Защита информации в банковских системах

Все риски в системе можно  разделить на:

1. финансовая ненадежность участников;
2. несанкционированные целенаправленные действия злоумышленников;
3. неумышленные действия физических лиц;
4. форс-мажорные обстоятельства.

Лавные направления минимизации  рисков:

1. ЗИ;
2. гарантия выполнения взаимных расчетов;
3. сохранение информации и арбитраж;
4. система лимитов:

• лимиты для банка;

• лимиты для карточек;
• лимиты для терминалов.

ЛК8. Особенности ЗИ в  автоматизированных банковских системах (БС)

1. Приоритет экономических и рыночных факторов.
2. Использование открытых систем и открытого проектирования.
3. Психологический фактор.
4. Вся информация конфиденциальна.

1. Субъекты банковских отношений и их интересы.
2. Подходы к обеспечению безопасности БС.
3. Классификация угроз безопасности.
4. Технология построения системы защиты.

Интересы субъектов платежной  системы:

1. корректное изменение платежных счетов;
2. своевременное осуществление платежа;
3. неразглашение информации о проводимых операциях.

Интересы субъектов информационных отношений – заключаются в  обеспечении своевременного доступа к необходимой информации, конфиденциальности информации, доступности информации, ЗИ от незаконного тиражирования, ответственности за нарушение, контроля и управления информационными процессами.

Безопасность БС – свойство этой системы противодействовать попыткам нанесения ущерба ее владельцам и  пользователям.

Подходы: фрагментарный – защита от конкретной определенной угрозы и комплексный - заключается в :

• анализ текущего состояния и перспектив развития информационных систем;
• прогнозирование возможных угроз и анализ связанных с ними рисков;
• планирование мероприятий по предотвращению возникновения критических ситуаций;
• планирование мероприятий по выходу из сложившейся критической ситуации.

Политика безопасности – совокупность норм, правил, методик, на основе которых  строится деятельность информационных систем.

Анализ рисков включает такие шаги:

• описание состава системы;
• определение уязвимых мест;
• оценка вероятностей реализации угроз;
• оценка потерь от этих угроз;
• анализ возможных методов защиты;
• оценка выигрышей от используемых методов защиты.

Угроза – потенциально возможное воздействие на систему, которое может прямо и косвенно нанести ущерб пользователю или владельцу системы.

Реализация угрозы – атака.

Классификация:

1. по целям реализации угрозы (на конфиденциальность, целостность, доступность)
2. по принципу воздействия на систему:

• с использованием штатного оборудования;

• с использованием нештатного оборудования;

3. по характеру воздействия:

• активные;
• пассивные;

4. по причинам возникновения  ошибок в системе;

5. по объекту атаки;

Наиболее типичные угрозы:

• НСД;
• угроза атаки "салями";
• маскарад;
• "сборка мусора";
• "люки";
• "троянские кони";

Этапы построения системы защиты:

1. сбор и анализ требований системы защиты с учетом вероятных угроз;
2. формулируется политика безопасности;
3. составление плана защиты;
4. реализация предусмотренных планом механизмов;
5. контроль за работой защиты;

ЛК9. Система swift

1. Структура системы swift.
2. Безопасность в системе swift.
3. Безопасност<span class="dash041e_0431_044b_0447_043d_044b_0439__Char" style=" tex