перспективные технологии.
Выход из этого тупика - разработка эффективных способов обработки данных. В идеале следует заставить клиентов расплачиваться за улучшение параметров обслуживания (например, скорости). Так, скажем, операции передачи денег традиционно имеют большой объем и все больше зависят от применяемых технологий для сокращения расходов. Выполнение этих операций для большого числа клиентов может дать банкам существенную прибыль. Объемы же операций, связанных с обработкой чеков и других бумажных документов будутуменьшаться пропорционально распространению электронных банковских карт.
Современные технологии предлагают альтернативы традиционным банковским продуктам и услугам. Изменения, которые привели к уменьшению объема локальных операций, оказываются в центре внимания.
Так, Deutsche Bank в 1992 г. объявил об убытках, связанных с обслуживанием частных лиц, в сумме DM 200 млн. Тем не менее он продолжал выполнять программу расширения сети самообслуживания путем эмитирования 3-х миллионов электронных карт. [1, с.51]
Использование современных технологий создало новый рынок, где технологии становятся товаром в таких областях как обмен электронными данными, системы электронных платежей в точке продажи и т.д. Прежде всего это касается улучшения обслуживания клиентов и оказания более специфических услуг.
Идя навстречу требованиям клиентов, и в соответствии с другими факторами конкурентной борьбы, банки должны будут выбрать один из следующих путей развития:
1. Оказывать все виды услуг в большинстве своих отделений, включая, возможно, и небанковские услуги -- универсальный банк;
2. Предоставлять узкому кругу клиентов небольшой, но специфичный перечень услуг в определенном регионе -- специализированный банк.
Существующий круг клиентов -- это ключевой ресурс банка, который необходимо сохранить и попытаться увеличить. С этой целью многие банки приспосабливают свои технологии для продажи новой продукции. Более того, они переопределяют назначение традиционных механизмов распределения (единые филиальные и корпоративные банковские сети) и вводят в эксплуатацию новые (телекоммуникационные средства связи с другими банками и корпоративными клиентами) [2].
Растет необходимость жесткого контроля за расходами, особенно в условиях увеличения затрат на регулирование деятельности и появления на рынке новых дешевых товаров и услуг, производимых и оказываемых небанковскими организациями. Такой контроль может быть осуществлен с помощью централизованной обработки информации и совершенствования управлением. Эти меры, безусловно, оказывают воздействие на штат банка.
Возрастает необходимость обработки постоянно растущего потока информации о состоянии рынка для более точного определения места специфической продукции на расширяющемся рынке.
Возможность доступа клиента к банку с помощью существующих филиальных сетей теперь уже не является ключевым фактором успеха. Изменение требований клиентов, новые технологии и фиксированно высокая стоимость содержания таких сетей заставляют искать альтернативные стратегии. Предлагаются следующие подходы:
1. мобильные пункты продажи товаров и услуг;
2. механизмы прямой продажи товаров и услуг;
3. технологии расчета в точке продажи;
4. электронное и телефонное банковское обслуживание и др.
Применение новых технологий оказывает влияние на стратегические направления и направления бизнеса в деятельности банка.
Банки издавна внедряют и используют самые современные достижения науки и техники для облегчения ручного труда и ускорения выполняемых операций. Однако сейчас этого уже недостаточно и победителями будут те, кто полностью перестроит свою деятельность в соответствии с современными технологиями [3].
Развитие современных информационных технологий может осуществляться под воздействием бизнеса и для бизнеса. Особенно важным в этом процессе является то, что информационные технологии развиваются в тесном взаимодействии с экономикой. Информационные технологии влияют на размер получаемых доходов и на то, как они складываются и распределяются.
Информационные технологии пронизывают каждый элемент цепи приоритетов банка, наполняя их новым содержанием и воздействуя на связь элементов между собой. Кроме того, технологии влияют на конкурентоспособность банков, изменяя жизненный цикл продукции, предлагаемой клиентам.
Стратегии применения информационных технологий определяют методы, с помощью которых они изменяют современный бизнес, и пути управления этими переменами.
Важным моментом является разработка архитектуры компьютерной системы банка. Под архитектурой системы понимается совокупность ее функциональных компонентов и их взаимодействие друг с другом. Целью разработки архитектуры компьютерной системы банка является создание внутренне логичной и гибкой системы, которая будет следовать за изменениями стратегии деятельности банка с минимальным разрушающим воздействием на нее. Любая архитектура должна сочетаться с стратегией банка и упрощать проведение ее в жизнь.
Появление каждой новой технологии обязательно влечет за собой отказ от существующих систем обработки данных. Естественно, это является барьером на пути внедрения новых разработок. Неуклонно возрастает в связи с этим интерес к стандартизованным и открытым системам, в которых программы и представления данные совместимы и их работа не зависит от поставщика оборудования и программ.
Это направление особенно важно при выработке взаимных соглашений и между организациями и их слиянии. Например, слияния Dutch Postbank и Naturale Nederlanden, английских Lloyds и Abbey Life, германских - Deutsche Bank и Deutsch Lebensversicherung - привели к возникновению проблем, связанных с информационными технологиями. Задача заключается в том, чтобы разработать такую архитектуру, которая свяжет вместе критичную деятельность клиентов и каналы распределения товаров и услуг банка, не нарушая при этом порядка работы организации. [1, с.60]
Во многом прибыльность банка зависит от обеспечения высшего руководства нужной, своевременной и точной информацией. Системы управления информацией должны быть действительными помощниками в деятельности банка, обеспечивая, например, информацию о положении на рынке, прибыльности банковской продукции, состоянии клиентов и т.д. Получаемая с их помощью информация может использоваться банком для улучшения обслуживания клиентов или для представления им с целью использования в собственных интересах.
Банкам необходима постоянная информация о степени риска их деятельности. Оценка риска -- это процесс, который коренным образом может быть изменен с помощью современных технологий. В него могут быть вовлечены более интеллектуальные системы, которые способны оценивать процентные ставки, курсы валют, кредитоспособность клиента и т.п., выдавая при этом рекомендации относительно возможных действий и их результатов.
Современные технологии дают банкам огромные преимущества в организации систем доставки товаров и услуг. Использование электронных средств связи позволяет реализовать:
1. электронные платежи и расчеты в точке продажи;
2. клиентские терминалы, осуществляющие прямую связь с банком;
3. домашнее банковское обслуживание с помощью персонального компьютера или телефона;
4. обмен электронными данными в сети с расширенным набором услуг;
5. технологии электронных банковских карт, включая магнитные пластиковые и интеллектуальные карты.
Реализация этих и других методов банковского обслуживания в конкретных системах требует разработки жестких мер защиты для предотвращения случайных и умышленных нарушений их функционирования.
Одна из важных проблем банков сегодня - это управление инвестициями в электронные банковские системы с тем, чтобы последние полностью отражали перемены в банковской индустрии. Успех на новых стратегических направлениях бизнеса во многом зависит от реализации информационных систем [3].
5.2 Современное развитие банковской структуры и формирование информационных потоков
При дальнейшем историческом развитии, в связи с промышленной революцией и освоением Нового Света, а так же развитием торговли, параллельно развивалась и банковская система. С развитием колониальной системы, коммерческие банки открывали свои филиалы и представительства в новых городах и странах. Это способствовало тому, что развивалась система получения отчётов и приказов между метрополией и дочерней структурой. Для этого в структуре создавались новые отделы с функциями издания, получения и хранения отчетно-финансовой документации. Так же стало развиваться акционерное направление связанное с выпуском и размещением на вновь образованной бирже акций предприятий. Так как акции представляли собой гарантийную бумагу с передачей части стоимость предприятия новому владельцу, то были созданы отделы по работе с биржами и размещением акций.
Обособленно было выделено бухгалтерское обеспечение деятельности банка. И соответственно возрос поток обмена информацией между структурными подразделениями и созданием полного отчёта для предоставления в правление банка [4].
Правление банка
Работа со вкладами
Валютно-обменные операции
Коммерческие операции
Промышленно-финансовая разведка и шпионаж
Контрразведка и охрана
Биржа
Акции и ценные бумаги
Бухгалтерия
Филиалы и представительства
Рисунок 2 - Структура коммерческого банка на начало ХХ века
Эта структура сохранилась практически без изменения до середины ХХ века, пока не стали применяться Электронно-Вычислительные машины. Это создало новые возможности в обработке коммерческой информации. С развитием электронных технологий нашло своё применение и революционная система внутренних сетей для централизованного получения и хранения информации. Дальнейшее развитие системы обработки информации, появление персональных ЭВМ и объединение рабочих мест в отделах в локальные сети, и дальнейшее объединение отдельных локальных сетей обмена информации в общую сеть предприятия создало полноценную современную структуру банковских информационных потоков.
Рисунок 3 - современная структура банковской системы обмена информации
Потоки информационной системы финансово-кредитного учреждения, на данный момент, характеризуются направлением, структурой, периодичностью, видом носителя данных, способом индикации, степенью взаимосвязи потока, объёмом, плотностью отдельных сообщений, методом образования, способом и степенью использования данных потока.
Возможности, предоставляемые корпоративными информационными сетями.
Корпоративная сеть может предложить следующие возможности:
1 . Единое информационное пространство;
2 . Оперативность получения информации и возможность формирования консолидированных отчётов уровня предприятия или объединения предприятий;
3 . Централизация финансовых и информационных потоков данных;
4 . Возможность оперативного сбора и обработки информации;
5 . Снижение затрат при использовании серверных решений. Переход решений от рабочих групп на решения на уровне предприятия;
6 . Возможность обработки мультимедийных потоков данных между офисными площадками;
7 . Снижение затрат на связь между подразделениями фирмы, организация единого номерного пространства;
8 . Возможность организации системы видеонаблюдения на основе IP сети предприятия.
Название корпоративная сеть появилось в силу того, что под понятием корпорация стали подразумевать объединение большого количества пользовательских станций используемых в одном конгломерате профессиональной деятельности [5].
При создании корпоративных сетей используются различные технологии или их комбинации: от кабельных и беспроводных систем до инновационных технологических решений. К ним относятся специальные решения на уровне серверных станций, специального программного обеспечения, развития технологий защиты данных от хищения и вирусной опасности, а также противодействие промышленному шпионажу. Чаще всего для достижения оптимального решения используют комбинацию нескольких технических решений, у каждого из которых есть свои преимущества и недостатки.
В настоящее время в корпоративные сети могут входить не только отдельные рабочие группы, локальные вычислительные сети, но и удалённые подразделения, объединённые общей сетью Internet или выделенными каналами. Удалённый доступ к используемым ресурсам предприятия могут получить, предварительно получив разрешение и право доступа, как партнёры организации, так и сотрудники вне офиса. Одним из факторов широкого применения корпоративных сетей, стало распространение удалённых сотрудников, которые исполняют свои обязанности территориально не находясь на своём рабочем месте. Эта инновация даёт возможность предприятиям сокращать работников на местах, переводя их на должности удалённых работников.
При этом используется эффективная обеспеченная информационная безопасность и защита сервисов и услуг, предоставляемых авторизованным пользователям, от несанкционированного доступа и атак, направленных на выведение сервисов из строя [6].
На основании научно-обоснованных решений и разработок, можно сказать, что корпоративные сети являются технически сложными системами, включающими в себя тысячи разнообразных элементов и компонентов: ПЭВМ разных типов, начиная с настольных и заканчивая мэйнфреймами, системное и прикладное программное обеспечение, сетевая инфраструктура, такая как - сетевые адаптеры, концентраторы, маршрутизаторы, файерволы и системы защиты. Особую роль играет специализированное программное обеспечение. Интенсификация применения приложений на основе WEB-сервисов одновременно упрощает и усложняет развитие инфраструктуры. Интенсивное обращение к внешним WEB-сайтам увеличивает долю внешнего трафика, и соответственно повышает нагрузку на пограничные маршрутизаторы и межсетевые экраны корпоративной сети. С другой стороны применение сайтовой структуры внутри корпорации, при которой расширены службы INTRANET и предлагается доступ к внутрикорпоративным сайтам с возможностью передачи и получения информации адресно и практически мгновенно, с использованием внутреннего аккаунта и веб-страницы с заданиями и отчетами выполненными и находящимися в работе, актуализирует индивидуальный и групповой подход к решениям сиюминутных задач.
Также большое влияние на бизнес процессы оказано в структуре аутентификации и авторизации большого числа клиентов обращающихся на серверы предприятий из вне и внутри. Здесь имеется применение новых методов проверки легальности пользователей.
Из этих особенностей появились основные характеристики корпоративных сетей. Это требования предъявляемые к ним, главное из них: обеспечение пользователям возможности оперативного доступа к разделяемым ресурсам всех компьютеров, объединенных в сеть [7].
Из этого требования, вытекают и другие - по производительности, надежности системы, безопасности доступа и обработки, управляемости и конфигурируемости, совместимости с различными версиями, расширяемости, масштабируемости и прозрачности. Качество предоставления услуг корпоративной сетью определяется тем, насколько полно выполняются эти требования, особенно по производительности и надежности.
Из удовлетворения этих требований и формируется оценка эксплуатации корпоративной информационной сети.
Типовая структура корпоративной сети
Для корпоративных сетей крупных предприятий или высшего ранга являются характерными черты:
1 . Масштабность - включают в себя сотни и тысячи рабочих станций, наличие удаленных станций для работы сотрудников, десятки и сотни серверов, большие объемы компьютерных и мультимедийных данных, множество разнообразных приложений;
2 . Гетерогенность - возможность использования различных типов компьютеров и рабочих станций, коммуникационного оборудования, операционных систем и приложений;
3 . Использование территориальных сетей связи - удаленные филиалы и отделения соединяются между собой и центральным офисом с помощью телекоммуникационных средств, в том числе телефонных каналов, радиоканалов, спутниковой связи;
4 . Обеспечение поддержки различных видов трафика, организация виртуальных локальных сетей для оперативного взаимодействия сотрудников предприятия в рамках рабочих групп по интересам, управляемость, расширяемость, масштабируемость, безопасность информации в сети.
Корпоративная сеть для крупномасштабной корпорации обычно состоит из нескольких локальных сетей (подсети) и серверов, управляющих связей между ЛКС. Каждая ЛКС обслуживает отдельного подразделения или филиала корпорации.
Для организации связи между удаленными подразделениями строится магистральная сеть. Может быть выполнена в виде выделенной линии, оптико-волоконной линией или с использованием виртуальной сети.
Для выхода на магистральную сеть используется сеть Internet. Серверы обращений управляют связями между центральным сервером и локальными серверами. Корпоративные серверы выполняют такие функции как: работа с центральной базой данных (сервер БД), управление электронным документооборотом, управление электронной почтой, управление выходом в Internet и т.д. [8].
Защита корпоративных информационных сетей
К защите корпоративных сетей, от несанкционированного доступа, хакерских атак, изменения данных и других опасных методов предлагаются две достаточно больших и независимых групп технических решений примененных к информационным технологиям.
1 . Технология обеспечения гарантированного уровня транспортного обслуживания (качества сервиса) для корпоративного трафика, транспортируемого через публичные сети;
2 . Технология обеспечивающая необходимые гарантии информационной безопасности(конфиденциальности и целостности) корпоративных данных, передаваемых через публичные сети.
Так как приняты корпоративные сети на основе VPN, то к первой группе имеют отношения специализированные технологии управления качеством обслуживания RSVP, DiffServ, MPLS, и базовые технологии построения публичных сетей скорректированные встроенными элементами поддержки QoS.
Для второй группы VPN-технологии, имеется отличие в том, что выполняется функция авторизации абонентов корпоративных сетей и функций криптографической защиты передаваемых данных. К этой группе относятся различные реализации механизма инкапсуляции стандартных сетевых пакетов канального (PPTP, L2F, L2TP) сетевого (SKIP,IPSecIKE) и уровней модели OSIISO(SOCKS, SSLTLS) [9].
Исходя из этого предусматривается построение VPN на базе сетевой ОС, что является достаточно удобным и дешевым средством создания защищенной инфраструктуры виртуальных каналов. Или построение VPN на базе маршрутизаторов, наиболее практичным является использование решений на базе CISCO.
Вне зависимости от выбора системы построения, защита данных является приоритетной задачей службы безопасности корпоративной сети. Дополнительно использующей разные антивирусные меры защиты основанной на разработках производителей ПО антивирусов
Анализ угроз и проблем информационной безопасности информационным системам
2.1 Потенциальные угрозы информационной безопасности
К потенциальным угрозам могущим нанести огромные финансовые и имиджевые убытки, по классификации служб информационной безопасности, могут относится следующие классы:
Получение доступа к сетевым сервисам используемым при работе банка и его офисов через открытые сети:
Несанкционированный доступ к ресурсам и данным системы (подбор пароля, взлом систем защиты и администрирования, действия от имени чужого лица (маскарад));
Перехват и подмена трафика (подделка платежных поручений, атака типа человек посредине);
IP-спуфинг (подмена сетевых адресов);
отказ в обслуживании;
атака на уровне приложений;
сканирование сетей или сетевая разведка;
использование отношений доверия в сети.
Целенаправленные атаки на финансовые сообщения и финансовые транзакции:
1. раскрытие содержимого;
2. представление документа от имени другого участника;
3. несанкционированная модификация;
4. повтор переданной информации.
5. Хакерские атаки:
6. рассылка спама и внедрение вредоносных программ посредством электронных писем с предложениями сотрудничества;
7. перехват и перенаправление сетевого трафика на поддельные сетевые ресурсы с целью завладения ценной информацией;
8. DDOS-атаки с целью переполнения стека информации и автоматического его закрытия управляющим сервером, что приводит к полной потере трафика [10].
Данные угрозы могут возникнуть в силу разных причин, а также могут являться следствием плохой организации производственного процесса.
К ним относятся - слабая готовность персонала, обслуживающего технические средства обработки информации, отсутствие необходимых средств контроля и информационной защиты, отсутствие или неполная проработка концепции информационной безопасности организации, а также неадекватная реализация предписаний политики: неумение реализовать систему разделения доступа, обновления паролей и ключевых слов, а также неспособность или неподготовленность осуществить администрирование и настройку использующихся сетевых сервисов [11].
Службы безопасности также классифицируют потенциальных нарушителей безопасности, которые делятся на:
- внешних и внутренних нарушителей: к внутренним относятся сотрудники самого банка или сотрудники организаций из сферы ИТ, предоставляющие банку телекоммуникационные или иные информационные услуги.
К внешним нарушителям могут относится:
- клиенты (имеющие разные цели нанесения вреда);
- приглашенные посетители;
- представители конкурирующих организаций;
- сотрудники органов ведомственного надзора и управления;
- нарушители пропускного режима;
- наблюдатели за пределами охраняемой территории.
Способы и методы используемые для причинения вреда:
1. сбор информации и данных;
2. пассивные средства перехвата;
3. использование средств, входящих в информационную систему или систему ее защиты, и их недостатков;
4. активное отслеживание модификаций существующих средств обработки информации, подключение новых средств, использование специализированных утилит, внедрение программных закладок и черных ходов в систему, подключение к каналам передачи данных [12].
Имеющийся уровень знаний об организации информационной структуры, для максимального нанесения вреда:
типовые знания о методах построения вычислительных систем, сетевых протоколов, использование стандартного набора программ;
высокий уровень знаний сетевых технологий, опыт работы со специализированными программными продуктами и утилитами;
высокие знания в области программирования, системного проектирования и эксплуатации вычислительных систем;
обладание сведениями о средствах и механизмах защиты атакуемой системы;
нарушитель являлся разработчиком или принимал участие в реализации системы обеспечения информационной безопасности.
Время информационного воздействия:
в момент обработки информации;
в момент передачи данных;
в процессе хранения данных (учитывая рабочее и нерабочее состояния системы).
Подход к выбору осуществления вредоносного воздействия:
удаленно с использованием перехвата информации, передающейся по каналам передачи данных, или без ее использования;
доступ на охраняемую территорию;
непосредственный физический контакт с вычислительной техникой, при этом можно выделить:
доступ к терминальным операторским станциям,
доступ к важным сервисам предприятия (сервера),
доступ к системам администрирования, контроля и управления информационной системой,
доступ к программам управления системы обеспечения информационной безопасности.
2.2 Потенциальные проблемы информационной безопасности
При создании любой информационной системы (ИС) на базе современных компьютерных технологий неизбежно возникает вопрос о защищённости этой системы от внутренних и внешних угроз безопасности информации [13].
Но прежде чем решить, как и от кого защищать информацию, необходимо уяснить реальное положение в области обеспечения безопасности информации на предприятии и оценить степень защищённости информационных активов.
Для этого проводится комплексное обследование защищённости ИС
(или аудит безопасности), основанные на выявленных угрозах безопасности информации и имеющихся методах их парирования, результаты которого позволяют:
оценить необходимость и достаточность принятых мер обеспечения
безопасности информации;
сформировать политику безопасности;
правильно выбрать степень защищённости информационной системы;
выработать требования к средствам и методам защиты;
добиться максимальной отдачи от инвестиций в создании и обслуживании СОБИ.
Данные мероприятия помогают выявить потенциальные проблемы информационной безопасности, такие как:
Доступ к сервисам, которые предоставляет данное программное обеспечение, осуществляется через открытые сети, использование которых таит в себе многочисленные информационные угрозы [14].
Выявить причины, которые могут привести к появлению уязвимостей:
отсутствие гарантии конфиденциальности и целостности передаваемых данных;
недостаточный уровень проверки участников соединения;
недостаточная реализация или некорректная разработка политики безопасности;
отсутствие или недостаточный уровень защиты от несанкционированного доступа (антивирусы, контроль доступа, системы обнаружения атак);
существующие уязвимости используемых операционных систем (ОС), ПО, СУБД, веб-систем и сетевых протоколов;
непрофессиональное и слабое администрирование систем;
проблемы при построении межсетевых фильтров;
сбои в работе компонентов системы или их низкая производительность;
уязвимости при управлении ключами.
Для поиска слабых мест для атак на финансовые сообщения и финансовые транзакции, проверяется наличие применения следующих средств:
шифрование содержимого документа;
контроль авторства документа;
контроль целостности документа;
нумерация документов;
ведение сессий на уровне защиты информации;
динамическая аутентификация;
обеспечение сохранности секретных ключей;
надежная процедура проверки клиента при регистрации в прикладной системе;
использование электронного сертификата клиента;
создание защищенного соединения клиента с сервером.
На основании выполненных проверок по имеющейся информационной безопасности стандартными способами являются применение следующих видов защиты информации:
Комплекс технических средств защиты интернет-сервисов:
1. брандмауэр (межсетевой экран) -- программная иили аппаратная реализация;
2. системы обнаружения атак на сетевом уровне;
3. антивирусные средства;
4. защищенные ОС, обеспечивающие уровень В2 по классификации защиты компьютерных систем и дополнительные средства контроля целостности программ и данных;
5. защита на ... продолжение
Безопасность банковской системы в целом, и каждого отдельного банка, является самой засекреченной информацией в мире, конечно после военной тайны. Финансовые секреты - лакомая добыча заинтересованных организованных групп. От иностранных государств и до преступных элементов, имеются желающие получить незаконным способ текущую информацию. Если в частном банковском секторе утечка секретной информации может привести к банкротству или потерям клиентов, то в государственном масштабе может привести к полному коллапсу всей финансовой системы, что является одной из главных целей подрывной войны против нашего государства.
Из истории развития мировой банковской системы, имеется несколько фактов того, что когда секретная информация становилась достоянием конкурентов, то происходило крушение банковской системы. Одним из примеров имеется крушение крупнейшего банка Венецианской республики, после ого, как через шпионов была добыта информация о крупнейших вложениях. Это было крупнейшей финансовой победой знаменитых Медичи. Точно также в позднейшей истории были факты крахов банков Ост-индийской компании, и в других известных странах Европы, таких как французский банк Ротшильдов.
В современной истории хищение банковской информации принимает другую сторону, в век главенствования всемирной сети Internet, с помощью очень профессиональных людей в информационных технологиях, владеющих способами использования ошибок программного обеспечения, становится очень лёгкой задачей. С помощью хищения информации с банковских карт, происходят списания немаленьких денежных сумм с лицевых счетов клиентов банка.
Также имеется не мало фактов, когда злоумышленники используя социальную психологию получают конфиденциальную информацию от сотрудников определённого банка, и с помощью полученных прав используют информацию в своих целях. Также хакеры похищая, с помощью технических средств, аккаунты пользователей банковских услуг распространяемых при помощи пластиковых карт, снимали с текущих счетов большие денежные суммы.
Приведённые примеры показывают, что при любом техническом прогрессе, используя новейшее программное обеспечение, которое при его эксплуатации допускает появление ошибок при обработке операций, можно получить определённые успехи в проникновении в информационные сети банковского управления. Можно сформулировать мечту современного хакера - с помощью пластиковой карты высокого статуса получить допуск к информационной банковской системе, и прикрываясь легальным допуском использовать права для управления финансовыми потоками.
Актуальность этой работы связана с тем, что в быстроизменяющемся мире происходят различные процессы, могущие различными способами модифицировать имеющиеся структуры. Также она показывает, как воспитан технический специалист с профессиональной точки зрения.
Цель настоящего проекта посвящёна изучению используемых систем информационной безопасности банковских операций при использовании ДБ АО Сбербанк.
Для достижения поставленной цели необходимо решение следующих задач:
- изучить теоретические аспекты исследования информационной безопасности в банковской сфере.
- выполнить анализ информационной безопасности ДБ АО Сбербанк.
- оценить современный уровень информационной безопасности ДБ АО Сбербанк.
- разработать мероприятия, рекомендации направленные на усиление защиты информационной системы безопасности ДБ АО Сбербанк.
Объект исследования - информационная безопасность ДБ АО Сбербанк.
Предмет исследования - организационно-технические отношения, возникающие при обеспечении информационной безопасности банковской системы.
В работе были использованы методы сравнения, обобщения, анализа, табличный метод.
Структура работы включает введение, три главы, заключение, список использованных источников.
Теоретическую базу работы составляют труды отечественных и зарубежных ученых.
В 1 и 2 главе настоящего проекта рассмотрены история создания информационных систем банковской структуры, её прогресс, пример построения корпоративной информационной сети, а также рассмотрены потенциальные угрозы и проблемы возникающие при эксплуатации информационных систем.
В 3й главе рассматривается идеальная структура построения информационной банковской системы, её примерная работа (так как если рассматривать фактическую систему работы, то это является разглашением конфиденциальной информации), и предложения об улучшении её работы с небольшим теоретическим проектом.
В заключении подробно рассмотрены полученные выводы об информационных системах банковских структур, её работе, потенциальных угрозах.
1. Информационные банковские системы - структура и её программно-техническая реализация.
1.1 История возникновения банковской системы и её информационной системы.
Структура развития коммерческих банков и государственной финансовой системы, объединённой в государственную банковскую систему, идёт по возрастающей восходящей. Опираясь на исторические истоки, видно что превращение меновой системы в компонент превращения материальной формы к её эквиваленту в серебряной мере, а позже золотой, стало прообразом финансовой системы. Она образовалась в течении древнейшей истории, основным фундаментом которой было сбор налогов с населения, когда натуральный продукт был приравнен к официально принятому денежному эквиваленту. Налоговые сборы шли в казну государства, из которой собранные денежные средства тратились, в основном, на государственные нужды, и частично на удовлетворение нужд правящего класса. Эта устоявшаяся система существовала в течении всей древнейшей истории, в разных известных государствах - Древний Вавилон, Древний Египет, Древняя Греция, Персидское царство, Индийские княжества, Китайская Империя, Государства Ацтеков и Инков. Но при историческом прогрессе первые банковские системы стали появляться в средневековой Европе, при начале крестовых походов. Просвещённая Византийская империя, имея колоссальные доходы, не смогла преодолеть ступень в следующем финансовом развитии, которое заключалось в объединении гильдий менял в гильдию хранения, накопления и приумножения денежных средств. Такими центрами финансовых систем стали Венецианская и Генуэзские республики. Именно в них возникли первые банки, в которых крестоносцы хранили свои денежные средства, а также полученную добычу. Используя полученный опыт, коммерческие банки стали возникать и в других средневековых странах. Тогда же стали появляться шпионские центры по добыче ценной информации о крупнейших вкладчиках, с целью последующего изъятия денежных средств в свою пользу. Таким образом, в течении всего исторического развития Европейских государств, параллельно с ними развивались и коммерческие банки. История возникновения государственных банков началась с середины 17 века. Именно в это время, при достижении полнейшей централизации государств, при фискальной системе, стали возникать государственные банки. Их основным определением было управление финансами государства с целью его дальнейшего развития при промышленном развитии [1]. Собираемые налоги скапливались в казне государства, потомком которой стали государственные банки, которые под управлением особо доверенных людей царствующих особо того времени вкладывались в развитие экономики государств. Именно эти государственные образования, стали главной целью финансовой разведки государств - противников.
Сама система работы коммерческого банка со вкладчиками стала формироваться именно в это время. В структуре появилось правление, так как один человек, не мог создать банк, в него входило несколько человек - учредителей. Так как денежные средства получали от населения, то сформировалась структура работы со вкладчиками. Эта структура принимала денежные средства на определённый срок - взамен вручая заверенные расписки, и выдавала на определённый срок - так же вручая заверенные расписки. Так как банк не мог работать без прибыли, то на такие операции начислялись проценты, или ростовщичество. Кроме того, в структуре появилась система филиалов, отделения банка открывались во всех крупных городах страны, и они могли принимать для оплаты расписки выданные разных городах. Также создался отдел валютных операций, обмен одной валюты на другую. И коммерческий отдел - сами денежные средства вкладывались в развитие либо предприятий, либо торговли, либо снаряжались морские караваны для открытия новых земель[1].
Правление банка
Работа со вкладами
Валютно-обменные операции
Коммерческие операции
Промышленно-финансовая разведка и шпионаж
Контрразведка и охрана
Рисунок 1 - Структура коммерческого банка в период новой истории
0.2 Влияние достижений в сфере компьютерной обработки информации на развитие банковских технологий.
Мировая банковская индустрия вошла в период перемен. Появление новых информационных технологий начинает оказывать влияние на выработку стратегической политики банка.
Нынешние изменения в банковской сфере связаны с влиянием ряда факторов, в числе которых международная тенденция глобализации рынка банковских услуг, изменение законодательства, а также развитие информационных технологий. Все это заставляет банки изменять способы обслуживания клиента.
Для того, чтобы остаться конкурентоспособными в XXI веке банки должны оценивать внешние факторы и адекватно реагировать на них. К тому же на деятельность банков влияют и внутренние факторы, такие как изменение запросов клиентов, необходимость уменьшения времени обслуживания, расширение использования высоких технологий.
Все это вынуждает банки искать свое место на рынке и разрабатывать свою стратегию действий с учетом новых реальностей. В жестких условиях современного рынка банки должны дать четкий ответ на следующие вопросы:
1. Что оказывает давление на мой бизнес?
2. Что оказывает давление на бизнес моих клиентов?
3. Как я буду конкурировать на рынке?
4. Как я могу увеличить количество моих клиентов?
5. Смогу ли я увеличить поступления с помощью расширенного набора услуг?
6. На каких рынках мне следует быть?
7. Где и как возникают наибольшие затраты и как я могу их уменьшить?
8. Как я могу увеличить количество моих акционеров?
К основным внешним факторам, влияющих на банковскую индустрию в Европе, специалисты фирмы DEC относят следующие:
Общий рынок. Европейское Сообщество приняло решение о создании Общего европейского рынка товаров и услуг. Также как и некоторые положения Программы Общего рынка, некоторые директивы, вытекающие из этого решения окажут воздействие на деятельность банков.
Вторая банковская директива. Наиболее значительным актом, оказывающим воздействие на деятельность банков, является Вторая координационная банковская директива [Second Coordination Directive (Banking)], принятая к исполнению всеми членами Сообщества с 1 января 1993 г. Основным содержанием этой директивы являются принципы внутригосударственного управления и всеобщего одобрения членами Сообщества стандартов контроля и регулирования деятельности банков. Это позволяет банкам Сообщества, имеющим лицензии на деятельность в своей стране, выполнять операции в рамках всего Сообщества без получения дополнительных лицензий.
Глобализация рынка услуг. С развитием новых технологий исчезают ограничения, связанные с национальными барьерами, и рынок услуг становится доступным 24 часа в сутки.
Изменения в законодательстве. Изменения в законодательстве поощряют небанковские организации оказывать финансовые услуги в прямом соперничестве с банками. Многие из таких организаций созданы недавно, их деятельность не регулируется так, как банковская, и они не нуждаются в дорогостоящей инфраструктуре для этой цели. Они используют существующие сети распределения и продаж для оказания услуг, стоимость которых оказывается меньше, чем у банков. Более того, они не наследуют традиционную банковскую инфраструктуру: многие банки считают слишком обременительным для себя ее переориентировать. Небанковские организации используют расширяющуюся сеть клиентов и увеличение продаж в тех областях, которые были исключительной вотчиной банков. Так например, английская фирма Marks & Spencer успешно внедрилась на финансовый рынок с помощью создания собственного инвестиционного фонда и карточек для обслуживания в магазинах.
Увеличение требовательности клиентов. Информированность клиентов о доступности услуг банков и их стоимости приводит к увеличению требований к качеству и стоимости предлагаемых услуг. Особенно это касается крупнейших универсальных банков, которые становятся все менее привлекательны для клиентов, объединенных каким-либо одним общим интересом или проживающих в одном регионе. Клиенты также прекрасно осведомлены о риске, связанном с банковской деятельностью, и становятся более осторожными при вкладывании денег в ненадежные банки [2].
Обработка транзакций. Обработка транзакций остается наиболее трудоемким элементом цепи приоритетов банка; она должна быть безошибочной и обеспечивать точную и своевременную информацию. Однако клиенты не желают оплачивать невидимые услуги и поэтому не считают обработку транзакций прибыльным элементом для банка. Банки не в состоянии оказывать высококачественные услуги без значительных затрат в этой области. Но они стараются компенсировать их с помощью прогрессивно возрастающих тарифов. Конкуренты стремятся использовать более дешевые технологии, которые дают преимущество в конкурентной борьбе.
Технологии. За последнее десятилетие развитие технологий, средств обработки и передачи информации помогли увеличить производительность и уменьшить стоимость банковских операций. Современные технологии позволяют практически моментально получать и использовать информацию о клиентах, продуктах и рисках, что, несомненно, оказывает влияние на конкурентоспособность банков. Однако пока очень немногие банки в полной мере используют эти возможности. Средства телекоммуникаций вместе с новыми информационными технологиями становятся инструментом при разработке новых продуктов и механизмов их распространения, что расширяет сферу деятельности банков. Электронные платежи и средства расчета в точке продажи -- примеры использования новых технологий, коренным образом меняющих банковскую индустрию. Тем не менее, информационные технологии и поддерживающие их организационные структуры могут стать барьером на пути развития. Вложив большие средства в определенную технологию, очень сложно переориентироваться на какую-либо другую. Этого недостатка лишены новые конкуренты, которые будут сразу приобретать перспективные технологии.
Выход из этого тупика - разработка эффективных способов обработки данных. В идеале следует заставить клиентов расплачиваться за улучшение параметров обслуживания (например, скорости). Так, скажем, операции передачи денег традиционно имеют большой объем и все больше зависят от применяемых технологий для сокращения расходов. Выполнение этих операций для большого числа клиентов может дать банкам существенную прибыль. Объемы же операций, связанных с обработкой чеков и других бумажных документов будутуменьшаться пропорционально распространению электронных банковских карт.
Современные технологии предлагают альтернативы традиционным банковским продуктам и услугам. Изменения, которые привели к уменьшению объема локальных операций, оказываются в центре внимания.
Так, Deutsche Bank в 1992 г. объявил об убытках, связанных с обслуживанием частных лиц, в сумме DM 200 млн. Тем не менее он продолжал выполнять программу расширения сети самообслуживания путем эмитирования 3-х миллионов электронных карт. [1, с.51]
Использование современных технологий создало новый рынок, где технологии становятся товаром в таких областях как обмен электронными данными, системы электронных платежей в точке продажи и т.д. Прежде всего это касается улучшения обслуживания клиентов и оказания более специфических услуг.
Идя навстречу требованиям клиентов, и в соответствии с другими факторами конкурентной борьбы, банки должны будут выбрать один из следующих путей развития:
1. Оказывать все виды услуг в большинстве своих отделений, включая, возможно, и небанковские услуги -- универсальный банк;
2. Предоставлять узкому кругу клиентов небольшой, но специфичный перечень услуг в определенном регионе -- специализированный банк.
Существующий круг клиентов -- это ключевой ресурс банка, который необходимо сохранить и попытаться увеличить. С этой целью многие банки приспосабливают свои технологии для продажи новой продукции. Более того, они переопределяют назначение традиционных механизмов распределения (единые филиальные и корпоративные банковские сети) и вводят в эксплуатацию новые (телекоммуникационные средства связи с другими банками и корпоративными клиентами) [2].
Растет необходимость жесткого контроля за расходами, особенно в условиях увеличения затрат на регулирование деятельности и появления на рынке новых дешевых товаров и услуг, производимых и оказываемых небанковскими организациями. Такой контроль может быть осуществлен с помощью централизованной обработки информации и совершенствования управлением. Эти меры, безусловно, оказывают воздействие на штат банка.
Возрастает необходимость обработки постоянно растущего потока информации о состоянии рынка для более точного определения места специфической продукции на расширяющемся рынке.
Возможность доступа клиента к банку с помощью существующих филиальных сетей теперь уже не является ключевым фактором успеха. Изменение требований клиентов, новые технологии и фиксированно высокая стоимость содержания таких сетей заставляют искать альтернативные стратегии. Предлагаются следующие подходы:
1. мобильные пункты продажи товаров и услуг;
2. механизмы прямой продажи товаров и услуг;
3. технологии расчета в точке продажи;
4. электронное и телефонное банковское обслуживание и др.
Применение новых технологий оказывает влияние на стратегические направления и направления бизнеса в деятельности банка.
Банки издавна внедряют и используют самые современные достижения науки и техники для облегчения ручного труда и ускорения выполняемых операций. Однако сейчас этого уже недостаточно и победителями будут те, кто полностью перестроит свою деятельность в соответствии с современными технологиями [3].
Развитие современных информационных технологий может осуществляться под воздействием бизнеса и для бизнеса. Особенно важным в этом процессе является то, что информационные технологии развиваются в тесном взаимодействии с экономикой. Информационные технологии влияют на размер получаемых доходов и на то, как они складываются и распределяются.
Информационные технологии пронизывают каждый элемент цепи приоритетов банка, наполняя их новым содержанием и воздействуя на связь элементов между собой. Кроме того, технологии влияют на конкурентоспособность банков, изменяя жизненный цикл продукции, предлагаемой клиентам.
Стратегии применения информационных технологий определяют методы, с помощью которых они изменяют современный бизнес, и пути управления этими переменами.
Важным моментом является разработка архитектуры компьютерной системы банка. Под архитектурой системы понимается совокупность ее функциональных компонентов и их взаимодействие друг с другом. Целью разработки архитектуры компьютерной системы банка является создание внутренне логичной и гибкой системы, которая будет следовать за изменениями стратегии деятельности банка с минимальным разрушающим воздействием на нее. Любая архитектура должна сочетаться с стратегией банка и упрощать проведение ее в жизнь.
Появление каждой новой технологии обязательно влечет за собой отказ от существующих систем обработки данных. Естественно, это является барьером на пути внедрения новых разработок. Неуклонно возрастает в связи с этим интерес к стандартизованным и открытым системам, в которых программы и представления данные совместимы и их работа не зависит от поставщика оборудования и программ.
Это направление особенно важно при выработке взаимных соглашений и между организациями и их слиянии. Например, слияния Dutch Postbank и Naturale Nederlanden, английских Lloyds и Abbey Life, германских - Deutsche Bank и Deutsch Lebensversicherung - привели к возникновению проблем, связанных с информационными технологиями. Задача заключается в том, чтобы разработать такую архитектуру, которая свяжет вместе критичную деятельность клиентов и каналы распределения товаров и услуг банка, не нарушая при этом порядка работы организации. [1, с.60]
Во многом прибыльность банка зависит от обеспечения высшего руководства нужной, своевременной и точной информацией. Системы управления информацией должны быть действительными помощниками в деятельности банка, обеспечивая, например, информацию о положении на рынке, прибыльности банковской продукции, состоянии клиентов и т.д. Получаемая с их помощью информация может использоваться банком для улучшения обслуживания клиентов или для представления им с целью использования в собственных интересах.
Банкам необходима постоянная информация о степени риска их деятельности. Оценка риска -- это процесс, который коренным образом может быть изменен с помощью современных технологий. В него могут быть вовлечены более интеллектуальные системы, которые способны оценивать процентные ставки, курсы валют, кредитоспособность клиента и т.п., выдавая при этом рекомендации относительно возможных действий и их результатов.
Современные технологии дают банкам огромные преимущества в организации систем доставки товаров и услуг. Использование электронных средств связи позволяет реализовать:
1. электронные платежи и расчеты в точке продажи;
2. клиентские терминалы, осуществляющие прямую связь с банком;
3. домашнее банковское обслуживание с помощью персонального компьютера или телефона;
4. обмен электронными данными в сети с расширенным набором услуг;
5. технологии электронных банковских карт, включая магнитные пластиковые и интеллектуальные карты.
Реализация этих и других методов банковского обслуживания в конкретных системах требует разработки жестких мер защиты для предотвращения случайных и умышленных нарушений их функционирования.
Одна из важных проблем банков сегодня - это управление инвестициями в электронные банковские системы с тем, чтобы последние полностью отражали перемены в банковской индустрии. Успех на новых стратегических направлениях бизнеса во многом зависит от реализации информационных систем [3].
5.2 Современное развитие банковской структуры и формирование информационных потоков
При дальнейшем историческом развитии, в связи с промышленной революцией и освоением Нового Света, а так же развитием торговли, параллельно развивалась и банковская система. С развитием колониальной системы, коммерческие банки открывали свои филиалы и представительства в новых городах и странах. Это способствовало тому, что развивалась система получения отчётов и приказов между метрополией и дочерней структурой. Для этого в структуре создавались новые отделы с функциями издания, получения и хранения отчетно-финансовой документации. Так же стало развиваться акционерное направление связанное с выпуском и размещением на вновь образованной бирже акций предприятий. Так как акции представляли собой гарантийную бумагу с передачей части стоимость предприятия новому владельцу, то были созданы отделы по работе с биржами и размещением акций.
Обособленно было выделено бухгалтерское обеспечение деятельности банка. И соответственно возрос поток обмена информацией между структурными подразделениями и созданием полного отчёта для предоставления в правление банка [4].
Правление банка
Работа со вкладами
Валютно-обменные операции
Коммерческие операции
Промышленно-финансовая разведка и шпионаж
Контрразведка и охрана
Биржа
Акции и ценные бумаги
Бухгалтерия
Филиалы и представительства
Рисунок 2 - Структура коммерческого банка на начало ХХ века
Эта структура сохранилась практически без изменения до середины ХХ века, пока не стали применяться Электронно-Вычислительные машины. Это создало новые возможности в обработке коммерческой информации. С развитием электронных технологий нашло своё применение и революционная система внутренних сетей для централизованного получения и хранения информации. Дальнейшее развитие системы обработки информации, появление персональных ЭВМ и объединение рабочих мест в отделах в локальные сети, и дальнейшее объединение отдельных локальных сетей обмена информации в общую сеть предприятия создало полноценную современную структуру банковских информационных потоков.
Рисунок 3 - современная структура банковской системы обмена информации
Потоки информационной системы финансово-кредитного учреждения, на данный момент, характеризуются направлением, структурой, периодичностью, видом носителя данных, способом индикации, степенью взаимосвязи потока, объёмом, плотностью отдельных сообщений, методом образования, способом и степенью использования данных потока.
Возможности, предоставляемые корпоративными информационными сетями.
Корпоративная сеть может предложить следующие возможности:
1 . Единое информационное пространство;
2 . Оперативность получения информации и возможность формирования консолидированных отчётов уровня предприятия или объединения предприятий;
3 . Централизация финансовых и информационных потоков данных;
4 . Возможность оперативного сбора и обработки информации;
5 . Снижение затрат при использовании серверных решений. Переход решений от рабочих групп на решения на уровне предприятия;
6 . Возможность обработки мультимедийных потоков данных между офисными площадками;
7 . Снижение затрат на связь между подразделениями фирмы, организация единого номерного пространства;
8 . Возможность организации системы видеонаблюдения на основе IP сети предприятия.
Название корпоративная сеть появилось в силу того, что под понятием корпорация стали подразумевать объединение большого количества пользовательских станций используемых в одном конгломерате профессиональной деятельности [5].
При создании корпоративных сетей используются различные технологии или их комбинации: от кабельных и беспроводных систем до инновационных технологических решений. К ним относятся специальные решения на уровне серверных станций, специального программного обеспечения, развития технологий защиты данных от хищения и вирусной опасности, а также противодействие промышленному шпионажу. Чаще всего для достижения оптимального решения используют комбинацию нескольких технических решений, у каждого из которых есть свои преимущества и недостатки.
В настоящее время в корпоративные сети могут входить не только отдельные рабочие группы, локальные вычислительные сети, но и удалённые подразделения, объединённые общей сетью Internet или выделенными каналами. Удалённый доступ к используемым ресурсам предприятия могут получить, предварительно получив разрешение и право доступа, как партнёры организации, так и сотрудники вне офиса. Одним из факторов широкого применения корпоративных сетей, стало распространение удалённых сотрудников, которые исполняют свои обязанности территориально не находясь на своём рабочем месте. Эта инновация даёт возможность предприятиям сокращать работников на местах, переводя их на должности удалённых работников.
При этом используется эффективная обеспеченная информационная безопасность и защита сервисов и услуг, предоставляемых авторизованным пользователям, от несанкционированного доступа и атак, направленных на выведение сервисов из строя [6].
На основании научно-обоснованных решений и разработок, можно сказать, что корпоративные сети являются технически сложными системами, включающими в себя тысячи разнообразных элементов и компонентов: ПЭВМ разных типов, начиная с настольных и заканчивая мэйнфреймами, системное и прикладное программное обеспечение, сетевая инфраструктура, такая как - сетевые адаптеры, концентраторы, маршрутизаторы, файерволы и системы защиты. Особую роль играет специализированное программное обеспечение. Интенсификация применения приложений на основе WEB-сервисов одновременно упрощает и усложняет развитие инфраструктуры. Интенсивное обращение к внешним WEB-сайтам увеличивает долю внешнего трафика, и соответственно повышает нагрузку на пограничные маршрутизаторы и межсетевые экраны корпоративной сети. С другой стороны применение сайтовой структуры внутри корпорации, при которой расширены службы INTRANET и предлагается доступ к внутрикорпоративным сайтам с возможностью передачи и получения информации адресно и практически мгновенно, с использованием внутреннего аккаунта и веб-страницы с заданиями и отчетами выполненными и находящимися в работе, актуализирует индивидуальный и групповой подход к решениям сиюминутных задач.
Также большое влияние на бизнес процессы оказано в структуре аутентификации и авторизации большого числа клиентов обращающихся на серверы предприятий из вне и внутри. Здесь имеется применение новых методов проверки легальности пользователей.
Из этих особенностей появились основные характеристики корпоративных сетей. Это требования предъявляемые к ним, главное из них: обеспечение пользователям возможности оперативного доступа к разделяемым ресурсам всех компьютеров, объединенных в сеть [7].
Из этого требования, вытекают и другие - по производительности, надежности системы, безопасности доступа и обработки, управляемости и конфигурируемости, совместимости с различными версиями, расширяемости, масштабируемости и прозрачности. Качество предоставления услуг корпоративной сетью определяется тем, насколько полно выполняются эти требования, особенно по производительности и надежности.
Из удовлетворения этих требований и формируется оценка эксплуатации корпоративной информационной сети.
Типовая структура корпоративной сети
Для корпоративных сетей крупных предприятий или высшего ранга являются характерными черты:
1 . Масштабность - включают в себя сотни и тысячи рабочих станций, наличие удаленных станций для работы сотрудников, десятки и сотни серверов, большие объемы компьютерных и мультимедийных данных, множество разнообразных приложений;
2 . Гетерогенность - возможность использования различных типов компьютеров и рабочих станций, коммуникационного оборудования, операционных систем и приложений;
3 . Использование территориальных сетей связи - удаленные филиалы и отделения соединяются между собой и центральным офисом с помощью телекоммуникационных средств, в том числе телефонных каналов, радиоканалов, спутниковой связи;
4 . Обеспечение поддержки различных видов трафика, организация виртуальных локальных сетей для оперативного взаимодействия сотрудников предприятия в рамках рабочих групп по интересам, управляемость, расширяемость, масштабируемость, безопасность информации в сети.
Корпоративная сеть для крупномасштабной корпорации обычно состоит из нескольких локальных сетей (подсети) и серверов, управляющих связей между ЛКС. Каждая ЛКС обслуживает отдельного подразделения или филиала корпорации.
Для организации связи между удаленными подразделениями строится магистральная сеть. Может быть выполнена в виде выделенной линии, оптико-волоконной линией или с использованием виртуальной сети.
Для выхода на магистральную сеть используется сеть Internet. Серверы обращений управляют связями между центральным сервером и локальными серверами. Корпоративные серверы выполняют такие функции как: работа с центральной базой данных (сервер БД), управление электронным документооборотом, управление электронной почтой, управление выходом в Internet и т.д. [8].
Защита корпоративных информационных сетей
К защите корпоративных сетей, от несанкционированного доступа, хакерских атак, изменения данных и других опасных методов предлагаются две достаточно больших и независимых групп технических решений примененных к информационным технологиям.
1 . Технология обеспечения гарантированного уровня транспортного обслуживания (качества сервиса) для корпоративного трафика, транспортируемого через публичные сети;
2 . Технология обеспечивающая необходимые гарантии информационной безопасности(конфиденциальности и целостности) корпоративных данных, передаваемых через публичные сети.
Так как приняты корпоративные сети на основе VPN, то к первой группе имеют отношения специализированные технологии управления качеством обслуживания RSVP, DiffServ, MPLS, и базовые технологии построения публичных сетей скорректированные встроенными элементами поддержки QoS.
Для второй группы VPN-технологии, имеется отличие в том, что выполняется функция авторизации абонентов корпоративных сетей и функций криптографической защиты передаваемых данных. К этой группе относятся различные реализации механизма инкапсуляции стандартных сетевых пакетов канального (PPTP, L2F, L2TP) сетевого (SKIP,IPSecIKE) и уровней модели OSIISO(SOCKS, SSLTLS) [9].
Исходя из этого предусматривается построение VPN на базе сетевой ОС, что является достаточно удобным и дешевым средством создания защищенной инфраструктуры виртуальных каналов. Или построение VPN на базе маршрутизаторов, наиболее практичным является использование решений на базе CISCO.
Вне зависимости от выбора системы построения, защита данных является приоритетной задачей службы безопасности корпоративной сети. Дополнительно использующей разные антивирусные меры защиты основанной на разработках производителей ПО антивирусов
Анализ угроз и проблем информационной безопасности информационным системам
2.1 Потенциальные угрозы информационной безопасности
К потенциальным угрозам могущим нанести огромные финансовые и имиджевые убытки, по классификации служб информационной безопасности, могут относится следующие классы:
Получение доступа к сетевым сервисам используемым при работе банка и его офисов через открытые сети:
Несанкционированный доступ к ресурсам и данным системы (подбор пароля, взлом систем защиты и администрирования, действия от имени чужого лица (маскарад));
Перехват и подмена трафика (подделка платежных поручений, атака типа человек посредине);
IP-спуфинг (подмена сетевых адресов);
отказ в обслуживании;
атака на уровне приложений;
сканирование сетей или сетевая разведка;
использование отношений доверия в сети.
Целенаправленные атаки на финансовые сообщения и финансовые транзакции:
1. раскрытие содержимого;
2. представление документа от имени другого участника;
3. несанкционированная модификация;
4. повтор переданной информации.
5. Хакерские атаки:
6. рассылка спама и внедрение вредоносных программ посредством электронных писем с предложениями сотрудничества;
7. перехват и перенаправление сетевого трафика на поддельные сетевые ресурсы с целью завладения ценной информацией;
8. DDOS-атаки с целью переполнения стека информации и автоматического его закрытия управляющим сервером, что приводит к полной потере трафика [10].
Данные угрозы могут возникнуть в силу разных причин, а также могут являться следствием плохой организации производственного процесса.
К ним относятся - слабая готовность персонала, обслуживающего технические средства обработки информации, отсутствие необходимых средств контроля и информационной защиты, отсутствие или неполная проработка концепции информационной безопасности организации, а также неадекватная реализация предписаний политики: неумение реализовать систему разделения доступа, обновления паролей и ключевых слов, а также неспособность или неподготовленность осуществить администрирование и настройку использующихся сетевых сервисов [11].
Службы безопасности также классифицируют потенциальных нарушителей безопасности, которые делятся на:
- внешних и внутренних нарушителей: к внутренним относятся сотрудники самого банка или сотрудники организаций из сферы ИТ, предоставляющие банку телекоммуникационные или иные информационные услуги.
К внешним нарушителям могут относится:
- клиенты (имеющие разные цели нанесения вреда);
- приглашенные посетители;
- представители конкурирующих организаций;
- сотрудники органов ведомственного надзора и управления;
- нарушители пропускного режима;
- наблюдатели за пределами охраняемой территории.
Способы и методы используемые для причинения вреда:
1. сбор информации и данных;
2. пассивные средства перехвата;
3. использование средств, входящих в информационную систему или систему ее защиты, и их недостатков;
4. активное отслеживание модификаций существующих средств обработки информации, подключение новых средств, использование специализированных утилит, внедрение программных закладок и черных ходов в систему, подключение к каналам передачи данных [12].
Имеющийся уровень знаний об организации информационной структуры, для максимального нанесения вреда:
типовые знания о методах построения вычислительных систем, сетевых протоколов, использование стандартного набора программ;
высокий уровень знаний сетевых технологий, опыт работы со специализированными программными продуктами и утилитами;
высокие знания в области программирования, системного проектирования и эксплуатации вычислительных систем;
обладание сведениями о средствах и механизмах защиты атакуемой системы;
нарушитель являлся разработчиком или принимал участие в реализации системы обеспечения информационной безопасности.
Время информационного воздействия:
в момент обработки информации;
в момент передачи данных;
в процессе хранения данных (учитывая рабочее и нерабочее состояния системы).
Подход к выбору осуществления вредоносного воздействия:
удаленно с использованием перехвата информации, передающейся по каналам передачи данных, или без ее использования;
доступ на охраняемую территорию;
непосредственный физический контакт с вычислительной техникой, при этом можно выделить:
доступ к терминальным операторским станциям,
доступ к важным сервисам предприятия (сервера),
доступ к системам администрирования, контроля и управления информационной системой,
доступ к программам управления системы обеспечения информационной безопасности.
2.2 Потенциальные проблемы информационной безопасности
При создании любой информационной системы (ИС) на базе современных компьютерных технологий неизбежно возникает вопрос о защищённости этой системы от внутренних и внешних угроз безопасности информации [13].
Но прежде чем решить, как и от кого защищать информацию, необходимо уяснить реальное положение в области обеспечения безопасности информации на предприятии и оценить степень защищённости информационных активов.
Для этого проводится комплексное обследование защищённости ИС
(или аудит безопасности), основанные на выявленных угрозах безопасности информации и имеющихся методах их парирования, результаты которого позволяют:
оценить необходимость и достаточность принятых мер обеспечения
безопасности информации;
сформировать политику безопасности;
правильно выбрать степень защищённости информационной системы;
выработать требования к средствам и методам защиты;
добиться максимальной отдачи от инвестиций в создании и обслуживании СОБИ.
Данные мероприятия помогают выявить потенциальные проблемы информационной безопасности, такие как:
Доступ к сервисам, которые предоставляет данное программное обеспечение, осуществляется через открытые сети, использование которых таит в себе многочисленные информационные угрозы [14].
Выявить причины, которые могут привести к появлению уязвимостей:
отсутствие гарантии конфиденциальности и целостности передаваемых данных;
недостаточный уровень проверки участников соединения;
недостаточная реализация или некорректная разработка политики безопасности;
отсутствие или недостаточный уровень защиты от несанкционированного доступа (антивирусы, контроль доступа, системы обнаружения атак);
существующие уязвимости используемых операционных систем (ОС), ПО, СУБД, веб-систем и сетевых протоколов;
непрофессиональное и слабое администрирование систем;
проблемы при построении межсетевых фильтров;
сбои в работе компонентов системы или их низкая производительность;
уязвимости при управлении ключами.
Для поиска слабых мест для атак на финансовые сообщения и финансовые транзакции, проверяется наличие применения следующих средств:
шифрование содержимого документа;
контроль авторства документа;
контроль целостности документа;
нумерация документов;
ведение сессий на уровне защиты информации;
динамическая аутентификация;
обеспечение сохранности секретных ключей;
надежная процедура проверки клиента при регистрации в прикладной системе;
использование электронного сертификата клиента;
создание защищенного соединения клиента с сервером.
На основании выполненных проверок по имеющейся информационной безопасности стандартными способами являются применение следующих видов защиты информации:
Комплекс технических средств защиты интернет-сервисов:
1. брандмауэр (межсетевой экран) -- программная иили аппаратная реализация;
2. системы обнаружения атак на сетевом уровне;
3. антивирусные средства;
4. защищенные ОС, обеспечивающие уровень В2 по классификации защиты компьютерных систем и дополнительные средства контроля целостности программ и данных;
5. защита на ... продолжение
Похожие работы
Дисциплины
- Информатика
- Банковское дело
- Оценка бизнеса
- Бухгалтерское дело
- Валеология
- География
- Геология, Геофизика, Геодезия
- Религия
- Общая история
- Журналистика
- Таможенное дело
- История Казахстана
- Финансы
- Законодательство и Право, Криминалистика
- Маркетинг
- Культурология
- Медицина
- Менеджмент
- Нефть, Газ
- Искуство, музыка
- Педагогика
- Психология
- Страхование
- Налоги
- Политология
- Сертификация, стандартизация
- Социология, Демография
- Статистика
- Туризм
- Физика
- Философия
- Химия
- Делопроизводсто
- Экология, Охрана природы, Природопользование
- Экономика
- Литература
- Биология
- Мясо, молочно, вино-водочные продукты
- Земельный кадастр, Недвижимость
- Математика, Геометрия
- Государственное управление
- Архивное дело
- Полиграфия
- Горное дело
- Языковедение, Филология
- Исторические личности
- Автоматизация, Техника
- Экономическая география
- Международные отношения
- ОБЖ (Основы безопасности жизнедеятельности), Защита труда