- •Мошенничество в банковской сфере с применением высоких технологий
- •2012 – Год таргетированных атак 26
- •Обозначения и сокращения
- •Введение
- •Отраслевые стандарты
- •Стандарт Банка России сто бр иббс-1.0-2008
- •Кодекс корпоративного поведения фсфр
- •Кодексу корпоративного поведения фсфр соответствуют лицензии выданные оао ,,Россельхозбанк” Федеральной службой по финансовым рынкам:
- •Россельхозбанк подтвердил соответствие своего процессинга требованиям стандарта pci dss
- •1.2 Программно-аппаратного обеспечения и его соответствиеотраслевым стандартам
- •Гостр мэк61508-3-2007. Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью.
- •1.3Виды угроз для банков
- •Инсайдеры
- •Дистанционноебанковскоеобслуживание
- •Банковские трояны
- •Кардинг, скимминг
- •2Угрозы информационной безопасности для банков
- •Причины актуальности угрозы
- •Цель проникновения
- •Методы перехвата информации
- •Методы маскировки от средств контроля и наблюдения
- •Атака на сотовые телефоны и смартфоны
- •Дистанционное банковское обслуживание: проблемы функционирования в российской банковской практике
- •Банковские трояны: продолжение следует
- •Android: любимая игрушка хакеров
- •JuniperResearch: мобильный банкинг набирает обороты
- •2012 – Год таргетированных атак
- •Руководство по защите от внутренних угроз информационной безопасности
- •Суть проблемы
- •Классификация инсайдеров
- •Подрабатывающие и внедренные инсайдеры
- •Скрытое оружие социальной инженерии
- •Атака администратора системы
- •Уход от ответственности
- •Кардинг
- •Фишинг, трэшинг, скимминг и другие виды кардерства
- •Трэшинг
- •Скимминг
- •Объединенные кардеры
- •3 Современные средства защиты в области защиты информации в банковской сфере Обязательные средства защиты
- •Надежный банкинг с помощью антилоггера
- •Дистанционное Банковское Обслуживание
- •Интернет-банкинг: признаки защищенности:
- •Бдительность – первое правило
- •Учет и анализ существующих рисковв дбо
- •Мероприятия, позволяющие влиять на уровень существующих рисков
- •Организационные мероприятия
- •Технические мероприятия
- •Краткие выводы
- •Инсайдеры Как бороться с инсайдерами
- •Фишинг Борьба с фишингом и фармингом
- •Кардинг
- •Заключение
- •Список использованных источников
Введение
Современные информационные технологии (ИТ) — важнейший источник и средство развития банковского дела. В большинстве банков руководство понимает, какую выгоду может принести использование последних достижений в области ИТ и как они кардинально изменяют бизнес, выводя его на принципиально иной уровень.
Первым и самым важным фактором среди составляющих процесса организации, оснащения, функционирования и развития ИТ являются тесное взаимодействие с бизнесом, связь со стратегией инноваций конкретных банков, удовлетворение требований бизнеса и достижение бизнес-целей.
Так как ИТ являются специфической и стремительно меняющейся областью деятельности, то к ним применяются организационные подходы, соответствующие их специфике. ИТ могут быть не только источником развития банковских технологий, но и средством серьезных ограничений бизнес-инициатив по стоимости, времени, качеству и реализуемости. Оптимизация и постоянное совершенствование ИТ являются ключевым подходом в реализации бизнес-процессов и эффективном достижении бизнес-целей.
Современная банковская система - это сфера многообразных услуг предоставляемых своим клиентам - от традиционных денежно-ссудных и расчетно-кассовых операций, определяющих основу банковского дела, до новейших форм денежно кредитных и финансовых инструментов, используемых банковскими структурами (лизинг, факторинг и т.д.).
В условиях усиливающейся межбанковской конкуренции успех предпринимательской деятельности будет сопутствовать тем банкирам, которые лучше овладеют современными методами управления банковскими процессами, а автоматизированные информационные технологии этому очень помогают.
Прошли времена, когда можно было легко зарабатывать на спекулятивных операциях с валютой и мошенничестве. Сегодня все больше банков делает ставку на профессионализм своих сотрудников и новые информационные, компьютерные технологии.
Трудно представить себе более благодатную почву для внедрения новых компьютерных технологий, чем банковская деятельность. В принципе почти все задачи, которые возникают в ходе работы банка, достаточно легко поддаются автоматизации. Быстрая и бесперебойная обработка значительных потоков информации является одной из основных задач любой крупной финансовой организации[1].
Цель работы - определение степениинформационнойбезопасности и применение мер и рекомендаций по снижению уровня угроз и уязвимостей обнаруженных на предприятии.
Задачи:
описать и проанализировать систему информационной безопасности банка:
обзор нормативных документов, циркулирующих в банке и определение их соответствия отраслевым и международным стандартам;
обзор используемого программно-аппаратного обеспечения и его соответствие отраслевым стандартам
угрозы в банковской сфере
вывод: анализируемсоответствует м. стандартам
убытки (2013, 2012, 2011): - откуда такие убытки????
описать основные угрозы информационной безопасности банка, конкретизировать модель злоумышленника и определить вероятность осуществления атак:
порядок перечисления угроз – например, по величине убытков или вероятности осуществления. Или по величине угрозы.
инсайдеры – желательно с вероятностями, долями или суммами убытков – только перекупелнные сотрудники или вроде того
фишинг
банковские трояны – обычные трояны (обычные + ДБО) + те, которые в банкоматах и терминалах-электронные платежные системы??? + могут жить на мобильнике.
Кардинг, скимминг
ДБО(дистанционное банковское обслуживание) – с учетом видов ДБО
современные средства защиты в области защиты информации в банковской сфере
внедрение мер и рекомендаций по уменьшению или нейтрализации угроз и уязвимостей в системе информационной безопасности, нормативных документах и программно-аппаратного обеспечения
Пошаговая руководство (алгоритм) по различению мошенничества и не мошенничества.
Практическая значимость.
Пошаговая руководство (алгоритм) по различению мошенничества и не мошенничества.
В процессе выполнения данной практики был проведен анализ информационной безопасности банка, изучение нормативных документов и списка использованного программного и программно-аппаратного обеспечения, что позволит определить меры для улучшения эффективности информационной безопасности банка.
ОБЗОР ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ БАНКА
1.1 Нормативные и правовые документы соответствующие отраслевым и международным стандартам
Основные цели стандартизации по обеспечению ИБ организаций БС РФ:
— развитие и укрепление БС РФ;
— повышение доверия к БС РФ;
— поддержание стабильности организаций БС РФ и на этой основе — стабильности БС РФ
в целом;
— достижение адекватности мер защиты реальным угрозам ИБ;
— предотвращение и(или) снижение ущерба от инцидентов ИБ.
Основные задачи стандартизации по обеспечению ИБ организаций БС РФ:
— установление единых требований по обеспечению ИБ организаций БС РФ;
— повышение эффективности мероприятий по обеспечению и поддержанию ИБ организаций БС РФ.[3]
Среди нормативных документов ОАО ,,Россельхозбанк” следующие соответствуютстандарту Банка России СТО БР ИББС-1.0-2008 :
SecretNet 5.0-С. Принципы построения и применения
Инструкция пользователю АС
Инструкция по работе с ключевыми дискетами в организации
Должностная инструкция ведущего специалиста по информационной безопасности службы безопасности Тамбовского РФ ОАО «Россельхозбанк»
План обеспечения непрерывной работы и восстановления работоспособности подсистемы
Политика безопасности при работе в Интернете
Политика информационной безопасности
Регламент централизованного резервного копирования и восстановления информационных ресурсов Тамбовского регионального филиалаОАО «Россельхозбанк»
Система криптографической авторизации электронных документов «Сигнатура» Версия 3.1
Условия дистанционного банковского обслуживания юридических лиц и индивидуальных предпринимателей в ОАО «Россельхозбанк» с использованием системы «Банк-Клиент»/«Интернет-Клиент»
К данному стандарту Банка России СТО БР ИББС-1.0-2008 так же соответствуют прикладное и сетевое программное обеспечение ОАО ,,Россельхозбанк” указанные в Приложение 1 и Приложение 2.