ВВЕДЕНИЕ 4

Глава 1. ИССЛЕДОВАНИЕ ПРЕДМЕТНОЙ ОБЛАСТИ 9

1.1. Нормативно-правовое регулирование 9

1.2. Вопросы стандартизации 12

1.3. Процесс исторического развития интернет-банкинга 16

Глава 2. НЕОБХОДИМЫЙ УРОВЕНЬ ЗАЩИТЫ. МЕТОДИКА ОЦЕНКИ НА СООТВЕТСТВИЕ УРОВНЮ 18

2.1. Анализ угроз 18

2.2.Требования по обеспечению защиты информации в области интернет-банкинга 21

2.2.1. Организационное и юридическое обеспечение 21

2.2.2. Требования программного характера 22

2.2.3. Рекомендации по обеспечению безопасности в системах интернет-банкинга 53

2.2.4. Выводы по разделу 63

2.3. Методика оценки информационной безопасности 63

Глава 3. ОЦЕНКА СУЩЕСТВУЮЩИХ РЕШЕНИЙ И МЕТОДИКА ДОСТИЖЕНИЯ ТРЕБУЕМОГО УРОВНЯ 73

3.1. Состояние ИБ в интернет-банкинге в настоящее время 73

3.1.1. Интернет-клиент от R-Style Softlab 73

3.1.2. iBank 2 от БИФИТ 75

3.1.3. Банк-Клиент/Интернет от ИНИСТ 77

3.1.4. Клиент-Web от РФК 77

3.1.5. Система удаленного банковского обслуживания BARS от ЗАО "Оникс Капитал" 79

3.1.6. Интернет-банкинг от Диасофт 79

3.1.7. Результаты анализа 79

3.1.8. Программные уязвимости 80

3.1.9. Уязвимые места в организационном и юридическом обеспечении 81

3.1.10. Факторы, обуславливающие наличие уязвимых мест 82

3.2. Методика достижения выбранного уровня ИБ в интернет-банкинге 88

ЗАКЛЮЧЕНИЕ 91

СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ И ЛИТЕРАТУРЫ 93

ПРИЛОЖЕНИЯ 96

Интернет как глобальная сеть оказывает огромное влияние на все сферы деятельности человечества, включая экономику и бизнес. Одним из важных аспектов использования интернета является дальнейшее развитие тенденции к глобальной мобильности и ликвидности капитала для всех категорий клиентов. На практике эта тенденция выразилась в появлении интернет-банкинга.

Интернет-банкинг – это система, которая позволяет клиентам банка дистанционно осуществлять все виды платежных операций по своему счету, а также оперативно получать информацию, необходимую для взаимодействия с банком. Работать с системой можно из любой точки мира — достаточно иметь лишь доступ в Интернет.

Общение с банком происходит через его сайт в интерактивном режиме. В сущности, обязанности операциониста перекладываются теперь на плечи клиента, однако задача упрощается тем, что количество доступных ему операций значительно меньше.

Услуга интернет-банкинга обычно подразумевает проверку состояния счета, перевод средств с одного счета на другой, оплату разнообразных товаров и услуг, а также предоставление клиенту информационной поддержки и многочисленных сопутствующих услуг. По статистике более 80% всех банковских операций клиент может совершать с использованием систем интернет-банкинга.

Типичный интернет-банкинг позволяет:

• переводить средства с одного своего счета на другой счет;

• осуществлять безналичные внутри- и межбанковские платежи;

• покупать и продавать безналичную валюту;

• открывать и закрывать депозиты;

• устанавливать график расчетов и оплачивать различные товары и услуги;

• отслеживать все банковские операции по своим счетам.

По итогам 2005 года более 350 банков в Российской Федерации предлагают услуги интернет-банкинга (то есть около 30% от общего количества банков РФ). Рост интернет-банкинга с конца 2003 года по конец 2005 года составил более 130%.

Почему вопрос безопасности информации для банка является особенно важным?

Во-первых, банк с точки зрения информационной безопасности — компания повышенного риска. Банк оперирует деньгами. При этом автоматизированная банковская система, как неотъемлемая составляющая корпоративной информационной системы банка, поддерживает процессы проведения выплат, предоставления кредитов, перевода средств и так далее. Поэтому очевидно, что незаконное манипулирование такой информацией может привести к серьезным убыткам.

Во-вторых, современный банк предоставляет большое число сервисов, связанных с удаленным доступом к информационной системе банка. Помимо персонального интернет-банкинга, это и система интернет-доступа к финансовым рынкам, и система электронного документооборота, и многое другое. С этих позиций банк — "точка пересечения" публичных сетей (Интернет) и коммерческих финансовых сетей (Western Union, VisaNet, SWIFT и других).

В-третьих, на сегодняшний день банки обладают сложными информационными системами, которые включают большой набор "бек-офисных" (для внутреннего пользования) и "фронт-офисных" (непосредственно взаимодействующими с клиентами банка) приложений, нередко гетерогенных, различных по архитектуре, платформе и другим основным характеристикам. А управление этими системами осложняется территориальной распределенностью компаний, наличием многочисленных филиалов и офисов. При этом информационная система современного банка является основой функционирования почти всех важнейших бизнес-процессов. Наконец, банк хранит конфиденциальную информацию своих клиентов.

К защите корпоративной информационной системы современного банка предъявляются жесткие требования, основными из которых являются комплексность, интегрируемость, адекватность финансовым затратам, легитимность, управляемость, масштабируемость и отказоустойчивость.

Цели исследования – анализ существующих в нашей стране систем интернет-банкинга и выработка методики по их приведению к максимально возможному и оправданному с экономической точки зрения уровню информационной безопасности.

Исходя из этого, можно выделить следующие задачи работы:

1. Исследование предметной области, в том числе стандартов безопасности, нормативно-правовых актов в области интернет-банкинга, а также процесса их исторического развития в нашей стране.

2. Определение необходимого уровня безопасности системы комплексной защиты информации по направлениям: организационное, правовое и программное (базируясь на стандартах, рассмотренных в разделе исследования предметной области).

3. Формулирование методики оценки информационной безопасности в области интернет-банкинга.

4. Анализ текущего состояния информационной безопасности в существующих решениях, обозначение основных уязвимых мест.

5. Определение факторов, определяющих наличие уязвимых мест в системах интернет-банкинга в нашей стране.

6. Формулирование методики по достижению требуемого уровня информационной безопасности.

В результате исследования будет сформирована методика приведения существующих решений к необходимому уровню безопасности, позволяющая работникам банков (в частности, руководителям подразделений безопасности) грамотно расставлять акценты при инвестировании средств в собственную защиту и управлению ею.

Исходя из целей и задач, представляется оптимальной следующая структура дипломной работы: введение, три главы, заключение, список используемых источников и литературы и приложения.

Первая глава посвящена исследованию предметной области. Она включает в себя обзор истории развития интернет-банкинга, описывает основание для функционирования интернет-банкинга и защиты информации в нем. В ней приведен обзор основных нормативно-правовых актов и стандартов в данной сфере банковской деятельности.

Во второй главе формулируются требования к организации системы защиты информации по трем направлениям: организационное, юридическое и программное.

Сразу обозначим, что в вышеуказанные требования не включен вопрос технической защиты информации. Этот факт объясняется тем, что функционирование интернет-банкинга полностью опирается на систему автоматизированного банковского обслуживания (АБС), которая использует уже защищенные вычислительные ресурсы и внутренние связи в системе АБС. Поэтому вопрос технической (аппаратной) защиты вынесен за рамки данного исследования.

Область организационного обеспечения защиты информации включает в себя требования по пакету организационно-распорядительной документации, регламентирующей функционирование всех элементов, взаимодействующих в системе банк-клиент: сам клиент, связь банк-клиент, подразделения банка, связанные с функционированием интернет-банкинга и защитой информации. Здесь описаны необходимые правила, регламенты выполнения действий банком и клиентом, различные инструкции, связанные с защитой информации.

В требованиях к юридическому обеспечению определяется необходимость четкого регулирования области интернет-банкинга как со стороны государства, так и со стороны банка. Это создание нормативно-правовых актов, заключение договоров между банком и клиентом, наличие правил, регламентирующих процедуру разрешения спорных ситуаций, возникающих между клиентом и банком по поводу подлинности и авторства электронных документов, относящихся к клиенту.

Отдельное внимание акцентируется на необходимости проведения анализа собственных рисков в области защиты информации и использования механизма их страхования банком.

В разделе программных требований сформулированы требования безопасности к программному обеспечению, автоматизирующему банковские технологии и связанному с совершением банковских операций посредством технологии интернет-банкинга. Рекомендации разработаны на основе СТО БР ИББС-1.0-2006, в них включены все основные требования данного стандарта, применимые к указанному программному обеспечению. Кроме того, они расширены с учетом специфики области интернет-банкинга и требований, изложенных в действующих в Сбербанке России нормативных документах для обеспечения информационной безопасности.

Речь идет о следующих механизмах безопасности прикладного уровня:

• администрирование;

• управление доступом;

• идентификация и аутентификация;

• защита от НСД;

• контроль целостности;

• криптографическая защита;

• аудит.

В работе приводятся рекомендации по обеспечению защиты информации при создании систем интернет-банкинга и механизмы защиты от типичных атак.

Далее формируется методика оценки существующих решений в области интернет-банкинга в нашей стране, которая определяет их соответствие вышеуказанным требованиям.

В третьей главе производится анализ существующих на российском рынке решений в области интернет-банкинга, определяются актуальные для них угрозы и меры по противодействию им. В главе анализируются факторы, определяющие актуальность данных угроз и формируется методика по последовательному приведению существующих решений к выбранному уровню безопасности.

При выполнении работы использован ряд нормативных источников, в частности: Конституция РФ, федеральные законы «Об информации, информационных технологиях и защите информации», «О связи», «Об электронной цифровой подписи». Анализируются международные и российские стандарты в области защиты информации и банковской деятельности, такие, как стандарт ISO 15408 «Common Criteria», BS ISO/IEC 27001:2005 – “Information technology – Security Techniques – Information Security Management System – Requirements”, стандарт Банка России СТО БР ИББС-1.0-2006 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» и другие.

Используются публикации в периодических изданиях, посвященных банковскому сектору, таких, как информационно-аналитическое издание компании «R-Style SOFTLAB» «RS-CLUB», журнал ассоциации российских банков «Банки и Технологии», публикации в сети интернет и так далее.

В заключении отображены основные итоги проведённого исследования программных, правовых и организационных аспектов защиты информации в отечественных решениях интернет-банкинга, обобщены основные причины наличия уязвимостей в таких решениях, приведены основные положения методики по достижению требуемого уровня информационной безопасности.

Полный список использованных при написании дипломной работы нормативных источников и литературы приведён в конце работы.

В приложениях к работе содержится перечень необходимого организационно-юридического обеспечения, выдержка из «Положения о порядке разрешения конфликтов между участниками системы интернет-банкинга» и приложения к методике оценки информационной безопасности.

1. Источники

1.1. Опубликованные

Конституция Российской Федерации. – М:Ифра-М, 2007г.

Федеральный закон «Об информации, информационных технологиях и о защите информации». – М: ОМЕГА-Л, 2006г.

Федеральный закон «О связи». – М: Ось-89, 2006г.

Федеральный закон «Об электронной цифровой подписи». - М:Ифра-М, 2006г

Стандарт Банка России СТО БР ИББС-1.0-2006. «Обеспечение информационной безопасности организаций банковской системы Российской Федерации». – б.м.: Центр нормативно-технической документации, б.г.

ГОСТ 34.601-90. Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания. // www.s3r.ru

ГОСТ Р ИСО 9001-2001. Система менеджмента качества. Требования. // www.s3r.ru

ГОСТ Р ИСО/МЭК 15408-1-3-2002. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. // www.s3r.ru

ГОСТ Р 51624-2000. Автоматизированные системы в защищенном исполнении.

ГОСТ Р 51275-99. Объект информатизации. факторы, воздействующие на информацию. Общие положения // www.s3r.ru

ГОСТ Р 50922-96. Защита информации. Основные термины и определения. Основные термины и определения. // www.s3r.ru

Рекомендации ВАС России "Об отдельных рекомендациях, принятых на совещаниях по судебно-арбитражной практике" от 07.06.95 №С1-7/03-31б и от 19.08.94 №С1-7/ОП-587

1.2. Неопубликованные

«Инструкция по применению электронной цифровой подписи в системах автоматизированного электронного документооборота» №995-р от 24.09.2002 // Сбербанк России

«Порядок организации доступа пользователей к информационным ресурсам в центральном аппарате и отделениях Сбербанка России г.Москвы» №810-р от 21.09.2001 с изменениями на 21.04.2004 // Сбербанк России

«Положение об администраторе автоматизированной системы (Редакция 3)» №387-3-р от 08.11.2001 // Сбербанк России

2. Литература

Аглицкий Д. «Российский ландшафт Интернет-банкинга” // Intelegent Enterprise, 4 марта 2003 г. (http://www.iemag.ru/?ID=473501)

Ащин Е. «Правовое регулирование электронного бизнеса» // Закон и право № 10, 2002 (http://www.i2r.ru/static/351/out_17066.shtml)

Голов А. «Обеспечение информационной безопасности современного банка» // CIO, №6, июнь 2006. (http://www.topsbi.ru/default.asp?artID=943)

Волчинская Е. Закон «об ЭЦП»: будет ли востребован пользователями? // Банковское дело в Москве, N7(79) 2001

Костинский А. «Закон 'Об электронной цифровой подписи'» // Stolica.ru, 25 декабря 2001 г.

Крячков А. «В отношении к вопросам информационной безопасности мы выходим на фазу «возрождения» // Cnews.ru, 2006 г. (http://www.cnews.ru/reviews/free/security2006/int/aladdin1/)

Курило А. «Безопасность информации – надежность банка » // М: Банковское дело в Москве, №3, 2006г.

Рамзаев М. «Рейтинг качества услуг интернет-банкинга» // CNews Analytics, 2003. (http://www.cnews.ru/reviews/free/finance2003/part2/rating.shtml)

Соловяненко Н. «Проблемы и направления правового регулирования Интернет-трейдинга». Рынок ценных бумаг. - 2000. - N 23 (182). - С. 48

Трофименко М. «Интернет-банкинг развивается полулегально» // Интернет Финансы, 2007. (http://www.i2r.ru/static/218/out_19095.shtml)

«Рейтинг качества услуг интернет-банкинга» // CNews, 2004г. (http://rating.rbc.ru/article.shtml?2004/05/17/566243)

«Российские банки столкнулись с российскими киберсквоттерами» // cybersecurity.ru, 2007г. (http://www.cybersecurity.ru/crypto/23967.html)

3. Источники на иностранных языках

“Common Criteria v2.1”, Published as ISO 15408 // iso15408.net, 1999

ISO/IEC 27001:2005 - Information technology -- Security techniques -- Information security management systems – Requirements // International Organization for Standardization, 2005

4. Прочие источники

Интернет-форум ресурса bankir.ru, секция «Электронный Банкинг»

Примечаний нет.