Внедрение автоматизированных банковских систем (АБС) в странах СНГ имеет следующие особенности [18]:
1. В отличие от стран Запада, где эволюция АБС идет «сверху вниз» от больших централизованных систем к распределенным, в СНГ информатизация банковской сферы, как правило, идет «снизу вверх», т.е. с постепенным наращиванием возможностей персональных компьютеров. При этом отчетливо видны попытки каждого финансового учреждения из программ и компьютеров, приобретенных по случаю и под неотложные и сиюминутные потребности, сконструировать АБС силами собственных программистов, которые не знакомы с современным банковским делом. Поэтому разрозненные фрагменты плохо интегрируются в единую систему оптимального управления ресурсами банка.
2. Работа по модернизации межбанковских телекоммуникаций не совсем согласована с общегосударственной программой информационных сетей.
3. Имеют место попытки в виде автоматизированных рабочих мест (АРМ) по схеме «клиент - файл» (АРМ-бухгалтер, АРМ-кредиты, АРМ-операционист, АРМ-авизо, АРМ-кассир) запрограммировать существующую консервативную структуру управления банком вместо перехода на структуру «клиент- сервер», т.е. доступ с любого терминала к любой информации и выполнение с любого терминала любой операции при одном непременном ограничении - контроле через шлюзы права доступа к данным, что повышает уровень защиты банковской информации.
|
|
4. Ориентированность в эксплуатации АБС на программистов, а не банкиров приводит к ненужному росту персонала банков.
Вместе с тем современная методология банковских технологий и услуг требует, чтобы АБС была ориентирована на:
· работу не со счетом, а с клиентом в on-line режиме при централизованной базе данных;
· работу с клиентом по электронной почте без посещения банка (концепция «банков без контор», чрезвычайно актуальная для новых коммерческих банков, не имеющих достаточных площадей, и легко реализуемая для юридических клиентов);
· обработку платежей в реальном времени;
· обеспечение управляющих стратегическими оценками в конкурентных ситуациях;
· автоматическое принятие оперативных тактических решений (курсы валют, ставки, маржа) на основе выбранной оптимальной стратегии.
Современный рынок, в том числе банковский, немыслим без риска. На рис. 7.1 представлены основные риски банка и их взаимосвязь [18].
Безопасность банка представляет собой состояние максимально возможной защищенности банка от:
· физических угроз его объектам, ресурсам и персоналу (физическая безопасность), что рассмотрено выше;
· информационных угроз его эффективной деятельности, связанных с утечкой жизненно важной для него информации, использованием в его деятельности необъективной информации;
|
|
· отсутствием у его руководства объективной информации, распространением во внешней среде невыгодной для банка информации (информационная безопасность).
Рис. 7.1. Основные риски банка и их взаимосвязь
Отсюда обеспечение информационной безопасности банка включает:
· создание системы защиты информационных ресурсов и средств информатизации банка;
· деловую разведку;
· анализ необходимой для эффективного функционирования банка информации;
· целенаправленное распространение информации о банке для повышения эффективности его функционирования.
Под информационными ресурсами банка понимается специальным образом организованная информация по всем направлениям его жизнедеятельности, необходимая для эффективного функционирования. При этом в банке подлежит защите информация, составляющая его коммерческую и банковскую тайну. К коммерческой тайне банка относится любая конфиденциальная управленческая, научно-техническая, торговая и другая информация, представляющая ценность для банка в достижении преимущества перед конкурентами и извлечении прибыли. Под банковской тайной подразумевается обязанность кредитного учреждения сохранять тайну по операциям, счетам и вкладам своих клиентов и корреспондентов, ограждение банковских операций от ознакомления с ними посторонних лиц, прежде всего конкурентов того или иного клиента.
В качестве уязвимых мест - объектов атаки могут выступать различные компоненты АБС:
· оборудование - компьютеры и их составные части, периферийные устройства, линии связи и т.д.;
· программное обеспечение - исходные, объектные, загрузочные модули, приобретенные программы, самостоятельные разработки, утилиты, операционные системы, диагностические программы;
· данные - временные, хранимые постоянно, на магнитных носителях, печатные, архивы, системные журналы и т.д.;
· сотрудники - пользователи и обслуживающий персонал.
В таблице 7.1 указаны основные виды угроз и пути их реализации для упомянутых категорий компонентов АБС.
Таблица 7.1
Виды угроз и пути их реализации для компонентов АБС
Виды угроз | Оборудование | Программы | Данные | Персонал |
Раскрытие (утечка) информации | Хищение носителей, несанкционированное использование ресурсов | Несанкцио-нированное копирование, перехват | Хищение, копирование, перехват | Передача сведений о защите, разглашение, халатность |
Нарушение целостности информации | Подключение, модификация, спец. вложение, изменение режимов, несанкционированное использование ресурсов | Внедрение «троянских коней» и «жуков» | Искажение, модификация | Вербовка, подкуп персонала, «маскарад» |
Нарушение работоспособности системы | Изменение режимов, вывод из строя, разрушение | Искажение, удаление, подмена | Удаление, искажение | Уход, физическое устранение |
По оценкам экспертов, к основным тенденциям развития компьютерной преступности относятся следующие наиболее опасные их проявления:
· рост финансовых хищений, мошенничеств, различного рода подлогов, укрытие доходов от уплаты налогов с помощью ЭВМ;
· большая вовлеченность в преступную деятельность организованных групп и молодежи;
· серьезные нарушения прав человека;
· распространение экономического и политического шпионажа;
· расширение краж интеллектуальных ценностей, незаконное тиражирование программного обеспечения, электронных и видеоигр;
· усиление террористической деятельности, шантажа;
· увеличение количества «взломов» защитных систем и незаконное пользование услугами телефонных и телекоммуникационных компаний;
|
|
· усложнение и появление новых способов совершения преступлений.
Среди умышленных угроз информационной безопасности для банков большую опасность представляют криминогенные атаки, осуществляемые такими способами, как «маскарад», «салями» и «взлом системы».