Поняття безпеки банківських інформаційних систем
Автоматизовані економічні системи, відкриваючи нові можливості в організації всієї банківської діяльності, підвищенні якості і надійності, у той же час стають однієї з найбільш уразливих сторін безпеки сучасного банку, притягуючи до себе зловмисників як із числа персоналу банку, так і зі сторони.
Гострота проблеми безпеки автоматизованих економічних систем, особливо банківських, зростає в зв'язку з рядом об'єктивних причин. Основна з них — високий рівень довіри до цих систем. їм довіряють найвідповідальнішу роботу (виконання фінансових операцій), від якості якої з&тежить життя і добробут багатьох людей. Збережена та опрацьована в банківських системах інформація є реальними грошима. На підставі інформації комп'ютера можуть проводитися виплати, відкриватися кредити, пересилатися значні суми. Цілком зрозуміло, що незаконне маніпулювання такою інформацією може привести до серйозних збитків. Банківська інформація торкається інтересів великої кількості людей і організацій — клієнтів банку. Як правило, вона конфіденційна і банк відповідає за забезпечення необхідної таємності перед своїми клієнтами. Природно, клієнти вправі очікувати, що банк буде піклуватися про їхні інтереси, у противному випадку він ризикує своєю рещтацією з усіма наслідками, які з цього випливають.
Розділ 11 БЕЗПЕКА ЕКОНОМІЧНИХ ІНФОРМАЦІЙНИХ СИСТЕМ
Проблема безпеки економічної інформації ускладнюється в зв'язку з розвитком і поширенням мереж ЕОМ. Розподілені системи і системи з віддаленим доступом висунули на перший план питання захисту опрацьовуваної та переданої інформації.
Доступність засобів обчислювальної техніки, насамперед персональних ЕОМ, привела до поширення комп'ютерної писемності в широких прошарках населення. Це викликало численні спроби втручання в роботу державних і комерційних систем, як зі злим наміром, так і з суто «спортивного» інтересу. Чимало таких спроб мали успіх і завдали значну шкоду власникам інформації. Тому зрозуміла необхідність унебезпечити інформаційні технології в економічних структурах, де зберігається цінна (у грошовому вимірі) інформація.
Оцінки втрат від злочинів, зв'язаних із втручанням у діяльність автоматизованих економічних систем, різноманітні (позначається розмаїтість методик підрахунку). За даними одного з літературних джерел, в автоматизованих бангівських системах у 1988 р. збиток від комп'ютерних злочинів склав 555 млн дол., 930 років робочого часу і 15,3 року машинного часу. За іншими даними, збиток фінансових організацій складає від 173 млн до 41 млрд долл у рік. Середня банківська крадіжка із застосуванням електронних засобів складає біля 9000 дол., а один із най-гучніших скандалів зв'язаний із спробою вкрасти 700 млн дол. із Першого національного банку в Чикаго.
Під безпекою економічної інформаційної системи розуміється її захищеність від випадкового або навмисного втручання в нормальний процес її функціонування, а також від намагань розкрадання, модифікації чи руйнації її компонентів. Інакше кажучи, це спроможність протидіяти різноманітним небажаним впливам на цю систему. Захист — це свого роду змагання оборони і нападу: хто більше знає, передбачає дійові заходи, той і виграє.
Безпека економічної інформаційної системи досягається забезпеченням конфіденційності опрацьовуваної нею інформації, а також цілісності і доступності компонентів і ресурсів системи.
Конфіденційніст ь інформації—це властивість інформації бути відомою тільки допущеним і перевіреним суб'єктам системи (користувачам,
Зацеркляний М. М., Мельников О. Ф. пт**ЙКяі
ІНФОРМАЦІЙНІ СИСТЕМИ І ТЕХНОЛОГІЇ У ФІНАНСОВО-КРЕДИТНИХ УСТАНОВАХ РШЩ
програмам, процесам і т. д.). Такі суб'єкти називаються авторизованими. Для інших об'єктів системи ця інформація начебто не існує.
Цілісність компонента (ресурсу) — це властивість компонента бути незмінним (у семантичному, змістовному розумінні) при функціонуванні системи.
Доступність компонента (ресурсу) системи — властивість компонента бути доступним для використання авторизованими суб'єктами в будь-який час.
Метою будь-яких заходів безпеки економічної інформаційної системи є захист власника і законних користувачів цієї системи від нанесення їм матеріального чи морального збитку в результаті випадкових або навмисних впливів на систему.
Розрізняють зовнішню і внутрішню безпеку. Зовнішня безпека охоплює як захист від випадкових зовнішніх чинників (наприклад, природних — повінь, пожежа і т. д.), так і захист від несанкціонованого доступу до інформації і будь-яких несанкціонованих дій. Внутрішня безпека пов'язана з регламентацією діяльності користувачів економічної інформаційної системи і обслуговуючого персоналу, з організацією дисципліни прямого або опосередкованого доступу до ресурсів системи і до інформації. Серед усіх виникаючих проблем центральною є саме захист інформації.
Один із підходів до організації економічної інформаційної системи — шлях створення інтегрованих систем опрацювання даних. Цей шлях часто забезпечує мінімальну вартість створення і функціонування такої системи, оскільки для всіх її користувачів використовуються колективні ресурси, які охоплюють апаратні і програмні засоби опрацювання інформації, засоби її збереження і т. д. Вдало вибрані організація і можливості колективного ресурсу (обсяг пам'яті, швидкодія центральної ЕОМ і т. д.) значно знижують вартість створення та експлуатації системи.
Проте використання можливостей колективного ресурсу не означає, що ресурси повинні бути доступними кожному користувачу. Доступ повинний бути санкціонованим (особливо в банківській справі). Доступність визначається правилами (вимогами), які формулюються
Розділ 11 БЕЗПЕКА ЕКОНОМІЧНИХ ІНФОРМАЦІЙНИХ СИСТЕМ
при створенні економічної інформаційної системи. Реалізація усіх вимог санкціонованого доступу приводить до деякого збільшення вартості створення і реалізації систем.
Використання персональних ЕОМ, ввімкнення їх у склад локальних обчислювальних мереж, а тим більше ввімкнення в глобальні мережі ускладнюють постановку і реалізацію безпеки економічної інформаційної системи. Труднощі зв'язані:
• із забезпеченням цілісності інформації як у пам'яті ЕОМ, так і на носіях, які зберігаються окремо від ЕОМ;
• із забезпеченням достовірності інформації при передаванні її каналами зв'язку;
• із забезпеченням ідентифікації прийнятої інформації і т. д.
При будь-якому підході до організації економічної інформаційної системи заходи безпеки викликають деякі незручності. Головні з них такі:
• додаткові труднощі роботи з більшістю захищених систем;
• збільшення вартості захищеної системи;
• додаткове навантаження на системні ресурси, що потребує збільшення робочого часу на виконання завдання у зв'язку з уповільненням доступ^' до даних і виконанням операцій у цілому;
• необхідність залучення додаткового персоналу, відповідального за підтримку працездатності системи захисту.
Дата добавления: 2016-05-05; просмотров: 640;