Интернет как глобальная сеть оказывает огромное влияние на все сферы деятельности человечества, включая экономику и бизнес. Одним из важных аспектов использования интернета является дальнейшее развитие тенденции к глобальной мобильности и ликвидности капитала для всех категорий клиентов. На практике эта тенденция выразилась в появлении интернет-банкинга.
Интернет-банкинг – это система, которая позволяет клиентам банка дистанционно осуществлять все виды платежных операций по своему счету, а также оперативно получать информацию, необходимую для взаимодействия с банком. Работать с системой можно из любой точки мира — достаточно иметь лишь доступ в Интернет.
Общение с банком происходит через его сайт в интерактивном режиме. В сущности, обязанности операциониста перекладываются теперь на плечи клиента, однако задача упрощается тем, что количество доступных ему операций значительно меньше.
Услуга интернет-банкинга обычно подразумевает проверку состояния счета, перевод средств с одного счета на другой, оплату разнообразных товаров и услуг, а также предоставление клиенту информационной поддержки и многочисленных сопутствующих услуг. По статистике более 80% всех банковских операций клиент может совершать с использованием систем интернет-банкинга.
Типичный интернет-банкинг позволяет:
• переводить средства с одного своего счета на другой счет;
• осуществлять безналичные внутри- и межбанковские платежи;
• покупать и продавать безналичную валюту;
• открывать и закрывать депозиты;
• устанавливать график расчетов и оплачивать различные товары и услуги;
• отслеживать все банковские операции по своим счетам.
По итогам 2005 года более 350 банков в Российской Федерации предлагают услуги интернет-банкинга (то есть около 30% от общего количества банков РФ). Рост интернет-банкинга с конца 2003 года по конец 2005 года составил более 130%.
Почему вопрос безопасности информации для банка является особенно важным?
Во-первых, банк с точки зрения информационной безопасности — компания повышенного риска. Банк оперирует деньгами. При этом автоматизированная банковская система, как неотъемлемая составляющая корпоративной информационной системы банка, поддерживает процессы проведения выплат, предоставления кредитов, перевода средств и так далее. Поэтому очевидно, что незаконное манипулирование такой информацией может привести к серьезным убыткам.
Во-вторых, современный банк предоставляет большое число сервисов, связанных с удаленным доступом к информационной системе банка. Помимо персонального интернет-банкинга, это и система интернет-доступа к финансовым рынкам, и система электронного документооборота, и многое другое. С этих позиций банк — "точка пересечения" публичных сетей (Интернет) и коммерческих финансовых сетей (Western Union, VisaNet, SWIFT и других).
В-третьих, на сегодняшний день банки обладают сложными информационными системами, которые включают большой набор "бек-офисных" (для внутреннего пользования) и "фронт-офисных" (непосредственно взаимодействующими с клиентами банка) приложений, нередко гетерогенных, различных по архитектуре, платформе и другим основным характеристикам. А управление этими системами осложняется территориальной распределенностью компаний, наличием многочисленных филиалов и офисов. При этом информационная система современного банка является основой функционирования почти всех важнейших бизнес-процессов. Наконец, банк хранит конфиденциальную информацию своих клиентов.
К защите корпоративной информационной системы современного банка предъявляются жесткие требования, основными из которых являются комплексность, интегрируемость, адекватность финансовым затратам, легитимность, управляемость, масштабируемость и отказоустойчивость.
Цели исследования – анализ существующих в нашей стране систем интернет-банкинга и выработка методики по их приведению к максимально возможному и оправданному с экономической точки зрения уровню информационной безопасности.
Исходя из этого, можно выделить следующие задачи работы:
1. Исследование предметной области, в том числе стандартов безопасности, нормативно-правовых актов в области интернет-банкинга, а также процесса их исторического развития в нашей стране.
2. Определение необходимого уровня безопасности системы комплексной защиты информации по направлениям: организационное, правовое и программное (базируясь на стандартах, рассмотренных в разделе исследования предметной области).
3. Формулирование методики оценки информационной безопасности в области интернет-банкинга.
4. Анализ текущего состояния информационной безопасности в существующих решениях, обозначение основных уязвимых мест.
5. Определение факторов, определяющих наличие уязвимых мест в системах интернет-банкинга в нашей стране.
6. Формулирование методики по достижению требуемого уровня информационной безопасности.
В результате исследования будет сформирована методика приведения существующих решений к необходимому уровню безопасности, позволяющая работникам банков (в частности, руководителям подразделений безопасности) грамотно расставлять акценты при инвестировании средств в собственную защиту и управлению ею.
Исходя из целей и задач, представляется оптимальной следующая структура дипломной работы: введение, три главы, заключение, список используемых источников и литературы и приложения.
Первая глава посвящена исследованию предметной области. Она включает в себя обзор истории развития интернет-банкинга, описывает основание для функционирования интернет-банкинга и защиты информации в нем. В ней приведен обзор основных нормативно-правовых актов и стандартов в данной сфере банковской деятельности.
Во второй главе формулируются требования к организации системы защиты информации по трем направлениям: организационное, юридическое и программное.
Сразу обозначим, что в вышеуказанные требования не включен вопрос технической защиты информации. Этот факт объясняется тем, что функционирование интернет-банкинга полностью опирается на систему автоматизированного банковского обслуживания (АБС), которая использует уже защищенные вычислительные ресурсы и внутренние связи в системе АБС. Поэтому вопрос технической (аппаратной) защиты вынесен за рамки данного исследования.
Область организационного обеспечения защиты информации включает в себя требования по пакету организационно-распорядительной документации, регламентирующей функционирование всех элементов, взаимодействующих в системе банк-клиент: сам клиент, связь банк-клиент, подразделения банка, связанные с функционированием интернет-банкинга и защитой информации. Здесь описаны необходимые правила, регламенты выполнения действий банком и клиентом, различные инструкции, связанные с защитой информации.
В требованиях к юридическому обеспечению определяется необходимость четкого регулирования области интернет-банкинга как со стороны государства, так и со стороны банка. Это создание нормативно-правовых актов, заключение договоров между банком и клиентом, наличие правил, регламентирующих процедуру разрешения спорных ситуаций, возникающих между клиентом и банком по поводу подлинности и авторства электронных документов, относящихся к клиенту.
Отдельное внимание акцентируется на необходимости проведения анализа собственных рисков в области защиты информации и использования механизма их страхования банком.
В разделе программных требований сформулированы требования безопасности к программному обеспечению, автоматизирующему банковские технологии и связанному с совершением банковских операций посредством технологии интернет-банкинга. Рекомендации разработаны на основе СТО БР ИББС-1.0-2006, в них включены все основные требования данного стандарта, применимые к указанному программному обеспечению. Кроме того, они расширены с учетом специфики области интернет-банкинга и требований, изложенных в действующих в Сбербанке России нормативных документах для обеспечения информационной безопасности.
Речь идет о следующих механизмах безопасности прикладного уровня:
• администрирование;
• управление доступом;
• идентификация и аутентификация;
• защита от НСД;
• контроль целостности;
• криптографическая защита;
• аудит.
В работе приводятся рекомендации по обеспечению защиты информации при создании систем интернет-банкинга и механизмы защиты от типичных атак.
Далее формируется методика оценки существующих решений в области интернет-банкинга в нашей стране, которая определяет их соответствие вышеуказанным требованиям.
В третьей главе производится анализ существующих на российском рынке решений в области интернет-банкинга, определяются актуальные для них угрозы и меры по противодействию им. В главе анализируются факторы, определяющие актуальность данных угроз и формируется методика по последовательному приведению существующих решений к выбранному уровню безопасности.
При выполнении работы использован ряд нормативных источников, в частности: Конституция РФ, федеральные законы «Об информации, информационных технологиях и защите информации», «О связи», «Об электронной цифровой подписи». Анализируются международные и российские стандарты в области защиты информации и банковской деятельности, такие, как стандарт ISO 15408 «Common Criteria», BS ISO/IEC 27001:2005 – “Information technology – Security Techniques – Information Security Management System – Requirements”, стандарт Банка России СТО БР ИББС-1.0-2006 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» и другие.
Используются публикации в периодических изданиях, посвященных банковскому сектору, таких, как информационно-аналитическое издание компании «R-Style SOFTLAB» «RS-CLUB», журнал ассоциации российских банков «Банки и Технологии», публикации в сети интернет и так далее.
В заключении отображены основные итоги проведённого исследования программных, правовых и организационных аспектов защиты информации в отечественных решениях интернет-банкинга, обобщены основные причины наличия уязвимостей в таких решениях, приведены основные положения методики по достижению требуемого уровня информационной безопасности.
Полный список использованных при написании дипломной работы нормативных источников и литературы приведён в конце работы.
В приложениях к работе содержится перечень необходимого организационно-юридического обеспечения, выдержка из «Положения о порядке разрешения конфликтов между участниками системы интернет-банкинга» и приложения к методике оценки информационной безопасности.
|