- •Введение
- •Раздел 1. Характеристика угроз безопасности банка
- •Тема 1.1.Основы банковской безопасности Назначение темы:
- •Цель темы: После изучения темы студент должен знать:
- •Ключевые слова и термины:
- •Содержание темы:
- •1.1.2. Опасности и угрозы
- •1.1.3.Внешние и внутренние угрозы безопасности банка
- •1.1.4.Правовые и организационные основы безопасности
- •Контрольные вопросы по теме:
- •Тесты для оценки знаний.
- •Тема 1.2. Наиболее характерные преступления, совершаемые в банковской сфере.
- •1.2.2.Мошенничество.
- •Концептуальная модель мошенничества
- •Приемы и способы совершения мошеннических действий посторонним субъектом
- •1.2.3.Лжепредпринимательство.
- •1.2.4.Злоупотребление депозитным капиталом.
- •Наиболее часто встречающимися преступными операциями являются:
- •Другие преступления, совершаемые в банковской сфере.
- •1.2.5.Злоумышленники
- •1.2.6.Недобросовестная конкуренция
- •Контрольные вопросы по теме:
- •Тесты для оценки знаний.
- •Раздел 2. Защита конфиденциальной банковской информации
- •Тема 2.1. Правовые основы защиты конфиденциальности банковской информации.
- •2.1.1. Внешние и внутренние правовые и законодательные акты обеспечения безопасности банка
- •2.1.1. Внешние и внутренние правовые и законодательные акты обеспечения безопасности банка
- •Внешние правовые и законодательные акты обеспечения безопасности банка
- •Внутренние организационно-правовые документы по безопасности
- •Контрольные вопросы по теме:
- •Тесты для оценки знаний.
- •Тема 2.2. Понятие и состав конфиденциальной банковской информации.
- •2.2.1 Конфиденциальная информация.
- •2.2.1. Конфиденциальная информация
- •Конфиденциальная информация
- •Контрольные вопросы по теме:
- •Тесты для оценки знаний.
- •Тема 2.3. Порядок организации защиты конфиденциальной банковской информации.
- •2.3.2. Защита от физического доступа
- •2.3.3. Защита резервных копий
- •Недостатки
- •2.3.4. Защита от инсайдеров
- •Контрольные вопросы по теме:
- •Тесты для оценки знаний.
- •Раздел 3. Защита банковской информации в автоматизированных системах обработки
- •Тема 3.1. Классификация угроз утечки информации при автоматизированной обработке.
- •3.1.1. Угрозы утечки информации
- •3.1.1. Угрозы утечки информации
- •Контрольные вопросы по теме:
- •Тесты для оценки знаний.
- •Тема 3.2. Виды и источники утечки банковской информации по техническим каналам.
- •3.2.1. Основы теории информации. Коммуникационный процесс
- •3.2.2. Источники конфиденциальной информации и каналы ее утечки
- •3.2.1. Основы теории информации. Коммуникационный процесс.
- •3.2.2. Источники конфиденциальной информации и каналы ее утечки
- •Действия,
- •Контрольные вопросы по теме:
- •Тесты для оценки знаний.
- •Тема 3.3. Общие методы защиты информации в компьютерных системах.
- •3.3.2. Информация как объект защиты
- •3.3.3. Организация защиты информации
- •3.3.4.Средства защиты информации
- •Контрольные вопросы по теме:
- •Тесты для оценки знаний.
- •Раздел 4. Защита банковской информации и обеспечение банковской тайны Тема
- •4.1. Организация, система банковской безопасности, структура и функции службы безопасности банка.
- •4.1.2.Общие функции службы безопасности
- •4.1.3.Состав службы безопасности
- •Контрольные вопросы по теме:
- •Тесты для оценки знаний.
- •Тема 4.2. Координация и взаимодействие подразделения безопасности банка с правоохранительными органами
- •4.2.2.Нештатные структуры службы безопасности
- •4.2.3.Автоматизация деятельности службы безопасности
- •Контрольные вопросы по теме:
- •Тесты для оценки знаний.
- •Тема 4.3. Обеспечение безопасности банка при возникновении кризисных ситуаций
- •4.3.2.Взаимодействие служб безопасности банков между собой
- •4.3.3.Централизованная служба банковской безопасности
- •Контрольные вопросы по теме:
- •Тесты для оценки знаний.
- •Раздел 5. Инженерно-технические средства защиты банков
- •Тема 5.1 Организационное обеспечение банковской безопасности
- •5.1.2. Положение о системе банковской безопасности
- •5.1.3. Положение о Совете безопасности банка
- •Задачи совета
- •Контрольные вопросы по теме:
- •Тесты для оценки знаний.
- •Тема 5.2. Инженерно-технические средства охраны, средства самозащиты, специальный транспорт. Организации внутрибанковского пропускного режима в здании и его техническая укрепленность.
- •5.2.1.Инженерно-техническое обеспечение банковской безопасности
- •5.2.2.Обеспечение качества работ в системе безопасности
- •5.2.1. Инженерно-техническое обеспечение банковской безопасности
- •5.2.2. Обеспечение качества работ в системе безопасности
- •Контрольные вопросы по теме:
- •Тесты для оценки знаний.
2.3.2. Защита от физического доступа
Банки традиционно уделяют очень большое внимание физической безопасности операционных отделений, отделений хранения ценностей и т.п. Все это снижает риск несанкционированного доступа к коммерческой информации путем физического доступа. Однако офисы банков и технические помещения, в которых размещаются серверы, по степени защиты обычно не отличаются от офисов других компаний. Поэтому для минимизации описанных рисков необходимо использовать систему криптографической защиты.
Сегодня на рынке имеется большое количество утилит, осуществляющих шифрование данных. Однако особенности их обработки в банках предъявляют к соответствующему ПО дополнительные требования.
Во-первых, в системе криптографической защиты должен быть реализован принцип прозрачного шифрования. При его использовании данные в основном хранилище всегда находятся только в закодированном виде. Кроме того, эта технология позволяет минимизировать затраты на регулярную работу с данными. Их не нужно каждый день расшифровывать и зашифровывать. Доступ к информации осуществляется с помощью специального ПО, установленного на сервере. Оно автоматически расшифровывает информацию при обращении к ней и зашифровывает перед записью на жесткий диск. Эти операции осуществляются прямо в оперативной памяти сервера.
Во-вторых, банковские базы данных очень объемны. Таким образом, криптографическая система защиты информации должна работать не с виртуальными, а с реальными разделами винчестеров, RAID-массивами и прочими серверными носителями информации, например, с хранилищами SAN. Дело в том, что файлы-контейнеры, которые могут подключаться к системе в качестве виртуальных дисков, не предназначены для работы с большими объемами данных. В том случае, когда виртуальный диск, созданный из такого файла, имеет большой размер, при обращении к нему одновременно даже нескольких человек можно наблюдать значительное уменьшение скорости чтения и записи информации. Работа же нескольких десятков человек с файлом-контейнером большого объема может превратиться в сущее мучение. Кроме того, нужно учитывать, что эти объекты подвержены риску повреждения из-за вирусов, сбоев файловой системы и т.д. Ведь, по сути, они представляют собой обычные файлы, но довольно большого размера. И даже небольшое их изменение может привести к невозможности декодирования всей содержащейся в нем информации. Оба этих обязательных требования существенно сужают круг подходящих для реализации защиты продуктов. Фактически сегодня на российском рынке имеется лишь несколько таких систем.
Подробно рассматривать технические особенности серверных систем криптографической защиты информации нет необходимости. Но стоит отметить некоторые особенности таких систем, наличие которых желательно для банков. Первая связана с уже упомянутой сертификацией используемого криптографического модуля. Соответствующее программное или аппаратное обеспечение уже есть в большинстве банков. Поэтому система серверной защиты информации должна предусматривать возможность их подключения и использования. Вторым особым требованием к системе защиты информации является возможность интеграции в систему физической безопасности офиса или серверной комнаты. Это позволяет защитить информацию от несанкционированного доступа, связанного с кражей, взломом и т.п.
Особое внимание в банках должно уделяться сохранности информации, поскольку она фактически является деньгами клиентов. Поэтому в системе защиты должны быть предусмотрены специальные возможности, минимизирующие риск ее утери. Одной из самых заметных является функция определения испорченных секторов на жестком диске. Кроме того, большую важность имеет возможность приостановки и отмены процессов первоначального зашифровывания диска, его расшифровывания и перешифровывания. Это довольно длительные процедуры, любой сбой, во время которых грозит полной потерей всех данных.
Очень большое влияние на риски, связанные с несанкционированным доступом к конфиденциальной информации, имеет человеческий фактор. Поэтому желательно, чтобы система защиты предусматривала возможность уменьшения такой взаимосвязи. Достигается это путем использования надежных средств хранения ключей шифрования — смарт-карт или USB-ключей. Оптимальным является вхождение этих токенов в состав продукта, оно позволяет не только оптимизировать затраты, но и обеспечивает полную совместимость программного и аппаратного обеспечения.
Другой важной функцией, позволяющей минимизировать влияние человеческого фактора на надежность системы защиты, является кворум ключей. Суть его заключается в разделении ключа шифрования на несколько частей, каждая из которых отдается в пользование одному ответственному сотруднику. Для подключения закрытого диска требуется наличие заданного количества частей. Причем оно может быть меньше общего числа частей ключа. Такой подход позволяет обезопасить данные от нецелевого использования ответственными сотрудниками, а также обеспечивает необходимую для работы банка гибкость.