СодержаниеВВЕДЕНИЕ 4
Глава 1. ИССЛЕДОВАНИЕ ПРЕДМЕТНОЙ ОБЛАСТИ 9
1.1. Нормативно-правовое регулирование 9
1.2. Вопросы стандартизации 12
1.3. Процесс исторического развития интернет-банкинга 16
Глава 2. НЕОБХОДИМЫЙ УРОВЕНЬ ЗАЩИТЫ. МЕТОДИКА ОЦЕНКИ НА СООТВЕТСТВИЕ УРОВНЮ 18
2.1. Анализ угроз 18
2.2.Требования по обеспечению защиты информации в области интернет-банкинга 21
2.2.1. Организационное и юридическое обеспечение 21
2.2.2. Требования программного характера 22
2.2.3. Рекомендации по обеспечению безопасности в системах интернет-банкинга 53
2.2.4. Выводы по разделу 63
2.3. Методика оценки информационной безопасности 63
Глава 3. ОЦЕНКА СУЩЕСТВУЮЩИХ РЕШЕНИЙ И МЕТОДИКА ДОСТИЖЕНИЯ ТРЕБУЕМОГО УРОВНЯ 73
3.1. Состояние ИБ в интернет-банкинге в настоящее время 73
3.1.1. Интернет-клиент от R-Style Softlab 73
3.1.2. iBank 2 от БИФИТ 75
3.1.3. Банк-Клиент/Интернет от ИНИСТ 77
3.1.4. Клиент-Web от РФК 77
3.1.5. Система удаленного банковского обслуживания BARS от ЗАО "Оникс Капитал" 79
3.1.6. Интернет-банкинг от Диасофт 79
3.1.7. Результаты анализа 79
3.1.8. Программные уязвимости 80
3.1.9. Уязвимые места в организационном и юридическом обеспечении 81
3.1.10. Факторы, обуславливающие наличие уязвимых мест 82
3.2. Методика достижения выбранного уровня ИБ в интернет-банкинге 88
ЗАКЛЮЧЕНИЕ 91
СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ И ЛИТЕРАТУРЫ 93
ПРИЛОЖЕНИЯ 96ВведениеИнтернет как глобальная сеть оказывает огромное влияние на все сферы деятельности человечества, включая экономику и бизнес. Одним из важных аспектов использования интернета является дальнейшее развитие тенденции к глобальной мобильности и ликвидности капитала для всех категорий клиентов. На практике эта тенденция выразилась в появлении интернет-банкинга.
Интернет-банкинг – это система, которая позволяет клиентам банка дистанционно осуществлять все виды платежных операций по своему счету, а также оперативно получать информацию, необходимую для взаимодействия с банком. Работать с системой можно из любой точки мира — достаточно иметь лишь доступ в Интернет.
Общение с банком происходит через его сайт в интерактивном режиме. В сущности, обязанности операциониста перекладываются теперь на плечи клиента, однако задача упрощается тем, что количество доступных ему операций значительно меньше.
Услуга интернет-банкинга обычно подразумевает проверку состояния счета, перевод средств с одного счета на другой, оплату разнообразных товаров и услуг, а также предоставление клиенту информационной поддержки и многочисленных сопутствующих услуг. По статистике более 80% всех банковских операций клиент может совершать с использованием систем интернет-банкинга.
Типичный интернет-банкинг позволяет:
• переводить средства с одного своего счета на другой счет;
• осуществлять безналичные внутри- и межбанковские платежи;
• покупать и продавать безналичную валюту;
• открывать и закрывать депозиты;
• устанавливать график расчетов и оплачивать различные товары и услуги;
• отслеживать все банковские операции по своим счетам.
По итогам 2005 года более 350 банков в Российской Федерации предлагают услуги интернет-банкинга (то есть около 30% от общего количества банков РФ). Рост интернет-банкинга с конца 2003 года по конец 2005 года составил более 130%.
Почему вопрос безопасности информации для банка является особенно важным?
Во-первых, банк с точки зрения информационной безопасности — компания повышенного риска. Банк оперирует деньгами. При этом автоматизированная банковская система, как неотъемлемая составляющая корпоративной информационной системы банка, поддерживает процессы проведения выплат, предоставления кредитов, перевода средств и так далее. Поэтому очевидно, что незаконное манипулирование такой информацией может привести к серьезным убыткам.
Во-вторых, современный банк предоставляет большое число сервисов, связанных с удаленным доступом к информационной системе банка. Помимо персонального интернет-банкинга, это и система интернет-доступа к финансовым рынкам, и система электронного документооборота, и многое другое. С этих позиций банк — "точка пересечения" публичных сетей (Интернет) и коммерческих финансовых сетей (Western Union, VisaNet, SWIFT и других).
В-третьих, на сегодняшний день банки обладают сложными информационными системами, которые включают большой набор "бек-офисных" (для внутреннего пользования) и "фронт-офисных" (непосредственно взаимодействующими с клиентами банка) приложений, нередко гетерогенных, различных по архитектуре, платформе и другим основным характеристикам. А управление этими системами осложняется территориальной распределенностью компаний, наличием многочисленных филиалов и офисов. При этом информационная система современного банка является основой функционирования почти всех важнейших бизнес-процессов. Наконец, банк хранит конфиденциальную информацию своих клиентов.
К защите корпоративной информационной системы современного банка предъявляются жесткие требования, основными из которых являются комплексность, интегрируемость, адекватность финансовым затратам, легитимность, управляемость, масштабируемость и отказоустойчивость.
Цели исследования – анализ существующих в нашей стране систем интернет-банкинга и выработка методики по их приведению к максимально возможному и оправданному с экономической точки зрения уровню информационной безопасности.
Исходя из этого, можно выделить следующие задачи работы:
1. Исследование предметной области, в том числе стандартов безопасности, нормативно-правовых актов в области интернет-банкинга, а также процесса их исторического развития в нашей стране.
2. Определение необходимого уровня безопасности системы комплексной защиты информации по направлениям: организационное, правовое и программное (базируясь на стандартах, рассмотренных в разделе исследования предметной области).
3. Формулирование методики оценки информационной безопасности в области интернет-банкинга.
4. Анализ текущего состояния информационной безопасности в существующих решениях, обозначение основных уязвимых мест.
5. Определение факторов, определяющих наличие уязвимых мест в системах интернет-банкинга в нашей стране.
6. Формулирование методики по достижению требуемого уровня информационной безопасности.
В результате исследования будет сформирована методика приведения существующих решений к необходимому уровню безопасности, позволяющая работникам банков (в частности, руководителям подразделений безопасности) грамотно расставлять акценты при инвестировании средств в собственную защиту и управлению ею.
Исходя из целей и задач, представляется оптимальной следующая структура дипломной работы: введение, три главы, заключение, список используемых источников и литературы и приложения.
Первая глава посвящена исследованию предметной области. Она включает в себя обзор истории развития интернет-банкинга, описывает основание для функционирования интернет-банкинга и защиты информации в нем. В ней приведен обзор основных нормативно-правовых актов и стандартов в данной сфере банковской деятельности.
Во второй главе формулируются требования к организации системы защиты информации по трем направлениям: организационное, юридическое и программное.
Сразу обозначим, что в вышеуказанные требования не включен вопрос технической защиты информации. Этот факт объясняется тем, что функционирование интернет-банкинга полностью опирается на систему автоматизированного банковского обслуживания (АБС), которая использует уже защищенные вычислительные ресурсы и внутренние связи в системе АБС. Поэтому вопрос технической (аппаратной) защиты вынесен за рамки данного исследования.
Область организационного обеспечения защиты информации включает в себя требования по пакету организационно-распорядительной документации, регламентирующей функционирование всех элементов, взаимодействующих в системе банк-клиент: сам клиент, связь банк-клиент, подразделения банка, связанные с функционированием интернет-банкинга и защитой информации. Здесь описаны необходимые правила, регламенты выполнения действий банком и клиентом, различные инструкции, связанные с защитой информации.
В требованиях к юридическому обеспечению определяется необходимость четкого регулирования области интернет-банкинга как со стороны государства, так и со стороны банка. Это создание нормативно-правовых актов, заключение договоров между банком и клиентом, наличие правил, регламентирующих процедуру разрешения спорных ситуаций, возникающих между клиентом и банком по поводу подлинности и авторства электронных документов, относящихся к клиенту.
Отдельное внимание акцентируется на необходимости проведения анализа собственных рисков в области защиты информации и использования механизма их страхования банком.
В разделе программных требований сформулированы требования безопасности к программному обеспечению, автоматизирующему банковские технологии и связанному с совершением банковских операций посредством технологии интернет-банкинга. Рекомендации разработаны на основе СТО БР ИББС-1.0-2006, в них включены все основные требования данного стандарта, применимые к указанному программному обеспечению. Кроме того, они расширены с учетом специфики области интернет-банкинга и требований, изложенных в действующих в Сбербанке России нормативных документах для обеспечения информационной безопасности.
Речь идет о следующих механизмах безопасности прикладного уровня:
• администрирование;
• управление доступом;
• идентификация и аутентификация;
• защита от НСД;
• контроль целостности;
• криптографическая защита;
• аудит.
В работе приводятся рекомендации по обеспечению защиты информации при создании систем интернет-банкинга и механизмы защиты от типичных атак.
Далее формируется методика оценки существующих решений в области интернет-банкинга в нашей стране, которая определяет их соответствие вышеуказанным требованиям.
В третьей главе производится анализ существующих на российском рынке решений в области интернет-банкинга, определяются актуальные для них угрозы и меры по противодействию им. В главе анализируются факторы, определяющие актуальность данных угроз и формируется методика по последовательному приведению существующих решений к выбранному уровню безопасности.
При выполнении работы использован ряд нормативных источников, в частности: Конституция РФ, федеральные законы «Об информации, информационных технологиях и защите информации», «О связи», «Об электронной цифровой подписи». Анализируются международные и российские стандарты в области защиты информации и банковской деятельности, такие, как стандарт ISO 15408 «Common Criteria», BS ISO/IEC 27001:2005 – “Information technology – Security Techniques – Information Security Management System – Requirements”, стандарт Банка России СТО БР ИББС-1.0-2006 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» и другие.
Используются публикации в периодических изданиях, посвященных банковскому сектору, таких, как информационно-аналитическое издание компании «R-Style SOFTLAB» «RS-CLUB», журнал ассоциации российских банков «Банки и Технологии», публикации в сети интернет и так далее.
В заключении отображены основные итоги проведённого исследования программных, правовых и организационных аспектов защиты информации в отечественных решениях интернет-банкинга, обобщены основные причины наличия уязвимостей в таких решениях, приведены основные положения методики по достижению требуемого уровня информационной безопасности.
Полный список использованных при написании дипломной работы нормативных источников и литературы приведён в конце работы.
В приложениях к работе содержится перечень необходимого организационно-юридического обеспечения, выдержка из «Положения о порядке разрешения конфликтов между участниками системы интернет-банкинга» и приложения к методике оценки информационной безопасности.Литература1. Источники
1.1. Опубликованные
Конституция Российской Федерации. – М:Ифра-М, 2007г.
Федеральный закон «Об информации, информационных технологиях и о защите информации». – М: ОМЕГА-Л, 2006г.
Федеральный закон «О связи». – М: Ось-89, 2006г.
Федеральный закон «Об электронной цифровой подписи». - М:Ифра-М, 2006г
Стандарт Банка России СТО БР ИББС-1.0-2006. «Обеспечение информационной безопасности организаций банковской системы Российской Федерации». – б.м.: Центр нормативно-технической документации, б.г.
ГОСТ 34.601-90. Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания. // www.s3r.ru
ГОСТ Р ИСО 9001-2001. Система менеджмента качества. Требования. // www.s3r.ru
ГОСТ Р ИСО/МЭК 15408-1-3-2002. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. // www.s3r.ru
ГОСТ Р 51624-2000. Автоматизированные системы в защищенном исполнении.
ГОСТ Р 51275-99. Объект информатизации. факторы, воздействующие на информацию. Общие положения // www.s3r.ru
ГОСТ Р 50922-96. Защита информации. Основные термины и определения. Основные термины и определения. // www.s3r.ru
Рекомендации ВАС России "Об отдельных рекомендациях, принятых на совещаниях по судебно-арбитражной практике" от 07.06.95 №С1-7/03-31б и от 19.08.94 №С1-7/ОП-587
1.2. Неопубликованные
«Инструкция по применению электронной цифровой подписи в системах автоматизированного электронного документооборота» №995-р от 24.09.2002 // Сбербанк России
«Порядок организации доступа пользователей к информационным ресурсам в центральном аппарате и отделениях Сбербанка России г.Москвы» №810-р от 21.09.2001 с изменениями на 21.04.2004 // Сбербанк России
«Положение об администраторе автоматизированной системы (Редакция 3)» №387-3-р от 08.11.2001 // Сбербанк России
2. Литература
Аглицкий Д. «Российский ландшафт Интернет-банкинга” // Intelegent Enterprise, 4 марта 2003 г. (http://www.iemag.ru/?ID=473501)
Ащин Е. «Правовое регулирование электронного бизнеса» // Закон и право № 10, 2002 (http://www.i2r.ru/static/351/out_17066.shtml)
Голов А. «Обеспечение информационной безопасности современного банка» // CIO, №6, июнь 2006. (http://www.topsbi.ru/default.asp?artID=943)
Волчинская Е. Закон «об ЭЦП»: будет ли востребован пользователями? // Банковское дело в Москве, N7(79) 2001
Костинский А. «Закон 'Об электронной цифровой подписи'» // Stolica.ru, 25 декабря 2001 г.
Крячков А. «В отношении к вопросам информационной безопасности мы выходим на фазу «возрождения» // Cnews.ru, 2006 г. (http://www.cnews.ru/reviews/free/security2006/int/aladdin1/)
Курило А. «Безопасность информации – надежность банка » // М: Банковское дело в Москве, №3, 2006г.
Рамзаев М. «Рейтинг качества услуг интернет-банкинга» // CNews Analytics, 2003. (http://www.cnews.ru/reviews/free/finance2003/part2/rating.shtml)
Соловяненко Н. «Проблемы и направления правового регулирования Интернет-трейдинга». Рынок ценных бумаг. - 2000. - N 23 (182). - С. 48
Трофименко М. «Интернет-банкинг развивается полулегально» // Интернет Финансы, 2007. (http://www.i2r.ru/static/218/out_19095.shtml)
«Рейтинг качества услуг интернет-банкинга» // CNews, 2004г. (http://rating.rbc.ru/article.shtml?2004/05/17/566243)
«Российские банки столкнулись с российскими киберсквоттерами» // cybersecurity.ru, 2007г. (http://www.cybersecurity.ru/crypto/23967.html)
3. Источники на иностранных языках
“Common Criteria v2.1”, Published as ISO 15408 // iso15408.net, 1999
ISO/IEC 27001:2005 - Information technology -- Security techniques -- Information security management systems – Requirements // International Organization for Standardization, 2005
4. Прочие источники
Интернет-форум ресурса bankir.ru, секция «Электронный Банкинг»
|
|
