- •Противодействие мошенничеству в банковской сфере с применением высоких технологий
- •Реферат
- •Содержание
- •Обозначения и сокращения
- •Введение
- •1 Обзор информационной безопасности банка
- •1.1 Нормативные и правовые документы соответствующие отраслевым и международным стандартам
- •Отраслевые стандарты
- •1.2 Программно-аппаратное обеспечение и его соответствие отраслевым стандартам
- •1.3 Виды угроз для банков
- •Выводы по главе
- •2 Угрозы информационной безопасности для банков
- •2.1 Банковские трояны
- •Банковские трояны на смартфонах
- •Троян Eurograbber
- •Банковский троян Cridex/Dapato распространяется через WordPress-сайты
- •Троян для Android подслушивает номера кредитных карт
- •Троян oddjob перехватывает банковские сессии
- •Троян iceix и перенаправление телефонных вызовов
- •Троян-вымогатель Reveton обзавёлся звуковыми эффектами
- •2.2 Дистанционное банковское обслуживание: проблемы функционирования в российской банковской практике
- •Системы интернет-трейдинга и брокерского обслуживания под угрозой
- •2.3 Фишинг
- •2.4 Кардинг
- •Кардинг и его виды
- •Скимминг
- •Тепловизоры помогут скиммерам в чтении пин-кодов
- •Шимминг – новый вид мошенничества
- •Найден способ обхода методов авторизации чиповых банковских карт
- •Социальная инженерия при фишинге
- •Объединенные кардеры
- •2.5 Учет и анализ существующих рисков в дистанционном банковском обслуживании
- •Выводы по главе
- •3 Противодействие современным угрозам в банковской сфере
- •3.1 Антискимминг
- •Методы противодействия
- •Активное антискимминговое устройство CardGuard
- •3.2 Защита банкоматов и pos терминалов от троянов
- •3.3 Антифишинг Борьба с фишингом и фармингом
- •3.4 Рекомендации для пользователей
- •Общие рекомендации
- •Рекомендации при совершении операций с банковской картой в банкомате
- •Рекомендации при использовании банковской карты для безналичной оплаты товаров и услуг
- •Рекомендации при совершении операций с банковской картой через сеть Интернет
- •3.5 Юридическая защита держателей банковских карт
- •Проактивная защита в сети интернет для пользователей
- •3.6 Рекомендации для банка Обязательные средства защиты на предприятии
- •Мероприятия, позволяющие влиять на уровень существующих рисков
- •Организационные мероприятия
- •Технические мероприятия
- •Краткие выводы
- •Дистанционное банковское обслуживание
- •3.6 Интернет-банкинг: признаки защищенности
- •Надежный банкинг с помощью антилоггера
- •Выводы по главе
- •Заключение
- •Список использованных источников
- •Приложение а список прикладного программного обеспечения
- •Приложение b список сетевого программного обеспечения
1 Обзор информационной безопасности банка
1.1 Нормативные и правовые документы соответствующие отраслевым и международным стандартам
В последнее время банки начали создавать в своей структуре подразделения, отвечающие за обеспечение информационной безопасности. Это, безусловно, позитивная тенденция. Согласно рекомендациям отраслевого стандарта России СТО БР ИББС_1.0_2010, информационная безопасность в банках должна выделяться в независимое подразделения, и это заключается в том, что служба ИБ и служба информатизации (автоматизации) не должны иметь общего начальника. Такая структурная независимость не означает, что это подразделение имеет самостоятельный бюджет и необходимые материальные ресурсы для решения всех проблем [2].
Основными целями стандартизации по обеспечению ИБ организаций в БС РФ являются:
— предотвращение и(или) снижение ущерба от инцидентов ИБ.
— развитие и укрепление БС РФ;
— повышение доверия населения к БС РФ;
— поддержание стабильности организаций БС РФ и на этой основе — стабильности БС РФ в целом;
— достижение адекватности мер защиты реальным угрозам ИБ;
Основные цели этой стандартизации по обеспечению ИБ организаций является установление единых требований и норм по обеспечению ИБ организаций БС и повышение эффективности мероприятий по функционированию и поддержанию ИБ организаций БС РФ [2].
Среди нормативных документов ОАО ,,Россельхозбанк” следующие соответствуют стандарту Банка России СТО БР ИББС-1.0-2010:
SecretNet 5.0-С. Принципы построения и применения
Инструкция пользователю АС
Инструкция по работе с ключевыми дискетами в организации
Должностная инструкция ведущего специалиста по информационной безопасности службы безопасности Тамбовского РФ ОАО «Россельхозбанк»
План обеспечения непрерывной работы и восстановления работоспособности подсистемы
Политика безопасности при работе в Интернете
Политика информационной безопасности
Регламент централизованного резервного копирования и восстановления информационных ресурсов Тамбовского регионального филиала ОАО «Россельхозбанк»
Система криптографической авторизации электронных документов «Сигнатура» версия 3.1
Условия дистанционного банковского обслуживания юридических лиц и индивидуальных предпринимателей в ОАО «Россельхозбанк» с использованием системы «Банк-Клиент»/«Интернет-Клиент»
Исследуя ИБ ОАО ,,Россельхозбанк” было выявлено, что прикладное и сетевое программное обеспечение указанные в приложении А и приложении В соответствует стандарту Банка России СТО БР ИББС-1.0-2010 .
Отраслевые стандарты
В настоящее время в международном праве существует большое число законов, отраслевых стандартов для финансовых институтов, телекоммуникационных компаний, учреждений здравоохранения и обязательных и рекомендательных документов, затрагивающих защиту информации от внутренних угроз и управление операционными рисками.
Для банковской системы применяются в основном стандарт Банка России СТО БР ИББС-1.0-2010,кодекс корпоративного поведения ФСФР,PCI DSS:
Стандарт Банка России СТО БР ИББС-1.0-2010 для банков, исполнение положений которого пока носит рекомендательный характер. В стандарте, затронута необходимость защиты от действий инсайдеров, в том числе необходимость контроля использования Интернета и корпоративной почты, а также ведения архива электронной почты, что повышает уровень защиты БС в целом. Принят и введен в действие Распоряжением Банка России от 25 декабря 2008 года №Р_1674.
Кодекс корпоративного поведения ФСФР представляет собой свод правил и рекомендации ФСФР России для компаний-участников рынков ценных бумаг России. Основная цель Кодекса — обеспечение равенства прав акционеров и защита их интересов, а одна из важнейших глав Кодекса — контроль финансово-хозяйственной деятельности общества. В Кодексе корпоративного поведения регламентируется создание прозрачной системы менеджмента и построение системы управления операционными рисками, а также необходимость создания условий для независимой оценки любой финансово-хозяйственной операции. Корпоративное поведение должно обеспечивать высокий уровень деловой этики в отношениях между участниками рынка [3].
Кодексу корпоративного поведения ФСФР соответствуют лицензии выданные ОАО ,,Россельхозбанк” Федеральной службой по финансовым рынкам:
Лицензия на осуществление депозитарной деятельности (выдана Федеральной службой по финансовым рынкам от 19.05.2005 №077-08461-000100)
Лицензия на осуществление дилерской деятельности (выдана Федеральной службой по финансовым рынкам от 19.05.2005 №077-08456-010000)
Лицензия на осуществление брокерской деятельности (выдана Федеральной службой по финансовым рынкам от 19.05.2005 №007-08455-100000)
Лицензия биржевого посредника, совершающего товарные фьючерсные и опционные сделки в биржевой торговле (выдана Федеральной службой по финансовым рынкам от 17.11.2009 №1473) [4].
PCI DSS – это стандарт безопасности данных индустрии платежных карт PCI DSS, объединивший в себе требования международных платежных систем к обеспечению информационной безопасности, который был разработан советом PCI SSC. В него вошли такие карточные бренды, как Visa, MasterCard, JCB, AmericanExpress и Discovery [5].
В стандарте регламентируется необходимость шифрования носителей информации, содержащих данные платежных карт, и надежной защиты ключей шифрования. В PCI DSS определена необходимость генерации стойкого ключа и разделение криптографического ключа между несколькими лицами. Согласно стандарту операторы платежных карт должны защищать информацию от утечек по различным каналам, жестко регламентировав использование внешних устройств и перемещение конфиденциальных данных. В PCI DSS определена необходимость использования двухфакторной аутентификации для доступа к данным [6].
Россельхозбанк подтвердил соответствие своего процессинга требованиям стандарта PCI DSS. ОАО «Россельхозбанк» получил также сертификат соответствия стандарту PCI DSS (Payment CardIndustry DataSecurity Standard), что свидетельствует о высокой степени безопасности операций, проводимых с выпускаемыми банком платежными картами.
В настоящее время Россельхозбанк предоставляет своим клиентам услуги по выпуску и обслуживанию платежных карт международных платежных систем VISA Int. и Master Card World Wide. С этой целью в банке функционирует собственный процессинговый центр, обслуживающий операции, совершаемые более миллионом действующих платежных карт, выпущенных банком, 2500 банкоматами и более 3000 POS-терминалами [7].