- •А.П. Пархоменко а.Ф. Мешкова р.В. Менжулин основные проблемы и особенности защиты информации в банковских системах: модели нарушителей
- •1Воронеж 2008
- •2Воронеж 2008
- •Введение
- •1.Основные проблемы и особенности защиты информации в банковских системах.
- •1.1 Основные понятия, термины и определения.
- •1.1.1 Информация и информационные отношения в автоматизированных банковских системах. Субъекты информационных отношений, их безопасность в автоматизированных банковских системах.
- •1.1.2 Определение требований к защищенности информации в автоматизированных банковских системах.
- •1.2 Особенности автоматизированных банковских систем как объекта защиты информации.
- •1.2.1 Автоматизированные платежные системы.
- •1.2.2 Основные принципы и подходы к защите апбс.
- •1.2.3 Особенности платежных систем.
- •1.2.4 Автоматизированные информационные системы.
- •1.2.5 Основные принципы и подходы к защите автоматизированных информационных систем.
- •1.3 Особенности защиты информации в автоматизированных банковских системах.
- •1.3.1 Защита от физического доступа.
- •1.3.2 Защита резервных копий в автоматизированных банковских системах.
- •1.3.3 Защита от инсайдеров.
- •1.4 Основные проблемы защиты информации в автоматизированных банковских системах.
- •1.5 Проблемы правовой и организационно - технической защиты коммерческой и банковской тайны как видов конфиденциальной информации.
- •2. Модели нарушителей и риски в автоматизированных банковских системах.
- •2.1 Анализ проблем оценки и управления рисками информационной безопасности в автоматизированных банковских системах.
- •2.2 Анализ инструментальных средств оценки и управления рисками информационной безопасности.
- •2.3 Неформальная модель нарушителя в банковских системах
- •2.4 Модель нарушителя и эффективность защиты.
- •3. Оценки рисков информационной безопасности.
- •3.1 Оценка рисков информационной безопасности на основе алгоритма Мамдани.
- •Заключение
- •Список используемых информационных источников
- •394026 Воронеж, Московский просп., 14
1.2.3 Особенности платежных систем.
В АПБС выделяются расчеты между регионами (межрегиональные расчеты) и расчеты внутри регионов (внутрирегиональные расчеты).
Известны два способа обработки платежей на региональном уровне:
централизованная обработка — балансы (счета) всех региональных учреждений банка ведутся в одном центре обработки информации;
децентрализованная обработка — балансы (счета) региональных учреждений ведутся самостоятельно. При этом необходимо дополнительно на региональном уровне обеспечить электронный документооборот между ними.
Существует два режима совершения электронных платежей 21.
1. Дискретный (рейсовый) режим (режим off-line) - режим накопления порции электронных платежных документов (ЭПД) (без осуществления проводок по счетам) с последующим осуществлением всех необходимых проводок (в соответствии с правилами ведения бухгалтерского учета) в контуре обработки, проверки в контуре контроля и последующей передачи обработанных электронных документов (ЭД) получателям платежа.
Обработка следующей порции ЭПД в данном режиме возможна только после полного завершения цикла обработки и контроля предыдущей порции. Средства становятся доступны владельцу счета только в следующем цикле обработки.
2. Непрерывный режим (режим реального времени, on-line) - режим немедленного исполнения ЭПД по мере их поступления в центр обработки с осуществлением всех необходимых проводок по счетам и передачи ЭД получателям платежа. Средства становятся доступны владельцу счета после осуществления проводки и корректного завершения в контуре контроля процедуры проверки ЭД, породившего зачисление указанной суммы на счет.
Функциональные требования по обеспечению ИБ для любого уровня расчетов, для любого способа обработки и для любого режима — одинаковые. Вместе с тем конкретные технические (технологические) реализации указанных функциональных требований могут различаться.
Основной принцип безопасности проведения платежей следующий: никакая сумма, зачисленная на счет в контуре обработки, не может быть использована (списана) с этого счета до корректного окончания проверки ЭД, породившего это зачисление, в контуре контроля. Реализация указанного принципа в дискретном режиме совершения платежей (off-line) означает, что начало обработки очередной порции ЭПД возможно только после корректного завершения процедуры проверки предыдущей порции обработанных ЭПД.
При этом необходимо располагать механизмом автоматического возврата состояния счетов учета к последнему корректному значению и не допускать передачи получателям платежей права распоряжения вновь поступившими средствами до корректного завершения фазы контроля.
Реализация того же принципа в непрерывном режиме совершения платежей (on-line) означает блокировку суммы, зачисленной на счет, а при невозможности технической реализации и всего остатка на счете, до корректного завершения в контуре контроля процедуры проверки ЭД, на основании которого было осуществлено зачисление указанной суммы на счет. При этом необходимо располагать механизмом автоматического возврата состояния счета к точке последнего корректно завершившегося цикла контроля ЭД, изменявшего состояние этого счета.
Обеспечение безопасности непрерывного режима обработки платежей является более трудоемким и дорогостоящим процессом по сравнению с обеспечением безопасности дискретного режима обработки платежей 22.