Igasugune dokumenteeritud teave, mille väärkasutamine võib tekitada kahju Pangale ja/või kliendile, kes usaldas oma teabe Pangale, kuulub kaitsmisele.

Selline teave hõlmab järgmist:

1. Kõik toimingud assigneeringute haldajate isiklikel kontodel.

2. Asutuste ja organisatsioonide palga laekumise tähtajad ("palga" lepingute alusel).

3. Kontrolli- ja revisjonitöö plaanid.

4. Välis- ja siseauditi aktid.

5. Teave konkreetselt maksjalt saadud summade kohta.

6. Kirjavahetus õiguskaitseorganitega.

7. Ametlikku laadi teave, mida arutatakse juhtide koosolekutel.

8. Ettevõtete, firmade, pankade ja muude majandusüksuste ärisaladuseks olev teave.

9. Andmed "kauplemispäeva" töötlemiseks kasutatud tarkvara kohta.

10. "Tegevuspäeva" dokumentide liikumise skeem.

11. Automatiseeritud süsteemide struktuur, AÜ ja kaitstavate inforessursside haldamise kord, paroolide ja aktiivsete seadmete nimetused.

12. Infovoogude kirjeldus, telekommunikatsiooni haldamise topoloogia, AS-i elementide paigutused.

13. Süsteem teabe kaitse.

14. Teave teabe kaitsmise organisatsiooniliste ja tehniliste meetmete kohta.

15. Personal ja pangatöötajate arv.

16. Isikuandmed töötajate kohta.

17. Andmed töötaja isiklikust toimikust, tööraamat, kaart F. nr T-2.

18. Andmed kodaniku sissetulekute ja talle omandiõigusega kuuluva vara kohta, andmed palgad ja muud töötajate hüvitised.

19. Kodanike avalduste ja töödistsipliini rikkumiste uurimise materjalid.

20. Muu panga tegevusega seotud teave, mille levitamise piirangud tingib äriline vajadus.

AS-i ressursside hulka kuuluvad andmed, teave, tarkvara, riistvara, rajatised ja telekommunikatsioon.

Teabekaitserežiim on seadistatud

• riigisaladust sisaldava teabe kohta panga infoturbe osakonna poolt vastavalt seadusele Venemaa Föderatsioon"Riigisaladuse kohta";
• seoses konfidentsiaalse dokumenteeritud teabega - teaberessursside omaniku poolt föderaalseaduse "Teabe, informatiseerimise ja teabe kaitse kohta" alusel;

1.4.2. Võimalikud ohud kaitstud teaberessurssidele

Tuvastatud ohud hõlmavad järgmist:

1. Volitamata juurdepääs.

2. Tahtlikud ja tahtmatud tõrked arvutiseadmete, elektriseadmete jms töös, mis põhjustavad teabe kadumist või moonutamist.

3. Sidekanalite kaudu edastatava teabe pealtkuulamine, moonutamine või muutmine.

4. Ebaseaduslik juurdepääs teabele.

1.4.3. Inforessursside kaitse

Kaitstud teaberessurssidele tekkivate võimalike ohtude ennetamist teostavad:

1. Volitamata juurdepääsu eest- süsteemi loomine teabe kaitsmiseks volitamata juurdepääsu eest, mis on tarkvara- ja riistvara ning organisatsiooniliste lahenduste kompleks.

Organisatsioonilised otsused hõlmavad järgmist:

· Kaitstava TEJ paikneva objekti kaitse tagamine, et vältida SVT, infokandjate, samuti UA vargusi SVT-le ja sideliinidele;

AS-i turvaklassi valik vastavalt teabe töötlemise tunnustele ja selle konfidentsiaalsuse tasemele;

raamatupidamise korraldamine, teabekandjate, paroolide, võtmete säilitamine ja väljastamine, ametliku dokumentatsiooni pidamine, AS-i kuuluva uue tarkvara vastuvõtmine, samuti konfidentsiaalse teabe töötlemise tehnoloogilise protsessi edenemise jälgimine;

· asjakohase organisatsioonilise ja haldusdokumentatsiooni väljatöötamine.

Ülemaailmsete arvutivõrkudega ühendamine toimub alles pärast sellise ühenduse tegeliku vajaduse tuvastamist, kõigi kaitsemeetmete rakendamist.

2. Tahtlikest ja tahtmatutest ebaõnnestumistest arvutiseadmete, elektriseadmete jms töös, mis toob kaasa teabe kadumise või moonutamise.

Info- ja telekommunikatsioonisüsteemide toimimiseks vajalik tarkvara (tarkvara) vormistatakse loeteluna ja selle kasutamiseks peab olema juhataja poolt kinnitatud.

Mis tahes programmide installimist töökohtadele viivad läbi ainult IT-spetsialistid. Tarkvara iseinstallimine on rangelt keelatud.

Et tagada konfidentsiaalse teabe kaitse moonutamise või hävimise eest arvuti ja seadmete töös esinevate rikete korral, tehakse kaitstud teabest varukoopiad, samuti kasutatakse katkematuid toiteallikaid. Varundamise sageduse ja järjekorra määrab LAN-i administraator, lähtudes info säilitamise vajadusest, andmebaasitarkvarast.

3. Sidekanalite kaudu edastatava teabe pealtkuulamine, moonutamine või muutmine.

"Ametlikuks kasutamiseks" märgitud konfidentsiaalse teabe edastamine avatud suhtluskanalite kaudu e-posti, faksi ja mis tahes muu suhtlusviisi kaudu ilma krüptimist kasutamata on keelatud.

E-posti kasutatakse panga töövoo läbiviimiseks teiste organisatsioonidega. Peale tööpäeva lülitusseadmete paiknemiskohad plommitakse, uksed lukustatakse, neile on kõrvaliste isikute juurdepääs ilma vastutava isiku saatjata keelatud. (Võõrad on ka pangatöötajad, kes omal moel funktsionaalsed kohustused ei ole selle seadme tööga seotud).

Vastutavad isikud teostavad regulaarselt kogu telekommunikatsiooni visuaalset kontrolli, et tuvastada või õigeaegselt vältida katseid ühendada teabe lugemiseks spetsiaalseid seadmeid.

4. Ebaseaduslik juurdepääs teabele.

Teabe ebaseadusliku juurdepääsu vältimiseks tuleks piirata juurdepääsu ruumidele, kus töödeldakse kaitse alla kuuluvat teavet.

Töötaja korraldab oma töökoha korraldamisel kuvari selliselt, et kõrvalistel isikutel oleks ekraanil kuvatava teabe vaatamine raskendatud.

Mingil põhjusel töökohalt lahkudes peab töötaja võrgust välja logima või monitori ekraani lukustama.

1.4.4. Viirusekaitse

Milline peaks olema viirusetõrje?

Üldjuhul tuleks pangainfosüsteemi viirusetõrje üles ehitada hierarhilise põhimõtte kohaselt:

• ettevõtte tasandi teenused - hierarhia 1. tase;
• allüksuste või filiaalide teenused - hierarhia 2. tase;
• lõppkasutaja teenused – hierarhia 3. tase.

Kõikide tasemete teenused on ühendatud ühtseks arvutivõrguks (moodustavad ühtse infrastruktuuri) kohtvõrgu kaudu.

Ettevõtteülesed teenused peavad toimima pidevalt.

Kõikide tasandite juhtimist peaksid läbi viima spetsiaalsed töötajad, kelle jaoks tuleks ette näha tsentraliseeritud haldusvahendid.

Viirusetõrjesüsteem peaks ettevõtte tasandil pakkuma järgmist tüüpi teenuseid:

• tarkvarauuenduste ja viirusetõrje andmebaaside vastuvõtmine;
• viirusetõrjetarkvara levitamise haldamine;
• viirusetõrje andmebaasi värskenduste haldamine;
• kontroll süsteemi kui terviku töö üle (hoiatuste saamine viiruse tuvastamise kohta, regulaarne põhjalike aruannete saamine süsteemi kui terviku toimimise kohta);

osakonna tasemel:

• lõppkasutajate viirusetõrje andmebaaside uuendamine;
• lõppkasutaja viirusetõrjetarkvara uuendamine, kohalike kasutajarühmade haldamine;
• lõppkasutaja tasemel:
• kasutajaandmete automaatne viirusetõrje.

Funktsionaalsed nõuded

• Pult. Võimalus hallata kogu süsteemi ühest tööjaamast (näiteks administraatori tööjaamast).
• Logimine. Tööpäevikute hoidmine mugavas kohandatavas vormis.
• Märguanded. Kaitsesüsteem peaks suutma saata teateid toimuvate sündmuste kohta.
• Süsteemi jõudlus. Viirusetõrje koormuse taset on vaja reguleerida
• Kaitse erinevat tüüpi viiruste eest. On vaja tagada viiruste tuvastamise võimalus täitmisfailides, dokumendimakrodes. Lisaks tuleks ette näha mehhanismid tarkvarale tundmatute viiruste tuvastamiseks.
• Töökohtade püsikaitse. Tööjaamad peavad käivitama tarkvara, mis kontrollib faile nende avamisel ja kettale kirjutamisel.
• Viirusetõrje andmebaasi automaatne värskendamine. Peaks olema võimalik automaatselt vastu võtta viirusetõrje andmebaasi uuendusi ja värskendada klientidel viirusetõrje andmebaasi.

Üldnõuded

• Viirusetõrjesüsteemi tarkvara- ja riistvarakomponendid peavad tagama integreeritud arvutuskeskkonna kujunemise, mis vastab järgmistele automatiseeritud süsteemide loomise üldpõhimõtetele:
• Usaldusväärsus – süsteem tervikuna peab suutma jätkuvalt toimida sõltumata süsteemi üksikute sõlmede toimimisest ja tal peavad olema vahendid rikkest taastumiseks.
• Skaleeritavus - viirusetõrjesüsteem tuleks moodustada, võttes arvesse kaitstavate objektide arvu kasvu.
• Avatus - süsteem tuleks moodustada, võttes arvesse võimalust selle funktsioone ja koostist täiendada ja ajakohastada, ilma et see häiriks arvutuskeskkonna kui terviku toimimist.
• Ühilduvus - viirusetõrjetarkvara tugi maksimaalse võimaliku arvu võrguressursside jaoks. Komponentide struktuur ja funktsionaalsed omadused peaksid võimaldama suhelda teiste süsteemidega.
• Ühtlikkus (homogeensus) - komponendid peaksid olema standardsed, tööstuslikud süsteemid ja tööriistad, millel on lai ulatus ja mida tõestab korduv kasutamine.
• Lisaks peab süsteem pakkuma regulaarseid uuendusi kasutatavast viirusetõrje andmebaasist, sisaldama mehhanisme senitundmatute viiruste ja makroviiruste kui praegu levinumate ja ohtlikumate otsimiseks.

Nõuded süsteemi töökindlusele ja toimimisele

• Viirusetõrjesüsteem ei tohiks rikkuda teiste kasutatavate rakenduste loogikat.
• Süsteem peab võimaldama naasta viirusetõrje andmebaaside eelmise versiooni juurde.
• Süsteem peab töötama selle objekti (tööjaama/serveri) töörežiimis, millele see on paigaldatud.
• Süsteem peab teavitama süsteemiadministraatorit rikete või viiruste tuvastamise korral.

1. Esimesel tasemel kaitsevad nad ühendust Interneti või sideteenuse pakkuja võrguga - see on tulemüür ja postilüüsid, kuna statistika järgi siseneb sealt umbes 80% viirustest. Tuleb märkida, et sel viisil ei tuvastata rohkem kui 30% viirustest, kuna ülejäänud 70% tuvastatakse ainult täitmise ajal.

Viirusetõrjevahendite kasutamine tulemüüride jaoks on tänapäeval taandatud Interneti-juurdepääsu filtreerimisele, kontrollides samal ajal läbivat liiklust viiruste suhtes.

Selliste toodete viirusetõrjekontroll on väga aeglane ja tekitab palju ebamugavusi. kõrge tase tuvastamine, seetõttu ei ole selliste toodete kasutamine asjakohane, kuna kasutajate külastatud veebisaite pole vaja filtreerida.

2. Reeglina kaitske failiservereid, andmebaasiservereid ja koostöösüsteemide servereid, kuna need sisaldavad kõige olulisemat teavet. Viirusetõrje ei asenda teabe varundamise tööriistu, kuid ilma selleta võib tekkida olukord, kus varukoopiad on nakatunud ja viirus aktiveerub kuus kuud pärast nakatumist.

3. Ja lõpuks kaitsevad nad tööjaamu, kuigi need ei sisalda oluline teave, kuid kaitse võib oluliselt vähendada avariitaaste aega.

Tegelikult kuuluvad viirusetõrje alla kõik pangainfosüsteemi komponendid, mis on seotud teabe edastamise ja/või selle säilitamisega:

Ø failiserverid;

Ø Tööjaamad;

Ø mobiilikasutajate tööjaamad;

Ø Varuserver;

Ø E-posti server;

Ø Töökohtade (sh mobiilsete kasutajate) kaitse peaks toimuma viirusetõrjevahendite ja tööjaamade tulemüüridega.

Võrguvarjestustööriistad on mõeldud eelkõige mobiilikasutajate kaitsmiseks Interneti kaudu töötamisel, samuti ettevõtte LAN-tööjaamade kaitsmiseks siseturvalisuse poliitika rikkujate eest.

Tööjaamade tulemüüride peamised omadused:

Juhtige ühendusi mõlemas suunas

Lubage teadaolevatel rakendustel ilma kasutaja sekkumiseta Internetti juurde pääseda (automaatne konfigureerimine)

Konfiguratsiooniviisard rakenduse kohta (ainult installitud rakendused võib näidata võrgutegevust)

Muutke arvuti Internetis nähtamatuks (peidab pordid)

Ennetage tuntud häkkerite rünnakuid ja Trooja hobuseid

Teavitage kasutajat häkkimiskatsetest

Kirjutage ühenduse teave logifaili

Vältige delikaatsete andmete saatmist ilma ette teatamata

Takistage serveritel teavet ilma kasutaja teadmata (küpsised)

Viirusetõrje infosüsteemid- kõige olulisem ja püsivam funktsioon ühine süsteem panga majanduslik turvalisus. Sellisel juhul on ajutised lõdvestused ja kõrvalekalded standarditest vastuvõetamatud. Olenemata pangas juba olemasolevatest viirusetõrjelahendustest on alati kasulik teha täiendav audit ja hinnata süsteemi läbi sõltumatu ja pädeva eksperdi pilgu.

PANGA INFOTURVE

S.S. MÜTENKOV

Nagu teate, on pangad oma ilmumisest alates alati äratanud kriminaalset huvi. Ja seda huvi ei seostatud mitte ainult rahaliste vahendite hoidmisega krediidiasutustes, vaid ka sellega, et pangad koondasid olulise ja sageli salajase teabe paljude inimeste, ettevõtete, organisatsioonide ja isegi riikide finants- ja majandustegevuse kohta.

Tänapäeval seoses üldise informatiseerimise ja arvutiseerimisega pangandus pankade infoturbe tähtsus on kordades kasvanud. Veel 30 aastat tagasi olid inforünnakute objektiks andmed pangaklientide või panga enda tegevuse kohta. Siis olid sellised rünnakud harvad, nende klientide ring oli väga kitsas ja kahju võis olla märkimisväärne vaid erijuhtudel. Tänapäeval on elektrooniliste maksete laialdase leviku tõttu plastkaardid, arvutivõrgud, Interneti-tehnoloogiate kaudu klientidele pakutavate teenuste kiiresti kasvav populaarsus, on inforünnakute objektiks saanud otse sularaha nii pangad kui ka nende kliendid. Varguse katseid võib teha igaüks – vaja on vaid internetti ühendatud arvutit. Veelgi enam, see ei nõua panka füüsilist sisenemist, saate "töötada" sellest tuhandete kilomeetrite kaugusel.

Näiteks 1995. aasta augustis vahistati Ühendkuningriigis 24-aastane vene matemaatik Vladimir Levin, kes Peterburis oma koduarvutit kasutades. Citibanki Moskva esinduse teatel polnud seni keegi sellega hakkama saanud. Citibanki turvateenistus selgitas välja, et pangast üritati varastada 2,8 miljonit dollarit, kuid kontrollisüsteemid tuvastasid selle õigel ajal ja blokeerisid kontod. Vladimir Levin suutis ainult varastada

400 tuhat dollarit mille saamiseks läks ta Inglismaale, kus ta arreteeriti.

Pangandustegevuse arvutistamine on võimaldanud oluliselt tõsta pangatöötajate tootlikkust ning võtta kasutusele uusi finantstooteid ja -tehnoloogiaid. Kuid kuritegude tehnoloogia areng ei olnud vähem kiire kui pangandustehnoloogia areng.

Praegu on üle 90% kõigist selle valdkonna kuritegudest seotud panga automatiseeritud infotöötlussüsteemide (ASOIB) kasutamisega. Seetõttu peavad pangad ASOIB loomisel ja kaasajastamisel pöörama suurt tähelepanu selle turvalisuse tagamisele.

Just see probleem on praegu kõige olulisem ja paraku kõige vähem uuritud. Kui füüsilise ja klassikalise infoturbe1 tagamisel on välja töötatud ammu väljakujunenud lähenemised (kuigi arendus toimub ka siin), siis arvutitehnoloogiate sagedaste radikaalsete muutuste tõttu nõuavad ASOIB turvameetodid pidevat täiustamist ja kaasajastamist. Nagu näitab praktika, pole keerulisi arvutisüsteeme, mis ei sisalda vigu. Ja kuna suurte ASOIB-de ehitamise ideoloogia muutub regulaarselt, siis turvasüsteemides leitud vigade ja “aukude” parandamine ei kesta kaua, kuna uus arvutisüsteem toob kaasa uusi probleeme ja vigu ning vajalik on ka turvasüsteemide piisav ümberstruktureerimine.

See probleem on eriti aktuaalne Venemaal. Lääne pankades töötatakse tarkvara (SW) välja spetsiaalselt iga panga jaoks ja ASOIB seade on suures osas ärisaladus. Venemaal nad said

1 Klassikalise infoturbe all mõistetakse süsteemi, milles eraldatakse teabele juurdepääsuõigused, pealtkuulamise eest kaitsvad meetmed, personali lekete vältimine ja muud ASOIB-ga otseselt mitteseotud meetmed.

"standardsete" pangapakettide levitamine, mille kohta teave on laialt teada, mis hõlbustab volitamata juurdepääsu panga arvutisüsteemidele. Pealegi on esiteks "standardse" tarkvara töökindlus väiksem, kuna arendajal pole alati head ettekujutust konkreetsetest tingimustest, milles see tarkvara peab töötama, ja teiseks tegid mõned Venemaa panganduspaketid. ei vasta turvatingimustele. Näiteks varased versioonid (mis on endiselt kasutusel väikesed pangad) populaarseimas Venemaa panganduspaketis oli vaja personaalarvuti kettaseadet ja turvavahendina kasutada võtmedisketti. Selline lahendus on esiteks tehniliselt ebausaldusväärne ja teiseks on üks ASOIB turvanõudeid sulgeda välisandmetega mittetöötavate töötajate arvutites kettaseadmed ja sisend-väljundpordid.

Pankade jaoks (erinevalt teistest ettevõtetest) on infoturve kriitilise tähtsusega. Me ei tohiks unustada panganduse arengut infotehnoloogiad(IT), kuna just need tehnoloogiad määravad suuresti panga infoturbesüsteemi.

Vaatleme mitmeid diagramme (joonis 1-6), mis illustreerivad infotehnoloogia juhtimise arengu peamisi suundumusi aastal kommertspank põhineb spetsiaalsel rahvusvahelisel allikal Forrester Research. Inc. Need skeemid valitakse juhuslikult ja on väärtuslikud, kuna need on tõesti olemas. Seetõttu on soovitatav neid enda IT-strateegia valikul ja kujundamisel arvestada.

Esimese trendina tahaksin märkida majanduslike parameetrite tähtsuse suurenemist projektide valikul otsuste tegemisel (joonis 1). Esitatud skeem näitab, et 80% juhtudest on tehnoloogilise projekti alustamise formaalseks põhjenduseks investeeringu tasuvuse parameetrid või projekti tasuvusaeg.

Teised suundumused on seotud panga IT-osakonna rolli muutumisega (joonis 2). Esitatud andmed näitavad, et suurem osa vastanutest märgib koostöö kasvu äriüksustega. Toimuvad ka muudatused nagu suurenenud tsentraliseerimine ja kontroll, keskendumine äritulemustele ning uute tehnoloogiate ja lahenduste kasutuselevõtt. Vaid umbes 10% vastanutest märgib muudatuste puudumist.

Millist ametlikku põhjendamisprotsessi kasutab teie pank, et otsustada, kas alustada tehnoloogiaprojekti või mitte?

Tagasimakse periood

Riis. 1. Projektide põhjendamise lähenemisviiside suundumused

RIIKLIKUD HUVID: prioriteedid ja julgeolek

Ettevõtlusega koostöö kasv

Tsentraliseeritud kontrolli tugevdamine

Suurenev keskendumine äritulemustele

Suurenev tähelepanu uutele tehnoloogiatele

Ei ole muutust

Riis. 2. IT osakonna rolli muutmine

Järgnev graafik (joonis 3) illustreerib pankade tippjuhtkonna kasvavat kaasatust IT-otsuste tegemise protsessi. 40% vastanute hinnangul nõuavad kõik IT-projektid kohustuslikku põhjendamist ja kooskõlastamist tippjuhtkonnaga. Ja vajadus sellise kooskõlastamise järele projektide puhul, mille väärtus on üle 100 tuhande dollari. tunnustas umbes 87% vastanutest.

Viimasel ajal on märgatavalt suurenenud kolmandate osapoolte teenuste osakaal, organisatsioonid kasutavad üha enam allhanget. Samal ajal püüavad nad edasi anda kolmandad isikud peaaegu kõik mitteäriliselt olulised funktsioonid (joonis 4). Tänapäeval läheb keskmiselt 28% IT eelarvest kolmandate osapoolte lahendus- ja teenusepakkujatele, mis ei saa jätta mõjutamata turvalisust üldiselt. Umbes 40% vastanutest ütleb, et on andnud (täielikult või osaliselt) teistele tarnijatele üle sellised tehnoloogiafunktsioonid nagu rakenduste arendus, tugi ja käitamine.

Alljärgnev diagramm (joonis 5) näitab IT-teenuse struktuuri muutumise trende ja baasjoon oma tegevuse hindamine. Peamiste suundumuste hulgas on: tsentraliseerituse kasv, soov paremini vastata ärihuvidele, kasutatud arvu kasv.

□ Millised infrastruktuuritehnoloogia projektid nõuavad kõrgema juhtkonna õigustamist?

Iga 10 000 ja 25 000 dollarit ja 50 000 dollarit ja 100 000 dollarit 250 000 dollarit 500 000 1 miljonit dollarit ja 3 miljonit dollarit ja 5 miljonit dollarit ja 10 miljonit dollarit ja rohkem projekte veel ja veel ja veel ja veel ja veel rohkem veel rohkem veel

Riis. 3. Kõrgema juhtkonna kaasamine IT otsustusprotsessi

Kui suur protsent teie IT-eelarvest on pühendatud välistele tehnoloogiapakkujatele maksmisele?

P Järgmise 2 aasta jooksul – keskm. 34% P täna – keskmine 28%

Tehniline varustamine

Leb rakenduste arendus, tugi ja käitamine

Rakenduste arendamine, tugi ja käitamine

kasutajad/tööjaamad

Infrastruktuur / tagakontor

Milliseid tehnoloogiafunktsioone pakute välistele tarnijatele (vähemalt osaliselt)?

Riis. 4. Kolmanda osapoole teenuste kasutamine (allhange)

Kuidas muutub teie IT-divisjoni organisatsiooniline struktuur järgmise kahe aasta jooksul?

Milliste mõõdikutega mõõdate IT-tegevuste edukust ja demonstreerite nende väärtust?

Ühisteeninduskeskuste arendamine

Rohkem kontrollistandardeid

Ei: me ei saa enam muutuda

Suurem äri sobivus

Pole võimalik: olemasolev struktuur vastab täielikult vajadustele

Tsentraliseerimine suureneb

Näitajad keskendusid pangaklientidele

Kulude vähendamine

Äritegevuse tulemuslikkus

Ainult taktikalised näitajad

Riis. 5. Suundumused IT-osakondade struktuuris ja hindamises

IT-kontrolli eesmärkidel. Enamikus pankades toimub andmetöötlus tsentraalselt, et vähendada kulusid ja parandada protsesside efektiivsust. Lisaks on sellise otsuse kasuks ka teisi argumente: juhtimise ja kontrolli tõhustamine, sh juhtimisaruandluse koostamine ning info dubleerimise kaotamine.

teave, samuti infoturbe korraldamine, vähendades seadmete hoolduskulusid; personali vähendamine; süsteemi ja raamatupidamisprotseduuride standardimine.

Infotehnoloogia juhtimise tegevuse hindamise seisukohalt märgib enamus enimlevinud lähenemisena taktikaliste näitajate kasutamist,

kommertspankade kohta märkige ettevõtte tõhususe ja kulude vähendamise näitajaid.

Teiseks oluliseks trendiks infotehnoloogia juhtimises on IT-lahenduste ostmisel otsustamise kiiruse kasv: valdav enamus kõigist selle valdkonna otsustest tehakse vähem kui kolme kuuga (joonis 6).

Nagu eelnevast nähtub, ei saa IT-strateegiat koostada ilma äristrateegiast arusaamiseta ja sellest tuleb lähtuda. Soovitav on koostada strateegiline plaan kahe dokumendi kujul - pikaajaline strateegia ja lühiajaline. Pikaajaline strateegia koostatakse 3-5 aastaks ja sisaldab asjakohaseid ülesandeid ja eesmärke, lühiajaline - 1-3 aastaks.

Mõlemat dokumenti tuleks regulaarselt ajakohastada. Pikaajalise dokumendi puhul võib see juhtuda poolaasta, lühiajalise dokumendi puhul kord kvartalis. Kõik uuendused tehakse tihedas koostöös ärijuhtidega ja lepitakse kokku organisatsiooni tippjuhtkonnaga.

IT-strateegia kinnitab panga tippjuhtkond IT- ja äriüksuste juhtide ühise eeluuringu tulemuste põhjal. Selline töö on võimalik

panga infotehnoloogia (või tehnilise) komitee koosolekute raames.

Samuti on strateegilise planeerimise kõige olulisem element kontrolli teostamise üle. Strateegia ei tohiks olla deklaratiivne dokument ja selle saavutamise peamine viis on kontrollida selle elluviimist, sealhulgas panga tippjuhtkonna, infotehnoloogia komitee poolt.

Statistika järgi pannakse enamik pankade vastu suunatud kuritegusid toime siseteavet kasutades. Sellega seoses tuleb personaliga töötamise valdkonnas pidevalt tähelepanu pöörata infoturbe tagamisele.

Arvutitehnoloogia arenedes ja rakendusala laienedes teravneb arvutisüsteemide turvalisuse tagamise ning neis hoitava ja töödeldava teabe kaitsmise probleem erinevate ohtude eest. Selle jaoks on olemas terve rida objektiivsetel põhjustel.

Peamine neist on suurenenud usaldus automatiseeritud infotöötlussüsteemide vastu. Neile on usaldatud kõige vastutusrikkam töö, mille kvaliteedist sõltub paljude inimeste elu ja heaolu. arvuti juhtimine

võrgu riistvara

Teabe akumulaatorid

■ alla 1 aasta P alla 6 kuu 30% □ alla 3 kuu ] 31% □ alla kuu R alla nädala

Riis. 6. IT-otsuste tegemise kiirus RIIKLIKUD HUVID: prioriteedid ja turvalisus

tehnoloogilisi protsesse ettevõtetes ja tuumaelektrijaamades, lennukite ja rongide liikumist, teha finantstehinguid ja töödelda salastatud teavet.

Tänapäeval muutub arvutisüsteemide kaitse probleem seoses arvutivõrkude arengu ja levikuga veelgi olulisemaks. Hajutatud süsteemid ja kaugjuurdepääsuga süsteemid on rõhutanud töödeldud ja edastatud teabe kaitsmise probleemi.

Arvutitehnoloogia ja eelkõige personaalarvutite kättesaadavus on toonud kaasa arvutioskuse leviku elanikkonna hulgas. See omakorda põhjustas arvukaid katseid sekkuda riigi- ja kaubandussüsteemide, eelkõige pangandussüsteemide töösse, nii pahatahtlikult kui ka puhtalt „sportlikust huvist”. Paljud neist katsetest olid edukad ja põhjustasid info- ja arvutussüsteemide omanikele olulist kahju.

Suures osas puudutab see erinevaid äristruktuure ja -organisatsioone, eriti neid, kes oma tegevuse olemusest tulenevalt säilitavad ja töötlevad väärtuslikku (rahalises mõttes) informatsiooni, mis mõjutab ka suure hulga inimeste huve. Pankades, mis puudutab elektroonilisi makseid ja automatiseeritud kontohaldust, kujutab selline teave mingil moel raha.

Kõigist kaitsevõimalustest terviklikku pilti on üsna raske luua, kuna arvutisüsteemide kaitseks pole ikka veel ühtset teooriat. Selle ehitamise metoodika osas on palju lähenemisviise ja seisukohti. Sellegipoolest tehakse selles suunas tõsiseid jõupingutusi nii praktilises kui teoreetilises plaanis, kasutatakse teaduse uusimaid saavutusi ja meelitatakse ligi arenenud tehnoloogiaid. Pealegi tegelevad selle probleemiga juhtivad arvuti- ja tarkvarafirmad, ülikoolid ja instituudid, aga ka suured pangad ja rahvusvahelised korporatsioonid.

Teabe kaitsmiseks on teada mitmesuguseid võimalusi - valvurist sissepääsu juures kuni matemaatiliselt kontrollitud meetoditeni, kuidas andmeid tuttavate eest varjata. Lisaks saame rääkida globaalsest kaitsest ja sellest teatud aspekte: personaalarvutite, võrkude, andmebaaside jne kaitse.

Tuleb märkida, et absoluutselt turvalisi süsteeme pole olemas. Süsteemi töökindlusest saame rääkida esiteks ainult teatud tõenäosusega ja teiseks kaitsest teatud

rikkujate kategooriad. Sellegipoolest võib ette näha tungimist arvutisüsteemi. Kaitse on omamoodi võistlus kaitse ja rünnaku vahel: võidab see, kes teab rohkem ja näeb ette tõhusad meetmed.

ASOIB-i kaitse korraldus on ühtne meetmete kogum, mis peaks võtma arvesse kõiki teabetöötlusprotsessi tunnuseid. Vaatamata kasutajale töö käigus tekitatud ebamugavustele, võivad paljudel juhtudel olla kaitsemeetmed süsteemi normaalseks toimimiseks hädavajalikud. Peamised nimetatud puudused on järgmised:

1) lisaraskused kõige turvalisemate süsteemidega töötamisel;

2) turvalise süsteemi kallinemine;

3) süsteemiressursside lisakoormus, mis nõuab sama ülesande täitmiseks tööaja pikenemist seoses aeglasema juurdepääsuga andmetele ja toimingute sooritamisele üldiselt;

4) kaitsesüsteemi tervise hoidmise eest vastutavate täiendavate töötajate kaasamise vajadus.

Kaasaegset panka on raske ette kujutada ilma automatiseeritud infosüsteemita. Arvuti pangatöötaja laual on ammu tuttavaks ja vajalikuks töövahendiks saanud. Arvutite ühendamine omavahel ja võimsamate arvutitega, aga ka teiste pankade arvutitega on panga eduka toimimise vajalik tingimus: lühikese aja jooksul tehtavate toimingute arv on liiga suur.

Praegu täheldatakse Vene Föderatsiooni infosfääris keerulist kriminogeenset olukorda. Olemasolevate infosüsteemide ja -võrkude haavatavus erinevate lubamatute mõjude eest on määranud laia spektri kuritegeliku tegevuse valdkondi. Ajavahemikul 2000–2004 kasvas Venemaal infotehnoloogia abil toime pandud kuritegude arv enam kui 9 korda ja ületas eelmisel aastal 13 tuhande piiri. Lisaks tuleb arvestada mitte ainult summaga otsest kahju, aga ka väga kulukaid meetmeid, mis viidi läbi pärast edukaid katseid arvutisüsteemidesse häkkida.

Pankade pakutavad teenused põhinevad tänapäeval suuresti nende kasutamisel

pankade, pankade ning nende klientide ja kaubanduspartnerite vahelise elektroonilise suhtluse vahendid. Praeguseks on pangateenustele ligipääs muutunud võimalikuks erinevatest kaugpunktidest, sealhulgas koduterminalidest ja kontoriarvutitest. See asjaolu sunnib meid eemalduma 1960. aastatel pankadele omasest "lukustatud uste" mõistest, mil arvuteid kasutati enamasti abivahendina partiirežiimis ning neil puudus seos välismaailmaga.

Arvutisüsteemid, ilma milleta keegi hakkama ei saa kaasaegne pank, on täiesti uute, senitundmatute ohtude allikas. Enamik neist on tingitud uute infotehnoloogiate kasutamisest panganduses ja on tüüpilised mitte ainult pankadele. Samas tuleb meeles pidada, et paljudes riikides hoolimata üha suurenevast rollist elektroonilised süsteemid töötlemisel on paberdokumentidega tehtavate toimingute maht 3–4 korda suurem kui nende elektrooniliste kolleegidega.

Automatiseerimisvahenditega varustatuse tase mängib panga tegevuses olulist rolli ning mõjutab seetõttu otseselt panga positsiooni ja tulusid. Pankade vahelise konkurentsi tihenemine toob kaasa vajaduse vähendada arveldusaega, suurendada pakutavate teenuste valikut ja parandada pakutavate teenuste kvaliteeti.

Mida vähem aega kulub panga ja klientide vaheliseks arveldamiseks, seda suurem on panga käive ja sellest tulenevalt ka kasum. Lisaks suudab pank kiiremini reageerida muutustele finantsolukorras. Mitmesugused pangateenused (eelkõige viitab see sularahata maksete tegemise võimalusele panga ja selle klientide vahel, kasutades plastikkaarte) võivad oluliselt suurendada tema klientide arvu ja selle tulemusena kasumit.

Selle väitekirja toetuseks võib viidata mitmele faktile:

Pankade ja teiste kahjud finants institutsioonid mõju nende infotöötlussüsteemidele ulatub umbes 3 miljardi dollarini. aastal;.

Kasutamisega seotud kahjude suurus plastkaardid, on hinnanguliselt 2 miljardit dollarit. aastas, mis on olenevalt kasutatavast süsteemist 0,03-2% maksete kogusummast;

27 miljonit dollarit naelsterlingit varastati Union Bank of Switzeri Londoni filiaalist;

Chase Bankist (Frankfurt) varastati 5 miljonit marka; ametnik saatis raha Hongkongi panka; need võeti suurel hulgal kontodelt ("salaami" rünnak), vargus õnnestus;

3 miljonit dollarit - Stockholmi Pank, vargus pandi toime mitme töötaja eelisseisundit kasutades panga infosüsteemis ja oli samuti edukas.

Enda ja oma klientide kaitsmiseks rakendab enamik panku vajalikke kaitsemeetmeid, mille hulgas pole ka ASOIB kaitse viimane. Samas tuleb arvestada, et panga ASOIB kaitsmine on kulukas ja keeruline ettevõtmine. Näiteks Barclays Bank kulutab oma kaitsmisele automatiseeritud süsteem umbes 20 miljonit dollarit. aastas.

Datapro Information Services Group viis 1994. aasta esimesel poolel läbi postiküsitluse juhuslikult valitud infosüsteemide juhtide seas. Küsitluse eesmärk oli selgitada välja kaitsevaldkonna olukord. Ankeeti laekus 1153, mille põhjal saadi järgmised tulemused:

1) ligikaudu 25% kõigist rikkumistest on loodusõnnetused;

2) umbes pooltel süsteemidel esines äkilisi toite- või sidekatkestusi, mille põhjused olid kunstlikku laadi;

3) ca 3% süsteemidest koges väliseid rikkumisi (organisatsiooni süsteemi tungimine);

4) 70–75% - sisemised rikkumised, millest:

10% panid toime solvunud ja rahulolematud panga ASOIB töötajad-kasutajad; - 10%

Süsteemi personali poolt omakasupüüdlikel motiividel; - 50-55% - töötajate ja/või süsteemi kasutajate tahtmatute vigade tagajärg hooletuse, hooletuse või ebakompetentsuse tagajärjel.

Need andmed näitavad, et kõige sagedasemad rikkumised, nagu häkkerite rünnakud või väärtusliku teabega arvutite vargused, esinevad kõige sagedamini, kuid kõige tavalisemad igapäevase tegevusega seotud rikkumised. Samas tekitavad kõige suuremat ühekordset kahju just tahtlikud ründed arvutisüsteemide vastu, mille vastu kaitsemeetmed on kõige keerulisemad ja kulukamad. Sellega seoses on pankade infoturbe valdkonnas kõige olulisem ASOIB-i kaitse optimeerimise probleem.

Panku teistest kommertssüsteemidest eristab kaks aspekti:

1. Info pangasüsteemides on "elav raha", mida saab vastu võtta, üle kanda, kulutada, investeerida jne.

2. See mõjutab paljude organisatsioonide ja üksikisikute huve.

Seetõttu on panga infoturve selle eksisteerimise kriitiline tingimus. Seetõttu seatakse pangasüsteemidele kõrgendatud nõuded teabe säilitamise ja töötlemise turvalisusele. Ka kodumaised pangad ei saa täieliku automatiseerimise saatust vältida järgmistel põhjustel:

Suurenenud konkurents pankade vahel;

Vajadus vähendada arvutuste tegemise aega;

Vajadus teenust parandada.

USA-s riikides Lääne-Euroopa ja paljud teised, kes on selle probleemiga pikka aega silmitsi seisnud, on nüüdseks loodud terve kaitsetööstus majandusteave, sealhulgas turvalise riist- ja tarkvara, välisseadmete, teadusuuringute jne arendamine ja tootmine.

Infoturbe valdkond on turvatööstuse kui terviku kõige dünaamilisem arenguvaldkond. Kui füüsilise turvalisuse tagamisel on pikad traditsioonid ja väljakujunenud lähenemised, siis infoturve nõuab pidevalt uusi lahendusi, sest. arvuti- ja tuuendatakse pidevalt ning arvutisüsteemid muutuvad üha vastutustundlikumaks.

Statistika näitab, et valdaval enamusel suurtel organisatsioonidel on plaan teabele juurdepääsu reeglitega, samuti plaan

taastumine pärast õnnetusi. Elektrooniliste pangandussüsteemide turvalisus sõltub paljudest teguritest, mida tuleb selle süsteemi projekteerimisetapis arvesse võtta. Küll aga iga üksiku tüübi puhul pangatoimingud ja elektroonilistel maksetel või muudel konfidentsiaalse teabe vahetamise viisidel on oma spetsiifilised turvaelemendid. Seega on pangasüsteemide kaitse korraldamine terve rida meetmeid, mis peaksid arvestama nii üldkontseptsioone kui ka eripärasid.

Ilmselgelt panganduse automatiseerimine ja arvutistamine (ja raharinglusüldiselt) kasvab jätkuvalt. Peamised muutused pangandussektoris viimastel aastakümnetel on seotud infotehnoloogia arenguga. On võimalik ennustada sularaha käibe edasist vähenemist ja järkjärgulist üleminekut sularahata maksetele, kasutades plastkaarte, Internetti ja juriidiliste isikute kontode haldamiseks kaugterminale.

Lähtudes sellest, et infotehnoloogia valdkonna kuritegevuse arengu suundumusi määravad tegurid ei pruugi lähiajal olulisi muutusi toimuda, on ilmne, et põhimõttelisi muutusi infovaldkonna kriminaalses olukorras ei maksa oodata. . Säilitades registreeritud kuritegude arvu aastase kasvutempo mitte üle 30% tasemel, võib 2015. aastaks nende arv ületada 200 tuhat kuritegu aastas. Siiski ei pruugi prognoos tõeks saada, kui välismaist kogemust kasutades võetakse kasutusele piisavad meetmed?

Pangad ja kõik nendega
ühendatud – on alati olnud kõigi sihtmärgiks
omamoodi petturid. Meie ajal need
meiliga seotud pettused
kuritegevus. Ja ma olen nagu inimene, kes
püüdes neid ära hoida, tahaks natuke
et heita sellele probleemile valgust ja kummutada müüt
üksik häkker – pangakontodele tungimine
süsteemi ja saada sellele TÄIELIK juurdepääs
teabeallikad.

Alustuseks kaaluge
turvaküsimus
arvutuskompleks. Under
mõista süsteemi turvalisust -
võime katsetele vastu seista
tungimine, volitamata juurdepääs, õiguste saamine ja
privileegid, samuti hävitamine või
teabe moonutamine. Me oleme kõige rohkem
sisejulgeolekust huvitatud, s.t.
süsteemi toimimise tagamine sisse
normaalne töö ja terviklikkuse tagamine,
ohutust ja konfidentsiaalsust
teavet.

Nimekirja analüüsimine
olemasolevad ohud – saab tuvastada
panganduse kaitse põhisuunad
süsteemid:

1. Füüsiline kaitse. Need.
   seadmete kaitse mehaanilise eest
   kahju, vargus, paigaldus eri
   elektromagnetilised seadmed
   korja üles.
2. Kaitse volitamata juurdepääsu eest.
3. Elektrooniline kaitse
   töövoog. Need. krüpteerimine koos
   kõigi oluliste avalik võti
   e-kirjavahetus.
4. Viirusetõrje.
   Kompleksi paigaldamine
   spetsialiseeritud tarkvara
   ärahoidmine
   tungimine arvutivõrku
   pahavara.

Olles tegelenud millega
selline turvalisus ja olles sisse otsustanud
selle osutamise küsimuse tähtsust, liigume edasi
elektrooniliste kaitsevahendite katvusele
süsteemid.

Kaitsevahendite juurde
sisaldab tarkvara, riistvara ja
riistvara-tarkvarasüsteemid.

Vastavalt selle omadustele
kõige usaldusväärsem kaitsesüsteem
rakendada ainult riist- ja riistvara -
tarkvara. See on seotud tõsiasjaga
et need süsteemid on kõige sagedamini
spetsialiseerunud ehk esinema
teatud funktsioonid, mis on suurepärane
eelis, sest kaitsta või
spetsialiseerunud test
seade on palju lihtsam kui
universaalne. Teine eelis
spetsialiseeritud süsteemid on see
nad võimaldavad füüsiliselt ja loogiliselt
isoleerida plokid kriitilise
teavet. Lisaks tarkvara
riistvarasüsteemid pakuvad töökindlust
kaitse muutmise, kustutamise või varguse eest
teavet süsteemi programmeerijate poolt või
kõrgelt kvalifitseeritud personal.
Tavaliselt tarkvaras/riistvaras
turvalisus
kustutamise funktsioon
proovimisel salajane teave
füüsiline tungimine riistvarasse
osa süsteemist.

Arvestades ka
süsteemi majanduslik tõhusus
turvalisus, kasutatakse sagedamini
ainult tarkvaratööriistad, sest hind
spetsiaalsed riistvaramoodulid -
piisavalt kõrge. Kasutades
tarkvaratööriistu, saate väga
paindlik, pakkudes piisavat taset
kaitse ja samal ajal ebaoluline
tarkvara hoolduskulud
kompleksid (võrreldes riistvaraga,
süsteem. Teine oluline
tarkvara juurutamise eelis
kaitse – on võimalus seda muuta
komplitseerimise või lihtsustamise suunas, sisse
olenevalt toetuse vajadusest
turvalisus.

Tarkvara abil
vahendeid saab realiseerida järgmiselt
kaitsemeetodid:

• Krüptograafiline
  muutumine .
  Need. teabe krüpteerimine. kõige poolt
  Levinud meetodid on DES
  ja RSA. DES- ANDMETE KRISTIMISE STANDART - see standard
  krüptograafiline teisendus
  IBM poolt välja töötatud andmed
  enda vajadustele, kuid hiljem sai
  föderaalne standard USA. DES algoritm
  kasutatakse laialdaselt kogu maailmas,
  on avatud ja avaldatud. Ta
  lihtne mõista, kasutab meetodit
  kaitse, mis põhineb võtmel ja mitte
  oleneb salastatuse astmest
  algoritm. RSA- praeguseks
  on kõige lootustandvam meetod, sest
  jaoks ei ole vaja võtme üleandmist
  krüpteerimine teistele kasutajatele.
  Krüptograafiliste andmete muutmine
  teostatakse esimese avaliku võtmega,
  ja teave taastatakse
  teise privaatvõtmega.
  RSA peamine rakendus on hetkel -
  elektroonilise dokumendihalduse kaitse. IN
  näitena võib tuua
  SSL (Secure Sockets Layer) protokoll, mis tagab
  turvaline andmeedastus võrgu kaudu. SSL
  ühendab krüptosüsteemi
  avalik võti ja plokkrüptimine
  andmeid. Ainus miinus
  RSA algoritm on, et see ei ole kuni
  lõppu uuritakse ja 100% garantiid pole
  selle töökindlus.
• Autentimine
  kasutajad .
  Need. sisestatud andmete õigsuse kontrollimine
  registreerimiskasutaja
  sisselogimisandmed.
  Kasutatakse sundimiseks
  juurdepääsu hääleõiguse kohaldamine
  teabeallikad ja õigused
  operatsioonide sooritamine süsteemis.
• piiritlemine
  kasutajaõigused ja privileegid
  juurdepääs teabeallikatele .
• Kontroll
  teabe terviklikkus, viirusetõrje
  kaitse, audit. Need.
  tegevuse jälgimine
  süsteemis töötavad kasutajad ja tarkvara
  eelmääratletud registreerimisega
  sündmuste tüübid süsteemilogis
  turvalisus, aga ka rakendamine
  teatud vastused või
  hukkamise keeld.
• Vaatamine
  infoturbesüsteemide toimimine,
  nii tarkvara kui riistvara .
  Need. kontrollide rakendamine ja
  kaitsemehhanismide juhtimine
  turvasüsteemid.
• Reserv
  kopeerimine ja seejärel
  teabe taastamine .
• Tulemüür (tulemüür)
  - süsteem või süsteemide kombinatsioon,
  luues kahe vahele kaitsebarjääri
  või rohkem võrke ja
  eraelu puutumatuse rikkumise vältimine
  net. Tulemüürid on virtuaalsed
  tõkked pakettide edastamisel ühest
  võrgud teisele.

Peamine puudus
baasil ehitatud kaitsesüsteemid
tarkvarasüsteemid, on
nende analüüsimise võimalus NSD-s. IN
mida ei saa välistada
meetodite väljatöötamise võimalus
tarkvaratööriistade kompleksi ületamine
turvalisus või
modifikatsioonid.

Jätkub...

Pangandus on alati olnud seotud suure hulga konfidentsiaalsete andmete töötlemise ja säilitamisega. Esiteks on need isikuandmed klientide, nende hoiuste ja kõigi tehtud tehingute kohta.

Kogu krediidiasutuste salvestatud ja töödeldav äriteave on avatud mitmesugustele riskidele, mis on seotud viiruste, riistvaratõrgete, operatsioonisüsteemi tõrgetega jne. Kuid need probleemid ei saa põhjustada tõsist kahju. Andmete igapäevane varundamine, ilma milleta pole mõeldav ühegi ettevõtte infosüsteemi toimimine, vähendab teabe pöördumatu kadumise riski miinimumini. Lisaks hästi arenenud ja laialt tuntud kaitsemeetodid nende ohtude eest. Seetõttu tõusevad esile riskid, mis on seotud konfidentsiaalsele teabele loata juurdepääsuga (UAI).

Volitamata juurdepääs on reaalsus

Praeguseks on kõige levinumad kolm konfidentsiaalse teabe varastamise meetodit. Esiteks füüsiline juurdepääs selle ladustamis- ja töötlemiskohtadele. Siin on palju võimalusi. Näiteks võivad ründajad öösel pangakontorisse sisse murda ja varastada kõvakettad koos kõigi andmebaasidega. Võimalik on isegi relvastatud haarang, mille eesmärk pole raha, vaid info. Võimalik, et pangatöötaja ise saab andmekandja territooriumilt välja viia.

Teiseks kasutamine varukoopiad. Enamikus pankades põhinevad oluliste andmete varundussüsteemid lindiseadmetel. Nad salvestavad loodud koopiad magnetlintidele, mis seejärel salvestatakse eraldi kohta. Juurdepääs neile on reguleeritud palju leebemalt. Nende transportimise ja ladustamise ajal saavad suhteliselt paljud inimesed neist koopiaid teha. Tundlike andmete varundamisega seotud riske ei saa alahinnata. Näiteks on enamik eksperte kindlad, et 2005. aastal müügile ilmunud andmebaaside postitamine Keskpank RF varastati just tänu magnetlintidelt võetud koopiatele. Maailma praktikas on selliseid juhtumeid palju. Eelkõige eelmise aasta septembris tarnija Chase Card Servicesi (JPMorgan Chase & Co. osakond) töötajad. krediitkaardid, viskas eksikombel minema viis varukoopiat, mis sisaldasid teavet 2,6 miljoni Circuit City krediidikonto omaniku kohta.

Kolmandaks on kõige tõenäolisem konfidentsiaalse teabe lekitamise viis pangatöötajate volitamata juurdepääs. Kasutades õiguste eraldamiseks ainult standardseid operatsioonisüsteemi tööriistu, on kasutajatel sageli võimalus kaudselt (kasutades teatud tarkvara) täielikult kopeerida andmebaasid, millega nad töötavad, ja viia need ettevõttest välja. Mõnikord teevad töötajad seda ilma pahatahtlike kavatsusteta, lihtsalt selleks, et kodus teabega töötada. Selline tegevus on aga tõsine turvapoliitika rikkumine ja see võib saada (ja saada!) konfidentsiaalsete andmete avalikustamise põhjuseks.

Lisaks on igas pangas rühm inimesi, kellel on kohalikus võrgus kõrgendatud õigused. Me räägime süsteemiadministraatoritest. Ühest küljest vajavad nad seda oma ametiülesannete täitmiseks. Kuid teisest küljest on neil võimalus pääseda ligi igasugusele teabele ja "oma jälgi katta".

Seega peaks pangateabe volitamata juurdepääsu eest kaitsmise süsteem koosnema vähemalt kolmest alamsüsteemist, millest igaüks pakub kaitset oma tüüpi ohtude eest. Need on andmetele füüsilise juurdepääsu eest kaitsmise alamsüsteem, varukoopiate turvalisuse tagamise alamsüsteem ja siseringide eest kaitsmise alamsüsteem. Ja soovitav on mitte ühtegi neist tähelepanuta jätta, kuna iga oht võib põhjustada konfidentsiaalsete andmete avalikustamise.

Pangad seaduses pole kirjutatud?

Praegu reguleerib pankade tegevust föderaalseadus "Pankade ja pangandustegevuse kohta". Muuhulgas tutvustab see mõistet "pangasaladus". Selle kohaselt on iga krediidiasutus kohustatud tagama kõigi klientide hoiuste kohta käivate andmete konfidentsiaalsuse. Ta vastutab nende avalikustamise, sealhulgas teabelekkega tekitatud kahju hüvitamise eest. Samas puuduvad nõuded pangainfosüsteemide turvalisusele. See tähendab, et pangad teevad kõik äriandmete kaitset puudutavad otsused ise, tuginedes oma spetsialistide või kolmandate osapoolte ettevõtete (näiteks infoturbeauditeid tegevate) kogemustele. Ainus soovitus on Vene Föderatsiooni Keskpanga standard „Vene Föderatsiooni pangandussüsteemi organisatsioonide infoturbe tagamine. Üldsätted". See ilmus esmakordselt 2004. aastal ja 2006. aastal võeti vastu uus versioon. Selle osakonnadokumendi loomisel ja viimistlemisel kehtivad vene ja rahvusvahelistele standarditele infoturbe valdkonnas.

Vene Föderatsiooni keskpank saab seda teistele pankadele ainult soovitada, kuid ei saa nõuda kohustuslikku rakendamist. Lisaks on standardis vähe selgeid nõudeid, mis määravad konkreetsete toodete valiku. Kindlasti on see oluline, kuid hetkel pole sellel tõsist praktilist tähtsust. Näiteks sertifitseeritud toodete kohta öeldakse nii: "...võib kasutada sertifitseeritud või volitatud vahendeid teabe kaitsmiseks volitamata juurdepääsu eest." Vastav nimekiri puudub.

Standardis on loetletud ka nõuded krüptograafilistele vahenditele teabe kaitsmiseks pankades. Ja siin on juba enam-vähem selge määratlus: "CIPF ... tuleb rakendada algoritmide alusel, mis vastavad Vene Föderatsiooni riiklikele standarditele, vastaspoolega sõlmitud lepingu tingimustele ja (või) standarditele. organisatsioonist." Krüptomooduli vastavust standardile GOST 28147-89 on võimalik kinnitada sertifitseerimisega. Seetõttu on pangas krüpteerimissüsteemide kasutamisel soovitav kasutada Vene Föderatsiooni Föderaalse Julgeolekuteenistuse poolt sertifitseeritud tarkvara või riistvara krüptoteenuse pakkujaid, see tähendab väliseid mooduleid, mis ühenduvad tarkvaraga ja rakendavad krüpteerimisprotsessi ise.

Vastu võetud eelmise aasta juulis föderaalseadus Vene Föderatsiooni määrus “Isikuandmete kohta”, mis jõustus 1. jaanuaril 2007. Mõned eksperdid seostasid sellega pangandusturvasüsteemidele spetsiifilisemate nõuete tekkimist, kuna pangad on isikuandmeid töötlevad organisatsioonid. Kuid seadus ise, mis on üldiselt väga oluline, ei ole praegu praktikas kohaldatav. Probleem seisneb selles, et puuduvad eraandmete kaitse standardid ja nende rakendamist kontrollida suudavad organid. See tähendab, et praegu on pankadel vabadus valida kommertsteabe kaitse süsteeme.

Füüsiline juurdepääsu kaitse

Pangad on traditsiooniliselt pannud suurt rõhku tegutsevate kontorite, kontohaldurite jms füüsilisele turvalisusele. Kõik see vähendab kommertsteabele volitamata juurdepääsu riski füüsilise juurdepääsu kaudu. Samas ei erine pankade kontorid ja tehnilised ruumid, kus serverid asuvad, kaitseastmelt enamasti teiste ettevõtete kontoritest. Seetõttu on kirjeldatud riskide minimeerimiseks vajalik kasutada krüptograafilist kaitsesüsteemi.

Tänapäeval on turul suur hulk utiliite, mis krüpteerivad andmeid. Nende töötlemise iseärasused pankades seavad aga vastavale tarkvarale lisanõudeid. Esiteks tuleb krüptokaitsesüsteemis rakendada läbipaistva krüptimise põhimõtet. Selle kasutamisel on põhimälus olevad andmed alati ainult kodeeritud kujul. Lisaks võimaldab see tehnoloogia minimeerida andmetega tavapärase töö kulusid. Neid ei pea iga päev dekrüpteerima ja krüpteerima. Juurdepääs teabele toimub serverisse installitud spetsiaalse tarkvara abil. See dekrüpteerib teabe automaatselt, kui sellele juurdepääsetakse, ja krüpteerib selle enne kõvakettale kirjutamist. Need toimingud tehakse otse serveri RAM-is.

Teiseks on panganduse andmebaasid väga suured. Seega peaks krüptograafiline teabekaitsesüsteem töötama mitte virtuaalse, vaid päris kõvaketta partitsioonide, RAID-massiivide ja muude serverisalvestusmeediumitega, näiteks SAN-mäludega. Fakt on see, et konteinerfailid, mida saab süsteemiga virtuaalketastena ühendada, ei ole mõeldud suure andmemahuga töötamiseks. Juhul, kui sellisest failist loodud virtuaalne ketas on suur, kui sellele pääseb juurde isegi mitu inimest korraga, võite märgata teabe lugemise ja kirjutamise kiiruse olulist vähenemist. Mitmekümne inimese töö suure konteinerfailiga võib muutuda tõeliseks piinaks. Samuti pidage meeles, et neid objekte võivad rikkuda viirused, failisüsteemi kokkujooksmised jne. Lõppude lõpuks on need tavalised failid, kuid üsna suured. Ja isegi väike muudatus võib põhjustada kogu selles sisalduva teabe dekodeerimise võimatuse. Mõlemad kohustuslikud nõuded kitsendavad oluliselt kaitse rakendamiseks sobivate toodete valikut. Tegelikult täna Venemaa turg selliseid süsteeme on vähe.

Krüptograafilise teabe kaitse serverisüsteemide tehnilisi omadusi pole vaja üksikasjalikult käsitleda, kuna oleme neid tooteid juba ühes eelmises numbris võrrelnud. ( Stolyarov N., Davletkhanov M. UTM-kaitse.) Kuid tasub märkida selliste süsteemide mõningaid omadusi, mille olemasolu on pankade jaoks soovitav. Esimene on seotud juba mainitud kasutatud krüptomooduli sertifitseerimisega. Vastav tarkvara või riistvara on enamikus pankades juba olemas. Seetõttu peaks serveri teabekaitsesüsteem pakkuma nende ühendamise ja kasutamise võimaluse. Teiseks infoturbesüsteemi erinõudeks on võime integreeruda kontori ja/või serveriruumi füüsilise turvasüsteemiga. See võimaldab teil kaitsta teavet varguse, häkkimise jms seotud volitamata juurdepääsu eest.

Pankades tuleks erilist tähelepanu pöörata teabe turvalisusele, kuna see on tegelikult klientide raha. Seetõttu tuleks kaitsesüsteem varustada spetsiaalsete funktsioonidega, mis vähendavad selle kadumise ohtu. Üks tähelepanuväärsemaid on kõvaketta vigaste sektorite määramise funktsioon. Lisaks on väga oluline võimalus ketta esmase krüptimise, dekrüpteerimise ja uuesti krüpteerimise protsesse peatada ja tühistada. Need on üsna pikad protseduurid, mille käigus esinev rike ähvardab kõigi andmete täielikku kadumist.

Inimfaktoril on väga suur mõju konfidentsiaalsele teabele volitamata juurdepääsuga seotud riskidele. Seetõttu on soovitav, et kaitsesüsteem annaks võimaluse seda suhet vähendada. See saavutatakse usaldusväärsete krüpteerimisvõtmete – kiipkaartide või USB-võtmete – salvestamise abil. Nende žetoonide lisamine tootesse on optimaalne, see võimaldab mitte ainult kulusid optimeerida, vaid tagab ka tarkvara ja riistvara täieliku ühilduvuse.

Teine oluline funktsioon, mis võimaldab minimeerida inimfaktori mõju kaitsesüsteemi töökindlusele, on võtmete kvoorum. Selle olemus seisneb krüpteerimisvõtme jagamises mitmeks osaks, millest igaüks antakse ühe vastutava töötaja kasutusse. Suletud ketta ühendamiseks on vaja kindlaksmääratud arvu osi. Lisaks võib see olla väiksem kui võtme osade koguarv. Selline lähenemine võimaldab kaitsta andmeid vastutustundlike töötajate väärkasutuse eest ning annab ka panga tööks vajaliku paindlikkuse.

Varunduskaitse

Regulaarne varundamine kogu pangas salvestatud teabest - absoluutselt vajalik meede. See võimaldab teil märkimisväärselt vähendada kadusid selliste probleemide korral nagu andmete rikkumine viiruste poolt, riistvaratõrge jne. Kuid samal ajal suurendab see volitamata juurdepääsuga seotud riske. Praktika näitab, et andmekandjaid, millele varukoopiad kirjutatakse, ei tohiks hoida serveriruumis, vaid mõnes teises ruumis või isegi hoones. Vastasel juhul võivad tulekahju või muu tõsise intsidendi korral nii andmed ise kui ka nende arhiivid pöördumatult kaduda. Ainus viis varukoopiate turvaliseks kaitsmiseks volitamata kasutamise eest on krüptograafia. Sel juhul saab turvaametnik krüpteerimisvõtit enda juures hoides ohutult edastada arhiividega meediume tehnilistele töötajatele.

Peamine raskus varukoopiate krüptokaitse korraldamisel on vajadus eraldada andmete arhiveerimise haldamise kohustused. Süsteemiadministraator või muu tehniline töötaja peaks varundusprotsessi ise konfigureerima ja juurutama. Teabe krüpteerimist peaks haldama vastutav töötaja – turvatöötaja. Samal ajal on vaja mõista, et enamikul juhtudel toimub broneerimine automaatselt. Seda probleemi saab lahendada ainult varukoopiahaldussüsteemi ja andmeid salvestavate seadmete (streamerid, DVD-draivid jne) vahele krüptograafilise kaitsesüsteemi "manustamisega".

Seega peavad krüptotooted pankades kasutamiseks suutma töötada ka erinevate seadmetega, mida kasutatakse varukoopiate kirjutamiseks andmekandjatele: striimijad, CD- ja DVD-draivid, eemaldatavad kõvakettad jne.

Tänapäeval on kolme tüüpi tooteid, mis on loodud varukoopiatele volitamata juurdepääsuga seotud riskide minimeerimiseks. Esimene sisaldab spetsiaalseid seadmeid. Sellistel riistvaralahendustel on palju eeliseid, sealhulgas teabe usaldusväärne krüpteerimine ja suur kiirus. Siiski on neil kolm olulist puudust, mis takistavad nende kasutamist pankades. Esiteks: väga kõrge hind (kümneid tuhandeid dollareid). Teiseks: võimalikud probleemid Venemaale impordiga (ei tohi unustada, et jutt käib krüptotööriistadest). Kolmas puudus on suutmatus nendega ühendada väliseid sertifitseeritud krüptoteenuse pakkujaid. Need plaadid töötavad ainult riistvara tasemel krüpteerimisalgoritmidega.

Teine varukoopiate krüptograafilise kaitse kaitsesüsteemide rühm koosneb moodulitest, mida tarkvara- ja riistvaraarendajad pakuvad oma klientidele varundamiseks. Need on olemas kõigi selle valdkonna tuntumate toodete jaoks: ArcServe, Veritas Backup Exec jne. Tõsi, neil on ka oma omadused. Kõige tähtsam on töötada ainult "oma" tarkvara või draiviga. Samal ajal areneb panga infosüsteem pidevalt. Ja on võimalik, et varusüsteemi asendamine või laiendamine võib nõuda lisakulusid kaitsesüsteemi muutmiseks. Lisaks rakendab enamik selle grupi tooteid vanu aeglase krüpteerimisalgoritme (näiteks 3DES), puuduvad võtmehaldusvahendid ning väliste krüptoteenuste pakkujate ühendamise võimalus.

Kõik see sunnib meid pöörama suurt tähelepanu kolmanda rühma varukoopiate krüptograafilistele kaitsesüsteemidele. See hõlmab spetsiaalselt loodud tarkvara, püsivara ja riistvaratooteid, mis ei ole seotud konkreetsete andmete arhiveerimissüsteemidega. Need toetavad laia valikut teabesalvestusseadmeid, mis võimaldab neid kasutada kogu pangas, sealhulgas kõigis selle filiaalides. See tagab kasutatavate kaitsevahendite ühtsuse ja tegevuskulude minimeerimise.

Tõsi, väärib märkimist, et hoolimata kõigist nende eelistest on kolmanda rühma tooteid turul väga vähe. Tõenäoliselt on see tingitud krüptograafiliste varunduskaitsesüsteemide suure nõudluse puudumisest. Niipea, kui pankade ja teiste suurte organisatsioonide juhtkond mõistab äriteabe arhiveerimisega seotud riskide reaalsust, kasvab sellel turul osalejate arv.

Sisekaitse

Hiljutised uuringud infoturbe valdkonnas, nagu iga-aastane CSI / FBI arvutikuritegevuse ja turvalisuse uuring, on näidanud, et ettevõtete rahaline kahju enamikust ohtudest väheneb aasta-aastalt. Siiski on mitmeid riske, millest tulenevad kahjud kasvavad. Üks neist on konfidentsiaalse teabe tahtlik vargus või selle käitlemise reeglite rikkumine nende töötajate poolt, kelle juurdepääs äriandmetele on nende tööülesannete täitmiseks vajalik. Neid nimetatakse insaideriteks.

Enamikul juhtudel toimub konfidentsiaalse teabe vargus mobiilse meedia abil: CD-d ja DVD-d, ZIP-seadmed ja mis kõige tähtsam - kõikvõimalikud USB-draivid. See oli nende massiline levitamine, mis tõi kaasa siseringitehingute õitsengu kogu maailmas. Enamiku pankade juhid teavad hästi, mis ähvardab näiteks nende klientide isikuandmete või pealegi nende kontodel tehtud tehingute andmebaas kuritegelike struktuuride kätte sattumisel. Ja võimaliku teabevarguse vastu püütakse võidelda neile kättesaadavate organisatsiooniliste meetoditega.

Organisatsioonimeetodid on sel juhul aga ebaefektiivsed. Tänapäeval on võimalik korraldada info edastamist arvutite vahel, kasutades miniatuurset mälupulka, mobiiltelefoni, mp3-mängijat, digikaamerat... Muidugi võite proovida keelata kõigi nende seadmete kontorisse toomine, kuid see mõjutab esiteks negatiivselt suhteid töötajatega ja teiseks on ikka väga raske inimeste üle tõeliselt tõhusat kontrolli luua - pank ei ole "postkast". Ja isegi kõigi seadmete keelamine arvutites, millega saab infot välisele andmekandjale (FDD- ja ZIP-draivid, CD- ja DVD-draivid jne) ja USB-portidesse kirjutada, ei aita. Esimesi on ju tööks vaja ja teisega on ühendatud erinevad välisseadmed: printerid, skannerid jne. Ja keegi ei saa keelata, et inimene minutikski printerit välja lülitaks, vabasse porti välkmälupulka pista ja sinna olulist infot kopeerimast. Loomulikult võite leida originaalseid kaitseviise. Näiteks ühes pangas prooviti seda probleemi lahendamise meetodit: nad täitsid USB-pordi ja kaabli ristmiku epoksüvaiguga, sidudes viimase tihedalt arvuti külge. Kuid õnneks on tänapäeval olemas kaasaegsemad, usaldusväärsemad ja paindlikumad kontrollimeetodid.

kõige poolt tõhus vahend insaideriga seotud riskide minimeerimiseks on spetsiaalne tarkvara, mis haldab dünaamiliselt kõiki seadmeid ja arvutiporte, mida saab kasutada info kopeerimiseks. Nende töö põhimõte on järgmine. Erinevate portide ja seadmete kasutamise õigused määratakse igale kasutajarühmale või igale kasutajale eraldi. Sellise tarkvara suurim eelis on paindlikkus. Saate sisestada piirangud teatud tüüpi seadmetele, nende mudelitele ja üksikutele eksemplaridele. See võimaldab teil juurutada juurdepääsuõiguste jaotamiseks väga keerulisi poliitikaid.

Näiteks võib mõnele töötajale lubada kasutada mis tahes USB-porti ühendatud printereid ja skannereid. Kõik teised sellesse porti sisestatud seadmed jäävad kättesaamatuks. Kui pank kasutab žetoonidel põhinevat kasutaja autentimise süsteemi, siis seadetes saab määrata kasutatava võtmemudeli. Siis saavad kasutajad kasutada ainult ettevõtte ostetud seadmeid ja kõik teised on kasutud.

Eespool kirjeldatud kaitsesüsteemide tööpõhimõtte põhjal saate aru, millised punktid on olulised salvestusseadmete ja arvutiportide dünaamilist blokeerimist rakendavate programmide valimisel. Esiteks on see mitmekülgsus. Kaitsesüsteem peaks hõlmama kõiki võimalikke porte ja teabe sisend-väljundseadmeid. Vastasel juhul jääb ärilise teabe varguse risk lubamatult kõrgeks. Teiseks peaks kõnealune tarkvara olema paindlik ja võimaldama luua reegleid, kasutades suurt hulka erinevat teavet seadmete kohta: nende tüübid, mudelitootjad, igal eksemplaril olevad kordumatud numbrid jne. Ja kolmandaks peaks siseringikaitse süsteem suutma integreeruda panga infosüsteemiga, eelkõige Active Directoryga. Vastasel juhul peab administraator või turvaametnik haldama kahte kasutajate ja arvutite andmebaasi, mis pole mitte ainult ebamugav, vaid suurendab ka vigade ohtu.

Summeerida

Seega on tänapäeval turul tooteid, mille abil iga pank saab korraldada usaldusväärse süsteemi teabe kaitsmiseks volitamata juurdepääsu ja väärkasutuse eest. Tõsi, nende valimisel peate olema väga ettevaatlik. Ideaalis peaksid seda tegema vastava taseme ettevõttesisesed eksperdid. Kolmandate osapoolte teenuste kasutamine on lubatud. Sel juhul on aga võimalik olukord, kus pangale surutakse oskuslikult peale mitte piisav, vaid tarnijafirmale kasulik tarkvara. Lisaks on kodumaine infoturbe konsultatsiooniturg lapsekingades.

Samal ajal pole õige valiku tegemine sugugi keeruline. Piisab, kui relvastada end meie loetletud kriteeriumidega ja uurida hoolikalt turvasüsteemide turgu. Kuid on "lõks", mida tuleb meeles pidada. Ideaalis peaks panga infoturbesüsteem olema ühtne. See tähendab, et kõik alamsüsteemid peavad olema integreeritud olemasolevasse infosüsteemi ja eelistatavalt ühise juhtimisega. Vastasel juhul on kaitsehalduse tööjõukulude suurenemine ja juhtimisvigadest tingitud riskide suurenemine vältimatu. Seetõttu on kõigi täna kirjeldatud kolme kaitse alamsüsteemi ehitamiseks parem valida ühe arendaja välja antud tooted. Tänapäeval on Venemaal ettevõtteid, mis loovad kõik vajaliku pangateabe kaitsmiseks volitamata juurdepääsu eest.

Pangandussektoris tekkis esialgu probleem teabe konfidentsiaalsuse, selle säilitamise ja kaitsmisega. Andmete turvalisus pangandusasutused mängib äris olulist rolli, kuna konkurendid ja kurjategijad on sellisest teabest alati huvitatud ja teevad selle saavutamiseks kõik endast oleneva. Selliste probleemide vältimiseks peate õppima pangaandmeid kaitsma. Selleks, et pangainfo kaitse oleks tõhus, tuleb ennekõike arvestada kõigega võimalikud viisid infolekked. Nimelt: kontrolli hoolikalt personali valikul olevate inimeste andmeid, nende eluloolisi andmeid ja varasemaid töökohti.

Pangaasutuste infoturve

Kõik pangandus- ja krediidiasutused on ohus. Need on nii kliendiandmed kui ka andmed pankade vahetu töö, nende andmebaaside jms kohta. Fakt on see, et selline teave võib olla kasulik nii konkurentidele kui ka üksikisikud tegelenud kuritegeliku tegevusega. Nende tegevus, võrreldes probleemidega, mis tekivad seadmete viirusnakkuse või operatsioonisüsteemide rikete tõttu, toovad seda tüüpi organisatsioonidele tõesti tohutut kahju.

Pangaserverite ja kohalike võrkude kaitsmine sissetungijate ning ettevõtte materjalidele volitamata juurdepääsu eest on tänapäeva tiheda konkurentsiga ühiskonnas lihtsalt vajalik.

Pangaasutuste süsteemide infoturve on oluline, kuna tagab pangaklientide andmete konfidentsiaalsuse. Igapäevaste varukoopiate tegemine, mida teevad organisatsioonid, vähendab olulise teabe täieliku kadumise ohtu. Lisaks on välja töötatud meetodid andmete kaitsmiseks volitamata juurdepääsuga seotud ohtude eest. Sellise teabe leke võib tekkida nii spetsiaalselt organisatsiooni saadetud spiooniteenistuste kui ka pikka aega töötanud töötajate töö tulemusena, kes on otsustanud panga teabevara varguse pealt raha teenida. Ohutus on tagatud tänu oma äri tundvate professionaalide ja spetsialistide tööle.

Kliendikaitse on üks olulisemaid näitajaid, mis mõjutab panga mainet tervikuna, sealhulgas organisatsiooni sissetulekuid. Kuna ainult head ülevaated aitavad pangal jõuda kõrge teenindustasemeni ja edestavad konkurente.

Volitamata juurdepääs pangasüsteemide teabele

Üks levinumaid pangateabe varastamise viise on varukoopiate kasutamine, andmete eemaldamine andmekandjatelt või häkkimise simuleerimine, kuid mitte materiaalsete varade varastamine, vaid juurdepääsu saamiseks serveris olevale teabele. Kuna varukoopiaid hoitakse tavaliselt lindiseadmetel eraldi kohtades, saab nende sihtkohta toimetamise ajal teha koopiaid. Seetõttu sõelutakse töötajaid, kes selliseks tööks võetakse, hoolikalt läbi erinevate valitsusorganid karistusregistri puhul varasemad probleemid seadusega, sh enda kohta esitatava teabe usaldusväärsus. Seetõttu ei tasu alahinnata sellist pangainfo varguse võimalust, sest maailma praktika on selliseid juhtumeid täis.

Näiteks 2005. aastal pandi müüki Vene Föderatsiooni Keskpanga postituste andmebaasid. Võimalik, et see info lekkis väljapoole pangandusorganisatsiooni just pangasüsteemide ebapiisava turvalisuse tõttu. Sarnane olukord juhtus rohkem kui korra maailmakuulsates Ameerika Ühendriikide ettevõtetes, mille infoturve sai sellest kõvasti kannatada.

Intervjuu panga turvajuhiga:

Veel üks viis, kuidas teavet süsteemidest lekitada saab, on pangatöötajad, kes soovivad sellega raha teenida. Hoolimata asjaolust, et enamasti tehakse pangasüsteemide teabele volitamata juurdepääsu ainult selleks, et kodus töötada, on need konfidentsiaalse teabe levitamise põhjuseks. Lisaks on see pangandusorganisatsioonide süsteemide turvapoliitika otsene rikkumine.

Samuti tuleb arvestada, et igas pangas on inimesi, kellel on sellistele andmetele juurdepääsuks märkimisväärsed privileegid. Tavaliselt on need süsteemiadministraatorid. Ühest küljest on see tootmisvajadus, mis võimaldab teostada töökohustused, ja teisest küljest saavad nad seda kasutada omal otstarbel ja samal ajal suudavad nad professionaalselt "jälgi katta".

Infolekke ohu vähendamise viisid

Pangainfo kaitsmine volitamata juurdepääsu eest sisaldab tavaliselt vähemalt 3 komponenti. Kõik need komponendid aitavad tagada pankade ohutuse piirkonnas, kus seda kasutatakse. See hõlmab kaitset füüsilise juurdepääsu eest, varukoopiaid ja kaitset siseringi.

Kuna pangad pööravad erilist tähelepanu füüsilisele juurdepääsule ja püüavad põhimõtteliselt välistada volitamata juurdepääsu võimalust, peavad nad olulise teabe krüpteerimiseks ja kodeerimiseks kasutama spetsiaalseid tööriistu ja meetodeid. Kuna pankadel on andmete kaitsmiseks sarnased süsteemid ja tööriistad, on parem kasutada krüptokaitseid. Need aitavad säilitada äriteavet ja vähendada selliste olukordade riske. Parim on salvestada teavet krüpteeritud kujul, kasutades läbipaistva krüptimise põhimõtet, mis aitab vähendada teabe kaitsmise kulusid ning ühtlasi välistab vajaduse pidevalt andmeid dekrüpteerida ja krüpteerida.

Arvestades asjaolu, et kõik pangasüsteemide andmed on tegelikult klientide raha, tuleks nende turvalisusele pöörata piisavalt tähelepanu. Üks võimalus on teha kindlaks, kas kõvakettal on vigaseid sektoreid. Protsessi tühistamise või peatamise funktsioon mängib olulist rolli ketta esmasel krüptimisel, krüpteerimisel, dekrüpteerimisel ja uuesti krüpteerimisel. Selline protseduur kestab kaua ja seetõttu võib iga rike põhjustada teabe täieliku kadumise. Enamik usaldusväärne viis krüpteerimisvõtmete ja süsteemide salvestusruumiks on kiipkaardid või USB-võtmed.

Infosüsteemide kaitsmine toimub tõhusamalt tänu mitte ainult striimijate, vaid ka eemaldatavate kõvaketaste, DVD-kandjate ja muude asjade kasutamisele. Teabeallikatesse füüsilise tungimise eest kaitsvate vahendite kompleksne kasutamine suurendab selle ohutuse ja puutumatuse võimalusi konkurentide ja sissetungijate eest.

Vaadake seda videot, et saada teavet sammude kohta, mida peaksite tegema:

Infosüsteemide siseringi eest kaitsmise meetodid

Põhimõtteliselt toimub teabe vargus mobiilse meedia, erinevate USB-seadmete, kettaseadmete, mälukaartide ja muude mobiilsete seadmete abil. Seetõttu on üks õigeid otsuseid keelata selliste seadmete kasutamine töökohal. Kõik vajalik sisaldub serverites ning jälgitakse hoolikalt, kuhu ja kust pangakeskkonnas info edastatakse. Lisaks on äärmuslikel juhtudel lubatud kasutada ainult ettevõtte poolt ostetud kandjaid. Saate seada eripiiranguid, mis takistavad arvutil kolmanda osapoole meediumi- ja mälukaarte ära tundmast.

Infokaitse on pangandusorganisatsioonide üks olulisemaid ülesandeid, mis on vajalik tõhusaks toimimiseks. Kaasaegne turg on suurepäraseid võimalusi neid plaane ellu viia. Arvutite ja portide blokeerimine on kõige olulisem tingimus, mida tuleb süsteemide töökindlamaks muutmiseks järgida.

Ei tasu unustada, et andmevargustega tegelevad isikud tunnevad ka kommertsinfot kaitsvate süsteemide komplekti ja saavad neist spetsialistide abiga mööda minna. Selliste riskide esinemise vältimiseks peate pidevalt tegelema turvalisuse parandamisega ja proovima kasutada täiustatud kaitsesüsteeme.