К.т.н. Мелешко О.О. , студент 4к. Погорілий Ю.В.

Національний авіаційний університет, Україна

Загальні принципи та особливості

інформаційної безпеки банків

XXI століття характеризується широким застосуванням обчислювальної техніки і засобів обміну інформацією. Особливо уразливими сьогодні залишаються незахищені системи зв'язку, в тому числі обчислювальні мережі. Інформація, циркулююча в них, може бути незаконно змінена, викрадена або знищена. Комерційним і фінансовим установам доводиться реалізовувати широкий набір заходів, щоб захистити себе від таких злочинів. Наслідки недооцінки питань безпеки можуть виявитися вельми сумними.

Актуальність даної проблеми пов'язана із зростанням можливостей обчислювальної техніки. Розвиток засобів, методів і форм автоматизації процесів обробки інформації і масове застосування персональних комп'ютерів роблять інформацію більш уразливої. Основними чинниками, що сприяють підвищенню уразливості автоматизованих систем є:

·           збільшення обсягів інформації, що накопичується, зберігається та обробляється за допомогою комп'ютерів;

·           зосередження в базах даних інформації різного призначення і різної приналежності;

·           розширення кола користувачів, що мають безпосередній доступ до ресурсів обчислювальної системи та масивів даних;

·           ускладнення режимів роботи технічних засобів обчислювальних систем;

·           обмін інформацією в локальних та глобальних мережах, в тому числі на великих відстанях.

Інформаційна безпека банку повинна враховувати наступні специфічні фактори: 
1. В банківських системах зберігається та обробляється інформація про реальні гроші. 
2. Інформація в банківських системах зачіпає інтереси великої кількості людей і організацій - клієнтів банку.

3. Конкурентоспроможність банку залежить від того, наскільки клієнту зручно працювати з банком, а також наскільки широкий спектр послуг, що їм надається.
4. Інформаційна безпека банку повинна забезпечувати високу надійність роботи комп'ютерних систем. 
5. Банк зберігає важливу інформацію про своїх клієнтів.

Все це розширює коло потенційних зловмисників, зацікавлених у крадіжці або псування такої інформації. Навмисні загрози можуть реалізовуватися учасниками процесу обробки інформації (внутрішні) та «хакерами» (зовнішні).

 За частотою вияву навмисні загрози можна розташувати в такому порядку:

·             копіювання і крадіжка програмного забезпечення;

·             несанкціоноване введення даних;

·             зміна або знищення даних на магнітних носіях;

·             саботаж;

·             крадіжка інформації;

·             несанкціоноване використання ресурсів комп'ютерів;

·             несанкціоноване використання банківських автоматизованих систем;

·             несанкціонований доступ до інформації високого рівня секретності.

Специфіка захисту автоматизованих систем обробки інформації банків (АСОІБ) обумовлена особливостями розв'язуваних ними завдань: 
* Як правило АСОІБ обробляють великий потік інформації в реальному часі, які можуть бути оброблені тільки високопродуктивної системою; 
* У АСОІБ зберігається і обробляється конфіденційна інформація, не призначена для широкої публіки.

* Іншою особливістю АСОІБ є підвищені вимоги до надійності апаратного та програмного забезпечення. 
У загальній системі забезпечення безпеки банку захист інформації грає істотну роль, серед яких виділяють наступні засоби захисту:

·             фізичний;

·             законодавчій;

·             організаційний;

·             програмно-технічний.

Фізичні засоби захисту засновані на створенні фізичних перешкод для зловмисника, які перегороджують йому шлях до інформації (сувора система пропуску на територію і в приміщення з апаратурою або з носіями інформації). Ці засоби дають захист тільки від "зовнішніх" зловмисників і не захищають інформацію від тих осіб, які володіють правом входу в приміщення. До законодавчих засобів захисту відносяться законодавчі акти, які регламентують правила використання й обробки інформації обмеженого доступу і встановлюють кримінальну відповідальність за порушення цих правил. 
Під організаційним розуміється захист інформації шляхом регулювання доступу до всіх ресурсів системи (технічним засобам, системам телекомунікацій та зв`язку, програмним елементам тощо). У автоматизованих системах інформаційного забезпечення повинні бути регламентовані порядок роботи користувачів і персоналу, право доступу до інформації, окремим файлам та базам даних. 
З програмно-технічних засобів особливо в комп'ютерних мережах найбільш ефективні криптографічні засоби захисту інформації. Коли фізичні засоби захисту можуть бути подолані шляхом, наприклад, дистанційного нагляду, підключення до мережі або підкупу персоналу, а організаційні не гарантують від проникнення зловмисників, то програмно-технічні, і насамперед, криптографічні методи, якщо вони задовольняють відповідним вимогам, характеризуються найбільшою мірою "міцності". 

Можна виділити два типи завдань, що вирішуються АСОІБ: 
1. Аналітичні. До цього типу відносяться завдання планування, аналізу рахунків і т.д. Вони не є оперативними і можуть вимагати для вирішення тривалого часу, а їх результати можуть вплинути на політику банку щодо конкретного клієнта або проекту. Тому підсистема, за допомогою якої вирішуються аналітичні завдання, повинна бути надійно ізольована від основної системи обробки інформації. Для вирішення такого роду завдань звичайно не потрібно потужних обчислювальних ресурсів, зазвичай досить 10-20% потужності всієї системи. Однак з огляду на можливу цінності результатів їх захист повинен бути постійною. 
2. Повсякденні. До цього типу відносяться завдання, які вирішуються в повсякденній діяльності, в першу чергу виконання платежів і коригування рахунків. Саме вони і визначають розмір та потужність основної системи банку; для їх вирішення звичайно потрібно набагато більше ресурсів, ніж для аналітичних завдань

З усього вище зазначеного можна зробити наступні висновки про особливості захисту інформації в  фінансових системах: 
* Головне в захисту фінансових організацій - оперативне і по можливості повне відновлення інформації після аварій і збоїв. В основному, захист інформації від руйнування досягається створенням резервних копій та їх зовнішнім зберіганням, використанням безперебійного електроживлення та організацією «гарячого» резерву апаратних засобів. 
* Наступна за важливістю для фінансових організацій проблема - це управління доступом користувачів до збереженої й оброблюваної інформації. Тут широко використовуються різні програмні системи управління доступом. В основному використовуються придбані програмні засоби управління доступом. Причому у фінансових організаціях особливу увагу приділяють такому управлінню користувачів саме в мережі. 
* До відмінностей організації захисту мереж ЕОМ у фінансових організаціях можна віднести широке використання стандартного (тобто адаптованого, але не спеціально розробленого для конкретної організації) комерційного програмного забезпечення для управління доступом до мережі , захист точок підключення до системи через комутовані лінії зв'язку . Швидше за все це пов'язано з більшою поширеністю засобів телекомунікацій у фінансових сферах і бажання захиститися від втручання ззовні. 
* Велика увага у фінансових організаціях приділяється фізичному захисту приміщень, в яких розташовані комп'ютери. Це означає, що захист ЕОМ від доступу сторонніх осіб вирішується не тільки за допомогою програмних засобів, а й організаційно-технічних. 
* Шифрування локальної інформації застосовують в фінансових організаціях небагато. Причинами цього  є складність розповсюдження ключів, жорсткі вимоги до швидкодії системи, а також необхідність оперативного відновлення інформації при збої та відмови обладнання. 
* Значно меншу увагу у фінансових організаціях приділяється захисту телефонних ліній зв'язку.

В наш час існує тенденція виділення співробітників, які відповідають за комп'ютерну безпеку, в спеціальний підрозділ.  У плані захисту особлива увага приділяється захисту комп'ютерних мереж (90%), великих ЕОМ (82%), відновлення інформації після аварій і катастроф (73%), захисту від комп'ютерних вірусів (72%), захисту персональних ЕОМ (69%). 

Все вище зазначене дозволяє зробити важливий висновок, що захист фінансових організацій (в тому числі і банків) будується трохи інакше, ніж звичайних комерційних і державних організацій. Отже для захисту АСОІБ не можна застосовувати ті ж самі технічні і організаційні рішення, які були розроблені для стандартних ситуацій. Не можна бездумно копіювати чужі системи - вони розроблялися для інших умов. Комплексний захист інформації в банківських автоматизованих системах має в своїй основі використання фізичних, законодавчих, організаційних, та програмно-технічних засобів захисту.

Література

1.     Зубок М. І. Безпека банківської діяльності: Навчальний посібник. — К.: КНЕУ, 2002.        

2.     Г.М. Голуб Банківське право: Программа для студ. : Видавництво Львівської комерційної академії, 2002.

3.     Барановський О.І. Фінансова безпека: монографія. Інститут економічного прогнозування. – К.: Фенікс*