Дипломная работа: Денежные системы и их развитие в процессе формирования электронной финансовой системы РК
В
АСОИБ хранится и обрабатывается конфиденциальная информация, не предназначенная
для широкой публики. Ее подделка или утечка могут привести к серьезным (для
банка или его клиентов) последствиям. Поэтому АСОИБ обречены оставаться
относительно закрытыми, работать под управлением специфического программного
обеспечения и уделять большое внимание обеспечению своей безопасности;
Другой
особенностью АСОИБ является повышенные требования к надежности аппаратного и
программного обеспечения. В силу этого многие современные АСОИБ тяготеют к так
называемой отказоустойчивой архитектуре компьютеров, позволяющей осуществлять
непрерывную обработку информации даже в условиях различных сбоев и отказов.
Можно
выделить два типа задач, решаемых АСОИБ:
1.
Аналитические. К этому типу относятся задачи планирования, анализа счетов и
т.д. Они не являются оперативными и могут требовать для решения длительного
времени, а их результаты могут оказать влияние на политику банка в отношении
конкретного клиента или проекта. Поэтому подсистема, с помощью которой решаются
аналитические задачи, должна быть надежно изолирована от основной системы
обработки информации. Для решения такого рода задач обычно не требуется мощных
вычислительных ресурсов, обычно достаточно 10-20% мощности всей системы. Однако
ввиду возможной ценности результатов их защита должна быть постоянной.
2.
Повседневные. К этому типу относятся задачи, решаемые в повседневной
деятельности, в первую очередь выполнение платежей и корректировка счетов.
Именно они и определяют размер и мощность основной системы банка; для их
решения обычно требуется гораздо больше ресурсов, чем для аналитических задач.
В то же время ценность информации, обрабатываемой при решении таких задач,
имеет временный характер. Постепенно ценность информации, например, о
выполнении какого-либо платежа, становиться не актуальной. Естественно, это
зависит от многих факторов, как-то: суммы и времени платежа, номера счета,
дополнительных характеристик и т.д. Поэтому, обычно бывает достаточным
обеспечить защиту платежа именно в момент его осуществления. При этом защита
самого процесса обработки и конечных результатов должна быть постоянной.
Каким
же мерам защиты систем обработки информации отдают предпочтение зарубежные
специалисты? На этот вопрос можно ответить, используя результаты опроса,
проведенного Datapro Information Group в 1994 году среди банков и финансовых
организаций :
· Сформулированную политику
информационной безопасности имеют 82% опрошенных. По сравнению с 1991 годом
процент организаций, имеющих политику безопасности, увеличился на 13%.
· Еще 12% опрошенных планируют
разработать политику безопасности. Четко выражена следующая тенденция:
организации с большим числом персонала предпочитают иметь разработанную политику
безопасности в большей степени, чем организации с небольшим количеством
персонала. Например, по данным этого опроса, всего лишь 66% организаций, с
числом сотрудников менее 100 человек имеют политику безопасности, тогда как для
организаций с числом сотрудников более 5000 человек доля таких организаций
составляет 99%.
· В 88% организаций, имеющих политику
информационной безопасности, существует специальное подразделение, которое
отвечает за ее реализацию. В тех организациях, которые не содержат такое подразделение,
эти функции, в основном, возложены на администратора системы (29%), на
менеджера информационной системы (27%) или на службу физической безопасности
(25%). Это означает, что существует тенденция выделения сотрудников, отвечающих
за компьютерную безопасность, в специальное подразделение.
· В плане защиты особое внимание
уделяется защите компьютерных сетей (90%), больших ЭВМ (82%), восстановлению
информации после аварий и катастроф (73%), защите от компьютерных вирусов
(72%), защите персональных ЭВМ (69%).
Можно сделать следующие выводы об
особенностях защиты информации в зарубежных финансовых системах:
· Главное в защите финансовых
организаций — оперативное и по возможности полное восстановление информации
после аварий и сбоев. Около 60% опрошенных финансовых организаций имеют план
такого восстановления, который ежегодно пересматривается в более чем 80% из
них. В основном, защита информации от разрушения достигается созданием
резервных копий и их внешним хранением, использованием средств бесперебойного
электропитания и организацией «горячего» резерва аппаратных средств.
· Следующая по важности для финансовых
организаций проблема — это управление доступом пользователей к хранимой и
обрабатываемой информации. Здесь широко используются различные программные
системы управления доступом, которые иногда могут заменять и антивирусные
программные средства. В основном используются приобретенные программные
средства управления доступом. Причем в финансовых организациях особое внимание
уделяют такому управлению пользователей именно в сети. Однако сертифицированные
средства управления доступом встречаются крайне редко (3%). Это можно объяснить
тем, что с сертифицированными программными средствами трудно работать и они
крайне дороги в эксплуатации. Это объясняется тем, что параметры сертификации
разрабатывались с учетом требований, предъявляемым к военным системам.
· К отличиям организации защиты сетей
ЭВМ в финансовых организациях можно отнести широкое использование стандартного
(т.е. адаптированного, но не специально разработанного для конкретной
организации) коммерческого программного обеспечения для управления доступом к
сети (82%), защита точек подключения к системе через коммутируемые линии связи
(69%). Скорее всего это связано с большей распространенностью средств
телекоммуникаций в финансовых сферах и желание защититься от вмешательства
извне. Другие способы защиты, такие как применение антивирусных средств,
оконечное и канальное шифрование передаваемых данных, аутентификация сообщений
применяются примерно одинаково и, в основном (за исключением антивирусных
средств), менее чем в 50% опрошенных организаций.
· Большое внимание в финансовых
организациях уделяется физической защите помещений, в которых расположены
компьютеры (около 40%). Это означает, что защита ЭВМ от доступа посторонних лиц
решается не только с помощью программных средств, но и
организационно-технических (охрана, кодовые замки и т.д.).
· Шифрование локальной информации
применяют чуть более 20% финансовых организаций. Причинами этого являются
сложность распространения ключей, жесткие требования к быстродействию системы,
а также необходимость оперативного восстановления информации при сбоях и
отказах оборудования.
· Значительно меньшее внимание в
финансовых организациях уделяется защите телефонных линий связи (4%) и
использованию ЭВМ, разработанных с учетом требования стандарта Tempest (защита
от утечки информации по каналам электромагнитных излучений и наводок). В
государственных организациях решению проблемы противодействия получению информации
с использованием электромагнитных излучений и наводок уделяют гораздо большее
внимание.
Анализ
статистики позволяет сделать важный вывод: защита финансовых организаций (в том
числе и банков) строится несколько иначе, чем обычных коммерческих и государственных
организаций. Следовательно для защиты АСОИБ нельзя применять те же самые
технические и организационные решения, которые были разработаны для стандартных
ситуаций. Нельзя бездумно копировать чужие системы — они разрабатывались для
иных условий.
3.2 Страхование компьютерных (электронных) преступлений в
банковской сфере
Безопасность - один из
ключевых элементов, обеспечивающих нормальное функционирование электронной
банковской системы. Проблемы обеспечения безопасности деятельности банков
всегда актуальны, особенно в переходный период.
В начале 1980-х годов
назрела потребность в получении страхового покрытия от электронных и
компьютерных преступлений. В ответ на возникший спрос андеррайтеры Ллойда в
Лондоне разработали полис (условия) страхования финансовых учреждений от
электронных и компьютерных преступлений, совершенных третьими лицами. Этот
полис является дополнительным в стандартной системе страхования банковских
рисков, известной в мире под названием Bankers Blanket Bond (В.В.В.). С момента разработки данный полис начал
активно использоваться банками и страховщиками и практически сразу же стал
неотъемлемой частью стратегии риск - менеджмента.
К решению проблем компьютерной
безопасности необходим комплексный подход. Использование систем технической
и информационной безопасности, на которых казахстанские банки в настоящее
время сосредотачивают основное внимание, могут только в определенной степени
предотвратить ущерб. Страхование же в отличие от этих систем не только
предотвращает преступление, но и, что самое важное, возмещает убытки,
понесенные в результате их совершения.
Страхование от компьютерных
преступлений в Европе и США стало стандартным видом страхования для банков,
дилерских фирм, страховых компаний и крупных трансляционных коммерческих
компаний, осуществляющих переводы своих денежных средств, а также несущих
ответственность за сохранность средств своих клиентов при клиринговых и депозитных
операциях.
Страховой полис Ллойда
предлагает свой подход к проблеме страхового риска, выделяя ряд объектов
страхования в соответствии с существующими факторами риска. По данному полису
выделяются следующие объекты страхового покрытия.
1. Страхование компьютерных
систем банка от несанкционированного входа. По данному полису Страхователю
возмещается убыток в случае, если он перевел, оплатил или поставил какие-либо
средства или имущество, открыл кредит, оплатил счет или осуществил любой
другой вид выплат в результате несанкционированного входа третьих лиц в
компьютерную систему Страхователя.
Страницы: 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15, 16, 17 |