Информационные банковские технологии. Типичные угрозы для банковских систем и продуктов. Преступления с использованием информационных технологий в банковской сфере. Основные проблемы информационной безопасности, ее стандарты и информационные риски.
Аннотация к работе
Интенсивное внедрение информационных технологий в банковский бизнес привело к расширению состава банковских услуг и видов банковского обслуживания, увеличило потенциал кредитных организаций по обработке банковской информации. Использование современных банковских технологий имеет ряд несомненных преимуществ как для клиентов, так и для самих кредитных организаций. Так, преимуществом для клиентов стало удобство дистанционного банковского обслуживания, увеличение скорости платежей, повышение качества и расширение временных и географических границ банковских услуг, а для кредитных организаций - ускорение обработки банковской информации, создание качественного управленческого учета и обеспечение на его основе оперативного расчета различных экономических показателей, возможность эффективного управления денежными потоками. В условиях жесткой конкуренции в сфере банковских услуг эти преимущества способствуют увеличению числа кредитных организаций, использующих в своей деятельности информационные технологии. В то же время в банковском бизнесе резко повысилось внимание к проблеме защиты информации.Разнообразие услуг кредитной организации (в первую очередь это относится к возможности безналичных расчетов между банком и его клиентами с использованием пластиковых карт и систем дистанционного банковского обслуживания) может существенно увеличить число его клиентов. Если раньше информационные атаки были направлены на получение данных о клиентах банков или о деятельности самого банка, а сами атаки были редкими и ущерб от них мог быть не столь значительным, то в настоящее время в результате повсеместного распространения электронных платежей, пластиковых карт, компьютерных сетей объектом информационных атак стали непосредственно денежные средства как банков, так и их клиентов. Атаки "салями" характерны для систем, обрабатывающих денежные счета и, следовательно, для банков особенно актуальны. Если пользователь или программист имеет доступ к банковским счетам или программам их обработки, он может округлить результат не в большую, а в меньшую сторону, записав разницу на свой счет. закрытием электронно-цифровой подписью не только каждого документа со стороны клиента, но и всех сообщений, проходящих по системе в обе стороны, от клиента в банк и из банка клиенту.Служба безопасности Citibank выяснила, что у банка пытались похитить 2,8 миллионов долларов. Так, пропажа данных о работе с секретными счетами Bank of England в январе 1999 г. заставила банк поменять коды всех корреспондентских счетов. Тоннель использовался преступниками для проникновения в банк, где они похищали данные пользователей пластиковых карт. Для защиты своих клиентов, которые были обманным путем приглашены на фальшивые "банковские" интернет-страницы якобы для уточнения личной информации, паролей и другой конфиденциальной информации, некоторым пострадавшим банкам пришлось даже прекратить выплату денежных средств в размере от 500 до 750 долларов. Эти программы записывали все нажатые клавиши и отправляли эту информацию за периметр корпоративной сети банка.По результатам анализа рисков вырабатываются предложения по управлению этими рисками. Поскольку основой для предложений по управлению рисками в этом методе служат экспертные оценки, важную роль в анализе рисков имеет квалификация экспертов и наличие четких методик проведения анализа. Рекомендуется разработка двух или более решений для одного риска, приоритетными определяются те решения, которые позволяют устранение группы рисков для одного или более ресурсов. "Стандарты" "корпоративная мифология" записана на бумаге процессы повторяемы и не зависят от личных качеств исполнителей информация о процессах для измерения эффективности не собирается наличие формализованного описания процессов не означает, что они работают организация начинает адаптировать свой опыт к специфике бизнеса производится анализ знаний и умений сотрудников с целью определения необходимого уровня компетенции вырабатывается стратегия развития компетентности 1) Руководство осознает задачи в области ИБ. "Оптимизируемый" фокус на повторяемости, измерении эффективности, оптимизации вся информация о функционировании процессов фиксируется 1) Руководство заинтересованно в оценке существующих рисков, готовности нести ответственность за выбор определенных уровней остаточных рисков, ставит оптимизационные задачи построения системы защиты информации.Это обуславливает наблюдающиеся изменения в информационном контуре деятельности кредитных организаций, появлением в нем новых элементов (например, каналов связи) и новых участников - провайдеров телекоммуникационных услуг и клиентов, которые уже не приходят в банк для того, чтобы осуществить те или иные банковские операции. Если говорить о проблемах регулирования рисков, возникающих в связи с применением кредитными организациями информационных технологий при осуществлении банковских операций, то прежде всего следует обратить внимание на необходимость минимизации данн
План
Содержание
Введение
Глава 1. Информационные банковские технологии. Типичные угрозы для банковских систем и продуктов
Безопасность автоматизированных банковских систем
Надежность функционирования автоматизированных банковских систем и непрерывность обработки данных
Безопасность при использования ресурсов Интернет и электронной почты
Разграничение прав доступа персонала банка
Глава 2. Преступления с использованием информационных технологий в банковской сфере. Проблемы информационной безопасности на современном этапе
Обзор инцидентов и анализ тенденций в области защиты информации в мировой банковской практике
Обзор инцидентов и анализ тенденций в области защиты информации в российской банковской практике
Глава 3. Информационные риски и стандарты информационной безопасности
Анализ информационных рисков
Уровни зрелости обеспечения информационной безопасности
Обзор зарубежных стандартов информационной безопасности
Стандарт Банка России по обеспечению информационной безопасности организаций банковской системы РФ
Глава 4. Задачи органов надзора и практические аспекты инспекционных проверок в области обеспечения информационной безопасности в кредитных организациях
Заключение
Список использованной литературы
Введение
Интенсивное внедрение информационных технологий в банковский бизнес привело к расширению состава банковских услуг и видов банковского обслуживания, увеличило потенциал кредитных организаций по обработке банковской информации. Использование современных банковских технологий имеет ряд несомненных преимуществ как для клиентов, так и для самих кредитных организаций. Так, преимуществом для клиентов стало удобство дистанционного банковского обслуживания, увеличение скорости платежей, повышение качества и расширение временных и географических границ банковских услуг, а для кредитных организаций - ускорение обработки банковской информации, создание качественного управленческого учета и обеспечение на его основе оперативного расчета различных экономических показателей, возможность эффективного управления денежными потоками. В условиях жесткой конкуренции в сфере банковских услуг эти преимущества способствуют увеличению числа кредитных организаций, использующих в своей деятельности информационные технологии.
В то же время в банковском бизнесе резко повысилось внимание к проблеме защиты информации. Это обусловлено стремительно возрастающими потоками внутрибанковской информации, причем к значительной ее части предъявляются требования обеспечения определенной степени конфиденциальности. Выводы западных экспертов показывают, что утечка 20% коммерческой информации в шестидесяти случаях из ста приводит к банкротству банка.
Отличительной особенностью обработки банковской информации в настоящее время является комплексное использование информационных и телекоммуникационных технологий, что вызывает необходимость применения более широкого спектра механизмов защиты информации. Вместе с тем, анализ текущей ситуации позволяет сделать вывод о явно недостаточной проработке этого вопроса. Поэтому современный этап характеризуется переходом от традиционного представления проблемы защиты банковской информации к более широкому ее пониманию - как проблемы информационной безопасности.
Не менее важной является задача обеспечения непрерывности электронной обработки данных, которая зависит как от надежности функционирования программных систем и средств вычислительной техники, так и процедур создания резервных копий банковских массивов информации. В современных информационных банковских системах проблеме резервного копирования придается первоочередное значение. Важность этого вопроса невозможно переоценить, так как часть банковской информации существует только в электронном виде. Даже информация, которая существует на бумажном носителе, как правило, используется для обработки в виде электронной копии. Утеря же информации, хранящейся исключительно в виде электронного образа, может надолго парализовать работу банка, привести к задержке платежей, потере клиентуры и, как следствие, к возможному краху финансового учреждения.
Недостаточное внимание, уделяемое кредитными организациями обеспечению информационной безопасности и надежности функционирования информационных систем при внедрении новых банковских услуг с использованием электронных технологий, сопряжено с увеличением характерных для кредитных организаций рисков (прежде всего операционного, стратегического, правового и деловой репутации) и возникновением дополнительных функциональных рисков (несанкционированного доступа, нестабильности функционирования, потери информации). В связи с этим, перед кредитными организациями встает задача по управлению этими рисками (с учетом факторов, обусловленных спецификой информационных технологий), а перед надзорными органами - по разработке соответствующей риск-ориентированной системы контроля, которая будет базироваться на оценке адекватности принимаемых кредитными организациями на себя рисков и на формировании соответствующих требований и рекомендаций по обеспечению информационной безопасности.
В данной работе автором рассмотрены информационные технологии, используемые в банковском бизнесе, подвергнуты анализу типичные угрозы для банковских систем и продуктов, а также проведен обзор компьютерных преступлений в кредитно-финансовой сфере и исследованы тенденции в области информационной безопасности в мировой и российской банковской практике.
Кроме того, автором проанализированы существующие в виде зарубежных и отечественных стандартов методы и способы выявления и оценки рисков, связанных с информационными технологиями, рассмотрена концепция уровней зрелости обеспечения информационной безопасности.
Последняя глава работы посвящена задачам органов надзора в области обеспечения информационной безопасности в кредитных организациях, а также практическим аспектам инспекционных проверок. информационная безопасность банковский продукт